안녕하세요.
방화벽에서 허용된 MAC 장비만 사내망 접근 가능하도록 화이트리스트를 구성했습니다.
문제는 랜 포트가 없는 경우 랜 젠더를 써야 하는데.. 젠더에 따라 MAC이 결정 되므로 허용되지 않은 장비가 해당 젠더를 사용하여 사내망 접근이 가능하다는 겁니다.
혹시 이런 케이스에 따로 허가된 장비만 망에 붙을 수 있는 솔루션이라던가.. 방법이 따로 없을까요??
본업은 안드로이드 개발자인데 어쩌다 사내 보안 담당자가 되서 모르는 부분이 많습니다. ㅜㅜ
5개의 답변이 있습니다.
방화벽에서는 Mac으로 통제는 잘 안하는 것으로 압니다.
L3 장비를 통할 경우 Mac주소가 다르게 나오기도 하기때문에
보통은 IP로 제어하는 경우가 많죠.
만약 Mac주소로도 통제하려면 방화벽은 IP로 제어하고, Mac 주소를 통제할 수 있는
IPScan 같은 솔루션을 이용해서 이중으로 통제하는게 더 보안적으로 효과가 있습니다.
judd | 일 년 이상 전
답변 감사 드립니다.
요지는 허가된 장비만 사내망 접근이 가능하게 하고자 하는 것입니다.
방화벽에서는 각 MAC에 맞게 IP를 할당하고 있으며 등록된 MAC만 화이트리스트로 접근을 허가하고 있습니다.
IP로도 인가되지 않은 장비 접근에 대한 접근 컨트롤 솔루션이 따로 있을까요?
topkslee | 일 년 이상 전
유.무선에 따라 좀 다른데요.
랜젠더를 사용하신다니 유선에 대해서 말씀드리면,
IPScan 같은 솔루션으로 IP와 Mac주소로 접속 통제할 수 있습니다.
고정된 IP와 Mac address가 아니면 접속이 안되는거죠.
젠더가 여러개라면 하나의 IP에 여러개의 Mac주소 등록 관리도 됩니다.
비슷한 유형의 솔루션은 많이 있을것 같습니다. 참고하세요
judd | 일 년 이상 전
감사합니다. 참고하여 관련 내용 좀 찾아보도록 하겠습니다.
보안이라고 하면 정말 마음만 먹으면 어떻게든 치고 들어올 수 있다고 생각합니다.
젠더 타입을 사용할 경우 해당 사용자에게 해당 젠더를 해당 노트북 외에는 사용하지 않겠다는
보안각서를 받고 사용하시면 될 듯 하구요,
그럼에도 불구하고 다른 장비를 이용해서 사용한다면 그에 상응하는 조치를 취해야 하겠죠.
(해당 담당자에게 책임을 물어야 합니다.)
judd | 일 년 이상 전
네 말씀하시는 것 처럼 보안으로 무조건 막을 수 있다고 생각은 하지 않습니다.
보안 서약서 역시 작성되어야 하구요.
그럼에도 담당자 입장에서 혹시 젠더를 사용하지만 기존 노트북의 MAC을 활용할 수 있는 방안이 있나 싶어서 문의 드렸었어요. 담당자 입장에선 막을 수 있는 것은 최대한 막았으면 하는지라 ㅎㅎ
MAC 주소를 임의 변경해서 사용하는 방법을 시도해 보면 될 것 같네요.
인터넷을 허용하는 컴퓨터는 NIC에 기본적으로 할당된 MAC이 아닌 관리자가 임의 설정해 둔 MAC 주소를 사용하도록 해 둔다면 USB LAN 카드를 임의 교체해서 사용해도 차단할 수 있을 것으로 보이네요.
맥주소 임의 변경 방법은 아래 링크 자료를 참조하면 될 것 같네요.
https://m.blog.naver.com/kangyh5/221695410573
judd | 일 년 이상 전
보드 안에 내장된 MAC이 있더라도 USB to LAN port 젠더를 사용할 경우 방화벽에서는 젠더의 MAC으로 인식되는 걸로 알고 있어서요. 그렇다고 하면 젠더 MAC으로 오픈을 할 수 밖에 없다는 얘기라.. 젠더를 사용하더라도 노트북의 MAC으로 인식이 되게 하는 방법이 있는지 궁금합니다.
wansoo | 일 년 이상 전
MAC 주소가 하드웨어에 할당되는 고유 주소이기는 하지만...
맥주소를 임의 변경해서 사용할 수 있습니다.
다시 말해 네트워크 카드에 고유할당된 MAC 주소는 하드웨어적으로 고정되어 있지만, OS에서 해당 네트워크 카드의 MAC 주소를 임의 변경해서 사용할 수 있다는 의미입니다.
USB Type의 네트워크 카드를 다른 컴퓨터에 장착할 경우에 네트워크 카드에 하드웨어적으로 고정되어 있는 MAC 주소가 기본적으로 읽혀져서 다른 컴퓨터에서는 하드웨어에 할당되어 있는 기본 맥 주소를 사용해서 네트워크가 되게 된다는 말씀입니다.
맥주소를 임의 지정해서 사용하는 컴퓨터는 임의 지정한 맥주소로 해서 네트워크 통신을 하게 되는 것이고요.
방화벽에서 화이트 리스트 처리를 임의할당한 맥주소만 허용 처리해 둔다면 USB 타입의 네트워크 카드를 다른 컴퓨터에 연결해서 사용하더라도 임의 설정한 맥 주소까지 다른 컴퓨터로 따라가지 못하게 된다는 내용이 되겠고요.
wansoo | 일 년 이상 전
그리고... 방화벽이라는 것은 전통적이 개념에서 L3, L4에서 작동하는 장비가 되겠는데요.
L2는 L3 아래단의 개념이기 때문에 L2도 포함해서 제어하는 기능이 포함되어 있는 것이고요.
L2 에서의 네트워크 주소가 MAC 주소가 되겠고요.
L3에서의 네트워크 주소가 IP 주소가 되겠고요.
L4에서의 주소는 Port 주소가 됩니다.
전통적인 개념에서 방화벽은 IP 주소와 포트 주소로 차단/허용 설정하는 보안 장비라고 생각하면 되겠습니다.
화이트 리스트를 IP 주소로 설정한다면 하드웨어와 관계없이 OS에 설정된 값에 따라 작동되기 때문에 하드웨어를 교체한다해서 함께 따라 갈수 있는 것이 아니고요.
그렇지만... IP에 대한 개념은 MAC 주소에 대한 개념보다 일반 사용자들도 접근이 쉽기 때문에... 네트워크에 대한 조금의 지식이 있다면 맥 주소보다 좀 더 쉽게 크랙 당할 수 있다는 단점이 있겠고요.
네트워크에 대한 지식이 많다면 크랙 당할 가능성은 있지만 IP 보다는 좀 더 접근이 어렵기 때문에 오십보, 백보 수준이긴 하지만 좀 더 안전한 방법이 될 수 있지 않을까 생각되고요.
사용하는 방화벽이 차세대 방화벽 ( NG-FW ) 또는 UTM이라면 L7 개념으로 차단, 허용 정책을 설정할 수 있기 때문에 사용하는 네트워크 어플리케이션의 특성을 이용해서 화이트 리스트, 블랙 리스트 처리도 가능하겠고요.
네트워크 차단, 허용 정책은 NAC ( Network Access Control ) 장비를 이용하면 좀 더 강화된 기능으로 정책을 설정 가능할 수 있을 걸로 보여지고요.
USB랜카드나 C-Type랜카드도 동일하게 Mac이 잡힐건데 희안하네요
judd | 일 년 이상 전
랜 포트가 없어 C-Type 랜 젠더 사용시 해당 랜 젠더의 MAC으로 등록되고 있습니다.
저는 해당 젠더의 MAC을 따라간다고 알고 있는데 혹시 제가 잘못 알고 있는 걸 까요?
젠더라고 말씀하시는게 노트북에 랜포트가 없어서 USB-C나, 기존의 USB포트를 사용해서 네트워크 유선랜포트를 만들어주는 장비를 말씀하시는거 같고. 그렇다면 사실상의 랜카드나 다름이 없습니다.
보통 보안을 신경쓰시는 회사들은 네트워크 접속보다는 장비의 USB사용여부를 먼저 락을 걸 확률이 높은데 상황이 애매하네요.
결국 젠더를 돌려쓰게 됐을 경우 화이트리스트에 있는 장비로 보일 수 있으니 의미가 없지 않은가의 문제인데, 해당 방법은 디바이스에 붙어서 물리적으로 일체화 수준인(PC라면 메인보드가 될거구요) 경우를 기반으로 잡아주시면 될거 같습니다.
정책적으로 젠더는 불가하다 혹은 무선을 이용할 수 있도록 해서 무선을 통해서 들어올 수 있도록 하되 무선망에 붙는 MAC을 화이트로 관리하시는 방법이 있을듯 하네요.
여기에 옵션을 붙이시려면 호텔이나 어디 놀러갔을때 붙는 게스트네트워크처럼 접속이 가능한 메인페이지 단에서 통제를 하여 추가인증을 하는 시스템이 붙어야 할 것으로 보입니다.
반대로 MAC 역시 어느정도는 마음대로 임의의 수정이 가능하다는걸 고려하셔야 하기 때문에 그 자체가 완벽한 통제방법이라고 보기엔 어려울 수 있습니다. 결국 추가적인 인증시스템 넣는게 맞으실 것 같습니다.
https://www.sharedit.co.kr/qnaboards/21870
judd | 일 년 이상 전
답변 감사드립니다.
말씀하신대로 C to LAN port 연결입니다.
USB 락, 와이파이 차단은 사내 정책 협의 완료 후 적용될 예정입니다.
물리적으로 일체화 수준인 경우 기반으로 잡아주면 된다고 하셨는데 이 부분이 기반 지식이 없어서 정확히 어떤 내용인지 문의 드려도 될까요?
미생 | 일 년 이상 전
일체화라고 했지만 컴퓨터의 경우 요즘 네트워크 포트는 별도로 붙이는게 아닌 이미 보드내에 내장되는 형태로 오기 때문에 해당 MAC을 인위적으로 조작하지 않는 이상 바뀔 수 없습니다. 노트북의 경우도 무선LAN MAC은 바뀔 수가 없다는 이야기였습니다.
결국 MAC은 사용자가 임의조작을 하지 않는 이상 변경되지 않는다. 라는 전제하에 정책을 만드셔야 한다는 이야기가 되겠네요.
-> 젠더등을 통한 외장형태의 디바이스로는 접속 못하게 막는게 맞다는 뜻입니다.
judd | 일 년 이상 전
예를 들어 LG gram 같은 경우엔 LAN 포트가 따로 없어서 C 포트에 젠더를 물려서 유선 네트워크로 활용하고 있습니다. 이럴 경우 젠더의 MAC을 따라가기 때문에 젠더만 다른 PC에 물리면 접근이 가능하구요.
LAN 포트가 없는 노트북에 젠더 없이 유선으로 접근하는 방법이 있나요?
유선망 전제하에 외장형태의 디바이스 없이 접근 할 수 있으면 가장 좋겠는데.. 그게 가능한지 잘 모르겠습니다. 제가 아는 선에선 LAN 포트가 없으면 C 포트에 젠더를 물려서 사용해야만 한다고 알고 있어서요.
미생 | 일 년 이상 전
제가 설명이 부족한거 같은데 그램을 쓰면 안된다는겁니다.
정책의 방향이 통제를 할 수가 없는 Addon이 나오는 예외가 얼마든지 가능한데 그 예외를 통제하지 못할거면 정책상에서 답답할지언정 통제가 발생하는게 결론이어야 합니다. 보안이 그래서 불편하고 힘든 부분이구요.
그램에서 유선을 쓰기 위해서는 결국 젠더를 사용해야 하는데 그 젠더가 다른 곳에 가버리면 그 곳에서 비인가된 사용자가 얼마든지 쓸 수 있는 문제를 야기할 수 있음. 그러므로 젠더를 사용한 화이트리스트 등재는 거부가 정답. 같은 형태로 가셔야 한다는 이야기입니다.
DHCP단에서 인증을 해야만 IP부여가 가능한 솔루션 같은게 있을지 모르겠으나 그런 형태로 접근하셔야 할 것으로 보입니다.
저라면 죽어도 유선포트 없는 노트북을 써야 하는 상황이 있다는 부분에 대해서 보안때문에 어쩔수 없으니, 회사 내 자산구매시에 유선랜 포트 없는 제품 구매는 지양하도록 이야기 할 것 같습니다. 그게 아니면 다른 형태의 솔루션적인 접근이 필요하구요.
예를 들어 무선으로 공유기를 타고 들어가도록 하되 해당 무선공유기에서 받는 MAC Addr은 그램의 MAC 화이트로만 하도록 한다거나 하는 정도의 차선책을 제시하는 것이 맞을 듯 합니다. (죽어도 그램을 써서 이걸 써야 한다면 정도의 상황일때 가능)
judd | 일 년 이상 전
아 답변 감사합니다. 충분히 이해 됐습니다.
그램 구매 및 무선 사용에 대한 부분을 제안을 드리긴 했으나 제가 컨트롤 할 수 없는 부분이라 다른 솔루션이 있나 답답해서 문의 드렸습니다.
답변으로 도움 많이 됐습니다. 감사합니다.
미생 | 일 년 이상 전
보안적으로 뭘 하려고 들면 예외의 구멍이 정말 부득이하고 특이한 경우고 그마저도 리스크를 납득가능할 때 허용해야 하는데 그게 아니라면 몰라서 구멍을 낼지언정 정책적으로는 구멍을 내면 안되니까요... ㅠㅠ
고생 많으십니다.