현재 사내 업무망은 모두 유선으로 구축되어 있고, 방화벽과 NAC를 이용하여 접근통제를 하고 있습니다.
올해 사내에 무선망을 구축하면서 SSID를 구분하여 하나는 사무공간과 회의공간에서 업무목적으로 사용하도록 하고, 다른 하나는 휴게 공간과 회의공간에서 외부 손님들도 사용 가능하도록 설정해두었습니다.
업무목적의 SSID는 암호를 설정해서 1차적으로 접근 통제를 하고, 회사에서 지급한 노트북의 MAC을 등록해서 2차 통제를 하고 있습니다. 다만 사내 업무망 내의 업무시스템 접근을 위해서는 VPN을 통해 로그인한 상태에서만 업무망에 접근 가능하도록 하고 있는데, 이를 간소화 하고 싶습니다.
업무목적 무선망에 접속할 때는 지금과 동일하게 SSID+패스워드+MAC통제를 적용하고,
무선망 접속자가 사내망에 들어올 때는 NAC를 통해 통제하면 될 것 같은데 이 외에도 별도의 보안대책이 있어야 할지 궁금해서 질의를 남깁니다.
판단을 위해 추가적으로 필요한 정보가 있으면 댓글로 남겨주시면 업데이트하도록 하겠습니다.
고견을 부탁드립니다.
12개의 답변이 있습니다.
외부 손님들을 ssid로 접근하게 하면
관리와 운영이 필요합니다
내부 접속은 안되겠지만 ssid에 포함된 불필요한 구분도 해야하구요
외부 손님은 그냥 freezone wifi를 권장합니다
솔루션상담실 통해 전문 업체와 상의 해보시길 바랍니다.
별도로 따로 하지 않으셔도 될듯합니다. NAC로 차단하고 방화벽 정책으로 해도 무방합니다.
저희는 내부 직용원과 방문자 용으로 SSID를 구분해서 제공하고 있습니다.
언급하신 내용 봐서는 저희보다 더 꼼꼼하게 설정하신듯 합니다.
내부 업무용과 단순 인터넷 사용 구분 사용중입니다
외부 게스트용은 별도 vlan사용 구분하고 방화벽 포트도 별도 사용중입니다. 맥통제는 하지
않지만 ssid 암호는
수시로 변경 합니다
완전 오픈 게스트가 아닌 제한적 게스트 라서..
무선망 접속자가 사내망에 들어올 때 보안대책으로 참고하세요.
■무선망 접속자 인증 및 식별 등 적절한 권한 부여
■데이터 기밀성 보장하기 위해 무선 트래픽 암호화 (WPA2 또는 WPA3)
■접근제어 및 방화벽 정책 설정
■보안 업데이트 및 모니터링으로 새로운 위협에 대응
■무선 접속자가 사내망에 접속할 때 VPN을 통하도록 설정
업무망, 인터넷망 구분이 되어 있다고 하시고,
업무망에서는 MAC 관리도 하고 계시는 점을 보면 어느정도 보안에 신경을 쓰신듯 합니다.
기본적인 구성으로 보이며, 여기서 더 보안 적용을 하고자 한다면,
말씀하신 간소화에 역행하게 될 테니, 현재 그정도의 시스템만으로 괜찮다고 생각됩니다.
저희는 Guest 와이파이와 업무망 이렇게 구분해서 손님이 오셔서 와이파이 사용할때에는
신청 페이지가 나와서 사용 신청을 하고 관리자가 승인 해야만 와이파이 쓸 수 있게 했습니다.
물론, Guest 와이파이로 접속하면 외부 인터넷만 사용 가능하죠
업무망은 내부랑 외부 네트워크 모두 접속 가능합니다. 해당 업무망 와이파이를 쓸려면
보안 프로그램을 다 설치 되어 있고 MAC 주소까지 등록된 노트북들만 접속 가능합니다.
저희는 직원무선망은 SSID 업무용/인터넷용 구분해서 구성했습니다.
업무용은 기관 자산만 붙게하고 인터넷망은 개인폰도 붙을 수 있습니다.
랜덤Mac은 못붙게 하구요
말씀하신 방법은 내부자료 유출 가능성이 높지않나 싶습니다
두손 | 6달 전
말씀해주신 상황과 저희 환경이 손님용 SSID는 MAC을 통제하지 않는다는 것을 제외하면, 같은 것 같네요.
언급하신정도가 기본 구성이긴 합니다.
무선은 보안을 중요하다면 web proxy까지 구성되면 보안적으로는 더 안정적입니다.
무선도 AD와 연동해서 본인 ID/PWD 접속하게 하면 더 효율적이구요.
두손 | 6달 전
AD와 연동해서 개인 AD 계정으로 무선망 접속 시 로그인하도록 할 수도 있다는 사실은 몰랐는데 감사합니다. 이건 공유기 업체에도 해당 기능을 적용할 수 있는지 문의해봐야겠네요.
업무 망이라면...
내부 업무에 서버에 접속하고, 업무용 장치( 프린터, NAS 등 )에 접근 가능한 망을 의미하겠죠..?
업무 무선망은 AP를 브릿지 모드( AP 모드 )로 구성해서 사용하는 것이 좋을 것 같고요.
그리고, 업무용 무선망의 SSID는 숨김 처리해서 SSID를 알고 있고, 암호를 알고 있는 사람만이 등록할 수 있도록하고... 가급적이면 전산 담당자가 개별적으로 등록시켜 주는 방식으로 관리하는 것이 좋지 않을까 싶어 보이고요.
고객용 및 인터넷 용도의 무선망은 업무와는 별개의 회선으로 연결해서 고객용 WiFi에서 업무용 망에 접근 가능한 가능성 자체를 불가하게 해서 사용하는 것이 좋을 것 같고요.
AP를 라우터 모드(공유기 모드)로 해서 구동하는 것이 좋을 것 같네요.
두손 | 6달 전
올해 공유기 구매 사업을 통해 전사에 공유기를 교체해버린터라 조언해주신대로 회선 분리, 공유기 분리는 한참 후에 가능한 방안이 되겠습니다만 좋은 아이디어를 얻어갑니다. 감사합니다.
wansoo | 6달 전
회선은 공유기와 무관합니다.
서로 영향을 주지 않는 케이블을 끌어 와서 연결시켜 주는 것이 안전합니다.
별도의 인터넷 회선을 신청해서 구성하는 것이 안전하고, 안된다면 상단에서 분리 시키거나 VLAN 등으로 격리시켜서 서로의 트래픽이 오갈 수 없도록 구성해 주는 것이 안전합니다.
그리고 공유기의 AP모드, 브릿지모드는 공유기 설정에서 처리해 주면 되는 것이 되겠고요.
펌웨어에서 공유기 모드, 브릿지 모드를 설정할 수 있는 기능이 없을 경우라면...
공유기 모드는 유선 연결 케이블을 WAN 포트에 꽂아서 구성하면되고, 브릿지 모드는 유선 케이블을 LAN 포트에 꽂아서 구성하면 되겠고요.
사내망의 보안이라면, 무선이든 유선이든 NAC로 외부에서 허용된 단말기만 접속할수 있게 하면 됩니다.
그정도만 해도 비인가접속 차단은 가능하니 그 무선망으로 연결된 사용자에 대해서는 방화벽에서 내부의 모든시스템 접속이 아니라, 특정 시스템(서버)에만 접속할 수 있게 2차로 방화벽 정책으로 커버하면 될 것같습니다.
두손 | 6달 전
답변 감사드립니다.
망 접속 시 MAC으로 통제, 내부망 접근 시 NAC로 통제, 내부망 접속 후 방화벽으로 대상 시스템 통제 정도면 되는거였네요.
에이스퐝 | 6달 전
네. 그정도로 하면 될것같습니다. 완벽한 보안은 없지만 기본적인 보안이라도 하면.