본문 바로가기
Lab & Research/Information Security

네트워크 접근 제어 & 클라우드 보안

by jaeaemin 2022. 4. 15.

NAC ( Network Access Control ) 

  • LAN 중심의 엔터프라이즈 네트워크에 대한 엑세스 관리 기능 
  • 네트워크에 로그인하는 사용자를 인증, 사용자의 엑세스&작업 권한을 결정함
  • 사용자의 단말기 상태를 검사함 

 

NAC System Component
Access requester (AR) 네트워크에 접근하려는 node 또는 applicants 또는 clinet 
Network access server (NAS) 기업 내부 네트워크에 대한 원격 위치 사용자의 액세스 제어 지점 역할을 수행한다.
remote access server (RAS) 또는 policy server 라고도 불린다.
 > 자체 인증 서비스를 포함하거나 정책 서버로부터 별도의 인증 서비스에 의존할 수 있습니다.
Policy Server  어떤 접근 권한을 노드가 가질지 결정하는 서버  ( 주로 백엔드 시스템의 의존함 )

 

NAC System Components

 

Network Access Enforcement Methods [ 네트워크 엑세스 시행 방법 ] 

  • 엔터 프라이즈 네트워크에 접속하기 위한 AR들에 적용되는 접근 규제들의 작업
  • 여러 가지 설정이 가능하고, 소비자는 한 가지 또는 여러 가지 방식을 조합하여 구성 할 수 있다.

 

[1] IEEE 802.1x

  • 내부 네트워크들의 접근 제어에 사용되는 링크 계층 프로토콜 
  • 인증 뒤 port 기반의 NAC 메커니즘을 제공한다. 
  • 인증 메서드로 EAP를 사용한다 ( 인증 정보를 주고 받기 위한 메시지 포맷 프로토콜 ) 

[2] VLAN

  • 상호연결된 엔터프라이즈 랜들을 여러 논리적인 세그먼트(vlan)으로 분리한다.
  • NAC에서는 아래에 따라 AR로 향하는 네트워크 VLan을 결정한다
    • 장치에 보안 문제 해결이 필요한지
    • 장치에 인터넷 엑세스만 필요한지
    • 기업 리소스에 대한 일정 수준의 네트워크 엑세스 권한이 필요한지
    •  etc ..

[3] Firewall

  • Host와 내부 사용자 간 네트워크 트래픽을 허용하거나 거부하는 NAC의 타입

[4] DHCP

  • HOST에 IP주소를 동적으로 할당할 수 있는 프로토콜이다.
  • DHCP 서버는 클라이언트의 DCHCP 요청에 따라 IP 주소를 할당함
  • 서브넷 및 IP 할당 주소를 기반으로 IP 계층에서 NAC를 시행한다.

 

 

Authentication Metods [ 인증 메소드 ]  & EAP ( Extensible Authentication Protocol )

 - EAP ㅣ 엔드 시스템과 인증 서버 간 인증 정보 교환을 위한 전송 서비스를 제공하는 프로토콜 ( 다양한 인증 메서드를 캡슐화 ) 

 - EAP 클라이언트와 인증 서버 모두에 설치된 특정 인증 프로토콜을 사용하면서 확장된다.

 

 

EAP에서 흔히 사용되는 인증방식  종류 

[1] EAP-TLS : RFC 5216

  • EAP 메시지에 TLS 프로토콜 캡슐화를 정의한다.
  • EAP-TLS는 TLS에서 핸드쉐이크 프로토콜을 사용함  (HTTPS)

 

[2] EAP-TLLS ( 터널링된 TLS ) : RFC 5281

  • EAP-TLS와 유사하지만, 서버만 클라이언트에 자신을 인증할 수 있는 인증서를 가지고 있다는 점이 다르다
  • 클라이언트 인증은 보안채널 설정 후 처리가 가능하다 ( 서버가 먼저 인증 후 클라이언트 인증 ) 

 

[3] EAP-GPSK : RFC 5433

  • 양 클라이언트 서버가 미리 공유된 키를 가진 상태에서의 인증 체계 ( 시크릿 키 )
  • 사전에 공유된 키를 사용해 상호 인증 및 세션 키 배포를 하는 비밀 키 기반 암호화 알고리즘이다

 

[4] EAP-IKE v2 

  • IKE v2 프로토콜 기반 EAP 프로토콜

 

EAP 에서 인증 방식 선택

 

 

EAP 프로토콜의 메시지 교환

 

 

 

1. EAP peer : 네으워크 엑세스를 시도하는 클라이언트 컴퓨터

2. EAP Authenticator : 네트워크에 대한 엑세스를 허용하기 전 , EAP 인증이 필요한 엑세스 지점 or RAS 

3. Auth server(RADIUS) : EAP 를 사용하여 EAP의 자격 증명을 확인하고 엑세스를 승인하는 서버 컴퓨터 

 

 

EAP 스토리보드 

 

포트에 근거한 접근 제어 IEEE 802.1X

 

 

 

EAPOL ( EAP over LAN ) 

IEEE 802 LAN을 통한 EAP 메시지 교환 프로토콜 

 

EAPOL 패킷 정보
EAPOL-EAP 캡슐화된 EAP 패킷을 포함한다.
EAPOL-Start suplicant가 이 패킷을 발행하여 인증을 시작함
EAPOL-Key 암호 키 정보를 교환하는데 사용되는 정보
EAPOL-Logoff suplicant가 이 패킷을 전송하여 네트워크와의 연결을 종료함

 

IEEE 802.1x message exchange  [ 전체적인 NAC 과정 ]

 

반응형

'Lab & Research > Information Security' 카테고리의 다른 글

메시지 인증 & Kerberos & PKI  (0) 2022.04.16
공개 키 암호화 & 메시지 인증  (0) 2022.04.16
Web : SSL&SSH&SET  (0) 2022.04.13
대칭 암호화 & 메세지 기밀성  (0) 2022.03.17
Information Security  (0) 2022.03.17

관련글

티스토리툴바