KR20160059825A

KR20160059825A - 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법

Info

Publication number: KR20160059825A
Application number: KR1020140161862A
Authority: KR
Inventors: 박동훈; 양승용
Original assignee: 닉스테크 주식회사
Priority date: 2014-11-19
Filing date: 2014-11-19
Publication date: 2016-05-27
Also published as: KR101628534B1

Abstract

네트워크에 접속을 시도하는 단말에 대한 네트워크에 접근 제어 장치 및 네트워크 접근 제어 방법을 개시한다. 본 발명에 따르는 네트워크 접근 제어 장치는, 스위치에 연결되어, 상기 스위치에 기연결되고 있는 단말로부터의 EAPoL(Extensible Authentication Protocol over LAN) 챌린지 통신을 모니터링하는 제어부 및 상기 EAPoL 챌린지 통신이 모니터링 된 단말에 대한 인증 상태를 레이디어스 서버(RADIUS Server)에 문의하고, 상기 레이디어스 서버로부터의 회신에 따라, 상기 EAPoL 챌린지 통신에 따른 패킷의 교환을 허용하거나, 차단하는 처리부를 포함한다.

Description

가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법{VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL}

본 발명은 보호해야 할 네트워크 접속을 시도하는 단말에 대한 네트워크에 접근 제어 장치 및 네트워크 접근 제어 방법에 관한 것이다.

802.1x 보안표준을 지원하는 스위치(인증자)는 스위치에 연결된 단말(인증 요청자)의 네트워크 접속, 즉 네트워크에 접근하는 단말의 접속을 제어할 수 있다.

구체적으로, 스위치는 무선 또는 유선으로 스위치에 연결된 단말을 802.1x 보안표준을 통해 네트워크에 접속하도록 할 수 있다. 단말이 네트워크 접속을 요청하면, 스위치는 EAPoL(Extensible Authentication Protocol over LAN) 챌린지를 단말에 보내고, 단말은 이에 대한 응답을 다시 스위치에 보낼 수 있다. 스위치는 단말의 인증 상태를 레이디어스 서버(RADIUS Server, 인증 서버)에 문의하고, 인증이 된 단말인 경우 네트워크에 접속할 수 있도록 할 수 있다.

이러한 802.1x 보안표준은 IP 주소를 받기 이전에 사용자 인증을 완료해야 하는 보안성이 가장 뛰어난 L2 레벨 사용자 인증기술이며, 단말에 설치된 어떠한 보안 프로그램도 EAPoL 챌린지를 막지 않으므로 단말의 인증 여부를 성공적으로 확인할 수 있는 장점이 있다.

그러나 802.1x 보안표준을 지원하지 않는 스위치의 경우, 위와 같은 802.1x 인증을 수행할 수 없다. 즉, 기존 네트워크에 설치된 스위치 중 802.1x 보안표준을 준수하지 않은 스위치나, 전기적 신호만 오가는 L1 레벨 장비 또는 802.1x 보안표준 개발 전의 구형 스위치의 경우, EAPoL 챌린지 통신을 이용한 인증을 수행할 수 없다.

만약, 기존에 설치된 스위치를 802.1x 보안표준을 지원하는 스위치로 교체한다면 막대한 자원이 낭비될 수 있다.

그러므로, 기존에 설치된 스위치를 유지하면서, EAPoL 챌린지를 통한 802.1x 인증을 수행할 수 있는 장치 및 방법의 개발이 필요한 실정이다.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 일실시예에 따르면, 802.1x 보안표준을 지원하지 않는 스위치에서 가상의 802.1x를 실행함으로써, 802.1x보안표준을 통한 단말의 네트워크 접근을 제어하는 것을 목적으로 한다.

또한, 본 발명은, 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 높거나 낮을 경우에 NAC 서버에 대한 접속 IP를 단말에 전송하여 단말이 NAC 서버에 접속할 수 있도록 하는 것을 다른 목적으로 한다.

또한, 본 발명의 또 다른 목적은, 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않더라도 단말의 에이전트 설치 여부를 파악하고, 네트워크로의 단말 접속을 제어할 수 있는 데에 있다.

상기의 목적을 이루기 위한 네트워크 접근 제어 장치로서, 스위치에 연결되어, 상기 스위치에 기연결되고 있는 단말로부터의 EAPoL(Extensible Authentication Protocol over LAN) 챌린지 통신을 모니터링하는 제어부 및 상기 EAPoL 챌린지 통신이 모니터링 된 단말에 대한 인증 상태를 레이디어스 서버(RADIUS Server)에 문의하고, 상기 레이디어스 서버로부터의 회신에 따라, 상기 EAPoL 챌린지 통신에 따른 패킷의 교환을 허용하거나, 차단하는 처리부를 포함할 수 있다.

또한, 상기의 목적을 달성하기 위한 네트워크 접근 제어 방법은, 단말에서 네트워크로의 접속 요청이 발생함에 따라, 상기 단말로부터 MAC 주소를 포함하는 요청 메시지를 수신하는 단계와, 상기 MAC 주소를 이용하여, 상기 단말에 에이전트가 설치되는지를 판단하는 단계 및 상기 에이전트가 설치된 것으로 판단되는 경우, 상기 요청 메시지를 NAC 서버로 전달하고, 상기 NAC 서버로부터 응신 메시지가 수신되면, 상기 응신 메시지를 상기 단말로 전송하여 상기 네트워크로의 상기 단말 접속을 허용하는 단계를 포함하여 구성할 수 있다.

본 발명의 일실시예에 따르면, 802.1x 보안표준을 지원하지 않는 스위치에서 가상의 802.1x를 실행함으로써, 802.1x보안표준을 통한 단말의 네트워크 접근을 제어할 수 있다.

또한, 본 발명의 일실시예에 따르면, 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 높거나 낮을 경우에 NAC 서버에 대한 접속 IP를 단말에 전송하여 단말이 NAC 서버에 접속할 수 있다.

또한, 본 발명의 일실시예에 따르면, 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않더라도 단말의 에이전트 설치 여부를 파악하고, 네트워크로의 단말 접속을 제어할 수 있다.

도 1은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치의 구체적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템을 나타내는 도면이다.
도 3은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템을 설계하기 위한 구성 요소를 나타내는 도면이다.
도 4 내지 도 7은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 설계하기 위한 구성 및 과정을 설명하기 위한 도면이다.
도 8은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템에서 서버 프로세스를 설계하기 위한 구성 요소를 나타내는 도면이다.
도 9는 본 발명의 일실시예에 따른 네트워크 접근 제어 방법을 구체적으로 도시한 작업 흐름도이다.
도 10 및 도 11은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.
도 12 및 도 13은 네트워크 접근 제어 장치의 레벨이 NAC 서버가 갖는 레벨보다 높을 경우의 문제점을 설명하기 위한 도면이다.
도 14 및 도 15는 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 높을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.
도 16은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 낮을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.
도 17은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 차단 과정을 설명하기 위한 도면이다.
도 18은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.

이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

본 명세서에서 설명되는 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법은, MAC 주소를 이용하여 단말에 에이전트 설치 유무를 판단하고, 에이전트가 설치되어 있는 경우 NAC 서버로부터 수신한 응신 메시지를 단말에 전송함으로써, 네트워크로의 단말 접속을 허용할 수 있다.

구체적으로, 네트워크 접근 제어 장치는 기존에 설치된 스위치에 연결되어, 가상의 802.1x 기능을 수행할 수 있다. 먼저, 네트워크 접근 제어 장치는 네트워크에 접근한 단말과 스위치가 통신하는 상태를 모니터링할 수 있다. 또한, 네트워크 접근 제어 장치는 단말의 인증 여부를 레이디어스 서버에 문의할 수 있고, 인증 여부에 따라 단말이 네트워크와 패킷을 교환하는 것을 허용하거나 차단할 수 있다. 네트워크 접근 제어 장치의 구체적인 구성은 도 1을 참조하여 설명하고자 한다.

도 1은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치의 구체적인 구성을 나타내는 도면이다.

본 발명의 네트워크 접근 제어 장치(100)는 제어부(110) 및 처리부(120)를 포함하여 구성할 수 있다. 또한, 실시예에 따라, 네트워크 접근 제어 장치(100)는 판단부(130)를 추가하여 구성할 수 있다.

우선, 제어부(110)는 스위치에 연결되어, 상기 스위치에 기연결되고 있는 단말로부터의 EAPoL(Extensible Authentication Protocol over LAN) 챌린지 통신을 모니터링한다. 즉, 네트워크 접근 제어 장치(100)는 스위치를 통하는 모든 프로토콜 프레임(Protocol Frame)을 관찰할 수 있는데 특히, 단말과 스위치가 주고 받는 EAPoL 챌린지를 모니터링할 수 있다.

다음으로, 처리부(120)는 EAPoL 챌린지 통신이 모니터링 된 단말에 대한 인증 상태를 레이디어스 서버(RADIUS Server)에 문의하고, 상기 레이디어스 서버로부터의 회신에 따라, 상기 EAPoL 챌린지 통신에 따른 패킷의 교환을 허용하거나, 차단한다. 즉, 처리부(120)는 EAPoL 챌리지에 대한 단말의 응신메시지를 레이디어스 서버로 전달할 수 있고, 레이디어스 서버로부터 단말이 인증된 것으로 회신을 받을 경우, 단말과 네트워크 간의 패킷 교환을 허용할 수 있다. 또한, 처리부(120)는 레이디어스 서버로부터 단말이 인증되지 않은 것으로 회신을 받을 경우, 단말과 네트워크 간의 패킷 교환을 차단할 수 있다.

먼저, 네트워크 접근 제어 장치(100)가 미인증된 단말에 대한 패킷의 교환을 차단하는 것을 설명한다.

상기 레이디어스 서버는 802.1x 비인증 상태의 단말에 대해, 차단 회신을 송출할 수 있고, 처리부(120)는 상기 EAPoL 챌린지 통신이 모니터링 된 단말을 차단대상 단말로 지정하여, 상기 패킷의 교환을 차단할 수 있다.

구체적으로, 상기 패킷이 상기 차단대상 단말을 목적지로 지정하는 경우, 처리부(120)는 ARP(Address Resolution Protocol) 브로드케스트 요청시, 상기 차단대상 단말의 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하여, 상기 패킷이, 상기 차단대상 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 할 수 있다. 여기서, 페이크 단말은 네트워크 접근 제어 장치(100)일 수 있으며, 네트워크 접근 제어 장치(100)는 차단대상 단말을 목적지로 하는 패킷을 수신하면 폐기(Drop)시킬 수 있다.

즉, 처리부(120)는 차단대상 단말의 MAC 주소를 문의하는 ARP 브로드케스트를 요청 받으면, 차단대상 단말의 MAC 주소가 아닌 페이크 단말의 MAC 주소를 알려줄 수 있다. 예를 들면, 차단대상 단말의 IP 주소가 'IP1'이고, MAC 주소가 'MAC1'일 경우, 처리부(120)는 상기 차단대상 단말에 대한 ARP 브로드케스트가 요청되면 차단대상 단말의 MAC 주소를 'MACa'로 알려줄 수 있다. 그러면 차단대상 단말을 목적지로 하는 패킷은 모두 MACa 주소를 갖는 페이크 단말로 전달될 수 있다. 다시 말해, 네트워크 접근 제어 장치(100)는 차단대상 단말이 요청한 패킷을 차단대상 단말이 받지 못하게 함으로써, 차단대상 단말의 네트워크 접속을 차단할 수 있다.

또한, 상기 패킷이 상기 차단대상 단말을 출발지로 지정하는 경우, 처리부(120)는 ARP 리퀘스트 요청시, 상기 차단대상 단말이 목적지로 입력한 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하는 페이크 응답을 상기 차단대상 단말로 전송하여, 상기 패킷이, 목적지의 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 할 수 있다. 여기서, 페이크 단말은 네트워크 접근 제어 장치(100)일 수 있으며, 네트워크 접근 제어 장치(100)는 차단대상 단말이 보내는 패킷을 수신하면 폐기(Drop)시킬 수 있다.

다시 말해, 차단대상 단말을 출발지로 하는 패킷은 모두 네트워크 접근 제어 장치(100)로 오도록 할 수 있으므로, 이때 처리부(120)는 차단대상 단말이 목적지로 지목한 단말에 대한 MAC 주소를 변경할 수 있다. 예를 들면, 차단대상 단말이 네트워크에 패킷을 보내기 위하여 게이트웨이(Gateway)의 MAC 주소를 문의하는 ARP 리퀘스트를 요청할 수 있는데, 처리부(120)는 요청된 ARP 리퀘스트에 대한 페이크 응답으로, 상기 게이트웨이의 IP 주소와 쌍을 이루는 MAC 주소 대신 MACa 주소를 차단대상 단말에 보낼 수 있다. 이로써, 네트워크 접근 제어 장치(100)는 상기 패킷이 페이크 단말로 전달되도록 함으로써, 차단대상 단말이 네트워크 상에서 차단될 수 있도록 할 수 있다.

또한, 네트워크 접근 제어 장치(100)는 상기 페이크 응답과 함께, 패킷의 차단에 관한 메시지, 또는 에이전트의 설치에 관한 메시지를 전송할 수 있다. 즉, 네트워크 접근 제어 장치(100)는 패킷이 차단된 것을 알리는 메시지 또는 에이전트를 설치하는 것에 관한 메시지를 페이크 응답과 함께 차단대상 단말에 보낼 수 있다. 이때, 에이전트는 802.1x 보안표준을 지원하는 모듈이 포함된 소프트웨어인 NAC(Network Access Control) 에이전트일 수 있다.

예를 들면, 네트워크 접근 제어 장치(100)는 차단대상 단말에게 페이크 응답을 보내면서, NAC 에이전트를 설치할 수 있는 페이지로 유도할 수 있다. NAC 에이전트를 설치할 수 있는 페이지에서는 802.1x 보안표준을 지원하는 모듈이 포함된 소프트웨어를 제공할 수 있다. 차단대상 단말이 NAC 에이전트를 설치하면, NAC 에이전트를 설치한 차단대상 단말은 EAPoL 챌린지 통신을 통하여 인증을 다시 시도할 수 있다.

만일, 차단대상 단말이 NAC 에이전트를 설치할 수 있는 페이지에서 NAC 에이전트를 설치할 수 없다는 요청을 보내면, 네트워크 접근 제어 장치(100)는 NAC 에이전트 설치 페이지가 포함된 로컬(Local)의 네트워크로 유도할 수 있다.

다음으로, 네트워크 접근 제어 장치(100)가 인증된 단말에 대한 패킷의 교환을 허용하는 것을 설명한다.

상기 레이디어스 서버는 802.1x 인증 상태의 단말에 대해, 허용 회신을 송출할 수 있고, 처리부(120)는 상기 EAPoL 챌린지 통신이 모니터링 된 단말을 목적지로 지정하는 패킷, 및 출발지로 지정하는 패킷의 교환을 허용할 수 있다. 즉, 처리부(120)는 EAPoL 챌린지 통신을 통해 레이디어스 서버로부터 허용 회신을 받은 단말을 인증을 받은 것으로 간주하고, 상기 단말에 대한 패킷의 교환을 허용할 수 있다. 이때, 처리부(120)는 단말의 인증 상태를 기록하는 테이블에 단말의 인증 여부를 기록할 수 있다. 예를 들면, '단말1'이 레이디어스 서버로부터 인증을 받았을 경우, 처리부(120)는 '단말1의 MAC1'은 '인증'이라고 테이블에 기록할 수 있다. 또한, '단말2'가 레이디어스 서버로부터 미인증을 받았을 경우, 처리부(120)는 '단말2의 MAC2'는 '미인증'이라고 테이블에 기록할 수 있다.

또한, 처리부(120)는 재인증 주기의 도래에 따라, 상기 스위치에 기연결되고 있는 단말에 대한 인증 상태를 레이디어스 서버에 재문의하고, 상기 인증 상태를 기록하는 테이블을 갱신할 수 있다. 즉, 처리부(120)는 주기적으로 스위치에 연결된 단말의 인증 상태를 레이디어스 서버에 문의할 수 있고, 레이디어스 서버의 회신에 따라 인증 여부를 기록하는 테이블을 갱신할 수 있다.

예를 들면, 처리부(120)는 '단말1'이 인증을 받은 단말이라고 해도 재인증을 통해 주기적으로 인증 여부를 확인할 수 있다. 만일, 처리부(120)가 '단말1'의 인증 상태를 레이디어스 서버에 재문의하였는데 차단 회신을 받는다면, 처리부(120)는 '단말1'이 '인증'이라고 기록된 테이블을 '미인증'으로 갱신할 수 있다. 그러면, '단말1'은 패킷 교환이 차단되어 네트워크 접속이 차단될 수 있다.

또한, 판단부(130)는 상기 스위치에 기연결되고 있는 단말에 에이전트가 설치되는지를 판단할 수 있다. 이때, 처리부(120)는 상기 단말로 에이전트 설치 정보를 전송하거나, 또는 상기 레이디어스 서버에 대한 접속 IP를 상기 단말로 전송하여, 상기 단말에서 상기 레이디어스 서버를 통해 상기 에이전트 설치 정보를 다운로드 하도록 할 수 있다.

즉, 판단부(130)는 스위치에 연결된 단말에 대하여 에이전트 설치 유무를 판단할 수 있으며, 처리부(120)는 에이전트가 설치되지 않은 단말에 대하여 에이전트를 설치하도록 할 수 있다. 여기서, 처리부(120)는 에이전트 설치 정보로서, 에이전트를 설치할 수 있는 페이지 또는 에이전트 파일을 전송할 수 있다. 또는, 처리부(120)는 레이디어스 서버를 통해 에이전트 파일을 다운로드할 수 있도록 할 수 있다.

이러한, 본 발명의 네트워크 접근 제어 장치(100)에 따르면, 802.1x 보안표준을 지원하지 않는 스위치에서 가상의 802.1x를 실행함으로써, 802.1x보안표준을 통한 단말의 네트워크 접근을 제어할 수 있다.

도 2는 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템을 나타내는 도면이다.

NAC 에이전트는 단말 무결성 점검, 네트워크 접근 권한 제어 및 유/무선 네트워크 인증을 할 수 있다.

또한, NAC 서버는 사용자 인증을 위한 RADIUS 서버, 동적 IP 할당을 위한 DHCP 서버, NAC 정책을 단말에 전송하는 정책서버, 차단 서버 관리를 위한 기능 및 에이전트 업데이트 서버의 역할을 할 수 있다.

또한, 네트워크 접근 제어 장치(100, NAC Controller)는 에이전트 미 설치 단말 설치 유도 및 가상 802.1x 지원을 위한 가상 스위치 모듈 역할(스위치에 1x 를 인에이블(Enable)하지 않고 1x 기능 수행)을 할 수 있다. 네트워크 접근 제어 장치(100)는 차단 서버라고도 할 수 있으며, V802.1x 의 경우 각 서브넷(Subnet)을 모니터링이 가능할 수 있다.

마지막으로, 스위치 또는 AP는 포트 미러(Port Mirror)를 통해 네트워크 접근 제어 장치(100)가 특정 서브넷 하의 모든 네트워크를 모니터링 할 수 있도록 할 수 있다.

도 3은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템을 설계하기 위한 구성 요소를 나타내는 도면이다.

먼저, V802.1x 환경 하 네트워크 접근 제어 장치(100, Controller)의 역할은 다음과 같다.

네트워크 접근 제어 장치(100)는 크게 커넬(Kernel) 구성 요소와 유저 스페이스(User Space) 구성 요소로 나눌 수 있다. 커넬 구성 요소는 인증 받지 않은 단말의 트래픽을 차단하고 웹 브라우저 사용 시 설치를 유도하는 기능을 수행할 수 있다. 유저 스페이스 모듈은 가상 802.1x 소프트웨어 스위치인 'hostapd'와 'inefd'로 구성될 수 있다.

소프트웨어 스위치인 'hostapd'는 802.1x 기반 단말 'state machine'관리를 수행하며, 단말과 'RADIUSD'가 상호 인증을 할 수 있도록 중계하는 역할을 수행할 수 있다. 또한, 'hostapd'는 'hostapd' 인증 서버의 입장에서 보면 'NAS' 역할을 수행하는 'RADIUS client module'일 수 있다.

'Ex_inf'는 서버 정책 수신 모듈일 수 있으며, 관리 콘솔에서 설정한 정책을 'socket'을 통해 수신하고, 차단 서버에 해당 내용이 반영 될 수 있도록 할 수 있다.

'Inefd'는 단말 OS 식별 'Netbios' 이름 식별 및 'hostapd'와 통신을 수행하여 인증 결과를 커넬에 전달하는 기능을 수행할 수 있다. V802.1x 사용과 함께 기존 기능이었던 단말의 에이전트 설치 유무의 판단 역할을 위해 사용되는 UDP 기반 체크 방식은 사용하지 않을 수 있다.

다음으로, 인증 서버의 역할은 다음과 같다.

'RADIUSD'는 가상 스위치에서 들어오는 802.1x 기반 RADIUS 인증 및 Accounting 요청을 처리할 수 있다.

'LOGD'는 컨트롤러의 'inefd'를 통해 오는 컨트롤러 이벤트 로그를 수신하여 데이터베이스에 저장할 수 있다.

'WAS'는 기존 컨트롤러 인증과는 다르게 단말 인증 처라는 수행하지 않을 수 있다. 에이전트 트레이 프로세스(Tray Process)를 통해 요청되는 정책 전송 요청 및 에이전트 업데이트 요청을 처리할 수 있다.

커넬 및 유저 스페이스 모듈의 각 구성 요소의 기능을 구체적으로 설명하면 다음과 같다.

먼저, 'EF_ARP_IN'는 ARP 패킷(ARP Packet)을 분석하여 차단할 단말을 ARP 조작을 통해 격리할 수 있다. 또한, IP 주소의 목적지가 배포 서버를 향하는 경우는 차단된 단말이라도 MAC 주소의 목적지를 조작하여 패킷이 도달 할 수 있도록 할 수 있다. (L2 forwarding)

'EF_MIRROR_IN'는 차단된 단말이 TCP를 통해 네트워크를 사용하고자 하는 경우 리셋 패킷(Reset Packet)을 이용할 수 있다.

'EF_REDIR_IN'는 설치 유도를 위하여 차단된 단말이 웹(WEB)을 사용하고자 하는 경우 목적지 IP 주소를 자신으로 바꾸어 설치 유도 기능을 수행할 수 있다. 설치 유도 기능을 수행하기 위해서는 DNS 서비스도 리디렉션(redirection) 시킬 수 있다. 네트워크 접근 제어 장치(100)에 간단한 DNS 서비스가 설치 되어야 기능을 수행할 수 있다.

'EF_REDIR_OUT'은 설치 유도를 위하여 'EF_REDIR_IN'에 의해 리디렉션 된 패킷의 응답 패킷을 송신하는 경우 'Source IP'를 원본 패킷(Original Packet)의 목적지 IP로 바꾸어 설치 유도가 원만히 이루어 질 수 있도록 할 수 있다. 즉, 설치 유도 대상 단말은 패킷이 리디렉션 된 것을 모르게 할 수 있다.

'Efctl'는 커넬 모듈에서 정보를 가져오는 유틸리티일 수 있다. 예를 들면, 각 IP 별 'block/allow' 유무를 'efctl ?' 명령으로 알 수 있다.

'Inefd'는 단말의 'Netbios' 이름 및 OS 정보를 수집할 수 있다. 또한, 중요한 보안 이벤트 정보를 정책 서버로 전송할 수 있다. 또한, 가상 스위치 서비스인 'hostapd'와 통신하여 단말의 인증 유무를 커넬에 전달할 수 있다.

'Hostapd'는 단말 인증을 수행하는 소프트웨어 802.1x 스위치일 수 있다. 단말의 '1x state machine'을 관리할 수 있으며, 에이전트 서비스인 'ANYSVC'와 L2 레이어 통신인 EAPoL 프로토콜을 사용하여 통신을 수행할 수 있다. 이를 'RADIUSD'에 전달하여 1x 인증과 동일한 방식으로 네트워크 접근 제어가 동작 하도록 할 수 있다.

'Efcli'는 'Inefd' 서비스에 대한 명령 라인 인터페이스(command line interface)일 수 있다. 설정 조회, 설정 다시 로드 및 파라미터 설정 등에 사용될 수 있다.

'Hapdcli'는 'Hostapd' 서비스에 대한 명령 라인 인터페이스(command line interface)일 수 있다.

'Ex_Inf'는 정책 서버의 'WAS'로부터 구성(Configuration) 정보를 수신하여 저장 및 적용하는 기능을 수행할 수 있다.

그 밖의 구성 요소는 다음과 같은 기능을 구체적으로 설명하면 다음과 같다.

'RADIUSD'는 802.1x 인증을 수행할 수 있으며, 가상 스위치인 'hostapd'가 'RADIUS client'가 될 수 있다. 또한, 단말의 네트워크 사용 현황 정보가 담긴 어카운팅 패킷(Accounting Packet)을 처리할 수 있다.

'WAS'는 정책 서버의 'WAS'로 네트워크 접근 제어 장치(100)의 설정 정보를 'ex_inf'로 전달할 수 있다.

'Anysvc'는 에이전트의 802.1x 서비스로 가상 스위치인 'hostapd'와 EAP over LAN 프로토콜로 통신할 수 있다. 이때, 에이전트 서비스의 입장에서는 가상 1x 와 1x 를 구분 할 수 없다.

도 4 내지 도 7은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 설계하기 위한 구성 및 과정을 설명하기 위한 도면이다.

도 4는 네트워크 접근 제어 장치(100)에 포함된 커널의 기반이 되는 넷필터(Netfilter) 프레임워크를 도식화 한 것이다.

프레임워크 상에서는 5개의 'hook point'를 제공할 수 있다. 예를 들면, 'PREROUTING INPUT OUTPUT FORWARD POSTROUTING'일 수 있다.

도 4에서 'routing decision'이라고 함은 패킷을 'local process'로 보내야 할지 다른 인터페이스를 통하여 나갈 수 있도록 전달해야 할지를 결정하는 과정을 의미할 수 있다.

여기서, 'PREROUTING'은 목적지 IP 주소를 검사하여 해당 패킷을 자신으로 리디렉션할지 결정하는 기능이 주로 들어 갈 수 있다. 'FORWARD'는 패킷을 전달해야 할지 차단해야 할지를 결정하는 ACL 혹은 방화벽 기능을 위해 사용 될 수 있다. 또한, 'POSTROUNTING'은 'PRESOUNTING'에서 리디렉션된 패킷의 응답 패킷의 출발지 IP 주소를 요청 패킷의 목적지 IP 주소로 설정하여 전송할 수 있다.

도 5는 가상 스위치 상에서 단말의 상태 머신(802.1x 가상 스위치 front-end state machine)에 대한 상태 전이를 나타내는 도면이다.

먼저, 상태를 관리해야 할 객체는 MAC 주소로 표현 할 수 있다. 최종적으로 인증(AUTHENTICATED) 상태가 되어야 단말이 네트워크 사용 가능한 상태가 될 수 있다. 해당 상태가 되기 위해서는 EAP 인증 과정이 성공적으로 끝난 경우일 수 있다.

V802.1x 환경에서 'white' 리스트에 속해 있는 단말의 경우, 'portMode'가 'forceAuthorized' 상태로 설정되어야 한다. 도 5는 'portMode'가 'auto'로 설정 되어 있는 경우일 수 있다. 해당 값이 'forceUnauthorized' 상태인 것은 해당 단말은 무조건 차단 한다는 의미일 수 있다.

상태 전이는 에이전트 'EAP over LAN' 패킷의 송수신 및 'timer event'에 의해 유발될 수 있다. 이때, 상태 머신은 설정 파라미터에 의해 영향을 받을 수 있다. 여기서, 설정 파라미터는 다음의 내용이 존재할 수 있는데, 'quitePeriod'는 단말의 상태 머신을 HELD 상태로 유지하는 시간(초단위)을 나타내는 것일 수 있다.

도 6은 가상 스위치 상에서 클라이언트 상태 머신(802.1x 가상 스위치 back-end state machine)에 대한 상태 전이를 나타내는 도면이다.

최종적으로, SUCCESS 상태가 되어야 단말이 네트워크 사용 가능한 상태가 될 수 있다. 이때, 상태 전이는 인증 서버와의 EAP 통신 및 'timer event'에 의해 유발 될 수 있다. 즉, 도 6에서 상태 전이는 가상 스위치와 레이디어스 서버와의 통신 과정에 의해 변하게 될 수 있다. 여기서, 상태 머신은 설정 파라미터에 의해 영향을 받을 수 있다.

도 7은 가상 스위치 상에서 클라이언트 상태 라이프 사이클(Life Cycle)을 나타내는 도면이다.

에이전트가 네트워크에 출현하여 인증을 받고, 인증 후 네트워크를 사용하고 다시 네트워크에서 이탈하는 과정에서 네트워크 접근 제어 장치(100)의 구성요소가 어떻게 동작하는지 상술할 것이다.

먼저, 'Send config'이 수행될 수 있다. 기존에 웹 UI와 설정 수신 모듈인 'ex_inf'간 통신 프로토콜에서 추가된 부분은 컨트롤러 기본 설정인 'config.xml' 값 및 고정 IP 정보를 설정하는 부분일 수 있다. 통신 구간은 'SSL'을 이용하여 보호될 수 있으며, 접속(connection) 시 'product id'를 이용한 상호 인증 과정을 거칠 수 있다. 자세한 사항은 프로토콜 설계 부분에서 설명한다.

다음으로, 'Set config'를 수행할 수 있다. 'Send config'에 의해 'inefd'의 설정 파일과 'hostapd'의 설정 파일이 바뀌게 되며 설정 적용을 위해서는 'revonfiguration' 명령을 'inefd'와 'hostapd'로 보낼 수 있다.

다음으로, 'Auth req'에서는 사용자가 먼저 인증을 수행 하고자 하는 경우, '802.1x PAE multicast MAC'을 목적지 MAC 주소로 하여 'EAPoL start'를 보낼 수 있다. 스위치는 인증 되지 않은 단말에 대하여 주기적으로 'EAPoL Request Identity' 패킷을 보낼 수 있다. 이때, 보내는 주기는 '802.1x state machine' 표준을 따를 수 있다. 네트워크 접근 제어 장치(100)의 부팅 직후 약간의 시간 단위를 제외하면, 단말은 인증에 성공할 때까지 네트워크 사용이 불가능할 수 있다. 네트워크 접근 제어 장치(100)가 부팅한 이후 얼마간의 시간 동안은 네트워크를 차단하여서는 안되며, 이미 인증 받은 단말을 알아내기 위하여 네트워크 상의 모든 단말에게 'EAP request identity'를 보내어 인증 받은 단말이 자동으로 다시 인증이 될 수 있도록 할 수 있다. 이렇게 동작하지 않으면 네트워크 접근 제어 장치(100)를 재부팅하는 경우, 사용자들이 얼마간의 시간 동안 네트워크를 사용 할 수 없는 상황이 발생할 것이다. 테스트에 의해 네트워크를 차단하지 않는 시간은 최적화 되어야 하겠지만, 'bridge interface'가 'MAC learning'하는 시간을 고려하면 1분 정도의 시간이 적당할 수 있다.

다음으로, 'Auth'를 수행할 수 있다. 가상 스위치는 단말과 인증서버 사이에 인증 과정을 중계 하는 역할을 수행할 수 있다. 단말과 'hostapd' 사이의 EAPoL 패킷을 'EAP over RADIUS' 패킷으로 변환하여 인증서버로 중계할 수 있다. 802.1x의 용어를 사용하면 'hostapd'가 인증자(Authenticator) 역할을 수행함을 의미 할 수 있다. 이러한 상황 때문에 네트워크 접근 제어 장치(100)는 인증 서버에 'NAS'로 등록될 수 있다. 등록 시, 'shared secret'은 네트워크 접근 제어 장치(100)의 'product id'를 이용하도록 할 수 있다.

다음으로, 'Auth notify'를 수행할 수 있다. 단말과 인증서버 사이의 인증이 성공 또는 실패로 끝나는 경우, 'hostapd'는 이를 'inefd'로 알려 주어 네트워크를 차단허용 할 수 있다. 두 서비스 사이의 RPC 메커니즘은 'UDP socket' 기반 'control interface'를 사용할 수 있다.

다음으로, 'Set rules'를 수행할 수 있다. V802.1x 환경하에서는 802.1x 와 마찬가지로 인증 전에는 모든 네트워크가 차단될 수 있다. 이는 기존의 SSL 인증과 네트워크 접근 제어 장치(100)의 동작 방식과는 다를 수 있다. V802.1x 인증에 따른 네트워크 허용 여부가 802.1x와 다른 점은, V802.1x는 인증 전이라도 배포 서버와 통신이 되게 열어 줄 수 있다는 점일 수 있다. 이는 기존 802.1x 방식의 문제점인 에이전트 배포 이슈를 해결하게 할 수 있다. 이러한 차단 동작은 커넬 모듈에 의해서 수행될 수 있으며, 'inefd'는 인증 결과를 알려 주어 커넬이 단말을 차단, 허용 또는 설치 유도를 할 수 있도록 한다. 'inefd'가 커넬에 설정을 알려주는 메커니즘으로 'setsockopt'를 이용할 수 있다.

다음으로, 'HC req'를 수행할 수 있다. V802.1x 환경 하에서 가장 중요한 부분이 'Accounting' 데이터를 정확하게 서버로 전송하는 것일 수 있다. 'Accounting' 데이터를 통해 서버에서는 단말의 IP 사용 이력을 정확하게 알 수 있다. 802.1x 환경에서는 물리적 포트의 상태를 알 수 있기 때문에 단말이 'EAPoL Logoff'를 보내지 않아도 물리적으로 포트(Port)가 언플러그(Unplug) 상태로 되는 것을 알 수 있다. 하지만, V802.1x 하 에서는 물리적 포트의 상태를 감지 할 수 없는 문제가 있을 수 있다. 즉, 단말이 네트워크 인터페이스가 언플러그 되었는지 알 수 있는 방법이 없을 수 있는데, 이를 해결하기 위하여 'probe interval' 주기로 'probe packet'을 전송하여 단말이 네트워크에서 이탈하였는지 조사할 수 있다. 커넬이 유저 스페이스에 어떠한 내용을 알려주는 메커니즘은, 'netlink socket'이 이용될 수 있다.

다음으로, 'Basic check'를 수행할 수 있다. 단말의 OS 정보 에이전트 버전 호스트 이름과 같은 정보는 에이전트가 설치되어 있으면 인증과 무관하게 알 수 있다. 에이전트가 설치 되지 않은 경우, 'nmap'과 'netbios name query'를 이용하여 단말의 정보를 가져오는 것이 필요하며, 이는 'inefd'에서 수행되도록 할 수 있다.

마지막으로, 'Acct notify'를 수행할 수 있다. 단말이 이탈하는 경우, 'inefd'는 'hostapd'에 단말 이탈을 알려 주어 'hostapd'가 레이디어스 서버에 'Account-Stop' 메시지를 보낼 수 있도록 할 수 있다.

도 8은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치를 포함하는 네트워크 접근 제어 시스템에서 서버 프로세스를 설계하기 위한 구성 요소를 나타내는 도면이다.

먼저, 사용자 인증 절차는 다음과 같이 수행될 수 있다.

가상 스위치 정보 조회는 컨트롤러 정보 등록 시, 자동으로 'NAS' 정보에도 등록 되어야 가상 802.1x 동작이 가능할 수 있다. 이때, 'shared secret'은 컨트롤러 셋업(Setup)시 난수로 생성된 'product id'를 이용할 수 있다.

EAP 인증 처리는 기존 처리 로직과 동일할 수 있다. 사용자 정보에 인증 알고리즘이 명시 되어 있는 경우, 해당 알고리즘으로 EAP 챌린지를 할 수 있다. 만일, 사용자 정보에 인증 알고리즘이 명시 되어 있지 않는 경우, 서버설정에 의해 EAP 챌린지를 할 수 있다. 사용자가 EAP 챌린지에 대해 'EAP-NAK'을 통해 원하는 EAP 타입을 보내는 경우(즉, 해당 알고리즘을 거부하고 다른 알고리즘을 요청하는 경우), 서버에서 지원하는 알고리즘인 경우 해당 원하는 EAP 타입으로 다시 챌린지를 수행할 수 있다. 이때, EAP 인증 절차는 표준에 의거하여 처리될 수 있다.

EAP 인증 과정은 실제로 단말(Supplicant)과 인증 서버(Authentication Server)와의 통신 과정이지만 해당 과정을 가상 스위치가 중계할 수 있다. 단말과 가상 스위치 사이 구간은 EAP를 레이어2 패킷인 EAPoL에 수납하여 통신될 수 있으며, 가상 스위치와 인증서버 구간은 EAP 패킷이 레이디어스 서버에 수납되어 통신될 수 있다. 이러한 프로토콜 컨버팅(Converting)작업을 가상 스위치가 할 수 있다. 가상 스위치는 무선 구간 암호화 키가 필요하지 않으므로 키(Key) 관리가 필요 없을 수 있다.

인증 결과 로깅은 모든 인증 과정이 끝나는 경우(최종적 'Access-Accept' 혹은 'Access-Reject')를 보내기 전에 인증 결과 및 실패 사유를 데이터베이스의 'radauthlog' 테이블에 기록할 수 있다. 'SQL injection' 공격에 대비하기 위하여 SQL 문에서 사용이 불가한 문자(Character)인 경우 이스케이프(Escape) 처리할 수 있다. 또한, 'PEAP', 'TTLS'와 같이 터널(Tunnel) 인증 프로토콜을 사용하는 경우, 터널안에만 올바른 사용자 ID가 존재 할 수 있으므로 터널안에서만 인증 로그를 남길 수 있다.

다음으로, 'Accounting 처리 절차'는 다음과 같이 수행될 수 있다.

레이디어스 패킷 세너티 체크(RADIUS Packet Sanity Check) 및 디코딩(Decoding)은 레이디어스 인증 패킷이 1813 포트로 수신된 경우, 해당 패킷의 세너티 체크(Sanity Check)과 디코딩(Decoding)을 수행할 수 있다. 세너티 체크와 디코딩은 'Main thread'에서 진행될 수 있다. 이때, 'Thread pool'에 작업을 할당할 수 있다.

V802.1x 지원하는 가상 스위치 정보 조회는 레이디어스 패킷의 소스 IP(Source IP)를 이용하여 패킷을 송신한 가상 스위치 정보를 식별함으로써 수행될 수 있다. 특히, 1:1 NAT 환경하에서 가상 스위치와 인증 서버가 통시되는 경우, 반드시 인증서버 입장에서 보이는 가상 스위치의 소스 IP를 등록할 수 있다. 또한, 'AP cache'구조체의 'shared secret' 정보를 이용하여 'RADIUS attribute'의 'Message-Authenticator attribute' 검증을 할 수 있다. 즉, 검증에 실패 한 경우 데이터베이스에 로그를 남기고 해당 AP 정보를 'cache'에서 삭제할 수 있다. 또한, 이슈 사항은 AP의 정보가 존재하지 않거나 'shared secret'이 틀린 경우, 표준상으로는 'Accounting-Response'를 보내지 않을 수 있다. 보내지 않는 경우, 해당 AP는 응답이 없으므로 'slave'에 동일한 패킷을 보낼 수 있다.

'Accounting Start', 'Interim-Update' 및 'Stop' 처리는 다음과 같이 수행될 수 있다. 'Accounting Start'가 오는 경우, 'radacct' 테이블에 'record'가 삽입할 수 있다. 또한, 'Accounting Interim-Update'가 오는 경우, 'radacct' 테이블의 'accouting start'에 의해 생성된 'record'를 업데이트할 수 있다. 즉, 패킷 및 'octet count'는 이전 값에서 누적하여 업데이트 되는 것이 아닐 수 있다. 특히, 'Interim update'를 통하여 단말의 OS 정보 및 컴퓨터 이름의 정보만 업데이트하는 경우가 생길 수 있다. 또한, 'Accounting Stop'이 오는 경우, 'radacct' 테이블의 'accouting start'에 의해 생성된 'record'가 업데이트 될 수 있다. 또한, 'Accouting Interim-Update/Stop'시 'radacct' 테이블에 매칭되는 'Start record'를 찾지 못하는 경우 새로운 'record'를 삽입할 수 있다. 이때, 'Account Start/Stop' 매칭은 가상 스위치가 보내준 'Acct-Session-id', 'User-Name' 및 'Called-station-id' 정보를 기준으로 판단될 수 있다.

'Accouting On/Off' 처리는 가상 스위치가 부팅되거나 'shutdown'이 될 때, 해당 이젠트를 레이디어스 서버에 알려주기 위해 보냄으로써 처리될 수 있다. 인증서버는 'Accouting on/off' 수신 시 해당 AP에 접속해서 아직 사용 중인 세션 (즉, 'Accounting-Start' 패킷만 수신하고 'Stop'을 받지 못한 세션)을 종료시킬 수 있다. 'Accounting on/off' 패킷 수신 시 해당 NAS의 MAC(Called-Station-id)에 해당하는 세션을 모두 종료 처리 할 수 있다. 이때, 'Accouting stop time' 값을 현재 패킷을 수신한 시간으로 설정할 수 있다.

사용자 별 네트워크 사용량 처리는 'Account stop' 정보에는 해당 사용자가 해당 세션에서 네트워크 사용을 얼마나 했는지를 알 수 있는 'Acct-Input-Octet' 및 'Acct-Output-Octet' 어트리뷰트를 포함할 수 있다.

이러한, 본 발명의 네트워크 접근 제어 장치(100)에 따르면, 네트워크 접근 제어 장치(100)가 NAC 서버와 동일 네트워크 경로에 위치하지 않더라도 단말의 에이전트 설치 여부를 파악하고, 네트워크로의 단말 접속을 제어할 수 있다.

도 9는 본 발명의 일실시예에 따른 네트워크 접근 제어 방법을 구체적으로 도시한 작업 흐름도이다.

본 실시예에 따른 네트워크 접근 제어 방법은 상술한 네트워크 접근 제어 장치(100)에 의해 수행될 수 있다.

우선, 네트워크 접근 제어 장치(100)는 단말에서 네트워크로의 접속 요청이 발생함에 따라, 상기 단말로부터 MAC 주소를 포함하는 요청 메시지를 수신한다(910). 단계(910)는 네트워크에 접속 하고자 하는 단말의 요청 메시지를 수신하는 과정일 수 있다. 상기 요청 메시지는 단말의 MAC 주소, 요청하는 웹 페이지 등을 포함할 수 있다. 여기서, 상기 MAC 주소는 표준에 기반한 EAPoL 챌린지일 수 있다.

다음으로, 네트워크 접근 제어 장치(100)는 상기 MAC 주소를 이용하여, 상기 단말에 에이전트가 설치되는지를 판단한다(920). 단계(920)은 상기 요청 메시지로부터 MAC 주소를 추출하고, 추출된 MAC 주소를 사용하여, 상기 단말에서의 에이전트 설치 여부를 판단하는 과정일 수 있다.

실시예에 따라, 네트워크 접근 제어 장치(100)는, 상기 단말에게 고유로 할당된 MAC 주소를 문의할 수 있고, 수신되는 요청 메시지로부터, EAPoL 챌린지의 MAC 주소를 확인 함으로써, 단말에 에이전트가 설치되어 있는지를 판단할 수 있다.

또한, 네트워크 접근 제어 장치(100)는 상기 에이전트가 설치된 것으로 판단되는 경우, 상기 요청 메시지를 NAC 서버로 전달한다(930). 단계(930)은 에이전트가 단말에 설치되어 있는 경우, 단말로부터 수신한 요청 메시지를 NAC 서버에 전달하는 과정일 수 있다.

상기 NAC 서버로부터 응신 메시지가 수신되면, 네트워크 접근 제어 장치(100)는 상기 응신 메시지를 상기 단말로 전송하여 상기 네트워크로의 상기 단말 접속을 허용한다(940). 단계(940)은 NAC 서버로부터 송신된 응신 메시지가 수신되면 응신 메시지를 단말에게 전송하는 과정일 수 있다. 여기서, 응신 메시지는 NAC 서버에 의해 작성된 것으로, 단말이 네트워크에 접속되는 것을 허용하는 메시지일 수 있다. 즉, 응신 메시지를 받은 단말은 네트워크에 접속될 수 있다.

도 10 및 도 11은 본 발명의 일실시예에 따른 네트워크 접근 제어 방법을 이용한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.

먼저, 도 10의 흐름도를 보면, 단말에서 네트워크로의 접속 요청이 발생하면, 네트워크 접근 제어 장치(100)는 단말의 MAC 주소를 포함하는 요청 메시지를 수신할 수 있다.

다음으로, 요청 메시지가 수신된 후, 네트워크 접근 제어 장치(100)는 MAC 주소를 통해 단말의 에이전트 설치 여부를 판단할 수 있다. 단말에 에이전트가 설치된 것으로 판단되면, 네트워크 접근 제어 장치(100)는 요청 메시지를 NAT 과정을 거친 후, NAC 서버로 전송할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 NAC 서버로 접속하기 위하여, 예컨대 '<redirect>NAC 서버 IP</redirect>'으로 설정된 NAC서버 IP로 웹 접속을 시도할 수 있다.

마지막으로, NAC 서버가 단말의 접속을 허용하는 메시지인 응신 메시지를 네트워크 접근 제어 장치(100)에 전송하면, 네트워크 접근 제어 장치(100)는 응신 메시지를 수신하여 NAT 과정을 거친 후, 다시 단말로 전송할 수 있다. 응신 메시지를 수신한 단말은 네트워크로의 접속을 허용 받을 수 있다.

도 10에서 설명한 네트워크로의 단말 접속 과정이 도 11에 도시된 화살표의 순서로 이루어질 수 있다.

네트워크 접근 제어 장치(100)는 단말, L2스위치, L3스위치, 방화벽, 라우터 및 네트워크와 하나의 네트워크 경로상에 연결될 수 있다. 이때, NAC 서버는 L3스위치와 연결되고 같은 레벨에 위치할 수 있다.

네트워크 접근 제어 장치(100)는 단말로부터 수신된 요청 메시지의 MAC 주소를 이용하여 에이전트 설치 여부를 판단하고, 설치되어 있을 경우 NAC 서버에 요청 메시지를 전달할 수 있다. NAC 서버는 요청 메시지에 대한 응신 메시지를 네트워크 접근 제어 장치(100)로 전달하고, 네트워크 접근 제어 장치(100)는 응신 메시지를 다시 단말로 전송할 수 있다. 응신 메시지를 수신한 단말은 네트워크에 접속할 수 있다.

이러한, 본 발명의 네트워크 접근 제어 방법에 따르면, MAC 주소를 이용하여 에이전트의 설치 유무를 판단함으로써, 보안 프로그램 및 방화벽의 방해를 받지 않을 수 있다.

실시예에 따라 네트워크 접근 제어 방법은 네트워크 경로 상에서의 위치에 관한 레벨을 탐색하는 과정을 포함 할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 상기 탐색된 레벨이, 상기 NAC 서버가 갖는 레벨 보다 상대적으로 낮으면, 상기 요청 메시지를 상기 NAC 서버로 전달할 수 있다. 즉, 네트워크 접근 제어 장치(100)는 NAC 서버의 위치에 관한 레벨을 찾을 수 있으며, 네트워크 접근 제어 장치(100) 및 NAC 서버의 레벨을 비교하여 상대적인 위치를 탐색할 수 있다. 이때, NAC 서버의 레벨보다 네트워크 접근 제어 장치(100)의 레벨이 낮을 경우, 네트워크 접근 제어 장치(100)는 요청 메시지를 NAC 서버로 전달할 수 있다. 도 11을 다시 참조하여 그 일례를 설명할 수 있다.

도 11에 도시된 바와 같이, NAC 서버는 L3스위치와 같은 레벨에 위치하고 있고, 네트워크 접근 제어 장치(100)는 L3스위치와 L2스위치 중간 레벨에 위치하고 있음을 확인할 수 있다. 즉, NAC 서버의 레벨보다 네트워크 접근 제어 장치(100)의 레벨이 낮기 때문에, 네트워크 접근 제어 장치(100)는 요청 메시지를 NAC 서버로 전달할 수 있다.

만일, NAC 서버의 레벨보다 네트워크 접근 제어 장치(100)의 레벨이 높다면 도 12 및 도 13에 도시된 문제점이 발생할 수 있다.

도 12 및 도 13은 네트워크 접근 제어 장치의 레벨이 NAC 서버가 갖는 레벨보다 높을 경우의 문제점을 설명하기 위한 도면이다.

도 12에 도시된 바와 같이, NAC 서버는 L3스위치와 같은 레벨에 있으나, 네트워크 접근 제어 장치(100)는 L3스위치 보다 높고 방화벽보다 낮은 레벨에 위치하고 있음을 확인할 수 있다. 이와 같은 경우, 네트워크 접근 제어 장치(100)는 단말로부터 수신된 요청 메시지를 NAC 서버로 전달할 수 있으나, NAC 서버로부터 응신 메시지를 수신할 수 없다. 이때, 응신 메시지는 네트워크 접근 제어 장치(100)를 거치지 않으므로 폐기(Packet Drop)될 수 있다.

이 과정에 대한 추가적인 설명은 도 13을 참조하여 후술한다.

도 13에 도시된 바와 같이, 네트워크 접근 제어 장치(100)의 레벨이 NAC 서버가 갖는 레벨보다 높을 경우, 응신 메시지는 네트워크 접근 제어 장치(100)에서 NAT 과정을 거치지 않고 단말로 직접 전송될 수 있다. 이때, 단말로 전송되는 과정에서 응신 메시지는 요청하지 않은 서버로부터 응답된 메시지이므로 폐기(Packet Drop)될 수 있다.

도 12 및 도 13을 통해 설명한 문제점을 해결하기 위하여 네트워크 접근 제어 장치(100)는 다음과 같이 수행될 수 있다. 만일, 탐색된 레벨이 상기 NAC 서버가 갖는 레벨 보다 높으면, 네트워크 접근 제어 장치(100)는 상기 요청 메시지를 상기 NAC 서버로 전달하지 않는 대신, 상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송할 수 있다. 즉, 네트워크 접근 제어 장치(100)의 레벨이 NAC 서버가 갖는 레벨보다 높을 경우, 네트워크 접근 제어 장치(100)는 요청 메시지는 전달하지 않으며, NAC 서버에 접속할 수 있는 IP를 단말에 전송할 수 있다.

도 14 및 도 15는 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 높을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.

도 14에 도시된 바와 같이, 네트워크 접근 제어 장치(100)는 단말로부터 요청 메시지를 수신하고, 수신한 요청 메시지를 NAC 서버로 전달하지 않고, NAC 서버에 대한 접속 IP를 상기 단말로 전송할 수 있다. 접속 IP를 수신한 단말은 NAC 서버로 직접 접속할 수 있다.

예를 들면, 네트워크 접근 제어 장치(100)는 '<use_self_redir>1</use_self_redir>'으로 설정된 네트워크 접근 제어 장치(100)의 'Bridge Interface IP'로 웹 접속을 시도할 수 있다. 이때, '<redirect>NAC서버 IP</redirect>' 에 설정된 '리디렉션(Redirection) 차단 페이지'가 정상적으로 나타나면, 네트워크 접근 제어 장치(100)의 '<use_self_redir>1</use_self_redir>'은 정상 동작하는 것으로 판단할 수 있다.

이를 구성도로 나타내면 도 15와 같이 나타낼 수 있다.

도 15의 진행의 흐름을 나타내는 화살표를 보면, 단말에서 송신된 요청 메시지를 네트워크 접근 제어 장치(100)가 수신한 후, NAC 서버를 거치지 않고 다시 단말과 통신하는 것을 확인할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 NAC 서버에 대한 접속 IP를 단말에 전달한 것일 수 있다. 다음으로, 접속 IP를 송신한 단말은 네트워크 접근 제어 장치(100)를 거치지 않고, NAC 서버에 접속하는 것을 화살표의 진행 방향을 통해 확인할 수 있다. 즉, 접속 IP를 수신한 단말은 NAC 서버로 직접 접속할 수 있다.

또한, 실시예에 따라 네트워크 접근 제어 방법은 NAC 서버와 동일 네트워크 경로 상에 위치하는지를 탐색하는 과정을 포함 할 수 있다. 상기 에이전트가 설치되지 않는 것으로 판단되고, 또한 동일 네트워크 상에 위치하는 것으로 탐색되는 경우, 네트워크 접근 제어 장치(100)는 상기 요청 메시지를 무효화하여, 상기 네트워크로의 상기 단말 접속을 불허하고, 상기 단말로 에이전트 설치 정보를 전송할 수 있다. 즉, 네트워크 접근 제어 장치(100)는 에이전트가 설치되지 않은 단말이 전송한 요청 메시지를 폐기시키고, 에이전트를 설치할 수 있도록 설치 정보를 전송할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 단말과 네트워크의 접속을 불허할 수 있다. 여기서, 에이전트 설치 정보는 에이전트를 설치할 수 있는 파일일 수 있다.

또한, 실시예에 따라 네트워크 접근 제어 방법은 상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송하여, 상기 단말에서 상기 NAC 서버를 통해 상기 에이전트 설치 정보를 다운로드 하도록 하는 과정을 포함할 수 있다. 예를 들면, 네트워크 접근 제어 장치(100)는 단말로부터 요청 메시지를 수신한 후, NAC 서버로 전달하지 않을 수 있으며, 단말에 NAC 서버에 대한 접속 IP를 전송할 수 있다. 접속 IP를 전달 받은 단말은 NAC 서버로 직접 접속하여, 에이전트 설치 정보를 다운로드 할 수 있다.

도 16은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 갖는 레벨이 NAC 서버가 갖는 레벨보다 낮을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.

네트워크 접근 제어 장치(100)는 단말로부터 요청 메시지를 수신한 후, NAC 서버로 전달하지 않을 수 있다. 진행 순서를 나타내는 화살표를 보면, 단말에서 네트워크 접근 제어 장치(100)로 이어진 화살표가 다시 단말로 향하는 것을 확인할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 단말에 NAC 서버에 대한 접속 IP를 전송할 수 있다. 접속 IP를 전달 받은 단말은 NAC 서버로 직접 접속하여, 에이전트 설치 정보를 다운로드 할 수 있다.

이러한, 본 발명의 네트워크 접근 제어 방법에 따르면, 네트워크 접근 제어 장치(100)가 NAC 서버로 접속할 수 있는 접속 IP를 단말로 전송하는 것은 네트워크 접근 제어 장치(100) 및 NAC 서버가 갖는 레벨에 관계 없이 이루어 질 수 있다. 즉, 네트워크 접근 제어 장치(100)는 네트워크 접근 제어 장치(100)가 갖는 레벨이 NAC 서버가 갖는 레벨보다 높거나 낮을 경우에 NAC 서버에 대한 접속 IP를 단말에 전송하여 단말이 NAC 서버에 접속할 수 있도록 할 수 있다.

상기 NAC 서버와 동일 네트워크 경로 상에 위치하는지를 탐색하는 과정에서, 동일 네트워크 상에 위치하지 않는 것으로 탐색되면, 네트워크 접근 제어 장치(100)는 상기 요청 메시지를 상기 NAC 서버로 전달하지 않는 대신, 상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송할 수 있다. 즉, 네트워크 접근 제어 장치(100)가 NAC 서버와 서로 다른 네트워크 경로상에 위치할 경우, 상기 단계에서는 NAC 서버에 대한 접속 IP를 단말로 전송할 수 있다. 접속 IP를 수신한 단말은 NAC 서버에 직접 접속할 수 있다.

만일, 상기 에이전트가 설치되지 않는 것으로 판단되고, 또한 동일 네트워크 상에 위치하는 것으로 탐색되는 경우, 네트워크 접근 제어 장치(100)는 상기 단말로 페이크 응답 메시지를 전송하고, 상기 네트워크에 리셋 메시지를 전송할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 상기 페이크 응답 메시지로서, 상기 네트워크로의 접속 불허에 관한 메시지, 또는 상기 에이전트의 설치에 관한 메시지를 전송할 수 있다.

즉, 네트워크 접근 제어 장치(100)가 네트워크 경로 상에 위치하지 않을 때, 네트워크 접근 제어 장치(100)는 단말에 페이크 응답 메시지를 전송하고, 네트워크에 리셋 메시지를 전송함으로써, 에이전트가 설치되지 않은 단말이 네트워크에 접속되는 것을 차단할 수 있다.

도 17은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 차단 과정을 설명하기 위한 도면이다.

도 17에 도시된 바와 같이, 네트워크 접근 제어 장치(100)는 NAC 서버와 동일 네트워크 경로 상에 위치하지 않을 수 있다. 예컨대, NAC 서버가 기존에 설치되어 있고, 네트워크 접근 제어 장치(100)를 추가 설치할 경우가 이에 해당될 수 있다. 이러한 경우를 'Out-of-Band' 방식으로 지칭할 수 있다. 'Out-of-Band' 방식에서는 'TCP'만 차단이 가능할 수 있다.

먼저, 단말이 TCP를 통해 네트워크에 접속할 경우, 네트워크와의 연결이 확립(establish)될 수 있다(단계 1). 즉, 단말이 에이전트의 설치 여부를 검증 받지 않고도 네트워크와 연결될 수 있는 문제점이 발생할 수 있다. 단말은 네트워크에 웹페이지를 요청하는 요청 메시지를 보낼 수 있다(단계 2). 이때, 네트워크 접근 제어 장치(100)는 에이전트가 설치되지 않음을 확인할 경우, 단말에 페이크 응답 메시지를 보낼 수 있다(단계 3). 예를 들면, 단말에 '웹사이트에 접속할 수 없습니다. 에이전트를 설치하십시오.'와 같은 문구를 띄울 수 있다. 그 다음, 네트워크 접근 제어 장치(100)는 네트워크에 리셋 메시지를 보낼 수 있다(단계 4). 이때, 리셋 메시지는 'TCP Reset'일 수 있다.

예컨대, '단말(1.1.1.1)'이 '네트워크(x.x.x.x)'로 요청 메시지를 전송하였으나, 네트워크 접근 제어 장치(100)가 페이크 응답 메시지를 통해 'src ip'를 'x.x.x.x'로, 'dst ip'를 '1.1.1.1'로 세팅하여 응답할 수 있다. 이때, 네트워크 접근 제어 장치(100)는 단말의 요청 메시지에 대한 'TCP Reset'을 '네트워크(x.x.x.x)'로 전송할 수 있다.

도 18은 본 발명의 일실시예에 따른 네트워크 접근 제어 장치가 NAC 서버와 동일 네트워크 경로에 위치하지 않을 경우, 네트워크 접근 제어 장치를 통한 네트워크로의 단말 접속 과정을 설명하기 위한 도면이다.

도 18에 도시된 바와 같이, 네트워크 접근 제어 장치(100)는 NAC 서버와 동일 네트워크 경로에 위치하지 않을 수 있다. 네트워크 접근 제어 장치(100)와 NAC 서버가 같은 레벨에 위치하고 있으나 서로 반대편에 마주하고 있으므로, 네트워크 접근 제어 장치(100)와 NAC 서버는 동일 네트워크 경로에 위치하지 않은 것으로 간주될 수 있다. 이때, 네트워크 접근 제어 장치(100)는 'Out-of-Band' 방식을 사용할 수 있다.

얇은 점선으로 표현된 화살표의 진행 방향을 보면, 단말이 NAC 서버 및 네트워크 접근 제어 장치(100)를 거치지 않고 네트워크에 접속된 것을 확인할 수 있다. 단말에 에이전트가 설치되어 있지 않다면, 네트워크 접근 제어 장치(100)는 단말에 페이크 응답 메시지를 보낼 수 있다. 또한, 네트워크 접근 제어 장치(100)는 네트워크에 리셋 메시지를 보낼 수 있다. 이로써, 에이전트가 설치되어 있지 않은 단말이 네트워크와 연결되는 것을 제한할 수 있다.

또한, 'Out-of-Band' 방식에서는 NAC 서버 및 네트워크 접근 제어 장치(100)의 물리적 구성에 관계없이 동작할 수 있으므로, 앞서 도 10, 도11, 도 14 및 도 15에서 설명한 네트워크로의 단말 접속 과정이 적용될 수 있다.

예를 들면, 굵은 점선으로 표현된 화살표의 진행 방향에 따라, 네트워크 접근 제어 장치(100)는 단말로부터 요청 메시지를 수신할 수 있다. 만일, 단말에 에이전트가 설치되어 있는 경우, 네트워크 접근 제어 장치(100)는 요청 메시지를 NAC 서버에 전달할 수 있다. 요청 메시지를 수신한 NAC 서버는 응신 메시지를 단말에 전송할 수 있다. 응신 메시지를 수신한 단말은 네트워크에 접속할 수 있다.

또 다른 예를 들면, 네트워크 접근 제어 장치(100)는 요청 메시지를 NAC 서버로 전달하지 않는 대신, NAC 서버에 대한 접속 IP를 단말로 전송하여 단말이 NAC 서버로부터 응신 메시지를 직접 수신하도록 할 수 있다. 응신 메시지를 수신한 단말은 네트워크에 접속할 수 있다.

이러한, 본 발명의 네트워크 접근 제어 방법에 따르면, 네트워크 접근 제어 장치(100)가 NAC 서버와 동일 네트워크 경로에 위치하지 않더라도 단말의 에이전트 설치 여부를 파악하고, 네트워크로의 단말 접속을 제어할 수 있다.

본 발명의 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

100 : 네트워크 접근 제어 장치
110 : 제어부
120 : 처리부
130 : 판단부

Claims

스위치에 연결되어, 상기 스위치에 기연결되고 있는 단말로부터의 EAPoL(Extensible Authentication Protocol over LAN) 챌린지 통신을 모니터링하는 제어부; 및
상기 EAPoL 챌린지 통신이 모니터링 된 단말에 대한 인증 상태를 레이디어스 서버(RADIUS Server)에 문의하고, 상기 레이디어스 서버로부터의 회신에 따라, 상기 EAPoL 챌린지 통신에 따른 패킷의 교환을 허용하거나, 차단하는 처리부
를 포함하는 네트워크 접근 제어 장치.
제1항에 있어서,
상기 레이디어스 서버는, 802.1x 비인증 상태의 단말에 대해, 차단 회신을 송출하고,
상기 처리부는,
상기 EAPoL 챌린지 통신이 모니터링 된 단말을 차단대상 단말로 지정하여, 상기 패킷의 교환을 차단하는
네트워크 접근 제어 장치.
제2항에 있어서,
상기 패킷이 상기 차단대상 단말을 목적지로 지정하는 경우,
상기 처리부는,
ARP(Address Resolution Protocol) 브로드케스트 요청시, 상기 차단대상 단말의 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하여, 상기 패킷이, 상기 차단대상 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 하는
네트워크 접근 제어 장치.
제2항에 있어서,
상기 패킷이 상기 차단대상 단말을 출발지로 지정하는 경우,
상기 처리부는,
ARP 리퀘스트 요청시, 상기 차단대상 단말이 목적지로 입력한 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하는 페이크 응답을 상기 차단대상 단말로 전송하여, 상기 패킷이, 목적지의 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 하는
네트워크 접근 제어 장치.
제4항에 있어서,
상기 페이크 응답과 함께, 패킷의 차단에 관한 메시지, 또는 에이전트의 설치에 관한 메시지를 전송하는
네트워크 접근 제어 장치.
제1항에 있어서,
상기 레이디어스 서버는, 802.1x 인증 상태의 단말에 대해, 허용 회신을 송출하고,
상기 처리부는,
상기 EAPoL 챌린지 통신이 모니터링 된 단말을 목적지로 지정하는 패킷, 및 출발지로 지정하는 패킷의 교환을 허용하는
네트워크 접근 제어 장치.
제1항에 있어서,
상기 처리부는,
재인증 주기의 도래에 따라, 상기 스위치에 기연결되고 있는 단말에 대한 인증 상태를 레이디어스 서버에 재문의하고, 상기 인증 상태를 기록하는 테이블을 갱신하는
네트워크 접근 제어 장치.
제1항에 있어서,
상기 스위치에 기연결되고 있는 단말에 에이전트가 설치되는지를 판단하는 판단부
를 더 포함하고,
상기 처리부는,
상기 단말로 에이전트 설치 정보를 전송하거나, 또는
상기 레이디어스 서버에 대한 접속 IP를 상기 단말로 전송하여, 상기 단말에서 상기 레이디어스 서버를 통해 상기 에이전트 설치 정보를 다운로드 하도록 하는
네트워크 접근 제어 장치.
스위치에 기연결되고 있는 단말로부터의 EAPoL 챌린지 통신을 모니터링하는 단계;
상기 EAPoL 챌린지 통신이 모니터링 된 단말에 대한 인증 상태를 레이디어스 서버에 문의하는 단계; 및
상기 레이디어스 서버로부터의 회신에 따라, 상기 EAPoL 챌린지 통신에 따른 패킷의 교환을 허용하거나, 차단하는 단계
를 포함하는 네트워크 접근 제어 방법.
제9항에 있어서,
상기 레이디어스 서버는, 802.1x 비인증 상태의 단말에 대해, 차단 회신을 송출하고,
상기 교환을 허용하거나, 차단하는 단계는,
상기 EAPoL 챌린지 통신이 모니터링 된 단말을 차단대상 단말로 지정하여, 상기 패킷의 교환을 차단하는 단계
를 포함하는 네트워크 접근 제어 방법.
제10항에 있어서,
상기 패킷이 상기 차단대상 단말을 목적지로 지정하는 경우,
상기 네트워크 접근 제어 방법은,
ARP 브로드케스트 요청시, 상기 차단대상 단말의 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하여, 상기 패킷이, 상기 차단대상 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제10항에 있어서,
상기 패킷이 상기 차단대상 단말을 출발지로 지정하는 경우,
상기 네트워크 접근 제어 방법은,
ARP 리퀘스트 요청시, 상기 차단대상 단말이 목적지로 입력한 IP 주소와 쌍을 이루는 MAC 주소를, 정해진 MACa 주소로 대체하는 페이크 응답을 상기 차단대상 단말로 전송하여, 상기 패킷이, 목적지의 단말로 전달되지 않고, 상기 정해진 MACa 주소의 페이크 단말로 전달되도록 하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제12항에 있어서,
상기 네트워크 접근 제어 방법은,
상기 페이크 응답과 함께, 패킷의 차단에 관한 메시지, 또는 에이전트의 설치에 관한 메시지를 전송하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제9항에 있어서,
상기 레이디어스 서버는, 802.1x 인증 상태의 단말에 대해, 허용 회신을 송출하고,
상기 교환을 허용하거나, 차단하는 단계는,
상기 EAPoL 챌린지 통신이 모니터링 된 단말을 목적지로 지정하는 패킷, 및 출발지로 지정하는 패킷의 교환을 허용하는 단계
를 포함하는 네트워크 접근 제어 방법.
제9항에 있어서,
재인증 주기의 도래에 따라, 상기 스위치에 기연결되고 있는 단말에 대한 인증 상태를 레이디어스 서버에 재문의하고, 상기 인증 상태를 기록하는 테이블을 갱신하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제9항에 있어서,
상기 스위치에 기연결되고 있는 단말에 에이전트가 설치되는지를 판단하는 단계; 및
상기 단말로 에이전트 설치 정보를 전송하거나, 또는 상기 레이디어스 서버에 대한 접속 IP를 상기 단말로 전송하여, 상기 단말에서 상기 레이디어스 서버를 통해 상기 에이전트 설치 정보를 다운로드 하도록 하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
단말에서 네트워크로의 접속 요청이 발생함에 따라, 상기 단말로부터 MAC 주소를 포함하는 요청 메시지를 수신하는 단계;
상기 MAC 주소를 이용하여, 상기 단말에 에이전트가 설치되는지를 판단하는 단계;
상기 에이전트가 설치된 것으로 판단되는 경우, 상기 요청 메시지를 NAC 서버로 전달하는 단계; 및
상기 NAC 서버로부터 응신 메시지가 수신되면, 상기 응신 메시지를 상기 단말로 전송하여 상기 네트워크로의 상기 단말 접속을 허용하는 단계
를 포함하는 네트워크 접근 제어 방법.
제17항에 있어서,
네트워크 경로 상에서의 위치에 관한 레벨을 탐색하는 단계
를 더 포함하고,
상기 요청 메시지를 NAC 서버로 전달하는 단계는,
상기 탐색된 레벨이, 상기 NAC 서버가 갖는 레벨 보다 상대적으로 낮으면, 상기 요청 메시지를 상기 NAC 서버로 전달하는 단계
를 포함하는 네트워크 접근 제어 방법.
제17항에 있어서,
네트워크 경로 상에서의 위치에 관한 레벨을 탐색하는 단계; 및
상기 탐색된 레벨이, 상기 NAC 서버가 갖는 레벨 보다 높으면, 상기 요청 메시지를 상기 NAC 서버로 전달하지 않는 대신, 상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제17항에 있어서,
상기 NAC 서버와 동일 네트워크 경로 상에 위치하는지를 탐색하는 단계; 및
동일 네트워크 상에 위치하지 않는 것으로 탐색되면, 상기 요청 메시지를 상기 NAC 서버로 전달하지 않는 대신, 상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제17항에 있어서,
상기 NAC 서버와 동일 네트워크 경로 상에 위치하는지를 탐색하는 단계; 및
상기 에이전트가 설치되지 않는 것으로 판단되고, 또한 동일 네트워크 상에 위치하는 것으로 탐색되는 경우, 상기 요청 메시지를 무효화하여, 상기 네트워크로의 상기 단말 접속을 불허하고, 상기 단말로 에이전트 설치 정보를 전송하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제21항에 있어서,
상기 NAC 서버에 대한 접속 IP를 상기 단말로 전송하여, 상기 단말에서 상기 NAC 서버를 통해 상기 에이전트 설치 정보를 다운로드 하도록 하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제17항에 있어서,
상기 NAC 서버와 동일 네트워크 경로 상에 위치하는지를 탐색하는 단계; 및
상기 에이전트가 설치되지 않는 것으로 판단되고, 또한 동일 네트워크 상에 위치하지 않는 것으로 탐색되는 경우, 상기 단말로 페이크 응답 메시지를 전송하고, 상기 네트워크에 리셋 메시지를 전송하는 단계
를 더 포함하는 네트워크 접근 제어 방법.
제23항에 있어서,
상기 페이크 응답 메시지는,
상기 네트워크로의 접속 불허에 관한 메시지, 또는 상기 에이전트의 설치에 관한 메시지를 포함하는
네트워크 접근 제어 방법.