.. _prevent-static-arp:

Static ARP 사용단말 제어하기
=============================

단말에서 ARP Table의 MAC주소를 정적(Static)으로 설정하여 사용하면 정책을 위반한 단말이 네트워크접근통제를 우회하여 통신이 가능합니다.

.. note::
  ARP를 이용한 제어방법에서, 네트워크센서는 정책을 위반한 단말에게 ARP 제어패킷을 전송하여 네트워크를 제어합니다.

해결방법
-----------

Static ARP 사용 단말을 제어하기 위해 Genian NAC에서는 아래 네 가지 제어 방법을 제공합니다.

Static ARP 설정 방지 기능 적용(Agent)
''''''''''''''''''''''''''''''''''''''

- 에이전트가 단말 ARP Table의 정적 설정 여부를 실시간으로 모니터링하여 동적으로 변경함
- 정책 > 노드정책 > 노드액션 > ARP 관리 > Static ARP 차단 On
- ARP 관리 노드액션을 노드정책에 할당하여 단말에 정책적용

802.1x 구성을 통한 제어
'''''''''''''''''''''''

802.1x 포트기반 접근제어는 네트워크 환경에서 적용 할 수있는 가장 강력한 접근제어 방법입니다. 
사용자 기반 인증을 사용하여 사용자별 권한을 스위치포트에 부여하여 역할별 접근제어를 수행할 수 있습니다. 

**유무선 802.1x 구성**

- RADIUS서버 기능을 활성화하고 네트워크장비(Switch, AP)와 연동합니다.
- 에이전트 유선인증관리자 플러그인을 네트워크환경에 맞게 설정 한뒤 단말에 적용합니다.
- RADIUS 정책 설정을 활용하여 스위치 포트기반 네트워크 제어를 수행합니다.

:ref:`radius-intro`, :ref:`radius_policy` 문서를 참고바랍니다.


Mirror 구성을 통한 제어
''''''''''''''''''''''''''

- Static ARP 단말의 상단 네트워크에 네트워크센서(Mirror Mode)를 추가 구성하여 HTTP Redirection으로 제어
- 시스템 > 센서관리 > 센서설정 > 차단방법 > HTTP Redirection Drop(Reject)

.. note::
    HTTP Redirection의 두 가지 옵션
      - Drop : 차단된 패킷을 drop 후 추가 동작 없음
      - Reject : TCP인 경우 RST 패킷 전송, UDP인 경우 ICMP Unreachable 패킷 전송

Strict Mode를 통한 제어(네트워크센서)
'''''''''''''''''''''''''''''''''''''''

- 정책위반 단말을 고립시키는 형태로써 보안에 위반된 단말이 목적지로 패킷 전송 시 응답패킷을 네트워크센서로 유도하여 네트워크통신을 제어하는 방법

- 시스템 > 센서관리 > 센서설정 > 센서 운영모드 > ARP Strict Mode

.. note::
    Strict Mode의 세 가지 옵션
      - Normal : Strict Mode 적용하지 않음
      - Strict : Strict Mode 적용
      - Strict (without Gateway) : Strict Mode 적용 (게이트웨이는 제어하지 않음)