[802.11] 802.1x(detailed)
공부/Network 2012. 6. 29. 16:44 |EAP 유형 약어 - MD5, LEAP, PEAP, TLS 및 TTLS
802.1x에 대한 개요
인증을 통해 네트워크를 보호하는 포트 액세스 프로토콜입니다. 결과적으로 이러한 유형의 인증 방법은 매체 속성상 무선 환경에 매우 유용합니다. 무선 사용자가 802.1x를 통해 네트워크 액세스를 위한 인증을 받게 되면 액세스 포인트에서 가상 포트가 열려 통신이 허용됩니다. 인증을 받지 못하면 가상 포트를 사용할 수 없어 통신이 차단됩니다.
다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.
- 요청자 - 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
- 인증자 - 무선 액세스 포인트
인증 서버 - 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS* 또는 Microsoft IAS*와 같은 Radius 서버)
EAP(Extensible Authentication Protocol)는 요청자(무선 워크스테이션)와 인증 서버(Microsoft IAS 등) 사이에 인증 정보를 전달하는 데 사용되며 실제 인증은 EAP 유형에 의해 정의 및 처리됩니다. 인증자 역할을 하는 액세스 포인트는 요청자와 인증 서버가 통신할 수 있도록 하는 프록시일 뿐입니다.
사용할 EAP 유형
구현할 EAP의 유형 또는 802.1x를 구현할지 여부는 조직에서 요구하는 보안 수준과 필요한 관리 오버헤드/기능에 따라 다릅니다. 여기서 제공하는 설명 및 비교 차트를 통해 여러 가지 EAP 유형을 보다 쉽게 이해할 수 있습니다.
EAP(Extensible Authentication Protocol) 인증 유형
WLAN 보안은 필수적이며 EAP 인증 유형은 WLAN 연결의 보안을 강화하는 유용한 방법을 제공하므로 공급업체마다 자사의 WLAN 액세스 포인트 제품에 필요한 EAP 인증 유형을 빠르게 개발하고 있습니다. 가장 널리 사용되는 EAP 인증 유형으로는 EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast 및 Cisco LEAP가 있습니다.
- EAP-MD-5(Message Digest) Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형입니다. EAP-MD-5는 사용자 암호를 알아낼 수 있으므로 일반적으로 무선 LAN 구현에는 권장되지 않습니다. 이 인증 유형은 실제로는 무선 클라이언트와 네트워크에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공합니다. 또한 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나입니다.
- EAP-TLS(Transport Layer Security)는 클라이언트 및 네트워크에 대한 인증서 기반 상호 인증 기능을 제공합니다. 이 방법은 클라이언트측 인증서와 서버측 인증서를 통해 인증을 수행하며 WLAN 클라이언트와 액세스 포인트 간 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성합니다. EAP-TLS의 한 가지 단점은 클라이언트측과 서버측 모두에서 인증서를 관리해야 한다는 점입니다. 이는 규모가 큰 WLAN을 설치하는 경우 번거로운 작업이 될 수 있습니다.
- EAP-TTLS(Tunneled Transport Layer Security)는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법입니다. 이 보안 방법은 암호화된 채널(또는 "터널")을 통해 클라이언트와 네트워크에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공합니다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 됩니다.
- EAP-FAST(Flexible Authentication via Secure Tunneling)는 Cisco에서 개발한 것으로, 인증서를 사용하는 대신 인증 서버에서 동적으로 관리할 수 있는 PAC(보호 액세스 자격 증명) 방식으로 상호 인증이 구현됩니다. PAC는 수동 또는 자동으로 클라이언트에게 제공할 수 있습니다(한 번에 배포 가능). 수동으로 제공하는 경우 디스크나 보안된 네트워크 배포 방법을 통해 클라이언트에게 전달되며 자동으로 제공하는 경우에는 대역 내에서 또는 무선으로 배포됩니다.
- LEAP(Lightweight Extensible Authentication Protocol)는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원합니다. 지금까지 소유주인 Cisco가 Cisco 호환 확장 프로그램을 통해 여러 제조업체에 LEAP 사용을 허가해 왔습니댜.
- PEAP(Protected Extensible Authentication Protocol)는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공합니다. PEAP는 PEAP 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행합니다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 LAN 클라이언트를 인증합니다. PEAP는 Microsoft, Cisco 및 RSA Security에서 개발한 방법입니다.
802.1x EAP 유형 기능 / 이점 | MD5 --- Message Digest 5 | TLS --- Transport Level Security | TTLS --- Tunneled Transport Level Security | PEAP --- Protected Transport Level Security | FAST | LEAP --- Lightweight Extensible Authentication Protocol |
클라이언트측 인증서 필요 | 아니오 | 예 | 아니오 | 아니오 | 없음 (PAC) | 아니오 |
서버측 인증서 필요 | 아니오 | 예 | 아니오 | 예 | 없음 (PAC) | 아니오 |
WEP 키 관리 | 아니오 | 예 | 예 | 예 | 예 | 예 |
Rouge AP 감지 | 아니오 | 아니오 | 아니오 | 아니오 | 예 | 예 |
제공업체 | MS | MS | Funk | MS | Cisco | Cisco |
인증 속성 | 일방 | 쌍방 | 쌍방 | 쌍방 | 쌍방 | 쌍방 |
구축 난이도 | 용이 | 어려움(클라이언트 인증서 구축으로 인해) | 중간 | 중간 | 중간 | 중간 |
무선 보안 | 낮음 | 매우 높음 | 높음 | 높음 | 높음 | 높음(강력한 암호 사용 시) |
위의 설명과 표의 내용에 대한 결론
- MD5는 단방향 인증만을 수행하며 무엇보다 WEP 키의 자동 배포 및 순환을 지원하지 않아 수동 WEP 키 유지보수의 관리 부담을 줄일 수 없으므로 잘 사용되지 않습니다.
- TLS의 경우 보안 기능은 뛰어나지만 각 무선 워크스테이션에 클라이언트 인증서를 설치해야 합니다. PKI 인프라를 관리하려면 WLAN 자체에 대한 관리 외에 추가 관리 전문 기술과 시간이 필요합니다.
- TTLS는 TLS를 터널링하여 클라이언트측 인증서에 대한 요구를 없앰으로써 인증서 문제를 해결합니다. 이 방법이 주로 사용됩니다. TTLS는 주로 Funk에서 관리하며 요청자 및 인증 서버 소프트웨어에 대한 대가를 별도로 지불해야 합니다.
- LEAP는 가장 먼저 개발된 것으로, 과거에는 Cisco에게 소유권이 있었으며(Cisco 무선 어댑터와 함께 사용해야 함) Cisco는 Cisco 호환 확장 프로그램을 통해 여러 제조업체에게 LEAP 사용을 허가해 왔습니다. LEAP를 인증에 사용하는 경우에는 강력한 암호 정책을 설정해야 합니다.
- 이제 강력한 암호 정책을 설정하거나 인증에 대한 인증서 구축을 원하지 않는 기업의 경우 EAP-FAST를 사용할 수 있습니다.
- 가장 최근에 개발된 PEAP 방법은 클라이언트측에 대한 인증서가 필요하지 않다는 점에서 EAP-TTLS 방법과 유사합니다. PEAP는 Cisco 및 Microsoft에서 지원하는 방법으로, Microsoft에 추가 비용을 지불하지 않고 사용이 가능합니다. LEAP에서 PEAP로 데이터를 전송하려는 경우 Cisco의 ACS 인증 서버가 두 방법을 모두 실행합니다.
데이터 개인 정보 보호
데이터 개인 정보 보호는 데이터를 전송하기 전에 암호화한 다음 수신 종단에서 암호를 해독(일반 데이터 복구)하는 자격 증명 키를 사용하여 구현됩니다. WEP(Wired Equivalent Privacy)는 상대적으로 보안에 취약하므로 무선 데이터의 보호 기능을 향상시키기 위해 WPA 및 WPA2와 같은 다른 방법이 개발되었습니다.
WPA*(Wi-Fi* Protected Access)
Wi-Fi Alliance는 개정된 802.11i 표준을 충족시킬 수 있는 보다 강력한 무선 LAN 보안 솔루션을 개발하기 위한 노력 끝에 2003년 말 이 표준 기반 솔루션을 발표했습니다. WPA*에는 802.1x 인증 및 TKIP 암호화가 포함됩니다(WEP 암호화보다 강화된 보안 방식).
WPA2*(Wi-Fi* Protected Access 2)
Wi-Fi Alliance는 2004년 말 차세대 WPA* 보안 솔루션을 발표했습니다. WPA*와 같이 WPA2*에도 802.1x 인증이 포함됩니다. 802.11i 개정에 따라 WPA2는 AES(Advanced Encryption Standard)를 사용하여 데이터 개인 정보를 보호합니다.
WPA* Personal 및 WPA2* Personal
인증 서버가 없는 소규모 사무실이나 가정에서는 PSK(Pre-Shared Key)의 사용을 통해 액세스에 대한 인증이 결정됩니다. 사전 공유 키는 16진수 문자열이거나 암호문으로, 액세스 포인트와 모든 클라이언트 간에 일치해아 합니다. WPA Personal 또는 WPA2 Personal 방법을 사용하는 경우에는 802.1x 보안을 사용할 수 없습니다.
기타 보안 옵션
VPN
인증 및 개인 정보 보호(암호화)를 위한 방법으로 WLAN 대신 많은 기업에서는 VPN을 구현하고 있습니다. 즉, 기업 방화벽 외부에 액세스 포인트를 설치하고 사용자가 원격 사용자인 것처럼 VPN 게이트웨이를 통해 통신하도록 하는 것입니다. VPN 솔루션 구현 방법의 단점은 비용이 많이 소요되고 초기 설치 과정이 복잡하며 지속적인 관리 부담을 고려해야 한다는 점입니다.
출처 - 인텔 코리아(http://www.intel.com)
'공부 > Network' 카테고리의 다른 글
[802.11] WNetwork Security Protocols(1) - What is Security Protocol? (0) | 2012.06.29 |
---|---|
[802.11] Standard (0) | 2012.06.29 |
[802.11] Frame - Frame Control (0) | 2012.06.29 |
[802.11] 4가지 오해들 (0) | 2012.06.29 |
[802.11] Phishing Attack (2) | 2012.06.29 |