생각만큼 인기 높지 않아…생산성에 영향 미치지 않는 정책 규정하는 것이 관건
이번 롤링 리뷰(Rolling Review)에서는 아웃오브밴드(out-of-band) NAC을 살펴보기로 한다.
도입 기획단계 업체 중 70%가 인라인 시스템 고려
이 제품들은 인밴드와는 달리 스위치 포트를 통해 네트워크로 부착되기 때문에 별도의 케이블 작업이 필요하지 않다. 모든 NAC 제품들과 마찬가지로, 아웃오브밴드 시스템은 액세스 정책을 보유하고 있으며 어떤 노드가 네트워크에 허용되어야 할지 판단하는 정책 서버를 채택하고 있다. 정책 서버는 집행 지점이 될 수 있으며 스위치나 방화벽이 액세스를 승인 또는 거부하도록 설정할 수 있다.
하지만 아웃오브밴드 NAC은 이미지상의 문제가 있는 것으로 보인다. 독자들을 대상으로 실시한 설문 조사 결과, NAC을 도입하는 기업 중 65%는 인라인 애플리케이션을 선호하고 있으며 50%가 아웃오브밴드 제품을 사용하고 있는 것으로 나타났다.
거의 모든 아웃오브밴드 네트워크 접근 제어 제품들은 가상 LAN이나 DHCP를 사용해 네트워크를 검역한다. 호스트가 처음 연결될 경우 네트워크 검역을 시작하며 보안 상태가 평가된다. 호스트가 평가를 통과하면 라이브 네트워크로 설정된다.
현재 기획 단계에 있는 기업들 중 거의 70%에 달하는 업체가 인라인 시스템을 고려하고 있는데 비해 아웃오브밴드 비율은 43%에 불과했다. 인포네틱스 리서치(Infonetics Research)의 최근 조사에 따르면, 55%의 기업들이 인라인 NAC 제품을 도입할 계획으로 나타났으며 출시되는 NAC 제품의 절반 이상이 인라인 어플라이언스일 것으로 예상했다.
스위치나 라우터에 대한 컨피규레이션 변경 등 설치 쉽지않아
단순히 PR을 잘못했기 때문일까? 그렇지 않다. 아웃오브밴드 NAC 제품은 다양한 집행 및 통합 옵션을 포함해 중앙에서 여러 네트워크를 관리할 수 있다는 점 등 많은 이점을 제공한다. 하지만 아웃오브밴드 NAC가 설치하기에 언제나 간단한 것은 아니다. 스위치나 라우터에 대한 컨피규레이션을 변경해야 하는 경우도 있으며 DHCP와 MAC 어드레스 등이 우회되어야 한다. 또한 침입 탐지 시스템과 네트워크 모니터링 플랫폼 등 써드 파티 툴과 통합하지 않을 경우 네트워크 접속 이후의 모니터링이 불가능하다.
호스트가 네트워크에 연결된 다음 특정 리소스에 대한 접근 제어가 필요할 경우 호스트나 사용자 기반의 방화벽 역할을 할 수 있는 인라인 NAC 어플라이언스가 효과적이다.
대부분의 아웃오브밴드 NAC 제품들이 네트워크에 대한 접근을 승인 및 거부하는데 제약을 두기 때문에 특정 IP 서브넷이나 가상 LAN을 통한 컴퓨터로의 접근도 고려해야 한다. HR 업무를 담당하는 사용자는 어디에서건 HR 애플리케이션에 접근할 수 있어야 하지만 엔지니어링 리소스에는 접근이 허용되어서는 안 된다.
일부 제품들의 경우 시스코시스템즈나 체크 포인트 등의 전용 방화벽과 통합이 가능하다. 아웃오브밴드 NAC은 최고의 집행 기술을 도입하도록 802.1X와 VLAN 스티어링, IP 서브넷 컨피규레이션 등 다양한 집행 방법을 제공한다.
802.1X 프로토콜
인포네틱스에 따르면, 2006년에 기업들은 NAC 예산의 3분의 2를 802.1X 스위치에 투자한 것으로 조사되었다. 2001년에 비준된 802.1X 프로토콜은 레이어 2 접근 제어 기제로, 사용자와 컴퓨터를 승인하며 포트의 개방 여부를 판단하고 네트워크에 대한 액세스를 결정한다.
영향 평가: 아웃오브밴드 NAC
장점 위험성
IT 부서 액세스를 제어함으로써 인증되지 않은 접근을 차단할 수 있다. 아웃오브밴드 NAC는 투명한 기술이지만 DHCP 조정이나 스위치, 라우터의 컨피규레이션을 변경해야 하는 경우가 있다. 어떤 형태의 NAC든지 잘못된 보안 감각을 초래할 가능성이 있다. 그 효용성은 기술 선택과 정책 규정이 제대로 이루어져야만 달성될 수 있다.
비즈니스 부서 공격에 노출될 가능성을 줄임으로써 법적인 문제나 규제에서 벗어날 수 있다. NAC는 보안에 영향을 끼칠 수 있다. 기술 선택에 신중해야 하며 규정된 정책과 통합되어야 한다.
비즈니스 경쟁력 아웃오브밴드 시스템은 다른 NAC 아키텍처보다 결코 뒤지지 않으며 기업 경쟁력 강화에 도움을 줄 수 있다. 엄격한 정책은 생산성을 저해할 우려가 있어 전략적인 경쟁력에도 악영향을 끼친다. 비즈니스 요구 사항과 보안 요구 사항이 적절히 조화를 이루는 것이 NAC에서 중요하다.
최종 평가
아웃오브밴드 NAC는 리소스에 대한 인증되지 않은 액세스를 차단하고 악성 컴퓨터가 네트워크나 서버에 침투하는 것을 막아줄 수 있다. 위험을 완화하고 생산성에 영향을 끼치지 않도록 정책을 규정하는 것이 관건이다.
호스트가 802.1X 스위치 포트에 연결될 경우, 잘못된 행위를 줄이기 위해 스위치하고만 커뮤니케이션한다. 반면에 DHCP 및 VLAN 스티어링을 비롯해 MAC 어드레스 관리 등 다른 아웃오브밴드 집행 방법은 정책을 집행하기 전에 호스트가 네트워크에 연결되어야 한다.802.1X의 최대 장점은 확장성에 있으며 호스트 정보를 정책 서버로 포워딩하는데 있어 TCG(Trusted Computing Group)의 Trusted Network Connect API가 사용하고 있는 방법이라는 것이다. 더욱이, 현대의 스위치에서 802.1X는 구성하기가 간단하다는 장점이 있다.
모든 호스트들이 적절히 구성된 802.1X 단말을 보유해야 하며 802.1X가 아닌 호스트를 지원해야 한다는 점이 관건이다. 일부 스위치들은 802.1X를 사용하는 것을 인증하지 않을 경우를 대비해 컨피규레이션이 가능한 포트를 디폴트로 제공하기도 한다.
VLAN 스티어링
802.1X 표준은 보안 요원이 건물의 출입을 통제하듯이 네트워크에 대한 접근을 제어하는데 효과적이다. 하지만 일단 내부로 들어오면 접근을 제어할 수가 없다는 것이 문제이다.
이러한 제약을 해결하기 위해 802.1X 집행은 NAC 정책을 토대로 특정 가상 LAN으로 호스트를 전환하는 VLAN 스티어링(steering)이 함께 적용되기도 한다. VLAN을 할당할 경우 인증 서버에서 스위치로 되돌아가서 포트가 해당 VLAN으로 배치된다. 802.1X가 재인증(reauthentication)을 허용하기 때문에, 802.1X를 사용하는 NAC 제품들은 호스트 상태가 변할 때마다 대응해야 한다.
재인증은 내부의 위협에 대응할 때 특히 유용하다. 악의적인 행위를 탐지하거나 호스트 상태의 변화를 감지하고 인증을 다시 집행함으로써 새로운 호스트의 평가가 이루어질 수 있다.
DHCP 관리는 그 자체로 사용되거나 VLAN 스티어링과 함께 사용되며 레이어 3에서의 액세스를 제한하기 위해 호스트의 IP 주소를 조작한다는 점에서 VLAN 스티어링과 유사하다.
NAC을 집행하는데 손쉬운 방법이긴 하지만 DHCP 관리가 자체적으로 사용될 경우 호스트의 IP 주소를 정적으로 설정함으로써 손쉽게 우회가 가능하다는 것이 제일 큰 단점이다. 최근의 스위치에서 구현되어 있는 보안 기능인 DHCP 스누핑(snooping)은 스위치가 DHCP의 요청과 응답을 모니터링하기 때문에 DHCP 관리를 대폭 강화해준다. DHCP 테이블 목록에 없는 호스트는 네트워크 접근이 허용되지 않아 정적인 IP 주소가 갖는 위협 요인을 제거해줄 수 있다.
아웃오브밴드 NAC 어플라이언스에서 요구되는 네트워크의 통합 수준은 사용되는 집행 방법이나 제품에 따라 다르다. 하지만 인라인 어플라이언스에 플러그인하는 것보다 다소 어렵다는 평가가 많다. 대부분의 컨피규레이션은 스위치단에서 이루어진다.
필수 정책
아웃오브밴드 NAC를 도입하는데 있어 액세스 정책을 규정하는 것은 접근 제어를 규정하는 것이 아니라 수용 가능한 호스트의 상태나 호스트와 관련된 내용을 규정하는 것이기 때문에 인밴드 시스템보다 훨씬 간단하다.
하지만 제품 분야가 성숙해짐에 따라 벤더간의 통합 작업도 활발해질 것으로 예상된다. 인라인 NAC 벤더들은 모든 패킷에서 활동하도록 포지셔닝되어 있기 때문에 침입 탐지와 트래픽 모니터링이 가능하다. 반면에 아웃오브밴드 NAC 벤더는 호스트 상태의 정보와 IDS 이벤트를 입력하기 위해 외장형 시스템이 필요하다. 이러한 수준의 통합은 아직 표준화가 완료되지 않았고 통합이 일부 제품에 국한되어 있다.
다른 네트워크 인프라 장비와 마찬가지로, 아웃오브밴드 NAC 역시 리던던시가 요구된다. 인증이나 VLAN 할당, IP 주소 관리 등과 같은 중요한 서비스에 장애가 발생할 경우를 대비해 인라인 제품과 같은 수준의 리던던시와 복구 기능을 갖추고 있어야 한다.
아웃오브밴드 NAC 롤링 리뷰
대상
이번 롤링 리뷰는 네트워크의 대역폭 외부에 설치되고 NAC 정책을 평가 및 집행하는 NAC 제품에 초점을 맞추었다. 대중에게 공개되어 있는 컨퍼런스 룸이나 매니지드 컴퓨터와 원격지 근로자들이 위치한 사이트에서의 내부 네트워크 등 몇몇 일반적인 시나리오 상에서 테스트했으며 정책 개발과 기존 인프라 및 서비스와의 통합 수준, 관리와 컨피규레이션 등의 범주에 따라 평가되었다.
테스트베드
윈도우 XP와 윈도우 비스타, 맥 OS X 워크스테이션을 사용해 테스트할 계획이다. 일부 워크스테이션은 게스트 컴퓨터로 사용되며 리눅스 서버 등도 포함하게 된다.
네트워크 전체에 802.1Q VLAN을 사용하며 VLAN 사이의 트래픽이 라우팅된다. 이러한 시나리오에서, 액세스 스위치는 전송 스위치에 대해 802.1Q 업링크 트렁크를 사용하게 된다.
액티브 디렉토리 서버는 AD와 Radius (IAS), DNS, DHCP 서비스를 제공하게 된다. 또한 시스템과 애플리케이션 업데이트를 위한 업데이트 서버도 갖추고 있다.
AD 도메인에 있는 컴퓨터에 클라이언트 소프트웨어를 설치할 것이지만 게스트 컴퓨터에는 에이전트를 설치하지 않을 것이다. 다양한 정책 유형을 테스트해볼 방침이다.
워크스테이션 그룹 구현을 위한 목표와 컨피규레이션 가이드라인을 아우르는 일련의 공통된 정책을 디자인할 것이다. 일부 호스트는 정책을 따르지만 그렇지 않은 호스트도 있게 된다. 또한 일부 호스트는 알려진 악성 소프트웨어에 감염될 것이며 악성 행위에 대한 사인을 보여주는 호스트도 있을 것이다. 두 상황에서 정책 위반에 대한 호스트의 행동 결과를 알아보고 평가를 내릴 예정이다.
벤더들
20개의 벤더들에게 참가해줄 것을 요청했다. 벤더들 목록은 다음과 같다:
AEP Networks, Array Networks, Bradford Networks, Cisco Systems, Enterasys Networks, FireEye, Forescout Technologies, Identity Engines, Impulse Point, InfoExpress, Insightix, Juniper Networks, Lockdown Networks, Nortel Networks, Senforce Technologies, Sophos, StillSecure, Symantec, TippingPoint, Trend Micro.
전제
롤링 리뷰(Rolling Reviews)는 시장 분석 등을 포함하고 있는, 최근 이슈가 되고 있는 기술에 대한 종합적인 평가이다.
InformationWeek USA
Webmaster@itdaily.kr