책 소개
요약
오픈소스를 활용한 개방형 네트워크 접근통제 플랫폼 개발 가이드이자 국내 최초로 802.1X의 모든 것을 담아낸 책이다. 포트 기반의 강력한 네트워크 접근통제를 구현하는 IEEE 802.1X가 스마트 기기의 새로운 트렌드인 BYOD(Bring Your Own Device)를 등에 업고 그 가치를 새롭게 인정받고 있다. 저자의 풍부한 네트워크 및 정보보안 실무 경험을 바탕으로 집필된 이 책은 모든 네트워크 환경이 주목해야 할 실질적인 레퍼런스를 지향할 뿐 아니라, 성공적인 네트워크 접근통제를 위해 네트워크/정보보안 실무자들이 숙지해야 하는 다양한 지식과 기술을 한데 모은 ‘바이블’로서도 손색이 없다. 전 장에 걸쳐 802.1X 기반 네트워크 접근통제 구현을 위한 8개 시나리오와 환경 설정, DHCP를 이용한 IP 주소 할당, 상황별 접근통제 노하우와 전환 방안 등이 실제 사례와 함께 소개된다. 특히 오픈소스 활용에 중점을 둔 내용 구성은 학습한 내용을 독자들이 실무에 적용하는 데 큰 도움이 될 것이다.
이 책에 쏟아진 찬사
우리 시대의 보안 레시피, 맛과 영양을 한꺼번에! 드디어 맛과 영양이 어우러진 소중한 책이 우리들 손에 들려졌다. 이 책은 저자가 연구 및 산업 현장에서 건진 맛깔 나는 내용으로 채운 걸작이다. 처음 감수를 요청받았을 때 경이로움을 금치 못했다. 우선, 책의 분량이 적지 않은 규모인 데다가, 이 책에서 주로 다루는 802.1X는 그간 학계뿐만 아니라 정보보안 현장에서도 주목받지 못하는 주제였기 때문이다. 이 책을 통해 802.1X를 다시금 주목하게 되었다. 이 책에서 저자는 현장의 언어로 802.1X를 풀이하고 적용을 제시할 뿐 아니라, 끊임없이 자기 갱신과 발전을 위해 힘쓰는 모습을 보여주고, 고심이 서려있는 노하우를 과감하게 공개한다. 또한 오픈소스 소프트웨어를 사용하여 누구나 어렵지 않게 네트워크 접근통제를 구현하도록 적용하고 있다. 이 책은 정보보안 업무에 종사하는 이들뿐만 아니라, 정보보안 전문가를 꿈꾸는 많은 사람 곁에서 생기 넘치는 올바른 방향과 통찰력을 제공할 것이다.
- 김정호 / 국립한밭대학교 교수
굵직굵직한 정보보안 사고가 발생할 때마다 해양수산사이버안전센터(OSEC)의 수장으로서 막중한 책임을 느낀다. 그리고 우리나라 해양과 항만 관련 정보보호를 위한 효과적인 방안도 고민하지 않을 수 없다. 저자가 책에서 말하고 있듯이, 효과적인 정보보안의 시작점은 시스템과 서비스에 대한 접근통제이며 지금은 진화하는 보안위협에 대응하기 위한 새로운 시각이 요구되는 시점이다. 이 책은 네트워크와 정보보안 체계 구축과 관련하여 새로운 시각을 갖게 하는 티핑포인트가 될 것이다. 우리나라 저자, 특히 해양수산부 산하 기관에서 근무했던 저자에 의해 이러한 책이 쓰이게 된 것을 매우 기쁘게 생각한다.
- 강재화 / 해양수산부 부이사관(정보화담당관)
오늘날 네트워크 세상은 보안과의 전쟁 중이라 해도 과언이 아니다. 따라서 네트워크에 대한 원천적인 접근통제는 더욱 더 중요하게 여겨진다. 이 책은 802.1X에 대한 자세한 설명뿐만 아니라, 이전의 접근통제 기술에 대한 자세한 설명이 어우러져 802.1X를 활용하는 데 많은 도움을 준다. 하지만 802.1X가 뭔지 몰라도 누구든 쉽게 읽을 수 있고, 그것을 통한 접근통제가 얼마나 효과적인지 잘 알 수 있게 설명되어 있다. 또한 저자가 직접 수행한 실제 프로젝트를 예로 들며 시나리오 중심으로 서술되어, 이 책을 다 읽으면 마치 프로젝트를 모두 다 직접 수행했다는 느낌이 들 정도다. 실무에서의 프로젝트는 항상 이론적인 결과로 쉽게 진행되지 않는다. 각 시나리오에 대한 프로젝트를 하나하나 진행할 때마다 저자가 경험한 예상하지 못한 결과와 그것을 극복해가는 과정이 무척 좋았고, 이를 담으려는 저자의 노고가 느껴졌다.
- 정철윤 / 『시스코 라우팅 완전 분석』(에이콘출판, 2013) 저자
한마디로, 시원하다! 다양한 정보보안 솔루션을 운영하면서도 채워지지 않는 갈증이 있었다. 바로 IP 주소 관리와 네트워크 접근통제다. 802.1X와 DHCP를 응용하여 제시하는 저자의 해법은 타의 추종을 불허한다. 시나리오만 읽어봐도 저자의 깊은 고민을 느낄 수 있으며, 한 단계 한 단계 진행할수록 나 같은 관리자의 고민들을 속속들이 파헤치고 이에 대한 명쾌한 해결책을 제시한다. 네트워크 또는 정보보안 관리자라면 반드시 일독을 권한다.
- 이도섭 / 국가핵융합연구소 선임기술원
이 책에서 다루는 내용
■ IEEE 802.1X 개요
■ 동적 네트워크 설계 및 적용 방법
■ DHCP를 이용한 고정 IP 주소 할당과 IP 주소 사용자 관리 방법
■ 오픈소스를 활용한 IEEE 802.1X 네트워크 접근통제 구현 방법
■ 업무 특성과 사용자 권한에 따른 상황별 네트워크 접근통제 방법
■ 캡티브 포털에 대한 이해와 구현 방법
■ 복수의 네트워크에 대한 효과적인 접근통제 방안
■ 전통적인 네트워크 환경에 대한 802.1X 전환 절차와 방법
이 책의 대상 독자
■ 정보보안 또는 네트워크 관련 의사결정자
■ 유연한 네트워크를 설계하고자 하는 네트워크 엔지니어
■ 효과적인 접근통제 방안을 고민하는 정보보안 담당자
■ 차별화된 기능 구현을 원하는 정보보안 시스템 개발자
■ 정보보안 전문가를 꿈꾸는 학생
이 책의 구성
1장에서는 정보보안체계, 네트워크 구성, 그리고 네트워크 접근통제의 문제점에 대해 살펴보고, 이에 대한 대안으로 802.1X를 제시한다.
2장에서는 802.1X 기반 네트워크 접근통제 구현을 위한 다음 8개의 시나리오를 소개한다. 각각의 시나리오는 네트워크 또는 정보보안 담당자가 현장에서 경험한 문제를 제시하고 이에 대한 해결 방법을 제시한다.
DHCP를 이용한 IP 주소 할당 자동화
사용자 인증을 통한 IP 주소 할당
사용자 인증 절차 간소화
사용자 권한별 네트워크 및 시스템 접근통제
인사이동에 따른 접근권한 변경
캡티브 포털을 이용한 단말기 환경 설정
장기 미사용 단말기 인증 해제
망 분리와 사용자 인증
3장에서는 네트워크 접근통제 구현을 위한 환경을 구성한다. 이번 장에서는 기본적인 네트워크 설계, 네트워크 장비와 인증서버 환경 설정 등을 실제 운영환경과 동일하게 진행한다.
4장에서는 802.1X에 의해 어떻게 네트워크 접근통제가 이뤄지는지 간단하게 살펴본다. 단말기에 802.1X 환경 설정을 진행하고, 인증서버에 사용자 계정을 설정하고, 인증을 통해 VLAN(Virtual Local Area Network)을 할당하고, DHCP를 통해 IP 주소를 할당받는 과정을 확인한다.
5장에서는 DHCP를 이용한 IP 주소 할당 방법에 대해 알아본다. 이번 장의 핵심은 DHCP와 MySQL DBMS(Database Management System)를 연동해 DHCP를 통해 IP 주소를 고정으로 할당하는 메커니즘의 구현이다.
6장에서는 802.1X 인증과 DHCP를 연계해 IP 주소 실명제를 구현하고, 사용자 인증을 통과한 장치에 대한 단말기 인증, 그리고 802.1X를 지원하지 않는 단말기에 대한 인증 방법을 살펴본다.
7장에서는 업무에 따른 네트워크 접근통제, 인사이동에 따른 접근통제정책 변경, 퇴직자 단말기에 대한 접근통제, 그리고 장비 미사용 단말기에 대한 접근통제 구현 방법을 살펴본다.
8장에서는 캡티브 포털을 통해 사용자 단말기에 대한 802.1X 인증환경 자동화에 대해 알아본다.
9장에서는 각각 독립적인 ISP(Internet Service Provider)를 사용하는 2개의 네트워크를 하나의 관리체계를 이용해 접근통제하는 방법에 대해 알아본다.
마지막으로 10장에서는 정적 네트워크에서 802.1X 네트워크 접근통제 환경으로 전환하는 방법에 대해 알아본다. 많은 관리자가 802.1X 도입의 필요성에 대해 공감하면서도 쉽게 도입하지 못하는 이유가 전환의 어려움 때문이다. 이 장에서는 빅뱅 전환, 스텔스 전환, 점진적 전환의 세 가지 방법을 통해 관리자의 고민을 해결해주고자 한다.
목차
목차
- 1장 정보보안, 기초 체력이 중요하다
- 1.1 정보보안 기초체력
- 1.1.1 정보보안 현상 바로 보기
- 1.1.2 정보보안 솔루션 도입 과정의 문제점
- 1.1.3 정보보안체계 제대로 구축하자
- 1.2 네트워크 접근통제
- 1.2.1 네트워크 접근통제의 어제와 오늘
- 1.2.2 동적 네트워크 구성
- 1.2.3 NAC의 제약과 802.1X
- 1.2.4 오픈소스 기반 802.1X NAC 구현
- 1.3 IEEE 802.1X
- 1.3.1 IEEE 802.1X는 무엇인가?
- 1.3.2 802.1X 구성 요소
- 1.3.3 802.1X의 역사
- 2장 시나리오
- 2.1 IP 주소 할당 자동화
- 2.2 사용자 인증을 통한 IP 주소 할당
- 2.3 사용자 인증 절차 간소화
- 2.4 사용자 권한별 접근통제
- 2.5 인사이동에 따른 접근권한 변경
- 2.6 캡티브 포털을 이용한 단말기 환경 설정
- 2.7 장기 미사용 단말기 인증 해제
- 2.8 망 분리와 사용자 인증
- 3장 인증시스템 구축 환경 구성
- 3.1 네트워크 살펴보기
- 3.2 구성 요소 준비
- 3.2.1 물리적 장치
- 3.2.2 논리적 구성
- 3.3 네트워크 환경 구성
- 3.3.1 네트워크 장치 연결
- 3.3.2 백본 스위치
- 3.3.3 연구소 업무용 스위치
- 3.3.4 기숙사 사용자용 스위치
- 3.3.5 연구소와 기숙사 간의 연계 스위치
- 3.3.6 연구소 네트워크 게이트웨이 스위치
- 3.3.7 기숙사 네트워크 게이트웨이 스위치
- 3.4 인증서버 구성하기
- 3.4.1 운영체제 설치 및 환경 설정
- 3.4.2 소프트웨어 설치
- 4장 802.1X 인증 맛보기
- 4.1 인증서버 환경 설정
- 4.1.1 사설인증서 설치
- 4.1.2 인증자 등록
- 4.1.3 테스트 사용자 계정 등록
- 4.2 DHCP 서버 설정
- 4.2.1 DHCP 서버 환경 설정
- 4.2.2 DHCP 가상 인터페이스 등록
- 4.3 스위치 환경 설정
- 4.4 단말기 환경 설정
- 4.4.1 사설인증서 설치
- 4.4.2 802.1X 인증 기능 활성화
- 4.4.3 네트워크 어댑터 인증환경 설정
- 4.5 인증 테스트
- 4.5.1 네트워크 동작 테스트
- 4.5.2 802.1X 인증 테스트
- 5장 DHCP를 이용한 IP 주소 관리 자동화
- 5.1 DHCP 알아보기
- 5.1.1 IP 주소 할당 절차
- 5.1.2 IP 주소 임대시간 갱신 절차
- 5.1.3 IP 주소 임대이력 관리(Lease DB)
- 5.1.4 DHCP에서 고정 IP 주소 할당
- 5.1.5 DHCP 시스템과 DBMS의 연계
- 5.2 DHCP 환경 설정
- 5.2.1 DHCP 시스템에 VLAN별 서브넷 등록
- 5.2.2 연구소 업무용 스위치 환경 설정
- 5.2.3 VLAN별 IP 주소 할당 테스트
- 5.3 단말기에 할당된 IP 주소 DB에 저장
- 5.3.1 rsyslog-mysql 설치
- 5.3.2 DHCP 로그 분석 및 처리
- 5.4 정보 등록 자동화
- 5.4.1 트리거 개념 잡기
- 5.4.2 트리거 조작
- 5.4.3 정보 등록 자동화
- 5.5 DB를 이용한 주소정보관리
- 5.5.1 IP 주소 할당현황 관리
- 5.5.2 DHCP 환경 설정 변경을 통한 고정 IP 주소 할당
- 6장 사용자 인증과 IP 주소 할당
- 6.1 IP 주소 실명제 구현
- 6.2 사용자 계정 연동
- 6.2.1 FreeRadius에서 데이터베이스 사용
- 6.2.2 인사정보 데이터베이스와 계정정보 연동
- 6.3 맥 주소/사용자 연계
- 6.3.1 데이터베이스에 테이블 생성
- 6.3.2 IP 주소 실명제 테이블에 맥 주소와 사용자 식별자정보 등록
- 6.3.3 단말기에 할당된 IP 주소를 IP 주소 실명제 테이블에 등록
- 6.4 단말기 인증 구현
- 6.4.1 단말기 인증 절차
- 6.4.2 네트워크 스위치 환경 설정 변경
- 6.4.3 인증서버에 맥 주소 DB 구성하기
- 6.5 단말기 임의등록을 통한 단말기 인증 실시
- 6.5.1 비인증 단말기 주소 테이블 생성
- 6.5.2 비인증 단말기정보 등록
- 7장 접근통제 구현
- 7.1업무 특성을 고려한 접근통제
- 7.1.1 VLAN 다시 보기
- 7.1.2 VLAN과 ACL을 이용한 접근통제 구현
- 7.2 인사이동에 따른 접근통제
- 7.2.1 근무부서 변경에 따른 접근 허용 네트워크 변경
- 7.2.2 퇴직자 단말기 네트워크 접근통제
- 7.3 장기 미사용 단말기 접근통제
- 7.3.1 장기 미사용 단말기 식별하기
- 7.3.2 장기 미사용 단말기 네트워크 접근 차단
- 8장 캡티브 포털 구현
- 8.1 캡티브 포털의 정의이란
- 8.1.1 Redirection by HTTP
- 8.1.2 IP redirect
- 8.1.3 redirection by DNS
- 8.2 캡티브 포털 개념 잡기
- 8.2.1 단말기의 802.1X 환경 설정 여부 확인 후 IP 주소 할당
- 8.2.2 캡티브 포털 구현에 필요한 핵심 요소
- 8.3 캡티브 포털 구현하기
- 8.3.1 네트워크 스위치 환경 설정 변경하기
- 8.3.2 서버환경 구성하기
- 8.3.3 방화벽 설정
- 8.4 캡티브 포털 페이지 작성
- 8.4.1 사용자 유형별 프로파일 설치 절차
- 8.4.2 디렉터리 구조
- 8.4.3 메인 페이지
- 8.4.4 직원용 프로파일 설치 페이지
- 8.4.5 방문자용 프로파일 설치 페이지
- 8.5 프로파일 만들기
- 8.5.1 윈도우용 프로파일 배포 패키지 생성
- 8.5.2 애플 OS X, iOS용 프로파일 생성
- 8.5.3 안드로이드 OS 사용 단말기 802.1X 인증환경 설정
- 8.5.4 프로파일 배포
- 9장 복수의 망에 대한 접근통제
- 9.1 2개의 ISP와 접근통제
- 9.2 접근통제 구현
- 9.2.1 인증을 요청한 스위치 위치 식별
- 9.2.2 스위치 위치에 따른 VLAN 할당
- 10장 802.1X 접근통제 전환 방법
- 10.1 빅뱅 전환
- 10.2 스텔스 전환
- 10.2.1 현행 VLAN 정보를 인증서버에 등록
- 10.2.2 사용자・맥 주소・IP 주소 맵핑 테이블 작성
- 10.2.3 인증서버에 맵핑 정보 등록
- 10.2.4 802.1X 활성화
- 10.3 점진적 전환