일반적으로 서버와 센서로 이루어져 있고
지사의 경우 추가적으로 센서를 더 구축을 하잖아요?
nac 기능을 적용하려면 이 센서가 무조건적으로 필요한가요?
서버와 지사의 에이전트가 직접 통신을 할 수 있는데 굳이 왜 센서를 추가로
구축을 해야만 하는건가요?
혹시 센서없이 nac 서버와 에이전트으로만 구성된 제품도 있나요?
네트워크 접근제어 솔루션의 원리가 궁금해요.
일반적으로 서버와 센서로 이루어져 있고
지사의 경우 추가적으로 센서를 더 구축을 하잖아요?
nac 기능을 적용하려면 이 센서가 무조건적으로 필요한가요?
서버와 지사의 에이전트가 직접 통신을 할 수 있는데 굳이 왜 센서를 추가로
구축을 해야만 하는건가요?
혹시 센서없이 nac 서버와 에이전트으로만 구성된 제품도 있나요?
9개의 답변이 있습니다.
센서 필요 없이 에이전트와 정책 서버가 통신을 하고 싶으신거면
에이전트 리스 형태를 찾아보시는 것도 방법입니다.
요즘 제로 트러스트 네트워크 액세스 형태로 NAC의 일부 기능들 지원하는 제품들이 있기 때문에
기능 상 차이는 있을 수 있으니 필요한 기능 기준으로 참고하셔서 알아보시면 대안이 될 듯 합니다 !
몇 년전 도입해서 잘 이용하고 있는 넷맨의 스마트NAC 검토해보세요.
기관에 적용된 구성을 잠깐 언급하면, 본사엔 정책 및 차단서버 <-> (VPN 통신) <-> 지사엔 차단서버로 되어 있습니다. 각자의 역할이 있어서 업체와 협의 후 기관 사정에 맞게 구성했습니다.
각 기능을 한가지 씩만 언급하면,
정책서버는 사용자 인증 및 정책 서버 (인사DB 연동가능)
차단서버는 접근 단말에 대한 허용/격리/차단
그리고, 사용단말에 클라이언트SW를 설치하여 단말의 무결성 점검 등을 할 수 있습니다.
만약, 문의내용처럼 센서가 반드시 필요하지 않다면, 정책과 차단 서버가 일체형으로 있는 소규모 기업을 위한 NAC도 있으니 업체에 문의해서 상담해보세요.
참고로, 인증 제품이고 이 제품으로 정부부처 정보보안 및 개인정보보호 점검도 이상없이 진행했습니다.
솔루션 상담실 문의 해보시길 바랍니다. 아무래도 전문 업체의 설명을 들으시는게 나을것 같습니다.
차단 서버에서는 수많은 트래픽으로 인해 많은 양의 데이터를 처리해야 하는 만큼,
한대의 차단 서버에서 수용 가능한 단말의 수가 정해져 있습니다.
그래서 일반적으로 정책서버와 차단서버를 분리해서 구성을 하고 있는거지요.
일부 중소규모에서 사용할 수 있는 정책/차단서버 일체형도 있습니다.
제가 찾아 본것은 아래 주소에 있긴 하네요...
단말이 적을 경우에는 일체형을 사용해도 될 듯 한데, 향후 단말 증가로 인해 추가가 필요할 경우에는
전체를 교체해야 할 수도 있겠네요... 참고 하세요.
http://www.netman.co.kr/products/smartnac.php
저도 잘 모르지만 제가 아는 한도내에서 답변드립니다~
에이전트가 어플리케이션 레이어이기 때문에 그보다 하위레이어에서의 우회를 막을 방법이 없고, 그래서 센서가 필요한 것으로 알고 있습니다
센서는 차단대상이 되는 디바이스로 gateway 의 ARP를 강제로 차단센서를 바라보도록 해서 해당 PC가 gateway와의 통신을 못하도록 arp table을 강제 변조하는 것으로 알고 있습니다.
실제로 패킷을 까보면 센서가 계속 arp 패킷을 보내더군요~
그리고 에이전트와 정책서버로만 동작하는 NAC 제품이 있는지는 모르겠지만 사무실의 네트워크 장비들이 지원을 해준다면 VLAN 을 이용하여 정책서버 없이 통제 가능한 제품은 있는것으로 알고 있습니다
센서없이 에이전트 기반으로 운영되는 NAC 솔루션을 사용하면 센서가 없어도 되지 않을까 싶은데...
에이전트라는게... 제어하려는 단말 장치( 컴퓨터 등 )마다 에이전트 소프트웨어를 설치해서 사용하는 방식이기 때문에 센서를 이용하는 것보다 더욱 정확한 정보 수집, 더욱 입맛에 맞는 제대로된 제어가 가능하지만... 모든 단말 장치에 에이전트 소프트웨어를 설치해야 한다는 점이 단점이 될것 같네요.
단말 장치에 에이전트를 설치하려한다면 단말 장치의 OS와 에이전트가 호환이 되어야 할 것이고...
단말 장치는 POS 등과 같이 펌웨어, 하드웨어 기반의 운영체제로 인해 추가 소프트웨어를 설치하지 못하는 경우도 있기 때문에 에이전트 소프트웨어 설치에 한계가 있게 되겠고...
모든 단말기에 에이전트 소프트웨어를 설치해야 한다는 점도 번거로운 작업이 될 수 있으며, 에이전트 소프트웨어 설치로 인한 시스템 충돌 문제, 부하 증가 등등의 부작용도 있을 수 있다는 단점이 있겠고요.
센서를 추가적으로 더 설치해야 하는 이유는 한대의 센서가 정보를 수집하고, 처리할 수 있는 단말 대수에 한계가 있기 때문에 추가적인 센서의 설치가 필요하다고 보면 될 것 같네요.
zero000 | 7달 전
제가 국산 유명제품을 포함한 다른 제품들 브로슈어를 찾아봤는데요. 에이전트 방식임에도 센서가 들어가더라구요.
물리적인 서버에 센서 기능이 내장이죠
센서라는 것이 그냥 물리적 nic죠
nac을 쓰려면 mac과 ip는 필수로 수집해야 합니다
mac은 2계층, ip는 3계층, 라우터는 3계층
라우터를 통과하면 mac은 수집이 불가합니다
ip또한 라우터를 거치면 사설ip는 수집이 불가합니다
그래서 센서가 원격지의 네트워크에 직접 붙어서 mac과 ip를 수집도 하고 비인가 장비는 못 붙도록 방해도 합니다
물리적인 nic가 없으면 어렵겠죠
그래서 다른 네트워크에는 센서가 꼭 필요합니다
zero000 | 7달 전
센서없이 서버-에이전트 형식으로 동작하는 다른 엔드포인트 솔루션에서도
사설ip와 mac 주소를 수집하고 있습니다...
NAC의 경우 기본적으로 정책서버, 센서, 에이전트로 구성되어 있습니다.
정책서버는 말그대로 정책관리, 로그 검색 같은 것을 할 수 있는 웹서버 이며,
차단센서는 실제 유/무선의 정보 수집하고 차단을 수행하는 역할을 합니다.(실제 차단수행 하는 역할)
그리고 에이전트는 단말의 상태 정보를 수집 및 보안패치, 보안 설정 유무 확인하는 역할을 합니다.
에이전트는 결국 소프트웨어 관련된 정보를 수집하거나 윈도우 보안기능 같은 걸 수집하는 용도라고 생각하시면 됩니다.
차단은 센서로 하고, 에이전트는 단말기의 모든 정보(SW, HW)를 수집해서 그 정보를 바탕으로 제어하기 위한 용도라고 생각하시면 됩니다.
zero000 | 7달 전
답변 감사합니다.
그런데 왜 정책서버만 가지고는 차단을 못할까요?
애초에 설계 시 센서에서 하도록 만들었다면 단순히 효율적인 측면에서
기능을 분리했을까요?
에이스퐝 | 7달 전
그랬을수도 있을겁니다.
단순 센서는 스위치 역할 장비로 구분해뒀을수도 있고요,
제가 알기론 중앙에 정책서버가 있고 지사마다 센서장비들이 들어가는걸로 알고있는데
센서당 감당가능한 노드수가 있는걸로 알고있습니다.
200 node 장비 기준 80% 아래 노드로 운영해야 차단정책등이 잘 먹고 그 이상은 차단이 되다 안되다 한다고 들었습니다.
많은 장비(노드)를 사용한다면 센서가 없거나 부족하면 차단이 안될거 같네요.
zero000 | 7달 전
답변 감사합니다.
지사가 많은데 유저가 적습니다. 그런데 적은 유저임에도 모든 지사마다
센서가 하나씩 들어가는 점이 비용 측면에서 너무 비효율적이라고 생각이 들었고
그러다보니 센서가 반드시 필요한건지. 하나의 서버에서 왜 안되는것인지란 의문이 들게 되었네요