Symantec Sygate Enterprise Protection

Transcription

1 Symantec Sygate Enterprise Protection Enforcer 설치 및 관리 설명서

2 저작권 정보 Copyright 2005 Symantec Corporation. All rights reserved Symantec. Symantec, Symantec 로고, Sygate, Sygate S 로고, Host Integrity, 및 AutoLocation 은 미국 및 기타 국가에서 Symantec Corporation 및 자회사의 상표 또는 등록 상표입니다. 기타 이름은 해당 회사의 등록 상표일 수 있습니다. 이 문서에서 설명하는 제품은 제품의 사용, 복제, 배포, 디컴파일, 역 가공을 제한하는 라이센스 하에 배포됩니다. 시만텍 주식회사와 라이센스 부여자의 서면 허가 없이는 이 문서의 일부를 어떠한 형태로든 무단으로 재생산할 수 없습니다. 사용 설명서는 "있는 그대로" 제공되며, 상품성, 특정 목적 적합성 또는 비침해성에 대한 묵시적 보증을 비롯하여 어떠한 명시적 또는 묵시적인 조건, 진술 및 보증도, 이러한 조건, 진술 및 보증의 배제가 법적으로 무효가 아닌 한, 배제됩니다. SYMANTEC CORPORATION 은 이 설명서의 제공, 성능 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서에 포함된 정보는 예고 없이 변경될 수 있습니다. 시만텍 코리아 ( ) 서울시 강남구 삼성동 덕명빌딩 15 층 문서 빌드 번호 년 12 월 19 일 인쇄

3 목차 서문... 1 Symantec Sygate Enterprise Protection의 새로운 기능...2 Symantec Sygate Enterprise Protection 설명서...2 대상 고객...3 온라인 도움말 정보...3 기술 지원...4 I부: Symantec Enforcer 개요 장. Symantec Enforcer 개요... 3 다른 유형의 Enforcer...3 Enforcer 및 호스트 무결성 검사...4 Enforcer가 검사하는 정보...5 Enforcer와 정책 관리자 간의 통신...5 Enforcer와 에이전트 간의 통신...5 Gateway Enforcer 개요...6 Gateway Enforcer 작동 원리...7 DHCP Enforcer 개요...7 DHCP Enforcer 작동 원리...8 LAN Enforcer 개요 x 인증 LAN Enforcer 작동 원리 LAN Enforcer 기본 설정 작동 원리 LAN Enforcer 투명 모드 작동 원리 다른 업체의 강제 제품 지원 II부: Enforcer 계획 및 설치 장. Gateway Enforcer 계획...17 Gateway Enforcer 배치 위치 Gateway Enforcer IP 주소 두 개의 Gateway Enforcer를 일렬로 사용 VPN 액세스 보호 무선 액세스 지점 보호 서버 보호 비 Windows 클라이언트 및 Gateway 강제 Gateway Enforcer를 통한 지원 구현 Enforcer 없이 지원 구현 비 Windows 클라이언트 허용 요건(Gateway Enforcer) Gateway Enforcer 계획 워크시트 장. Gateway Enforcer 설치 및 기본 설정...27 설치 작업 목록(Gateway 또는 DHCP Enforcer) 설치 필요 요건(Gateway 또는 DHCP Enforcer) 시스템 요건(Gateway 또는 DHCP Enforcer) 하드웨어 요건 소프트웨어 요건 Linux 설치 권장 사항 Enforcer 오류 메시지 로그 기록 사용자 지정 NIC 설정(Gateway Enforcer) Gateway Enforcer 설치 iii

4 SSEP Enforcer 설치 및 관리 설명서 로컬 콘솔에서 Gateway Enforcer 설정 완료 정책 관리자에 연결(Gateway 또는 DHCP Enforcer) NIC 설정 선택(Gateway 또는 DHCP Enforcer) 정책 관리자 연결 후 작업(Gateway Enforcer) Enforcer 기본 설정(Gateway Enforcer) Enforcer 제거 Enforcer 소프트웨어 업데이트 Enforcer에서 NIC 변경 장. DHCP Enforcer 계획...40 DHCP Enforcer를 배치할 위치 DHCP Enforcer IP 주소 Windows를 사용하지 않는 클라이언트 및 DHCP 강제 DHCP 서버 설정 일반 및 격리 DHCP 서버로 DHCP 서버 한 대만 사용 장. DHCP Enforcer 설치 및 기본 설정...47 설치 작업 목록(Gateway 또는 DHCP Enforcer) 설치 사전 요건(Gateway 또는 DHCP Enforcer) 시스템 요건(Gateway 또는 DHCP Enforcer) 하드웨어 요건 소프트웨어 요건 Linux 설치 권장 사항 Enforcer 오류 메시지 기록 사용자 정의 NIC 설정(DHCP Enforcer) DHCP Enforcer 설치 로컬 콘솔에서 DHCP Enforcer 설정 완료 정책 관리자에 연결(Gateway 또는 DHCP Enforcer) NIC 설정 선택(Gateway 또는 DHCP Enforcer) 정책 관리자에 연결 후 수행할 작업(DHCP Enforcer) Enforcer에서 사용자 클래스 ID 설정 Enforcer 제거 Enforcer 소프트웨어 업데이트 Enforcer에서 NIC 변경 장. LAN Enforcer 계획...61 LAN Enforcer 배치 위치 LAN Enforcer 설치 계획: 기본 설정 필수 구성 요소 지원되는 프로토콜 LAN Enforcer 설치 계획: 투명 모드 필수 구성 요소 LAN Enforcer에 지원되는 스위치 동적 VLAN 전환 및 스위치 작업 테이블 VLAN 요건 전환 작업 동적 VLAN 전환 기능이 없는 스위치...67 RADIUS 서버 및 스위치 설정 장. LAN Enforcer 설치 및 기본 설정...69 설치 작업 목록(LAN Enforcer) 설치 필요 요건(LAN Enforcer) 시스템 요건(LAN Enforcer) iv

5 목차 하드웨어 요건 소프트웨어 요건 Linux 설치 권장 Enforcer 오류 메시지 기록 사용자 정의 LAN Enforcer 설치 로컬 콘솔에서 LAN Enforcer 설정 완료 정책 관리자에 연결(LAN Enforcer) NIC 설정 선택(LAN Enforcer) 정책 관리자에 연결 후 수행할 작업(LAN Enforcer) Enforcer 제거 Enforcer 소프트웨어 업데이트 Enforcer에서 NIC 변경 장. Enforcer 장애 조치 계획 및 설치...81 장애 조치 실행 방법(Gateway 또는 DHCP Enforcer) 장애 조치 시스템 배치 위치(Gateway 또는 DHCP Enforcer) 장애 조치를 위한 Gateway 또는 DHCP Enforcer 설정 장애 조치를 위한 LAN Enforcer 설정 기본 장애 조치 설정 변경(Gateway 또는 DHCP Enforcer) XML 파일에서 장애 조치 설정 편집 Enforcer가 실행 중인 동안 장애 조치 설정 편집 III부: 정책 관리자에서 Enforcer 관리 장. 정책 관리자에서 Enforcer 관리...89 Enforcer 관리자 서버 탭에서 Enforcer 관리 Enforcer 그룹 정책 관리자에서 Enforcer 그룹 이름을 결정하는 방법 장애 조치 Enforcer 그룹 새 Enforcer 그룹 작성 그룹 이름 변경 정책 관리자에서 Enforcer 정보 표시 Enforcer의 이름 및 설명 변경 Enforcer 또는 Enforcer 그룹 삭제 Enforcer 그룹 설정 내보내기 및 가져오기 차단된 클라이언트에 대한 팝업 메시지 에이전트를 실행하는 클라이언트에 대한 메시지 에이전트를 실행하지 않는 Windows 클라이언트에 대한 메시지(Gateway 또는 DHCP Enforcer 전용) 정책 관리자의 Enforcer 라이센스 에이전트 설정 및 Enforcer 장. Gateway Enforcer 설정...96 정책 관리자에서 Enforcer 설정 변경 Gateway Enforcer 설정 개요 Enforcer의 그룹 이름 및 설명 변경 Enforcer의 정책 관리자 목록 변경 인증 설정(Gateway Enforcer) 클라이언트 인증 이해 인증 세션 이해 인증 세션 설정 지정(Gateway Enforcer) 모든 클라이언트 허용(Gateway Enforcer) v

6 SSEP Enforcer 설치 및 관리 설명서 Windows가 아닌 클라이언트 허용(Gateway Enforcer) 에이전트 프로파일 검사 클라이언트에 메시지 표시 HTTP 요청을 웹 페이지로 재전송 인증 범위 설정 클라이언트 IP 범위와 신뢰할 수 있는 외부 IP 주소 비교 클라이언트 IP 범위 사용 시기 신뢰하는 IP 주소 이해 인증할 클라이언트 IP 범위 지정 클라이언트 IP 범위의 주소 편집 클라이언트 IP 범위의 주소 제거 신뢰할 수 있는 내부 IP 주소 지정 신뢰할 수 있는 외부 IP 주소 지정 신뢰하는 내부 또는 외부 IP 주소 편집 신뢰하는 내부 또는 외부 IP 주소 제거 IP 범위 검사 순서 고급 설정(Gateway Enforcer) 허용할 패킷 유형 지정 장. DHCP Enforcer 설정 정책 관리자에서 Enforcer 설정 변경 DHCP Enforcer 설정 개요 Enforcer의 그룹 이름 및 설명 변경 Enforcer의 정책 관리자 목록 변경 인증 설정 인증 세션 이해 모든 클라이언트 허용 Windows가 아닌 클라이언트 허용 에이전트 프로파일 검사 클라이언트에 메시지 표시 DHCP 서버 지정 고급 설정 인증 시간 만료 설정 지정 신뢰할 수 있는 호스트 지정 장. LAN Enforcer 설정 정책 관리자에서 Enforcer 설정 변경 LAN Enforcer 설정 개요 Enforcer 그룹 이름 및 설명 변경 Enforcer 정책 관리자 목록 변경 LAN Enforcer에서 802.1x 무선 액세스 지점 설정 ACL(액세스 제어 목록) MAC 수준 802.1x 기본 설정과 투명 모드 x 인증에 에이전트를 사용하도록 설정 응답 포트 지정 Radius 서버 또는 그룹 지정 Radius 서버 또는 그룹 제거 스위치 프로파일 이해 LAN Enforcer의 스위치 프로파일 지정 스위치 프로파일의 기본 정보 vi

7 목차 스위치 프로파일의 스위치 주소 정보 스위치 프로파일의 VLAN 정보 Aruba 스위치에서 VLAN 및 역할 정보 설정 스위치 프로파일의 작업 정보 인증 결과 조건 작업 조건 검사의 순서 설정 추가 정보 스위치 모델의 특성 장. Enforcer 기록 및 보고서 Enforcer 로그 유형 정보 기록 설정 Enforcer 기록 실행 또는 실행 중지 정책 관리자로 Enforcer 로그 전송 Enforcer 로그의 최대 크기 및 기간 설정 트래픽 로그 필터링(Gateway Enforcer) Enforcer 클라이언트 로그 Enforcer 시스템 로그 Enforcer 트래픽 로그(Gateway Enforcer) Enforcer 보고서 장. 문제 해결 Enforcer를 서버에 등록할 수 없음 Enforcer를 통한 네트워크 연결 지연 Gateway Enforcer가 클라이언트를 차단 DHCP Enforcer가 클라이언트를 차단 동일한 LAN Enforcer가 정책 관리자에 두 번 등록 LAN Enforcer 클라이언트 로그의 클라이언트 연결 끊김 이벤트 LAN Enforcer가 에이전트를 올바른 VLAN으로 전환하지 못하는 경우 정책 관리자가 실행 중이 아닌 경우 에이전트 허용 IV부: Enforcer 로컬 콘솔 및 설정 파일 장. Enforcer 로컬 설정 콘솔 Enforcer 콘솔 로그인 Enforcer 콘솔 로그아웃 또는 종료 Enforcer 설정 콘솔 명령 Enforcer 콘솔의 암호 변경 Enforcer 콘솔 액세스 설정 네트워크 설정 수행(Gateway 또는 DHCP Enforcer) 네트워크 설정 수행(LAN Enforcer) 콘솔에 Enforcer 상태 표시 정책 관리자와 Enforcer 연결 변경 콘솔에 Enforcer 버전 표시 Enforcer 콘솔에서 네트워크 연결 확인 Enforcer 콘솔에서 로그 지우기 Enforcer 콘솔의 패킷 경로 추적 Enforcer 시작 또는 중지 콘솔에서 Enforcer 시작 또는 중지 Linux에서 Enforcer 시작 또는 중지 Enforcer 시스템 종료 Enforcer 시스템 재시작 Enforcer 상태 문제 해결 vii

8 SSEP Enforcer 설치 및 관리 설명서 16 장. Enforcer 로컬 설정 파일 이전 버전의 에이전트에 대한 Enforcer 지원 용어 사전 색인 viii

9 목차 표 목차 표 1. 정책 관리자의 Gateway Enforcer 기본 설정 표 2. 가능한 전환 작업 표 3. 정책 관리자의 Enforcer에 대한 정보 표 4. Gateway Enforcer 설정 표 5. 인증 탭 옵션(Gateway Enforcer) 표 6. DHCP Enforcer 설정 표 7. 인증 탭 옵션(DHCP Enforcer) 표 8. LAN Enforcer 설정 표 9. 인증 결과(LAN Enforcer) 표 10. 스위치 모델의 특성 표 11. Enforcer 로그 표 12. Enforcer 클라이언트 작업 로그 필드 표 13. Enforcer 시스템 로그 필드 표 14. Enforcer 트래픽 로그 필드 표 15. Enforcer 설정 콘솔 명령 표 16. Enforcer 콘솔 상태 표시줄 표 17. Enforcer Status 대화 상자 필드 ix

10 SSEP Enforcer 설치 및 관리 설명서 그림 목차 그림 1. Symantec Enforcer...4 그림 2. DHCP Enforcer 작동 원리 그림 3. 기업 네트워크에 Gateway Enforcer 배치 그림 4. VPN 서버의 Gateway Enforcer 보호 그림 5. 무선 액세스 지점의 Gateway Enforcer 보호 그림 6. 서버의 Gateway Enforcer 보호 그림 7. Gateway Enforcer를 통해 비 Windows 클라이언트 지원 그림 8. Gateway Enforcer 없이 비 Windows 클라이언트 지원 그림 9. DHCP Enforcer의 배치 그림 10. DHCP Enforcer에서 Windows를 사용하지 않는 클라이언트 지원 그림 11. 기업 네트워크의 LAN Enforcer 배치 그림 12. Gateway Enforcer에서 장애 조치 설정 그림 13. 클라이언트 IP 범위: 인터넷 액세스 허용 그림 14. 클라이언트 IP 범위: 특정 클라이언트 인증 그림 15. 신뢰할 수 있는 외부 IP 주소 그림 16. 신뢰할 수 있는 내부 IP 주소 그림 17. 로컬 설정 콘솔 기본 명령 화면 x

11 서문 이 문서에서는 각 Symantec Enforcer 를 계획, 설치, 설정 및 관리하는 방법을 자세히 소개합니다. Gateway Enforcer DHCP Enforcer LAN Enforcer 이 문서는 다음과 같이 네 부분으로 구성되어 있습니다. I 부: Symantec Enforcer 개요에서는 시만텍 강제 솔루션 및 Enforcer 의 역할에 대한 개요와 각 Enforcer 의 기능 및 용도를 설명합니다. II 부: Enforcer 계획 및 설치에서는 설치 및 구현 요건을 다루고 설치 지침을 소개합니다. 각 유형의 Enforcer 에 대한 정보는 개별 장에서 설명됩니다. III 부: Enforcer 관리에서는 정책 관리자 설정을 구성하여 Enforcer 설정을 완료하는 방법과 Enforcer 로그 및 보고서에 대해 설명합니다. 각 Enforcer 에 대한 설정은 각 장에서 설명됩니다. IV 부: Enforcer 로컬 설정 콘솔에서는 로컬 Enforcer 시스템에서 실행되는 텍스트 기반 콘솔의 명령 및 화면에 대해 설명합니다. 콘솔은 초기 설정은 물론 나중에 문제 해결 또는 유지 관리용으로 사용할 수도 있습니다. 또한 여기에서는 로컬 Enforcer 시스템에서 수행된 로컬 설정 파일 및 일부 선택 가능한 설정 단계에 대해 설명합니다. 이 버전에서 확인된 문제점에 대해서는 Readme.txt 파일을 참조하십시오. 1

12 SSEP Enforcer 설치 및 관리 설명서 Symantec Sygate Enterprise Protection 의 새로운 기능 Symantec Sygate Enterprise Protection 5.1 에는 다음과 같은 새로운 기능이 포함됩니다. 레지스트리 키를 토대로 한 자동 위치 지정: 레지스트리 키를 토대로 한 자동 위치 전환을 설정할 수 있습니다. 에이전트 패키지 생성 마법사 기능 향상: Symantec Agent Package 생성 및 Export Agent Package 마법사의 기능이 개선됐습니다. 자동 업그레이드 기능 향상: 배포용 업그레이드 패키지 생성 외에도, 자동 업그레이드 일정과 통지 설정을 구성할 수 있는 새로운 자동 업그레이드 마법사를 제공합니다. 응용 프로그램 인증: 에이전트가 클라이언트 시스템에서 실행되는 응용 프로그램의 변경 사항을 감시 및 탐지할 수 있습니다. 데이터베이스 검사 기능: 고객이 로그를 백업한 다음 데이터베이스에서 삭제할 수 있는 기능을 지원합니다. 자동 설치 후 재부팅 옵션: 에이전트 설치 후 시스템을 재시작하도록 설정할 수 있습니다. 패키지에 사전 정의된 에이전트 보안 설정 포함: 클라이언트 제어 또는 파워 유저 모드에서 고급 규칙 및 보안 설정을 사전 정의할 수 있습니다. 실행 중지 버튼 개선(핫스팟 및 호텔용): 아웃바운드 차단을 일시적으로 해제할 수 있습니다. Aruba VSA 지원: 역할 기반 전환 기능을 사용할 수 있습니다. Enforcer 정책 관리자 목록: Enforcer 를 정책 관리자에 연결하는 데 사용할 정책 관리자 목록을 지정할 수 있습니다. 서버의 HTTP 또는 HTTPS 포트 사용자 정의: 정책 관리자 목록에서 포트 번호를 사용자 정의할 수 있습니다. 사용자 정의 호스트 무결성 향상: 파일 날짜 검사 지정에 사용되는 시간 및 분을 비롯하여 호스트 무결성 요건을 추가적으로 사용자 정의할 수 있습니다. Sygate Secure Enterprise 4.x 제품 마이그레이션: 기존 Sygate 제품에서 최신 릴리스로 정보를 이전하는 방법을 제공합니다. Symantec Sygate Enterprise Protection 설명서 Symantec Sygate Enterprise Protection 은 다음과 같은 문서로 구성되어 있습니다. 온라인 도움말 Symantec Sygate Enterprise Protection 의 모든 구성 요소에는 도움말 파일이 포함되어 있습니다. 이 도움말 파일은 시만텍이 제공하는 PDF 형식의 인쇄물과 동일한 내용을 담고 있습니다. 해당 문서에 대한 연결은 Readme 를 참조하십시오. 준비 지침서-Symantec Sygate Enterprise Protection 을 설치하고 설정하는 방법을 설명합니다 (PDF 형식). Policy Manager 설치 설명서 정책 관리자 설치, 데이터 베이스 구성 및 복제 설정 방법을 설명합니다(PDF 형식). Policy Manager 관리 설명서 정책 관리자, Symantec Protection Agent 및 Symantec Enforcement Agent 의 설정 및 관리 방법을 설명합니다(PDF 형식). Enforcer 설치 및 관리 설명서 Symantec Gateway Enforcer, Symantec LAN Enforcer 및 Symantec DHCP Enforcer 의 설치, 설정 및 관리 방법을 설명합니다(PDF 형식). Protection Agent 사용자 설명서 Symantec Protection Agent 사용법을 설명합니다(PDF 형식). 2

13 서문 Enforcement Agent 사용자 설명서 Symantec Enforcement Agent 사용법을 설명합니다(PDF 형식). 데이터베이스 스키마 참조 설명서-정책 관리자 데이터베이스의 모든 데이터베이스 테이블에 대한 자세한 설명을 제공합니다(PDF 형식). 대상 고객 이 설명서는 시만텍 소프트웨어 배포 및 설치 업무를 책임지는 시스템 관리자, 네트워크 관리자 또는 기업 보안팀을 위해 작성되었습니다. 시스템(또는 네트워크) 관리자는 네트워크와 시스템 보안에 대해 잘 이해하고 있고 회사의 네트워크 환경에 대해 잘 알고 있어야 합니다. Microsoft Windows Linux 본 시만텍 설명서에는 Symantec Enforcer 소프트웨어 설치와 관련한 문제 이외의 타사 소프트웨어 사용 방법은 설명되어 있지 않습니다. 온라인 도움말 정보 Symantec Policy Manager 에 연결한 후에 [도움말] 버튼을 눌러서 온라인 도움말을 사용할 수 있습니다. 온라인 도움말은 웹 기반이므로 인터넷에 연결되어 있을 때 도움말을 조회하면 원격 서버에 저장된 최신 버전의 문서를 확인할 수 있습니다. 인터넷으로 연결할 수 없거나 연결이 끊기면 소프트웨어가 자동으로 로컬 온라인 도움말 시스템에 액세스할 수 있도록 해 줍니다. 이 로컬 도움말 시스템은 정책 관리자 소프트웨어가 사용자의 로컬 서버에 설치될 때 자동으로 설치됩니다. 최적의 결과를 얻으려면 Internet Explorer 브라우저 버전 6.0 이상을 사용하십시오. 다른 브라우저를 사용하면 온라인 도움말이 최적의 상태로 표시되지 않을 수도 있습니다. 3

14 SSEP Enforcer 설치 및 관리 설명서 기술 지원 시만텍은 다양한 사후 지원 서비스와 고객 지원 프로그램을 제공합니다. 아래 웹사이트, 이메일, 전화를 통해 엔터프라이즈 지원부로 문의하십시오. 웹사이트 이메일 주소 전화 (650) 수신자 부담 전화 (877) TECH-800 ( ) 4

15 I 부: Symantec Enforcer 개요 1 부는 다음 3 가지 Symantec Enforcer 에 대한 개요로 구성되어 있습니다. Gateway Enforcer DHCP Enforcer LAN Enforcer 1

16 SSEP Enforcer 설치 및 관리 설명서 2

17 1 장. Symantec Enforcer 개요 Symantec Enforcer 는 Symantec Policy Manager 및 Symantec Agent 와 함께 엔터프라이즈 네트워크를 보호하는 선택 가능한 소프트웨어 구성 요소입니다. Enforcer 는 외부 및 내부 클라이언트용 네트워크 진입 지점에 설치됩니다. 예를 들어 네트워크와 VPN 서버 사이 또는 DHCP 서버 앞에 Enforcer 를 설치하거나 802.1x 지원 스위치 또는 무선 액세스 지점을 통해 네트워크에 연결되는 클라이언트를 통제하도록 설정할 수 있습니다. Enforcer 플랫폼은 사용자 수준의 인증이 아닌 호스트 인증을 수행합니다. 따라서 엔터프라이즈 네트워크에 연결을 시도하는 클라이언트 시스템이 정책 관리자에 설정된 엔터프라이즈 보안 정책을 준수하게 됩니다. 클라이언트가 보안 정책을 준수하지 않을 경우 Enforcer 가 네트워크에 대한 액세스를 차단하거나 제한된 리소스에 대한 액세스만 허용할 수 있습니다. 필요한 소프트웨어, 응용 프로그램, 시그니처 파일 또는 패치를 다운로드할 수 있는 재조정 서버가 있는 격리 영역으로 클라이언트를 리디렉션할 수 있습니다. 다른 유형의 Enforcer 시만텍은 다른 Enforcer 와 함께 또는 별도로 네트워크 구성 요소로 사용할 수 있는 3 가지 유형의 Enforcer 를 제공합니다. Gateway Enforcer 는 VPN, 무선 LAN, 원격 액세스 서버(RAS)를 통해 원격으로 연결된 외부 시스템용 액세스 포인트를 강제하는 데 사용됩니다. Gateway Enforcer 는 지정된 IP 주소만 허용하여 특정 서버의 액세스를 제한하도록 설정할 수도 있습니다. LAN Enforcer 는 802.1x 인증을 지원하는 스위치나 무선 액세스 포인트를 통해 LAN 에 연결된 클라이언트를 강제하는 데 사용됩니다. LAN Enforcer 는 RADIUS(Remote Authentication Dial-In User Service) 프록시 역할을 수행합니다. LAN Enforcer 는 사용자 수준의 인증을 제공하는 RADIUS 서버와 함께 또는 RADIUS 서버 없이도 작동할 수 있습니다. DHCP Enforcer 는 동적 호스트 설정 프로토콜(DHCP) 서버를 통해 동적 IP 주소를 수신하여 LAN 에 액세스하는 클라이언트를 강제하는 데 사용됩니다. 동일한 정책 관리자에서 여러 유형의 Enforcer 를 함께 사용할 수 있습니다. 각 유형의 Enforcer 는 별개의 설치 패키지로 각기 다른 위치에 설치됩니다. 예를 들어 클라이언트가 802.1x 지원 스위치를 통해 LAN 에 연결되도록 네트워크 일부가 이미 설정되어 있을 수 있습니다. 이 경우 이 클라이언트에 대해 LAN Enforcer 를 사용할 수 있습니다. 네트워크의 다른 부분은 802.1x 을 지원하도록 설정되지 않았을 수도 있습니다. 이러한 클라이언트에 대해서는 DHCP Enforcer 를 사용할 수 있습니다. 그리고 VPN 이나 전화 접속을 통해 원격 작업을 수행하는 직원이 있는 경우 이 클라이언트에 대해서는 Gateway Enforcer 를 사용할 수 있습니다 x 를 지원하는 무선 액세스 지점을 통해 연결되는 클라이언트의 경우 LAN Enforcer 를 사용할 수 있는 반면, 무선 액세스 지점이 802.1x 를 지원하지 않는 경우 Gateway Enforcer 를 사용할 수 있습니다. 3

18 SSEP Enforcer 설치 및 관리 설명서 고가용성이 필요한 경우 동일한 위치에 동일한 유형의 Enforcer 를 두 개 이상 설치해서 장애 조치 기능을 확보할 수 있습니다. 일부 네트워크 설정에서 클라이언트는 두 개 이상의 Enforcer 를 통해 네트워크에 연결될 수 있습니다. 이러한 경우 첫 번째 Enforcer 에서 인증이 완료되면 모든 Enforcer 에서 액세스가 허용됩니다. 그림 1. Symantec Enforcer Enforcer 및 호스트 무결성 검사 클라이언트 시스템의 보안 정책은 Symantec Policy Manager 에서 호스트 무결성 정책으로 정의됩니다. 호스트 무결성 정책은 클라이언트 시스템에서 실행해야 하는 엄격한 소프트웨어(예: 방화벽 또는 바이러스 차단 소프트웨어, 바이러스 차단 시그니처 파일 업데이트, 버전 정보 및 운영 체제 패치와 같은 보안 응용 프로그램)를 지정합니다. Symantec Agent 는 다양한 시간에 호스트 무결성 검사를 실행하도록 설정할 수 있습니다. 클라이언트가 네트워크에 연결하려고 시도하면 클라이언트 시스템의 Symantec Agent 가 호스트 무결성 검사를 수행하고 그 결과를 Enforcer 에 전송합니다. Enforcer 는 기업 네트워크에 대한 액세스 권한을 클라이언트에 부여하기 전에 클라이언트 시스템이 에이전트에서 실행한 호스트 무결성 검사를 통과했는지 확인합니다. 호스트 무결성 검사를 통과하면 클라이언트가 호스트 무결성 정책을 준수하고 있다는 의미입니다. 4

19 Symantec Enforcer 개요 Enforcer 가 검사하는 정보 Enforcer 는 클라이언트의 네트워크 액세스를 허용하기 전에 다음과 같은 정보를 검사합니다. Symantec Agent 의 실행 여부 해당 클라이언트에 사용되는 에이전트를 의미하는 식별자가 에이전트에 있는지의 여부 에이전트 프로파일이 최신 상태이고 에이전트가 최신 정책으로 업데이트 되었는지의 여부(선택 사항) 호스트 무결성 정책을 준수하는지 확인하기 위해 에이전트에서 실행된 호스트 무결성 검사를 클라이언트 시스템이 통과했는지의 여부 Enforcer 는 사용자 수준의 인증을 자체적으로 수행하지 않습니다. RADIUS 서버와 작동하도록 설정된 LAN Enforcer 는 802.1x 요청자에서 수신한 사용자 정보를 인증하도록 RADIUS 서버로 전달하고 사용자 수준의 인증에 불합격한 클라이언트에 액세스 권한을 부여하지 않습니다. Enforcer 와 정책 관리자 간의 통신 Enforcer 는 정책 관리자에 연결된 상태로 유지됩니다. Enforcer 는 Enforcer 의 작동 방식을 제어하는 설정(Enforcer 프로파일)을 정책 관리자에서 일정 간격(응답)으로 검색합니다. 따라서 정책 관리자에서 Enforcer 설정이 변경된 경우 Enforcer 가 다음 응답에서 업데이트된 정보를 수신합니다. Enforcer 는 상태 정보를 정책 관리자에 전송하고 이벤트를 로그에 기록하고 로그를 정책 관리자에 전송할 수 있습니다. 정책 관리자는 복제된 데이터베이스 정보가 포함된 정책 관리자 목록을 확보해서 연결되어 있는 Enforcer 및 에이전트로 정책 관리자 목록을 다운로드합니다. Enforcer 와 정책 관리자의 통신이 끊기면 Enforcer 가 목록에 있는 다른 정책 관리자에 연결됩니다. Enforcer 를 재시작할 경우 Enforcer 가 정책 관리자 목록을 사용하여 정책 관리자에 대한 연결을 다시 설정합니다. 에이전트가 Enforcer 를 통해 네트워크에 연결을 시도할 때 Enforcer 는 에이전트의 고유 ID(UID)를 정책 관리자에 전송하고 수락 또는 거부 응답을 받아서 UID 를 인증합니다. 이렇게 하도록 설정된 Gateway 또는 DHCP Enforcer 는 정책 관리자에서 정보를 검색하여 에이전트 프로파일이 최신 보안 정책으로 업데이트되었는지 확인할 수 있습니다. 에이전트 정보(에이전트 식별자 또는 에이전트 프로파일)가 정책 관리자에서 변경되면, 정책 관리자가 정보를 Enforcer 로 전송해서 Enforcer 가 에이전트에 대한 호스트 인증을 다시 수행하도록 할 수 있습니다. Enforcer 와 에이전트 간의 통신 Enforcer 와 에이전트 간의 통신은 실행 중인 에이전트의 클라이언트가 네트워크에 연결을 시도한 시점에서 시작됩니다. Enforcer 는 에이전트가 실행 중인지 확인하고, 실행 중이면 에이전트에 대한 인증 프로세스를 시작합니다. 에이전트는 호스트 무결성 검사를 실행하고 프로파일 정보와 함께 검사 결과를 Enforcer 에 전송해서 응답합니다. 에이전트는 또한 Enforcer 가 인증을 위해 정책 관리자에 보내는 고유 ID(UID)를 전송합니다. Enforcer 는 프로파일 정보를 사용하여 에이전트에 최신 보안 정책이 적용된 상태인지 확인하고 그렇지 않을 경우 Enforcer 가 에이전트에 프로파일을 업데이트하도록 통지합니다. DHCP 또는 Gateway Enforcer 에서 클라이언트를 네트워크에 연결하도록 허용한 다음에는 Enforcer 가 사전 정의된 일정 간격에 따라 에이전트와 계속 통신합니다. 이러한 통신을 통해 Enforcer 는 에이전트를 계속해서 인증할 수 있습니다. LAN Enforcer 의 경우 이러한 주기적 재인증 작업은 802.1x 스위치가 담당합니다. 프로파일 또는 호스트 무결성 상태와 같은 에이전트 상태가 변경되면 새로운 인증 세션이 시작됩니다. 5

20 SSEP Enforcer 설치 및 관리 설명서 Enforcer 는 항상 실행 중이어야 합니다. 그렇지 않으면 기업 네트워크에 액세스를 시도하는 에이전트가 차단될 수 있습니다. Gateway Enforcer 개요 Gateway Enforcer 는 일반적으로 외부 침입자로부터 기업 네트워크를 보호하기 위한 보안 정책 적용 브릿지로 사용됩니다. Gateway Enforcer 는 모든 엔드포인트가 보안 정책을 확실히 준수하도록 엔터프라이즈 전역에 배치될 수 있습니다. 또한 Gateway Enforcer 는 인증된 또는 신뢰된 클라이언트만 서버에 액세스할 수 있도록 제한해서 기업 내부의 서버를 보호합니다. 6

21 Symantec Enforcer 개요 Gateway Enforcer 는 일반적으로 다음과 같은 네트워크 위치에 사용됩니다. VPN 무선 LAN 전화 접속(RAS) 이더넷(LAN) 세그먼트 원격지 근무자 또는 공급 업체와 같은 원격 사용자는 자신의 시스템에 보안 정책을 강제할 수 있기 때문에 VPN 또는 전화 접속 서버를 통해 액세스를 제공 받을 수 있습니다. 클라이언트가 요구 사항을 준수하지 않을 경우 Enforcer 가 보호된 네트워크 세그먼트에 대한 액세스를 차단하거나 클라이언트를 필요한 응용 프로그램(예: 에이전트 또는 바이러스 차단 소프트웨어)과 패치를 다운로드할 수 있는 재조정 서버로 리디렉션할 수 있습니다. 고가용성이 필요한 경우 Enforcer 를 두 개 이상 설치해서 장애 조치 기능을 확보할 수 있습니다. Gateway Enforcer 작동 원리 Gateway Enforcer 는 외부에서 내부로의 일방향 검사를 수행합니다. Gateway Enforcer 는 다음과 같은 절차에 따라 Gateway Enforcer 외부 NIC 를 통해 내부로 액세스를 시도하는 클라이언트를 검사합니다. 1. 클라이언트가 기업 네트워크 액세스를 시도할 때 Enforcer 는 먼저 클라이언트 시스템에 Symantec Agent 가 실행 중인지 확인하고, 실행 중이면 호스트 인증 프로세스를 시작합니다. 2. 클라이언트에서 실행 중인 Symantec Agent 는 호스트 무결성 검사를 수행하고 보안 정책 상태에 대한 정보 및 식별 정보와 함께 결과를 Enforcer 에 전달합니다. 3. Enforcer 는 정책 관리자에서 에이전트가 적법한 클라이언트이고 보안 정책이 최신 상태인지 검사합니다. 4. Enforcer 는 클라이언트가 호스트 무결성 검사를 통과하여 보안 정책을 준수하는지 확인합니다. 5. 모든 단계를 통과하면 Enforcer 가 클라이언트의 네트워크 액세스를 허용합니다. 클라이언트가 액세스 요건을 만족하지 않으면 다음 작업을 수행하도록 Enforcer 를 설정할 수 있습니다. 특정 이벤트 감시 및 로그 기록 호스트 무결성 검사에 불합격할 경우 사용자 차단 클라이언트에 팝업 메시지 표시 재조정을 위해 네트워크 리소스를 사용할 수 있도록 네트워크에 대해 제한된 클라이언트 액세스 허용 Gateway Enforcer 인증을 설정하기 위해서 검사할 클라이언트 IP 주소를 설정할 수 있습니다. 또한 신뢰할 수 있는 외부 IP 주소를 지정해서 Enforcer 의 인증을 거치지 않고 액세스를 허용하도록 설정할 수 있습니다. 재조정을 위해서는 신뢰할 수 있는 내부 IP 주소에 대한 클라이언트 액세스를 허용하도록 Gateway Enforcer 를 설정할 수 있습니다. 예를 들어 클라이언트가 바이러스 차단 DAT 파일이 포함된 업데이트 서버나 파일 서버에 액세스하도록 허용할 수 있습니다. Symantec Agent 가 설치되어 있지 않은 클라이언트의 경우 클라이언트 HTTP 요청을 웹 서버에 리디렉션하여 추가 지침을 제공하거나 클라이언트가 에이전트를 다운로드하도록 할 수 있습니다. 또한 비 Windows 클라이언트의 네트워크 액세스를 허용하도록 Gateway Enforcer 를 설정할 수 있습니다. Gateway Enforcer 는 라우터가 아닌 브릿지로 작동합니다. 클라이언트가 인증을 받으면 Enforcer 가 패킷을 전달하여 클라이언트의 네트워크 액세스를 허용합니다. DHCP Enforcer 개요 DHCP Enforcer 는 내부 네트워크를 보호하기 위해 보안 정책 적용 브릿지로 사용됩니다. 7

22 SSEP Enforcer 설치 및 관리 설명서 네트워크에 연결을 시도하는 클라이언트는 동적 IP 주소와 관련한 DHCP 요청을 전송합니다. 스위치 또는 라우터(DHCP 중계 에이전트 역할 수행)는 DHCP 요청을 DHCP 서버 앞에 인라인으로 설정된 DHCP Enforcer 로 라우팅합니다. Enforcer 는 DHCP 요청을 DHCP 서버에 전달하기 전에 클라이언트가 에이전트 실행 및 기타 필요한 소프트웨어와 같은 보안 정책을 준수하는지 확인합니다. 클라이언트가 보안 정책을 준수할 경우 DHCP Enforcer 는 클라이언트의 IP 주소 요청을 일반 DHCP 서버로 전송합니다. 클라이언트가 보안 정책을 준수하지 않을 경우 Enforcer 는 클라이언트에 격리 네트워크 설정을 할당하는 격리 DHCP 서버에 클라이언트를 연결합니다. 참고: 하나의 시스템에 하나의 DHCP 서버를 설치하고 일반 및 격리 네트워크 설정이 모두 적용되도록 설정할 수 있습니다. DHCP Enforcer 솔루션을 완성하기 위해 관리자는 재조정 서버를 설정하고 격리된 클라이언트의 액세스를 재조정 서버만으로 제한해야 합니다. 고가용성이 필요한 경우 Enforcer 를 두 개 이상 설치해서 장애 조치 기능을 확보할 수 있습니다. DHCP Enforcer 작동 원리 DHCP Enforcer 는 DHCP 서버에 액세스를 시도하는 클라이언트에 보안 정책을 강제합니다. DHCP Enforcer 는 클라이언트가 인증에 실패할 경우 DHCP 요청을 차단하는 것이 아니라 격리 DCHP 서버로 전송하여 단기간 동안 제한된 범위의 네트워크 설정을 사용할 수 있도록 합니다. 클라이언트가 처음에 DHCP 요청을 보내면 DHCP Enforcer 가 이 요청을 격리 DHCP 서버로 전달하여 사용 기간이 짧은 임시 IP 주소를 제공합니다. 그 다음 Enforcer 는 클라이언트에 대한 인증 프로세스를 시작할 수 있습니다. 8

23 Symantec Enforcer 개요 Enforcer 는 다음 단계에 따라 클라이언트를 인증합니다. 1. 클라이언트가 엔터프라이즈 네트워크 액세스를 시도할 때 Enforcer 는 먼저 클라이언트 시스템에 Symantec Agent 가 실행 중인지 확인하고, 실행 중이면 호스트 인증 프로세스를 시작합니다. 2. 클라이언트에서 실행 중인 Symantec Agent 는 호스트 무결성 검사를 수행하고 보안 정책 상태에 대한 정보 및 식별 정보와 함께 결과를 Enforcer 에 전달합니다. 3. Enforcer 는 정책 관리자에서 에이전트가 적법한 클라이언트이고 보안 정책이 최신 상태인지를 검사합니다. 4. Enforcer 는 클라이언트가 호스트 무결성 검사를 통과하여 보안 정책을 준수하는지 확인합니다. 5. 모든 단계를 통과하면 Enforcer 가 격리 IP 주소를 해제하고 클라이언트 DHCP 요청을 일반 DHCP 서버로 라우팅합니다. 그 다음 클라이언트가 일반 IP 주소와 네트워크 설정을 수신합니다. 클라이언트가 보안 요건을 만족시키지 않으면 Enforcer 가 격리 DHCP 서버에서 DHCP 요청을 갱신합니다. 또한 클라이언트가 재조정 서버에 액세스하도록 허용하는 격리 네트워크 설정을 수신합니다. 정상 DHCP 서버에 대한 클라이언트(Windows 클라이언트 제외)의 액세스를 허용하도록 DHCP Enforcer 를 설정할 수 있습니다. 참고: 하나의 시스템에 하나의 DHCP 서버를 설치하고 일반 및 격리 네트워크 설정이 모두 적용되도록 설정할 수 있습니다. 9

24 SSEP Enforcer 설치 및 관리 설명서 다음 그림은 DHCP Enforcer 의 작동 방식을 설명하고 있습니다. 그림 2. DHCP Enforcer 작동 원리 LAN Enforcer 개요 LAN Enforcer 는 RADIUS(Remote Authentication Dial-In User Service) 프록시 역할을 수행합니다. RADIUS 서버와 LAN Enforcer 를 사용하면 클라이언트 시스템이 정책 관리자에 설정된 보안 정책을 준수 하는지 확인하는 것 외에도 기존의 802.1x/EAP 사용자 인증을 수행할 수 있습니다(호스트 인증). RADIUS 서버를 사용하지 않는 네트워크에서 LAN Enforcer 는 호스트 인증만 수행합니다. 10

25 Symantec Enforcer 개요 RADIUS 서버와 LAN Enforcer 를 함께 설치할 때의 이점은 Enforcer 를 통해 다음과 같은 작업을 모두 수행할 수 있다는 점입니다. 네트워크 액세스 권한을 부여하기 전에 RADIUS 를 통해 클라이언트 장치 사용자의 인증 과정을 거쳐서 부적합한 시스템이 네트워크를 사용하지 못하도록 방지합니다. Symantec Agent 가 실행 중이고 호스트 무결성 검사가 통과했는지를 검사하여 시스템에 올바른 바이러스 차단 소프트웨어, 패치 또는 기타 소프트웨어가 있는지 확인하는 등의 보안 정책을 강제합니다. LAN Enforcer 는 EAP/802.1x 인증을 지원하는 스위치 또는 무선 액세스 지점과 통신하고 두 개 이상의 VLAN(가상 LAN)으로 설정되는 경우가 많습니다. 클라이언트 시스템의 Symantec Agent 는 EAPOL(EAP over LAN) 프로토콜을 통해 EAP 정보 및/또는 호스트 무결성 정보를 스위치에 전달합니다. 스위치는 정보를 인증하도록 LAN Enforcer 에 전달합니다. 호스트 인증 또는 EAP 사용자 인증 통과 여부에 따라 인증 실패에 응답하도록 LAN Enforcer 를 설정할 수 있습니다. 동적 VLAN 기능을 제공하는 스위치 또는 무선 액세스 지점과 함께 사용할 경우 인증 결과에 따라 클라이언트가 서로 다른 VLAN(재조정 VLAN 포함)에 연결되도록 LAN Enforcer 를 설정할 수 있습니다. RADIUS 서버와 LAN Enforcer 를 사용할 경우 하나의 서버가 작동하지 않아도 LAN Enforcer 가 다른 서버로 전환하도록 Enforcer 에 대해 여러 RADIUS 서버 연결을 설정할 수 있습니다. 또한 다수의 LAN Enforcer 가 스위치에 연결되도록 설정하면 LAN Enforcer 가 응답하지 않을 경우 다른 LAN Enforcer 에서 인증을 처리합니다 x 인증 IEEE 802.1X-2001 은 무선 및 유선 LAN 에 대한 액세스 제어를 정의하는 표준으로서 보호 네트워크에서 사용자 트래픽을 인증 및 제어하기 위한 프레임워크를 제공합니다. 이 표준은 네트워크에 액세스하는 각 사용자를 인증하기 위해 RADIUS(Remote Authentication Dial-In User Service)와 같은 중앙화된 인증 서버를 사용하는 EAP(Extensible Authentication Protocol) 사용을 지정합니다 x 표준에는 EAPOL(EAP-over-LAN)의 사양이 포함됩니다. EAPOL 은 EAP 메시지를 링크 계층 프레임(예: 이더넷)에 맞게 표준화하는 데 사용되며 제어 기능도 제공합니다 x 구조에는 다음과 같은 주요 구성 요소가 포함됩니다. 인증자 802.1x 호환 LAN 스위치 또는 무선 액세스 지점과 같은 인증을 중재하는 개체입니다. 인증 서버 RADIUS 서버와 같이 요청에 대한 응답으로 제공된 인증서를 검증하여 실제 인증을 제공하는 개체 항목입니다. 요청자 시스템과 같이 네트워크 액세스를 원하고 있으며 인증 대상이 되는 개체입니다. 요청자 장치가 802.1x 를 지원하는 네트워크 스위치 인증자에 연결되어 있는 경우 다음 프로세스가 발생합니다(인증 프로세스 중에는 EAP 트래픽만 허용됨). 스위치가 EAP ID 요청을 발송합니다. EAP 요청자 소프트웨어가 EAP ID 응답에 반응하고 스위치가 이를 인증 서버(예: RADIUS)로 전달합니다. 인증 서버가 EAP 요청을 발행하고, 스위치가 이를 요청자에게 전달합니다. 사용자가 인증서(예: 사용자 이름 및 암호, 토큰 등)를 입력합니다. 인증자가 사용자가 제공한 인증서를 포함한 EAP 요청 응답을 스위치에 보내고 스위치는 이를 인증 서버에 전달합니다. 인증 서버가 인증서를 검사하고 EAP 또는 사용자 인증 결과를 반환해서 인증 성공 또는 실패를 알려줍니다. 인증이 성공하면 스위치가 일반 트래픽에 대한 액세스를 허용합니다. 인증이 실패하면 클라이언트 장치의 액세스가 차단됩니다. 두 경우 모두 요청자에게 결과를 통지합니다. 11

26 SSEP Enforcer 설치 및 관리 설명서 EAP 에 대한 자세한 내용은 에서 IETF 의 RFC 2284 를 참조하십시오. IEEE Std 802.1x 에 대한 자세한 내용은 에서 표준 관련 규정을 참조하십시오. LAN Enforcer 작동 원리 LAN Enforcer 는 802.1x 인증을 지원하는 스위치 또는 무선 AP(액세스 지점)와 같은 인증자와 연동합니다. LAN Enforcer 는 다음 두 가지 방식으로 사용할 수 있습니다. 기본 설정: RADIUS 서버에서 호스트 인증과 함께 기존의 EAP(Extensible Authentication Protocol) 사용자 인증을 수행합니다. 투명 모드: RADIUS 서버 없이 호스트 인증만 수행합니다. 참고: 무선 액세스 지점을 사용할 때는 투명 모드를 사용할 수 없습니다. 기본 설정에서 LAN Enforcer 는 호스트 인증을 수행하지만 사용자 인증을 제공하는 RADIUS 서버와 연동하도록 설정할 수도 있습니다. 투명 모드에서는 RADIUS 서버와 연동하지 않습니다. 두 경우 모두 LAN Enforcer 는 EAPOL(EAP over LAN) 프로토콜을 사용하여 802.1x 스위치 또는 AP 를 통해 클라이언트의 EAP 인증자와 통신합니다. 클라이언트 시스템의 EAP 인증자가 인증자를 통한 액세스를 시도할 때 EAP 사용자 인증(기본 설정) 및 호스트 인증 프로세스가 시작됩니다. 사용자 인증은 RADIUS 서버에 의해 수행되며 결과(허용 또는 거부)가 LAN Enforcer 에 반환됩니다. Symantec Agent 에서 수행한 호스트 무결성 검사에서 시스템이 호스트 무결성 정책 요건을 만족하지 않는 것으로 확인되거나 에이전트에 최신 정책이 없으면 호스트 인증이 실패합니다. 인증자가 동적 VLAN 전환을 지원하는 경우 인증 결과(또는 RADIUS 특성)에 따라 VLAN 에 포트를 할당하도록 인증자 및 LAN Enforcer 를 설정할 수 있습니다. 전형적인 VLAN 설정에는 일반 네트워크 액세스, 특정 관리자 네트워크 액세스 및/또는 격리/재조정을 위한 제한된 액세스가 포함될 수 있습니다. 또한 ACL(액세스 제어 목록)을 스위치로 전송하는 일과 같은 사용자 정의 VLAN 특성으로 LAN Enforcer 를 설정할 수도 있습니다. 인증자가 EAP 인증이나 호스트 인증 또는 두 인증을 모두 실패하면 인증 서버로 작동하는 LAN Enforcer 가 액세스를 차단하거나 격리/재조정 VLAN 으로 클라이언트 장치를 동적으로 할당하도록 인증자에게 지시할 수 있습니다. 재조정 VLAN 은 일반적으로 제한된 네트워크 액세스를 제공하여 자동 재조정 작업 완료, 소프트웨어 설치, 소프트웨어 업데이트, 또는 보안 정책을 준수하도록 클라이언트 장치를 복원하는 데 필요한 기타 단계를 허용합니다. 예를 들어 에이전트에서 최신 바이러스 차단 업데이트를 다운로드할 수 있습니다. 그 다음 에이전트는 인증 프로세스를 다시 시작하여 클라이언트가 인증을 통과하고 재조정 VLAN 대신 일반 네트워크 VLAN 에 연결하도록 할 수 있습니다. 에이전트(802.1x 인증자로 작동)가 인증에 실패 또는 성공할 때마다 VLAN 이 변경된 경우(로그온 또는 특정 이유로 인한 VLAN 전환의 결과) 에이전트는 기존 IP 주소를 해제하고 새로운 IP 주소를 얻도록 갱신됩니다. 참고: Odyssey 802.1x 인증자는 EAP 인증이 실패할 경우 모든 네트워크 트래픽을 차단하도록 설계되어 있습니다. LAN Enforcer 기본 설정 작동 원리 802.1x 인증에 매우 익숙한 경우 LAN Enforcer 의 기본 설정 사용 시 클라이언트가 네트워크에 액세스를 시도할 때 발생하는 사항에 대한 추가 정보가 필요할 수 있습니다. 이 정보는 네트워크 연결 문제를 해결하는 데 유용합니다 x LAN Enforcement 의 기본 설정은 다음과 같이 작동합니다. 12

27 Symantec Enforcer 개요 요청자(클라이언트 시스템으로 가정)가 인증자(예: 802.1x 스위치)를 통해 네트워크 액세스를 시도합니다. 스위치는 시스템을 조회하고 ID 를 요청합니다. 시스템의 802.1x 인증자는 사용자에게 사용자 이름 및 암호를 요청하고 해당 ID 로 응답합니다. 스위치가 이 정보를 LAN Enforcer 에 전달하고, LAN Enforcer 는 이를 다시 RADIUS 서버로 전달합니다. RADIUS 서버가 EAP 요청을 생성합니다(해당 설정에 따라 EAP 유형 선택). LAN Enforcer 는 이 요청을 수신하고, 호스트 무결성 요청을 추가하고, 이를 스위치에 전달합니다. 스위치가 EAP 및 호스트 무결성 요청을 클라이언트에 전달합니다. 클라이언트가 요청을 수신하고 응답을 보냅니다. 스위치가 응답을 수신하고 이를 LAN Enforcer 에 전달합니다. LAN Enforcer 가 호스트 무결성 검사 결과 및 에이전트 상태 정보를 확인하고 이를 RADIUS 서버에 전달합니다. RADIUS 서버가 EAP 인증을 수행하고 결과를 다시 LAN Enforcer 에 전송합니다. LAN Enforcer 가 인증 결과를 수신해서 결과 및 취해야 할 작업을 전달합니다. 스위치가 결과에 따라 일반 네트워크 액세스 허용, 액세스 차단 또는 다른 VLAN 에 대한 액세스 허용 등의 적합한 작업을 선택합니다. 참고: Odyssey 802.1x 요청자는 EAP 인증이 실패할 경우 모든 네트워크 트래픽을 차단하도록 설계되어 있습니다. LAN Enforcer 투명 모드 작동 원리 LAN Enforcer 투명 모드는 다음과 같이 작동합니다. 요청자(클라이언트 시스템으로 가정)가 승인자(예: 802.1x 스위치)를 통해 네트워크 액세스를 시도합니다. 승인자가 시스템을 조회하고 EAP 인증 패킷(이 시점에서만 허용된 EAP 트래픽)을 전송합니다. 에이전트(EAP 요청자 역할)는 인증 패킷을 확인하고 호스트 무결성 인증으로 응답합니다. 스위치가 호스트 무결성 인증 결과를 LAN Enforcer(RADIUS 프록시 서버로 실행)에 전송합니다. LAN Enforcer 가 인증 결과에 따라 VLAN 할당 정보가 포함된 스위치에 응답합니다. 13

28 SSEP Enforcer 설치 및 관리 설명서 다른 업체의 강제 제품 지원 시만텍은 다른 업체에서 개발된 강제 솔루션에 대해 여러 가지 방식의 지원을 제공합니다. Universal Enforcement API 시만텍이 개발한 Universal Enforcement API 를 사용하면 관련 기술을 지원하는 다른 업체의 솔루션과 시만텍 소프트웨어를 통합할 수 있습니다. CNAC(Cisco Network Admissions Control) Symantec Agent 는 CNAC(Cisco Network Admissions Control) 강제 솔루션을 지원합니다. 자세한 내용은 Symantec Policy Manager 관리자 설명서를 참조하십시오. 14

29 II 부: Enforcer 계획 및 설치 II 부에서는 Enforcer 계획 및 설치에 대해 설명합니다. Enforcer 계획에는 Enforcer 배치 위치, 사용 기능 및 네트워크 내부의 Enforcer 구현 방법 등의 기본 계획에 대한 정보가 포함됩니다. 계획 정보는 다음과 같은 Enforcer 유형에 따라 구성됩니다. Gateway Enforcer 계획 DHCP Enforcer 계획 LAN Enforcer 계획 또한 Enforcer 장애 조치를 계획해야 할 수 있습니다( Enforcer 장애 조치 계획 및 설치 참조). 기본 계획을 완료한 후에는 Enforcer 하드웨어 및 소프트웨어 요건, 설치 프로세스, 기본 설정 및 설정 요건에 대한 구체적인 정보가 필요합니다. 이 정보의 핵심 항목은 다음과 같습니다. Gateway Enforcer 설치 및 기본 설정 DHCP Enforcer 설치 및 기본 설정 LAN Enforcer 설치 및 기본 설정 15

30 SSEP Enforcer 설치 및 관리 설명서 16

31 2 장. Gateway Enforcer 계획 네트워크에 Gateway Enforcer 를 구현하는 데 도움이 되는 몇 가지 유형의 계획 정보가 있습니다. 이 장에서는 다음 주제에 대해 설명합니다. Gateway Enforcer 배치 위치 Gateway Enforcer IP 주소 두 개의 Gateway Enforcer 를 일렬로 사용 VPN 액세스 보호 무선 액세스 지점 보호 서버 보호 비 Windows 클라이언트 및 Gateway 강제 비 Windows 클라이언트 허용 요건 Gateway Enforcer 계획 워크시트 Enforcer 장애 조치 계획 및 설치 의 항목을 참조할 수도 있습니다. Gateway Enforcer 배치 위치 Gateway Enforcer 는 모든 트래픽이 기업 네트워크 또는 보안 네트워크 영역에 도달하기 전 Enforcer 를 통과해야 하는 다음과 같은 위치에 배치할 수 있습니다. VPN: VPN(가상 개인 네트워크) 집신기와 기업 네트워크 사이 무선: 무선 액세스 지점(무선 AP)과 기업 네트워크 사이 서버: 기업 서버 앞단 대규모 조직에서는 모든 네트워크 진입 지점을 보호하기 위해 Enforcer 가 필요합니다. Gateway Enforcer 는 일반적으로 서로 다른 서브넷에 위치합니다. 대부분의 경우 Enforcer 는 하드웨어 설정을 변경할 필요 없이 기업 네트워크에 통합될 수 있습니다. 다음 그림은 전반적인 네트워크 설정에서 Gateway Enforcer 를 배치할 수 있는 위치 예를 보여 줍니다. 이 그림은 무선 네트워크 지점(무선 AP), VPN 및 기업 네트워크 내부에 배치되어 중요한 정보를 저장하는 서버를 보호하는 Enforcer 를 보여 줍니다. 그림에서 보는 바와 같이 Gateway Enforcer 는 두 개의 NIC(네트워크 인터페이스 카드)가 필요합니다. 해당 IP 주소 설정에 대한 자세한 내용은 "Gateway Enforcer IP 주소"를 참조하십시오. 17

32 SSEP Enforcer 설치 및 관리 설명서 그림 3. 기업 네트워크에 Gateway Enforcer 배치 Gateway Enforcer 가 네트워크를 보호하는 다른 위치로는 RAS(원격 액세스 서버)가 있습니다. 클라이언트는 전화 접속을 통해 기업 네트워크에 액세스할 수 있습니다. RAS 전화 접속 클라이언트는 무선 및 VPN 클라이언트와 비슷하게 설정됩니다. 외부 NIC 는 RAS 서버에 연결되고 내부 NIC 는 네트워크에 연결됩니다. 18

33 Gateway Enforcer 계획 Gateway Enforcer IP 주소 Gateway Enforcer 의 내부 및 외부 NIC 에 대한 IP 주소를 설정할 때는 다음 지침을 따르십시오. 내부 NIC 외부 NIC Enforcer 의 내부 IP 주소는 정책 관리자와 통신할 수 있어야 합니다. 에이전트는 Enforcer 의 내부 IP 주소와 통신할 수 있어야 하며, VPN 서버 또는 무선 AP 는 클라이언트는 클라이언트가 Enforcer 내부 IP 주소와 동일한 서브넷에 라우팅되는 한 다른 서브넷에 있을 수 있습니다. 내부 서버를 보호하는 Gateway Enforcer 의 경우 내부 NIC 는 서버에 연결되는 VLAN 에 연결됩니다. 장애 조치 설정에서 다중 Enforcer 를 사용 중인 경우 각 Enforcer 에 있는 내부 NIC 의 IP 주소는 서로 달라야 합니다. 외부 NIC 의 IP 범위는 내부 NIC 의 IP 범위와 다른 서브넷에 있어야 하며, 보안을 위해 위조 IP 를 할당하는 것이 좋습니다. 서브넷에서 각 외부 IP 주소는 중복되지 않아야 합니다. 장애 조치 설정에서 다중 Enforcer 를 사용 중인 경우 각 Enforcer 에 있는 외부 NIC 의 IP 주소는 서로 달라야 합니다. 두 개의 Gateway Enforcer 를 일렬로 사용 에이전트가 두 개 이상의 Enforcer 를 통해 네트워크에 연결될 수 있도록 두 개의 Gateway Enforcer 를 일렬로 사용 중인 경우 정책 관리자와 가장 가까이 위치한 Enforcer 는 다른 Enforcer 의 신뢰할 수 있는 내부 IP 주소로 지정되어야 합니다. 그렇지 않으면 에이전트의 네트워크 연결 시간이 최대 5 분까지 지연될 수 있습니다. 이러한 지연은 다음과 같은 경우에 발생할 수 있습니다. 에이전트에서 실행한 호스트 무결성 검사에 실패합니다. 그리고 나서 호스트 무결성 복원의 일환으로 에이전트가 호스트 무결성 검사를 다시 실행한 이후에 에이전트가 필요한 소프트웨어 업데이트를 다운로드하고, 호스트 무결성 검사가 성공하지만 네트워크 액세스는 지연됩니다. Enforcer 의 신뢰할 수 있는 내부 IP 주소를 설정하는 방법에 대한 자세한 내용은 "Gateway Enforcer 설정" 이하에 설명된 "신뢰할 수 있는 내부 IP 주소 지정"을 참조하십시오. VPN 액세스 보호 VPN 액세스 보호는 고객이 Gateway Enforcer 를 사용하는 가장 우선적이고 일반적인 방법입니다. Enforcer 를 VPN 진입 지점에 배치하여 기업 네트워크에 대한 액세스를 보호할 수 있습니다. 다음 그림은 VPN 연결에서 네트워크에 대한 액세스를 제어하기 위해 Gateway Enforcer 를 설정하는 방법을 보여 줍니다. 그림에서와 같이 Enforcer 는 VPN 및 기업 네트워크를 통해 연결되는 원격 클라이언트 사이에 배치되어 있습니다. 여기에서는 인증된 사용자의 액세스만 허용하고 다른 사용자의 액세스는 금지합니다. 19

34 SSEP Enforcer 설치 및 관리 설명서 그림 4. VPN 서버의 Gateway Enforcer 보호 무선 액세스 지점 보호 Gateway Enforcer 를 사용하는 다른 일반적인 방법은 무선 액세스 지점(무선 AP)에서 기업 네트워크를 보호하는 것입니다. Enforcer 는 무선 기술을 사용하여 네트워크에 연결 중인 사용자가 네트워크 액세스 권한을 부여하기 전에 Symantec Agent 를 실행 중이고 보안 요건을 만족하는지 확인합니다. 다음 그림은 무선 액세스 지점에서 기업 네트워크를 보호하기 위해 Gateway Enforcer 를 설정하는 방법의 예입니다. Enforcer 는 무선 AP 와 기업 네트워크 사이에 배치됩니다. 그림에서와 같이 외부 NIC 는 무선 AP 에 연결되며 내부 NIC 는 기업 네트워크에 연결됩니다. 20

35 Gateway Enforcer 계획 그림 5. 무선 액세스 지점의 Gateway Enforcer 보호 서버 보호 Gateway Enforcers 는 기업 네트워크에서 중요한 정보가 보관된 기업 서버를 보호할 수 있습니다. 기업은 시스템 관리자만 출입할 수 있는 시스템실에 설치된 서버에 중요 데이터를 배치할 수 있습니다. Gateway Enforcer 는 출입문에 설치된 특수 자물쇠와 같은 역할을 수행하며 해당 기준을 충족하는 사용자에 한하여 보호되는 서버에 대한 액세스를 허용합니다. 서버는 이 설정에 내부 NIC 를 배치합니다. 하지만 액세스를 시도하는 사용자는 외부 NIC 를 통과해야 합니다. 서버를 보호하기 위해서는 특정 IP 에 한하여 액세스를 제한하고 엄격한 호스트 무결성 규칙을 설정할 수 있습니다. 다음 그림은 네트워크 내의 서버를 보호하기 위해 Enforcer 를 설정하는 방법의 예입니다. 이 경우 Gateway Enforcer 는 기업 LAN 의 에이전트와 보호 중인 서버 사이에 있습니다. 외부 NIC 는 기업 내부의 기업 LAN 에 연결되고 내부 NIC 는 서버에 연결됩니다. 이 설정은 권한이 없는 사용자(또는 에이전트)의 서버 액세스를 금지합니다. 21

36 SSEP Enforcer 설치 및 관리 설명서 그림 6. 서버의 Gateway Enforcer 보호 비 Windows 클라이언트 및 Gateway 강제 Symantec Agent 는 Microsoft Windows 를 실행하는 클라이언트에만 설치할 수 있습니다. Enforcer 는 에이전트를 실행하지 않는 클라이언트를 인증할 수 없습니다. 기업에 Symantec Agent 가 지원되지 않는 Linux 또는 Solaris 와 같은 운영 체제를 기반으로 한 클라이언트가 있는 경우 다음에 대한 결정을 계획에 포함시켜야 클라이언트의 네트워크 액세스를 지원할 수 있습니다. Gateway Enforcer 를 통한 지원 구현 Gateway Enforcer 없이 지원 구현 Gateway Enforcer 를 통한 지원 구현 비 Windows 클라이언트에 대한 지원을 구현할 수 있는 한 가지 방법은 그림에서와 같이 모든 비 Windows 클라이언트가 네트워크에 액세스할 수 있도록 Gateway Enforcer 를 설정하는 것입니다. 이러한 방식으로 설정할 경우 Enforcer 가 클라이언트에 대한 운영 체제 탐지 작업을 수행해서 비 Windows 운영 체제가 실행 중인지 확인합니다. 참고: Gateway Enforcer 를 통해 비 Windows 클라이언트를 허용하는 데 필요한 클라이언트 요건에 대한 자세한 정보는 "비 Windows 클라이언트 허용 요건"을 참조하십시오. 22

37 Gateway Enforcer 계획 다른 방법으로는 신뢰하는 특정 IP 주소 또는 IP 주소 범위에서 기업 네트워크에 액세스하도록 Gateway Enforcer 를 설정할 수 있습니다. 비 Windows 클라이언트에 신뢰하는 IP 주소를 할당할 수 있습니다. 그림 7. Gateway Enforcer 를 통해 비 Windows 클라이언트 지원 Enforcer 없이 지원 구현 비 Windows 클라이언트에 대한 지원을 구현할 수 있는 또 다른 방법은 비 Windows 클라이언트가 별도의 액세스 지점을 통해 네트워크에 액세스하도록 허용하는 것입니다. 별도의 VPN 서버를 통해 비 Windows 운영 체제를 지원하는 클라이언트를 연결할 수 있습니다. 한 대의 VPN 서버는 에이전트 소프트웨어가 설치되어 있는 클라이언트를 지원하고 Enforcer 를 통해 기업 네트워크에 연결될 수 있습니다. 두 번째 VPN 서버는 비 Windows 운영 체제를 실행하는 클라이언트를 지원하고 Enforcer 없이 기업 네트워크에 연결할 수 있습니다. 23

38 SSEP Enforcer 설치 및 관리 설명서 이 설정은 모든 클라이언트가 단일 VPN 서버에 연결되는 다른 방법보다 안전한 솔루션입니다. 그림 8. Gateway Enforcer 없이 비 Windows 클라이언트 지원 비 Windows 클라이언트 허용 요건(Gateway Enforcer) 인증을 거치지 않고 비 Windows 클라이언트의 액세스를 허용하도록 Gateway Enforcer 를 설정할 수 있습니다. "비 Windows 클라이언트 허용"을 참조하십시오. 클라이언트가 Gateway Enforcer 를 통해 기업 네트워크에 액세스하려고 시도할 때 Enforcer 는 먼저 클라이언트에서 에이전트가 실행 중인지 확인합니다. 에이전트가 실행 중이 아니고 비 Windows 클라이언트 허용 옵션이 설정되어 있으면 Enforcer 가 클라이언트에서 실행 중인 운영 체제 유형을 감지하기 위해 탐지 정보 패킷을 보내서 운영 체제를 확인합니다. 클라이언트가 비 Windows 운영 체제를 실행 중이면 일반 네트워크 액세스가 허용됩니다. Windows 클라이언트의 요건 비 Windows 클라이언트를 허용하도록 설정된 경우 Enforcer 는 클라이언트의 운영 체제를 확인하려고 시도합니다. 운영 체제가 Windows 이면 Enforcer 가 클라이언트를 인증합니다. 그렇지 않으면 인증을 거치지 않고 네트워크에 연결되도록 허용합니다. 하지만 Enforcer 가 운영 체제를 올바르게 탐지하려면 Windows 클라이언트에서 다음과 같은 요건을 준수해야 합니다. Microsoft 네트워크 클라이언트 옵션을 설치하고 클라이언트에서 설정해야 합니다(Windows 설명서 참조). 클라이언트에서 UDP 포트 137 을 개방하고 Enforcer 에서 액세스할 수 있도록 해야 합니다. 참고: Windows 클라이언트가 위에 나열된 요건을 충족하지 못하면 Enforcer 는 Windows 클라이언트가 비 Windows 클라이언트인 것으로 오인해서 인증을 거치지 않고 네트워크 액세스를 허용할 수 있습니다. 24

39 Gateway Enforcer 계획 비 Windows 클라이언트의 요건 Macintosh: Gateway Enforcer 가 Macintoch 클라이언트의 액세스를 허용하려면 아래 요건을 갖춰야 합니다. 즉, Macintosh 시스템에 다음과 같은 설정이 필요합니다. Windows 공유를 설정해야 합니다(기본값). Macintosh 내장 방화벽을 해제해야 합니다(기본값). Linux: Gateway Enforcer 가 Linux 클라이언트의 액세스를 허용하려면 아래 요건을 갖춰야 합니다. Linux 시스템에서 Samba 서비스가 실행 중이어야 합니다. Gateway Enforcer 계획 워크시트 계획 정보를 수집하면 Gateway Enforcer 의 개수 및 배치를 확인하는 데 도움이 됩니다. Enforcer 설치를 계획할 때는 다음과 같은 사항을 고려하십시오. Enforcer 를 설치할 경우 이점을 얻을 수 있는 기업 네트워크 내부의 진입 지점이 몇 개입니까? o VPN o RAS o 무선 o 기타 Enforcer 설치에 따른 이점을 얻을 수 있도록 서버에서 보호해야 할 중요 보안 영역이 몇 개입니까? o 기업 서버 o o o o o o o 기업 및 계정 데이터베이스 상용 서비스 소스 코드 고유 문서 재무 데이터 고유 문서 기타 25

40 SSEP Enforcer 설치 및 관리 설명서 네트워크에서 공격에 가장 취약한 부분은 어디입니까? 설치할 Enforce 가 고가용성이어야 합니까? 비 Windows 클라이언트가 있습니까? 기타 보안 관련 고려 사항이 있습니까? 26

41 3 장. Gateway Enforcer 설치 및 기본 설정 다음 항목에서는 설치 필요 요건 및 Enforcer 시스템에서 수행되는 실제 설치 및 기본 설정과 Enforcer 소프트웨어를 제거하거나 업데이트하는 방법에 대해 설명합니다. 설치 작업 목록(Gateway 또는 DHCP Enforcer) 설치 필요 요건(Gateway 또는 DHCP Enforcer) 시스템 요건(Gateway 또는 DHCP Enforcer) Linux 설치 권장 사항 Enforcer 오류 메시지 로그 기록 사용자 지정 NIC 설정(Gateway Enforcer) Gateway Enforcer 설치 로컬 콘솔에서 Gateway Enforcer 설정 완료 정책 관리자에 연결(Gateway 또는 DHCP Enforcer) NIC 설정 선택(Gateway 또는 DHCP Enforcer) 기본 설정이 완료되면 정책 관리자에서 Enforcer 설정을 완료합니다. 이러한 설정 작업은 "정책 관리자 연결 후 작업(Gateway Enforcer) 및 "정책 관리자의 Enforcer 관리" 섹션에서 설명됩니다. 27

42 SSEP Enforcer 설치 및 관리 설명서 설치 작업 목록(Gateway 또는 DHCP Enforcer) 다음은 Enforcer 설치를 위한 권장 작업 순서입니다. 1. Enforcer 설치 위치를 결정하십시오. 설치할 Enforcer 유형에 관한 정보는 계획 정보를 참조하십시오. 2. 정책 관리자를 설치하십시오. 3. Enforcer 작업에 필요한 기타 소프트웨어 및 하드웨어 구성 요소를 설치했는지 확인하십시오. "설치 필요 요건(Gateway 또는 DHCP Enforcer)"을 참조하십시오. 4. Enforcer 를 설치할 시스템이 시스템 요건을 만족하는지 확인하십시오. 5. Linux 문서에 설명된 최소 Linux 시스템을 설치하십시오. Linux 설치 권장 사항"을 참조하십시오. 6. Enforcer 소프트웨어를 설치하십시오. 7. Enforcer 로컬 콘솔에서 정책 관리자 연결에 대한 설정을 지정하십시오. 8. 로컬 콘솔에서 NIC 설정을 선택하십시오. 9. 정책 관리자에서 Enforcer 설정을 마치십시오. Enforcer 를 정책 관리자에 연결하면 정책 관리자 웹 콘솔에서 추가 설정 작업을 수행할 수 있습니다. 정책 관리자 연결 후 작업(Gateway Enforcer) 또는 정책 관리자 연결 후 작업(DHCP Enforcer) 을 참조하십시오. 10. 장애 조치용 Enforcer 설치(선택 사항): 고가용성 확보를 위해 각 Enforcer 에 대해 대기용 Enforcer 를 설치 및 설정하십시오. "장애 조치를 위한 Gateway 또는 DHCP Enforcer 설정"을 참조하십시오. 설치 필요 요건(Gateway 또는 DHCP Enforcer) Gateway 또는 DHCP Enforcer 를 설치하기 전에 다음 단계를 완료했는지 확인하십시오. "Linux 설치 권장 사항"의 설명에 따라 Enforcer 시스템 준비. Enforcer 시스템에 두 개의 NIC(네트워크 인터페이스 카드)를 설치하고 해당 TCP/IP 속성을 설정. 두 개의 NIC 가 설치되어 작동 중이 아닌 경우, 설치를 완료할 수 없으며 Symantec Enforcer 에는 네트워크 어댑터가 2 개 이상 필요합니다 라는 메시지가 표시됩니다. 28

43 Gateway Enforcer 설치 및 기본 설정 설치 후 기본 설정을 완료하려면 정책 관리자가 설치되어 있어야 합니다. 필요한 정보는 다음과 같습니다. 정책 관리자 IP 주소, 호스트 이름 또는 도메인 이름. 정책 관리자 호스트 이름 또는 도메인 이름을 사용하려면 Enforcer 시스템이 DNS 서버에 액세스할 수 있어야 합니다. 정책 관리자 비밀 키(있는 경우) 또한 Enforcer 가 제대로 작동하는지 테스트하기 위해 적어도 하나 이상의 에이전트가 설치되어 있는 것이 좋습니다. DHCP Enforcer 는 하나 이상의 일반 및 격리 DHCP 서버와 함께 작동합니다. DHCP Enforcer 를 설치한 후에는 정책 관리자에서 DHCP Enforcer 설정을 완료하기 위해 다음 정보가 필요합니다. 일반 및 격리 DHCP 서버의 IP 주소 시스템 요건(Gateway 또는 DHCP Enforcer) 다음은 Enforcer 를 설치할 시스템의 하드웨어 및 소프트웨어 요건입니다. 지원되는 하드웨어 및 소프트웨어에 대한 최신 정보를 보려면 Readme 파일을 참조하십시오. 하드웨어 요건 프로세서: Pentium III 750MHz 이상 메모리: 256MB RAM(512MB 권장) 디스크 공간: 100MB 의 디스크 여유 공간(필수), 로깅을 위한 500MB 의 여유 공간(옵션) 모니터: 800x600 해상도 및 256 색상 이상 네트워크 인터페이스 카드: TCP/IP 가 설치된 두 개의 네트워크 인터페이스 카드(지원되는 NIC 에 대한 정보는 Readme 참조) 참고: 두 개의 NIC(네트워크 인터페이스 카드)는 듀플렉스 설정과 속도(10MB, 100MB 또는 1GB)가 동일해야 합니다. 동일 Enforcer 시스템에서 두 NIC 의 설정이 다르면 시스템이 트래픽을 전달할 수 없습니다. 또한 동일 제조 업체의 동일 어댑터를 사용하는 것이 좋습니다. 하지만 동일한 Intel Pro MT1000 NIC 카드를 사용하는 경우에는 DHCP Enforcer 기능에 영향은 없지만 경우에 따라 ICMP 패킷을 ping 할 수 없습니다. 소프트웨어 요건 운영 체제: o Red Hat Enterprise Linux Version 3 Update 4(커널 버전 EL 또는 ELsmp) o Red Hat Enterprise Linux Version 3 Original(커널 버전 EL 또는 ELsmp) Linux 설치 권장 사항 Enforcer 를 설치하려면 Red Hat Enterprise Linux 버전 3.0 이 필요합니다. "Enforcer 시스템 요건"을 참조하십시오. Linux 설치는 다음 요건을 준수해야 합니다. 필수 데몬 시스템에 이미 Linux 가 설치되어 있으면 ntsysv 유틸리티를 실행하여 다음 데몬이 실행 중인지 확인하십시오. 29

44 SSEP Enforcer 설치 및 관리 설명서 network xinetd 이 데몬들은 Enforcer 를 제대로 실행하는 데 필요합니다. 설치 지침 시만텍은 Linux 운영 체제를 최소 설치 및 설정하도록 권장합니다. 다음은 Linux Red Hat 설치와 관련한 일부 지침입니다. Red Hat 설명서에 따라 Red Hat Enterprise Linux 를 설치하십시오. Linux 설치에 익숙한 경우, 사용자 지정 설치를 권장합니다. 최소 설치 패키지를 선택하십시오. 필요한 Linux 패키지에 대해서는 아래 정보를 참조하십시오. 회사에서 권장하는 특정한 디스크 파티션 정책이 없는 경우에는 자동 분할을 사용하고 기존에 있던 Linux 파티션 및 데이터를 시스템에서 제거하십시오. 부트 로더 선택 항목이 제공되면 GRUB Boot Loader(기본값)를 사용하십시오. GRUB 암호는 지정하지 않아도 됩니다. 사용자 편의를 위해 eth0 은 내부 NIC 로 설정되어 있고 eth1 은 외부 NIC(필요하지 않은 경우에도)로 설정되어 있습니다. 호스트 이름으로 지정한 이름은 정책 관리자 웹 콘솔에서 Enforcer 이름으로 나열됩니다. 인증을 위해서는 섀도우 암호와 MD5(RSA Data Security, Inc. MD5 Message-Digest Algorithm) 암호만 사용하면 됩니다. Linux 가 처음 부팅될 때 로그온 프롬프트가 표시되면 루트 사용자로 로그온하십시오. 필수 Linux 패키지 설치 RedHat Enterprise Linux 설치 중 다음 필수 패키지를 설치하려면 Minimal 로 표시된 설치 패키지를 선택하십시오. traceroute xinetd sudo klogd 필요한 추가 패키지는 Minimal 설치에 포함되지 않으므로 설치 완료 후 수동으로 설치해야 합니다. w3c-libwww i386.rpm w3c-libwww 패키지는 다음과 같이 설치 CD 의 RedHat/RPMS 폴더에 있습니다. Red Hat Enterprise Linux Version 3 Update 4(커널 버전 EL)의 세 번째 설치 CD Red Hat Enterprise Linux Version 3 Original(커널 버전 EL)의 두 번째 설치 CD Minimal 설치 시에는 X Window 인터페이스가 설치되지 않으므로 Linux 명령줄을 사용하여 w3c-libwww 패키지를 설치해야 합니다. 1. 설치 CD 마운트: mount /mnt/cdrom cd /mnt/cdrom 2. ls 명령을 사용하여 CD 가 마운트되었고 CD 에 RedHat 디렉터리가 있는지 확인할 수 있습니다. ls 3. RedHat 디렉터리로 이동하십시오. cd RedHat/ 30

45 Gateway Enforcer 설치 및 기본 설정 4. RPMS 하위 디렉터리로 이동하십시오. cd RPMS 5. 패키지를 설치하십시오. rpm -i w3c-libwww 6. 설치 CD 를 마운트 해제하고 꺼내십시오. umount /mnt/cdrom eject Enforcer 설치를 시작하기 전에 네트워크 인터페이스 카드의 상태를 확인할 수 있습니다. 그러려면 다음과 같이 ethtool 명령을 사용합니다. ethtool eth0 NIC 가 제대로 연결되어 있으면 검색된 Link 값이 "yes"입니다. Gateway 또는 DHCP Enforcer 를 설치하는 경우, 두 번째 NIC 를 확인해야 합니다. ethtool eth1 참고 VMware 파티션에는 Enforcer 를 설치할 수 없습니다. Enforcer 오류 메시지 로그 기록 사용자 지정 Enforcer 오류 메시지를 화면이 아닌 파일에 기록하려면 klogd Linux 패키지를 설치해야 합니다. klogd 가 설치되어 있으면 Enforcer 설치 시 다음 명령이 실행되어 4 이상의 메시지(정보 메시지)가 로그 파일에 전송됩니다. klog -c 4 -x -f /var/log/klog.log 명령을 실행한 후 Enforcer 는 4 미만의 메시지만 화면에 전송하고 정보 메시지는 /var/log/klog.log 파일로 전송합니다. 만약 klogd 가 설치되어 있지 않으면 Enforcer 가 모든 메시지를 화면에 출력합니다. 자신이 선택한 옵션으로 명령을 실행하여 화면 또는 로그 파일에 전송할 메시지를 사용자 지정할 수 있습니다. klog 명령 옵션에 대한 자세한 내용은 man 파일을 참조하십시오. NIC 설정(Gateway Enforcer) Gateway Enforcer 에는 두 개의 NIC(네트워크 인터페이스 카드)가 필요합니다. 내부 NIC 는 Enforcer 를 내부 LAN 에 연결하며, 외부 NIC 는 Enforcer 를 통해 액세스하는 클라이언트에 연결됩니다. Enforcer 설치를 시작하기 전에 내부 및 외부 NIC 에 대해 다음 정보를 설정해야 합니다. IP 주소 서브넷 마스크 기본 Gateway 의 IP 기본 이름 서버 내부 및 외부 NIC 의 TCP/IP 속성을 설정하려면 네트워크 설정을 잘 알고 있어야 합니다. 내부 NIC 의 경우, 다음 요건을 준수해야 합니다. 31

46 SSEP Enforcer 설치 및 관리 설명서 내부 NIC IP 주소는 정책 관리자와 통신할 수 있어야 합니다. 내부 NIC 는 다음과 같은 경우 기본 Gateway 를 지정해야 합니다. o o 정책 관리자가 Enforcer 와 동일한 서브넷에 있지 않은 경우 정책 관리자가 호스트 이름별로 지정되고 DNS 가 Enforcer 와 동일한 서브넷에 있지 않은 경우 외부 NIC 의 경우 다음 요건을 준수해야 합니다. 외부 NIC 에는 IP 주소가 필요하지 않지만 내부 NIC 와 동일한 서브넷에 포함되지 않는 IP 주소가 지정되어야 합니다. 그렇지 않으면 내부 네트워크로부터 DHCP 주소를 가져오지 못할 수도 있습니다. 또한 보안상의 이유로 외부 NIC 의 IP 주소는 Enforcer 가 외부에서 연결할 수 없도록 하기 위해 외부 서브넷의 유효한 IP 주소가 아니어야 합니다. Gateway Enforcer 설치 Enforcer 설치를 시작하기 전에 다음과 같이 하십시오. 시스템이 "시스템 요건(Gateway 또는 DHCP Enforcer)" 및 "Linux 설치 권장 사항"에 지정된 요건을 만족하는지 확인하십시오. 루트로 로그온하십시오. Enforcer 소프트웨어는 웹에서 RPM(Red Hat Package Manager) 형식의 파일로 제공됩니다. Enforcer 에서 인터넷에 연결할 수 없는 경우, Enforcer 를 설치하려는 시스템에 직접 제공할 수 있도록 먼저 RPM 파일을 CD 에 복사하십시오. Enforcer 를 설치하려면 다음과 같이 하십시오. 1. 다음과 같은 이름의 Gateway Enforcer RPM 파일을 찾으십시오. GatewayEnforcer-x.x.xxxx-1.i386.rpm 여기서 x.x.xxxx 는 릴리즈 및 빌드 번호입니다. 2. RPM 파일을 /tmp 디렉터리에 복사하십시오. 3. 파일을 복사한 /tmp 디렉터리로 이동하십시오. cd /tmp 4. rpm 명령을 사용하여 패키지를 설치하십시오. rpm -i GatewayEnforcer-x.x.xxxx-1.i386.rpm RPM 프로그램이 /opt/gatewayenforcer 를 작성하고 이 경로에 Gateway Enforcer 파일을 복사한 다음 설치 프로그램을 시작하십시오. Symantec Enforcer 라이센스 계약서가 표시됩니다. 5. 계약서를 읽고 동의하면 Y 를 입력하십시오. DO YOU ACCEPT THIS AGREEMENT? (y for yes, n for no) 설치 프로그램이 기본 암호 symantec 및 텔넷 포트 23 을 Enforcer 설정 콘솔에 지정하고 기본 텔넷 포트를 로 변경하십시오. 작업이 완료되면 설치가 완료되었다는 메시지가 표시됩니다. 이 때 Enforcer 서비스는 아직 실행 중이 아니지만 Enforcer 설정 콘솔을 사용할 수 있습니다. Enforcer 를 정책 관리자에 연결하려면 추가 설정이 필요합니다. 이제 Enforcer 설정 콘솔에서 Enforcer 의 기본 설정을 완료해야 합니다. "로컬 콘솔에서 Gateway Enforcer 설정 완료"를 참조하십시오. 32

47 Gateway Enforcer 설치 및 기본 설정 참고 Enforcer 등록은 정책 관리자에서 중앙 집중 방식으로 관리됩니다. 설치 스크립트는 시스템을 검사하여 필요한 라이브러리의 설치 여부를 확인합니다. 필요한 라이브러리를 찾을 수 없는 경우, 설치 스크립트가 다음과 같은 오류 메시지를 표시합니다. Required library file <library filename> is not installed Gateway 또는 DHCP Enforcer 의 경우 설치 스크립트는 두 개의 네트워크 인터페이스 카드를 검사한 다음 없는 경우 다음과 같은 오류 메시지를 표시합니다. Symantec Enforcer needs at least 2 network adapters 로컬 콘솔에서 Gateway Enforcer 설정 완료 설치 중 설치 스크립트를 실행하면 Enforcer 설정 콘솔이 실행됩니다. 하지만 아직 정책 관리자에 연결하고 Enforcer 서비스를 온라인으로 만들기 위해 필요한 정보는 지정하지 않았습니다. 이제 Enforcer 콘솔에서 Enforcer 의 기본 설정을 완료해야 합니다. Enforcer 콘솔에 액세스하고 기본 설정을 완료하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 정책 관리자에 연결(Gateway 또는 DHCP Enforcer) NIC 설정 선택(Gateway 또는 DHCP Enforcer) 선택 사항으로 다른 시스템에서 액세스할 수 있도록 Enforcer 콘솔을 설정할 수도 있습니다. "Enforcer 로컬 설정 콘솔"에서 다음 항목을 참조하십시오. Enforcer 콘솔 액세스 설정 정책 관리자에 연결(Gateway 또는 DHCP Enforcer) Enforcer 설치 후에는 Enforcer 가 정책 관리자에 연결하여 등록을 수행할 수 있도록 로컬 Enforcer 설정 콘솔에서 정책 관리자를 설정하여 기본 설정을 완료해야 합니다. 정책 관리자가 아직 설정되어 있지 않으면 정책 관리자의 IP 주소, 호스트 이름 또는 도메인 이름과 비밀 키를 알고 있어야 합니다. 연결 설정에서 호스트 이름 또는 도메인 이름을 사용하려면 Enforcer 가 설치된 시스템에서 DNS 서버에 액세스할 수 있어야 합니다. 참고: 다음 지침에서는 Enforcer 시스템에서 콘솔에 액세스한다고 가정합니다. 콘솔에 액세스하는 다른 방법을 보려면 "Enforcer 콘솔에 로그인"을 참조하십시오. 33

48 SSEP Enforcer 설치 및 관리 설명서 정책 관리자에 연결하려면 다음과 같이 하십시오. 1. Enforcer 시스템에서 다음 명령을 실행하십시오. telnet localhost 23 콘솔 설정 시작 화면이 표시됩니다. 2. [Login]을 강조 표시한 상태로 Enter 를 누르십시오. [Input Password] 대화 상자가 표시됩니다. 3. 콘솔에 로그인할 때 사용할 암호를 입력하십시오. 기본 암호는 symantec 입니다. 암호를 입력한 다음 Tab 을 눌러서 [OK]를 강조 표시하고 Enter 를 누르십시오. 기본 콘솔 설정 화면이 표시됩니다. 4. [Specify Policy Manager]를 강조 표시하고 Enter 를 누르십시오. [Symantec Policy Manager Setting] 대화 상자가 표시됩니다. 5. [Server IP or Host Name] 필드에서 정책 관리자의 IP 주소, 호스트 이름 또는 도메인 이름을 입력하십시오. 34

49 Gateway Enforcer 설치 및 기본 설정 6. Tab 을 눌러 [Protocol]로 이동하여 프로토콜 선택 항목을 HTTP 에서 HTTPS 로 변경하십시오(선택 사항). (HTTPS 프로토콜은 정책 관리자 서버에서 설정된 경우에만 사용할 수 있습니다. 자세한 내용은 Policy Manager 관리 설명서를 참조하십시오.) 7. Tab 을 눌러 [Port Number]로 이동하고 Enforcer 가 정책 관리자와 통신하기 위한 포트 번호를 지정하십시오. 기본값은 HTTP 프로토콜의 경우 86 이고 HTTPS 의 경우 443 입니다. 8. 정책 관리자가 비밀 키로 설정된 경우, Tab 을 눌러 [Server Encrypt]로 이동하여 Space 키를 사용하여 선택합니다. 그 다음 [Server Preshared Secret] 필드에 키를 입력하고 [Confirm Preshared Secret] 필드에 다시 입력합니다. 9. 선택적으로 Tab 을 눌러 [Preferred Group]으로 이동하고 Enforcer 그룹에 대한 이름을 지정합니다. 참고: 이 필드에 Enforcer 그룹 이름을 입력하면 정책 관리자에서 해당 그룹의 설정이 적용됩니다. 그렇지 않으면 정책 관리자에서 기본 설정을 사용하여 기본 Enforcer 그룹에 Enforcer 가 할당되고 Enforcer 시스템 이름이 그룹 이름으로 사용되며 사용자는 정책 관리자에서 Enforcer 의 설정을 완료해야 합니다. 활성 Enforcer 와 동일한 서브넷에서 장애 조치 DHCP 또는 Gateway Enforcer 를 연결하는 경우, 정책 관리자는 활성 Enforcer 와 동일한 그룹에 이를 자동으로 할당합니다. 10. [OK]를 강조 표시하고 Enter 를 누르십시오. 기본 콘솔 설정 화면이 다시 표시됩니다. Enforcer 서비스를 아직 시작하지 않은 경우, 지금 시작하면 Enforcer 가 정책 관리자에 연결됩니다. 11. [Start Enforcer Service]를 강조 표시하고 Enter 를 누르십시오. 12. Enforcer 를 시작할지 확인하는 대화 상자가 표시됩니다. [Yes]를 강조 표시하고 Enter 를 눌러 Enforcer 서비스를 시작하십시오. Enforcer 가 정책 관리자에 연결되고 해당 정보가 사이트의 모든 정책 관리자에 등록됩니다. 참고 Enforcer 를 정책 관리자에 연결하면 정책 관리자 웹 콘솔에서 추가 Enforcer 설정을 수행할 수 있습니다. 참조: o o 정책 관리자 연결 후 작업(Gateway Enforcer) 정책 관리자 연결 후 작업(DHCP Enforcer) 정책 관리자가 여러 개인 경우 Enforcer 는 정책 관리자에 연결할 때 정책 관리자 목록을 다운로드합니다. 이후에 Enforcer 를 다시 시작하면 목록에 설정된 우선 순위에 따라 정책 관리자 목록에 있는 정책 관리자에 연결을 시도합니다. 정책 관리자에 연결되면 Enforcer 를 다시 시작하지 않는 한 더 높은 우선 순위에 있는 다른 정책 관리자에 Enforcer 가 재연결을 시도하지 않습니다. 하지만 앞서 설명한 Specify Policy Manager 대화 상자를 사용하여 현재 연결을 변경할 수 있습니다. NIC 설정 선택(Gateway 또는 DHCP Enforcer) Gateway 및 DHCP Enforcer 에서는 내부 NIC 와 외부 NIC 를 지정해야 합니다. 내부 NIC IP 주소 정보를 변경해야 하는 경우, 지금 변경할 수 있습니다. 1. Enforcer Configuration Console 에 로그인하십시오. 2. [Network Configuration]을 강조 표시하고 Enter 를 누르십시오. [Network Configuration] 대화 상자가 표시됩니다. 35

50 SSEP Enforcer 설치 및 관리 설명서 3. 내부 및 외부 NIC 에 대해 올바른 NIC 가 지정되어 있는지 확인하십시오. 4. 선택된 NIC 를 변경하려면 Tab 을 누르거나 위/아래쪽 화살표 키를 사용하여 내부 NIC 정보를 강조 표시하고 선택한 NIC 를 변경하십시오. 5. 변경을 마쳤으면 [OK]를 선택하고 Enter 를 눌러서 변경 내용을 확인하십시오. 변경 내용을 취소하려면 [Cancel]을 선택하거나 Esc 를 누르십시오. 정책 관리자 연결 후 작업(Gateway Enforcer) 정책 관리자 연결을 설정할 때 Enforcer 를 기존 Enforcer 그룹에 추가하면 새로운 Enforcer 가 해당 그룹 설정으로 자동으로 설정됩니다. 그렇지 않으면 정책 관리자에서 추가 Enforcer 설정을 설정해야 합니다. "정책 관리자에서 Enforcer 관리" 및 "Gateway Enforcer 설정"을 참조하십시오. Gateway Enforcer 에 대한 기본 정책 관리자 설정에서는 Gateway Enforcer 가 브릿지로 작동할 수 있도록 모든 Gateway 가 네트워크에 액세스할 수 있습니다. 이 설정에서는 Enforcer 설정 프로세스를 완료하고 네트워크에 대한 액세스를 차단하지 않고 에이전트를 배포할 수 있습니다. 하지만 인증 없이 액세스가 허용될 클라이언트를 제한하기 위해 기본 설정을 변경해야 합니다. 선택 사항으로 다른 Enforcer 기본 설정을 사용자 지정할 수 있습니다. 자세한 내용은 Gateway Enforcer 설정 을 참조하십시오. Enforcer 기본 설정(Gateway Enforcer) Enforcer 를 설치하면 다음 표에 설명된 것과 같이 여러 기본 설정 및 포트가 자동으로 설정됩니다. 다음 Gateway Enforcer 기본 설정은 정책 관리자 웹 콘솔에서 변경할 수 있습니다. 이러한 설정에 대한 자세한 내용은 "Gateway Enforcer 설정"을 참조하십시오. 참고: Enforcer 네트워크 인터페이스 카드(NIC) 또는 정책 관리자에 대한 Enforcer 연결 설정은 정책 관리자가 아닌 Enforcer 로컬 콘솔에서 설정합니다. 36

51 Gateway Enforcer 설치 및 기본 설정 표 1. 정책 관리자의 Gateway Enforcer 기본 설정 항목 인증 세션으로 전송되는 인증 패킷의 최대 개수 인증 패킷 사이의 시간 거부된 클라이언트의 네트워크 액세스가 차단되는 시간 인증된 클라이언트에 네트워크 액세스가 허용되는 시간 모든 클라이언트를 허용하면서 인증되지 않은 클라이언트를 기록 비 Windows 클라이언트 허용 에이전트 프로파일 일련 번호 검사 에이전트 소프트웨어가 실행 중이 아닌 클라이언트에 메시지 팝업 메시지 컨텐트 팝업 메시지 팝업 간격 에이전트가 실행 중이 아닌 클라이언트에서 HTTP 재전송 활성화 이 IP 주소를 지닌 클라이언트만 인증 클라이언트 IP 범위 인증 신뢰할 수 있는 IP 범위(내부 및 외부) 모든 DHCP 요청 패킷 허용 모든 DNS 요청 패킷 허용 모든 ARP 요청 패킷 허용 IP 와 ARP 이외의 프로토콜 허용 로그 파일 설정(시스템 로그 및 클라이언트 작업 로그. Gateway Enforcer 에 트래픽 로그가 포함됨) 기본값 10 패킷 3 초 30 초 30 초 실행 중지됨 실행 중지됨 실행 중지됨 실행됨 Symantect Agent 가 실행 중이 아니기 때문에 네트워크 액세스가 차단되었습니다. 에이전트를 설치하십시오. 한 번 실행됨. Enforcer 팝업 메시지(위 항목 참조)는 지정된 URL 이 없을 경우, 기본 HTML 페이지 컨텐트로 사용됩니다. 실행 중지됨. 선택하지 않으면 나열된 모든 IP 주소가 무시되고 네트워크 액세스를 시도하는 모든 사용자가 Enforcer 에서 인증됩니다. 선택하면 목록에 추가된 IP 주소의 사용자만 인증됩니다. 항목 없음 항목 없음 실행됨 실행됨 실행됨 실행 중지됨 모든 로그가 설정되고, 정책 관리자에 로그가 전송됩니다(512K 크기). 이 로그는 30 일 후에 만료됩니다. 트래픽 로그 필터는 "모든 차단된 트래픽"을 기록하도록 설정됩니다. 37

52 SSEP Enforcer 설치 및 관리 설명서 Enforcer 제거 시스템에서 Enforcer 가 필요하지 않으면 제거할 수 있습니다. Enforcer 를 제거하려면 다음과 같이 하십시오. 1. Enforcer 디렉터리가 포함된 /opt 디렉터리로 이동하십시오. cd /opt 2. 패키지 이름과 함께 rpm 제거 명령을 실행하십시오. rpm -e package-name 예를 들어 Gateway Enforcer 의 경우 다음과 같이 실행하십시오. rpm -e GatewayEnforcer 이 명령은 Enforcer 서비스를 중지하고 /etc 디렉터리에서 설정 파일을 제거한 다음 설치 파일을 제거합니다. Enforcer 소프트웨어 업데이트 Enforcer 를 업데이트하려면 현재 Enforcer 를 제거한 다음 새 버전을 설치해야 합니다. 새 버전을 설치하기 전에 Enforcer 시스템이 새 Enforcer 소프트웨어 버전에 필요한 새 하드웨어 및 소프트웨어 요건을 따르는지 확인합니다. 38

53 Gateway Enforcer 설치 및 기본 설정 Enforcer 에서 NIC 변경 Enforcer 에서 NIC 를 변경하려면 다음과 같이 하십시오. 1. Enforcer 설정 콘솔에 로그인하십시오. 2. Enforcer 를 중지하십시오. 3. Enforcer 시스템의 전원을 끄십시오. 4. NIC 를 교체하십시오. 5. Enforcer 시스템을 재부팅하십시오. 39

54 4 장. DHCP Enforcer 계획 네트워크에 DHCP Enforcer 를 구현하는 데 도움이 되는 몇 가지 유형의 구현 계획 정보를 제공합니다. 이 섹션에서는 또한 DHCP Enforcer 를 사용하도록 DHCP 서버를 설정하는 데 필요한 요건도 설명합니다. 이 섹션에서 설명하는 정보는 다음과 같습니다. DHCP Enforcer 를 배치할 위치 DHCP Enforcer IP 주소 Windows 를 사용하지 않는 클라이언트 및 DHCP 강제 DHCP 서버 설정 일반 및 격리 DHCP 서버로 DHCP 서버 한 대만 사용 DHCP Enforcer 를 배치할 위치 DHCP Enforcer 가 DHCP 클라이언트와 DHCP 서버 사이의 모든 DHCP 메시지를 가로챌 수 있도록 하려면, 클라이언트와 DHCP 서버 사이에 DHCP Enforcer 를 인라인 장치로 설치해야 합니다. Enforcer 의 내부 NIC 는 DHCP 서버에 연결되며 외부 NIC 는 DHCP 중계 에이전트 역할을 수행하는 라우터 또는 스위치를 통해 클라이언트에 연결됩니다. 정책 관리자도 Enforcer 의 외부 NIC 에 연결됩니다. 예를 들어 장애 조치를 목적으로 동일 서브넷에 여러 DHCP 서버를 둘 경우, 하나의 Enforcer 를 여러 DHCP 서버와 통신하도록 설정할 수 있습니다. 하지만 DHCP 서버가 네트워크 상의 여러 위치에 있는 경우, 각 서버에는 별개의 Enforcer 가 필요합니다. 각 DHCP 서버 위치에 대해 일반 DHCP 서버와 격리 DHCP 서버를 설정합니다. 여러 일반 DHCP 서버와 여러 격리 DHCP 서버를 인식하도록 Enforcer 를 설정할 수 있습니다. 참고: 하나의 시스템에 하나의 DHCP 서버를 설치하고 일반 및 격리 네트워크 설정을 모두 제공하도록 설정할 수 있습니다. 또한 격리 설정을 수신하는 클라이언트가 재조정 서버에 연결될 수 있도록 재조정 서버를 설정해야 합니다. 정책 관리자는 재조정 서버와 동일한 시스템에서 실행시킬 수도 있습니다. 정책 관리자든 재조정 서버든 DHCP Enforcer 또는 DHCP 서버에 직접 연결할 필요가 없습니다. 하지만 정책 관리자는 DHCP Enforcer 의 외부 NIC 와 통신할 수 있어야 합니다. 클라이언트가 보안 요건을 준수하는 경우, Enforcer 는 DHCP 중계 에이전트 역할을 수행하고 클라이언트를 일반 DHCP 서버에 연결시켜 정규 네트워크 설정을 수신하도록 합니다. 클라이언트가 보안 요건을 준수하지 않는 경우, Enforcer 는 클라이언트를 격리 DHCP 서버에 연결하여 클라이언트가 격리 네트워크 설정을 수신하도록 합니다. 다음 그림은 DHCP Enforcer 에 필요한 다양한 구성 요소와 이 구성 요소가 배치되는 위치의 간단한 예를 보여줍니다. 40

55 DHCP Enforcer 계획 참고: 아래 그림에서 격리 DHCP 서버가 별도의 시스템으로 나타나지만 실제로는 서버가 하나입니다. 하나의 시스템만 사용할 경우, DHCP 서버가 격리 네트워크 설정을 포함한 두 가지 다른 네트워크 설정을 제공하도록 설정해야 합니다. 그림 9. DHCP Enforcer 의 배치 41

56 SSEP Enforcer 설치 및 관리 설명서 DHCP Enforcer IP 주소 DHCP Enforcer IP 주소를 설정할 때는 다음이 필요합니다. 내부 NIC Enforcer 의 내부 IP 주소는 DHCP 서버와 서브넷이 동일해야 합니다. 에이전트는 Enforcer 의 내부 IP 주소로 통신할 수 있어야 합니다. 장애 조치 설정에서 여러 Enforcer 를 사용하는 경우, 각 Enforcer 에 있는 내부 NIC 의 IP 주소가 서로 달라야 합니다. 장애 조치 설정에서 여러 Enforcer 를 사용하는 경우, 에이전트는 활성 및 대기 Enforcer 의 내부 IP 주소와 통신할 수 있어야 합니다. 외부 NIC Enforcer 의 외부 IP 주소를 통해 정책 관리자와 통신할 수 있어야만 하며 내부 NIC 의 IP 범위와 서브넷이 동일해야 합니다. 장애 조치 설정에서 여러 Enforcer 를 사용하는 경우, 각 Enforcer 에 있는 외부 NIC 의 IP 주소가 서로 달라야 합니다. Windows 를 사용하지 않는 클라이언트 및 DHCP 강제 Microsoft Windows 운영 체제를 실행하는 클라이언트에서만 현재의 Symantec Agent 를 설치할 수 있습니다. DHCP Enforcer 는 에이전트가 없으면 클라이언트를 인증할 수 없습니다. 조직에 Linux 나 Solaris 와 같이 Symantec Agent 가 지원되지 않는 운영 체제에서 구동되는 클라이언트가 있는 경우, 지원할 방법을 계획에 포함시켜야 합니다. Windows 를 사용하지 않는 클라이언트를 지원하도록 구현하는 한 가지 방법은 다음 그림처럼 Windows 를 사용하지 않는 모든 클라이언트에 네트워크 액세스를 허용하도록 DHCP Enforcer 를 설정하는 것입니다. Enforcer 를 이 방식으로 설정하면 어떤 클라이언트가 Windows 이외의 운영 체제를 실행 중인지 탐지합니다. 다른 한 가지는 특정 MAC 주소가 기업 네트워크에 액세스하도록 DHCP Enforcer 를 설정하는 방법입니다. 신뢰하는 MAC 주소의 클라이언트가 액세스를 시도하면 DHCP Enforcer 는 인증을 시도하지 않고 클라이언트의 DHCP 요청을 일반 DHCP 서버에 전달합니다. 42

57 DHCP Enforcer 계획 그림 10. DHCP Enforcer 에서 Windows 를 사용하지 않는 클라이언트 지원 DHCP 서버 설정 각 시스템에 별개의 격리 DHCP 서버를 설정하거나 동일한 DHCP 서버로 일반 및 격리 네트워크 설정을 모두 제공하도록 설정할 수 있습니다. 격리 네트워크에 DHCP 서버와 DHCP Enforcer 그리고 재조정 서버와 정책 관리자가 액세스할 수 있도록 설정해야 합니다. 장애 조치를 위해 여러 DHCP Enforcer 를 사용하는 경우, 이들 모두 격리 네트워크에 액세스 할 수 있도록 설정해야 합니다. 격리 IP 주소는 Enforcer 인증 과정에서 다음과 같이 사용됩니다. DHCP Enforcer 는 처음에 임시로 클라이언트용 격리 IP 주소를 가져와서 에이전트와 인증을 수행합니다. 인증에 성공한 경우, Enforcer 는 클라이언트가 즉시 해제 및 갱신을 수행하도록 통지 메시지를 보냅니다. 에이전트가 실행 중이 아닌 경우 등 인증에 성공하지 못한 경우, 클라이언트는 임대 시간의 절반이 지난 후 일반적인 DHCP 갱신 프로세스를 시작합니다. 따라서 격리 설정에 임대 시간을 상당히 짧게 지정해야 합니다. 시만텍은 2 분을 권장합니다. 두 개의 DHCP 서버를 사용 중인 경우, IP 주소의 격리 범위는 일반 네트워크 IP 주소의 범위와 겹치지 않게 설정해야 합니다. 격리 DHCP 서버에 일부 제한된 IP 주소를 할당하고 ACL 실행 라우터나 스위치를 두어 이 주소로 정규 네트워크 리소스에 액세스하지 못하도록 방지합니다. 43