[802.11] 802.1x(detailed v2)

인텔..마소..등등ㅋ 여러 인터넷에 떠돌아 다니는 자료들을 한꺼번에 정리 해보았습니다.

 

오탈자도 있고..잘못 설명된 부분도 있는 부분을 고치고 보강해봣어요 ㅋ

 

혹시 잘못된 것이 있으면 따끔하게 지적 부탁드립니다 ㅋ_ㅋ

 

-----------------------------------------------------------------------------------------------

 

802.1x란, 인증을 통해 무선 802.11 네트워크 및 유선 이더넷 네트워크를 보호하는 포트 기반의 접근 프로토콜이다. (이 글에선 802.11만 다룹니다)

 

이는 무선 사용자가 네트워크 접근을 위해 802.1x 인증을 하여 승인이 된다면 AP에서 가상 포트가 열려 통신이 허용된다.

 

하지만, 승인받지 못했다면 가상포트를 사용할 수 없어 통신이 차단되는 메커니즘을 지니고 있다.

 

 

802.1x 인증을 위해선 세 가지 요소가 필요하다.

 

 

 

바로 인증을 요청하는 스테이션(=supplicant)과,

 

인증 프록시 역할(중계을 해주는 매체)을 해주는 AP(=Authenticator).

 

그리고 인증 데이터베이스가 저장되어있는 인증 서버(=RADIUS Authentication Server)가 그 필요요소이다.

 

 

802.1x의 인증 프로세스는 다음과 같다.

 

 

1. station이 802.1x 인증이 적용되어있는 AP에게 연결 요청을 한다.(EAP가 사용된다)

 

2. AP는 station의 인증 요청 패킷을 RADIUS Server로 보낸다. 이 패킷에는 station의 인증 정보(예: ID/PW)가 담겨 있다.

 

3. RADIUS Server가 데이터베이스와 비교하여 인증결과가 참이 되면 동의하는 패킷을 AP에게 보낸다.

 

4. AP는 Station에게 동의 패킷을 받고, 통신(접근) 권한을 가지게 된다.

 

 

여기서 station이 어떤 EAP 인증을 사용하느냐에 따라서 그 보안 강도 또한 달라지게 된다.

 

그렇다면 EAP란 무엇인가?

 

EAP(Extensible Authentication Protocol)란, 점대점 통신 규약(PPP)에서 규정된 인증 방식으로 확장이 용이하도록 고안된 프로토콜이란 의미이다.

 

이 EAP는 단지 station과 RADIUS 서버 사이에 인증 정보를 전달하는데 사용되며 어떤 EAP유형을 사용하느냐에 따라 그 보안 강도가 달라지는데,

 

그 중 가장 널리 이용되는 EAP 유형은 다음과 같다.

 

----------------------------------------------------------------------------------------------------------------------------

 

EAP-MD5 (Message Digest 5)

 

=> 빠른 구축을 할 수 있는 패스워드 기반 MD5 인증은 상호인증 없이 단방향 인증만을 수행하기 때문에 보안상 취약한 특징을 가지고 있다.

   (일방적으로 인증을 하기 때문에 station은 AP를 무조건 신뢰하게 된다. 때문에, Rogue AP가 존재할 경우 문제가 발생할 수 있다.)

 

 

EAP-TLS (Transport Layer Security)

 

=> 현실적으로는 거의 쓰이지 않고, 금융기관같은 철두철미한 보안이 필요한 곳에서 사용된다.

    서버와 클라이언트의 인증서를 필요로 하는 상호 인증을 수행하며, 연결된 후의 보안을 생각해 Dynamic WEP를 사용한다. 

 

 

EAP-TTLS (Tunneled Transport Layer Security)

 

=> TLS를 터널링하여 클라이언트측 인정서에 대한 요구를 없앰으로써 TLS에 있던 인증서에 대한 번거로운 문제를 해결하였다.

    이 역시 상호 인증을 수행하며 동적 WEP를 사용한다.

 

 

EAP-FAST (Flexible Extensible via Secure Tunneling)

 

=> 이는 Cisco에서 개발했으며, 번거로운 인증서를 사용하는 대신 RADIUS Server 에서 PAC라는 보호 액세스 자격 증명 방식을 사용하여 인증을

한다. 이는 동적 WEP를 사용하며, Rogue AP 탐지 기능이 존재한다.

 

 

PEAP (Protected Extensible Authentication Protocol)

 

=> 이 방식은 클라이언트 인증서가 필요로 하지 않는다는 점에서 TTLS과 동일하다.

 

 

LEAP (Lightweight Extensible Authentication Protocol)

 

=> 가장 먼저 개발된 방식으로, 과거엔 Cisco 장비만 호환이 되는 방식이였지만, 최근에는 호환 확장 프로그램을 통해 호환성이 좋다고 한다.

   이는 인증서를 요구하지 않고 Dynamic WEP만을 사용하기 때문에 강력한 암호 사용을 요구한다.

 

----------------------------------------------------------------------------------------------------------------------------

 

이러한 종류가 있다.

 

지금껏 쓴 내용을 요약하자면, 802.1x란 인증을 통해 네트워크를 보호하는 포트 기반의 접근 프로토콜이며,

 

전송되는 인증 정보를 보호하기 위해 EAP가 사용된다고 할 수 있다.

 

 

 

 

출처 - 옛날 블로그 2011/04/29 04:09