무선 네트워크에 대한 802.1x 인증 이해
무선 네트워크에 대한 802.1x 인증 이해
802.1x는 유선 이더넷 네크워크 및 무선 802.11 네트워크에 대한 인증된 네트워크 액세스를 제공하는 IEEE 표준으로, 중앙 사용자 ID, 인증, 동적 키 관리 및 계정을 지원하여 보안을 강화하고 배포를 향상시킵니다.
EAP, EAP-TLS, EAP-MS-CHAP v2 및 PEAP 인증
802.1x에서는 여러 종류의 EAP(확장할 수 있는 인증 프로토콜)를 지원하므로 무선 클라이언트 및 서버에 대한 여러 인증 방법 중 하나를 선택할 수 있습니다.
EAP
802.1x는 인증 처리 중에 메시지 교환을 위해 EAP를 사용합니다. EAP를 사용하면 인증서, 스마트 카드 또는 자격 증명 등 임의의 인증 방법이 사용됩니다. EAP를 사용하면 무선 컴퓨터 등의 EAP 클라이언트와 IAS(인터넷 인증 서비스) 서버 등의 EAP 서버 사이에 개방형 대화가 가능합니다. 대화는 서버의 인증 정보 요청과 클라이언트의 응답으로 구성됩니다. 인증에 성공하려면 클라이언트와 서버는 같은 인증 방법을 사용해야 합니다.
EAP-TLS
EAP-TLS(Transport Layer Security)는 인증서 기반 보안 환경에서 사용되는 EAP 종류이며 가장 강력한 인증 및 키 결정 방법을 제공합니다. EAP-TLS를 통해 클라이언트와 인증 서버 사이에서 상호 인증, 암호화 방법 협상 및 암호화 키 결정 등을 수행할 수 있습니다. 사용자 및 클라이언트 컴퓨터 인증을 위해 인증서 또는 스마트 카드를 사용하려면 EAP-TLS를 사용해야 하거나, EAP-TLS와 함께 보호된 EAP를 사용하여 보안을 강화해야 합니다.
EAP-MS-CHAP v2
EAP-MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol 버전 2)는 암호 기반 사용자 또는 컴퓨터 인증을 지원하는 상호 인증 방법입니다. EAP-MS-CHAP v2 인증 프로세스 중에 성공적인 인증이 이루어지려면 서버와 클라이언트에서 모두 사용자의 암호를 알아야 합니다. EAP-MS-CHAP v2를 사용하는 경우 인증이 이루어진 후에 사용자는 자신의 암호를 변경할 수 있으며 암호 만료 시기가 통보됩니다.
참고
- EAP-MS-CHAP v2는 PEAP을 사용할 때만 사용할 수 있습니다.
PEAP
PEAP는 TLS를 사용하여 다른 EAP 인증 프로토콜의 보안을 강화하는 인증 방법입니다. PEAP를 사용하면 PEAP 내에서 실행 중인 EAP 방법을 보호하는 암호화 채널, TLS에서 생성된 동적 키 대조 자료, 빠른 다시 연결(캐싱된 세션 키를 사용하여 무선 액세스 지점에 다시 연결할 수 있는 능력으로 무선 액세스 지점 간의 빠른 로밍 허용) 및 허가되지 않은 무선 액세스 지점의 배포로부터 보호하기 위해 사용할 수 있는 서버 인증 등 여러 가지 이점을 얻을 수 있습니다.
PEAP 인증 프로세스
PEAP 인증 프로세스는 다음의 두 단계로 구성됩니다.
- 서버 인증 및 TLS 암호화 채널 만들기 서버는 클라이언트에서 ID를 확인할 수 있도록 클라이언트에 인증서 정보를 제공합니다. 클라이언트가 서버의 ID를 확인하면 마스터 비밀이 생성됩니다. 그런 후 마스터 비밀에서 파생된 세션 키를 사용하여 이후에 수행되는 서버와 무선 클라이언트 간의 모든 통신을 암호화하는 TLS 암호화 채널을 만듭니다.
- EAP 대화 및 사용자와 클라이언트 컴퓨터 인증 클라이언트와 서버 간의 모든 EAP 대화가 TLS 암호화 채널 내에 캡슐화됩니다. PEAP를 사용하면 암호, 스마트 카드 및 인증서 같은 여러 EAP 인증 방법 중 하나를 사용하여 사용자 및 클라이언트 컴퓨터를 인증할 수 있습니다.
PEAP 인증 프로세스 중에 생성된 세션 키는 무선 클라이언트와 무선 액세스 지점 간에 전송된 데이터를 암호화하는 WEP(Wired Equivalent Privacy) 암호화 키에 키 대조 자료를 제공합니다.
무선 인증을 위해 다음 인증 방법과 함께 PEAP를 사용할 수 있습니다.
- EAP-TLS: 서버 인증에 인증서를 사용하고 사용자 및 클라이언트 컴퓨터 인증에는 인증서 또는 스마트 카드를 사용합니다.
- EAP-MS-CHAP v2: 서버 인증에 인증서를 사용하고 사용자 인증에는 자격 증명을 사용합니다.
- 타사 EAP 인증 방법
참고
- PEAP는 EAP-MD5와 함께 사용할 수 없습니다.
- PEAP는 802.11 무선 클라이언트를 위한 인증 방법으로 사용할 수 있지만 VPN(가상 사설망) 클라이언트 또는 다른 원격 액세스 클라이언트에는 사용할 수 없습니다. 따라서 IAS(인터넷 인증 서비스)를 사용하는 경우에만 원격 액세스 정책의 인증 방법으로 PEAP를 구성할 수 있습니다.
PEAP의 빠른 다시 연결 지원
클라이언트가 802.11 무선 네트워크에 연결될 때 인증된 세션에는 네트워크 관리자가 인증된 세션의 기간을 제한하기 위해 지정하는 만료 기간이 설정되어 있습니다. 세션을 다시 인증하고 시작하기 위해 인증된 클라이언트의 자격 증명을 요구하는 알림을 표시하지 않으려면 빠른 다시 연결 옵션을 사용합니다.
PEAP는 빠른 다시 연결을 지원하므로 각 무선 액세스 지점이 동일한 IAS(RADIUS) 서버의 클라이언트로 구성되어 있으면 로밍 사용자는 동일한 네트워크에서 다른 무선 액세스 지점 사이를 이동할 때 무선 네트워크 연결을 끊김없이 유지할 수 있습니다. 또한 무선 클라이언트와 RADIUS 서버에서 모두 빠른 다시 연결이 설정되어 있어야 합니다.
초기 PEAP 인증이 성공적으로 수행되면 새 무선 액세스 지점으로 이동할 때마다 사용자에게 자격 증명(인증에 EAP-MS-CHAP v2와 함께 PEAP가 사용되는 경우) 또는 인증에 스마트 카드와 함께 PEAP가 사용되는 경우 PIN(개인 ID 번호)을 제공하도록 요구하지 않습니다. 대신 PEAP 빠른 다시 연결을 사용하는 경우 초기 PEAP 인증이 성공적으로 수행되면 클라이언트와 서버는 TLS 세션 키를 캐싱합니다. 사용자가 새 무선 액세스 지점에 연결되면 캐시가 만료될 때까지 클라이언트와 서버는 캐싱된 키를 사용하여 서로를 다시 인증합니다. 키가 캐싱되므로 RADIUS 서버는 클라이언트 연결이 재연결인지를 신속하게 확인할 수 있습니다. 이를 통해 클라이언트의 인증 요청과 RADIUS 서버의 응답 간의 시간 지연을 줄일 수 있습니다. 또한 클라이언트와 서버의 리소스 사용량도 줄어듭니다.
원래의 RADIUS 서버를 사용하지 않는 경우 전체 인증이 수행되어야 하며 사용자에게 자격 증명 또는 PIN을 묻는 메시지가 다시 나타납니다. 아래와 같은 경우가 여기에 해당합니다.
- 사용자가 새 RADIUS 서버의 클라이언트로 구성된 새 무선 액세스 지점에 연결되는 경우
- 사용자가 동일한 무선 액세스 지점에 연결되지만 무선 액세스 지점에서 인증 요청을 새 RADIUS 서버에 전달하는 경우
위의 두 가지 경우에 클라이언트는 새 RADIUS 서버에서 초기 인증을 받은 후에 새 TLS 세션 키를 캐싱합니다. 클라이언트는 여러 RADIUS 서버에 대한 TLS 세션 키를 캐싱할 수 있습니다.
자세한 내용은 EAP, MS-CHAP 버전 2 및 PEAP를 참조하십시오.
무선 원격 액세스 정책에 대해 세션 시간 제한을 구성하는 데 대한 자세한 내용은 원격 액세스 정책 소개, 원격 액세스 정책 구성 및 원격 액세스 정책 요소를 참조하십시오.
보안 및 배포 고려 사항
인증 방법을 선택할 때는 배포 양상과 필요한 보안 수준을 고려해서 적절한 방법을 선택합니다. 최고 수준의 보안을 위해서는 인증서(EAP-TLS)가 있는 PEAP를 선택합니다. 배포를 용이하게 하기 위해서는 암호(EAP-MS-CHAP v2)가 있는 PEAP를 선택합니다.
EAP-TLS가 있는 PEAP와 단독 EAP-TLS 모두 서버 인증에 인증서를 사용하고, 클라이언트 컴퓨터 및 사용자 인증에는 인증서나 스마트 카드를 사용하여 강력한 보안 기능을 제공하지만 EAP-TLS가 있는 PEAP를 사용하는 경우 클라이언트 인증서 정보가 암호화됩니다. 반면 EAP-MS-CAHP v2가 있는 PEAP를 사용하면 암호를 기반으로 클라이언트 인증이 이루어지기 때문에 인증서나 스마트 카드를 클라이언트에 설치하지 않아도 되므로 배포가 용이합니다. PEAP는 EAP-MS-CHAP v2 인증을 수행하기 전에 종단 간 암호화 채널을 만들기 때문에 인증 교환 시 오프라인 사전 공격에 대한 위험이 줄어듭니다.
802.1x 인증 방법의 인증서 요구 사항에 대한 자세한 내용은 네트워크 액세스 인증 및 인증서를 참조하십시오. 스마트 카드 배포에 대한 자세한 내용은 검사 목록: Windows 로그온에 사용할 스마트 카드 배포를 참조하십시오.
중요
- PEAP 및 PEAP로 보호되지 않는 EAP를 모두 배포할 때는 PEAP를 사용할 때와 사용하지 않을 경우에 동일한 EAP 인증 유형을 사용하지 마십시오. 예를 들어, PEAP-EAP-TLS(EAP-TLS가 있는 PEAP)를 배포하는 경우 PEAP가 없으면 EAP-TLS도 배포하지 마십시오. 유형은 같지만 PEAP의 보호 기능을 사용하는 인증과 사용하지 않는 두 가지 인증 방법을 배포하면 보안 문제가 발생합니다.
- 인증서 템플릿에서 워크스테이션 인증이라는 새로운 버전 2 인증서 템플릿을 사용할 수 있습니다. 자동 등록으로 구성될 수 있는 인증서 템플릿은 Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition 또는 Windows Server 2003 제품군의 64비트 버전을 실행하는 컴퓨터의 엔터프라이즈 CA(인증 기관)에서 사용할 수 있습니다. 이 템플릿을 기반으로 하는 인증서를 사용하면 클라이언트 컴퓨터가 서버에 해당 ID를 인증받을 수 있습니다. Windows XP를 실행하는 무선 클라이언트에 인증서 기반 인증을 사용하고 Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition 또는 64비트 버전의 Windows Server 2003 제품군을 실행하는 컴퓨터에서 엔터프라이즈 CA를 제공하는 경우 이 인증서 템플릿을 사용해야 합니다. 이 경우 컴퓨터 인증서 템플릿을 사용하면 클라이언트 인증이 실패합니다. 자세한 내용은 인증서 템플릿 및 엔터프라이즈 인증 기관의 인증서 템플릿 관리를 참조하십시오.
802.11 무선 네트워크의 802.1x 작동 방법
802.1x는 포트에 기반하여 네트워크 액세스를 제어합니다. 포트 기반 네트워크 액세스 제어는 스위칭된 LAN(Local Area Network) 인프라의 실제 특성을 사용하여 LAN 포트에 연결된 컴퓨팅 장치를 인증하고 인증 프로세스에 실패하면 해당 포트에 액세스할 수 없게 합니다.
포트 기반 네트워크 액세스 제어를 위해 상호 작용하는 동안 LAN 포트는 인증자 또는 요청자 중 하나의 역할을 수행합니다. 인증자 역할을 수행하는 LAN 포트는 해당 포트를 통해 액세스할 수 있는 서비스에 대한 사용자 액세스를 인증을 통해 허용합니다. 요청자 역할을 수행하는 LAN 포트는 인증자의 포트를 통해 액세스할 수 있는 서비스에 대한 액세스를 요청합니다. 인증 서버는 독립 엔터티이거나 인증자와 같은 위치에 있을 수 있으며 인증자를 대신하여 요청자의 자격 증명을 확인합니다. 그런 다음 인증 서버는 인증자에 응답하여 요청자가 인증자의 서비스에 액세스할 수 있도록 인증되었는지 여부를 나타냅니다.
인증자의 포트 기반 네트워크 액세스 제어는 하나의 실제 LAN 포트를 통해 LAN에 액세스하는 두 개의 논리 데이터 경로를 정의합니다. 첫째 경로인 제어되지 않는 포트에서는 컴퓨팅 장치의 인증 상태에 관계없이 LAN의 인증자 및 해당 장치 간에 데이터가 교환됩니다. 이것은 EAPOL(EAP over LAN) 메시지가 사용하는 경로입니다. 두 번째 데이터 경로인 제어된 포트에서는 인증된 LAN 사용자와 인증자 간에 데이터가 교환됩니다. 이것은 컴퓨팅 장치가 인증된 후 다른 모든 네트워크 트래픽이 사용하는 경로입니다.
802.1x 및 IAS
무선 네트워크 연결에 인증, 권한 부여 및 계정을 지원하려면 IAS와 함께 802.1x를 사용할 수 있습니다. IAS는 Microsoft에서 구현한 RADIUS(Remote Authentication Dial-in User Service) 서버 및 프록시 서버입니다. RADIUS가 구현된 경우 유효한 인증 키가 없으면 무선 액세스 지점에서 유선 네트워크나 다른 무선 클라이언트로 데이터 트래픽을 전달할 수 없습니다. 유효한 인증 키는 다음 과정을 통해 구할 수 있습니다.
- 무선 클라이언트가 무선 액세스 지점의 범위 내에 있으면 무선 액세스 지점에서 이 클라이언트에게 연결을 권유합니다.
- 무선 클라이언트는 해당 ID를 무선 액세스 지점으로 전송하며 무선 액세스 지점에서 이 ID를 RADIUS 서버로 전달합니다.
- RADIUS 서버는 클라이언트 ID를 확인하기 위해 무선 클라이언트의 자격 증명을 요청합니다. 자격 증명을 요청할 때 RADIUS 서버는 요청되는 자격 증명 종류를 지정합니다.
- 무선 클라이언트는 해당 자격 증명을 RADIUS 서버로 전달합니다.
- RADIUS 서버는 무선 클라이언트의 자격 증명을 확인합니다. 자격 증명이 올바르면 RADIUS 서버는 암호화된 인증 키를 무선 액세스 지점으로 보냅니다.
- 무선 액세스 지점에서는 이 인증 키를 사용하여 스테이션 단위의 유니캐스트 세션 및 멀티캐스트 인증 키를 무선 클라이언트에 안전하게 전송합니다.