NAC(Network Access Control) 개요
NAC는 네트워크에 접속하는 모든 기기를 식별·인증·검사하여 정책에 맞는 기기만 접근을 허용하는 보안 솔루션입니다. 네트워크관리사 시험에서는 802.1X 인증 프로세스, EAP 방식, 게스트 VLAN, 포스처 평가가 핵심 출제 범위입니다.
802.1X 인증 아키텍처
IEEE 802.1X는 포트 기반 네트워크 접근 제어 표준입니다.
- 서플리컨트(Supplicant): 인증을 요청하는 클라이언트 기기. EAP 클라이언트 소프트웨어
- 인증자(Authenticator): 스위치 또는 무선 AP. 서플리컨트의 트래픽을 인증 서버로 전달. Controlled/Uncontrolled Port 관리
- 인증 서버(Authentication Server): RADIUS 서버(Cisco ISE, FreeRADIUS, Microsoft NPS). 실제 인증 수행
인증 프로세스: 서플리컨트 → EAP over LAN(EAPOL) → 인증자 → RADIUS → 인증 서버 → 결과 반환 → 포트 열림/닫힘
EAP 방식 비교
- EAP-TLS: 클라이언트와 서버 모두 인증서 사용. 가장 강력한 보안. 클라이언트 인증서 배포 필요
- PEAP(Protected EAP): TLS 터널 내에서 EAP. 서버 인증서만 필요. 사용자명/패스워드 또는 EAP-MSCHAPv2 사용
- EAP-TTLS: PEAP와 유사하지만 더 유연한 내부 인증 방식
- EAP-FAST: Cisco 독자. PAC(Protected Access Credential) 기반. 인증서 없이 강력한 인증
VLAN 할당과 포스처 평가
- 포스처 평가(Posture Assessment): 기기 상태 확인. 운영체제 패치, 안티바이러스 설치, 암호화 활성화 여부 검사
- 격리 VLAN(Quarantine VLAN): 포스처 평가 실패 기기를 격리 네트워크에 배치. 패치 서버와 업데이트 서버만 접근 가능
- 게스트 VLAN: 802.1X 지원하지 않는 기기(프린터, IoT) 또는 방문객 기기용. 인터넷만 허용
- 동적 VLAN 할당: RADIUS Attribute(VLAN ID)를 통해 인증 결과에 따라 동적으로 VLAN 배정
MAB(MAC Authentication Bypass)
802.1X를 지원하지 않는 기기(프린터, IoT, IP 전화기)는 MAC 주소로 인증합니다. MAC 주소 스푸핑 공격에 취약하므로 포스처 평가와 함께 사용합니다.
네트워크관리사 기출 핵심 정리
- 802.1X 3요소: 서플리컨트 + 인증자(스위치/AP) + RADIUS 서버
- EAP-TLS = 가장 강력(양쪽 인증서), PEAP = 서버 인증서만
- 포스처 평가 = 기기 상태 검사, 실패 시 격리 VLAN
- 게스트 VLAN = 비인증 기기용, 인터넷만 허용
- MAB = 802.1X 미지원 기기의 MAC 주소 인증