1 / 17

침입차단시스템 발표자료

침입차단시스템 발표자료. NAC( N etwork A ccess C ontrol) 네트워크 접근 제어. 목 차. NAC 란 ? NAC 의 특징 NAC 의 주요제공기능 NAC 의 취약점 결 론. N etwork A ccess C ontrol. 당신의 네트워크 는 보이지 않는 위협요소까지 관리하고 계십니까 ?. NAC 란 ?. NAC 는 출입국관리소다 NAC 는 공항에서 출입국관리소가 하는 업무와 매 우 닮았습니다 .

kitra-martin
Download Presentation

침입차단시스템 발표자료

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 침입차단시스템 발표자료 NAC(Network Access Control) 네트워크 접근 제어

  2. 목 차 NAC 란? NAC 의 특징 NAC 의 주요제공기능 NAC 의 취약점 결 론.

  3. NetworkAccess Control 당신의 네트워크는 보이지 않는 위협요소까지 관리하고 계십니까?

  4. NAC 란? NAC는 출입국관리소다 NAC는 공항에서 출입국관리소가 하는 업무와 매우 닮았습니다. 보호해야 할 대상이 국가 자산이냐 아니면 기업 IT자산이냐 정도의 차이는 있지만, 입국 심사와 거의 똑같다고 할 수 있습니다. 입국 심사가 국내로 들어오려는 사람이 사회적 범죄를 일으킬 사람이거나 병균을 퍼트릴 사람인지 또는 문제를 일으킬 만한 물건을 들여오는 것은 아닌지를 확인함으로써 국민을 보호하고 국내 산업에 피해가 가지 않도록 확인하는 것이라면 NAC는 사내망으로 들어오려는 단말기, 또는 사람은 누구인지, 단말기가 사내네트워크를 마비시키거나 다른 단말기들을 오염시킬만한 잠재적 요소가 있는지를 확인함으로써 사내 네트워크, 서버,데이터, 및 사내 망에 접속되어 있는 단말기들을 보호하는 역할을 합니다.

  5. NAC의 장점.

  6. NAC 의 장점 네트워크접근제어(NAC, Network Access Control)는 사전에 인가되지 않는 사용자 및 보안문제를 가지고 있는 사용자의 네트워크 접속을 근본적으로 차단하여, 제어하는 네트워크 보안체계로 기업 내 IT 자산을 보다 효과적으로 보호할 수 있습니다. 기존의 네트워크 보안이 외부 공격에 초점이 맞춰졌던 것과는 달리 최근 모바일 및 원격지 사용 증가로 사용자의 네트워크 접속 관리가 어려워지고 내부 공격이 급격히 증가하면서 주목 받고 있습니다.시장조사 기관들에 따르면 NAC시장은 폭발적으로 성장할 것으로 전망되고 있으며 솔루션 업체들은 다양한 환경에 손쉽게 적용할 수 있는 기술을 앞다투어 내놓고 있습니다.

  7. NAC 의 주요제공기능

  8. NAC 의 주요제공기능 ♣ IP / MAC 에 대한 실행 설정 기능 - 사용자IP 변경 금지 및 충돌 보호 설정/해제 - MAC에 대하여 특정 IP 사용만을 허용하도록 설정 가능함. - 충돌 보호 설정된 자원의 네트워크 사용을 보호 가능 ♣*Network 사용을 위한 사용자 인증 서비스 기능 - 인증 서비스 기능 - 관리자의 허가를 받지 못한 자원의 네트워크 사용 제한 - 웹 기반의 인증 요청 / 수락 기능 - 설정된 인증주기에 따라 주기적으로 사용자 인증을 수행

  9. NAC 의 주요제공기능 ♣ Network 사용을 위한 사용자 IP 신청 서비스 기능 - IP 사용 요청 기능 - IP차단 사용자 IP 사용신청 - 등록된 사용자 계정으로 login후 IP 신청 ♣ NAC 보안 정책기능(네트워크 권한 부여) - 신규 등록되는 사용자(장비)에 대해 무조건 차단 or 허용하는 것이 아니라 보안 정책에 따라 -네트워크 사용 목적에 맞게 네트워크 사용 권한을 부여 ♣NAC 위험 정책 기능(비정상 패킷 탐지 및 차단기능) - 위험 이벤트 중 허니팟을 이용하여 트래픽을 유발한 비정상 노드 탐지 - 미끼 IP로 패킷유입시임계치에 따른 탐지 - 임계치초과시 대응(알람, 네트워크 차단/격리)

  10. NAC 의 주요제공기능 ♣ 소프트웨어, 하드웨어 관리 및 통계기능 - 사용자 PC의 소프트웨어 설치 현황에 대한 정보 제공 - 사용자 PC의 CPU사양, RAM, HDD의 논리/물리적 드라이브 개수 및 용량, NIC -세부 정보를 제공 ♣ PMS 설치되지 않은 패치 파일 정보 제공 기능 - 설치되지 않은 패치 시스템 Patch 적용 , Patch 정보 - 상세 정보 제공 - 설치되지 않은 Patch PC의 강제 Patch 기능 제공 - 패치의 분류, 적용 제품 등 상세 정보 제공 - 설치되지 않은 Patch PC, network제한 가능

  11. NAC 의 주요제공기능 ♣ 중요/ 필수 소프트웨어 배포 기능 ♣ 시스템 제약 기능 ♣ (Router, Switch, Firewall, AP, Printer, Linux Server) 자동 감지기능 ♣ 화면보호기 기능 ♣ 연동 기능

  12. NAC 의 취약점

  13. NAC 의 취약점 비인가 단말기 탐지기능 취약점 - 가장 기본적인 취약점으로 허가되지 않은 PC도 허가된 PC의 IP와 MAC를 도용한다면 통신을 위한 접근이 허가된다는 것이다. 즉, 허가된 PC로 위장하는 것이라고 볼 수 있다.

  14. NAC 의 취약점 고정 ARP를 통한 우회 - ARP는 동적(Dynamic) 방식과 고정(Static) 방식으로 작동하는데 허가받지 않은 PC의 IP와 MAC를 인터넷 통신을 위한 게이트웨이의IP와 MAC로 고정했을 경우 차단을 우회할 수 있다. 게이트웨이IP와 MAC를 고정방식으로 적용하면 NAC 장비가 ARP 리스트를 수정하려고 해도 수정이 되지 않기 때문이다.

  15. NAC 의 취약점 IP 변조 및 ARP 캐시 포이즈닝을 통한 네트워크 마비 - ARP를 이용한 방식은 IP와 MAC 도용을 통해 내부 네트워크 침입을 허용할 뿐 아니라 반대로 다른 PC들이 네트워크에 연결되지 않도록 할 수도 있다. 즉 의도적으로 내부 네트워크를 마비시키는 공격도 가능하고 또한, 공격자가 NAC 장비의 ARP 리스트를 바꾸는 ARP 캐시 포이즈닝(ARP Cache Poisoning) 공격을 통해 일괄적으로 모든 IP를 비인가 장비로 바꾸는 방식으로도 네트워크 마비가 가능하다

  16. 결론. 기업 IT환경은 언제 어디서나 접근할 수 있는 공개된 환경으로 급격히 변하고 있습니다. 이러한 환경변화에 따라 현재의 IT보안정책은 획기적인 변화가 필요한 시점에 있습니다. 새로운 환경에서는 새로운 대응 방법이 필요한데. 이에 대한 희망적인 새로운 대안이 네트워크접근제어(NAC) 보안체계입니다. 그러나, 현재 NAC 분야가 상당히 혼돈스러운 상황이어서 기업의 경우 구축하고자 할 경우 많은 고민을 갖게 되고, NAC 제품 벤더들 또한 제품 개발 로드맵 설정 시, 많은 고민을 갖고 있는 것이 사실입니다. 따라서 NAC을 구축하고자 하는 기업들은 도입 전에 NAC 적용 범위, 적용 기능, NAC 적용 정책, 기존 인프라와의 통합방안에 대해 충분한 전략을 수립하고 기업환경과 동일한 상황에서 테스트를 수행한 후 도입하는 것이 필요 할 것으로 보입니다.

  17. 감사합니다

More Related