802.1x에 대한 개요

802.1x에 대한 개요
인증을 통해 네트워크를 보호하는 포트 액세스 프로토콜입니다. 결과적으로 이러한 유형의 인증 방법은 매체 속성상 무선 환경에 매우 유용합니다. 무선 사용자가 802.1x를 통해 네트워크 액세스를 위한 인증을 받게 되면 액세스 포인트에서 가상 포트가 열려 통신이 허용됩니다. 인증을 받지 못하면 가상 포트를 사용할 수 없어 통신이 차단됩니다.

다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.

1.요청자 - 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
2.인증자 - 무선 액세스 포인트
3.인증 서버 - 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Odyssey* 또는 Microsoft IAS*와 같은 Radius 서버)
EAP(Extensible Authentication Protocol)는 요청자(무선 워크스테이션)와 인증 서버(MS IAS 등) 사이에 인증 정보를 전달하는 데에 사용되며 실제 인증은 EAP 유형에 의해 정의 및 처리됩니다. 인증자 역할을 하는 액세스 포인트는 요청자와 인증 서버가 통신할 수 있도록 하는 프록시일 뿐입니다.
 

사용할 EAP 유형
어떤 EAP의 유형을 구현할지, 또는 전부 802.1x로 구현할지의 여부는 조직에서 요구하는 보안 수준과 필요한 관리 오버헤드/기능에 따라 달라집니다. 여기서 제공하는 설명 및 비교 차트를 통해 여러 가지 EAP 유형을 보다 쉽게 이해할 수 있습니다.

EAP(Extensible Authentication Protocol) 인증 유형
WLAN 보안은 필수적이며 EAP 인증 유형은 WLAN 연결의 보안을 강화하는 유용한 방법을 제공하므로 공급업체마다 자사의 WLAN 액세스 포인트 제품에 필요한 EAP 인증 유형을 빠르게 개발하고 있습니다. 가장 널리 사용되는 EAP 인증 유형으로는 EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS 및 Cisco LEAP가 있습니다.

•EAP-MD-5(Message Digest) Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형입니다. EAP-MD-5는 사용자 암호를 알아낼 수 있으므로 일반적으로 무선 LAN 구현에는 권장되지 않습니다. 이 인증 유형은 실제로는 무선 클라이언트와 네트워크에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공합니다. 또한 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나입니다.

•EAP-TLS(Transport Layer Security)는 클라이언트 및 네트워크에 대한 인증서 기반 상호 인증 기능을 제공합니다. 이 방법은 클라이언트측 인증서와 서버측 인증서를 통해 인증을 수행하며 WLAN 클라이언트와 액세스 포인트 간 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성합니다. EAP-TLS의 한 가지 단점은 클라이언트측과 서버측 모두에서 인증서를 관리해야 한다는 점입니다. 이는 규모가 큰 WLAN을 설치하는 경우 번거로운 작업이 될 수 있습니다.

•EAP-TTLS(Tunneled Transport Layer Security)는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법입니다. 이 보안 방법은 암호화된 채널(또는 "터널")을 통해 클라이언트와 네트워크에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공합니다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 됩니다.

•LEAP(Lightweight Extensible Authentication Protocol)는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원합니다. Cisco는 얼마 전까지 LEAP에 대한 독점권을 행사해 왔으나 최근 여러 다른 제조업체에 LEAP에 대한 사용권을 허가하여 Cisco 제품이 아닌 어댑터에도 LEAP를 사용할 수 있도록 했습니다.

•PEAP(Protected Extensible Authentication Protocol)는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공합니다. PEAP는 PEAP 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행합니다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 LAN 클라이언트를 인증합니다. PEAP는 Microsoft, Cisco 및 RSA Security에서 개발한 방법입니다. Cisco의 LEAP 인증 서버인 ACS는 최근에 PEAP에 대한 지원을 추가했습니다. 

 

위의 설명과 표의 내용에 대한 결론
•MD5는 단방향 인증만을 수행하며 무엇보다 WEP 키의 자동 배포 및 순환을 지원하지 않아 수동 WEP 키 유지보수의 관리 부담을 줄일 수 없으므로 잘 사용되지 않습니다.
•TLS의 경우 보안 기능은 뛰어나지만 각 무선 워크스테이션에 클라이언트 인증서를 설치해야 합니다. 일반적으로 PKI 인프라의 유지보수 작업에는 예상보다 많은 노력과 시간이 필요합니다.
•TTLS는 TLS를 터널링하여 클라이언트측 인증서에 대한 요구를 없앰으로써 인증서 문제를 해결합니다. 이 방법이 주로 사용됩니다. TTLS는 주로 Funk에서 관리하며 요청자 및 인증 서버 소프트웨어에 대한 대가를 별도로 지불해야 합니다.
•LEAP는 가장 오랫동안 사용되어 온 방법으로, 과거에는 Cisco에서 독점적으로 사용하다가(Cisco 무선 어댑터에서만 사용) 최근 해당 소프트웨어 사용권을 타사에 제공하면서 다른 공급업체도 자사 무선 LAN 어댑터에서 LEAP를 지원하고 있습니다.
•가장 최근에 개발된 PEAP 방법은 클라이언트측에 대한 인증서가 필요하지 않다는 점에서 EAP-TTLS 방법과 유사합니다. PEAP는 Cisco 및 Microsoft에서 지원하는 방법으로, Microsoft에 추가 비용을 지불하지 않고 사용이 가능합니다. LEAP에서 PEAP로 데이터를 전송하려는 경우 Cisco의 ACS 인증 서버가 두 방법을 모두 실행합니다.
새로운 보안 방법

WPA(Wi-Fi Protected Access)
IEEE 표준을 기반으로 하는 새로운 보안 솔루션입니다. Wi-Fi Alliance는 개정된 802.11i 표준을 충족시킬 수 있는 보다 강력한 무선 LAN 보안 솔루션을 개발하기 위한 노력 끝에 2002년 10월 이 표준 기반 솔루션을 발표했습니다. 이 솔루션은 오늘날 시장에 출시되어 있는 제품에서 사용할 수 있도록 설계되었으며 2003년 안에 Wi-Fi 인증 제품에 최초로 장착될 예정입니다. WPA는 802.1x 인증 및 TKIP 암호화 기법(보다 정교하고 강력한 WEP 보안 암호화 기법)을 포함시켰습니다.

WPA보다 뛰어난 보안 방법
TGi(IEEE task force i)는 무선 LAN의 보안 문제를 보다 심층적으로 다루고 있습니다. 2004년 내에 차세대 액세스 포인트 제품에 AES 암호화 기법과 802.1x 인증 방법을 함께 선보일 예정입니다.

기타 보안 옵션

VPN
802.1x 및 AES 암호화 기법을 사용하여 Tgi를 완벽하게 구현할 수 있을 때까지 가장 안전한 WLAN 보안 방법은 VPN을 구현하는 것입니다. 즉, 기업 방화벽 외부에 액세스 포인트를 설치하고 사용자가 원격 사용자인 것처럼 VPN 게이트웨이를 통해 통신하도록 하는 것입니다. VPN 솔루션 구현 방법의 단점은 비용이 많이 소요되고 초기 설치 과정이 복잡하며 지속적인 관리 부담을 고려해야 한다는 점입니다