.. _enforcement-methods:

제어 방법
============

조직에서 정의한 네트워크 접근제어 정책을 위반하는 장치를 제어하는 방법이 필요합니다. Genian ZTNA는 Layer 2 계층에서 Application 계층까지 다양한 계층의 제어방법을 제공합니다.
네트워크 환경 또는 보안 수준 요구 사항에 따라 다음 옵션들을 사용할 수 있습니다.

ARP 제어
---------------

내부 네트워크의 단말 상태에 따라 네트워크 접근 제어는 어려움이 많습니다. 내부 네트워크 내의 접근을 제어하기 위해 라우터에 ACL을 설정하면 간단한 액세스 제어만 제공할 수 있습니다. 

단말이 자주 이동하거나 단말의 IP가 자주 변경되는 DHCP 환경에서는 ACL을 적용하기 어렵습니다. 또한 동일한 서브넷에 연결된 여러 단말 간의 접근 제어가 가장 어려운 작업이며 솔루션이 많지 않습니다.

802.1x를 사용하여 장치가 연결된 스위치 포트에 포트 기반 접근 제어 기능을 적용할 수 있습니다.
그러나 802.1x는 비용이 많이 들며 지원되는 장치로 바꾸고 같은 제조업체의 제품으로 교체하는 등 대규모 네트워크 구성 변경이 필요합니다.

또한 모든 네트워크 장비가 802.1x를 지원하지 않기 때문에 연결된 각 스위치 포트에 수동 구성이 자주 필요합니다.
거대한 엔터프라이즈 네트워크에서 각 스위치 포트에 대한 802.1x에 대한 예외 또는 MAC 주소를 설정하면 매우 큰 관리 문제가 야기되어 배포 및 관리에 매우 오랜 시간이 걸릴 수 있습니다.

또 다른 옵션은 ARP 변조와 함께 네트워크 접근 제어를 사용하는 것입니다. ARP 변조는 상대방이 ARP Request를 통해 MAC주소를 얻을 때 상대방으로 가장하여 생성된 패킷을 가로채어 단말에 접근 제어를 적용 할 수 있도록 ARP 프로토콜의 특성을 사용합니다.

Genian ZTNA는 다음 절차를 통하여 ARP 제어를 수행합니다.

- 차단될 단말이 ARP Request를 수행합니다.
- 네트워크센서의 MAC으로 해당 요청에 응답합니다.
- 차단된 단말은 네트워크센서로 패킷을 전송합니다.
- 네트워크센서는 접근제어 정책에 따라 패킷을 Drop하거나 실제 목적지 대상으로 Redirection합니다.

.. image:: /images/arp_enforce.jpg
    :width: 600 px

정적 ARP가 설정된 차단 단말의 ARP 변조 우회를 방지하기 위해 게이트웨이 등의 통신 대상에서 생성된 응답 패킷을 제어하기 위한 양방향 변조 기능을 제공하며
에이전트를 통해 정적 ARP 설정을 차단할 수 있습니다.


.. toctree::
   :maxdepth: 1

   enforcement-policy/prevent-static-arp

Genian ZTNA에는 RADIUS 서버가 내장되어 있어 802.1x 및 ARP 변조를 통해 패킷을 센서로 경유시키고, 사용자는 네트워크 환경에 따라 이를 선택 할 수 있습니다. 

포트 미러링 (SPAN)
---------------------

Genian ZTNA는 최소한의 네트워크 구성 변경으로 접근 제어를 제공하는 방법으로 포트 미러링 (Cisco의 SPAN)을 사용합니다.
미러링 포트를 통해 새로 연결된 세션을 모니터링하고 TCP RST 또는 ICMP Destination Unreachable 패킷을 전송하여 연결을 차단합니다.

이렇게 하려면 Port Mirroring 지원 스위치 또는 네트워크 TAP 장비를 사용하여 Genian ZTNA에 트래픽을 전송해야합니다.

Genian ZTNA는 두 가지 유형의 포트 미러링 모드를 제공합니다.

.. image:: /images/mirror_enforce.jpg
    :width: 600 px

**글로벌 미러 센서**

글로벌 미러 센서는 Genian ZTNA에 등록 된 모든 노드에 대한 정보를 가지고 있으며 정보 수집 및 접근 제어를 수행할 수 있습니다.
일반적으로 인터넷에 연결된 구간 네트워크에 위치하며 모든 내부 트래픽을 모니터링하면서 접근 제어가 수행 됩니다.

네트워크에서 생성된 모든 트래픽을 모니터링 하면서 모든 노드를 제어하므로 네트워크센서와 별도의 전용 고성능 하드웨어를 사용하는 것이 좋습니다.

**로컬 미러 센서**

ARP 변조와 달리 로컬 미러 센서는 해당 위치의 특정 네트워크 세그먼트를 통과하는 패킷만 제어 할 수 있습니다. 
이 문제를 해결하기 위해 각 최종 네트워크에 설치된 네트워크센서에 미러링 포트를 추가 할 수 있습니다.
이를 통해 로컬 네트워크 내에서 발생하는 연결을 제어 할 수 있습니다.

로컬 미러 센서는 네트워크센서 장비에서만 감지되고 기존 노드에 대한 제어만을 수행하기 때문에 글로벌 미러 센서와 비교할 때 상대적으로 낮은 사양의 하드웨어에서 작동 할 수 있습니다.

.. _enforcement-methods-8021x:

802.1x (RADIUS)
-----------------

802.1x 포트 기반 접근 제어는 엔터프라이즈 무선랜 환경에 적용 할 수있는 가장 이상적인 접근 제어 방법입니다.
사용자 기반 인증을 사용하면 권한이 부여 된 사용자 만 네트워크에 액세스 할 수 있습니다. 또한 단말의 보안준수 상태에 따라 특정 VLAN에 연결하거나 연결 된 상태를 강제로 해제 할 수 있습니다.

802.1x를 지원하는 사용자 단말, 802.1x 지원 액세스 포인트(AP) 또는 스위치와 같은 네트워크 액세스 장비 및 RADIUS 서버가 필요합니다.
Genian ZTNA는 내장형 RADIUS 서버를 제공하며 다음과 같은 접근 제어 기능을 제공합니다.

**사용자 인증**

802.1x에서는 공유 암호와 같은 취약한 인증 방법 대신 사용자 기반 인증을 통해 네트워크에 액세스할 수 있습니다.
사용자 인증에 대한 자세한 내용은 :ref:`configure-802.1x` 을 참조 하십시오.

**격리 VLAN**

802.1x 가 가능한 액세스 포인트(AP) 또는 스위치가 RADIUS *Tunnel-Private-Group-ID* 속성을 지원하면 장치의 상태에 따라 특정 VLAN에 대한 액세스를 제어 할 수 있습니다.
RADIUS 서버가 사용자 인증 성공 결과를 전송하면이 속성이 추가되어 전송되고 액세스 포인트 또는 스위치는 VLAN ID를 수신하고 해당 VLAN ID를 액세스 포트에 할당합니다.

**Change of Authorization(CoA)**

단말 상태 변경으로 인해 네트워크 접근를 제한 해야하는 경우 RADIUS CoA (권한 변경)를 사용하여 단말의 접속상태를 종료 시 킬 수 있습니다.
연결이 끊긴 단말는 새 연결을 시도하고 이 때 분리 된 VLAN에 연결하여 단말을 네트워크에서 안전하게 분리합니다.
이렇게 하려면 액세스 지점 또는 스위치가 RADIUS에 대한 표준(*RFC 5176 - Dynamic Authorization Extensions*) 을 지원 해야합니다.

.. image:: /images/radius_coa.jpg
    :width: 600 px

.. image:: /images/radius_asign.jpg
    :width: 600 px

DHCP
----

Genian ZTNA는 내장된 DHCP 서버를 통해 IP/MAC 정책에 따라 IP를 할당하거나 할당하지 않습니다. 
이렇게 하면 권한이 없는 단말이 네트워크에 접근하는 것을 방지하거나 특정 MAC 주소가 있는 단말에 고정 IP 주소를 할당 할 수 있습니다.

스위치 포트 차단
-----------------

SNMP를 지원하는 스위치를 사용하는 경우 Genian ZTNA는 SNMP를 수집하고 각 노드에 연결된 스위치 정보 및 포트 정보를 수집합니다.
이 정보는 장치의 보안 정책에 따라 스위치 포트를 종료하는 데 사용할 수 있습니다.
스위치는 쓰기 가능한 *SNMP MIB-2 ifAdminStatus* 등록 정보를 제공해야합니다.

.. image:: /images/switchport_enforce.jpg
    :width: 600 px


인라인 패킷 필터링
-----------------------

적용 정책에 따라 지정 된 제어 정책을 적용하려면 두 네트워크간에 양방향 패킷 필터링 장치를 사용할 수 있습니다. 이것은 일반적으로 방화벽과 동일한 방식으로 작동합니다.
두 네트워크 인터페이스는 각 네트워크에서 게이트웨이로 작동하며 패킷을 전달하는 과정에서 정책을 확인하고 승인되지 않은 패킷을 삭제합니다.

ARP 또는 포트 미러링 방법과 같은 대역 외 방법과 달리 통과하는 모든 패킷에 대해 보안 정책을 확인하고 허용 된 패킷 만 전송하기 때문에 보안이 강화 됩니다
그러나 인라인 장비는 통과하는 모든 패킷에 대해 보안 정책 검사를 받아 패킷 전송 지연을 유발 할 수 있습니다.
또한 인라인 장비를 통과하지 않는 패킷에는 접근 제어 정책을 적용 할 수 없습니다. 따라서 배포하기 전에 설치 위치를 주의해야합니다.

인라인 패킷 필터링의 경우 네트워크센서 소프트웨어는 두 개 이상의 네트워크 인터페이스가있는 하드웨어에 설치해야합니다.
설정을 통해 센서 작동 모드가 'Inline'으로 설정되면 보안 정책이 수신 된 패킷에 적용 된 다음 라우팅 테이블에 따라 시스템의 다른 인터페이스로 전달 됩니다.

.. image:: /images/inline_enforce.jpg
    :width: 600 px


에이전트 액션
----------------

에이전트는 네트워크 인터페이스 종료, 무선 연결 차단, PC 종료 및 알림 플러그인을 제공하여 단말을 직접 제어 할 수 있습니다.

.. image:: /images/agent_enforce.jpg
    :width: 600 px