IEEE 802.1x

IEEE 802.1

IEEE 802.1X는 포트 기반 Network Access Control(PNAC; 네트워크액세스 컨트롤)의 IEEE 규격입니다.IEEE 802.1 네트워킹 프로토콜 그룹의 일부입니다.LAN 또는 WLAN에 접속하는 디바이스에 인증 메커니즘을 제공합니다.

IEEE 802.1X는 유선 IEEE 802 네트워크[1] 및802.11 무선 네트워크상의 [2]Extensible Authentication Protocol(EAP)[3] 캡슐화를 정의합니다.EAPOL은 원래 IEEE 802.3용으로 지정되어 있습니다.이더넷, IEEE 802.5802.[4]1X-2001에서는 토큰링 및 FDDI(ANSI X3T9.5/X3T12 및 ISO 9314)[5]가 제공되지만 802.1X-2004에서는 IEEE 802.11 무선 등 다른 IEE 802 LAN 테크놀로지에 적합하도록 확장되었습니다.EAPOL도 IEEE 802.1과 함께 사용하도록 변경되었습니다.AE('MACsec') 및 IEEE 802.1802.1X-2010의[6][7] AR(Secure Device Identity, DevID)을 통해 내부 LAN 세그먼트에서 서비스 식별 및 옵션 포인트 투 포인트 암호화를 지원합니다.

개요

EAP 데이터는 처음에 서플리칸트와 오센티케이터 사이의 EAPOL 프레임에 캡슐화된 후 RADIUS 또는 Diameter를 사용하여 오센티케이터와 인증 서버 간에 다시 캡슐화됩니다.

802.1X 인증에는 서플리칸트, 오센티케이터, 인증 서버의 3자가 관여합니다.서플리칸트는 LAN/WLAN에 접속하는 클라이언트 디바이스(노트북 등)입니다.'서플리칸트'라는 용어는 오센티케이터에 credential을 제공하는 클라이언트 상에서 실행되고 있는 소프트웨어를 가리키는 경우에도 서로 바꾸어 사용됩니다.오센티케이터는 클라이언트와 네트워크 간의 데이터 링크를 제공하는 네트워크 디바이스로 이더넷스위치무선 액세스포인트 등의 2개의 네트워크트래픽을 허용 또는 차단할 수 있습니다.인증 서버는 일반적으로 네트워크접근 요구를 수신 및 응답할 수 있는 신뢰할 수 있는 서버입니다.또, auto에 통지할 수 있습니다.연결 허용 여부 및 클라이언트의 연결 또는 설정에 적용해야 하는 다양한 설정.인증 서버는 일반적으로 RADIUS 및 EAP 프로토콜을 지원하는 소프트웨어를 실행합니다.경우에 따라서는, 인증 서버 소프트웨어가 오센티케이터 하드웨어상에서 동작하고 있는 경우가 있습니다.

오센티케이터는 보호된 네트워크에 대한 보안 가드 역할을 합니다.서플리칸트(클라이언트 디바이스)는, 서플리칸트의 ID가 검증되어 허가될 때까지, 오센티케이터를 개입시켜 네트워크의 보호 측에의 액세스가 허가되지 않습니다.802.1X 포트 기반 인증에서는 서플리칸트는 처음에 필요한 credential을 오센티케이터에 제공해야 합니다.이 credential은 네트워크 관리자가 사전에 지정한 것으로, 유저명/패스워드 또는 허가된 디지털 증명서를 포함할 수 있습니다.오센티케이터는, 이러한 credential을 인증 서버에 전송 해, 액세스를 허가할지를 결정합니다.인증 서버는, credential이 유효하다고 판단되면, 오센티케이터에 통지합니다.이것에 의해, 서플리칸트(클라이언트 디바이스)는 네트워크의 보호된 측에 [8]있는 리소스에 액세스 할 수 있게 됩니다.

프로토콜 조작

EAPOL은 데이터 링크층에서 동작하며 Ethernet II 프레이밍 프로토콜의 EtherType 값은 0x888E입니다.

포트 엔티티

802.1X-2001은 인증된 포트의 2개의 논리 포트 엔티티, 즉 "제어 포트"와 "제어되지 않은 포트"를 정의합니다.제어 포트는 802.1X PAE(Port Access Entity)에 의해 제어된 포트와의 네트워크트래픽 송수신을 허가(허가 스테이트) 또는 금지(무허가 스테이트)하도록 조작됩니다.제어되지 않은 포트는 802.1X PAE에서 EAPOL 프레임을 송수신하기 위해 사용됩니다.

802.1X-2004는 서플리칸트에 대응하는 포트 엔티티를 정의합니다.따라서 802.1X-2004를 실장하는 서플리칸트는 인증이 정상적으로 완료된 내용이 아닌 경우 상위 수준의 프로토콜이 사용되지 않을 수 있습니다.는 상호 인증을 제공하는EAP 방식을 사용하는 경우 특히 유용합니다.서플리칸트는 무허가 네트워크에 접속했을 때 데이터 유출을 방지할 수 있기 때문입니다.

일반적인 인증 진행

일반적인 인증 순서는 다음과 같습니다.

802.1X 진행 시퀀스도
  1. 초기화 새로운 서플리칸트를 검출하면, 스위치(인증자)의 포토가 네이블이 되어, 「무허가」스테이트로 설정됩니다.이 상태에서는 802.1X 트래픽만 허용되며, Internet Protocol(TCPUDP) 의 기타 트래픽은 폐기됩니다.
  2. Initiation 인증을 시작하기 위해 오센티케이터는 EAP-Request Identity 프레임을 특별한 레이어2 주소(01:80)에 정기적으로 송신합니다.C2:00:00:03)를 설정합니다.서플리칸트는 이 주소를 리슨하고 EAP-Request Identity 프레임을 수신하면 사용자 ID 등의 서플리칸트의 ID를 포함한EAP-Response Identity 프레임으로 응답합니다.다음으로 오센티케이터는 이 ID 응답을 RADIUS Access-Request 패킷에 캡슐화하여 인증 서버로 전송합니다.서플리칸트는 EAPOL-Start 프레임을 오센티케이터에 송신함으로써 인증을 개시 또는 재개할 수도 있습니다.오센티케이터는 EAP-Request Identity 프레임으로 응답합니다.
  3. 네고시에이션(기술적으로는 EAP 네고시에이션)인증 서버는 응답(RADIUS Access-Challenge 패킷에 캡슐화됨)을 오센티케이터에 송신합니다.이 응답에는 EAP 방식(서플리칸트가 실행하는EAP 기반 인증 유형)을 지정하는 EAP 요구가 포함됩니다.오센티케이터는 EAPOL 프레임에 EAP 요구를 캡슐화하여 서플리칸트로 전송합니다.이 시점에서 서플리칸트는 요청된EAP 방식을 사용하기 시작하거나 NAK("네거티브 확인 응답")를 실행하여 실행하는EAP 방식을 사용하여 응답할 수 있습니다.
  4. 인증 인증 서버와 서플리칸트가 EAP 방식에 합의하면 인증 서버가 EAP-Success 메시지(RADIUS Access-Accept 패킷에 캡슐화됨) 또는 EAP 장애 메시지로 응답할 때까지 서플리칸트와 인증 서버(오센티케이터에 의해 변환됨) 간에 EAP 요구와 응답이 전송됩니다.essage(RADIUS Access-Reject 패킷에 캡슐화).인증에 성공하면 오센티케이터는 포트를 "authorized" 상태로 설정하고 일반 트래픽을 허용합니다.이 상태가 실패하면 포트는 "unauthorized" 상태로 유지됩니다.서플리칸트가 로그오프하면 EAPOL-logoff 메시지가 오센티케이터에 송신됩니다.오센티케이터는 포트를 "무허가" 상태로 설정하고 다시 모든 EAP 트래픽을 차단합니다.

실장

Open1X로 알려진 오픈소스 프로젝트는 클라이언트 Xsupplicant를 생성합니다.이 클라이언트는 현재 Linux와 Windows 모두에서 사용할 수 있습니다.Open1X 클라이언트의 주요 단점은 이해하기 쉽고 광범위한 사용자 설명서를 제공하지 않으며 대부분의 Linux 벤더가 해당 문서를 위한 패키지를 제공하지 않는다는 것입니다.보다 일반적인 wpa_supplicant는 802.11 무선 네트워크 및 유선 네트워크에 사용할 수 있습니다.둘 다 매우 광범위한 EAP [9]유형을 지원합니다.

iPhoneiPod Touch는 iOS 2.0 릴리스에서 802.1X를 지원하며 Android는 1.6 도넛 출시 이후 802.1X를 지원합니다.Chrome OS는 2011년 [10]중반부터 802.1X를 지원하고 있습니다.

macOS는 10.[11]3부터 네이티브 지원을 제공하고 있습니다.

Avenda Systems는 Windows, LinuxMacOS용 서플리칸트를 제공합니다.또한 Microsoft NAP [12]프레임워크용 플러그인도 있습니다.아벤다는 건강검진제도 제공한다.

창문들

인증 실패 후 20분간 802.1X 인증요구에 응답하지 않도록 Windows가 디폴트로 설정되어 있습니다.이로 인해 클라이언트에 중대한 장애가 발생할 수 있습니다.

블록 기간은 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Dot3svc\BlockTime[13] DWORD 값(무선 네트워크의 경우 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime)을 사용하여 설정할 수 있습니다.Windows XP SP3 및 Windows Vista SP2에서 기간을 [14]구성하기 위해서는 핫픽스가 필요합니다.

와일드카드 서버 증명서는 운영 [15]체제에서 EAPHost를 지원하는 Windows 컴포넌트에서는 지원되지 않습니다.이는 상업용 인증기관을 사용할 때 개별 인증서를 구입해야 한다는 것을 의미합니다.

윈도 XP

Windows XP 에서는,[16] VLAN 및 클라이언트의 서브넷을 변경하는 유저 베이스의 802.1X 인증에 의한 IP 주소의 변경 처리에 큰 문제가 있습니다.Microsoft 에서는, 이러한 [17]문제를 해결하는 SSO 기능을 Vista 로부터 백포트 하지 않는 것으로 하고 있습니다.

사용자가 로밍 프로파일을 사용하여 로그인하지 않은 경우 PEAP-MSCHAPv2를 [18]사용하여 PEAP를 통해 인증할 경우 핫픽스를 다운로드하여 설치해야 합니다.

윈도 비스타

IP Phone 경유로 접속되어 있는 Windows Vista 베이스의 컴퓨터는, 예상대로 인증되지 않는 경우가 있어, 결과적으로 클라이언트가 잘못된 VLAN 에 배치되는 일이 있습니다.이를 [19]수정하기 위한 핫픽스를 사용할 수 있습니다.

윈도 7

IP Phone 경유로 접속되어 있는 Windows 7 베이스의 컴퓨터는, 예상대로 인증되지 않는 경우가 있어, 결과적으로 클라이언트가 잘못된 VLAN 에 배치되는 일이 있습니다.이를 [19]수정하기 위한 핫픽스를 사용할 수 있습니다.

초기 802.1X 인증 실패 후 Windows 7은 802.1X 인증 요구에 응답하지 않습니다.이로 인해 클라이언트에 중대한 장애가 발생할 수 있습니다.이를 [20]수정하기 위한 핫픽스를 사용할 수 있습니다.

Windows PE

대부분의 기업에서 운영체제를 리모트로 도입 및 롤아웃 할 경우 Windows PE는 802.1X를 네이티브로 지원하지 않습니다.다만, Microsoft 가 제공하는 핫 픽스를 사용하고, WinPE 2.1 및[21] WinPE 3.0 에[22] 서포트를 추가할 수 있습니다.완전한 매뉴얼은 아직 입수할 수 없지만, 이러한 핫픽스 사용에 관한 예비 매뉴얼은 Microsoft [23]블로그를 통해 입수할 수 있습니다.

리눅스

대부분의 Linux 디스트리뷰션에서는 wpa_supplicant 및 Network Manager 의 데스크톱 통합을 통해 802.1X를 지원합니다.

페더레이션

eduroam(국제 로밍 서비스)은 다른 [24]eduroam 지원 기관에서 방문한 게스트에게 네트워크 액세스를 제공할 때 802.1X 인증을 사용하도록 의무화하고 있습니다.

BT(British Telecom, PLC)는 다양한 산업 및 [25]정부에 제공되는 서비스에서 인증에 Identity Federation을 사용합니다.

독자적인 확장 기능

MAB(MAC 인증 바이패스)

모든 디바이스가 802.1X 인증을 지원하는 것은 아닙니다.예를 들면, 네트워크 프린터, 환경 센서, 카메라, 무선 전화등의 이더넷 베이스의 전자 기기등이 있습니다.이러한 디바이스를 보호된 네트워크 환경에서 사용하려면 다른 메커니즘을 사용하여 인증해야 합니다.

그 포토로 802.1X 를 디세블로 하는 방법도 있습니다만, 그 포토는 보호되고 있지 않고, 오용될 가능성이 있습니다.조금 더 신뢰성 높은 다른 옵션은 MAB 옵션을 사용하는 것입니다.포트에 MAB가 설정되어 있는 경우 해당 포트는 먼저 접속된 디바이스가 802.1X에 준거하고 있는지 여부를 확인하려고 합니다.접속된 디바이스로부터 응답이 수신되지 않으면 접속된 디바이스의 MAC 주소를 사용자 이름과 비밀번호로 사용하여 AAA 서버에 대한 인증을 시도합니다.그 후, 네트워크 관리자는, 이러한 MAC 주소를 통상의 유저로서 추가하거나, 네트워크인벤토리 데이타베이스로 해결하기 위한 로직을 실장하는 것으로써, 이러한 MAC 주소를 인증하기 위해서 RADIUS 서버에 프로비저닝 할 필요가 있습니다.

많은 관리 이더넷스위치에서는[26] 이 옵션을 제공하고 있습니다.

802.1X-2001 및 802.1X-2004의 취약성

공유 미디어

2005년 여름, Microsoft의 Steve Riley는 (Microsoft MVP Svyatoslav Pidgorny의 원래 연구에 근거해) 802.1X 프로토콜의 심각한 취약성에 대해 자세히 설명하는 기사를 게재했습니다.중간 공격에 가담한 사람이 포함되어 있습니다.요약하면 이 결함은 802.1X가 연결을 시작할 때만 인증되지만 인증 후 공격자가 인증된 컴퓨터와 포트 사이에 물리적으로 자신을 삽입할 수 있는 기능(예: 워크그룹 허브 사용)이 있으면 인증된 포트를 사용할 수 있습니다.Riley는 유선 네트워크의 경우 IPsec을 사용하거나 IPsec과 802.1X를 조합하는 것이 더 [27]안전하다고 제안합니다.

802.1X 서플리칸트에 의해 송신된EAPOL-Logoff 프레임은 클리어 상태로 송신되며 클라이언트를 [28]최초로 인증한 credential 교환에서 파생된 데이터는 포함되지 않습니다.따라서 공유 미디어에서는 스푸핑이 매우 용이하며 유선 LAN과 무선 LAN 모두에서 타깃 DoS의 일부로 사용할 수 있습니다.EAPOL-Logoff 공격에서는 오센티케이터가 접속되어 있는 미디어에 액세스 할 수 있는 악의적인 서드파티가 타깃디바이스의 MAC 주소에서 위조된EAPOL-Logoff 프레임을 반복적으로 송신합니다.오센티케이터(타깃 디바이스가 인증 세션의 종료를 희망한다고 생각)는 타겟의 인증 세션을 닫고 타깃에서 들어오는 트래픽을 차단하고 네트워크에 대한 액세스를 거부합니다.

802.1af로 시작된802.1X-2010 사양에서는 MACSec IEEE 802.1을 사용하여 이전 802.1X 사양의 취약성에 대처하고 있습니다.논리 포트(물리 포트 상단에서 실행)와 IEEE 802.1 사이의 데이터를 암호화하는 AEAR(Secure Device Identity/DevID) 인증 디바이스.[6][7][29][30]

임시방편으로 이러한 확장기능이 광범위하게 구현될 때까지 일부 벤더는 802.1X-2001 및 802.1X-2004 프로토콜을 확장하여 단일 포트에서 여러 인증 세션을 동시에 수행할 수 있도록 했습니다.이것에 의해, 인증되지 않은 MAC 주소를 가지는 디바이스로부터의 트래픽이 802.1X 인증 포토에 착신하는 것은 방지되지만, 인증 끝난 디바이스로부터의 트래픽에 대한 악의적인 디바이스 스누핑은 정지하지 않고, MAC 스푸핑이나 EAPOL-Logoff 공격으로부터 보호되지 않습니다.

대체 수단

IETF가 지원하는 대체 방법은 네트워크액세스용 인증 반송 프로토콜(PANA)입니다.이 프로토콜은 레이어 3에서 동작하며 UDP를 사용하므로 802 인프라스트럭처에 [31]얽매이지 않습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "EAP Usage Within IEEE 802". Extensible Authentication Protocol (EAP). sec. 3.3. doi:10.17487/RFC3748. RFC 3748.
  2. ^ "Link Layer". Extensible Authentication Protocol (EAP). sec. 7.12. doi:10.17487/RFC3748. RFC 3748.
  3. ^ IEEE 802.1X-2001, © 7
  4. ^ IEEE 802.1X-2001, © 7.1 및 7.2
  5. ^ IEEE 802.1X-2004, © 7.6.4
  6. ^ a b IEEE 802.1X-2010, 페이지 iv
  7. ^ a b IEEE 802.1X-2010, © 5
  8. ^ "802.1X Port-Based Authentication Concepts". Archived from the original on 2012-10-14. Retrieved 2008-07-30.
  9. ^ "eap_testing.txt from wpa_supplicant". Retrieved 2010-02-10.
  10. ^ Sheth, Rajen (August 10, 2011). "The computer that keeps getting better". Google Cloud Official Blog. Retrieved 2022-07-02.
  11. ^ Negrino, Tom; Smith, Dori (2003). Mac OS X Unwired: A Guide for Home, Office, and the Road. O'Reilly Media. p. 19. ISBN 978-0596005085. Retrieved 2022-07-02.
  12. ^ "NAP clients for Linux and Macintosh are available". Network Access Protection (NAP) team blog. 2008-12-16.
  13. ^ "20 minute delay deploying Windows 7 on 802.1x? Fix it here!". Dude where's my PFE? blog. 2013-01-24.
  14. ^ "A Windows XP-based, Windows Vista-based or Windows Server 2008-based computer does not respond to 802.1X authentication requests for 20 minutes after a failed authentication". Microsoft Support. 2009-09-17. Retrieved 2022-07-03.
  15. ^ "EAPHost in Windows Vista and Longhorn (January 18, 2006)". Microsoft Docs. 2007-01-18. Retrieved 2022-07-03.
  16. ^ "You experience problems when you try to obtain Group Policy objects, roaming profiles, and logon scripts from a Windows Server 2003-based domain controller". Microsoft Support. 2007-09-14. Archived from the original on 2008-04-22. Retrieved 2010-02-10.
  17. ^ "802.1x with dynamic vlan switching - Problems with Roaming Profiles". Microsoft TechNet Forums. Archived from the original on 2011-08-24. Retrieved 2010-02-10. With Vista, this is not a problem at all with the SSO feature, however, this feature does not exist in XP and unfortunately, we do not have any plans to backport this feature to XP as it is just too complex a change.
  18. ^ "A Windows XP Service Pack 3-based client computer cannot use the IEEE 802.1X authentication when you use PEAP with PEAP-MSCHAPv2 in a domain". Microsoft support. 2009-04-23. Archived from the original on 2010-03-16. Retrieved 2010-03-23.
  19. ^ a b "A computer that is connected to an IEEE 802.1X authenticated network through a VOIP phone does not connect to the correct network after you resume it from Hibernate mode or Sleep mode". Microsoft Support. 2010-02-08. Retrieved 2022-07-03.
  20. ^ "No response to 802.1X authentication requests after authentication fails on a computer that is running Windows 7 or Windows Server 2008 R2". Microsoft Support. 2010-03-08. Archived from the original on 2010-11-14. Retrieved 2010-03-23.
  21. ^ "Windows PE 2.1 does not support the IEEE 802.1X authentication protocol". Microsoft Support. 2009-12-08. Archived from the original on 2010-03-05. Retrieved 2010-02-10.
  22. ^ "The IEEE 802.1X authentication protocol is not supported in Windows Preinstall Environment (PE) 3.0". Microsoft Support. 2009-12-08. Retrieved 2022-07-03.
  23. ^ "Adding Support for 802.1X to WinPE". The Deployment Guys blog. 2010-03-02. Archived from the original on 2011-06-17. Retrieved 2010-03-03.
  24. ^ "How does eduroam work?". eduroam. Retrieved 2022-07-03.
  25. ^ "BT Identity and Access Management" (PDF). Archived from the original (PDF) on 2011-06-13. Retrieved 2010-08-17.
  26. ^ "Dell PowerConnect 6200 series CLI Guide" (PDF). p. 622, Revision: A06-March 2011. Archived from the original (PDF) on 2012-11-18. Retrieved 26 January 2013.
  27. ^ Riley, Steve (2005-08-09). "Mitigating the Threats of Rogue Machines—802.1X or IPsec?". Microsoft Docs. Retrieved 2022-07-03.
  28. ^ IEEE 802.1X-2001, © 7.1
  29. ^ "2 February 2010 Early Consideration Approvals". Standards.ieee.org. Archived from the original on 2010-07-06. Retrieved 2010-02-10.
  30. ^ "IEEE 802.1: 802.1X-2010 - Revision of 802.1X-2004". Ieee802.org. 2010-01-21. Archived from the original on 2010-03-04. Retrieved 2010-02-10.
  31. ^ Philip Golden; Hervé Dedieu; Krista S. Jacobsen (2007). Implementation and Applications of DSL Technology. Taylor & Francis. pp. 483–484. ISBN 978-1-4200-1307-8.

외부 링크