네트워크 접속 보호
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
네트워크 접속 보호(NAP)는 클라이언트의 헬스 상태를 평가하고, 헬스 상태에 따라 네트워크 접속을 제어하는 기술이다. NAP는 Windows Vista, Windows 7, Windows 8, Windows 8.1에서 지원되지만 Windows 10에서는 지원되지 않으며, 타 운영체제용 NAP 클라이언트도 존재한다. NAP는 NAP 클라이언트 에이전트, NAP 시행 지점, NAP 헬스 정책 서버, 헬스 요구 사항 서버로 구성된다. NAP는 RADIUS 프로토콜을 사용하여 클라이언트의 헬스 상태를 평가하고, 헬스 요구 사항을 충족하지 못하는 클라이언트는 제한된 네트워크에 격리되어 치료를 받도록 한다.
더 읽어볼만한 페이지
- 윈도우 서버 - 윈도우 서버 2012
윈도우 서버 2012는 윈도우 8과 함께 개발되어 2012년 9월 4일에 공개된 마이크로소프트의 서버 운영체제 제품군으로, 다양한 기능 개선과 64비트 CPU 지원, 4가지 에디션 출시, 긍정적인 평가를 받았으며 후속 버전으로 윈도우 서버 2012 R2가 출시되었다. - 윈도우 서버 - 윈도우 서버 2003
윈도우 서버 2003은 마이크로소프트에서 개발한 서버 운영체제로, 다양한 비즈니스 환경에 맞춰 여러 에디션으로 출시되었으며, PREfast를 통한 버그 검사 강화, IIS 6.0, 액티브 디렉터리 등의 기능 개선이 이루어졌고, x64 프로세서 지원 에디션 출시 및 Windows Server 2003 R2 출시 후 2015년 연장 지원이 종료되었으나 WannaCry 공격으로 인해 긴급 보안 패치가 배포되기도 했다.
| 네트워크 접속 보호 | |
|---|---|
| 개요 | |
| 이름 | 네트워크 접근 보호 |
| 영어 명칭 | Network Access Protection (NAP) |
| 설명 | 마이크로소프트 윈도우 비스타, 윈도우 서버 2008, 윈도우 7, 윈도우 서버 2008 R2, 윈도우 8, 윈도우 8.1, 윈도우 서버 2012 및 윈도우 서버 2012 R2 운영 체제에서 사용할 수 있는 네트워크 접근 제어 기술이다. |
| 목표 | 네트워크에 접근하려는 컴퓨터가 관리자가 정의한 정책을 준수하는지 확인하여 네트워크를 보호하는 것이다. |
| 작동 방식 | NAP는 클라이언트 컴퓨터의 상태를 확인하고, 정책을 준수하지 않는 경우 네트워크 접근을 제한하거나 수정하는 방식으로 작동한다. |
| 구성 요소 | |
| NAP 클라이언트 | 클라이언트 컴퓨터에 설치되어 NAP 서버와 통신하고 상태를 보고하는 소프트웨어 구성 요소이다. |
| NAP 서버 | 네트워크 정책 서버(NPS) 역할을 하며, 클라이언트의 상태를 확인하고 정책 준수 여부를 결정한다. |
| 상태 검사기 | 클라이언트 컴퓨터의 특정 측면 (예: 바이러스 백신 소프트웨어, 방화벽, 운영 체제 업데이트)의 상태를 검사하는 소프트웨어 구성 요소이다. |
| 수정 서버 | 클라이언트 컴퓨터가 정책을 준수하지 않는 경우, 필요한 업데이트 또는 설정을 제공하여 정책 준수를 돕는 서버이다. |
| NAP 강제 기술 | |
| DHCP (동적 호스트 구성 프로토콜) | NAP 클라이언트가 네트워크에 연결할 때 IP 주소를 할당하는 과정을 통해 정책을 적용한다. 정책을 준수하지 않는 클라이언트에게는 제한된 IP 주소를 할당하여 네트워크 접근을 제한할 수 있다. |
| VPN (가상 사설망) | VPN 연결을 통해 네트워크에 접근하는 클라이언트의 상태를 확인하고 정책을 적용한다. VPN 서버는 NAP 서버와 연동하여 클라이언트의 정책 준수 여부에 따라 연결을 허용하거나 거부할 수 있다. |
| 802.1X | 네트워크 스위치나 무선 액세스 포인트를 통해 네트워크에 연결하는 클라이언트의 상태를 확인하고 정책을 적용한다. 802.1X 인증 과정에서 NAP 서버와 연동하여 클라이언트의 정책 준수 여부를 확인한다. |
| IPsec (인터넷 프로토콜 보안) | IPsec 연결을 통해 네트워크에 접근하는 클라이언트의 상태를 확인하고 정책을 적용한다. IPsec은 네트워크 계층에서 보안을 제공하며, NAP와 함께 사용하여 엔드 투 엔드 보안을 강화할 수 있다. |
| 터미널 서비스 게이트웨이 (TS 게이트웨이) | 터미널 서비스 (원격 데스크톱 서비스)를 통해 네트워크에 접근하는 클라이언트의 상태를 확인하고 정책을 적용한다. TS 게이트웨이는 NAP 서버와 연동하여 클라이언트의 정책 준수 여부에 따라 원격 데스크톱 연결을 허용하거나 거부할 수 있다. |
| 장점 | |
| 네트워크 보안 강화 | 정책을 준수하지 않는 컴퓨터의 네트워크 접근을 제한하여 악성 코드 감염 및 확산을 방지하고, 네트워크의 전반적인 보안 수준을 향상시킨다. |
| 정책 준수 강제 | 모든 컴퓨터가 관리자가 정의한 보안 정책을 준수하도록 강제하여 보안 관리의 일관성을 유지하고, 규정 준수를 용이하게 한다. |
| 유연성 | 다양한 상태 검사기와 수정 서버를 사용하여 다양한 정책 요구 사항을 충족할 수 있으며, 네트워크 환경에 맞게 NAP를 구성할 수 있다. |
| 단점 | |
| 복잡성 | NAP의 구성 및 관리는 복잡할 수 있으며, 특히 대규모 네트워크에서는 더욱 그러하다. |
| 호환성 문제 | NAP 클라이언트 소프트웨어가 모든 운영 체제 및 응용 프로그램과 호환되지 않을 수 있다. |
| 성능 저하 | 클라이언트의 상태를 검사하는 과정에서 네트워크 성능이 저하될 수 있다. |
| 지원 종료 | |
| 윈도우 서버 2012 R2 | 윈도우 서버 2012 R2에서 NAP DHCP 강제 기술이 제거되었다. |
| 윈도우 서버 테크니컬 프리뷰 | 윈도우 서버 테크니컬 프리뷰에서 NAP의 DHCP 강제 기술이 제거되었으며, 다른 NAP 강제 기술도 더 이상 사용되지 않는다. |
2. NAP 클라이언트 지원
Windows Vista, Windows 7, Windows 8, Windows 8.1에는 NAP 클라이언트가 포함되어 있지만, Windows 10에는 포함되어 있지 않다.[3] Windows XP 서비스 팩 3에도 제한된 NAP 클라이언트가 포함되어 있는데, MMC 스냅인 및 AuthIP 기반의 IPsec 강제 적용을 지원하지 않아 `netsh`라는 명령줄 도구를 통해서만 관리할 수 있다.[5][6]
2. 1. 타 운영체제 지원
Windows Vista, Windows 7, Windows 8, Windows 8.1에는 NAP 클라이언트가 포함되어 있지만, Windows 10에는 포함되어 있지 않다.[3] Windows XP 서비스 팩 3에도 제한된 NAP 클라이언트가 포함되어 있다. 이 클라이언트는 MMC 스냅인을 지원하지 않으며 AuthIP 기반의 IPsec 강제 적용을 지원하지 않는다. 따라서, `netsh`라는 명령줄 도구를 통해서만 관리할 수 있으며, IPsec 강제 적용은 IKE 기반으로만 이루어진다.[5][6]마이크로소프트의 파트너들은 macOS 및 Linux와 같은 다른 운영 체제를 위한 NAP 클라이언트를 제공한다.
3. NAP 구성 요소
NAP는 네트워크에 접속하는 장치의 보안 상태를 평가하고, 보안 요구 사항을 충족하지 못하는 장치의 네트워크 접근을 제한하는 기술이다. NAP 시스템은 다음과 같은 구성 요소로 이루어져 있다.
- NAP 클라이언트 에이전트: NAP를 지원하는 장치에 설치되어 장치의 보안 상태 (예: 운영체제 버전, 방화벽 설정, 바이러스 백신 프로그램 설치 여부)를 평가하고, NAP 시행 지점에 보고한다.
- NAP 시행 지점: IEEE 802.1X 지원 스위치, VPN 서버, DHCP 서버, 또는 Windows Server 2008 이상을 실행하는 헬스 등록 기관(HRA) 등이 될 수 있다. NAP 시행 지점은 NAP 클라이언트의 보안 상태를 평가하고, 필요에 따라 네트워크 통신을 제한한다.
- NAP 헬스 정책 서버: 네트워크 정책 서버(NPS) 서비스를 실행하는 컴퓨터로, 헬스 요구 사항 정책을 저장하고 NAP 클라이언트에 대한 헬스 평가를 제공한다.
- 헬스 요구 사항 서버: NAP 헬스 정책 서버와 연동하여 NAP 클라이언트의 헬스 상태를 검증하거나 필요한 소프트웨어 또는 업데이트 버전을 결정한다. (예: 최신 바이러스 백신 시그니처 파일 버전 확인)
- 치료 서버: NAP 클라이언트가 보안 요구 사항을 충족하지 못할 경우 (예: 바이러스 백신 프로그램 미설치), 필요한 업데이트나 소프트웨어를 제공하여 클라이언트가 보안 요구 사항을 충족하도록 돕는 서버이다.
NAP 시행 지점이 HRA인 경우, NAP 클라이언트는 인증 기관에서 헬스 인증서를 얻어 관련 요구 사항을 준수한다고 간주된다. 비준수 상태로 간주되면 제한된 네트워크에 배치될 수 있는데, 이 네트워크는 인트라넷의 논리적 하위 집합이며 치료 서버를 포함하고 있어 시스템 헬스를 수정할 수 있도록 돕는다. 치료가 완료되면 NAP 클라이언트는 새로운 헬스 평가를 수행하여 네트워크 액세스 또는 통신에 대한 새로운 요청을 할 수 있다.[4]
3. 1. NAP 클라이언트 에이전트
NAP 클라이언트 에이전트는 NAP를 지원하는 클라이언트가 헬스(Health, 건강) 상태에 대한 소프트웨어 업데이트를 평가할 수 있도록 한다.[4] NAP 클라이언트는 시스템 헬스를 NAP 시행 지점에 보고하는 컴퓨터이다. NAP 시행 지점은 NAP 클라이언트의 헬스를 평가하고 필요에 따라 네트워크 통신을 제한할 수 있는 컴퓨터 또는 장치이다. NAP 시행 지점은 IEEE 802.1X 지원 스위치, VPN 서버, DHCP 서버, 또는 Windows Server 2008 이상을 실행하는 헬스 등록 기관(HRA)일 수 있다. NAP 헬스 정책 서버는 네트워크 정책 서버(NPS) 서비스를 실행하는 컴퓨터로, Windows Server 2008 이상에서 헬스 요구 사항 정책을 저장하고 NAP 클라이언트에 대한 헬스 평가를 제공한다. 헬스 요구 사항 정책은 관리자에 의해 구성된다. 이 정책은 클라이언트가 무제한 연결을 허용받기 전에 충족해야 하는 기준을 정의하며, 이러한 기준에는 운영 체제 버전, 개인 방화벽, 또는 최신 바이러스 백신 프로그램이 포함될 수 있다.NAP 지원 클라이언트 컴퓨터가 NAP 시행 지점에 연결하면 현재 헬스 상태를 제출한다. NAP 시행 지점은 RADIUS 프로토콜을 사용하여 NAP 클라이언트의 헬스 상태를 평가하기 위해 NAP 헬스 정책 서버로 보낸다. NAP 헬스 정책 서버는 NAP 클라이언트에 대한 RADIUS 기반 인증 서버 역할을 할 수도 있다.
NAP 헬스 정책 서버는 헬스 요구 사항 서버를 사용하여 NAP 클라이언트의 헬스 상태를 검증하거나 NAP 클라이언트에 설치해야 하는 소프트웨어 또는 업데이트의 현재 버전을 결정할 수 있다. 예를 들어, 헬스 요구 사항 서버는 최신 바이러스 백신 시그니처 파일의 버전을 추적할 수 있다.
NAP 시행 지점이 HRA인 경우, 관련 요구 사항을 준수한다고 간주되는 NAP 클라이언트로부터 인증 기관에서 헬스 인증서를 얻는다. NAP 클라이언트는 비준수 상태로 간주될 경우 제한된 네트워크에 배치될 수 있다. 제한된 네트워크는 인트라넷의 논리적 하위 집합이며, 비준수 NAP 클라이언트가 시스템 헬스를 수정할 수 있도록 하는 리소스를 포함한다. 시스템 헬스 구성 요소 또는 업데이트를 포함하는 서버는 치료 서버라고 한다. 제한된 네트워크의 비준수 NAP 클라이언트는 치료 서버에 액세스하여 필요한 구성 요소와 업데이트를 설치할 수 있다. 치료가 완료되면 NAP 클라이언트는 네트워크 액세스 또는 통신에 대한 새로운 요청과 함께 새로운 헬스 평가를 수행할 수 있다.
NAP 클라이언트는 Windows Vista, Windows 7, Windows 8 및 Windows 8.1에 포함되어 있지만, Windows 10에는 포함되어 있지 않다.[3] 제한된 NAP 클라이언트는 Windows XP 서비스 팩 3에도 포함되어 있다. 이 클라이언트는 MMC 스냅인을 지원하지 않으며 AuthIP 기반의 IPsec 강제 적용을 지원하지 않는다. 따라서, netsh라는 명령줄 도구를 통해서만 관리할 수 있으며, IPsec 강제 적용은 IKE 기반으로만 이루어진다.[5][6]
마이크로소프트의 파트너들은 macOS 및 Linux와 같은 다른 운영 체제를 위한 NAP 클라이언트를 제공한다.
3. 2. NAP 시행 지점
NAP 시행 지점은 NAP 클라이언트의 헬스(보안 상태)를 평가하고 필요에 따라 네트워크 통신을 제한하는 컴퓨터 또는 장치이다.[4] NAP 시행 지점은 다음과 같을 수 있다.- IEEE 802.1X 지원 스위치
- VPN 서버
- DHCP 서버
- Windows Server 2008 이상을 실행하는 헬스 등록 기관(HRA)
NAP 지원 클라이언트 컴퓨터가 NAP 시행 지점에 연결하면 현재 헬스 상태를 제출한다. NAP 시행 지점은 RADIUS 프로토콜을 사용하여 NAP 클라이언트의 헬스 상태를 NAP 헬스 정책 서버로 보내 평가를 받는다. NAP 헬스 정책 서버는 NAP 클라이언트에 대한 RADIUS 기반 인증 서버 역할을 할 수도 있다.
NAP 시행 지점이 HRA인 경우, NAP 클라이언트는 인증 기관에서 헬스 인증서를 얻어 관련 요구 사항을 준수한다고 간주된다. NAP 클라이언트가 비준수 상태로 간주되면 제한된 네트워크에 배치될 수 있다. 제한된 네트워크는 인트라넷의 논리적 하위 집합이며, 비준수 NAP 클라이언트가 시스템 헬스를 수정할 수 있도록 하는 리소스(치료 서버)를 포함한다. 치료가 완료되면 NAP 클라이언트는 새로운 헬스 평가를 수행하여 네트워크 액세스 또는 통신에 대한 새로운 요청을 할 수 있다.
3. 3. NAP 헬스 정책 서버
NAP 헬스 정책 서버는 네트워크 정책 서버(NPS) 서비스를 실행하는 컴퓨터로, Windows Server 2008 이상에서 헬스 요구 사항 정책을 저장하고 NAP 클라이언트에 대한 헬스 평가를 제공한다.[4] 헬스 요구 사항 정책은 관리자가 구성하며, 클라이언트가 무제한 연결을 허용받기 전에 충족해야 하는 기준을 정의한다. 이러한 기준에는 운영 체제 버전, 개인 방화벽, 최신 바이러스 백신 프로그램 등이 포함될 수 있다.NAP 지원 클라이언트 컴퓨터가 NAP 시행 지점에 연결하면 현재 헬스 상태를 제출한다. NAP 시행 지점은 RADIUS 프로토콜을 사용하여 NAP 클라이언트의 헬스 상태를 NAP 헬스 정책 서버로 보내 평가한다. NAP 헬스 정책 서버는 NAP 클라이언트에 대한 RADIUS 기반 인증 서버 역할을 할 수도 있다.
NAP 헬스 정책 서버는 헬스 요구 사항 서버를 사용하여 NAP 클라이언트의 헬스 상태를 검증하거나 NAP 클라이언트에 설치해야 하는 소프트웨어 또는 업데이트의 현재 버전을 결정할 수 있다. 예를 들어, 헬스 요구 사항 서버는 최신 바이러스 백신 시그니처 파일의 버전을 추적할 수 있다.
3. 4. 헬스 요구 사항 서버
NAP 헬스 정책 서버는 헬스 요구 사항 서버를 사용하여 NAP 클라이언트의 헬스 상태를 검증하거나 NAP 클라이언트에 설치해야 하는 소프트웨어 또는 업데이트의 현재 버전을 결정할 수 있다.[4] 예를 들어, 헬스 요구 사항 서버는 최신 바이러스 백신 시그니처 파일의 버전을 추적할 수 있다.[4]4. NAP 동작 방식
네트워크 접근 보호(NAP) 클라이언트 에이전트는 NAP를 지원하는 클라이언트가 헬스(health, 건강) 상태에 대한 소프트웨어 업데이트를 평가할 수 있도록 한다.[4] NAP 클라이언트는 시스템 헬스를 NAP 시행 지점에 보고하는 컴퓨터이다. NAP 시행 지점은 NAP 클라이언트의 헬스를 평가하고 필요에 따라 네트워크 통신을 제한할 수 있는 컴퓨터 또는 장치이다. NAP 시행 지점은 IEEE 802.1X 지원 스위치, VPN 서버, DHCP 서버, 또는 Windows Server 2008 이상을 실행하는 헬스 등록 기관(HRA)일 수 있다. NAP 헬스 정책 서버는 네트워크 정책 서버(NPS) 서비스를 실행하는 컴퓨터로, Windows Server 2008 이상에서 헬스 요구 사항 정책을 저장하고 NAP 클라이언트에 대한 헬스 평가를 제공한다. 헬스 요구 사항 정책은 관리자에 의해 구성된다. 이 정책은 클라이언트가 무제한 연결을 허용받기 전에 충족해야 하는 기준을 정의하며, 이러한 기준에는 운영 체제 버전, 개인 방화벽, 또는 최신 바이러스 백신 프로그램이 포함될 수 있다.
4. 1. 치료
NAP 지원 클라이언트 컴퓨터가 NAP 시행 지점에 연결하면 현재 헬스 상태를 제출한다. NAP 시행 지점은 RADIUS 프로토콜을 사용하여 NAP 클라이언트의 헬스 상태를 평가하기 위해 NAP 헬스 정책 서버로 보낸다. NAP 헬스 정책 서버는 NAP 클라이언트에 대한 RADIUS 기반 인증 서버 역할을 할 수도 있다.NAP 헬스 정책 서버는 헬스 요구 사항 서버를 사용하여 NAP 클라이언트의 헬스 상태를 검증하거나 NAP 클라이언트에 설치해야 하는 소프트웨어 또는 업데이트의 현재 버전을 결정할 수 있다. 예를 들어, 헬스 요구 사항 서버는 최신 바이러스 백신 시그니처 파일의 버전을 추적할 수 있다.
NAP 시행 지점이 HRA인 경우, 관련 요구 사항을 준수한다고 간주되는 NAP 클라이언트로부터 인증 기관에서 헬스 인증서를 얻는다. NAP 클라이언트는 비준수 상태로 간주될 경우 제한된 네트워크에 배치될 수 있다. 제한된 네트워크는 인트라넷의 논리적 하위 집합이며, 비준수 NAP 클라이언트가 시스템 헬스를 수정할 수 있도록 하는 리소스를 포함한다. 시스템 헬스 구성 요소 또는 업데이트를 포함하는 서버는 치료 서버라고 한다. 제한된 네트워크의 비준수 NAP 클라이언트는 치료 서버에 액세스하여 필요한 구성 요소와 업데이트를 설치할 수 있다. 치료가 완료되면 NAP 클라이언트는 네트워크 액세스 또는 통신에 대한 새로운 요청과 함께 새로운 헬스 평가를 수행할 수 있다.
참조
[1]
웹사이트
Network Access Protection
https://technet.micr[...]
2012-07-02
[2]
웹사이트
Features Removed or Deprecated in Windows Server 2012 R2
https://technet.micr[...]
2015-01-29
[3]
웹사이트
What's New in DHCP in Windows Server Technical Preview
https://technet.micr[...]
2015-05-20
[4]
웹사이트
How to Enable the Network Access Protection Client Agent
https://technet.micr[...]
2016-07-15
[5]
웹사이트
XP NAP Rude Q and A
http://blogs.technet[...]
Microsoft
2007-11-08
[6]
웹사이트
NAP demystified (hopefully)
http://blogs.technet[...]
Microsoft
2007-06-20
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com