Windows Server 2008이 나오면... (34) - 장비와 NAP이 만났을 때?!

image

오늘은 NAP 시나리오중 802.1x 장비와 연동하는 부분에 대해서 이야기해볼까 합니다. 해당 시나리오에 대한 Step by Step 가이드를 참조하시면 구성 방법에 대해서 잘 나와있습니다. 여기서 한가지 아쉬운 점은 장비에 대한 설정은 네트워크를 하시는 분들께서 해주셔야 한다는 것이고, 약간의 팁 or 정보가 필요한 것 같습니다.

7월 12일에 진행한 NAP 세미나를 준비하면서, 제가 제일 고민했던 점은 장비와의 결합이었습니다. 다른 NAP 데모들에 대해서는 작년 12월에 TechNet 웹 캐스트를 시작으로, Windows Server 2008 세미나시마다, NAP 세션에서 보여드렸었지만, 802.1x 장비와 NAP의 결합은 아직 세미나에서 데모로 보여드린 적은 없었습니다. 그래서 더더욱 신경써서 준비했던 부분이었죠.

Windows Server 2003의 IAS(Internet Authentication Service - 인터넷 인증 서비스)와 802.1x 스위치를 연동하여 VLAN으로 격리하는 모델과 관련한 문서는 이미 Microsoft.Com 사이트에서 검색하실 수 있습니다. 그렇다면 Windows Server 2008내 NAP과는 어떻게 연동이 될까요?

clip_image001

802.1x 인증은 EAP(Extensible Authentication Protocol)을 이용하여 처리됩니다. EAP 메시지는 EAPoL(EAP Over Lan)을 통하여 Pass-Through Authenticator(포트 기반을 지원하는 AP나 스위치)와 Supplicant(클라이언트)간 인증을 담당합니다. 가장 안단의 RADIUS Server (Windows Server 2003의 IAS, 또는 Windows Server 2008 NPS)는 사용자의 인증 요청에 대해, 정책 및 연결 요청을 확인하여, 접근 개체에 대한 처리 여부를 담당합니다. 당연히 NAP을 사용하시기 위해서는 Windows Server 2008 NPS를 사용하셔야 합니다.

클라이언트는 네트워크 최초 접근시, 자신의 인증 정보와 더불어 NAP의 SoH(Status of Health - 상태 정보)를 EAP를 이용하여 802.1x 장비로 전달합니다.

image image

이 경우, NIC의 설정에서 인증 정보를 전달할지에 대해서 Windows 설정이 필요하겠죠? 무선 네트워크에 대해서는 이미 자동으로 해당 정보를 구성하여, 손쉽게 처리해줄 수 있는 서비스가 Windows XP에 포함이 되어져 있었습니다만, Windows Vista에서는 무선을 포함하여, 유선에 대해서도 설정과 관련된 서비스가 추가되었습니다. 바로 Wired AutoConfig입니다. Windows Server 2008 그룹 정책이나 Windows Vista의 그룹 정책을 이용하시면 해당 접속 서비스에 대해 설정을 중앙에서 일괄적으로 하실 수 있습니다.

image

그렇다면... NPS에선 어떤 셋팅이 기본적으로 들어갈까요? NPS 입장에선 802.1x 장비는 당연히 RADIUS 클라이언트가 됩니다. 또한 메세지-인증 속성을 받아들이라는 설정도 해주셔야 합니다.

802.1x-NPS

image

NAP과 관련된 정책을 하나씩 생성합니다. 보안 정책 위배시, NAP을 통해 고립이 이루어지게 되고, 802.1x는 이를 VLAN을 통해서 고립하게 됩니다. VLAN이 크게 3가지를 구성합니다.

1. Default VLAN
2. UnAuthed VLAN
3. Authed VLAN

기본 VLAN은 인증이 처리되지 않는 포트에서 적용되는 LAN이며, 2번의 UnAuthed VLAN은 802.1x를 통해 인증되지 않거나, 문제가 있어서 격리된(NAP을 통과하지 못한) 클라이언트들이 배치되는 LAN, 3번의 Authed VLAN은 정상적으로 인증 절차 및 상태 확인을 받은 LAN을 의미합니다. 각 VLAN간은 Routing 장비가 없거나, 스위치 자체가 멀티레이어를 지원하지 않으면, LAN간 라우팅은 안됩니다.

image

이런 설정을 스위치에서 확인한 후(당연히 802.1x 처리를 할 포트에 대해서는 사전에 Active 작업을 해놓아야 합니다.), NPS의 정책에서는 문제 발생시, 2번 VLAN으로 이동, 정상이면 3번 VLAN으로 이동을 설정합니다.

image

스위치에는 NPS를 RADIUS 서버로 구성합니다.

image

정상적인 상태의 클라이언트는 VLAN 3에 배정되며, 보안상 문제가 있는 클라이언트는 VLAN 2에 배정될 것입니다.

image

image

윗 그림과 아랫 그림의 차이를 아시겠습니까? 43번에 대한 포트가 윗그림은 VLAN ID 2번, 아랫 그림은 VLAN ID 3번입니다. 맞죠?

NAP Client의 상태에 따라, 2번과 3번 ID를 동적으로 배정되며, 이를 통해 NAP with 802.1x는 격리 모델을 가져가게 됩니다.

보안의 상태에 따라 NAP은 운영 체제 레벨에서의 격리를 처리해 줍니다. 802.1x까지 가미가 된다면, 운영 체제 바깥단, 장비 레벨에서의 보안 강화가 이루어지게 되며, 이는 기업의 보안 상승에 영향을 주게 됩니다.