2015년 9월 7일 ISEC에서 발표한 802.1X 사례 발표자료입니다.
802.1X 적용을 고려하고 있는 분들은 참고하세요~
발표자료에 대한 구체적인 구현 방법은 "네트워크 접근통제 시스템 구축"과 "무선 네트워크 리모델링"을 참고해주세요.
- 네트워크 접근통제 시스템 구축: http://www.yes24.com/24/goods/15899949?scode=032&OzSrank=1
- 무선 네트워크 리모델링: http://www.yes24.com/24/Goods/38467332?Acode=101
No trade-offs: 안전하고, 빠르고, 안정적인 네트워크 구축하기 / Building secure, fast, and reliabl...
802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)
1. 802.1X &
NETWORK DYNAMICS
Michael Min Choul Lee
(IT Manager, Bethesda MedicalCenter - Uganda)
way.of.cross@gmail.com
The Next Generation
Network Design and Access Control
차세대 정보보안을 위한 동적 네트워크
환경 구성과 접근통제
9. 설계사상
유무선 네트워크 특징
무선네트워크유선네트워크
할당방법
사용목적
고정 IP 주소 할당
(관리자 지정)
내부 업무 시스템 접속
동적 IP 주소 할당
(DHCP)
인터넷 서비스 접속
인증절차
네트워크 접속 후
사용자 인증
사용자 인증 후
네트워크 접속 허용
IP 주소 추척성
미인가 사용자의
네트워크 접속 차단
10. 네트워크 연결 과정
무선네트워크유선네트워크
정적 VLAN 할당(건물/층)
IP 주소 할당(DHCP/Static)
네트워크 접속 제한(NAC)
사용자 인증 및 헬스체크
네트워크 연결 허용
정적 VLAN 할당(SSID)
Wi-Fi 접속 사용자 인증
IP 주소 할당(DHCP)
사용자 인증 및 헬스체크
네트워크 연결 허용
20. 동적 네트워크?
q 정적 네트워크
• 유형, 물리적 장소와 위치를 기준으로 네트워크
세그먼트(VLAN)를 결정
• VLAN과 IP 주소를 고정으로 할당
q 동적 네트워크
• 네트워크의 유형에 관계없이 업무의 특성과, 사용자의 역할에
의해 네트워크 세그먼트를 설계
• 수행업무, 근무부서, 권한 또는 단말기 유형 같은 사용자의
조건에 따라 가변적으로 VLAN을 할당
• VLAN에 따라 IP 주소도 동적으로 할당
21. 네트워크 연결 과정
유무선네트워크(구분 불필요)
사용자 인증
스위치 포트 접속 허용
VLAN 할당(Dynamic)
IP 주소 할당(DHCP)
권한별 네트워크
접근통제
사용자 식별자 또는 단말기 주소기반 인증 수행
네트워크 연결을 위한 스위치 포트 접속 허용
사용자 권한에 따른 접속 VLAN 할당
DHCP를 이용한 고정 IP 주소 할당
액세스 포트, 네트워크 단위의 접근통제 수행
22. 네트워크 비교
구 분 정적 네트워크 동적 네트워크
VLAN 설계 기준 공간(건물, 층) 단위 업무, 역할
VLAN 할당 방식 정적/수동/인증 전 할당 동적/자동/인증 후 할당
IP 주소 할당 방식 정적/동적(DHCP) 동적(DHCP)
네트워크 분리 유무선 분리 운영 유무선 통합 운영
단말기 이동성 동일 VLAN으로 제한 자유로운 이동성 보장
25. 동적 네트워크 구현 방법
동적 VLAN 할당
q VMPS(VLAN Membership Policy Server)
• VMPS에 해당 단말기의 맥 주소와 할당할 VLAN을 등록
• 네트워크에 접속한 단말기의 맥(Mac)주소를 VMPS에서
확인하고, 등록된 맥 주소이면 사전에 등록한 VLAN 할당
• 비교적 간단한 방법이지만, 맥 주소와 할당 VLAN을 매번
등록해주어야 하는 불편함이 있음.
q SNMP(Simple Network Management Protocol)
• SNMP Trap 이벤트와 SNMP MIB(Management Information
Base)와 OID(Object Identifier)를 이용하여 개별 스위치 포트
에 할당된 VLAN을 강제로 변경
26. 동적 네트워크 구현 방법
동적 VLAN 할당
q IEEE 802.1X
• 사용자 인증, 동적 VLAN 할당 등을 포함한 동적 네트워크
구현에 필요한 전체적인 프레임 워크를 제공
35. 인가(Authorization)
네트워크 연결 허용
q 스위치 포트에 대한 접근 또는 AP에 대한 Association 허용
스위치 포트 제어를 위한 속성 정보 할당
q VLAN을 스위치 포트 또는 SSID에 사전에 할당하지 않고,
단말기의
네트워크 연결 시점에 사용자의 조건에 따라 가변적으로 할당
q 네트워크 접근통제리스트(ACLs)을 각각의 스위치 포트 또는
Association에 가변적으로 할당하여, 포트 레벨에서 접근통제
수행
허가된 권한에 따라 접속이 허용된 네트워크를 할당한다.
36. 과금(Accounting)
사용자의 네트워크 사용 정보 기록(FreeRadius)
항목이름 내 용
username 802.1X 인증을 통과한 사용자 ID 또는 단말기 맥주소
nasipaddress 사용자 단말기가 접속된 스위치 IP주소
nasportid 스위치 포트번호
nasporttype 스위치 포트 유형(Ethernet, Wireless-802.11 등)
acctstarttime 단말기의 스위치 연결 시작일시
acctstoptime 단말기의 스위치 연결 종료일시
acctsessiontime 총 연결 시간(초)
acctinputoctets 단말기에서 스위치로 입려된 데이터 용량(byte)
acctoutputoctets 스위치에서 단말기로 전송된 데이터 용량(byte)
calledstationid 단말기가 접속된 스위치 맥주소
callingstationid 단말기 맥주소
38. 802.1X의 비애
q 시대를 잘 못 탔다.
q HW와 SW 제조사의 지원이 없었다.
• 네트워크 제조사의 지원은 Cisco가 유일
• Microsoft 윈도우 XP 조차도 SP3(2008)부터 지원 시작
q 구축 절차가 복잡했다.
• 단말기, 스위치, 인증서버간 연계가 필요
• 가이드나 도큐먼트가 부족했다
39. 802.1X의 희망
q 모든 HW와 SW 제조사가 지원한다.
• 거의 모든 네트워크 장비에서 802.1X를 지원
• 거의 모든 운영체제에서 802.1X 인증 기능 포함
• 다양한 솔루션 출시(Cisco, Aruba, Juniper, 유넷시스템 등)
• 상용 솔루션 뿐만 아니라 다양한 오픈소스 제품이 존재
q 해외에서는 이미 도입 확대되고 있음
• 미국 정부기관은 802.1X 적용 의무화 추진(STIG)
• 가트너 조사결과 70%이상 도입할것으로 예측(2011년 기준)
40. 802.1X 적용 고려사항
q 도입을 위한 명분 필요
q DHCP 기반의 IP 주소관리 적용
q 사용자 불편 최소화
• 전사 네트워크 재구축 수준의 노력이 요구됨
• 경영진의 지지와 후원을 확보해야 함
• 서비스의 성패는 사용자의 만족도에 의해 좌우됨
• 사용자 가이드 제작과 배포, 콜센터 설치를 통한 사용자 지원
42. 사례 개요
q 대상기관: 인천 K 연구소
q 구축기간: 2012.04 ~ 2013.04
• IEEE 802.1X 및 Radius 이해: ~ 2012.12
• 시스템 설계 및 구축: ~ 2013.04
q 구축예산: 약 10,000천원
• 윈도우용 프로파일 배포 솔루션: 5,000 천원
• 인증서버 2대(이중화 구성): 5,000 천원
* 오픈소스 사용과 자체 개발로 구축비용 최소화
q 적용범위: 전사 유무선네트워크
43. 구축 내용
q 총 8개의 시나리오로 구성
11.. DHCP를 사용한 고정 IP주소 할당
22.. IP주소 할당 이전에 사용자 인증 수행
33.. 맥(Mac)주소 인증으로 사용자 인증 대체
44.. 업무 특성에 따른 접근통제
55.. 인사 변동에 따른 접근통제
66.. 캡티브 포털을 통한 802.1X 프로파일 배포
77.. 장기 미사용 단말기 인증 해제
88.. 위치(연구소/기숙사)에 따른 접근통제
44. 기숙사연구소
Backbone Switch
(NAS_BB)
인증 � DHCP 서버
Access Switch
(NAS_BD_11F)
테스트용 노트북
Gateway Switch
NAS_GW_2
Access Switch
(NAS_BD_21F)
테스트용 노트북
Gateway Switch
(NAS_GW_1) ISP A ISP
B
물리적 연결 경로
데이터 통신 경로
802.1x 인증 및 IP관리 경로
서버팜 스위치
(행정/지원용)
서버팜 스위치
(연구용)
접근 통제 정책
Switch
(NAS_NEGO)
캡티브 포털
시나리오 배경
네트워크 구성 개념도
45. 시나리오 1.
DHCP를 사용한 고정 IP주소 할당
백본 스위치 DHCP 서버
액세스 스위치 무선 AP
부서: 행정부
VLAN: 100
IP: 172.16.100.5
부서: 연구부
VLAN: 110
IP: 172.16.110.5
부서: 정보부
VLAN: 120
IP: 172.16.120.5
부서: 행정부
VLAN: 100
IP: 172.16.100.15
부서: 연구부
VLAN: 110
IP: 172.16.110.15
부서: 정보부
VLAN: 120
IP: 172.16.120.15
• 사내에서는 언제, 어디서나 처음에 할당받은 IP 주소를 지속적으로 할당
• 근무위치, 소속부서 등의 변경에 따른 IP 주소 변경 불필요
46. 시나리오 1.
DHCP를 사용한 고정 IP주소 할당
DHCP 서버
IP주소 할당 내역
dhcpd.conf
host hostname_001
{
hardware ethernet 00:08:ca:ae:a5:07
fixed-address 192.168.10.1
}
① IP주소 할당
② 할당내역 기록
③ 환경설정
변경
④ DHCP 서비스 재시작
47. 시나리오 2.
IP 주소 할당 이전에 사용자 인증 수행
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
① 사용자 인증정보 요청
② 인증정보 입력
③ 인증서버에 인증 요청
④ 인증결과 통보 및 사용자에게 배정된 VLAN 할당
⑤ VLAN에 할당된 IP 요청
⑥ IP 할당
48. 시나리오 2.
IP 주소 할당 이전에 사용자 인증 수행
q 802.1X를 적용 하면 끝!
802.1X 사용자 인증
네트워크(VLAN) 할당
IP 주소 할당
49. ① 단말기의 맥(Mac) 주소 요청
② 맥 주소 전송
③ 인증서버에 맥 주소 인증 요청
④ 인증결과 통보 및 사용자에게 지정된 VLAN 할당
⑤ VLAN에 할당된 IP 주소 요청
⑥ IP 주소 할당
시나리오 3.
Mac 주소 인증으로 사용자 인증 대체
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
50. 시나리오 3.
Mac 주소 인증으로 사용자 인증 대체
q MAB(Mac Authentication Bypass) 활성화
q 인증 우선순위 조절
• 사용자 계정 인증과 MAB의 순서를 자유롭게 변경 가능
• MAC 주소 인증을 위해 MAB를 첫 번째 인증 순서로 설정
인증서버
(Authentication Server)
(aa:bb:cc:dd:ee:ff)
① 인증 정보 요청
② ID와 PW로 Mac 주소 제공
③ 단말기 인증
51. 시나리오 4.
업무 특성에 따른 접근통제
구분 행정시스템 연구시스템 네트워크 장비 보안장비 인터넷
행정/지원부서 O X X X O
연구부서 O O X X O
유지관리업체 X X O O X
방문자 X X X X O
정보화부서 O O O O O
구분 네트워크 장비 방화벽장비 NAC장비 DDoS 장비 NMS
네트워크 업체 O X X X X
방화벽 및 NAC X O O X X
DDoS 업체 X X X O X
NMS 업체 O X X X O
유지보수 업체의 담당 업무에 따라 VLAN을 할당하고 VLAN에 따라 네트워크 및 시스템 접근 정책 차별
부서별로 VLAN을 다르게 할당하고 VLAN에 따른 네트워크 및 시스템 접근 정책 적용
52. 시나리오 4.
업무 특성에 따른 접근통제
ACL
행정/지원부
서
VLAN
연구부서
VLAN
정보화부서
VLAN
방문자
VLAN
정보화부서
VLAN
네트워크
장비
VLAN
행정 서버팜
VLAN
연구 서버팜
VLAN
53. 시나리오 5.
인사 변동에 따른 접근통제 - 퇴직
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
근무중인 연구원 A씨의 단말기 퇴직한 연구원 B씨의 단말기
퇴직자가 사용하던 모든 단말기는
퇴직처리 후 일정 시간(1시간)이 지나면
네트워크 접속을 자동으로 차단
54. 시나리오 5.
인사 변동에 따른 접근통제 - 퇴직
인사 DB 인증서버
① 퇴직자 확인
퇴직자 : 홍길동, 강감찬
② 네트워크 연결 차단
(SNMP 명령 활용)
User
ID Card ID Mac Address NAS
IP Port
ID
50011 홍길동 b8:97:5a:36:0a:fa 172.16.10.11 23
50011 홍길동 e8:11:32:30:e9:6a 172.16.10.12 01
50034 강감찬 74:46:a0:ab:d2:20 172.16.10.11 37
50034 강감찬 a8:17:b4:c2:a3:82 172.16.10.12 01
55. 시나리오 5.
인사 변동에 따른 접근통제 - 부서변경
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
연구부서에 근무하는 A씨의 단말기 행정부서에 근무하는 A씨의 단말기
근무부서가 변경되면, 사전에 정의된
정책에 의해 사용자의 시스템 접근권한
자동 변경
부서
변경
56. 시나리오 6.
캡티브 포털을 통한 802.1X Profile 배포
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
① 사용자 인증정보 요청
② 인증정보 입력
③ 인증서버에 인증 요청
④ 인증 실패 VLAN 할당
⑤ 캡티브 포털 접속용 IP 주소 할당 요
⑥ 캡티브 포털 접속용 IP 주소 할당
⑦ 캡티브 포털 접속 및 프로파일 설치
캡티브
포털
운영체제별
802.1X 인증환경 구성
프로파일 배포
신규 설치 단말기
⑦
57. 시나리오 7.
장기 미사용 단말기 인증 해제
백본 스위치
액세스 스위치
인증서버
①②
③
④
⑤
① 사용자 인증정보 요청
② 인증정보 입력
③ 인증서버에 인증 요청
④장기 미사용 단말기 여부 판단 및 VLAN
결정
• 과금(Accounting)정보의 최종 접속 시간과
현재 접속 시간을 비교하여 장기미사용 여부
판단
• 장기 미사용 단말기로 판단되면, 캡티브 포털
접속만 허용되는 VLAN 할당을 결정
⑤ 장기 미사용 VLAN 할당
• 해당 단말기는 관리자의 승인이전 까지
정상적인 네트워크 접근 차단장기 미사용 단말기
58. 시나리오 8.
위치(연구소/기숙사)에 따른 접근통제
ISP A ISP B
연구소
사용자 단말기
기숙사
백본 스위치
액세스 스위치
게이트웨이 인증서버
DHCP 서버
액세스 스위치
게이트웨이
연계 스위치
[연구소에서 접속할 때]
• VLAN ID : 100
• IP : 172.16.100.10
[기숙사에서 접속할 때]
• VLAN ID : 200
• IP : 172.16.200.128
• 연구소, 기숙사에 관계없이 모든 단말기는 802.1X 인증을 수행한다.
• 기숙사에서는 ISP B를 이용한 인터넷 접속만 가능하며, 연구소 접속은 불가능하
62. 802.1X가 제공하는 것
• 단말기 사용자 ID
• 단말기 Mac & IP 주소
• 단말기 접속 네트워크(유/무선)
• 단말기 접속 위치(스위치 관리 IP 주소와 포트번호)
• 단말기 설치 운영체제 종류
• 단말기의 네트워크 연결 및 종료 시간
• 단말기의 인/아웃바운드 트래픽 용량
q 정보…
q 동적 네트워크 할당과 접근제어…
63. 응용은 광범위하게
q 아이덴티티 방화벽 구성
q 단말기 사용 현황 및 위치 시각화
q 응용시스템 통제 기반으로 활용
• 온라인 의무교육 미 이수자는 온라인 교육 이수시까지 네트워크 접속 차단
• 네트워크(VLAN)기반 응용시스템 권한 설계 및 적용
q BYOD 유형별 접근통제
• 직급에 따라 스마트폰, 태블릿을 사용한 네트워크 및 시스템 접근제한
64. 결 론
q 미국 정부에서는…
보안기술구현가이드(Security
Technical Implementation Guide, STIG)
의무적으로 802.1X를 적용
• 802.1X 도입 이유에 대한 고민
• 미국의 국방정보체계국(Defense Information System Agency, DISA)과 국방
부(Department of Defense, DOD)는 보안기술구현가이드(Security
Technical Implementation Guide, STIG)를 통해 모든 정부기관의
네트워크에는 의무적으로 802.1X를 적용하여 미인가 IT 기기의 네트워
크 접근을 원천적으로 차단하도록 하고 있음
(http://www.stigviewer.com/stig/perimeter_l3_switch/2015-04-06/finding/V-5626)
• 802.1X 도입 이유에 대한 고민이 필요한 시점임
q 두 개의 무기… 어떻게 하시겠습니까?
• 사용자 프로파일
• 자유로운 네트워크(VLAN) 변경과 통제
• 사용자 프로파일 : 사용자 ID, IP/Mac 주소, 단말기 사용위치, 운영체제
종류 등
• 자유로운 네트워크(VLAN) 변경과 통제