미승인 또는 정책 미준수 VPN 장치 차단

어떤 상황에서는 VPN에 로그인하기 위해 올바른 사용자 자격 증명이 제공될 수 있지만, 해당 장치 자체가 네트워크 사용이 승인되지 않은 경우가 있습니다.

이는 네트워크 접근에 사용된 자격 증명 도용의 결과일 수도 있고, 승인된 사용자가 승인되지 않거나 비준수 장치로 네트워크에 로그인한 경우일 수도 있습니다.

Genian NAC는 미러 모드로 배포된 네트워크 센서를 사용하여 Layer 3에서 이러한 미승인 장치를 차단할 수 있습니다.

센서 구성

미러 모드로 센서를 구성하려면 다음을 참조하십시오: 미러 모드 설정

그룹 및 제어 정책 구성

미러 센서로 VPN 사용자에 대한 강제 적용은 LAN 환경에서 ARP 강제 적용에 사용되는 것과 동일한 구성을 사용합니다.

어떤 노드, 장치 또는 사용자가 어떤 네트워크 리소스에 어떤 시간에 접근할 수 있는지 정의하기 위해 단순히 그룹과 제어 정책을 생성하십시오.

비준수 노드를 캡티브 포털로 리디렉션하여 관리자의 메시지를 받거나 에이전트 다운로드를 요구할 수도 있습니다.

VPN 사용자를 위한 별도의 그룹과 정책을 생성할 수 있습니다.

미러 센서는 TCP Reset 또는 ICMP Unreachable 응답을 사용하여 금지된 리소스에 대한 모든 접근 시도를 차단합니다. VPN 연결 자체는 변경되지 않습니다.

접근을 허용하거나 금지하는 그룹 및 제어 정책 생성에 대해서는 다음을 참조하십시오:

• 노드 그룹 관리

• 노드 그룹에 대한 제어 정책 생성

Note

미러 센서에 의해 탐지된 트래픽은 웹 콘솔에 노드 생성을 유발하지 않습니다. 따라서 로깅 없이 트래픽이 차단될 수 있습니다. 에이전트가 설치된 노드는 웹 콘솔에 표시되며, 정책 상태가 변경될 때 로깅이 발생합니다. 엔드포인트 정보를 수집하기 위해 에이전트 사용을 권장합니다.

VPN 사용자와 관련된 더 많은 내용은 다음을 참조하십시오:

• VPN 사용자 인증

• Cisco ASA 연동 - 동적 ACL 적용