Chapter 13 사용자 네트워크 보안
01 ACL 02 VLAN 03 NAC
ACL을 이해한다. VLAN의 기능과 동작 원리를 이해한다. NAC의 역할과 동작 원리를 이해한다.
ACL(Acess Control List): 접근제어 목록 네트워크상에 전달되는 패킷에 대해 통과와 거절을 수행하는 목록을 의미하며, 이를 토대로 패킷을 필터링함으로써 트래픽을 제한하고 특정 사용자나 서비스 를 제어 방화벽의 룰셋과 비슷한 역할 방화벽보다 규칙이 단순하여 높은 대역폭에서도 효과적으로 작동하나 방화벽 에 비해 기능이 제한적임. ACL의 종류 숫자로 구분하는 Numbered, 사용자가 임의의 이름을 부여하는 Named로 구분 Numbered는 Standard와 Extended로 구분 Standard는 1번부터 99번까지, Extended는 100번부터 199번까지를 사용 표준 ACL 확장 ACL 출발지 주소만을 제어 출발지,목적지 주소 모두 제어 전체 TCP/IP 만을 제어 tcp, udp, ip, icmp등 지정해서 사용가능 리스트 번호 1~99 리스트 번호 100~199
1. ACL Standard ACL 1.1 ACL에 대한 이해 기본적인 접근 제어로, IP 패킷의 출발지 주소만 검사하여 제어 access-list <list-number> {permit|deny} source mask 작성 예) R1(config)# access-list 1 deny 192.168.1.0 0.0.0.255 R1(config)# access-list 2 permit any
1. ACL Standard ACL 1.1 ACL에 대한 이해 작성된 ACL은 네트워크 장비의 포트에 할당되어 인바운드(Inbound)와 아웃바 운드(Outbound)를 설정 R1(config)#interface serial 0/0 ; ACL 적용 포트 지정 R1(config-if)#ip access-group 1 in ; ACL 1을 인바운드로 적용 R1(config-if)#ip access-group 2 out ; ACL 2를 아웃바운드로 적용 와일드카드 마스크 서브넷 마스크의 반대 개념으로 ACL에서 호스트 주소 범위를 지정하기 위해 사용: (서브넷) 255.255.255.0 = 0.0.0.255 (와일드카드) 00000001 서브넷 마스크보다 더 세밀하게 호스트 구분이 가능하여 00000010 ACL 문장 수를 줄일 수 있음 00000011 예) 203.230.7.1/24 ~ 203.230.7.5/24만 지정할 때 00000100 와일드카드 마스크 값은 : 0.0.0.7 00000101 - 특정 호스트 하나 : 0.0.0.0 - 0.0.0.255 : 앞의 24비트만 일치하면 됨 - 255.255.255.255 : 비교할 필요 없음(모두 무시)
1. ACL Extended ACL 1.1 ACL에 대한 이해 IP 패킷의 출발지와 목적지 주소, 프로토콜을 검사하여 제어 IP, TCP, UDP, ICMP 등의 상세 프로토콜을 선택해서 설정 가능 access-list <list-number> {permit|deny} <protocol> source [source_mask] destination [destination_mask] [operator port]
1. ACL Extended ACL 1.1 ACL에 대한 이해 작성 예) R1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 210.1.6.0 0.0.0.255 -> 192.168.1.0네트워크에서 210.1.6.0 네트워크로 가는 IP 통신을 차단 R2(config)#access-list 110 accept tcp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 80 -> 192.168.1.0 네트워크에서 172.16.1.0 네트워크로 가는 TCP통신을 허용
1. ACL 1.1 ACL에 대한 이해 ACL 적용 규칙 입력 순서대로 수행 : ACL 허용의 경우, 좁은 범위의 설정을 먼저 작성하고 넓 은 범위를 순서대로 작성 마지막에 deny any 생략 : 마지막에 permit any가 없고 ACL 조건이 없는 모든 경우는 deny가 됨. 중간에 수정 불가 : Numbered ACL은 순서대로 입력되므로 중간에 삽입하거나 삭제, 수정이 불가 ACL 목록을 작성하는 것 뿐만 아니라 설정하는 위치를 결정하는 것도 중요함 ACL에 명시되어 있지 않으면 통과
1. ACL 1.1 ACL에 대한 이해 Extended ACL 적용 순서 Standard ACL의 기본적인 적용 원리는 같음.
1. ACL 1.1 ACL에 대한 이해(표준 ACL 실습) ACL 작성 access-list access-list-number {permit | deny} wildcard mask 예) access-list 1 deny 203.230.7.2 0.0.0.0 access-list 1 permit any ACL 적용 라우터 인터페이스 지정 ip access-group 1 in/out 예) R1(config)#int fa0/0 R1(config-if)# ip access-group 1 in ACL 설정 확인 R1#show access-list 1
2. VLAN VLAN(Virtual LAN) 2.1 VLAN에 대한 이해 스위치에 연결된 하나의 네트워크를 여러 개의 논리적 네트워크로 분할 네트워크 관리자는 네트워크를 작은 네트워크로 임의로 나눈 뒤 나누어진 것에 여러 개로 구별되는 브로드캐스트 패킷을 제한하는 기능을 갖게 함. 목적별로 네트워크를 분리하여 네트워크 보안 수준을 높일 수 있음.
2. VLAN 스위치의 VLAN통신(1단계) 스위치의 VLAN통신(2단계) 2.1 VLAN에 대한 이해
2. VLAN 2.1 VLAN에 대한 이해 스위치의 VLAN통신(3단계) 스위치의 VLAN통신(4단계)
2. VLAN 스위치 간의 VLAN통신 2.1 VLAN에 대한 이해 여러 개의 VLAN 프레임을 전송할 수 있는 트렁크(Trunk) 포트를 이용
NAC(Network Access Control) 네트워크 접근 통제 시스템 2005년 가트너(Gartner) 그룹에서 새로운 네트워크 보안 모델을 제시한 것을 계 기로 급속도로 확산됨. 적절한 보안성 검토를 받지 않은 단말(노트북 포함)이 임의로 네트워크에 접근하 는 것을 막음. IP가 무질서하게 사용되는 것을 막아 가용 IP를 쉽게 확인하고, IP 충돌 문제를 막아줌.
3. NAC 3.1 NAC에 대한 이해 NAC의 기능
3. NAC NAC의 사용자 인증 절차 3.1 NAC에 대한 이해 일반적으로 MAC 주소를 기반으로 접근제어 및 인증 기능을 수행 네트워크에 접속하려는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알림 관리자가 해당 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 획득함 NAC는 등록된 MAC 주소만 네트워크에 접속할 수 있게 허용해주므로 라우터로 구분된 서브 네트워크마다 에이전트 시스템이 설치되어 있어야 함
3. NAC In-Line 방식 3.1 NAC에 대한 이해 게이트웨이 형태로 일부 물리적 네트워크에 NAC를 추가 기존 네트워크의 변경을 최소화하여 적용할 수 있음.
3. NAC 802.1x 방식 3.1 NAC에 대한 이해 802.1x를 이용해 NAC를 구현하려면 802.1x RADIUS 서버와 802.1x를 지 원하는 스위치가 필요 스위치 포트를 차단하여 우회 가능 성을 거의 없앤, 매우 효과적인 네트 워크 차단 방식 구축이 어렵고 스위치가 모두 802.1x 를 지원해야 한다는 제한이 있음. 신규 인증
3. NAC 3.1 NAC에 대한 이해 VLAN 방식 인가받지 않은 사용자는 통신이 되지 않는 VLAN 망에 신규 클라이언트를 할당 하고, 인가받은 사용자는 통신이 가능한 VLAN 망에 할당 차단된 클라이언트가 VLAN으로 격리, 보안이 뛰어나고, 우회하기도 어려움. 관리하려는 네트워크의 모든 장비가 VLAN을 지원해야 가능한 단점이 있음.
3. NAC 3.1 NAC에 대한 이해 ARP 방식 차단하려는 단말에게 ARP 스푸핑 패킷을 보내 네트워크의 정상적인 접근을 막 는 것 신규 PC가 내부 망에 접속하려고 게이트웨이 MAC주소를 알기 위해 ARP패킷 을 보내면 NAC가 요청단말의 MAC주소를 보냄(LAND 공격 유사)으로서 차단 모든 스위치에서 ARP를 사용할 수 있기 때문에 장비의 제약을 받지 않음. 단순한 구조라 빠르게 적용 가능 ARP의 특성상 네트워크 당 하나의 에이전트가 필요하고, 사용자가 게이트웨이의 MAC 주소를 알고 있거나, 이를 정적(Static)으로 설정하면 효과가 없음
3. NAC 3.1 NAC에 대한 이해 소프트웨어 에이전트 설치 방식 네트워크에 접속하려는 모든 클라이언트에 에이전트를 설치하는 방식 서버에서 차단 정책을 설정하여 설치된 에이전트를 통해 네트워크를 차단 클라이언트에 설치된 에이전트는 네트워크 제어뿐만 아니라, 네트워크 접속 후 에도 지속적인 관리 및 통제가 가능하여 다른 네트워크 기반의 방식보다 격리 수준이 높음 소프트웨어 에이전트를 반드시 설치해야 함. 에이전트를 클라이언트에 강제로 설치시킬 수 있는 체계와 보호 방법 강구가 필요
3. NAC Packet Fence ZEN 다운로드 Packet Fence ZEN 설치하기 실습 13-1 NAC 구축하기 https://packetfence.org/download.html Packet Fence ZEN 설치하기 PF ZEN을 설치할 때 관리 네트워크에 있는 인터페이스는 DHCP가 구동되어 PF ZEN의 인터페이스에 IP를 전달해줄 수 있어야 함.
3. NAC 실습 13-1 NAC 구축하기 Packet Fence ZEN 설치하기 PF ZEN의 OVF 파일을 로드한 뒤 실행
3. NAC Packet Fence 접속하기 실습 13-1 NAC 구축하기 Packet Fence의 설치가 완료되면 IP를 이용해 웹 브라우저로 접속 https://192.168.137.242:1443/Configurator
3. NAC Packet Fence 접속하기 실습 13-1 NAC 구축하기 <고급> 클릭 후 ‘192.168.137.242(안전하지 않음)(으)로 이동’을 클릭
3. NAC 실습 13-1 NAC 구축하기 Packet Fence 접속하기 Packet Fence에 접속 완료
3. NAC 실습 13-1 NAC 구축하기 Network 설정하기
3. NAC Network 설정하기 실습 13-1 NAC 구축하기 관리와 네트워크 연결을 위한 Management 인터페이스와 접근을 관리하는 인 터페이스인 Inline Layer 2를 설정
3. NAC Network 설정하기 실습 13-1 NAC 구축하기 Management 인터페이스는 주소를 바꾸었기 때문에 새로운 관리 주소로 바꿔 서 접속해야 함.
3. NAC 데이터베이스 설정하기 실습 13-1 NAC 구축하기 <Test>를 눌러 root 계정의 패스워드를 설정 후 입력 <Create database and tables> 버튼을 클릭하여 pf 데이터베이스를 생성 pf 계정의 패스워드를 입력한 뒤 <Create user> 버튼을 클릭
3. NAC 서버 정보 설정하기 실습 13-1 NAC 구축하기 도메인 이름, 호스트 이름, 장애 시 필요한 관리자 메일 주소를 각각 입력
3. NAC 관리자 계정 설정하기 실습 13-1 NAC 구축하기 관리자 패스워드를 설정한 뒤, <Modify the password> 클릭 후 <Continue> 클릭
3. NAC 서비스 시작하기 실습 13-1 NAC 구축하기 화면의 가장 아래쪽에 있는 <Start Packet Fence> 버튼을 이용
3. NAC 서비스 시작하기 실습 13-1 NAC 구축하기 Packet Fence 구동을 위한 모든 서비스가 시작되면 알림창과 함께 로그인 화면 으로 넘어감.
3. NAC 클라이언트 네트워크 접근하기 실습 13-1 NAC 구축하기 192.168.0.0/24 네트워크에서 윈도우 7 시스템을 이용하여 접근해보면 IP는 Packet Fence로부터 자동으로 할당받음.
3. NAC 클라이언트 네트워크 접근하기 실습 13-1 NAC 구축하기 클라이언트에서 웹 브라우저로 접근하면 접근이 차단된 것을 로그인 창을 통해 확인 가능
3. NAC 클라이언트 네트워크 허용하기 실습 13-1 NAC 구축하기 Packet Fence 관리자 화면의 [Users]-[Create]에서 사용자 계정을 생성 아이디와 패스워드, 이메일 주소, 접근 권한 유형, 만료일 등을 설정
3. NAC 클라이언트 네트워크 허용하기 실습 13-1 NAC 구축하기 생성된 계정을 클라이언트에 입력하면 네트워크 접근을 허용함.
3. NAC 클라이언트 네트워크 허용하기 실습 13-1 NAC 구축하기 접근이 허용된 클라이언트는 [Nodes] 탭을 눌러서 나타나는 페이지에서 확인