아배고파젠장 2016-04

일반 간단한 iptime 공유기도 맥어드레스 필터링 기능을 제공합니다.

하물며 상위 장비 sonicwall 이나 fortigate 같은 보안 솔루션 장비는 당연히 될거구요

결론은 일반 공유기 단에서도 가능합니다.

천외천oo노… 2016-04

공유기는 사용하지 않고 있습니다.

현재 방화벽 + UTM 장비로 Untangle 사용 중입니다.
Untangle 에서는 인터넷 사용을 차단할 수는 있습니다만...내부 네트워크에 연결하는 것을 차단하는 기능은 안 보이네요.

DoubleSH 2016-04

해당 기능을 하는 것을 NAC 라고 하는데요(Network Access Control)
오픈소스로도 나오나봅니다.

1. PacketFence Zero Effort NAC(ZEN) : 윈도우나 리눅스에서 돌아가는 가상 어플라이언스 OS. 네트워크에 디바이스가 접속되면 규정을 확인한다. ZEN은 페도라 리눅스, LAMP, Perl 그리고 Snort기반이다. 시스코 장비가 필요 없으며, 대부분의 네트워크에 운영 할 수 있다.

이는 두 명의 하버드 IT네트워크 담당자들이 개발했으며 웹GUI 역시 무상 지원한다. 미 대학들을 중심으로 퍼지고 있다.
2. FreeNAC : 오픈소스이지만 최근에는 무료에는 없는 기능을 탑재한 상용 버전도 제공된다. FreeNACsms 802.1X나 시스코의 VMPS를 사용한다. 또 이 제품은 VLAN, 스위치 포트 관리, 문서, 포트 케이블링 정보 및 디바이스 디스커버리를 일괄 지원하는 것도 특징이다. 스위스의 스위스콤사가 개발했다.
http://www.zdnet.co.kr/news/news_view.asp?artice_id=00000039165280&type=det&re=

DoubleSH 2016-04

https://forums.untangle.com/off-topic/6261-implementing-nac-network-access-control.html
영어짧아서 대강 의미만 파악할 수 있는데, Untangle을 스위치와 잘 조합을 해야한다. 라는 말로보이네요.

바나나파이K… 2016-04

그러니까 이렇게 하면되죠... DHCP가 정해진 IP를 특정 MAC에다가 주게 설정을 먼저한다음에 그 IP를 막아버리는겁니다...

이것의 문제는 그 특정 기계에서 DHCP를 안쓰고 그냥 자기가 같은대역에서 아무IP나 써버리면 bypass되는거죠...

저는 STATIC IP를 거의 안씁니다... 그냥 모두 dynamic IP를 받도록 세팅을 해놓고 DHCP써버에서 지정된 IP를 할당하도록 설정하는것이 더 편하고 관리가 더 수훨하더라고요...

DoubleSH 2016-04

말씀하신 내용 중의 그게 최대 단점입니다.... (라고 저도 학습했어요 ㅎㅎ)
다른 장치 없이 DHCP 만으로 정책을 생각하면, 누군가가 고정IP를 임의로 잡아버릴 경우 막을 방도가 없습니다.
최소 ARP, RARP를 통해서 패킷을 제어해야하는 거죠.

NAC의 기초적 role은.. 비인가 사용자가 임의의 IP로 네트워크에 접근하는 행위를 막는 거니까요..

천외천oo노… 2016-04

본문에도 적었듯이...맥 어드레스 기준으로 dhcp 를 운용하는 것은...
네트워크 대역만 알아내면 새 장비를 꽂고 고정 IP 세팅해버리면 무력화되기 때문에...
보안의 관점에서는 취약하지 않나 생각합니다.

천외천oo노… 2016-04

무언가 좋아보이긴 합니다만...저한테는 아직 좀 어렵네요. ㅠㅠ;;
시간을 들여서 찬찬히 살펴보아야겠습니다.

Ray 2016-04

미크로틱 방화벽으로도 가능합니다~
저희가 미크로틱 라우터로 말씀하신 내용을 정책화하여 화이트리스트 운영중에 있습니다~

천외천oo노… 2016-04

미크로틱 한번 살펴보겠습니다. 감사합니다.

아배고파젠장 2016-04

DoubleSH 님이 답변주신것처럼 제가사용하는 보안장비는 Sonicwall 이라는 UTM 장비입니다.
해당 장비안에 NAC Policy 라는 기능이 디폴트로 제공되는데, 만약 없으시다면 별도 라이센스 구매가 필요하거나 혹은

다른 용어로 되어있으실거에요

천외천oo노… 2016-04

현재 사용중인 untangle 은 풀 라이센스 구매해서 사용 중입니다만...
해당 기능은 없는 것으로 보입니다. ㅠㅠ;;

UTM 을 바꾸는 것은 기능검토를 해야해서...빠른 시일내에 결정하는 것은 힘들 것 같습니다. ㅠㅠ;;

시도니 2016-04

CISCO 스위치도 비슷한 기능을 가지고 있습니다.

포트에 Port Security 설정이 있습니다.

각 스위치 포트에 MAC 을 지정하고 해당 MAC Address 사용자만 통신이 가능합니다.

또한 다른 맥이 들어올 경우 아예 해당포트를 shutdown 시켜 버릴 수도 있습니다.

천외천oo노… 2016-04

하긴...기억을 더듬어 보니...오래전 그런 기능이 있는 스위치를 썼던 것 같기도 합니다.
무선 장비들도 있기 때문에...포트와 1:1 매핑하는 기능으로는 조금 부족하지 않겠나...싶습니다.

사무실에 현재 사용하는 메인 스위치는 HP 1810-24G 입니다. 서브로 3com 2924 쓰고 있구요.

방금 찾아보니 3com 2924 에는 해당 기능이 존재하는 것 같습니다.
HP 1810 에는 없는 것 같구요.

깔끔하게 해결할 방법이 아직 안 보이네요. ㅠㅠ;;

김주영the촌놈 2016-04

굳이 풀매니지먼트급이 아니더라도 스마트스위치급에서도 되는 것이 있는 듯 합니다. 제가 사용하는 GS108T에도 있는것 같습니다. IP나 MAC으로 접속 여부를 지정 가능합니다. 그런데 포트가 8개라 그런가 최대 10개까지만 지정할 수 있는 것 같네요. 아마 48포트짜리 스위치라면 최소한 48개는 지정할 수 있을 듯 합니다만 무선 접속은 AP에서 동일하게 처리하면 되지 않을까요?