기업내 유선 네트워크 환경의 보안위협 최소화하기     

[보안뉴스=BLACKGUEST] 네트워크 보안과 관련해서 무선 네트워크 Wi-Fi는 물리적인 울타리가 없어 보안에 더욱 많은 비중을 둘 때가 있다. 공격자는 외부에서 당신의 SSID를 탐지해 공격할 수 있기 때문이다.

하지만 내부 위협이나 타깃 공격 및 소셜 네트워크를 이용해서 기업 네트워크에 물리적으로 접근할 수도 있기 때문에 유선 네트워크에 대한 보안도 많이 고려해야 한다. 이와 관련해 중국의 IT 전문매체 IT전문가는 중소기업이나 대기업의 유선 네트워크 보안을 개선할 수 있는 8가지 방법을 다음과 같이 소개했다.

1. 검사 및 드로잉 실행 
지금 당장 네트워크에 대한 검사 및 드로잉 실행을 권한다. 항상 전체적인 네트워크의 기본 설비, 예를 들면 설치제품 모델, 위치 및 방화벽, 라우터, 스위치, 이더넷 케이블 및 엔드포인트 및 무선 액세스 포인트의 기본 구성과 전체 네트워크 인프라에 대해서 명확히 이해하고 있어야 한다.

또한 어느 서버, 컴퓨터, 프린터 및 기타 장비들이 어떤 네트워크에 연결되어 있는지, 언제 연결이 끊어지는지 등 전체 네트워크의 접속경로를 알아야 한다.

검사 및 드로잉 과정에서 특정 보안취약점을 찾을 수 있을 뿐만 아니라, 성능 및 보안성을 향상시킬 수 있다. 제대로 구성되지 않은 방화벽이나 물리적 위협도 찾을 수 있다.

만약 회사의 네트워크가 단지 몇 개의 네트워크 구성요소 및 워킹그룹만 있다면, 수동으로 검사하고 종이에 그려가며 영상 지도를 그리기만 하면 된다. 하지만 대규모 네트워크의 경우, 검사 및 드로잉 과정은 매우 유용한 것을 알 수 있다. 따라서 네트워크를 스캔하고 네트워크 투시도 및 회로도를 만들어야 한다.

2. 네트워크 업데이트 유지
기본 네트워크 검사 및 드로잉 후에는 모든 네트워크 인프라의 구성요소 펌웨어 또는 소프트웨어 업데이트를 확인해야 한다. 동시에 이러한 구성요소가 기본 암호를 사용하는지, 안전하지 않은 구성을 사용하는지 검사하고 사용하지 않는 기타 보안 기능이나 특성을 조사해야 한다.

이어 네트워크에 접속하는 모든 컴퓨터 및 장치를 확인해야 한다. 예를 들어, OS 및 드라이버 업데이트 여부, 개인 방화벽의 활성화 여부, 안티 바이러스 툴은 정상 작동하는지, 암호 설정은 되어 있는지 등 기본적인 보안성능을 체크해야 한다.

3. 물리적 네트워크 보호
물리적 네트워크는 종종 간과되고 있지만, 인터넷 방화벽과 마찬가지로 네트워크에 중요한 역할을 하고 있다. 해커의 공격, 봇넷 및 바이러스에 대응하기 위해서 꼭 필요하다.

만약 회사 네트워크 및 건물의 물리적 보안이 취약하다면, 근처의 해커나 심지어 직원들도 당신의 네트워크를 사용할 수 있을 것이다. 예를 들어, 그들이 무선 라우터에 연결하여 이더넷 포트를 개방하면 무선으로 네트워크를 방문할 수 있게 된다. 하지만 만약 이더넷 포트를 숨기거나 끊어놓으면 이러한 일은 발생하지 않을 것이다.

이와 함께 외부인의 진입을 억제하고 방지하기 위해 당신이 속한 건물에 보안계획을 배포해야 한다. 그리고 네트워크 인프라 구성요소의 모든 배선, 기타 위치의 보안, 잠금 캐비닛 및 잠금장치를 이용해야 한다. 또한 이더넷 케이블이 보이지 않는지, 쉽게 액세스 할 수 없는지도 확인해야 한다. 무선 액세스 포인트 역시 마찬가지다. 마지막으로 사용하지 않는 이더넷 포트를 분리해야 하는데, 특히 공공장소에서는 주의를 기울여야 한다.

4. MAC 주소 필터링 고려
유선 네트워크의 주요 보안문제 중 하나로는 빠르고 간단하게 신분증 인증 및 암호화가 가능하는 점이다. 이를 통해 사람들은 자유롭게 진입하고 네트워크를 이용할 수 있다. 이에 무선 네트워크 측면에서는 최소한 WPA2-Personal을 사용해야 한다.

비록 MAC 주소 필터링도 공격자에게 우회될 수 있지만, 그건 하나의 방어선이 뚫린 것으로 치부할 수 있다. 그것으로 공격을 완전히 막을 수는 없지만 직원이 만드는 보안취약점을 미연에 방지할 수 있다.

예를 들면, 방문자가 올바른 전용 네트워크에 접속할 수 있도록 해준다. 그것은 또 당신 회사 네트워크에 접속하는 장비들을 효율적으로 컨트롤 할 수 있게 해준다. 그것만으로 귀사의 보안이 안전하다고 믿지 말고 MAC 주소의 지속적인 업데이트가 필요하다.

5. 트래픽 분리하는 VLAN 배치
만약 당신이 지금 여러 가상 LAN의 소규모 네트워크로 분리해 놓지 않았다면 이를 변경하는 것이 좋다. 당신은 VLAN을 이용해서 몇 개의 이더넷 포트, 무선 액세스 포인트 및 사용자를 몇 개의 가상 네트워크로 분류하는 것이 좋다.

VLAN을 사용하여 트래픽 유형(일반 액세스, VoIP, SAN, DMZ)이나 성능, 설계 원인 또는 사용자 유형(직원, 관리직, 방문자) 및 보안 원인에 따라 네트워크를 분리할 수 있다. 동적 할당을 구성할 때 VLAN은 매우 유용하다.

예를 들어, 네트워크의 어떤 위치나 Wi-Fi를 통해 노트북에 접속할 수 있고 자동으로 VLAN을 할당할 수 있다. 이는 MAC 주소 태그를 통해 달성될 수 있고 802.1X 인증을 사용하면 더욱 안전해 질 수 있다. VLAN을 사용하기 위해서는 귀사의 라우터와 스위치가 반드시 그것을 지원해야 한다. 제품 사양 중 IEEE 802.1Q를 지원하는지 확인해야 한다.

무선 액세스 포인트의 경우, VLAN 태그 및 여러 개의 SSID 액세스 포인트를 동시에 지원하는지를 확인해야 한다. 여러 개의 SSID를 통해서 여러 가상 WLAN을 제공할 수 있다.

6. 802.1x 인증 기능 사용
유선 네트워크에서의 신분 검증과 암호화는 높은 복잡성 때문에 자주 생략된다. IT는 보통 무선 연결을 암호화하지만 잊어먹거나 유선 연결을 빼먹으면 안된다. 로컬 공격자는 당신의 네트워크에 침입해서 아무런 저항 없이 정보를 주고받을 수 있다.

802.1x 인증에 익숙하지 않아 이더넷 트래픽을 암호화하지 않더라도 로그인을 하기 전엔 어떠한 리소스에도 발송 및 방문 권한을 주지 않아야 한다. 또한 무선 네트워크를 이용해 인증과정에서 AES 암호화 보안으로 엔터프라이즈급 WPA2 보안을 완성할 수 있다.
802.1x 인증의 또 다른 장점은 동적으로 VLAN에 사용자를 할당할 수 있다는 점이다. 802.1x 인증을 배치하기 위해서 먼저 원격인증 전화 접속 사용자 서비스(RADIUS) 서버가 필요하다.

그것은 기본적으로 사용자 데이터베이스로 작동하며 네트워크 엑세스 구성요소에 대한 권한 부여하거나 거부할 수 있다. 만약 귀사에서 Windows Server를 가지고 있다면, 이미 RADIUS 서버를 가지고 있는 것이다. 만약 서버를 가지고 있지 않다면 당신은 독립된 RADIUS 서버를 고려해 볼 수 있다.

7. VPN 사용해 선택한 서버 또는 컴퓨터 암호화
만약 귀사의 네트워크 트래픽을 보호하고자 할 경우, 암호화를 사용하는 것이 좋다. 당신이 VLAN과 802.1x 인증을 사용하는 경우에도, 어떤 사람들은 네트워크(VLAN)에 암호화되지 않은 트래픽(암호, 이메일, 파일 등을 포함하는)을 해킹할 수 있다는 것을 기억하는 것이 좋다.

귀사는 모든 트래픽을 암호화 할 수 있지만, 먼저 네트워크를 분석하는 것이 우선이다. 가장 중요하게 통신하는, 예를 들면 SSL/HTTPS 등을 먼저 암호화하는 것이 좋다. 또한, 표준 VPN 클라이언트를 통해 민감한 트래픽을 전송할 수 있는데, 이는 민감한 모든 통신에 사용할 수 있다.

8. 전체 네트워크 암호화
당신은 전체 네트워크를 암호화할 수 있는데 또 하나는 IPsec이다. Windows Server는 IPsec 서버로 사용할 수 있으며, Windows는 클라이언트 기능을 지원한다. 그러나 암호화 프로세스는 네트워크에 큰 부담을 가져올 수 있으며, 전송속도가 현저하게 떨어질 수 있다.

네트워크 제공자는 전용 네트워크 암호화 솔루션을 제공할 때, IPsec과 같은 3계층 네트워크보다 2계층 네트워크 접근법을 많이 사용하는데, 이는 대기시간 및 비용을 줄이기 위해서다.
[정리_BLACKGUEST]
[출처: IT전문가(http://security.ctocio.com.cn/)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>