802.1X 개요
802.1X는 인증을 통해 네트워크를 보호하기 위한 포트 액세스 프로토콜입니다. 따라서 이러한 유형의 인증 방법은 매체의 특성으로 인해 Wi-Fi 환경에서 매우 유용합니다. Wi-Fi 사용자가 네트워크 액세스를 위해 802.1X를 통해 인증되면 액세스 포인트에 가상 포트가 열리고 통신이 가능합니다. 승인되지 않은 경우 가상 포트를 사용할 수 없으며 통신이 차단됩니다.
802.1X 인증에는 다음과 같은 세 가지 기본 사항이 있습니다.
- 간구자 Wi-Fi 워크스테이션에서 실행되는 소프트웨어 클라이언트.
- 인증자 Wi-Fi 액세스 포인트.
- 인증 서버 인증 데이터베이스는 일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS*, Microsoft IAS*와 같은 반경 서버입니다.
확장 가능한 인증 프로토콜(EAP)은 지원자(Wi-Fi 워크스테이션)와 인증 서버(Microsoft IAS 또는 기타) 간에 인증 정보를 전달하는 데 사용됩니다. EAP 유형은 실제로 인증을 처리하고 정의합니다. 인증자 역할을 하는 액세스 포인트는 대리인과 인증 서버가 통신할 수 있도록 하는 프록시일 뿐입니다.
어떤 것을 사용해야 합니까?
구현할 EAP 유형 또는 802.1X를 전혀 구현할지 여부는 조직이 필요로 하는 보안 수준, 관리 오버헤드 및 원하는 기능에 따라 달라집니다. 여기 설명과 비교 차트가 사용 가능한 다양한 EAP 유형을 이해하는 데 어려움을 덜어줄 수 있기를 바랍니다.
확장 가능한 인증 프로토콜(EAP) 인증 유형
Wi-Fi Local Area Network(WLAN) 보안이 필수적이며 EAP 인증 유형이 WLAN 연결을 안전하게 지키는 잠재적으로 더 나은 수단을 제공하기 때문에 공급업체는 WLAN 액세스 포인트에 EAP 인증 유형을 빠르게 개발하고 추가하고 있습니다. 가장 일반적으로 배포되는 EAP 인증 유형 중 일부는 EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast 및 Cisco LEAP입니다.
- EAP-MD-5(Message Digest) 챌린지는 기본 수준의 EAP 지원을 제공하는 EAP 인증 유형입니다. EAP-MD-5는 일반적으로 사용자의 비밀번호가 파생될 수 있으므로 Wi-Fi LAN 구현에는 권장되지 않습니다. Wi-Fi 클라이언트와 네트워크에 대한 상호 인증이 없는 단방향 인증만 제공합니다. 그리고 매우 중요한 것은 세션당 WEP(유선 개인 정보 보호) 키를 동적으로 유도하는 수단을 제공하지 않는다는 것입니다.
- EAP-TLS(전송 계층 보안)는 클라이언트와 네트워크의 인증서 기반 및 상호 인증을 제공합니다. 인증을 수행하기 위해 클라이언트 측 및 서버 측 인증서에 의존하고 WLAN 클라이언트와 액세스 포인트 간의 후속 통신을 확보하기 위해 사용자 기반 및 세션 기반 WEP 키를 동적으로 생성하는 데 사용할 수 있습니다. EAP-TLS의 한 가지 단점은 클라이언트와 서버 측면에서 인증서를 관리해야 한다는 것입니다. 대규모 WLAN 설치의 경우 이 작업은 매우 번거로운 작업일 수 있습니다.
- EAP-TTLS(터널 전송 레이어 보안)는 펑크 소프트웨어*와 Certicom*이 EAP-TLS의 확장으로 개발했습니다. 이 보안 방법은 암호화된 채널(또는 터널)을 통해 클라이언트와 네트워크의 인증서 기반 상호 인증뿐만 아니라 세션당 동적 사용자당 WEP 키를 도출하는 수단을 제공합니다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 필요합니다.
- EAP-FAST(보안 터널링을 통한 유연한 인증)는 Cisco*가 개발했습니다. 상호 인증을 달성하기 위해 인증서를 사용하는 대신. EAP-FAST는 인증 서버에서 동적으로 관리될 수 있는 PAC(보호 액세스 자격 증명)를 통해 인증합니다. PAC는 수동으로 또는 자동으로 클라이언트에 프로비저닝(한 번 배포)할 수 있습니다. 수동 프로비저닝은 디스크 또는 보안 네트워크 배포 방법을 통해 클라이언트에 전달됩니다. 자동 프로비저닝은 공중에서 배포되는 인밴드입니다.
- GSM 가입자 ID(EAP-SIM)에 대한 확장 가능한 인증 프로토콜 방법은 인증 및 세션 키 배포를 위한 메커니즘입니다. GSM(모바일 커뮤니케이션용 글로벌 시스템) 가입자 ID 모듈(SIM)을 사용합니다. EAP-SIM은 클라이언트 어댑터와 RADIUS 서버에서 파생된 동적 세션 기반 WEP 키를 사용하여 데이터를 암호화합니다. EAP-SIM은 가입자 ID 모듈(SIM) 카드와의 통신을 위해 사용자 확인 코드 또는 PIN을 입력해야 합니다. SIM 카드는 GSM(모바일 통신용 글로벌 시스템) 기반 디지털 셀룰러 네트워크에서 사용하는 특수 스마트 카드입니다.
- EAP-AKA(UMTS 인증 및 키 계약을 위한 확장 가능한 인증 프로토콜 방법)는 유니버설 모바일 통신 시스템(UMTS) 가입자 ID 모듈(USIM)을 사용하여 인증 및 세션 키 배포를 위한 EAP 메커니즘입니다. USIM 카드는 네트워크로 특정 사용자를 검증하기 위해 셀룰러 네트워크와 함께 사용되는 특수 스마트 카드입니다.
- LEAP(경량 확장 가능 인증 프로토콜)는 주로 Cisco Aironet* WLAN에 사용되는 EAP 인증 유형입니다. 동적으로 생성된 WEP 키를 사용하여 데이터 전송을 암호화하고 상호 인증을 지원합니다. 지금까지 독점을 위해 Cisco는 Cisco 호환 확장 프로그램을 통해 다양한 제조업체에 LEAP 라이선스를 부여했습니다.
- PEAP(보호된 확장 가능 인증 프로토콜)는 802.11 Wi-Fi 네트워크를 통해 레거시 암호 기반 프로토콜을 포함한 안전한 인증 데이터를 전송하는 방법을 제공합니다. PEAP는 PEAP 클라이언트와 인증 서버 간의 터널링을 사용하여 이를 달성합니다. 경쟁 표준 터널 전송 레이어 보안(TTLS)과 마찬가지로 PEAP는 서버측 인증서만을 사용하여 Wi-Fi LAN 클라이언트를 인증하므로 보안 Wi-Fi LAN의 구현 및 관리를 간소화합니다. Microsoft, Cisco 및 RSA Security는 PEAP를 개발했습니다.
위의 토론과 표를 검토하면 일반적으로 다음과 같은 결론을 내릴 수 있습니다.
- MD5는 일반적으로 단방향 인증만 수행하므로 일반적으로 사용되지 않으며, 더 중요한 것은 WEP 키의 자동 배포 및 회전을 지원하지 않으므로 수동 WEP 키 유지 관리의 관리 부담을 덜어줍니다.
- TLS는 매우 안전하지만 각 Wi-Fi 워크스테이션에 클라이언트 인증서를 설치해야 합니다. PKI 인프라를 유지 관리하려면 WLAN 자체 유지 관리 외에 추가적인 관리 전문 지식과 시간이 필요합니다.
- TTLS는 TLS를 터널링하여 인증서 문제를 해결하므로 클라이언트 쪽에서 인증서가 필요하지 않습니다. 이 옵션을 자주 선호하는 옵션으로 만들기. Funk Software*는 TTLS의 주요 프로모터이며, 신청자 및 인증 서버 소프트웨어에 대한 요금이 부과됩니다.
- LEAP는 가장 긴 역사를 가지고 있으며, 이전에 Cisco 독점(Cisco Wi-Fi 어댑터에서만 작동)을 사용했지만, Cisco는 Cisco 호환 확장 프로그램을 통해 다양한 제조업체에 LEAP를 라이선스를 부여했습니다. LEAP가 인증에 사용될 때 강력한 비밀번호 정책이 적용되어야 합니다.
- 강력한 비밀번호 정책을 시행할 수 없으며 인증용 인증서를 배포하지 않으려는 기업에서는 EAP-FAST를 사용할 수 있습니다.
- 최근 PEAP는 클라이언트 쪽에 인증서가 필요하지 않다는 점에서 EAP-TTLS와 유사하게 작동합니다. PEAP는 Cisco와 Microsoft가 지원하며 Microsoft에서 추가 비용 없이 사용할 수 있습니다. LEAP에서 PEAP로 전환하려면 Cisco의 ACS 인증 서버가 둘 다 실행됩니다.
또 다른 옵션은 VPN입니다.
많은 기업이 인증 및 개인 정보 보호(암호화)를 위해 Wi-Fi LAN에 의존하는 대신 VPN을 구현합니다. 이 작업은 액세스 포인트를 회사 방화벽 외부에 배치하고 원격 사용자인 것처럼 VPN 게이트웨이를 통해 사용자 터널을 설치하는 방식으로 수행됩니다. VPN 솔루션 구현의 단점은 비용, 초기 설치 복잡성 및 지속적인 관리 오버헤드입니다.