IEEE 802.1X

3. 동작 방식

802.1X 인증은 서플리컨트(Supplicant), 인증자(Authenticator), 인증 서버 간의 상호 작용을 통해 이루어진다.^[9]

유선 LAN 환경에서는 802.1X를 지원하는 LAN 스위치에 PC와 같은 단말이 접속될 때 인증 절차가 시작되어, 해당 단말의 LAN 접속 허용 여부를 결정한다. 무선 LAN 환경에서는 어소시에이션 후에 인증 절차가 진행되어, 해당 단말의 LAN 접속 허용 여부를 결정한다.

IEEE 802.1X를 사용한 인증 동작은 연결, EAP(확장 인증 프로토콜)에 의한 인증, 인증 완료의 3단계로 이루어진다.

3. 1. 구성 요소

3. 2. 인증 절차

• 연결
• EAP(확장 인증 프로토콜)에 의한 인증
• 인증 완료

3. 3. 포트 엔티티

4. EAP (확장 인증 프로토콜)

EAP은 인증 LAN 스위치를 통해 인증 서버와 여러 번 메시지를 주고받으며 인증하는 방식이다. 서플리컨트의 MAC 프레임은 인증 LAN 스위치에 의해 RADIUS 프레임으로 변환되어 인증 서버로 전송되고, 인증 서버에서 반환되는 RADIUS 프레임은 다시 MAC 프레임으로 변환되어 서플리컨트로 전송된다. 인증 LAN 스위치는 서플리컨트 PC로부터 인증 서버 이외의 통신은 받지 않는다.

802.1X에서 사용 가능한 EAP에는 여러 종류가 있지만, 서플리컨트와 인증 서버 양쪽 모두에서 지원해야 한다.

4. 1. 주요 EAP 방식

• '''EAP-MD5''' (EAP-Message digest algorithm 5)는 ID와 비밀번호로 인증하는 방식이다. 비밀번호는 챌린지 & 응답 방식으로 암호화되어 전송된다. 무선 LAN에서는 안전하지 않다.
• '''EAP-TLS''' (EAP-Transport layer security)는 디지털 전자 인증서를 사용하여 인증하는 방식이다. ID나 비밀번호는 사용되지 않는다. 스마트 카드나 USB 키(동글)와 조합하여 사용하는 경우가 많다. 무선 LAN에서도 거의 안전하다.
• '''PEAP''' (Protected EAP)는 미국 마이크로소프트사가 개발한 EAP 규격으로 ID와 비밀번호로 인증하는 방식이다. SSL(Secure Sockets Layer)과 동일한 암호화 기술로 인증 통신 전체가 암호화되어 있다. 암호화를 위해 인증 서버에 디지털 전자 인증서가 필요하다. 무선 LAN에서도 거의 안전하다.
• '''LEAP''' (Lightweight EAP)는 미국 시스코 시스템즈(Cisco Systems)사가 개발한 EAP 제품이다.
• '''EAP-TTLS''' (EAP-Tunneled transport layer security)는 미국 펑크 소프트웨어사(Funk Software)가 개발한 EAP 제품이다.

4. 2. 운영체제 지원

• '''Windows''': Windows 2000 SP4 이후 버전부터 EAP-TLS와 PEAP를 지원하며, Windows XP 이후 버전부터는 EAP-MD5, EAP-TLS, PEAP도 지원한다.^[10] Windows XP는 사용자 기반 802.1X 인증으로 인해 VLAN과 클라이언트 서브넷이 변경될 때 IP 주소 변경 처리에 심각한 문제가 있었다.^[17] 마이크로소프트는 이러한 문제를 해결하는 SSO 기능을 Vista에서 백포트하지 않을 것이라고 밝혔다.^[18]
• '''macOS''': 10.3부터 기본 지원을 제공해 왔다.^[12] iOS 17 및 macOS 14부터, 애플 기기는 TLS 1.3(EAP-TLS 1.3)을 사용하는 EAP-TLS를 통해 802.1X 네트워크에 연결하는 것을 지원한다.^[25][26]
• '''리눅스''': 대부분의 리눅스 배포판은 wpa_supplicant 및 NetworkManager와 같은 데스크톱 통합을 통해 802.1X를 지원한다.^[10]
• '''안드로이드''': Android 1.6 Donut 출시 이후 802.1X를 지원한다.^[10]
• '''iOS''': 아이폰(iPhone)과 아이팟 터치(iPod Touch)는 iOS 2.0 출시 이후 802.1X를 지원한다.^[10] iOS 17 및 macOS 14부터, 애플 기기는 TLS 1.3(EAP-TLS 1.3)을 사용하는 EAP-TLS를 통해 802.1X 네트워크에 연결하는 것을 지원한다. 또한, iOS/iPadOS/tvOS 17 이상을 실행하는 기기는 유선 802.1X 네트워크를 지원한다.^[25][26]
• '''크롬OS''': 2011년 중반부터 802.1X를 지원한다.^[11]

4. 3. 기타 구현

5. 연결 환경

IEEE 802.1X는 유선 및 무선 LAN 환경에서 네트워크 접근 제어를 제공하는 표준이다.

• 유선 LAN: 802.1X를 지원하는 LAN 스위치에 PC가 접속할 때 인증 절차가 진행되며, 이를 통해 해당 PC의 LAN 접속 허용 여부가 결정된다.
• 무선 LAN: 무선 LAN에서는 어소시에이션 후 인증 절차가 진행되며, 이를 통해 해당 단말의 LAN 접속 허용 여부가 결정된다.

5. 1. 중계 장비

6. 취약점

2005년 여름, 마이크로소프트의 스티브 라일리는 마이크로소프트 MVP 스뱌토슬라프 피고르니의 연구를 바탕으로 중간자 공격과 관련된 802.1X 프로토콜의 심각한 취약점에 대한 기사를 게시했다. 이 결함은 802.1X가 연결 시작 시에만 인증을 수행한다는 사실에서 비롯된다. 인증 후에는 공격자가 인증된 컴퓨터와 포트 사이에 물리적으로 자신을 삽입할 수 있다면(예: 워크그룹 허브 사용), 인증된 포트를 사용할 수 있다. 라일리는 유선 네트워크의 경우, IPsec 또는 IPsec과 802.1X의 조합이 더 안전하다고 제안한다.^[30]

802.1X 서플리컨트(supplicant)가 전송하는 EAPOL-Logoff 프레임은 일반 텍스트로 전송되며, 처음 클라이언트를 인증한 자격 증명 교환에서 파생된 데이터가 포함되어 있지 않다.^[31] 따라서 공유 매체에서 쉽게 스푸핑될 수 있으며 유무선 LAN 모두에서 표적 DoS의 일부로 사용될 수 있다. EAPOL-Logoff 공격에서, 인증기에 연결된 매체에 접근할 수 있는 악의적인 제3자는 대상 장치의 MAC 주소로부터 위조된 EAPOL-Logoff 프레임을 반복적으로 보낸다. 인증기는 (대상 장치가 인증 세션을 종료하려는 것으로 간주) 대상의 인증 세션을 닫고, 대상으로부터 들어오는 트래픽을 차단하여 네트워크에 대한 접근을 거부한다.

802.1X-2010 사양은 802.1af에서 시작되었으며, MACsec IEEE 802.1AE를 사용하여 (물리적 포트 상에서 실행되는) 논리적 포트와 IEEE 802.1AR (Secure Device Identity / DevID) 인증 장치 간의 데이터를 암호화함으로써 이전 802.1X 사양의 취약점을 해결한다.^{[6][32][33][34]}

이러한 향상된 기능이 널리 구현될 때까지 임시 방편으로, 일부 공급업체는 802.1X-2001 및 802.1X-2004 프로토콜을 확장하여 단일 포트에서 여러 개의 동시 인증 세션을 허용한다. 이는 인증되지 않은 MAC 주소를 가진 장치에서 802.1X 인증 포트로 들어오는 트래픽을 방지하지만, 악의적인 장치가 인증된 장치의 트래픽을 스누핑하는 것을 막지는 못하며, MAC 스푸핑 또는 EAPOL-Logoff 공격에 대한 보호 기능을 제공하지 않는다.

7. 확장

(빈칸)

7. 1. MAB (MAC Authentication Bypass)

8. 대안

IETF가 지원하는 대안은 PANA이며, 이는 EAP를 전송하지만, 802 인프라에 묶여 있지 않고 UDP를 사용하여 레이어 3에서 작동한다.

9. 활용 사례

에듀로밍(eduroam)은 국제 로밍 서비스로, 다른 에듀로밍 지원 기관에서 방문한 게스트에게 네트워크 접근 권한을 제공할 때 802.1X 인증 사용을 의무화한다.^[27]

BT은 다양한 산업 및 정부에 제공되는 서비스에서 ID 페더레이션을 통한 인증에 802.1X를 활용한다.^[28]

참조

_[1] 웹사이트 Hardware Additions, Technique T1200 https://attack.mitre[...] 2018-04-18
_[2] 간행물 Big-Box Breach: The Inside Story of Wal-Mart's Hacker Attack https://www.wired.co[...] 2024-02-07
_[3] 문서 IEEE 802.1X-2001, § 7
_[4] 문서 IEEE 802.1X-2001, § 7.1 and 7.2
_[5] 문서 IEEE 802.1X-2004, § 7.6.4
_[6] 문서 IEEE 802.1X-2010, page iv
_[7] 문서 IEEE 802.1X-2010, § 5
_[8] tech report IEEE Standard for Local and Metropolitan Area Networks: Overview and Architecture
_[9] 웹사이트 802.1X Port-Based Authentication Concepts http://www.wireless-[...] 2008-07-30
_[10] 웹사이트 eap_testing.txt from wpa_supplicant https://w1.fi/cgit/h[...] 2010-02-10
_[11] 웹사이트 The computer that keeps getting better https://cloud.google[...] 2011-08-10
_[12] 서적 Mac OS X Unwired: A Guide for Home, Office, and the Road https://books.google[...] O'Reilly Media 2003
_[13] 웹사이트 NAP clients for Linux and Macintosh are available https://docs.microso[...] 2008-12-16
_[14] 웹사이트 20 minute delay deploying Windows 7 on 802.1x? Fix it here! https://docs.microso[...] 2013-01-24
_[15] 웹사이트 A Windows XP-based, Windows Vista-based or Windows Server 2008-based computer does not respond to 802.1X authentication requests for 20 minutes after a failed authentication https://support.micr[...] 2009-09-17
_[16] 웹사이트 EAPHost in Windows Vista and Longhorn (January 18, 2006) https://docs.microso[...] 2007-01-18
_[17] 웹사이트 You experience problems when you try to obtain Group Policy objects, roaming profiles, and logon scripts from a Windows Server 2003-based domain controller http://support.micro[...] 2007-09-14
_[18] 웹사이트 802.1x with dynamic vlan switching - Problems with Roaming Profiles http://social.techne[...]
_[19] 웹사이트 A Windows XP Service Pack 3-based client computer cannot use the IEEE 802.1X authentication when you use PEAP with PEAP-MSCHAPv2 in a domain http://support.micro[...] 2009-04-23
_[20] 웹사이트 A computer that is connected to an IEEE 802.1X authenticated network through a VOIP phone does not connect to the correct network after you resume it from Hibernate mode or Sleep mode https://support.micr[...] 2010-02-08
_[21] 웹사이트 No response to 802.1X authentication requests after authentication fails on a computer that is running Windows 7 or Windows Server 2008 R2 http://support.micro[...] 2010-03-08
_[22] 웹사이트 Windows PE 2.1 does not support the IEEE 802.1X authentication protocol http://support.micro[...] 2009-12-08
_[23] 웹사이트 The IEEE 802.1X authentication protocol is not supported in Windows Preinstall Environment (PE) 3.0 https://support.micr[...] 2009-12-08
_[24] 웹사이트 Adding Support for 802.1X to WinPE http://blogs.technet[...] 2010-03-02
_[25] 웹사이트 iOS 17 beta 4 developer release notes https://developer.ap[...] 2023-07-25
_[26] 웹사이트 macOS 14 beta 4 developer release notes https://developer.ap[...] 2023-07-25
_[27] 웹사이트 How does eduroam work? https://eduroam.org/[...]
_[28] 웹사이트 BT Identity and Access Management http://www.ca.com/fi[...]
_[29] 웹사이트 Dell PowerConnect 6200 series CLI Guide http://support.dell.[...] 2013-01-26
_[30] 웹사이트 Mitigating the Threats of Rogue Machines—802.1X or IPsec? https://docs.microso[...] 2005-08-09
_[31] 문서 IEEE 802.1X-2001, § 7.1
_[32] 문서 IEEE 802.1X-2010, § 5
_[33] 웹사이트 2 February 2010 Early Consideration Approvals http://standards.iee[...] IEEE
_[34] 웹사이트 IEEE 802.1: 802.1X-2010 - Revision of 802.1X-2004 http://www.ieee802.o[...] Ieee802.org 2010-01-21
_[35] 서적 Implementation and Applications of DSL Technology https://books.google[...] Taylor & Francis