SharedIT | 묻고 답하기(AMP)

전반적인 솔루션 도입에 대한 질문 드립니다.

인뿌라담당자
2021.02.08 () | 0 추천 | 8개의 답변

안녕하세요.

우선 나름 큰 기업에 재직 중입니다만 회사가 급격하게 크고 IT계열 회사가 아니다보니

IT=돈도 못 벌어오는 운영업무만 하면서 일하는거도 없는 돈 쓰는 부서 라는 인식이 강한 편입니다.

기업 규모는 대기업급이나 IT는 중견기업만도 못한 중소기업 수준의 수준을 보여주고 있어서

당연하게도 보안이슈가 간간히 일어나고 있고 여러가지 이유로 IT 관련 투자가 이루어지고 있는데

현재 약 1500노드 (PC기준 1000노드쯤 예상)를 전부 엑셀로 관리하고 있으며..

당연하게도 IP충돌 등으로 엄청난 loss를 겪고 있습니다..


이번에 보안솔루션으로 지니언스 클라우드 NAC를 도입했으며

*노드당 라이선스 가격 부담으로 미니PC 센서로 진행했습니다.

신설된 보안팀에서는 유사시 마지막까지 이력이 확인 가능한 IP는 DHCP를 사용하면 안되며

고정IP로 사용해야한다고 하는 입장이며 인프라팀에서는 사업장간의 이동, 같은 사업장에서도 층간이동이

매우 잦은편이라 일일히 IP만 보고 있을 수 없기에 DHCP를 도입해야한다는 입장입니다.


사용자들의 권한을 제한적으로 변경하기 위해서 어떤 솔루션(인사DB연동한 DHCP, IP관리솔루션, AD등)

을 도입해야 좋을까요?

모든 솔루션이 장단점이 있겠지만.. 인프라쪽 지식이 얕아 질문글 올립니다 ㅠㅠ


Tags : 태그가 없습니다.

8개의 답변이 있습니다.

그저멍하니
  0 추천 | 약 3년 전

저도 지니안을 사용했었습니다.

고정IP에 MAC 주소를 FIX할수 있습니다.


간혹 IP를 DHCP로 쓰시겟다는 분들도 계시는데,

MAC 주소에 IP를 FIX할수도 있으니, 

회사의 정책에 따라 적용하시면 좋을것 같습니다.


IT가 정책을 구성 기획하여 회사의 기준을 잡으시기 바랍니다.

IP를 Static으로 하실지 DHCP로 하실지 그에 대한 장단점을 잘 나열하셔서

의사결정하시기 바랍니다.


werther.chan
  0 추천 | 약 3년 전

NAC에서 MAC관리가 될겁니다.

그래서 DHCP든 고정이든 상관없을것 같습니다.

차바라기
  0 추천 | 약 3년 전

DHCP라도 로그만 잘관리가 되면 편하지만 보안적인 측면에서는 고정IP 로 가는게 맞다고 봅니다.


중요서비스가 있다면요

Genghis Khan
  0 추천 | 약 3년 전

Nac에서 ip와 Mac 매핑하여 관리하면 됩니다

그리고 부서별 ip대역별로 나눠서 하고 유동적인 ip는 별도로 zone 을 만들어 배포하세요

빨간신발
  0 추천 | 약 3년 전

보통 nac에서 제공하는 기능아닌가요?

dhcp를 사용해도 mac으로 사용자를 매칭하면 해당 사용자의 ip사용 내역을 확인할 수 있습니다

nac에서 인사연동이나 ad연동은 기본 기능인데 아니더라고 추가비용을 지불하면 사용하실 수 있을겁니다

서브넷을 21로만 해도 2000개 정도를 한 네트웍으로 가능합니다

층간이동 하셔도 ip변경없이 사용이 가능합니다

wansoo
  0 추천 | 약 3년 전

1500 노드 정도다면...

B Class로 할당해서 사용하시나요?

파트별로 나눠서 C Class를 할당해서 사용하고 계시나요?

IP 충돌이 일어 난다는 건 총체적인 관리 인력 없이 임의 IP를 할당한다는 의미로 보여 지네요.

B 클래스 IP를 할당해서 사용하는 것 보다는 최소 그룹으로 묶어서 각 그룹별로 C Class 그룹으로 고정 IP를 할당하고, 부서 이동이나 층간 이동등의 이동이 잦은 인원들의 컴퓨터에는 멀티 IP를 할당해서 층간 이동에도 IP를 다시 변경하지 않고 사용할수 있게 해 줘 버리면 될거 같아 보이고요.

보안 담당자 의견대로 IP를 고정해서 사용하는게 좋을 것 같고, 각 사용자들이 임의 IP를 할당하지 못하게 엄격하게 관리할 필요가 있어 보이네요.

코레이즈
  0 추천 | 약 3년 전 | 코레이즈 | 02-1833-5805

안녕하세요 (주)코레이즈입니다.

유사한 경험으로 말씀드리면, 관리(DHCP) 와 보안(Static)의 충돌로 보여집니다.
저의 경우에는 DHCP Server의 임대기간을 장기간으로 늘리고, DHCP 할당 Log를 저장하는 것으로 처리하였습니다. 1000개가 넘는 Node를 Static으로 직접관리하기란 어려운 일입니다.

결국 보안팀이 원하는 것은 추적 및 감사(Audit)가 되면 되는것이고,
DHCP 로그를 저장하여 추적만 해주면 되는 일입니다.

감사합니다.

코레이즈 드림

코레이즈 | 약 3년 전

추가로 말씀드리면, 이렇게 관리하던 회사의 총 Node수는 3000대 였으며, 보안이 더 꼼꼼하고, 강력한 회사였습니다.

쿨가이
  0 추천 | 약 3년 전

NAC에서 IP관리 제공합니다. 해당 제품에도 기능이 있을겁니다.

보안을 생각하면 고정IP가 좋기는 한데. NAC 운영중이시면 MAC관리가 될거여서 

DHCP도 잘 관리하시면 괜찮습니다. 이력관리 잘 하시구요.

인사 연동가능한 제품은 윈도우 인프라사용중이시면 AD 와 인사DB를 연동시켜서

관리하시는 방법이 편리하고 보안도 좋고 효율적입니다. 

정책에 맞게 정책도 유동적으로 관리할 수 있구요.

혹시 전반적인 컨설팅이 필요하시면 솔루션 상담실 컨시어지 이용 추천드립니다. 감사합니다^^


원본 페이지 보기