여러 고수님들의 도움이 필요합니다.
네트워크에 올려야 될지 보안에 올려야 될지 모르겠습니다.
일단은 네트워크에 관련된거같아 네트워크 카테고리에 올렸습니다.
상황
- 이전에 네트워크/전산등등 관리하시던 분이 일신상의 이유로 아무런 인수인계 없이 퇴사를 한 상태임
- 제가 아는 지식은 대충 이런건 이런 기능이다 정도 (말그대로 대충 알고 있습니다. 거의 다 카더라 통신 수준)
- 사무실 네트워크 구성
* 공인 ip c class /24 (실사용 110개)
* 사설 ip C class /24 (실사용 130전후) / 7월~8월사이에 인원 30명 정도 충원되서 실사용 200개 육박할듯합니다.
* 특수상황을 제외하고 유동IP사용중
- 방화벽은 fortinet, 관리툴은 s1esp 사용중입니다.
문제점
- 제가 제대로 알고 있는게 없습니다. (전산관리자가 없습니다.)
- IP충돌이 자주 발생합니다.
- 개인장비 반입하여 마음대로 네트워크 사용합니다.
결론
- IP를 mac이랑 사용자에게 1대1대1로 매칭해서 사용하고 싶습니다.
- 허가되지 않은 IP혹은 장비는 네트워크를 차단하고 싶습니다.
- 특정IP는 mac에 상관없이 사용가능해야 됩니다.
-> 이걸 해결할 수 있는 솔루션이나 기존 시스템을 활용할 수 있을까요?
여기 게시판 돌아다녀보니 ipscan이라는 장비가 있는거 같은데 이런거 도입하며 도입비용이
대략적으로 얼마나 나올까요?
6개의 답변이 있습니다.
비용을 고려하지 않는다면,
네트워크 접근 제어 ( NAC - Network Access Control ) 솔루션으로 허용되지 않은 자비의 네트워크 접근을 차단하는 게 맞을 것 같아 보이고요.
IP를 유동으로 할당하는 것 보다는 내부에 활성화되어 있는 DHCP를 중단시키고 고정으로 할당해서 사용하는게 좋을 것 같고요.
여러개의 DHCP 서버가 활성화되어 있지 않은지도 확인해 볼 필요가 있을 것 같고요.
관리자를 정해서 특정인만이 IP를 할당하고, 관리할 수 있도록 내부 정책을 마련해서 일반 사용자들이 임의 IP를 할당해서 사용하지 못하도록 하는게 좋겠고요.
IP를 임의 할당해서 사용하는 사용자가 있을 경우에 주의도 주고, 어떤 규제를 취할 수 있는 방안도 마련하는게 좋을 것 같아 보이고요.
VLAN 등을 활용해서 네트워크 그룹을 나누어 관련없는 부서들 간에 서로 분리해서 관리하는 방법도 고려해 볼 필요도 있을 것 같아 보이고요.
홍차 | 2년 이하 전
도움 감사드립니다.
갑자기 아무 연관도 없는 업무를 진행하게 되서 모르는것들을 인터넷 검색해보며 진행하다 보니 이것지것 알아볼게 너무 많네요..
일단 NAC 관리할 수 있는 장비를 알아보고 있습니다.
NAC 솔루션을 도입 하시면 대부분 해결이 될 문제들인거 같네요.
NAC 에서 해당 IP 와 mac 을 체크해서 등록이 되지 않은 장비는 네트워크 사용이 되지 않게끔
통제를 할 수 있습니다.
그만큼 불법으로 사용하는 장비들 통제를 할 수 있고,
ip 충돌도 방지를 할 수 있죠....
요즘 대부분 조금 규모 있는 기업에서는 모두 NAC 사용하고 있습니다.
저는 는 NAC도입해서 사용중에 있습니다.~SmartNAC
빨간신발 | 2년 이하 전
같은 제품 사용하시네요
홍차 | 2년 이하 전
해당 제품도 알아보도록 하겠습니다.
도움 감사드립니다.
NAC 솔루션 사용해야죠
홍차 | 2년 이하 전
답변 감사드립니다.
nac라는게 있는걸 지금 알았습니다.
이거 뭐... 전임자는 아니지만... 어쨋듯 이전에 업무 봤던 사람이 워낙에 지식도 많고 일도 잘하는 사람이어서
그런 사람이 정확한 인수인계도 없이 그냥 관두니 어러사람 힘들어지네요..
전산담당자를 뽑자고 했더니 원래 일하던 직원도 본인일 다 하면서 처리했는데 왜 안되냐?라고 얘기하는데
할말이 없네요..
참고로 전 전산에 "ㅈ"정도도 잘모르는 전산이랑 아무상관없는 부서입니다. ㅡ.,ㅡ
지금 이걸 제가 왜 알아보고 있는지도 모르겠네요.
개인장비 통제할 수 있는건 NAC이 제일 좋고...
아니면 포티넷 방화벽에서 MAC 주소 바인딩 가능여부 확인해보세요.
홍차 | 2년 이하 전
답변 감사드립니다.
제가 아는것도 없는데다가 전산과 아무런 상관이 없는 부서입니다.
기본적인 지식이라도 있어야 바인딩 여부 확인하고 적용이 가능할 듯 합니다.
사무실에 계속 문제는 발생하고 그나마 PC관련 내용 알고 있는 사람이 저라 다들 저한테 물어보는데.... 답이 없네요.
먼가 command line상에 명령어로 처리하는건 저를 위해서도 혹시나 제 다음에 이업무를 볼 직원을 위해서도
못할짓으로 보입니다.
nac을 사용하시면 됩니다
ipscan이 nac의 한 제품입니다
초기에 많이 사용하던 제품입니다
ipscsn 말고도 많은 제품이 있으니
옆 게시판(솔루션 상담)에 문의해보세요
홍차 | 2년 이하 전
답변 감사드립니다.
NAC솔루션 알아보겠습니다.
topkslee | 2년 이하 전
현상황에서는 NAC이 가능 좋을것 같네요