::: Cisco :::

Cisco NAC Network Module for Integrated Services Routers

Cisco NAC Network Module Integrated Services Routers (NME-NAC-K9)은 Cisco NAC Appliance 제품 포트폴리오의 작은 단위까지 범위를 넓혀 본사에서부터 지사에 이르기까지 NAC (Network Admission Control)의 기능을 수행할 수 있도록 돕습니다 (그림 1 참조). NAC Appliance Server 기능을 Network Module for Integrated Services Routers(ISR)로 통합하기 때문에 네트워크 관리자는 데이터, 음성 및 보안 요구사항을 지사의 단일 장치에서 관리할 수 있습니다. 이를 통해, 네트워크는 단순화하고, IT 인력 교육 및 장비에 대한 수요는 줄이고, 유지보수 비용은 절감할 수 있습니다. 지사에 설치된 Cisco NAC Network Module Integrated Services Routers은 보안상의 위협 요소가 WAN을 방해하고 네트워크에 피해를 주기 전에 시스템상에서 잠재적인 위협을 제거합니다.

그림 1. Cisco NAC Network Module Integrated Services Routers (NME-NAC-K9)

Cisco NAC Network Module Integrated Services Routers은 다음과 같은 기능을 수행하는 고급 보안 제품입니다.

사용자와 사용자의 장치 및 네트워크에서의 역할을 인식합니다. 악성 코드가 문제를 일으키기 전 단계인 인증 시에 실행됩니다.

시스템의 보안 정책 준수 여부를 평가합니다. 보안 정책은 사용자 유형, 장치 유형 또는 시스템 운영 체제에 따라 변할 수 있습니다.

정책을 준수하지 않는 시스템을 차단, 격리 및 복구해 보안 정책을 시행합니다. 비준수 시스템은 검역소로 전달되며, 관리자의 판단에 따라 치료됩니다.

Cisco NAC Network Module은 Cisco 2811, 2821, 2851, 3825 및 3845 플랫폼과 같은 네트워크 모듈 슬롯이 있는 모듈형의 ISR에서 지원됩니다. NAC 모듈은 다음의 모든 최종 사용자 장치에 상태 평가 및 치료 서비스를 적용할 수 있습니다.

장치 유형 : Cisco NAC 네트워크 모듈은 Windows, Mac 또는 Linux 시스템, 노트북, 데스크톱, PDA 및 프린터나 IP 전화와 같은 회사 장비 등 네트워크에 연결된 모든 장치에 대해 보안 정책을 시행할 수 있습니다.

장치 소유권 : NAC 네트워크 모듈은 회사, 직원, 계약자 및 게스트 사용자가 소유한 시스템에 보안 정책을 적용할 수 있습니다.

장치 액세스 방법 : NAC 네트워크 모듈은 랜, 무선랜 (WLAN), WAN 또는 VPN을 통해 연결된 장치에 NAC (Network Admission Control)를 적용합니다.

Cisco NAC Network Module Integrated Services Routers은 별도의 장비 없이도 지사 설치에 필요한 정책을 실행시킬 수 있는 고유한 기능이 있습니다.

Cisco NAC Network Module 및 Cisco ISR을 네트워크에 도입하면 다음과 같은 이점이 있습니다.

액세스 조건으로 준수 여부를 확인해 보안 보호가 가능합니다.

바이러스, 웜, 스파이웨어 및 기타 악성 애플리케이션을 미리 예방합니다.

정기적인 평가 및 치료를 통해 사용자 시스템의 취약점을 최소화합니다.

사용자 시스템의 복구 및 업데이트 과정을 자동화해 비용을 절감합니다.

설치 유연성을 높이고 TCO (총 소유 비용)를 줄여줍니다.

Cisco NAC Appliance 솔루션은 다음의 세 구성요소로 구성됩니다.

CAS (Clean Access Server) : 독립형 어플라이언스이거나 통합 서비스 라우터용 네트워크 모듈 중 하나인 이 장치는 평가를 하고 엔드포인트를 기반으로 액세스 권한을 실행합니다. 사용자가 검사를 통과할 때까지 사용자는 포트 레이어에서 차단되어 신뢰할 수 있는 네트워크에도 액세스가 제한됩니다.
Cisco NAC Network Module Integrated Services Routers일 경우, CAS는 온라인 동시 사용자 수에 따라 50과 100명의 두 사용자 유형으로 나눌 수 있습니다. 어플라이언스일 경우 CAS는 온라인 동시 사용자 수에 따라 여섯 종류 (100, 250, 500, 1500, 2500 및 3500명의 사용자 유형)로 나눌 수 있습니다. 기업은 본사 건물과 지사에 따라 용량이 다른 여러 종류의 서버를 사용할 수 있습니다. 예를 들어, 본사 건물에는 Cisco NAC 3350 Appliance를 사용하는 1500명의 사용자용 Clean Access Server가 필요하지만, 이 회사의 지사에는 Cisco ISR 내에 NAC 네트워크 모듈을 사용하는 100명의 사용자용 서버만 있으면 됩니다.

CAM (Clean Access Manager) : 중앙 집중화된 웹 기반 콘솔로서 역할, 검사, 규칙 및 정책 등을 설정합니다. CAM는 세 가지 유형이 있는데 다음과 같습니다; 최대 3개의 Clean Access Server를 관리할 수 있는 Lite Manager, 최대 20개의 Clean Access Server를 관리할 수 있는 Standard Manager, 그리고 최대 40개의 Clean Access Server를 관리할 수 있는 Super Manager.

CAA (Clean Access Agent) : 읽기 전용인 씬 에이전트로, 상태 평가 기능을 강화하고 치료 프로세스를 간소화합니다. Clean Access Agent는 선택사항이며 무료로 배포됩니다.

Cisco NAC 네트워크 모듈은 사용자의 지사 네트워크 보안 요구사항에 따라 다양한 방식으로 설치될 수 있습니다. 그림 2는 지사의 Cisco 2800 또는 3800 Series for Integrated Services Routers에 NAC 네트워크 모듈을 장착한 예입니다. 100명 이하의 직원이 근무하는 지사의 경우, 직원의 네트워크 액세스를 제어하기 위해 NAC 네트워크 모듈에 Clean Access Server 기능을 활용합니다. 이와 유사한 예로, 학교 교직원들도 로컬 NAC 어플라이언스에 Clean Access Server 기능을 사용합니다. WAN을 통한 중앙 집중화된 Clean Access Manager를 사용할 경우, 엔터프라이즈 고객의 여러 사무실에 설치된 NAC 네트워크 모듈 또는 NAC 어플라이언스를 구성하고 관리해야 합니다.

그림 2. 지사의 통합 서비스 라우터에 Cisco NAC Network Module을 설치하는 일반적인 방법

표 1. Cisco NAC Network Module 설치 옵션


배치 모델	옵션
트래픽 전달 모드	가상 게이트웨이 (브리지 모드) 실제 IP 게이트웨이 (라우터 모드)
클라이언트 액세스 모드	레이어 2 (Clean Access Server와 인접한 클라이언트) 레이어 3 (Clean Access Server와 인접한 클라이언트)
트래픽 흐름 모델	인밴드 방식: Clean Access Server - 사용자 트래픽이 있는 경우 항상 인라인 아웃오브밴드 방식: Clean Access Server - 인증, 상태 평가 및 치료 중인 경우에만 인라인

인밴드 방식의 Cisco NAC Network Module은 모든 네트워크 인프라를 지원하지만, 아웃오브밴드 방식은 SNMP(Simple Network Management Protocol)를 사용하는 스위치를 통해서 통신해야 합니다.

Cisco NAC Network Module에서 HIMI (High-Speed Intrachassis Module Interconnect; 고속 인트라 섀시 모듈 상호연결)

Cisco NAC Network Module은 Cisco 3800 for Integrated Services Routers에서 HIMI (고속 인트라 섀시 모듈 상호연결)를 지원합니다. HIMI는 시스코 라우터 기반에서, 확장된 네트워크 모듈에서 다른 네트워크 모듈이나 온보드 기가비트 이더넷 SFP (Small Form-Factor Pluggable) 포트로 전용 연결인 지점간 내부 연결을 설정하는 기능을 제공합니다. HIMI는 최대 1Gbps까지 확장할 수 있는 레이어 2 연결을 지원합니다. 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://www.cisco.com/en/US/prod/collateral/routers/ps5855/product_data_sheet0900aecd8028d15f.html

HIMI는 Cisco NAC Network Module과 HIMI 가능 확장 네트워크 모듈 (예: Cisco EtherSwitch® Service Module) 간의 통합에 이전에는 없었던 새로운 레벨을 허용합니다.

표 2는 Cisco NAC Network Module Integrated Services Routers을 위한 하드웨어 사양을 나타냅니다.

표 2. Cisco NAC Network Module (NME-NAC-K9) 하드웨어 사양


주요 특징	Cisco NAC Network Module Integrated Services Routers
제품	NME-NAC-K9
프로세서	1-GHz Intel Celeron-M
메모리	512MB DDR2
플래시 메모리	64MB 컴팩트 플래시 메모리
하드 디스크	80GB SATA 드라이브
이더넷 네트워크 인터페이스 카드 (NIC)	단일 내부 1000Mbps 이더넷 인터페이스 투 라우터 백플레인 단일 외부 10/100/1000Mbps 이더넷 인터페이스
치수 (세로x가로x높이)	3.9x18.0x18.3츠 (1.55x7.10x7.2인치)
무게	0.57kg (1.25lb)
작동 습도	5~95% (비응축)
작동 온도	0~40°C (32~104°F)
비작동 온도	-25~70°C (-13~158°F)
최소 작동 온도	해수면에서 40°C (104°F) 1800m (6,000피트)에서 40°C (104°F) 4000m (13,000피트)에서 30°C (86°F) 4600m (15,000피트)에서 27.2°C (80°F) 참고: 1000피트당 1.4°C (2.5°F) 하강
전원	21W
안전 적합성	UL, CSA, EN 및 IEC 60950-1
EMC 적합성	47 CFR Part 15 Class A CISPR22 Class A EN300386 Class A EN55022 Class A EN61000-3-2 EN61000-3-3 VCCI Class I AS/NZS CISPR 22 Class A
내성 적합성	CISPR24 EN300386 EN50082-1 EN55024 EN61000-6-1

Cisco NAC Network Module Integrated Services Routers은 NAC 어플라이언스에서 Clean Access Server와 동일한 소프트웨어 기능과 함께 고가용성 예외 (the exception of high availability) 기능을 지원합니다. NME-NAC-K9는 하나의 모듈에서 다른 모듈로 장애복구 기능을 지원하지 않습니다.

표 3은 NAC 네트워크 모듈에서 지원되는 주요 소프트웨어 기능을 나타냅니다.

표 3. Cisco NAC Network Module (NME-NAC-K9) 소프트웨어 기능


소프트웨어 기능	Cisco NAC Network Module Integrated Services Routers
SSO (Single Sign-On)을 사용한 인증 통합	Cisco NAC Network Module Integrated Services Routers은 대부분의 인증 방식, Kerberos를 사용한 원시적인 통합, LDAP (Lightweight Directory Access Protocol), RADIUS, Active Directory 등에서 인증 프록시로 작동합니다. 최종 사용자의 불편을 최소화하기 위해 Cisco NAC Network Module은 IP 보안 VPN 클라이언트, 무선 클라이언트 및 Windows Active Directory 도메인에 대해 SSO를 지원합니다. 관리자는 역할 기반 액세스 제어를 통해 서로 다른 권한이 있는 여러 사용자 프로파일을 유지 관리할 수 있습니다.
취약성 평가	Cisco NAC Network Module은 Windows, Mac OS 및 Linux 기반 운영체제와 시스템을 비롯한 게임 콘솔, PDA, 프린터, IP 전화와 같은 비PC 네트워크 장치에 대해서도 검사를 지원합니다. 네트워크 기반 검사를 수행하거나 사용자 정의 검사를 사용할 수 있습니다. NAC 네트워크 모듈은 레지스트리 키 설정, 서비스 실행 또는 시스템 파일에 의해 식별되는 애플리케이션을 검사할 수 있습니다.
장치 격리	Cisco NAC Network Module은 비준수 시스템을 검역소로 격리해 감염의 확산을 방지하고, 치료 리소스에 대한 액세스를 유지 관리할 수 있도록 합니다. 격리는 /30만큼 작은 서브넷이나 격리 VLAN을 통해 수행할 수 있습니다.
중앙 집중화된 관리	Cisco NAC Network Module Integrated Services Routers은 웹 기반 관리 콘솔인 CAM (Clean Access Manager)을 통해 중앙에서 관리됩니다. CAM을 사용하면 관리자가 복구에 필요한 치료 패키지뿐만 아니라 각 역할에 필요한 검사 유형을 정의할 수 있습니다. 하나의 관리 콘솔을 사용해 여러 NAC 네트워크 모듈 또는 NAC 어플라이언스를 관리할 수 있습니다.
자동 보안 정책 업데이트	자동 보안 정책 업데이트는 시스코 표준 소프트웨어 유지보수 패키지의 일부로서 중요 운영체제 업데이트, 일반적인 안티바이러스 소프트웨어의 바이러스 정의 업데이트와 스파이웨어 정의 업데이트에 대해 검사하는 정책 등 가장 일반적인 네트워크 액세스 조건에 대해 미리 정의한 정책을 제공합니다. 이러한 업데이트는 시스코 CAM (Clean Access Manager)에서 업데이트된 정책을 지속적으로 유지 관리하므로 네트워크 관리자의 관리 비용을 줄여줍니다.
치료 및 복구	격리는 운영체제 패치 및 업데이트, 바이러스 정의 파일 또는, Cisco Security Agent와 같은 엔드포인트 보안 솔루션을 제공하는 치료 서버에 대한 액세스 권한을 장치에 부여합니다. 관리자는 옵션 에이전트를 통해 자동 치료를 활성화하거나 치료 지침을 지정할 수 있습니다.
유연한 배치 모드	Cisco NAC Network Module은 고객의 네트워크 요구사항에 맞는 다양한 배치 모드를 제공합니다. 고객은 레이어 2 또는 레이어3 클라이언트 액세스에 대한 가상/실제 IP 게이트웨이 및 네트워크 트래픽에 대한 인밴드/아웃오브밴드 방식의 제품을 설치할 수 있습니다.

Cisco NAC Network Module은 특정 IP 보안 VPN 및 웹 VPN 클라이언트를 사용하는 무선 및 원격 액세스 사용자를 위해 SSO를 지원합니다. 표 4는 이러한 구성요소를 나타냅니다.

표 4. SSO 지원 VPN 및 무선 구성요소


제품	클라이언트
Cisco 통합 서비스 라우터
Cisco 무선랜 컨트롤러	Cisco SSL VPN(터널) Cisco IP 보안 VPN 클라이언트
Cisco ASA 5500 Series 적응형 보안 어플라이언스
Cisco VPN 3000 Series Concentrator
Cisco PIX® Security Appliances

표 5는 NAC 네트워크 모듈에 대한 시스템 요구사항을 나타냅니다.

표 5. 시스템 요구사항


하드웨어 및 소프트웨어	Cisco NAC Network Module(NME-NAC-K9) 시스템 요구사항
라우터 플랫폼	Cisco 2811/2821/2851 통합 시리즈 라우터 Cisco 3825/3845 통합 시리즈 라우터
라우터 소프트웨어	Cisco IOS® 소프트웨어 릴리스 12.4(11)T 이상 Cisco IOS IP Base image 이상

표 6은 선택사항인 Clean Access Agent의 시스템 요구사항을 나타냅니다.

표 6. Cisco Clean Access Agent 시스템 요구사항


특징	최소 요구사항
지원 OS	Windows Vista Home, Windows Vista Business, Windows Vista Ultimate, Windows Vista Enterprise, Windows XP Professional, Windows XP Home, Windows XP Media Center Edition, Windows XP Tablet PC, Windows 2000, Windows 98, Windows SE, Windows ME 및 Mac OS X(인증 전용)
하드 드라이브 공간	최소 10MB 이상
하드웨어	최소 하드웨어 요구사항 없음 (다양한 클라이언트 시스템에서 작동)

Cisco NAC Appliance Manager는 50개 공급업체의 300개 이상 애플리케이션에 대해 정책 검사를 수행하도록 미리 구성되어 있습니다. 이 목록은 수시로 업데이트됩니다. 최신 지원 애플리케이션은 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html 페이지를 참조하십시오 ("Cisco NAC Appliance Supported AV/AS Product List" 아래에 나옴).
참고: 일부 검사 유형은 일부 제품에서 지원되지 않습니다. 일부 공급업체는 Windows 95, 98을 지원하지 않습니다. 미리 구성된 검사를 비롯한 Cisco NAC Appliance 규칙 엔진에 대한 전체 액세스 권한을 제공하며, 타사 애플리케이션에 대한 사용자 정의 검사 또는 규칙을 생성할 수 있습니다.

Cisco NAC Network Module은 http://www.cisco.com/en/US/ordering/index.shtml에서 시스코 주문 도구를 이용하여 전 세계 시스코 판매 및 배포 채널을 통해 주문할 수 있습니다. 표 7은 주문 정보를 나타냅니다.

표 7. Cisco NAC Network Module Integrated Services Routers주문 정보


하드웨어 및 소프트웨어 부품 번호	Cisco NAC Network Module 요구사항
NME-NAC-K9	2800 및 3800 ISR용 Cisco NAC Network Module
NACNM-50-K9	NAC Network Module 서버 라이센스: 최대 사용자 수 50명
NACNM-100-K9	NAC Network Module 서버 라이센스: 최대 사용자 수 100명
NACNM-50UL=	NAC Network Module 서버 라이센스 업그레이드: 최대 사용자 수 50~100명
NME-NAC-K9	2800 및 3800 ISR용 Cisco NAC Network Module(여분)

Cisco 2800 또는 3800 통합 서비스 라우터 섀시 또는 번들을 구성할 경우 네트워크 모듈 내 옵션으로 부품 번호 NME-NAC-K9를 선택합니다. NAC 네트워크 모듈의 소프트웨어 버전을 확인한 후 Cisco NAC Network Module 서버 라이센스를 부품 번호 NACNM-50-K9 또는 NACNM-100-K9로 선택하십시오. NAC 네트워크 모듈의 사용자 라이센스 수를 50 (NACNM-50-K9)으로 처음 구매한 경우, 부품 번호 NACNM-50UL=을 주문하여 100명의 사용자 라이센스로 업그레이드할 수 있습니다. 라이센스 부품 번호를 선택하여 유사한 방법으로 모듈 (NME-NAC-K9=)에 이를 적용할 수 있습니다.

시스코는 고객의 성공을 앞당기는 다양한 서비스 프로그램을 제공합니다. 이러한 혁신적인 서비스 프로그램은 수준 높은 인력, 프로세스, 툴 및 파트너를 통해 제공되며 높은 고객 만족도를 제공합니다. 시스코 서비스는 귀사의 네트워크에 대한 투자를 보호하고, 네트워크 운영 최적화, 새로운 애플리케이션에 대비한 네트워크 준비를 통해 인텔리전트 네트워크와 비즈니스의 역량을 확장하도록 돕습니다. 시스코 서비스에 대한 자세한 정보를 원하시면 시스코 기술 지원 서비스 또는 시스코 고급 서비스를 참조하십시오. Cisco NAC Network Module에 대한 서비스 및 지원은 라우터 플랫폼의 서비스 계약에 포함됩니다.

Cisco NAC Network Module Integrated Services Routers에 대한 자세한 내용은 http://www.cisco.com/go/isr과 http://www.cisco.com/go/nac/appliance를 방문하거나 해당 지역의 시스코 고객 담당자에게 문의하십시오.

<업데이트: 2008년 3월 14일>