아이피드림에 오신 것을 환영합니다.. - 유용한 정보 [보안 구현에 관한 Q&A]

소프트웨어: Cisco Wireless Security Suite용 Cisco Aironet과 Cisco Secure Access Control Server의 보안 구현

Cisco Wireless Security Suite, 확장 가능한 인증 프로토콜 및 802.1X

Q. Cisco Wireless Security Suite란 무엇인가?

A. Cisco Wireless Security Suite는 Cisco Aironet® 무선 제품을 위한 강력한 무선 보안 서비스를 제공하며 유선 LAN의 보안 수준에 필적하는 802.1X 기반의 보안 솔루션입니다. 이 엔터프라이즈급 솔루션은 전송된 데이터의 프라이버시를 보호하기 위해 사용자별 및 세션별 동적 WEP(Wired Equivalent Privacy) 암호화 키를 지원할 뿐만 아니라 확장 가능한 중앙 집중식 보안 관리 기능을 제공합니다. 그 외에도 EAP Cisco Wireless 또는 LEAP, PEAP(Protected EAP), EAP-TLS(Transport Layer Security)와 같은 EAP(Extensible Authentication Protocol) 유형을 활용하는 상호 인증 기능과 모든 데이터 패킷이 서로 다른 키로 암호화되도록 보장하는 패킷별 키와 MIC(Message Integrity Check) 같은 prestandard TKIP(Temporal Key Integrity Protocol) 기능이 있습니다.

Q. EAP란 무엇인가?

A. EAP란 일반적으로 802.1X, RADIUS(Remote Authentication Dial-In User Service) 또는 TACACS+(Terminal Access Controller Access Control System)와 같은 다른 프로토콜보다 우선하는 유연성 있는 인증 프로토콜(RFC 2284에서 지정)입니다. EAP를 사용하면 액세스 포인트 펌웨어를 추가로 업데이트하지 않고도 인증자(Cisco Catalyst® 스위치 또는 시스코 무선 액세스 포인트와 같은 이더넷 솔루션)가 클라이언트 요청자(포트에 연결하려는 최종 장치 및 일반 사용자)와 인증 서버(예: Cisco Secure ACS[Access Control Server] 또는 해당 EAP 유형을 지원하는 다른 AAA 서버) 사이에서 사용자 인증 캐리어의 역할을 하도록 설정하는 새로운 고급 사용자 인증 방식을 지원할 수 있습니다. EAP 유형의 몇 가지 예를 들면 다음과 같습니다.

EAP Cisco Wireless EAP(LEAP) - 시스코에서 개발한 802.1X EAP 인증 유형으로서 동적으로 사용자별, 세션별 WEP 암호화 키를 제공합니다.
PEAP - 서버측 EAP-TLS를 사용하는 802.1X EAP 인증 유형으로서 로그온 암호 및 OTP(one-time password)를 비롯한 다양한 인증 방식을 지원합니다.
EAP-TLS - TLS 프로토콜(RFC 2246)을 기반으로 하는 802.1X EAP 인증 알고리즘입니다. TLS는 X.509 인증서를 기반으로 하는 상호 인증을 사용합니다.
EAP-MD5(Message Digest 5) - 추가 보안 인증을 위해 MD5 해싱을 함께 사용하는 사용자 이름 및 암호 방식입니다.
EAP-GTC(Generic Token Card) - RFC 2284에서 정의한 EAP 유형 중 하나로 OTP 인증을 사용합니다.

Q. EAP-Tunneled TLS란 무엇인가?

A. EAP-TTLS(EAP-Tunneled TLS)란 PEAP와 유사한 기능을 제공하는 Funk Software의 802.1X EAP 인증 유형입니다. EAP-TTLS는 서버측 TLS를 사용하며 암호와 OTP를 비롯한 다양한 인증 방법을 지원합니다. 또한 EAP-TTLS는 IETF(Internet Engineering Task Force)의 초안 RFC 목록에 있습니다. 자세한 내용은 Funk Software 웹 사이트를 참조하십시오.

Q. 802.1X란 무엇인가?

A. 802.1X는 IEEE 802.1 Working Group에서 설정하였으며 네트워크 액세스 제어를 위한 포트 기반의 보안 표준입니다. 802.11용 802.1X는 EAP 및 RADIUS와 같은 표준 프로토콜을 사용하여 중앙 집중식 사용자 식별, 인증, 동적 키 관리 및 계정을 제공합니다. 이 프로토콜은 무선 로밍 기술과 호환되며 요청자와 인증자 사이에서 작동합니다. Cisco Secure ACS와 같은 인증 서버에 대한 백엔드 통신으로 인증 및 권한 부여 작업을 수행합니다.

EAP Cisco Wireless(LEAP)

Q. EAP Cisco Wireless(LEAP)란 무엇인가?

A. EAP Cisco Wireless(LEAP)는 클라이언트와 RADIUS 서버 간의 강력한 상호 인증을 지원하는 WLAN(Wireless LAN)의 802.1X 인증 유형입니다. EAP Cisco Wireless(LEAP)는 다양한 네트워크 공격을 약화시키는 향상된 사용자별, 세션별 동적 WEP 키 기능을 제공합니다.

Q. LEAP의 보안상 이점은 무엇인가?

A. LEAP는 다른 백엔드 디렉토리(Windows NT, Windows SAM 및 ODBC) 또는 Cisco Secure ACS 및 Cisco Access Registrar®와 같은 LEAP 프록시 RADIUS 서버에 대한 확장 가능한 인증 지원을 제공함으로써 802.11 무선 보안의 주요 한계를 극복합니다.

Q. LEAP를 통해 기업이 얻게 되는 이점은 무엇인가?

A. LEAP는 널리 구현되었으며 시장에서 입증된 Cisco Wireless Security Suite의 컴포넌트입니다. LEAP는 다음과 같은 기능을 제공합니다.

Windows NT/2000 Active Directory를 사용하는 단일 로그인
현재 EAP를 사용하지 않는 시스템을 비롯하여 확장된 범위의 클라이언트 운영 체제에 대한 보안 지원
IT 관리자를 위한 편리한 설치 및 관리
안정적이고 확장 가능한 중앙 집중식 보안 관리
업그레이드 가능한 고성능 엔터프라이즈급 보안
pre-standard TKIP를 통한 동적 프라이버시 보호 - 전송된 데이터의 프라이버시를 보호하기 위한 브로드캐스트 키 회전, MIC(Message Integrity Check) 및 패킷별 키 해싱

Q. LEAP 인증 작업은 어떻게 이루어지는가?

A. 무선 클라이언트는 RADIUS 서버를 통해 인증되어야 하며, 인증되기 전에는 EAP 트래픽을 전송만 할 수 있습니다. 일반 사용자 로그인 후 클라이언트와 RADIUS 서버 간의 상호 인증이 일어납니다. 동적 WEP 키는 클라이언트와 RADIUS 서버에서 이러한 상호 인증 중에 파생됩니다. RADIUS 서버는 보안 채널을 통해 동적 WEP 키를 액세스 포인트로 보냅니다. 액세스 포인트에서 키를 받으면 인증된 클라이언트의 액세스 포인트에서 일반 네트워크 트래픽을 전달할 수 있습니다. 로그온 암호와 같이 인증에 사용되는 자격 증명이 무선 매체를 통해 전송될 수 있으려면 먼저 암호화되어야 합니다. 클라이언트가 로그오프하면 액세스 포인트의 클라이언트 연결 엔트리는 비인증 모드로 돌아갑니다.

Q. LEAP는 어떤 클라이언트 운영 체제를 지원하는가?

A. Cisco LEAP는 Windows 플랫폼(XP, 2000, Me, NT, 98 및 95), Windows CE, Linux, Mac OS 및 MS-DOS와 같은 주요 클라이언트 운영 체제를 모두 지원합니다.

Q. LEAP는 표준인가?

A. LEAP는 표준 802.1X 프레임워크를 활용합니다. 시스코는 기존의 어떤 클라이언트 운영 체제도 EAP를 지원하지 않았던 시기에 WLAN에서 EAP를 지원하기 위해 노력했던 선도 업체였습니다. 시스코는 2000년 12월에 WLAN 인증의 총체적 보안을 신속하게 향상시키기 위한 예비 방법으로서 Cisco EAP(LEAP)를 발표했습니다.

PEAP(Protected EAP)

Q. PEAP란 무엇인가?

A. PEAP(Protected EAP)는 WLAN의 802.1X 인증 유형입니다. PEAP는 강력한 보안성 및 사용자 데이터베이스 확장성을 제공하며 일회용 토큰 인증과 암호 변경 또는 에이징을 지원합니다. PEAP는 시스코 시스템즈, Microsoft 및 RSA Security에서 IETF로 제출한 Internet Draft(I-D)를 기반으로 합니다. 시스코의 혁신을 이끌었던 Glen Zorn은 시스코 시스템즈의 상임 엔지니어로서 I-D의 공동 저자이기도 합니다.

Q. PEAP의 보안상 이점은 무엇인가?

A. PEAP는 다음과 같은 보안상의 이점을 제공합니다.

PEAP는 TLS 터널 보안을 통해 EAP-GTC와 OTP(One Time Password) 지원을 비롯하여 비암호화된 인증 유형을 사용합니다
PEAP는 디지털 인증을 기반으로 하는 서버측 PKI(Public-Key Infrastructure)를 사용합니다.
PEAP를 통해 LDAP(Lightweight Directory Access Protocol), Novell NDS(Novell Directory Services) 및 OTP 데이터베이스를 비롯한 보다 다양한 디렉토리 제품군을 인증할 수 있습니다.
PEAP는 TLS를 사용하여 사용자 관련 인증 정보를 모두 암호화합니다.

Q. PEAP를 통해 기업이 얻는 이점은 무엇인가?

A. PEAP는 서버측 EAP-TLS를 기반으로 합니다. PEAP를 사용할 경우, 기업은 EAP-TLS와 마찬가지로 모든 클라이언트 컴퓨터에 디지털 인증서를 설치할 필요 없이 로그온 암호나 OTP와 같은, 회사의 요구 사항에 가장 적합한 클라이언트 인증 방법을 선택할 수 있습니다.

Q. PEAP 인증 작업은 어떻게 이루어지는가?

A. PEAP 인증 작업은 다음 두 단계로 이루어집니다.

1단계에서는 인기 있고 신뢰 받는 보안 방법인 SSL(Secure Sockets Layer)을 사용하는 웹 서버 인증과 비슷한 방식으로 서버측 TLS 인증을 실행하여 암호화된 터널을 만들고 서버측 인증을 수행합니다. PEAP의 1단계가 완료되면 사용자 관련 정보를 비롯한 모든 데이터가 암호화됩니다.
PEAP 인증 2단계의 프레임워크는 확장 가능하며, GTC와 OTP 인증과 같은 다양한 방법으로 클라이언트를 인증할 수 있습니다.

Q. PEAP는 표준인가?

A. 아직은 아닙니다. PEAP는 IETF에 제출된 I-D를 기반으로 하기 때문에 시스코, Microsoft 및 RSA Security는 IETF 표준 기구에 적극 참여하여 표준화된 PEAP 구현을 지원합니다.

Q. PEAP는 어떤 클라이언트 운영 체제를 지원하는가?

A. PEAP는 Microsoft Windows XP에서 사용할 수 있습니다.

Q. 클라이언트 컴퓨터에서 PEAP를 사용하려면 어떤 시스코 소프트웨어가 필요한가?

A. 클라이언트 컴퓨터에서 PEAP를 사용하려면 Cisco Aironet Client Utility Version 5.05.001을 설치하고 릴리즈 11.23T 이상을 실행하는 Cisco Aironet 액세스 포인트에 연결한 후 버전 3.1 이상을 실행하는 Cisco Secure ACS에 의해 인증을 받아야 합니다.

Q. 시스코가 아닌 다른 공급업체의 무선 클라이언트에서 PEAP 인증을 사용할 수 있는가?

A. 예. 제안된 PEAP IETF I-D를 준수하는 모든 PEAP 지원 요청자에서 PEAP 인증을 사용할 수 있습니다. 고객들은 설치를 시작하기 전에 해당 공급업체의 지원 여부와 상호 운용성을 확인해 보는 것이 좋습니다.

Q. Microsoft PEAP 요청자와 시스코 PEAP 요청자 간에는 어떤 차이점이 있는가?

A. 두 요청자는 모두 PEAP를 지원하지만 TLS 터널을 통한 서로 다른 클라이언트 인증 방식을 지원합니다. Microsoft PEAP 요청자는 사용자 데이터베이스를 Windows NT Domains 및 Active Directory와 같은 MS-CHAP Version 2를 지원하는 인증으로 제한하는 MS-CHAP Version 2에 의한 클라이언트 인증만을 지원합니다. 시스코 PEAP 요청자는 OTP와 로그온 암호에 의한 클라이언트 인증을 지원하므로 RSA Security 및 Secure Computing Corporation과 같은 공급업체의 OTP 데이터베이스를 지원할 수 있고, LDAP 및 Novell NDS와 같은 로그온 암호 데이터베이스는 물론 Microsoft 데이터베이스를 지원할 수 있습니다. 또한 시스코 PEAP 클라이언트는 TLS 암호화된 터널이 완료될 때까지 사용자 이름 ID를 숨길 수 있습니다. 따라서 인증 단계에서 사용자 이름이 브로드캐스트되지 않으므로 추가적인 기밀성이 보장됩니다.

Q. 시스코의 PEAP 클라이언트 소프트웨어와 Microsoft의 PEAP 클라이언트 소프트웨어를 동시에 컴퓨터에 설치할 수 있는가?

A. 시스코의 PEAP 클라이언트 소프트웨어와 Microsoft의 PEAP 클라이언트 소프트웨어는 상호 보완적이므로 사용자는 자신의 클라이언트 컴퓨터에 이들 PEAP 구현 중 하나를 선택하여 설치할 수 있습니다.

Q. PEAP와 함께 클라이언트 인증서 인증을 사용할 수 있는가?

A. PEAP는 서버측 EAP-TLS를 기반으로 합니다. 서버만이 인증서를 사용하여 인증되므로 클라이언트 인증서 인증은 필요하지 않습니다.

Q. PEAP는 암호 또는 OTP를 위해 Windows 도메인에 대한 단일 로그인을 제공하는가?

A. 아니오. PEAP는 자격 증명 캐싱을 제공하지 않습니다. Windows NT 파일 시스템에 대한 로그인은 별개이며 PEAP 로그인 이후에 이루어집니다.

Q. PEAP 세션 중 사일런스 세션(silent session)은 어떻게 작업을 다시 시작하는가?

A. PEAP는 PEAP의 첫 단계가 실행된 경우에만 RADIUS 세션 시간이 초과되었을 때 사일런스 세션이 다시 시작되도록 지원합니다. 두 번째 단계에서는 이전 인증 상태가 다시 사용됩니다. 따라서 사용자는 PEAP 세션 시간 초과가 만료될 때까지 다시 인증하지 않아도 됩니다. PEAP 세션 시간 초과 기간은 Cisco Secure ACS GUI(Graphical User Interface)에서 구성할 수 있습니다.

Q. LDAP 또는 Novell NDS 데이터베이스에서 PEAP를 사용할 수 있는가?

A. 예. PEAP는 LDAP 및 Novell NDS와의 상호 운용성을 제공합니다.

표 1은 LEAP, PEAP, EAP-TLS를 비교해서 요약한 것입니다.

<표 1: LEAP, PEAP 및 EAP-TLS 비교표>

LEAP PEAP EAP-TLS

다중 운영 체제 지원
예
아니오
아니오

Windows 로그인을 위한 단일 로그온 예 아니오 예

정적 암호 지원 예 예 아니오

동적 WEP 키와 상호 인증 예 예 예

Microsoft 백엔드 데이터베이스 지원 예 예 예

Microsoft Windows 암호 변경 아니오 예 아니오

OTP(One Time Password) 지원 아니오 예 아니오

서버 인증 필수 아니오 예 예

클라이언트 인증서 필수 아니오 아니오 예

Microsoft 이외의 사용자 데이터베이스(LDAP, NDS 등) 아니오 예 LDAP만

Layer 3 로밍 지원 예 예 예

중간자(man-in-the-middle) 공격 완화 예 예 예

내장 시스템에서 손쉬운 펌웨어 구현 예 아니오 아니오

Cisco Secure ACS(Access Control Server)

Q. Cisco Secure ACS는 서로 다른 EAP 유형의 사용자를 지원하는가?

A. Cisco Secure ACS Version 3.1은 LEAP, PEAP, EAP-TLS 등 여러 가지 유형의 EAP 인증을 허용합니다. Cisco Secure ACS에서는 모든 유형의 EAP 인증을 동시에 사용할 수 있습니다. Cisco Secure ACS에서 여러 유형의 EAP를 동시에 사용할 수 있는 경우 서버는 LEAP를 통해 먼저 사용자를 인증합니다. LEAP 인증에 오류가 발생하면 서버는 클라이언트 운영 체제에서 사용할 수 있는 EAP 유형에 따라 EAP-TLS 또는 PEAP를 사용하여 인증을 시도합니다.

Q. Cisco Secure ACS는 어떤 유형의 EAP를 지원하는가?

A. Cisco Secure ACS는 LEAP, PEAP, EAP-TLS, EAP-MD5, EAP-GTC를 지원합니다.

Q. Cisco Secure ACS는 LEAP 또는 PEAP 인증 요청을 완료하기 위해 RADIUS 요청을 시스코 이외의 공급업체에서 제조된 RADIUS 서버로 위임할 수 있는가?

A. 예. Cisco Secure ACS Version 3.1을 사용할 경우 표준 RADIUS 프록시를 사용할 수 있습니다. 따라서 EAP 기능을 제공하지 않는 기존 사용자 데이터베이스에 대한 확장성이 증가합니다.

Q. Cisco Secure ACS는 PEAP를 통해 어떤 OTP 공급업체를 지원하는가?

A. Cisco Secure ACS에는 OTP 적용 범위를 RFC 호환 RADIUS 인터페이스를 제공하는 모든 OTP 공급업체로 확장하기 위한 일반 RADIUS 인터페이스가 포함되어 있습니다. Cisco Secure ACS의 PEAP 인증은 시스코 무선 스위치와 ActiveCard, Cryptocard, PassGo, RSA Security, Secure Computing, Vasco 등의 OTP 공급업체를 사용하여 테스트되었습니다. PEAP 인증을 위한 OTP 지원 기능은 클라이언트 운영 체제의 OTP 지원 여부에 달려 있다는 것에 유의하십시오. Cisco Aironet 무선 클라이언트는 현재 OTP를 지원합니다.

Q. LEAP, PEAP, Cisco ACS에서 커버로스를 지원할 계획이 있는가?

A. 현재로서는 LEAP 또는 PEAP에서 커버로스(Kerberos)를 지원할 계획이 없습니다. 하지만 Cisco Secure ACS에서의 커버로스 지원은 예정되어 있습니다. PEAP는 확장 가능하며 EAP-GSS(Generic Security Service)를 통해 커버로스를 지원할 수 있습니다.

Q. PEAP는 어떤 인증 기관 서버를 지원하는가?

A. PEAP는 표준 X.509 형식의 인증서를 모두 지원합니다. Cisco Secure ACS PEAP는 Microsoft, Entrust 및 VeriSign 인증 기관 서버에서 테스트되었습니다.

Q. LEAP 또는 PEAP를 지원하려면 인증 기관 서버에서 객체 식별 부호를 어떻게 수정해야 하는가?

A. PEAP를 지원하기 위해 인증 기관 서버에서 OID(object identifier)를 수정할 필요는 없습니다. LEAP를 지원하려면 일부 OID를 수정해야 합니다.

추가 정보

Q. Cisco Aironet 제품에 대한 자세한 내용은 어디서 확인할 수 있는가?

A.Cisco Aironets을 방문하십시오.

Q. Cisco Wireless Security Suite에 대한 자세한 내용은 어디서 확인할 수 있는가?

A.Cisco Aironet Wireless LAN Security Overview 또는 A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco Wireless Security Suite 백서를 참조하십시오.

Q. 무선 보안에 대한 자세한 내용은 어디서 확인할 수 있는가?

A.Wireless Security 웹 사이트를 방문하십시오.

Q. Cisco Secure ACS에 대한 자세한 내용은 어디서 확인할 수 있는가?

A. http://www.cisco.com/go/acs를 방문하십시오.

Q. IETF에 제안된 PEAP 초안에 대한 자세한 내용은 어디서 확인할 수 있는가?

A. IETF I-D Individual Submissions 웹 사이트를 방문하여 "PEAP(Protected EAP Protocol)"를 검색하십시오.

Q. EAP-TLS의 OID 수정 요구 사항에 대한 자세한 내용은 어디서 확인할 수 있는가?

A. EAP-TLS에 대한 특정 OID 고려 사항은 WLAN 네트워크를 위한 EAP-TLS Deployment Guide를 참조하십시오.