802.1X NAC(Network Access Control)란?
802.1X NAC(Network Access Control)란?
802.1X 네트워크 액세스 제어(NAC)는 유선 및 무선 네트워크 전반에 걸쳐 관리자가 일관된 액세스 제어를 제공하도록 지원합니다. 캠퍼스 및 브랜치 엔터프라이즈 네트워크에 광범위하게 구축되어 있으며 다음과 같은 두 가지 주요 요소로 구성됩니다.
- 802.1X 프로토콜—유무선 액세스 포인트의 포트 기반 네트워크 액세스 제어(PNAC)를 위한 IEEE(Institute of Electrical and Electronics Engineers) 표준입니다. 802.1X는 LAN 또는 WLAN에 액세스를 시도하는 모든 사용자나 디바이스에 대한 인증 제어를 정의합니다.
- NAC—네트워크에 대한 액세스 제어를 통해 사용자 및 디바이스를 식별하는 입증된 네트워킹 개념을 말합니다. NAC는 인증 및 정책 적용을 통해 엔터프라이즈 리소스에 대한 액세스를 제어합니다.
802.1X 네트워크 액세스 제어(NAC)로 해결할 수 있는 문제
무선 네트워크 액세스, 모빌리티, 디바이스 각자 지참(BYOD), 소셜 미디어 및 클라우드 컴퓨팅이 엔터프라이즈 네트워크 리소스에 미치는 영향은 엄청납니다. 다음 그림에 표시된 대로, 이런 확장된 모빌리티로 인해 네트워크 위협 및 디지털 익스플로잇에 노출될 가능성이 증가합니다. 802.1x를 사용하면 이런 유형의 환경에서 수신 보안을 강화하는 동시에 총소유비용을 낮출 수 있습니다.
802.1X 네트워크 액세스 제어(NAC)로 수행할 수 있는 작업
NAC를 구축하는 방법은 다양하지만 필수 요소는 다음과 같습니다.
- 사전 승인 제어—승인되지 않은 메시지를 차단합니다.
- 디바이스 및 사용자 감지—사전 정의된 인증서 또는 머신 ID로 사용자 및 디바이스를 식별합니다.
- 인증 및 권한 부여—액세스 권한을 검증하고 제공합니다.
- 온보딩—보안, 관리 또는 호스트 확인 소프트웨어를 디바이스에 프로비저닝합니다.
- 프로파일링—엔드포인트 디바이스를 스캔합니다.
- 정책 적용—역할 및 권한 기반 액세스를 적용합니다.
- 사후 승인 제어—세션 종료 및 정리를 시행합니다.
802.1X는 물리적 포트에 액세스를 시도 중인 사용자 또는 디바이스를 확인하는 L2 액세스 제어를 제공합니다.
802.1X 네트워크 액세스 제어(NAC)의 작동 방식
802.1X NAC 작동 순서는 다음과 같습니다.
1. 설정—인증자(일반적으로 스위치) 또는 신청자(클라이언트 디바이스)가 세션 설정 요청을 보냅니다. 신청자가 EAP 응답 메시지를 인증자에게 보내고, 인증자는 메시지를 캡슐화하여 인증 서버로 전달합니다.
2. 인증—정보 검증을 위해 인증 서버와 신청자가 인증자를 통해 메시지를 주고받습니다.
3. 권한 부여—인증서가 유효한 경우 인증 서버가 인증자에게 신청자의 포트 액세스 권한을 제공하도록 알려줍니다.
4. 어카운팅—RADIUS 어카운팅은 사용자 및 디바이스 세부 정보, 세션 유형, 서비스 세부 정보를 포함한 세션 기록을 유지합니다.
5. 종료—엔드포인트 디바이스의 연결을 끊거나 관리 소프트웨어를 사용하여 세션이 종료됩니다.
주니퍼 네트웍스 구현
EX 시리즈 이더넷 스위치 제품군은 캠퍼스 및 브랜치 엔터프라이즈 네트워크에서 사용되는 주니퍼의 게이트웨이입니다. EX 시리즈는 강화된 802.1X 및 RADIUS 지원뿐만 아니라 몇 가지 802.1x 개선 사항을 제공합니다. 수신 액세스 요청을 처리하는 방식 수를 확대하고 네트워크 액세스 제어(NAC)의 대규모 구축을 간소화하여 이 밖에도 주니퍼의 엄선된 벤더에서 제공하는 솔루션(예: Aruba Networks의 ClearPass Policy Management Platform 및 Pulse Secure)은 네트워크 액세스 제어(NAC)를 완벽하게 관리하도록 지원합니다.