802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)

802.1X &
NETWORK DYNAMICS
Michael Min Choul Lee
(IT Manager, Bethesda MedicalCenter - Uganda)
way.of.cross@gmail.com
The Next Generation
Network Design and Access Control
차세대 정보보안을 위한 동적 네트워크
환경 구성과 접근통제

무엇을
고민하고 있나요?
네트워크 또는 정보보안 업무를 수행하면서
고민했던 사항들을 털어놔봅시다.

저의 고민의 중심에는
IP주소관리
가 있었습니다.

IP 주소 관리
잘 하고 있다고 생각하나요?
http://cdn2.hubspot.net/hub/344654/file-2512594106-jpg/iStock_000020730459XLarge.jpg?t=1426098313566
70% 그렇다.
30% 그렇지 않다.

전통적인
네트워크를
살펴보겠습니다.

4층
3층
2층
1층
Wireless LAN Controller
Backbone Switch
물리적 네트워크 구성
Access Switch
Access Switch
Access Switch
Access Switch
AP
AP
AP
AP
Control

1F
2F
3F
4F
무선네트워크유선네트워크
VLAN 140
172.16.140.0/24
VLAN 110
172.16.110.0/24
VLAN 130
172.16.130.0/24
VLAN 120
172.16.120.0/24
SSID:EMPLOYEE
VLAN210
172.16.210.0/24
SSID:GUEST
VLAN220
172.16.220.0/24
VLAN 구성

설계사상
유무선 네트워크 특징
할당방법
사용목적
고정 IP 주소 할당
(관리자 지정)
내부 업무 시스템 접속
동적 IP 주소 할당
(DHCP)
인터넷 서비스 접속
인증절차
네트워크 접속 후
사용자 인증
사용자 인증 후
네트워크 접속 허용
IP 주소 추척성
미인가 사용자의
네트워크 접속 차단

네트워크 연결 과정
정적 VLAN 할당(건물/층)
IP 주소 할당(DHCP/Static)
네트워크 접속 제한(NAC)
사용자 인증 및 헬스체크
네트워크 연결 허용
정적 VLAN 할당(SSID)
Wi-Fi 접속 사용자 인증
IP 주소 할당(DHCP)
사용자 인증 및 헬스체크

어떤
문제가 있을까요?
어떤
문제가 있을까요?

경!직!성!
q 유무선 네트워크 분리 구성
q VLAN 설계와 구성의 경직성
q IP 주소 할당의 경직성

http://blog.creditreport.com/wp-content/uploads/2013/11/Preserving-Your-Credit-after-a-Natural-Disaster.jpg
이런 상황이 닥치면…
IP 주소 변경 관리와 단말기 사용자 관리IP 주소 변경 관리와 단말기 사용자 관리
조직개편으로 많은 직원이 자리를 옮기는데…
퇴직자 사용 단말기의 네트워크 접속을 차단하라는데…
BYOD 도입을 위해 접근통제를 강화하라는데…
단말기 실제 사용자를 관리하라는데…
물리적 네트워크 구성 변경이 필요한데…

明暗
사용자 기반 정책
응용프로그램식별
컨텐츠 식별
Are You
Ready?

차세대 방화벽 도입 준비
“프로파일링”
어떤 사용자가
어떤 단말기를
어떤 IP 주소를 사용하는가?

현재의 방법으로
확보 가능하다고
믿고있습니까?

The Road Not Taken
Robert
Lee
Frost
(1874-‐1963)
차세대에 적합한
차세대 인프라가

동적 네트워크?
q 정적 네트워크
• 유형, 물리적 장소와 위치를 기준으로 네트워크
세그먼트(VLAN)를 결정
• VLAN과 IP 주소를 고정으로 할당
q 동적 네트워크
• 네트워크의 유형에 관계없이 업무의 특성과, 사용자의 역할에
의해 네트워크 세그먼트를 설계
• 수행업무, 근무부서, 권한 또는 단말기 유형 같은 사용자의
조건에 따라 가변적으로 VLAN을 할당
• VLAN에 따라 IP 주소도 동적으로 할당

네트워크 연결 과정
유무선네트워크(구분 불필요)
사용자 인증
스위치 포트 접속 허용
VLAN 할당(Dynamic)
IP 주소 할당(DHCP)
권한별 네트워크
접근통제
사용자 식별자 또는 단말기 주소기반 인증 수행
네트워크 연결을 위한 스위치 포트 접속 허용
사용자 권한에 따른 접속 VLAN 할당
DHCP를 이용한 고정 IP 주소 할당
액세스 포트, 네트워크 단위의 접근통제 수행

네트워크 비교
구 분 정적 네트워크 동적 네트워크
VLAN 설계 기준 공간(건물, 층) 단위 업무, 역할
VLAN 할당 방식 정적/수동/인증 전 할당 동적/자동/인증 후 할당
IP 주소 할당 방식 정적/동적(DHCP) 동적(DHCP)
네트워크 분리 유무선 분리 운영 유무선 통합 운영
단말기 이동성 동일 VLAN으로 제한 자유로운 이동성 보장

SSID
1F
2F
3F
4F
유무선네트워크(구분 불필요)
VLAN110
172.16.110.0/24
인사팀
VLAN120
172.16.120.0/24
총무팀
VLAN130
172.16.130.0/24
기획팀
VLAN140
172.16.140.0/24
홍보팀
VLAN200
172.16.200.0/24
방문자
GUESTEMPLOYEE
동적 네트워크 설계

동적 네트워크 구현 방법
동적 VLAN 할당
동적 IP 주소 할당

동적 VLAN 할당
q VMPS(VLAN Membership Policy Server)
• VMPS에 해당 단말기의 맥 주소와 할당할 VLAN을 등록
• 네트워크에 접속한 단말기의 맥(Mac)주소를 VMPS에서
확인하고, 등록된 맥 주소이면 사전에 등록한 VLAN 할당
• 비교적 간단한 방법이지만, 맥 주소와 할당 VLAN을 매번
등록해주어야 하는 불편함이 있음.
q SNMP(Simple Network Management Protocol)
• SNMP Trap 이벤트와 SNMP MIB(Management Information
Base)와 OID(Object Identifier)를 이용하여 개별 스위치 포트
에 할당된 VLAN을 강제로 변경

동적 VLAN 할당
q IEEE 802.1X
• 사용자 인증, 동적 VLAN 할당 등을 포함한 동적 네트워크
구현에 필요한 전체적인 프레임 워크를 제공

IEEE 802.1X
q 포트기반 네트워크 접근통제
(Port based Network Access Control)
q 포트기반 인증
(Port based Authentication)
q 2001년 최초 표준화
(이후 2004년, 2010년 개정)

802.1X에 대한 오해
무선전용이다.
인증시스템이다.

802.1X vs. NAC
802.1X: 출입국관리사무소 NAC: 경찰
• 출입국관리사무소와 경찰은 서로 위치에서 대한민국을 지키는 역할을
상호 보완적으로 수행한다.
• 802.1X와 NAC도 네트워크 접근통제에 있어서 경쟁관계가 아닌 상호
보완적이다.

http://www.desktopwallpaperhd.net/wallpapers/9/6/applause-hands-smoke-creative-91094.jpg
새로운
패러다임
802.1X는

요청자
(Supplicant)
인증자
(Authenticator)
인증서버
(Authentication Server)
802.1X는 요청자, 인증자, 인증서버의 3요소로 구성된다.
구성요소

q 인증(Authentication)
q 인가(Authorization)
q 과금(Accounting)
802.1X의 기능

인증(Authentication)
맥주소
(1a:0f:3a:c1:22:bb)
User ID & Password
Certificate
SIM
OTP
생체인식
…
사용자 인증
(User Authentication)
단말기 인증
(Device Authentication)
접근이 허가된 사용자 인지를 확인한다.

인가(Authorization)
q 스위치 포트에 대한 접근 또는 AP에 대한 Association 허용
스위치 포트 제어를 위한 속성 정보 할당
q VLAN을 스위치 포트 또는 SSID에 사전에 할당하지 않고,
단말기의
네트워크 연결 시점에 사용자의 조건에 따라 가변적으로 할당
q 네트워크 접근통제리스트(ACLs)을 각각의 스위치 포트 또는
Association에 가변적으로 할당하여, 포트 레벨에서 접근통제
수행
허가된 권한에 따라 접속이 허용된 네트워크를 할당한다.

과금(Accounting)
사용자의 네트워크 사용 정보 기록(FreeRadius)
항목이름 내 용
username 802.1X 인증을 통과한 사용자 ID 또는 단말기 맥주소
nasipaddress 사용자 단말기가 접속된 스위치 IP주소
nasportid 스위치 포트번호
nasporttype 스위치 포트 유형(Ethernet, Wireless-802.11 등)
acctstarttime 단말기의 스위치 연결 시작일시
acctstoptime 단말기의 스위치 연결 종료일시
acctsessiontime 총 연결 시간(초)
acctinputoctets 단말기에서 스위치로 입려된 데이터 용량(byte)
acctoutputoctets 스위치에서 단말기로 전송된 데이터 용량(byte)
calledstationid 단말기가 접속된 스위치 맥주소
callingstationid 단말기 맥주소

요청자
802.1X 인증 절차
인증자 인증서버
EAPOL Start
EAP-Request Identity
EAP-Response Identity
RADIUS Access Request
EAP Success RADIUS Access-Accept
EAPOL Logoff / Disconnect
Initiation
Authentication
Authorization
Termination
EAPOL RADIUS
Multiple
Challenge-‐
Request
Exchanges
Possible
RADIUS Access-Challenge
EAP-Request: TLS
EAP-Response: TLS Client Hello
RADIUS Access Request
Port Unauthorized
Port Authorized
Port Unauthorized

802.1X의 비애
q 시대를 잘 못 탔다.
q HW와 SW 제조사의 지원이 없었다.
• 네트워크 제조사의 지원은 Cisco가 유일
• Microsoft 윈도우 XP 조차도 SP3(2008)부터 지원 시작
q 구축 절차가 복잡했다.
• 단말기, 스위치, 인증서버간 연계가 필요
• 가이드나 도큐먼트가 부족했다

802.1X의 희망
q 모든 HW와 SW 제조사가 지원한다.
• 거의 모든 네트워크 장비에서 802.1X를 지원
• 거의 모든 운영체제에서 802.1X 인증 기능 포함
• 다양한 솔루션 출시(Cisco, Aruba, Juniper, 유넷시스템 등)
• 상용 솔루션 뿐만 아니라 다양한 오픈소스 제품이 존재
q 해외에서는 이미 도입 확대되고 있음
• 미국 정부기관은 802.1X 적용 의무화 추진(STIG)
• 가트너 조사결과 70%이상 도입할것으로 예측(2011년 기준)

802.1X 적용 고려사항
q 도입을 위한 명분 필요
q DHCP 기반의 IP 주소관리 적용
q 사용자 불편 최소화
• 전사 네트워크 재구축 수준의 노력이 요구됨
• 경영진의 지지와 후원을 확보해야 함
• 서비스의 성패는 사용자의 만족도에 의해 좌우됨
• 사용자 가이드 제작과 배포, 콜센터 설치를 통한 사용자 지원

사례 개요
q 대상기관: 인천 K 연구소
q 구축기간: 2012.04 ~ 2013.04
• IEEE 802.1X 및 Radius 이해: ~ 2012.12
• 시스템 설계 및 구축: ~ 2013.04
q 구축예산: 약 10,000천원
• 윈도우용 프로파일 배포 솔루션: 5,000 천원
• 인증서버 2대(이중화 구성): 5,000 천원
* 오픈소스 사용과 자체 개발로 구축비용 최소화
q 적용범위: 전사 유무선네트워크

구축 내용
q 총 8개의 시나리오로 구성
11.. DHCP를 사용한 고정 IP주소 할당
22.. IP주소 할당 이전에 사용자 인증 수행
33.. 맥(Mac)주소 인증으로 사용자 인증 대체
44.. 업무 특성에 따른 접근통제
55.. 인사 변동에 따른 접근통제
66.. 캡티브 포털을 통한 802.1X 프로파일 배포
77.. 장기 미사용 단말기 인증 해제
88.. 위치(연구소/기숙사)에 따른 접근통제

기숙사연구소
Backbone Switch
(NAS_BB)
인증 � DHCP 서버
Access Switch
(NAS_BD_11F)
테스트용 노트북
Gateway Switch
NAS_GW_2
Access Switch
(NAS_BD_21F)
테스트용 노트북
Gateway Switch
(NAS_GW_1) ISP A ISP
B
물리적 연결 경로
데이터 통신 경로
802.1x 인증 및 IP관리 경로
서버팜 스위치
(행정/지원용)
서버팜 스위치
(연구용)
접근 통제 정책
Switch
(NAS_NEGO)
캡티브 포털
시나리오 배경
네트워크 구성 개념도

시나리오 1.
DHCP를 사용한 고정 IP주소 할당
백본 스위치 DHCP 서버
액세스 스위치 무선 AP
부서: 행정부
VLAN: 100
IP: 172.16.100.5
부서: 연구부
VLAN: 110
IP: 172.16.110.5
부서: 정보부
VLAN: 120
IP: 172.16.120.5
부서: 행정부
VLAN: 100
IP: 172.16.100.15
부서: 연구부
VLAN: 110
IP: 172.16.110.15
부서: 정보부
VLAN: 120
IP: 172.16.120.15
• 사내에서는 언제, 어디서나 처음에 할당받은 IP 주소를 지속적으로 할당
• 근무위치, 소속부서 등의 변경에 따른 IP 주소 변경 불필요

시나리오 1.
DHCP를 사용한 고정 IP주소 할당
DHCP 서버
IP주소 할당 내역
dhcpd.conf
host hostname_001
{
hardware ethernet 00:08:ca:ae:a5:07
fixed-address 192.168.10.1
}
① IP주소 할당
② 할당내역 기록
③ 환경설정
변경
④ DHCP 서비스 재시작

시나리오 2.
IP 주소 할당 이전에 사용자 인증 수행
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
① 사용자 인증정보 요청
② 인증정보 입력
③ 인증서버에 인증 요청
④ 인증결과 통보 및 사용자에게 배정된 VLAN 할당
⑤ VLAN에 할당된 IP 요청
⑥ IP 할당

시나리오 2.
IP 주소 할당 이전에 사용자 인증 수행
q 802.1X를 적용 하면 끝!
802.1X 사용자 인증
네트워크(VLAN) 할당
IP 주소 할당

① 단말기의 맥(Mac) 주소 요청
② 맥 주소 전송
③ 인증서버에 맥 주소 인증 요청
④ 인증결과 통보 및 사용자에게 지정된 VLAN 할당
⑤ VLAN에 할당된 IP 주소 요청
⑥ IP 주소 할당
시나리오 3.
Mac 주소 인증으로 사용자 인증 대체
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥

시나리오 3.
Mac 주소 인증으로 사용자 인증 대체
q MAB(Mac Authentication Bypass) 활성화
q 인증 우선순위 조절
• 사용자 계정 인증과 MAB의 순서를 자유롭게 변경 가능
• MAC 주소 인증을 위해 MAB를 첫 번째 인증 순서로 설정
인증서버
(Authentication Server)
(aa:bb:cc:dd:ee:ff)
① 인증 정보 요청
② ID와 PW로 Mac 주소 제공
③ 단말기 인증

시나리오 4.
업무 특성에 따른 접근통제
구분 행정시스템 연구시스템 네트워크 장비 보안장비 인터넷
행정/지원부서 O X X X O
연구부서 O O X X O
유지관리업체 X X O O X
방문자 X X X X O
정보화부서 O O O O O
구분 네트워크 장비 방화벽장비 NAC장비 DDoS 장비 NMS
네트워크 업체 O X X X X
방화벽 및 NAC X O O X X
DDoS 업체 X X X O X
NMS 업체 O X X X O
유지보수 업체의 담당 업무에 따라 VLAN을 할당하고 VLAN에 따라 네트워크 및 시스템 접근 정책 차별
부서별로 VLAN을 다르게 할당하고 VLAN에 따른 네트워크 및 시스템 접근 정책 적용

시나리오 4.
업무 특성에 따른 접근통제
ACL
행정/지원부
서
VLAN
연구부서
VLAN
정보화부서
VLAN
방문자
VLAN
정보화부서
VLAN
네트워크
장비
VLAN
행정 서버팜
VLAN
연구 서버팜
VLAN

시나리오 5.
인사 변동에 따른 접근통제 - 퇴직
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
근무중인 연구원 A씨의 단말기 퇴직한 연구원 B씨의 단말기
퇴직자가 사용하던 모든 단말기는
퇴직처리 후 일정 시간(1시간)이 지나면
네트워크 접속을 자동으로 차단

시나리오 5.
인사 변동에 따른 접근통제 - 퇴직
인사 DB 인증서버
① 퇴직자 확인
퇴직자 : 홍길동, 강감찬
② 네트워크 연결 차단
(SNMP 명령 활용)
User
ID Card ID Mac Address NAS
IP Port
ID
50011 홍길동 b8:97:5a:36:0a:fa 172.16.10.11 23
50011 홍길동 e8:11:32:30:e9:6a 172.16.10.12 01
50034 강감찬 74:46:a0:ab:d2:20 172.16.10.11 37
50034 강감찬 a8:17:b4:c2:a3:82 172.16.10.12 01

시나리오 5.
인사 변동에 따른 접근통제 - 부서변경
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
연구부서에 근무하는 A씨의 단말기 행정부서에 근무하는 A씨의 단말기
근무부서가 변경되면, 사전에 정의된
정책에 의해 사용자의 시스템 접근권한
자동 변경
부서
변경

시나리오 6.
캡티브 포털을 통한 802.1X Profile 배포
백본 스위치
DHCP 서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
④ 인증 실패 VLAN 할당
⑤ 캡티브 포털 접속용 IP 주소 할당 요
⑥ 캡티브 포털 접속용 IP 주소 할당
⑦ 캡티브 포털 접속 및 프로파일 설치
캡티브
포털
운영체제별
802.1X 인증환경 구성
프로파일 배포
신규 설치 단말기
⑦

시나리오 7.
장기 미사용 단말기 인증 해제
백본 스위치
액세스 스위치
인증서버
①②
③
④
⑤
④장기 미사용 단말기 여부 판단 및 VLAN
결정
• 과금(Accounting)정보의 최종 접속 시간과
현재 접속 시간을 비교하여 장기미사용 여부
판단
• 장기 미사용 단말기로 판단되면, 캡티브 포털
접속만 허용되는 VLAN 할당을 결정
⑤ 장기 미사용 VLAN 할당
• 해당 단말기는 관리자의 승인이전 까지
정상적인 네트워크 접근 차단장기 미사용 단말기

시나리오 8.
위치(연구소/기숙사)에 따른 접근통제
ISP A ISP B
연구소
사용자 단말기
기숙사
백본 스위치
액세스 스위치
게이트웨이 인증서버
DHCP 서버
액세스 스위치
게이트웨이
연계 스위치
[연구소에서 접속할 때]
• VLAN ID : 100
• IP : 172.16.100.10
[기숙사에서 접속할 때]
• VLAN ID : 200
• IP : 172.16.200.128
• 연구소, 기숙사에 관계없이 모든 단말기는 802.1X 인증을 수행한다.
• 기숙사에서는 ISP B를 이용한 인터넷 접속만 가능하며, 연구소 접속은 불가능하

사용된 솔루션
대부분 오픈소스를 사용하여 예산을 절감하고
시스템의 유연성을 향상시켰다.

구축 후 효과
q 사용자 IP 주소 관리(할당/회수) 자동화
q 네트워크 시스템 접근통제 자동화
q 액세스 스위치 환경설정관리 효율화
q 미인가 네트워크 장치 설치 차단
q 전사 단말기 사용현황 인지율 향상

802.1X가 제공하는 것
• 단말기 사용자 ID
• 단말기 Mac & IP 주소
• 단말기 접속 네트워크(유/무선)
• 단말기 접속 위치(스위치 관리 IP 주소와 포트번호)
• 단말기 설치 운영체제 종류
• 단말기의 네트워크 연결 및 종료 시간
• 단말기의 인/아웃바운드 트래픽 용량
q 정보…
q 동적 네트워크 할당과 접근제어…

응용은 광범위하게
q 아이덴티티 방화벽 구성
q 단말기 사용 현황 및 위치 시각화
q 응용시스템 통제 기반으로 활용
• 온라인 의무교육 미 이수자는 온라인 교육 이수시까지 네트워크 접속 차단
• 네트워크(VLAN)기반 응용시스템 권한 설계 및 적용
q BYOD 유형별 접근통제
• 직급에 따라 스마트폰, 태블릿을 사용한 네트워크 및 시스템 접근제한

결 론
q 미국 정부에서는…
보안기술구현가이드(Security
Technical Implementation Guide, STIG)
의무적으로 802.1X를 적용
• 802.1X 도입 이유에 대한 고민
• 미국의 국방정보체계국(Defense Information System Agency, DISA)과 국방
부(Department of Defense, DOD)는 보안기술구현가이드(Security
Technical Implementation Guide, STIG)를 통해 모든 정부기관의
네트워크에는 의무적으로 802.1X를 적용하여 미인가 IT 기기의 네트워
크 접근을 원천적으로 차단하도록 하고 있음
(http://www.stigviewer.com/stig/perimeter_l3_switch/2015-04-06/finding/V-5626)
• 802.1X 도입 이유에 대한 고민이 필요한 시점임
q 두 개의 무기… 어떻게 하시겠습니까?
• 사용자 프로파일
• 자유로운 네트워크(VLAN) 변경과 통제
• 사용자 프로파일 : 사용자 ID, IP/Mac 주소, 단말기 사용위치, 운영체제
종류 등
• 자유로운 네트워크(VLAN) 변경과 통제

802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)

Similar to 802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제) (20)

802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)