728x90
[정보보안] VLAN(Virtual LAN)
VLAN(Virtual LAN)
VLAN의 의미
네트워크 분할 기능 제공
네트워크 관리자는 네트워크를 작은 네트워크로 임의로 나눈 뒤 나누어진 것에
여러 개로 구별되는 브로드캐스트 패킷을 제한하는 기능을 갖게 함.
목적별로 네트워크를 분리하여 네트워크 보안 수준을 높일 수 있음.
스위치의 VLAN통신(1단계)
클라이언트가 특정 VLAN에 할당되어 있을 때, 클라이언트는 자신이 속한
VLAN을 인식하지 못한 채 일반적인 통신을 할 때와 똑같이 통신을 위한 프레임을 스위치에 전달
스위치의 VLAN통신(2단계)
프레임을 전달받은 스위치는 클라이언트가 속한 VLAN을 표시하기 위해 전송
받은 프레임에 VLAN 정보를 붙임.
스위치의 VLAN통신(3단계)
프레임을 스위치 밖으로 보내기 전에 프레임의 VLAN 정보와 스위치 포트의
VLAN 정보를 비교
두 정보가 같으면 프레임에 붙어 있는 VLAN 정보를 떼고 프레임만 전송
스위치의 VLAN통신(4단계)
다른 VLAN으로 프레임을 보낼 경우, 해당 포트의 VLAN과 프레임에 추가된
VLAN이 다르므로 프레임을 차단
스위치 간의 VLAN통신
여러 개의 VLAN 프레임을 전송할 수 있는 트렁크(Trunk) 포트를 이용
NAC(Network Access Control)
네트워크 접근 통제 시스템
2005년 가트너(Gartner) 그룹에서 새로운 네트워크 보안 모델을 제시한 것을 계
기로 급속도로 확산됨.
적절한 보안성 검토를 받지 않은 단말이 임의로 네트워크에 접근하는 것을 막음.
IP가 무질서하게 사용되는 것을 막아 가용 IP를 쉽게 확인하고, IP 충돌 문제를
막아줌.
NAC의 기능
NAC의 사용자 인증 절차
정책 : 에이전트가 정상적으로 설치되어 있을때 네트워크를 차단시킨다 .
어떤 노드든 정책을 세워서
노드 OS 장비 종류 수집
NAC 구성방식
NAC 구성방식 - In-Line 방식
[전원이 이중화된 것들]
게이트웨이 형태로 일부 물리적 네트워크에 NAC를 추가
기존 네트워크의 변경을 최소화하여 적용할 수 있음.
NAC 구성방식 - 802.1x 방식
802.1x를 이용해 NAC를 구현하려면 802.1x RADIUS 서버와 802.1x를 지원하는 스위치가 필요
스위치 포트를 차단하여 우회 가능성을 거의 없앤, 매우 효과적인 네트워크 차단 방식
구축이 어렵고 스위치가 모두 802.1x를 지원해야 한다는 제한이 있음
NAC 구성방식 - VLAN 방식
인가받지 않은 사용자는 통신이 되지 않는 VLAN 망에 신규 클라이언트를 할당
하고, 인가받은 사용자는 통신이 가능한 VLAN 망에 할당
보안이 뛰어나며, 이를 우회하기도 어려움.
관리하려는 네트워크의 모든 장비가 VLAN을 지원해야 가능한 단점이 있음.
NAC 구성방식 - ARP 방식
[ARP 방식 많이 사용]
차단하려는 단말에게 ARP 스푸핑 패킷을 보내 네트워크의 정상적인 접근을 막는 것
모든 스위치에서 ARP를 사용할 수 있기 때문에 장비의 제약을 받지 않음.
단순한 구조라 빠르게 적용 가능
ARP의 특성상 네트워크당 하나의 에이전트가 필요하고, 사용자가 게이트웨이의
MAC 주소를 이미 알고 있고, 이를 정적(Static)으로 설정하면 효과가 없다는
단점이 있음.
NAC 운영방식 - 소프트웨어 에이전트 설치 방식
네트워크에 접속하려는 모든 클라이언트에 에이전트를 설치하는 방식 서버에서 차단 정책을 설정하여 설치된 에이전트를 통해 네트워크를 차단 클라이언트에 설치된 에이전트는 네트워크 제어뿐만 아니라, 네트워크 접속 후에도 지속적인 관리 및 통제가 가능하여 다른 네트워크 기반의 방식보다 격리수준이 높음
에이전트가 설치되지 않는 노드(네트워크장비, 보안장비 등)에는 NAC의 다양한 기능 구현 불가, 네트워크 접속 허용/차단 수준의 정책만 적용 가능
강제로 에이전트를 설치시킬 수 있는 체계와 보호할 수 있는 방법 강구 필요
노드 = 단말기 (노트북 .. )
NAC 운영방식 - 소프트웨어 에이전트 무설치 (Agentless) 방식
관리 대상 노드에 에이전트를 설치하지 않고 관리 및 통제하는 방식
노드에서 발생하는 브로드캐스트 패킷에서 IP/MAC 등 노드 정보 수집
에이전트 배포 및 설치 절차가 없어 전반적인 노드 관리에는 좀 더 쉽지만, 에이전트가 노드를 직접 관리하지 못하므로 세부 정책적용 및 관리는 불가함
에이전트가 설치되지 않는 노드(네트워크장비, 보안장비 등)에는 NAC의 다양한 기능 구현 불가, 네트워크 접속 허용/차단 수준의 정책만 적용 가능
하얀배터리 블로그에 작성된 글의 무단 복제 , 수정을 금지 합니다.
개시물은 배운 내용을 바탕으로 하여 쓰여진 것이므로 잘못된 내용이 있을 수 있습니다. 잘못된 내용은 지적 바랍니다.
#하얀배터리 #IT #정보보안 #윈도우 #window #프로그래밍 #programming #html #java #C #javascript #database #jQuery #서버 #보안 #리눅스
728x90
'Programing > network' 카테고리의 다른 글
| [하얀배터리-정보보안] - 스니핑 , 스위칭환경에서 스니핑 (0) | 2018.07.25 |
|---|---|
| [하얀배터리-정보보안]-ACL(Access Control List) (0) | 2018.07.25 |
| [하얀배터리-정보보안]-VPN(Virtual Private Network) (0) | 2018.07.25 |
| [하얀배터리-패킷분석] FTP 의 취약점 알아보기 (0) | 2018.07.25 |
| [하얀배터리-정보보안] - 무선랜이란? (0) | 2018.07.25 |
