안녕하세요,
기존 Aruba AP IAP-305에 WPA2-Personal방식의 Network Key를 입력해 WIFI를 연결하는 방식에서 온프라미스 Active Directory의 인증서비스 Radius와 연동하여 WIFI연결 시 본인의 도메인 유저계정을 사용해 연결을 하도록 AP와 AD서버 NPS를 셋팅하였습니다. Key값을 정기적으로 변경해야 하는데 Key값은 개인적 사용을 막기 위해 공유하지 않고 IT팀에서 직접 회사 노트북에 설정을 했습니다. 이런 번거로운 작업을 피하기 위해 Radius와 연동을 생각했습니다.
보안과 비용을 고려해 개인 휴대폰을 사내망에 연결을 못하도록 차단하고 사내에서 개인휴대폰에 인터넷 서비스를 제공하지 않을 예정입니다.
Fortigate방화벽 장비에 AP가 연결되어 있고 방화벽에서 DHCP로 WIFI 사용자에게 IP를 할당하고 있습니다. Android폰과 iPhone의 경우 방화벽에서 사전 정의된 객체로 정책을 만들어 차단하려고 했으나 펌웨어 버전에 따라 이 기능이 제대로 작동을 하지 않는다는 것을 적용 후 알게 되었습니다.
그래서 현재 AP에서 할 수 있는 방법은 변하지 않는 휴대폰MAC으로 차단하는 방법을 생각했지만 휴대폰에서는 보안강화를 위해 수시로 변하는 임의 MAC주소를 사용하도록 기본값으로 설정 되어 있어 매번 임의 MAC을 등록하는 것은 비효율적이고 관리가 어렵습니다.
두번째로 생각한 것은 Copliot에 문의해 윈도우 서버에 NPS(네트워크 정책 서버)의 네트워크 정책 [조건]에서 윈도우 그룹, 사용자 그룹, 컴퓨터 그룹을 적절히 활용해 적용을 해봐도 제가 생각한 대로 차단이 잘 되지 않습니다. 휴대폰은 모두 차단하고 도메인에 조인된 컴퓨터와 타 도메인에 조인된 컴퓨터(해외 출장자)의 경우 신규 생성한 로컬 도메인 WIFI계정을 사용하여 연결할 수 있도록 구성하고 싶습니다. 위와 같이 설정하신 경험이 있으신 분의 조언을 부탁드립니다.
위 방법이 아니더라도 좋은 방안이 있으면 의견을 부탁드립니다.
1순위는 비용 들이지 않고 기존에 있는 리소스를 잘 활용해서 구축하는 것입니다.
장문의 글을 읽어주셔서 감사합니다.
17개의 답변이 있습니다.
제가 다니는 회사들은 보통 게스트 열어서 핸드폰은 사내망에 접속못하도록하고 회의실마다 qr코드 만들어 붙여놨어요
보통 사내망 ssid 패스워드 노트북 지급할때외에는 넣을일이 없어 큰 문제는 없더라구요
핸드폰으로 프린트가 게스트로사용한다고해도 무선 다이렉트로 출력가능하고
특정 ssid는 mac인증으로 해서 접속하도록하면 접근제어는 됩니다.
다만 사용자가 핸드폰으로 인터넷 하는걸 막으라고하면 간단히 ssid안가르켜준다고 안하는게 아니에요
무선랜 없다고해도 5000원짜리 무선랜카드 하나사서 공유기로 사용가능하기에 찾기도 어렵고
결과적으로 nac뿐이 답이없었고
웹게이트도 누군 막고(직원) 누구는 풀어주고(사장) 나중에 본인핸드폰 교체한거 가르켜주지도 않고 인터넷안된다고 해서 가보면 핸드폰 교체해서 그런거고
대표방에 대표만 접속할수있는 ssid 가르켜주니 패스워드 직원들한데 다 가르켜주고
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입아루바에 사용자별 ID와 PW를 제공하고 mac인증해서 연결할수있도록 가능합니다.
다만ssid별로 사용자 개별 컨트롤은 안됬던거 같은데
암튼 sql연동해서도 가능하지만 좀 어려웠던거 같고 sql 접근권한 때문에...
ap 컨트롤러에도 마리아db가 있다고 해서 aaa 인증쪽에 IDpw 로그인으로 하고 설정하고 2차 mac인증하고 해서 가능합니다.
다만 직원 입퇴사 핸드폰 교체등 일거리 엄청 많아져요 그리고 요새 핸드폰도 보안때문에 맥주소 변환기능이 있어서 머리 아파저요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입그나마 간편하게 할수 있는 방법이 DHCP를 죽이고 고정IP를 할당 및 MAC 등록해서 등록된 사용자만 Wifi를 사용하게 끔 할 수 있는 방법이 있습니다. 단 다른 사업장의 인원이 방문했을시에는 IP와 MAC 등록해야하는 번거로움이 생깁니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입안녕하세요 (주)코레이즈입니다.
네트워크 보안 및 무선과 인증을 가장 잘 하는 기업 코레이즈입니다!
EAP-TTLS -> EAP-TLS 로 변경하셔서 인증서 기반으로 가시는 것도 좋을 것으로 생각됩니다.
(802.1x 인증 + 인증서로 인증처리는 하는 것이지요.)
가능하신 이유는 AD의 CA서버에서 Client 에 강제 인증서를 배포하시고, 정책으로 자동 무선 인증 처리를 하시고, 꼭 써야하는 무선단말기의 경우 Guest VLAN에서 CA서버로 인증서 요청/승인/할당 프로세서로 관리하시면 됩니다.
그럼 WiFi 사용자 VLAN 대역에서 인증서가 없으면 접근할 수 없는 아키텍쳐로 변경가능 합니다.
감사합니다!
http://www.coraise.kr
시간을 내주셔서 답변해 주심에 감사합니다.
이전에 AD에 CA서버에 인증서를 생성해 도메인에 조인된 컴퓨터에서는 인증서를 받는 것을 확인했다면 휴대폰에서도 WIFI연결이 되었습니다. 말씀하신 AD서버의 NPS > 네트워크 정책 > 디폴트 정책의 [제약조건]의 EAP 종류 중 [스마트 카드 또는 기타 인증서]가 인터넷에 검색해보니 말씀하신 EAP-TLS네요. 변경하고 테스트해봐야겠네요.
정말 감사드립니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입접속 IP 범위를 지정 해 두시면 될것 같네요
그리고 패스워드 설정
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입NAC 도입하셔서 등록된 장비만 가능하게끔 하는게 최선인듯 싶긴 한데요,
요즘은 업무용 AP와 인터넷용 AP를 별개로 운영하는 곳도 많더라구요....
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입비용이 안드는 방법으로는 유선Lan을 사용하는 방법인데요.
무선 환경이 필요한 경우는 NAC를 도입 하셔야 할거 같습니다.
아니면 무선AP에서 DHCP를 막고 고정으로만 사용하도록 한 후에
인증된 디바이스에 대해서만 IP를 할당 하는 것도 하나의 방법이 됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입WIFI 인증 방식의 Key;를 변경하는게 가장 적절해 보이는데
변경 후 공수가 많이 들어가 어렵다면
솔루션을 구성할 수 밖에 없을것 같아요
NAC를 통해 구간별 통제를 하거나 Free WIFI를 별도로 구축해서 직원들은
내부 zone WIFI를 접속 차단하는것도 방법이겠네요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입1.비용을 들여서 nac 도입 후 차단
2.스마트폰 mac address 수집후 일괄 차단
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입mac 도입해야 힐 듯
합니더.. 저희도 처음에 막았지만
지금은
뱔더러 ssid 구성해서 인터넷만 가능하도록 열었스빈다만
사용량이 업청
나네요 ㅠㅜ
시간을 내주셔서 답변해 주심에 감사합니다.
휴대폰이 임의MAC 기능을 사용하지 않는다면 MAC도 생각해봤습니다. 근데 수시로 변경되는 MAC을 매번 등록하는 것도 부담이 되네요.
논리적으로 망을 분리해 인터넷망 제공하는 것도 장비의 취약점으로 무효화해 내부망에 침입이 가능할 것 같아 불안하더라구요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입Wi-Fi 비밀 번호를 이용해서 허가된 사용자만이 접근할 수 있도록 하는게 쉬운 방법이 아닐까 싶고요.
접근하는 기기들에 대해 고정 IP를 할당하도록 해서, 정해진 고정 IP가 할당된 기기들만 Wi-Fi를 사용할 수 있도록 하는 것이 좀 더 구체적으로 기기들을 제어할 수 있는 방법이 될 수 있을거라 생각되고요.
NAC 솔루션으로 해결하는 것이 일반적인 방법이 아닐까 하는 생각이 드네요.
시간을 내주셔서 답변해 주심에 감사합니다.
보안 강화를 위해 기존 비밀번호 방식을 포기한 상태라. 회사 컴퓨터 모두에 대해 계속 고정 IP를 부여해 관리하는 게 보안상 적절한 지 의문이 드네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입실제적으로 네트워크 트래픽을 in/out 하는 기준인 방화벽에서 설정하거나
ap 자체에서 os를 구분할 수 있는 정책을 구성할 수 있는 지 보시는 게 좋을 듯 합니다.
1.방화벽에서 address mac을 사내 wifi 사용할 장비 모두 수집하여 지정하는 방법
1.비용들이지 않으면 수작업 밖에 없을 듯 합니다.
2.ap 기능에서 os 구분할 수 있는 지 확인
1.os를 기반으로 정책을 구성
3.포티게이트 ems 사용
1.ems를 활용해서 제로트러스트기반 태그 수집 및 구성하면 방화벽 정책 in/out에 따라 정책을 구성할 수 있습니다.(수집되는 태그로 정책에 반영할 수 있음)
2.다만 해당 솔루션은 도입/구축이 필요합니다.
시간을 내주셔서 답변해 주심에 감사합니다.
1. 아이폰은 모르겠고 안드로이드폰은 WIFI연결 시 수시로 변경되는 임의MAC을 사용하더라구요. 매번 임의MAC주소를 등록해 필터링하는 것은 부담이 되네요.
2. Aruba AP에 ClearPass를 도입해서 OS가 구분가능하다고 하는데 AP 컨트롤러 자체에서도 가능한 지 업체에 문의했는데 계속 알아보고 있다고만 하고 시간이 걸리네요.
3. FortiClient를 고려했는데 예산에서 잘렸습니다. ㅠㅠ
1. 아이폰은 모르겠고 안드로이드폰은 WIFI연결 시 수시로 변경되는 임의MAC을 사용하더라구요. 매번 임의MAC주소를 등록해 필터링하는 것은 부담이 되네요.
-> 이 부분은 반대로 생각하셔야 할 듯 해요, 아이폰/안드로이드 등 모바일 장비에 WIFI연결 차단을 하시려고 하기 때문에 사내에서 지급된 인가된 장비의 MAC을 수집해서 해당 장비들만 가능하게 예외처리를 하시면 되는거라 반대로 기준을 잡으셔야 할 듯 합니다.!
물론, 이것도 MAC을 등록하는 작업은 필요해서 번거롭기는 합니다..!
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입