'802.1x'에 해당되는 글 3건

  1. 2012.06.29 [802.11] 802.1x(detailed v2) (1)
  2. 2012.06.29 [802.11] 802.1x(detailed) (1)
  3. 2012.06.29 [802.11] 802.1x (1)

인텔..마소..등등ㅋ 여러 인터넷에 떠돌아 다니는 자료들을 한꺼번에 정리 해보았습니다.

 

오탈자도 있고..잘못 설명된 부분도 있는 부분을 고치고 보강해봣어요 ㅋ

 

혹시 잘못된 것이 있으면 따끔하게 지적 부탁드립니다 ㅋ_ㅋ

 

-----------------------------------------------------------------------------------------------

 

802.1x란, 인증을 통해 무선 802.11 네트워크 및 유선 이더넷 네트워크를 보호하는 포트 기반의 접근 프로토콜이다. (이 글에선 802.11만 다룹니다)

 

이는 무선 사용자가 네트워크 접근을 위해 802.1x 인증을 하여 승인이 된다면 AP에서 가상 포트가 열려 통신이 허용된다.

 

하지만, 승인받지 못했다면 가상포트를 사용할 수 없어 통신이 차단되는 메커니즘을 지니고 있다.

 

 

802.1x 인증을 위해선 세 가지 요소가 필요하다.

 

 



 

바로 인증을 요청하는 스테이션(=supplicant)과,

 

인증 프록시 역할(중계을 해주는 매체)을 해주는 AP(=Authenticator).

 

그리고 인증 데이터베이스가 저장되어있는 인증 서버(=RADIUS Authentication Server)가 그 필요요소이다.

 

 

802.1x의 인증 프로세스는 다음과 같다.

 

 

1. station이 802.1x 인증이 적용되어있는 AP에게 연결 요청을 한다.(EAP가 사용된다)

 

2. AP는 station의 인증 요청 패킷을 RADIUS Server로 보낸다. 이 패킷에는 station의 인증 정보(예: ID/PW)가 담겨 있다.

 

3. RADIUS Server가 데이터베이스와 비교하여 인증결과가 참이 되면 동의하는 패킷을 AP에게 보낸다.

 

4. AP는 Station에게 동의 패킷을 받고, 통신(접근) 권한을 가지게 된다.

 

 

여기서 station이 어떤 EAP 인증을 사용하느냐에 따라서 그 보안 강도 또한 달라지게 된다.

 

그렇다면 EAP란 무엇인가?

 

EAP(Extensible Authentication Protocol)란, 점대점 통신 규약(PPP)에서 규정된 인증 방식으로 확장이 용이하도록 고안된 프로토콜이란 의미이다.

 

이 EAP는 단지 station과 RADIUS 서버 사이에 인증 정보를 전달하는데 사용되며 어떤 EAP유형을 사용하느냐에 따라 그 보안 강도가 달라지는데,

 

그 중 가장 널리 이용되는 EAP 유형은 다음과 같다.

 

----------------------------------------------------------------------------------------------------------------------------

 

EAP-MD5 (Message Digest 5)

 

=> 빠른 구축을 할 수 있는 패스워드 기반 MD5 인증은 상호인증 없이 단방향 인증만을 수행하기 때문에 보안상 취약한 특징을 가지고 있다.

   (일방적으로 인증을 하기 때문에 station은 AP를 무조건 신뢰하게 된다. 때문에, Rogue AP가 존재할 경우 문제가 발생할 수 있다.)

 

 

EAP-TLS (Transport Layer Security)

 

=> 현실적으로는 거의 쓰이지 않고, 금융기관같은 철두철미한 보안이 필요한 곳에서 사용된다.

    서버와 클라이언트의 인증서를 필요로 하는 상호 인증을 수행하며, 연결된 후의 보안을 생각해 Dynamic WEP를 사용한다. 

 

 

EAP-TTLS (Tunneled Transport Layer Security)

 

=> TLS를 터널링하여 클라이언트측 인정서에 대한 요구를 없앰으로써 TLS에 있던 인증서에 대한 번거로운 문제를 해결하였다.

    이 역시 상호 인증을 수행하며 동적 WEP를 사용한다.

 

 

EAP-FAST (Flexible Extensible via Secure Tunneling)

 

=> 이는 Cisco에서 개발했으며, 번거로운 인증서를 사용하는 대신 RADIUS Server 에서 PAC라는 보호 액세스 자격 증명 방식을 사용하여 인증

한다. 이는 동적 WEP를 사용하며, Rogue AP 탐지 기능이 존재한다.

 

 

PEAP (Protected Extensible Authentication Protocol)

 

=> 이 방식은 클라이언트 인증서가 필요로 하지 않는다는 점에서 TTLS과 동일하다.

 

 

LEAP (Lightweight Extensible Authentication Protocol)

 

=> 가장 먼저 개발된 방식으로, 과거엔 Cisco 장비만 호환이 되는 방식이였지만, 최근에는 호환 확장 프로그램을 통해 호환성이 좋다고 한다.

   이는 인증서를 요구하지 않고 Dynamic WEP만을 사용하기 때문에 강력한 암호 사용을 요구한다.

 

----------------------------------------------------------------------------------------------------------------------------

 

이러한 종류가 있다.

 

지금껏 쓴 내용을 요약하자면, 802.1x란 인증을 통해 네트워크를 보호하는 포트 기반의 접근 프로토콜이며,

 

전송되는 인증 정보를 보호하기 위해 EAP가 사용된다고 할 수 있다.

 

 

 

 


출처 - 옛날 블로그 2011/04/29 04:09

Posted by extr

댓글을 달아 주세요

  1. polo 2013.07.15 20:15 Address Modify/Delete Reply

    당신은 내가사랑할 만한 사람이 아니예요,사랑하지 않으면 안될 사람이예요.

EAP 유형 약어 - MD5, LEAP, PEAP, TLS 및 TTLS

 

802.1x에 대한 개요


인증을 통해 네트워크를 보호하는 포트 액세스 프로토콜입니다. 결과적으로 이러한 유형의 인증 방법은 매체 속성상 무선 환경에 매우 유용합니다. 무선 사용자가 802.1x를 통해 네트워크 액세스를 위한 인증을 받게 되면 액세스 포인트에서 가상 포트가 열려 통신이 허용됩니다. 인증을 받지 못하면 가상 포트를 사용할 수 없어 통신이 차단됩니다. 

다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.

  1. 요청자 - 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
  2. 인증자 - 무선 액세스 포인트

인증 서버 - 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS* 또는 Microsoft IAS*와 같은 Radius 서버)

EAP(Extensible Authentication Protocol)는 요청자(무선 워크스테이션)와 인증 서버(Microsoft IAS 등) 사이에 인증 정보를 전달하는 데 사용되며 실제 인증은 EAP 유형에 의해 정의 및 처리됩니다. 인증자 역할을 하는 액세스 포인트는 요청자와 인증 서버가 통신할 수 있도록 하는 프록시일 뿐입니다.

 

 

사용할 EAP 유형
구현할 EAP의 유형 또는 802.1x를 구현할지 여부는 조직에서 요구하는 보안 수준과 필요한 관리 오버헤드/기능에 따라 다릅니다. 여기서 제공하는 설명 및 비교 차트를 통해 여러 가지 EAP 유형을 보다 쉽게 이해할 수 있습니다. 

EAP(Extensible Authentication Protocol) 인증 유형
WLAN 보안은 필수적이며 EAP 인증 유형은 WLAN 연결의 보안을 강화하는 유용한 방법을 제공하므로 공급업체마다 자사의 WLAN 액세스 포인트 제품에 필요한 EAP 인증 유형을 빠르게 개발하고 있습니다. 가장 널리 사용되는 EAP 인증 유형으로는 EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast 및 Cisco LEAP가 있습니다. 

  • EAP-MD-5(Message Digest) Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형입니다. EAP-MD-5는 사용자 암호를 알아낼 수 있으므로 일반적으로 무선 LAN 구현에는 권장되지 않습니다. 이 인증 유형은 실제로는 무선 클라이언트와 네트워크에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공합니다. 또한 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나입니다.

 

  • EAP-TLS(Transport Layer Security)는 클라이언트 및 네트워크에 대한 인증서 기반 상호 인증 기능을 제공합니다. 이 방법은 클라이언트측 인증서와 서버측 인증서를 통해 인증을 수행하며 WLAN 클라이언트와 액세스 포인트 간 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성합니다. EAP-TLS의 한 가지 단점은 클라이언트측과 서버측 모두에서 인증서를 관리해야 한다는 점입니다. 이는 규모가 큰 WLAN을 설치하는 경우 번거로운 작업이 될 수 있습니다.

 

  • EAP-TTLS(Tunneled Transport Layer Security)는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법입니다. 이 보안 방법은 암호화된 채널(또는 "터널")을 통해 클라이언트와 네트워크에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공합니다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 됩니다.

 

  • EAP-FAST(Flexible Authentication via Secure Tunneling)는 Cisco에서 개발한 것으로, 인증서를 사용하는 대신 인증 서버에서 동적으로 관리할 수 있는 PAC(보호 액세스 자격 증명) 방식으로 상호 인증이 구현됩니다. PAC는 수동 또는 자동으로 클라이언트에게 제공할 수 있습니다(한 번에 배포 가능). 수동으로 제공하는 경우 디스크나 보안된 네트워크 배포 방법을 통해 클라이언트에게 전달되며 자동으로 제공하는 경우에는 대역 내에서 또는 무선으로 배포됩니다.

 

  • LEAP(Lightweight Extensible Authentication Protocol)는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원합니다. 지금까지 소유주인 Cisco가 Cisco 호환 확장 프로그램을 통해 여러 제조업체에 LEAP 사용을 허가해 왔습니댜.

 

  • PEAP(Protected Extensible Authentication Protocol)는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공합니다. PEAP는 PEAP 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행합니다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 LAN 클라이언트를 인증합니다. PEAP는 Microsoft, Cisco 및 RSA Security에서 개발한 방법입니다.

 

802.1x EAP 유형

기능 / 이점

MD5
---
Message Digest 5
TLS
---
Transport Level Security
TTLS
---
Tunneled Transport Level Security
PEAP
---
Protected Transport Level Security

FAST
---
Flexible Authentication via Secure Tunneling

LEAP
---
Lightweight Extensible Authentication Protocol
클라이언트측 인증서 필요아니오아니오아니오없음
(PAC)
아니오
서버측 인증서 필요아니오아니오없음
(PAC)
아니오
WEP 키 관리아니오
Rouge AP 감지아니오아니오아니오아니오
제공업체MSMSFunkMSCiscoCisco
인증 속성일방쌍방쌍방쌍방쌍방쌍방
구축 난이도용이어려움(클라이언트 인증서 구축으로 인해)중간중간중간중간
무선 보안낮음매우 높음높음높음높음높음(강력한 암호 사용 시)

 

위의 설명과 표의 내용에 대한 결론

  • MD5는 단방향 인증만을 수행하며 무엇보다 WEP 키의 자동 배포 및 순환을 지원하지 않아 수동 WEP 키 유지보수의 관리 부담을 줄일 수 없으므로 잘 사용되지 않습니다.

 

  • TLS의 경우 보안 기능은 뛰어나지만 각 무선 워크스테이션에 클라이언트 인증서를 설치해야 합니다. PKI 인프라를 관리하려면 WLAN 자체에 대한 관리 외에 추가 관리 전문 기술과 시간이 필요합니다.

 

  • TTLS는 TLS를 터널링하여 클라이언트측 인증서에 대한 요구를 없앰으로써 인증서 문제를 해결합니다. 이 방법이 주로 사용됩니다. TTLS는 주로 Funk에서 관리하며 요청자 및 인증 서버 소프트웨어에 대한 대가를 별도로 지불해야 합니다.

 

  • LEAP는 가장 먼저 개발된 것으로, 과거에는 Cisco에게 소유권이 있었으며(Cisco 무선 어댑터와 함께 사용해야 함) Cisco는 Cisco 호환 확장 프로그램을 통해 여러 제조업체에게 LEAP 사용을 허가해 왔습니다. LEAP를 인증에 사용하는 경우에는 강력한 암호 정책을 설정해야 합니다.

 

  • 이제 강력한 암호 정책을 설정하거나 인증에 대한 인증서 구축을 원하지 않는 기업의 경우 EAP-FAST를 사용할 수 있습니다.

 

  • 가장 최근에 개발된 PEAP 방법은 클라이언트측에 대한 인증서가 필요하지 않다는 점에서 EAP-TTLS 방법과 유사합니다. PEAP는 Cisco 및 Microsoft에서 지원하는 방법으로, Microsoft에 추가 비용을 지불하지 않고 사용이 가능합니다. LEAP에서 PEAP로 데이터를 전송하려는 경우 Cisco의 ACS 인증 서버가 두 방법을 모두 실행합니다.

 

 

 

데이터 개인 정보 보호


데이터 개인 정보 보호는 데이터를 전송하기 전에 암호화한 다음 수신 종단에서 암호를 해독(일반 데이터 복구)하는 자격 증명 키를 사용하여 구현됩니다. WEP(Wired Equivalent Privacy)는 상대적으로 보안에 취약하므로 무선 데이터의 보호 기능을 향상시키기 위해 WPA 및 WPA2와 같은 다른 방법이 개발되었습니다.

WPA*(Wi-Fi* Protected Access)
Wi-Fi Alliance는 개정된 802.11i 표준을 충족시킬 수 있는 보다 강력한 무선 LAN 보안 솔루션을 개발하기 위한 노력 끝에 2003년 말 이 표준 기반 솔루션을 발표했습니다. WPA*에는 802.1x 인증 및 TKIP 암호화가 포함됩니다(WEP 암호화보다 강화된 보안 방식).

 

WPA2*(Wi-Fi* Protected Access 2) 
Wi-Fi Alliance는 2004년 말 차세대 WPA* 보안 솔루션을 발표했습니다. WPA*와 같이 WPA2*에도 802.1x 인증이 포함됩니다. 802.11i 개정에 따라 WPA2는 AES(Advanced Encryption Standard)를 사용하여 데이터 개인 정보를 보호합니다.

 

WPA* Personal 및 WPA2* Personal
인증 서버가 없는 소규모 사무실이나 가정에서는 PSK(Pre-Shared Key)의 사용을 통해 액세스에 대한 인증이 결정됩니다. 사전 공유 키는 16진수 문자열이거나 암호문으로, 액세스 포인트와 모든 클라이언트 간에 일치해아 합니다. WPA Personal 또는 WPA2 Personal 방법을 사용하는 경우에는 802.1x 보안을 사용할 수 없습니다.

기타 보안 옵션

VPN


인증 및 개인 정보 보호(암호화)를 위한 방법으로 WLAN 대신 많은 기업에서는 VPN을 구현하고 있습니다. 즉, 기업 방화벽 외부에 액세스 포인트를 설치하고 사용자가 원격 사용자인 것처럼 VPN 게이트웨이를 통해 통신하도록 하는 것입니다. VPN 솔루션 구현 방법의 단점은 비용이 많이 소요되고 초기 설치 과정이 복잡하며 지속적인 관리 부담을 고려해야 한다는 점입니다.

 

 

 

출처 - 인텔 코리아(http://www.intel.com)

 

 

'공부 > Network' 카테고리의 다른 글

[802.11] WNetwork Security Protocols(1) - What is Security Protocol?  (0) 2012.06.29
[802.11] Standard  (0) 2012.06.29
[802.11] 802.1x(detailed)  (1) 2012.06.29
[802.11] Frame - Frame Control  (0) 2012.06.29
[802.11] 4가지 오해들  (0) 2012.06.29
[802.11] Phishing Attack  (2) 2012.06.29
Posted by extr

댓글을 달아 주세요

  1. clarisonic 2013.07.11 04:23 Address Modify/Delete Reply

    태양이 바다에 미광을 비추면,나는 너를 생각한다.

[802.11] 802.1x

공부/Network 2012. 6. 29. 16:20 |





IEEE 802.11 무선 랜(WLAN)용 인증 구조 제공으로 보안을 강화한 무선 랜의 표준. 


인증 메시지 교환 시에는 이더넷, 토큰 링 혹은 무선 랜에서 기존의 통신 규약인 EAP(Extensible Authentication Protocol) RFC 2284를 사용하며,


인증 절차는 사용자가 인증 기관에 접근 요청→인증 기관은 사용자의 EAP 시작 메시지만 송신 허용하는비 인증 상태 유지→인증 기관이 사용자 ID를 요구하는 EAP 메시지 송신→사용자 ID 회신→인증 기관 인증 서버에 전송→인증 서버에서 


인증 알고리듬에 의거 수락 혹은 거부 메시지를 인증 기관에 회신→수락 시 인증 기관은 사용자를 인증 상태로 전환, 정상트래픽을 수행한다.


<네이버 사전>


쉽게 말해서 포트 기반의 네트워크 접근 제어 기능을 하는 WLAN 접속 인증 규격을 말합니다.


말로 설명하면 쉽게말해도 어려우니까..그냥 그림으로 봅시다





 

 supplicant란 자신의 정보를 입력하고 인증 결과를 받는 클라이언트를 말합니다.


한마디로 그냥 인증을 요청하는 station이라고 볼 수 있겠습니다.


authenticator란 유저 정보를 중개해주고 인증 결과에 따라서 통신을 허가시켜주고 차단시켜주는 인증 장치를 말합니다.


쉽게 말해, AP 즉, 공유기라고 할 수 있습니다.


authentication server는 전달받은 유저정보를 데이터베이스와 대조시켜 허가/불허를 판단하는 인증 서버 입니다.


그냥 데이터 베이스 서버라고 생각하시면 편합니다.



EAP는 무선랜 클라이언트와 RADIUS(Remote Authentication Dial-in User Service) 서버간의 통신을 가능하게 하는 프로토콜입니다.





이제 그 절차를 한번 보겠습니다.


먼저 station은 AP에게 접속 요청을 보냅니다. 그러면 AP는 station에게 잠시 기다려 보라고하며 server에게 


그럼 서버는 station에게 인증 challenge라는 난수를 전송합니다.


그럼 station은 자신의 ID와 password를 전달받은 난수와 더해서 해쉬값으로 만들어버린 후 서버에게 전송시킵니다.


서버는 자신이 던져준 난수와 DB에있는 모든 ID와 PW를 더하여 전달받은 해쉬값과 비교를 합니다.







그렇게 참이란게 서버에서 인증이되면, station에서도 서버를 인증하게 되어 상호간에 인증을 하게됩니다.


그럼 서버는 AP에게 WEP를 던져주게 되고 AP는 그 키를 암호화하여 station에게 전송합니다


(이 과정은 서버에게 세션 키를 받아, AP에게 전송시키면 AP는 이 세션 키를 이용해 브로드캐스트 키를 암호화시켜 그 암호화된 키를 전송한다더군요)


그럼 그 키가 확정되면서 통신이 이루어지는 겁니다.




출처 - 옛날 블로그 2011/02/13 02:15


'공부 > Network' 카테고리의 다른 글

[802.11] WIPS  (1) 2012.06.29
[802.11] 802.11i  (0) 2012.06.29
[802.11] 802.1x  (1) 2012.06.29
[802.11] DoS Attack  (0) 2012.06.29
[802.11] WPA Crack  (0) 2012.06.29
[802.11] WEP Crack  (10) 2012.06.29
Posted by extr

댓글을 달아 주세요

  1. nike shoes 2013.07.15 10:44 Address Modify/Delete Reply

    사람들은 죽을걸 알면서도 살잖아 .사랑은 원래 유치한거에요