IEEE 802.1X

IEEE 802.1X 는 포트 기반 네트워크 액세스 제어 (PNAC)를 위한 IEEE 표준 입니다 . 이것은 네트워킹 프로토콜 의 IEEE 802.1 그룹의 일부입니다 . LAN 또는 WLAN 에 연결하려는 장치에 인증 메커니즘을 제공합니다 .

IEEE 802.1X는 "EAP over LAN"또는 EAPOL로 알려진 IEEE 802 , ^[1] [2] 를 통한 EAP ( Extensible Authentication Protocol) 의 캡슐화를 정의합니다 . ^[3] EAPOL은 원래 802.1X-2001에서 IEEE 802.3 이더넷 용으로 설계 되었지만 802.1X-2004의 IEEE 802.11 무선 및 광섬유 분산 데이터 인터페이스 (ISO 9314-2) 와 같은 다른 IEEE 802 LAN 기술에 적합하도록 명확 해졌습니다 . ^[4] EAPOL 프로토콜은 802.1X-2010에서 IEEE 802.1AE ( "MACsec") 및 IEEE 802.1AR (보안 장치 아이덴티티, DevID) 와 함께 사용하도록 수정되었습니다 ^[5] [6] 로컬 LAN 세그먼트를 통한 서비스 식별 및 선택적 지점 간 암호화를 지원합니다.

 

 

개요 [ 편집 ]

EAP 데이터는 먼저 Supplicant와 Authenticator 사이의 EAPOL 프레임에 캡슐화 된 다음 RADIUS 또는 Diameter를 사용하여 인증 자와 인증 서버간에 다시 캡슐화 됩니다.

802.1X 인증에는 신청자, 인증 자 및 인증 서버의 세 당사자가 필요합니다. 요청자 A는 클라이언트 는 LAN / WLAN에 접속하기를 원하는 (예를 들면, 랩탑) 장치. 또한 '요청자'라는 용어는 인증 자에게 자격 증명을 제공하는 클라이언트에서 실행되는 소프트웨어를 나타 내기 위해 서로 바꿔서 사용됩니다. 인증자는 같은 같은 네트워크 장치 인 이더넷 스위치 또는 무선 액세스 포인트 ; 상기 인증 서버는 상기지지 호스트 운영 소프트웨어 전형적으로 RADIUS 및 EAP는프로토콜. 경우에 따라 인증 서버 소프트웨어가 인증 자 하드웨어에서 실행 중일 수 있습니다.

인증자는 보호 된 네트워크의 보안 보호 역할을합니다. 서 플리 컨트 (즉, 클라이언트 디바이스)는 서 플리 컨트의 신원이 검증되고 인증 될 때까지 인증자를 통해 네트워크의 보호 된쪽에 액세스 할 수 없습니다. 이것에 비유하는 것은 입국 허가를 받기 전에 공항 입국 심사에서 유효한 비자를 발급하는 것입니다. 802.1X 포트 기반 인증을 사용하면 요청자는 사용자 이름 / 암호 또는 디지털 인증서 와 같은 자격 증명을 인증 자에게 제공하고 인증자는 인증을 위해 자격 증명을 인증 서버로 전달합니다. 인증 서버가 자격 증명이 유효하다고 판단하면 요청자 (클라이언트 장치)는 네트워크의 보호 된쪽에있는 리소스에 액세스 할 수 있습니다. ^[7]

프로토콜 조작 [ 편집 ]

EAPOL은 상기 동작 네트워크 계층 의 상위에 데이터 링크 층 과의 이더넷 II 프레이밍 프로토콜은 보유 하는 EtherType를 0x888E의 값.

포트 엔티티 [ 편집 ]

802.1X-2001은 인증 된 포트 ( "제어 포트"및 "제어되지 않은 포트")에 대해 두 개의 논리 포트 엔티티를 정의합니다. 제어 포트는 802.1X PAE (포트 액세스 엔티티)에 의해 조작되어 (허가되지 않은 상태에서) 네트워크 트래픽이 제어 포트로 들어오고 나가는 것을 허용합니다. 제어되지 않은 포트는 802.1X PAE에서 EAPOL 프레임을 송수신하기 위해 사용됩니다.

802.1X-2004는 요청자와 동일한 포트 엔티티를 정의합니다. 따라서 802.1X-2004를 구현하는 요청자는 인증이 성공적으로 완료되었다는 내용이 아니라면 상위 프로토콜이 사용되는 것을 막을 수 있습니다. 이는 승인 자가 승인되지 않은 네트워크에 연결되었을 때 데이터 유출을 막을 수 있기 때문에 상호 인증을 제공하는 EAP 방법을 사용할 때 특히 유용 합니다.

일반적인 인증 진행 [ 편집 ]

일반적인 인증 절차는 다음과 같이 구성됩니다.

802.1X 진행 시퀀스 다이어그램

1. 초기화 새로운 요청자가 감지되면 스위치 (인증 자)의 포트가 활성화되고 "인증되지 않은"상태로 설정됩니다. 이 상태에서는 802.1X 트래픽 만 허용됩니다. 인터넷 프로토콜 ( TCP 와 UDP ) 과 같은 다른 트래픽 은 삭제됩니다.
2. 개시는 로컬 네트워크 세그먼트 (03 : 80 : C2 : 00 : 00 : 01)의 인증을 주기적으로 특정 레이어 2 어드레스-EAP 아이덴티티 요청 프레임을 전송할 인증을 개시한다. 서 플리 컨트는이 주소를 청취하고, EAP-Request Identity 프레임을 수신하면 User ID와 같은 요청자 식별자를 포함하는 EAP-Response Identity 프레임으로 응답합니다. 인증자는 그런 다음이 Identity 응답을 RADIUS 액세스 요청 패킷에 캡슐화하고이를 인증 서버로 전달합니다. 서 플리 컨트는 EAPOL 시작 프레임을 인증 자에게 전송함으로써 인증을 시작하거나 재시작 할 수 있으며, 그러면 EAP-Request Identity 프레임으로 응답합니다.
3. 협상 (기술적 인 EAP 협상) 인증 서버는 EAP 방법 (요청자가 수행하기를 원하는 EAP 기반 인증 유형)을 지정하는 EAP 요청을 포함하는 인증 자에게 응답 (RADIUS 액세스 챌린지 패킷에 캡슐화 됨)을 보냅니다. 인증자는 EAPOL 프레임에 EAP 요청을 캡슐화하고이를 요청자에게 전송합니다. 이 시점에서 요청자는 요청 된 EAP 방법을 사용하거나 NAK ( "Negative Acknowledgement")를 수행하고 수행하려는 EAP 방법으로 응답 할 수 있습니다.
4. 인증 인증 서버와 요청자가 EAP 방법에 동의하면 인증 서버가 EAP 성공 메시지 (RADIUS 액세스에 캡슐화 됨)로 응답 할 때까지 EAP 요청과 응답이 요청자와 인증 서버간에 전송됩니다 -Accept packet) 또는 EAP-Failure 메시지 (RADIUS Access-Reject 패킷에 캡슐화 됨)를 포함 할 수 있습니다. 인증에 성공하면 인증자가 포트를 "허가 된"상태로 설정하고 정상적인 트래픽이 허용됩니다. 실패한 경우 포트는 "인증되지 않은"상태로 유지됩니다. 요청자가 로그 오프하면 EAPOL-logoff 메시지를 인증 자에게 보내고, 인증자는 인증되지 않은 상태로 포트를 설정하여 다시 비 EAP 트래픽을 모두 차단합니다.

구현 [ 편집 ]

지지자 [ 편집 ]

주요 기사 : Supplicant (컴퓨터)

Windows XP , Windows Vista 및 Windows 7 은 기본적으로 모든 네트워크 연결에 대해 802.1X를 지원합니다. Windows 2000 은 최신 서비스 팩 (SP4)에서 유선 연결을 지원합니다. Windows Mobile 2003 이상 운영 체제에는 기본 802.1X 클라이언트도 함께 제공됩니다.

로 알려진 오픈 소스 프로젝트 Open1X는 , 클라이언트를 생산 xsupplicant에 . 이 클라이언트는 현재 Linux와 Windows에서 모두 사용할 수 있습니다. Open1X 클라이언트 의 주요 단점은 이해할 수 있고 광범위한 사용자 문서와 대부분의 Linux 공급 업체가 패키지를 제공하지 않는다는 것입니다. 보다 일반적인 wpa_supplicant 는 802.11 무선 네트워크 및 유선 네트워크에 사용될 수 있습니다 . 두 제품 모두 매우 광범위한 EAP 유형을 지원합니다. ^[8]

아이폰 과 아이팟 터치 의 출시로 지원 802.1X 아이폰 OS 2.0. 안드로이드 는 1.6 도넛 출시 이후 802.1X를 지원합니다. Chrome OS 는 2011 년 중반 이후 802.1X를 지원합니다. ^[9]

Mac OS X 은 10.3 부터 기본 지원을 제공했습니다 . ^[10]

Avenda Systems 는 Windows , Linux 및 Mac OS X에 대한 인증 요청자를 제공합니다 . 또한 Microsoft NAP 프레임 워크 용 플러그인도 있습니다 . ^[11] Avenda는 건강 검진 요원도 제공합니다.

윈도우 [ 편집 ]

Windows는 인증 실패 후 20 분 동안 802.1X 인증 요청에 기본적으로 응답하지 않습니다. 이로 인해 클라이언트에 심각한 혼란이 발생할 수 있습니다.

블록 기간은 레지스트리의 BlockTime 값을 사용하여 구성 할 수 있습니다. 핫픽스 기간을 구성 할 수 있도록 윈도우 XP SP3 및 Windows Vista SP2가 필요합니다. ^[12]

와일드 카드 서버 인증서는 운영 체제에서 EAP 지원을 제공하는 Windows 구성 요소 인 EAPHost에서 지원하지 않습니다. ^[13] 이 의미는 상용 인증 기관을 사용할 때 개별 인증서를 구입해야한다는 것입니다.

Windows XP [ 편집 ]

Windows XP는 VLAN 및 따라서 클라이언트의 서브넷을 변경하는 사용자 기반 802.1X 인증의 결과로 발생하는 IP 주소 변경을 처리하는 데 중요한 문제가 있습니다. ^[14] Microsoft는 Vista에서이 문제를 해결 하는 SSO 기능을 다시 포팅하지 않을 것이라고 말했습니다 . ^[15]

사용자가 로밍 프로필로 로그인하지 않는 경우 PEAP-MSCHAPv2를 사용하여 PEAP를 통해 인증하는 경우 핫픽스를 다운로드하여 설치해야합니다. ^[16]

윈도우 비스타 [ 편집 ]

IP 전화를 통해 연결된 Windows Vista 기반 컴퓨터가 예상대로 인증되지 않아 클라이언트가 잘못된 VLAN에 배치 될 수 있습니다. 이 문제를 해결하는 핫픽스를 사용할 수 있습니다. ^[17]

윈도우 7 [ 편집 ]

IP 전화를 통해 연결된 Windows 7 기반 컴퓨터가 예상대로 인증되지 않아 클라이언트가 잘못된 VLAN에 배치 될 수 있습니다. 이 문제를 해결하는 핫픽스를 사용할 수 있습니다. ^[17]

초기 802.1X 인증이 실패한 후 Windows 7은 802.1X 인증 요청에 응답하지 않습니다. 이로 인해 클라이언트에 심각한 혼란이 발생할 수 있습니다. 이 문제를 해결하는 핫픽스를 사용할 수 있습니다. ^[18]

윈도우 PE [ 편집 ]

운영 체제를 원격으로 배포 및 배포하는 대부분의 기업에서는 Windows PE 가 기본적으로 802.1X를 지원하지 않는다는 점에 유의 해야합니다. 그러나 Microsoft에서 제공하는 핫픽스를 통해 WinPE 2.1 ^[19] 및 WinPE 3.0 ^[20]에 지원을 추가 할 수 있습니다 . 전체 설명서는 아직 제공되지 않지만 Microsoft 블로그를 통해 이러한 핫픽스를 사용할 수있는 예비 설명서를 구할 수 있습니다. ^[21]

OS X 요세미티 ^[22][ 편집 ]

우분투 [ 편집 ]

우분투에는 기본적으로 WPA-Supplicant가 설치되어 있습니다. ^[23]

연합 [ 편집 ]

eduroam (국제 로밍 서비스)은 다른 eduroam 지원 기관에서 방문한 손님에게 네트워크 액세스를 제공 할 때 802.1X 인증 사용을 의무화합니다. ^[24]

BT (British Telecom, PLC)는 다양한 산업 및 정부에 제공되는 서비스에서 인증을 위해 ID 연합을 고용합니다. ^[25]

독점적 인 확장 [ 편집 ]

MAB (MAC 인증 우회) [ 편집 ]

일부 장치는 802.1X 인증을 지원하지 않습니다. 네트워크 프린터, 환경 센서, 카메라 및 무선 전화와 같은 이더넷 기반 전자 장치를 예로들 수 있습니다. 보호 된 네트워크 환경에서 사용되는 장치의 경우 인증을 위해 대체 메커니즘을 제공해야합니다.

한 가지 옵션은 해당 포트에서 802.1X를 비활성화하는 것이지만이 포트는 보호되지 않고 남용을 위해 열어 둡니다. 약간 더 신뢰할 수있는 또 다른 옵션은 MAB 옵션을 사용하는 것입니다. 포트에 MAB가 구성된 경우 해당 포트는 먼저 연결된 장치가 802.1X와 호환되는지 확인하고 연결된 장치에서 아무 반응이없는 경우 연결된 장치의 MAC 주소를 사용하여 AAA 서버로 인증을 시도합니다 사용자 이름과 암호로. 그런 다음 네트워크 관리자 는 일반 사용자로 추가하거나 네트워크 인벤토리 데이터베이스에서이를 해결하기위한 추가 로직을 구현하여 MAC 주소를 인증 하도록 RADIUS 서버 에 조항을 만들어야 합니다.

많은 관리 이더넷 스위치 ^[26] [27] 는이를위한 옵션을 제공합니다.

802.1X-2001 및 802.1X-2004의 취약점 [ 편집 ]

공유 미디어 [ 편집 ]

2005 년 여름 MS의 스티브 라일리 (Steve Riley)는 802.1X 프로토콜에 중대한 공격을 가하는 사람을 포함하는 심각한 취약점을 자세히 설명하는 기사를 올렸다 . 요약하자면 802.1X가 연결 초기에만 인증한다는 사실에서 비롯된다.하지만 인증 후에는 공격자가 실제로 자신을 삽입 할 수있는 능력이 있다면 (아마도 작업 그룹을 사용하여) 허브)를 인증 된 컴퓨터와 포트 사이에 연결합니다. 라일리 (Riley)는 유선 네트워크의 경우 IPsec 또는 IPsec과 802.1X를 함께 사용하는 것이 더 안전 할 수 있다고 제안했습니다 . ^[28]

802.1X 요청자가 전송 한 EAPOL-Logoff 프레임은 깨끗한 상태로 전송되며 처음에는 클라이언트를 인증 한 자격 증명 교환에서 파생 된 데이터가 없습니다. ^[29] 그들은 공유 매체에 따라서 스푸핑 사소 용이하고, 타겟의 일부로서 사용될 수있는 서비스 거부 유선 및 무선 LAN에 대한. EAPOL-Logoff 공격에서 인증자가 연결된 매체에 대한 액세스 권한이있는 악의적 인 제 3자가 반복적으로 대상 장치의 MAC 주소에서 위조 된 EAPOL-Logoff 프레임을 보냅니다. 인증 자 (대상 장치가 인증 세션을 종료하려고한다고 믿음)는 대상의 인증 세션을 닫고 대상에서 들어오는 트래픽을 차단하여 네트워크에 대한 액세스를 거부합니다.

802.1af로 시작된 802.1X-2010 사양은 MACSec IEEE 802.1AE 를 사용하여 물리적 포트 상단에서 실행되는 논리 포트와 IEEE 802.1AR (보안 장치 ID (보안 장치 ID )) 사이의 데이터를 암호화 함으로써 이전 802.1X 사양의 취약점을 해결합니다. / DevID) 인증 된 장치. ^{[5] [6] [30] [31]}

이러한 개선 사항이 광범위하게 구현되기 전까지는 일부 공급 업체가 802.1X-2001 및 802.1X-2004 프로토콜을 확장하여 단일 포트에서 여러 동시 인증 세션을 수행 할 수있게되었습니다. 이렇게하면 인증되지 않은 MAC 주소가있는 장치에서 802.1X 인증 포트로 들어오는 트래픽을 차단할 수 있지만 인증 된 장치의 트래픽을 스누핑하는 악성 장치를 막지 않으며 MAC 스푸핑 이나 EAPOL- 로그 오프 공격을 차단하지 않습니다.

 

대안 [ 편집 ]

IETF가 지원하는 대안은 PANA ( 네트워크 액세스 인증)를위한 프로토콜로 , EAP를 전달하지만 계층 3에서 작동하지만 UDP를 사용하므로 802 인프라에 연결되지 않습니다

 

출처 : 위키피디아 https://en.wikipedia.org/wiki/IEEE_802.1X