802.1X : WPA 및 EAP와 관련하여 정확히 무엇입니까?


19

802.1X가 일종의 포트 인증 제어라는 것을 알고 있습니다. 그러나 무선의 암호화 설정을 확인할 때 WPA2, WPA 및 WEP와 함께 드롭 다운에서 802.1X를 발견했지만 어떻게 이러한 대안을 사용할 수 있는지 알 수 없습니다.

누군가 EAP 프로토콜과 관련하여 802.1X가 어떻게 적용되는지 layman의 용어로 설명해 주시겠습니까? 내가 아는 것은 802.1X가 모든 물리적 포트에 대해 두 개의 논리적 포트 엔터티를 제공한다는 것입니다.이 중 하나는 인증 용이고 다른 하나는 실제 EAP 메시지가 통과하는 것입니다.

답변:


38

가장 간단하게 설명하기 위해 평신도의 용어를 약간 단순화하고 WPA2로 제한했습니다.

802.1X는 암호화 유형이 아닙니다. 기본적으로 사용자 별 (예 : 사용자 이름 및 비밀번호) 인증 메커니즘입니다.

WPA2는 무선 보안의 두 가지 주요 측면을 지정하는 보안 체계입니다.

  • 인증 : PSK ( "개인") 또는 802.1X ( "기업") 중에서 선택합니다.
  • 암호화 : 항상 AES-CCMP.

네트워크에서 WPA2 보안을 사용하는 경우 두 가지 인증 옵션을 선택할 수 있습니다. 모든 사람이 알고있는 전체 네트워크에 단일 암호를 사용하거나 (사전 공유 키 또는 PSK라고 함) 802.1X를 사용합니다 각 사용자가 자신의 고유 한 로그인 자격 증명 (예 : 사용자 이름 및 비밀번호)을 사용하도록합니다.

사용하도록 네트워크를 설정 한 인증 유형에 관계없이 WPA2는 항상 AES-CCMP라는 체계를 사용하여 기밀을 유지하기 위해 무선으로 데이터를 암호화하고 다양한 다른 종류의 공격을 막습니다.

802.1X는 "EAP over LANs"또는 EAPoL입니다. EAP는 "Extensible Authentication Protocol (확장 할 수있는 인증 프로토콜)"의 약자로 다양한 인증 방법을위한 일종의 플러그인 방식입니다. 몇 가지 예 :

  • 사용자 이름과 비밀번호로 사용자를 인증 하시겠습니까? 그런 다음 "PEAP"은 사용하기에 적합한 EAP 유형입니다.
  • 인증서를 통해 사용자를 인증 하시겠습니까? 그런 다음 "EAP-TLS"는 사용하기에 적합한 EAP 유형입니다.
  • 네트워크의 장치가 SIM 카드가있는 모든 GSM 스마트 폰입니까? 그런 다음 "EAP-SIM"을 사용하여 GSM SIM 카드 스타일 인증을 수행하여 네트워크에 연결할 수 있습니다. 등

802.1X를 사용하도록 무선 라우터를 설정 한 경우 일부 EAP 유형을 통해 사용자를 인증 할 수있는 방법이 필요합니다. 일부 라우터는 라우터에서 바로 사용자 이름 및 비밀번호 목록을 입력 할 수 있으며 라우터는 전체 인증을 자체적으로 수행하는 방법을 알고 있습니다. 그러나 대부분의 경우 RADIUS를 구성해야합니다. RADIUS는 사용자 이름과 비밀번호 데이터베이스를 중앙 서버에 보관할 수있는 프로토콜이므로 사용자를 추가 또는 삭제할 때마다 또는 사용자가 비밀번호 등을 변경할 때마다 별도의 무선 라우터를 변경할 필요가 없습니다. 802.1X를 수행하는 무선 라우터는 일반적으로 사용자를 직접 인증하는 방법을 모릅니다. 802.1X와 RADIUS 사이의 게이트웨이를 통해 무선 클라이언트 시스템이 실제로 네트워크의 RADIUS 서버에 의해 인증되도록하는 방법 만 알고 있습니다.

무선 라우터의 사용자 인터페이스에 암호화 유형 목록에 "802.1X"가있는 경우 "동적 WEP를 사용하는 802.11.1X"를 의미 할 수 있습니다. 이는 802.1X가 인증에 사용되는 구 체계이며 사용자 별 세션 별입니다. WEP 키는 인증 프로세스의 일부로 동적으로 생성되므로 WEP는 궁극적으로 사용되는 암호화 방법입니다.

다시 업데이트 : 두 개의 논리 포트

두 개의 논리적 포트 엔터티에 대한 질문에 대답하기 위해 802.1X 사양에는 두 가지 개념이 있습니다.

먼저 802.1X 사양은 802.1X 프로토콜에 대한 클라이언트 및 서버 역할을 정의하지만이를 각각 Supplicant 및 Authenticator라고합니다. 무선 클라이언트 또는 무선 라우터 내에 802.1X 신청자 또는 인증 자의 역할을 수행하는 소프트웨어가 있습니다. 이 역할을 수행하는이 소프트웨어를 스펙에 의해 PAE (Port Access Entity)라고합니다.

둘째, 사양에는 무선 클라이언트 시스템 내에 다른 네트워킹 소프트웨어가없는 경우에도 802.1X 인증 소프트웨어가 무선 인터페이스에 액세스하여 인증을 달성하기 위해 EAP 패킷을 송수신 할 수있는 방법이 있어야한다고 언급합니다. 네트워크 인터페이스는 인증 될 때까지 네트워크 인터페이스를 신뢰할 수 없기 때문에 시스템은 아직 무선 인터페이스를 사용할 수 있습니다. IEEE 스펙 문서의 기묘한 엔지니어링 법률에 따르면 802.1X 클라이언트 소프트웨어가 연결하는 논리적 "제어되지 않은 포트"와 나머지 네트워크 스택이 연결되는 "제어 된 포트"가 있다고합니다. 802.1X 네트워크에 처음 연결을 시도하면 802.1X 클라이언트가 처리하는 동안 제어되지 않은 포트만 활성화됩니다. 연결이 인증되면 (예 :

평신도의 용어로는 그리 멀지 않습니다 :
IEEE 802.1X는 유선 또는 무선 이더넷 LAN (및 IEEE 802 제품군의 다른 네트워크 체계)에 대해 사용자 별 또는 장치 별 인증을 수행하는 방법입니다. 원래 유선 이더넷 네트워크 용으로 설계 및 배포되었으며 나중에 802.11i에 대한 802.11i 보안 부록의 일부로 IEEE 802.11 (무선 LAN) 작업 그룹에서 채택되어 사용자 별 또는 장치 별 인증 방법으로 사용됩니다. 802.11 네트워크 용.

WPA 또는 WPA2 네트워크에서 802.1X 인증을 사용하는 경우 여전히 WPA 또는 WPA2의 기밀성 암호 및 메시지 무결성 알고리즘을 사용하고 있습니다. 즉, WPA의 경우 여전히 기밀 암호로 TKIP를 사용하고 메시지 무결성 검사로 MIChael을 사용하고 있습니다. WPA2의 경우 기밀 암호 및 메시지 무결성 검사 인 AES-CCMP를 사용하고 있습니다.

802.1X를 사용할 때의 차이점은 더 이상 네트워크 전체 PSK (Pre-Shared Key)를 사용하지 않는다는 것입니다. 모든 장치에 단일 PSK를 사용하지 않기 때문에 각 장치의 트래픽이 더 안전합니다. PSK를 사용하면 장치가 네트워크에 참여할 때 PSK를 알고 주요 핸드 셰이크를 캡처하면 해당 장치의 모든 트래픽을 해독 할 수 있습니다. 그러나 802.1X를 사용하면 인증 프로세스가 연결에 고유 한 PMK (Pairwise Master Key)를 만드는 데 사용되는 키 자료를 안전하게 생성하므로 한 사용자가 다른 사용자의 트래픽을 해독 할 수있는 방법이 없습니다.

802.1X는 원래 PPP를 위해 개발 된 확장 가능한 인증 프로토콜 인 EAP를 기반으로하며 암호화 된 터널 (LT2P-over-IPSec, PPTP 등) 내에서 PPP를 사용하는 VPN 솔루션에서 여전히 광범위하게 사용됩니다. 실제로 802.1X는 일반적으로 "EAP over LAN"또는 "EAPoL"이라고합니다.

EAP는 사용되는 특정 인증 방법의 세부 사항을 알 필요없이 인증 메시지 (인증 요청, 챌린지, 응답, 성공 알림 등)를 전송하기위한 일반적인 메커니즘을 제공합니다. 사용자 이름 및 비밀번호, 인증서, 토큰 카드 등을 통한 인증을 수행하기 위해 여러 가지 "EAP 유형"(EAP에 연결하도록 설계된 인증 메커니즘)이 있습니다.

PPP 및 VPN에 대한 EAP의 역사 덕분에 항상 RADIUS로 쉽게 게이트웨이되었습니다. 따라서 802.1X를 지원하는 RADIUS 클라이언트를 지원하는 802.11 AP의 경우 일반적으로 (기술적으로는 필요하지 않음)입니다. 따라서 AP는 일반적으로 다른 사람의 사용자 이름이나 암호 또는 다양한 EAP 인증 유형을 처리하는 방법을 모릅니다. 802.1X에서 일반 EAP 메시지를 가져 와서 RADIUS 메시지로 변환하여 RADIUS 서버로 전달하는 방법 만 알고 있습니다. . 따라서 AP는 인증을위한 통로 일뿐 당사자가 아닙니다. 인증의 실제 엔드 포인트는 일반적으로 무선 클라이언트와 RADIUS 서버 (또는 RADIUS 서버가 게이트웨이를 구성하는 일부 업스트림 인증 서버)입니다.

알고 싶은 것보다 더 많은 기록 : 802.11이 처음 만들어 졌을 때 지원되는 유일한 인증 방법은 40 또는 104 비트 WEP 키를 사용하는 공유 키 인증 방식이며 WEP는 네트워크 당 4 개의 키로 제한되었습니다. 네트워크에 연결된 모든 사용자 또는 장치는 네트워크에 연결하기 위해 4 개의 짧은 키 중 하나를 알고 있어야합니다. 표준에는 각 사용자 또는 장치를 개별적으로 인증하는 방법이 없었습니다. 또한 공유 키 인증이 수행 된 방식으로 "오프라인 오라클"빠른 무차별 키 추측 공격을 쉽게 수행 할 수 있습니다.

많은 엔터프라이즈 급 802.11 장비 공급 업체는 엔터프라이즈 시장에서 802.11을 성공시키기 위해서는 사용자 별 (즉, 사용자 이름 및 비밀번호 또는 사용자 인증서) 또는 장치 별 (컴퓨터 인증서) 인증이 필요하다는 것을 깨달았습니다. 802.1X가 아직 완료되지 않았음에도 불구하고 Cisco는 802.1X의 초안 버전을 사용하여 하나의 EAP 유형 (EAP-MSCHAPv2 형식)으로 제한하여 세션 별 동적 WEP 키를 생성하여 생성했습니다. 그들이 "경량 EAP"또는 LEAP라고 부르는 것. 다른 벤더들도 비슷한 일을했지만 "802.1X with dynamic WEP"와 같이 더 복잡한 이름을 사용했습니다.

Wi-Fi Alliance (Wireless Ethernet Compatibility Alliance 또는 "WECA")는 WEP가 당연히 나쁜 응답을 얻었고 업계에서 보안 체계 조각화가 발생하는 것을 보았지만 IEEE 802.11 작업 그룹이 끝나기를 기다릴 수 없었습니다. Wi-Fi Alliance는 802.1X를 802.11i에 채택하여 Wi-Fi Protected Access (WPA)를 생성하여 WEP의 결함을 기밀 암호 (TKIP를 생성하여 대체)로 수정하기위한 상호 운용 가능한 교차 공급 업체 표준을 정의했습니다. WEP 기반 공유 키 인증 (WPA-PSK를 생성하여 대체) 및 802.1X를 사용하여 사용자 별 또는 장치 별 인증 방법을 제공합니다.

그런 다음 IEEE 802.11i 작업 그룹은 AES-CCMP를 미래의 기밀 암호로 선택하고 802.1X를 채택하여 802.11에 대한 사용자 별 및 장치 별 인증을 위해 무선 네트워크에서 보안을 유지하기위한 특정 제한 사항을 적용했습니다. 무선 LAN. 그 결과 Wi-Fi Alliance는 802.11i 구현 간의 상호 운용성을 인증하기 위해 WPA2를 만들었습니다. (Wi-Fi Alliance는 실제로 interop 인증 및 마케팅 조직이며, IEEE를 실제 WLAN 표준 기관으로 사용하는 것을 선호하지만 IEEE가 너무 숨겨져 업계에 충분히 빠르게 움직이지 않으면 Wi-Fi Fi Alliance는 IEEE보다 먼저 표준 바디와 유사한 작업을 수행하고, 나중에 나오면 관련 IEEE 표준을 연기합니다.)


이봐 요, 평신도의 대답으로 802.1x가 두 개의 논리 포트를 만드는 것에 대해 읽은 부분을 묶을 수 있습니까? 감사합니다
Jason

3
@Jason 좋아요, 업데이트되었습니다. 그런데 802.1X는 독립형 사양 (다른 사양에 대한 부록이 아님)이므로 IEEE 명명 규칙에서는 대문자를 사용합니다. 802.1x가 아니라 802.1X입니다. 이 문제가 발생하는 문서 또는 기사를 볼 때마다 세부 사항에 대한 부주의 및 부주의의 표시로 사용하여 해당 문서 또는 기사에 대한 믿음의 정도에 영향을 미치십시오.
Spiff

따라서 WPA2 / Enterprise는 AES 암호화이고 802.1X는 WEP 암호화입니다. 둘 다 인증에 802.1X를 사용하지만. 그 뒤에 모든 역사가 담긴 매우 철저하게 문서화되었습니다. @Spiff에게 감사드립니다. 저는 두 번 투표 할 수 있기를 바랍니다.
Brain2000

@ 브레인 2000. 조심스럽게 지나치게 단순화 된 진술은 오도의 소지가 있습니다. 일부 AP에는 실제로 의미하는 바가 "동적 WEP가있는 802.11.1X"일 때 오해의 소지가있는 "802.1X"라고하는 엉터리 UI가있는 것이 사실 일 수 있습니다. 그러나 802.1X는 802.11에 국한되지 않은 WEP보다 훨씬 적은 LAN을위한 확장 가능한 인증 프로토콜입니다.
Spiff

@Spiff 당신은 맞습니다, 그것은 같은 드롭 다운에 "WPA2 / Enterprise"와 "802.1X"를 보여주는 엉터리 UI입니다. 결국, 그것은이 전체 질문의 주제입니다. 그렇습니다. 제가 썼던 것이 바로 제가 썼던 것이라고 생각합니다. 지나치게 단순화 된 것이 아닙니다. 당신이 그것을 넣을 때 그것은 엉터리 UI입니다.
Brain2000
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.