악성 트래픽 감시하는 NAC 어플라이언스에 대한 평가
시스코 시스템즈의 네트워크 접근 제어(NAC)의 비전은 네트워크에 접속하는 모든 디바이스가 접속 지점에서 바이러스에서 자유로우며 스펙에 부합된다는 것을 보장하는 것이다.
많은 벤더들이 네트워크의 정밀 조사에 대한 '값비싼 대가'를 치루지 않고도 즉, 그리 높지 않은 비용으로 네트워크 접근 제어에 대한 기능을 제공하는 장비를 잇달아 선보이고 있다. 시스코도 현재 NAC 어플라이언스를 공급하고 있다.
현재 호스트 기반과 인-라인(in-line), 아웃오브밴드(out-of-band) NAC 등 세 진영이 전체 네트워크 업그레이드에 대한 대안으로 경쟁을 펼치고 있다. 아웃오브밴드 NAC는 인밴드의 변종으로 구동하는 인프라 기반의 시스템을 일컫는다.
NAC 분석 센터인 NAC Immersion Center에서 좀더 자세히 다루겠지만 각 접근 방법은 강점과 약점을 갖고 있으며 제품 아케텍처보다는 벤더의 핵심적인 경쟁 수단과 관계가 있는 것도 있다.
각 진영의 최고를 찾기 위해, 향후 아웃오브밴드와 호스트 기반 시스템에 대한 롤링 리뷰(Rolling Reviews)도 계획하고 있다. 지금은 인밴드 NAC을 자세히 살펴보기로 한다.
이러한 접근 방법을 하나하나 테스트할 계획임에 앞서, 여러 분야에서 한가지 이상의 제품을 사용하려는 기업들에게 알리고 싶은 당부가 있다. 동일한 네트워크 인프라에서 한가지 이상의 방법을 도입하지 말라는 것이다. 그렇지 않을 경우 여러 정책으로 인해 사용자들로부터 끊임없는 질문을 받게 될 것이다.
"트레픽 흐름 방해해서는 안된다"
그 명칭에서 알 수 있듯이, 인라인 NAC는 트래픽의 흐름 속에 어플라이언스를 배치하는데, 에지와 전송 스위치 사이에 놓이는 것이 일반적이다. 그 대안인 인밴드 어플라이언스의 경우 TNC(Trusted Network Connect)가 선호하는 방식인 데이터 센터의 앞단에 위치할 수 있다.
장비가 어디에 위치하든 간에, 트래픽의 흐름을 방해해서는 안 된다는 것이 가장 중요한 고려 사항이다.
이 시장의 벤더 대부분이 최고의 성능을 제공하기 위해 목적이 내장된 특정 애플리케이션 용도의 통합된 서킷을 사용하고 있지만 트래픽 흐름을 처리하는 것이 쉽지 않으며 그러한 업무를 위해 ASIC을 멀티코어의 범용 프로세서로 전환시키고 있다.
업계간 경쟁이 치열했던 라우터 분야와 달리, 인라인 NAC 벤더들은 자사 시스템의 성능의 한계를 '순순히' 인정하는 분위기이다.
패킷을 최고 회선 속도 또는 그 정도 수준의 속도로 이동시킬 수 있는 능력은 인라인 벤더들의 핵심적인 과제로, 고성능 ASIC 디자인에 프로토콜 및 정책 프로세스를 위한 멀티코어 엔진을 탑재하는 것이 쉽지 않다.
아이러니하게도, 인라인 NAC 시스템은 고도로 세밀한 수준의 정책을 구현할 수 있는 반면에, 정책 관리 시스템의 손쉬운 활용과 완전성을 토대로 차별화를 추구하는 업체들은 아웃오브밴드 벤더들이다.
손쉬운 설치가 장점
세밀한 정책 집행과 더불어, 인라인 NAC는 거의 투명한 설치 기능을 제공한다. 기존 스위치를 대체하건 새로운 계층의 스위치를 도입하건 간에, 인라인 NAC 시스템은 네트워크에서 단지 또 다른 스위치로 보일 뿐이다.
영향 평가: 인-라인 NAC
장 점
위 험 성
IT 부서 액세스를 제어함으로써 공격을 차단할 기회가 많아진다. 인라인 NAC는 네트워크나 호스트를 변경할 필요가 없는 투명한 기술이다. 인라인 NAC 디바이스가 트래픽을 처리하도록 보장하며 적절히 배치해야 한다. 그렇지 않을 경우 지원 요청이 끊이질 않을 것이다.
비즈니스 부서 잠재적인 노출을 줄임으로써 법적인 문제에서 벗어날 수 있게 된다. 규제 준수에서는 모니터링이 중요하다. NAC는 이를 지원할 수 있다. 어떤 형태의 NAC든지 잘못된 보안 감각을 초래할 가능성이 있다. 그 효용성은 기술 선택과 정책 규정이 제대로 이루어져야만 달성될 수 있다.
비즈니스 경쟁력 인라인 NAC는 단순한 아키텍처로서, 기업들이 프로젝트에서의 시너지 효과를 극대화할 수 있다. 엄격한 정책은 생산성을 저해할 우려가 있어 전략적인 경쟁력에도 악영향을 끼친다. 비즈니스 요구 사항과 보안 요구 사항이 적절히 조화를 이루는 것이 NAC에서 중요하다.
종합 평가 인라인 NAC는 리소스에 대한 인증되지 않은 액세스를 차단하고 악성 컴퓨터가 네트워크나 서버에 침투하는 것을 막아줄 수 있다. 이 모델은 소규모나 정적인 네트워크에 효과적이다. 위험을 완화하고 생산성에 영향을 끼치지 않도록 정책을 규정하는 것이 관건이다.
-------------------------------------------------------------------
반면에, 그 밖의 다른 NAC 아키텍처는 802.1X나 DHCP(Dynamic Host Configuration Protocol) 관리, 가상 LAN 등 기존 네트워크 운영의 변경을 필요로 하는 네트워크 프로토콜을 사용한다. 또한 이러한 집행 메커니즘은 다소 무딘 편이기 때문에 플로우 기반이라기보다는 모든 트래픽에서 작동하는 단점이 있다.
일부 인라인 NAC 제품들은 정책 집행이 애플리케이션 계층에서 이루어진다고 주장하고 있다. 사용자의 시스템과 서비스에 대한 접근을 제한하는 곳에서는 인라인 NAC가 이러한 보안 수준에 부합되는 매커니즘을 제공할 수 있다.
네트워크 서비스를 필요한 사용자들에게만 허용하는 것은 악의적인 사용자들이나 감염된 컴퓨터가 네트워크에 침투하는 것을 막아주는데 매우 효과적이다.
판매 포인트
NAC 어플라이언스를 방화벽이라고 부르는 것은 전체가 아닌 일면만 본 것이다. NAC 어플라이언스는 다양한 기능을 가진 방화벽이 맞긴 하다. 침입 탐지 시스템처럼 기능을 발휘할 수도 있다.
하지만 일부 아웃오브밴드 NAC 제품은 네트워크의 활동을 모니터링할 수 없어 공격을 전혀 탐지하지 못한다.
호스트 분석의 프로세스는 NAC 도입에 있어 가장 중요한 포인트가 되고 있다. 일반적으로 이러한 평가에는 시스템을 검사하는 에이전트 설치가 필요하다.
인라인 설치는 에이전트를 필요 없게 만들 수 있다. NAC 어플라이언스가 네트워크 트래픽을 모니터링하기 때문에 인증된 사용자와 IP, MAC 어드레스를 비교할 수 있어 데스크톱 관리에서의 액세스 제어에 충분하다.
물론 이러한 이점 모두가 인라인 어플라이언스를 어디에 배치하느냐는 구조적인 판단에 따라 좌우된다. 충분한 성능을 전제로 할 때, 인라인 아키텍처는 네트워크 코어에서의 어플라이언스 장비를 줄여주어 훨씬 간단하고 저렴한 솔루션이 될 수 있다.
하지만 어플라이언스가 네트워크 에지단에서 멀어질수록 시스템이 공격에 노출될 가능성도 높아진다. 어플라이언스는 트래픽을 통과할 때에만 제어가 가능하다.
사용자나 시스템에게 네트워크에 대한 접근을 허용하면 공격을 차단하기 위한 지속적인 모니터링이 연계되어야 한다. 인라인 시스템은 침입 탐지와 감사 기능을 제공함으로써 이러한 문제에 대응할 수 있다.
침입 탐지 및 이상 징후 탐지 기능은 공격을 발견하거나 이상한 행동에 경고를 보낼 수 있지만 트래픽에 연계되어 있을 경우에 국한된다. 이러한 형태의 모니터링이 목적이라면 인라인 어플라이언스를 에지 스위치에 가능한 한 가까이 배치시키는 것이 효과적이다.
또한, 네트워크 행위에 대한 감사와 로그가 필요한 특정 업종의 경우 인라인 NAC 시스템이 이러한 로그 데이터를 제공할 수 있다.
구매 포인트
호스트 평가, 집행과 더불어 고려해야 할 몇 가지 주요 사항을 살펴보면 다음과 같다:
1. 인라인에 배치되는 모든 어플라이언스는 네트워크 개발자들에게 두려움을 안겨줄 수 있다. 즉, 장애 지점이 하나 더 늘어나며 잠재적인 병목 현상의 원인이 될 수도 있다. 따라서 인라인 어플라이언스가 스위치 사이의 데이터 전송을 지원할 뿐만 아니라 추가적인 지연이나 지터가 발생하지 않도록 하는 것이 중요하다.
2. 앞서 말했듯이, 대부분의 인라인 NAC 어플라이언스들이 패킷 처리를 위한 목적 내장형 하드웨어를 사용하지만 성능 저하 문제가 제기될 수 있다.
3. 하드웨어의 장애 발생시 네트워크의 연결을 보장하기 위해서는 리던던시가 중요하다. 어플라이언스는 핫 스왑 기능이 탑재되어야 하며 신속한 장애 복구가 가능해야 한다.
인라인 NAC 롤링 리뷰
대상
이번 롤링 리뷰는 액세스 계층과 전송 계층 스위치 사이에 설치되며 NAC 정책을 집행 및 평가하는 NAC 제품에 초점을 맞춘다. 대중에게 공개되어 있는 컨퍼런스 룸이나 매니지드 컴퓨터와 원격지 근로자들이 위치한 사이트에서의 내부 네트워크 등 몇몇 일반적인 시나리오 상에서 테스트한다.
테스트 중인 제품은 802.1X, VLAN, DHCP 제어, ARP 제어, 인라인 블로킹 등 모든 방법을 사용해 정책을 집행할 수 있다.
네트워크에서의 호스트 실행 및 사용자에게 제약이 될 수 있음에도 기업들은 NAC를 공격으로부터 내부 리소스의 방어 수단으로 보고 있다. 호스트의 상태에 따라 "on"이나 "off"를 선택하는 바이너리 정책은 충분히 효과를 발휘할 만큼 견고하지는 못하다. 그 보다는 사용자들과 디바이스들이 네트워크에서 상호작용을 할 수 있도록 해주는 동시에 호스트의 상태를 유지할 수 있게 해주는 액세스 규칙을 매치하는 것이 좋다.
벤더들
우리는 여섯 곳의 인라인 NAC 벤더들에게 요청서를 발송했다. 그 명단은 다음과 같다: 콘센트리 네트웍스(ConSentry Networks), 엔터라시스 네트웍스, 네비스 네트웍스(Nevis Networks), 티핑포인트 테크놀로지스, 트러스티드 네트워크 테크놀로지스(Trusted Network Technologies), 버니어 네트웍스(Vernier Networks).
테스트 베드
윈도우 XP와 윈도우 비스타, 맥 OS X 워크스테이션을 사용해 테스트할 계획이다. 컨퍼런스 룸 액세스 스위치와 원격지 사용자에 제공된 것을 제외하고 모든 워크스테이션이 액티브 디렉토리 도메인의 일부로 관리된다. 컨퍼런스 룸 액세스 스위치에 부착된 워크스테이션은 '게스트'로 다뤄진다. 리눅스 서버와 기타 '관리할 수 없는' 디바이스도 네트워크에 보유하고 있다.
네트워크 전체에 802.1Q VLAN을 사용하며 VLAN 사이의 트래픽이 라우팅된다. 이러한 시나리오에서, 액세스 스위치는 전송 스위치에 대해 802.1Q 업링크 트렁크를 사용하게 된다.
액티브 디렉토리 서버는 AD와 Radius (IAS), DNS, DHCP 서비스를 제공하게 된다. 또한 시스템과 애플리케이션 업데이트를 위한 업데이트 서버도 갖추고 있다. 기존 네트워크로 제품을 통합하며 액세스 스위치를 교체하지 않을 계획이다.
AD 도메인에 있는 컴퓨터에 클라이언트 소프트웨어를 설치할 것이지만 게스트 컴퓨터에는 에이전트를 설치하지 않을 것이다. 다양한 정책 유형을 테스트해볼 방침이다.
워크스테이션 그룹 구현을 위한 목표와 컨피규레이션 가이드라인을 아우르는 일련의 공통된 정책을 디자인할 것이다. 일부 호스트는 정책을 따르지만 그렇지 않은 호스트도 있게 된다. 또한 일부 호스트는 알려진 악성 소프트웨어에 감염될 것이며 악성 행위에 대한 사인을 보여주는 호스트도 있을 것이다. 두 상황에서 정책 위반에 대한 호스트의 행동 결과를 알아보고 평가를 내릴 예정이다.
전제
롤링 리뷰(Rolling Reviews)는 시장 분석 등을 포함하고 있는, 최근 이슈가 되고 있는 기술에 대한 종합적인 평가이다.
관련기사
InformationWeek USA
mfratto@nwc.com