Juniper Mist Access Assurance 인증 방법

인증서 기반 인증

• 인증서 기반 인증은 서버와 클라이언트 장치 간의 상호 인증을 가능하게 하고 암호화를 구현하여 보안 네트워크 액세스를 제공합니다.
• 디지털 인증서는 개인-공개 키 쌍이 필요한 PKI(공개 키 인프라)를 사용합니다.
• IdP(ID 공급자)는 인증서 기반 인증에서 선택 사항입니다. IdP를 사용하여 계정 상태, 그룹 정보 등 사용자 또는 디바이스 정보를 확인할 수 있습니다.
• 인증서는 보안 저장소에 저장됩니다.
• 인증서 기반 인증에는 일반적으로 MDM(모바일 장치 관리)을 사용하는 클라이언트 장치 프로비저닝이 필요합니다.

Juniper Mist Access Assurance는 기존의 모든 PKI 및 클라우드 기반 IdP(예: Microsoft Azure AD, Okta, Google Workspace)와 통합하여 적용 가능한 모든 사용 사례에서 인증서 기반 인증을 구현할 수 있습니다.

비밀번호 기반 인증

• 암호 기반 인증에는 인증을 위해 IdP가 필요합니다. 대부분의 IdP가 멀티팩터 인증(MFA)을 적용함에 따라 802.1X 환경, 특히 무선 네트워크에서는 암호 기반 인증이 실용적이지 않습니다.
• 802.1X는 특히 무선 네트워크에서 MFA를 제대로 관리하지 못하기 때문에 중간자 공격의 위험도 상당합니다.

PKI 배포가 즉시 실현 가능하지 않거나 인증서 기반 인증으로 전환하는 동안에만 암호 기반 인증을 사용하는 것이 좋습니다. 잠재적인 MITM 공격 벡터 때문에 BYOD를 지원하는 네트워크에서는 암호 기반 802.1X 인증을 사용하지 마십시오.

EAP-TLS

EAP-TLS는 인증서와 암호화를 활용하여 클라이언트와 서버 간의 상호 인증을 제공합니다. 클라이언트와 서버 모두 두 엔티티가 신뢰하는 인증 기관(CA)에서 서명한 디지털 인증서를 받아야 합니다. 이 방법은 인증을 위해 클라이언트 측과 서버 측 모두에서 인증서를 사용합니다. 이 인증의 경우 클라이언트와 서버는 서로의 인증서를 신뢰해야 합니다.

기능

• TLS를 사용하여 보안 ID 트랜잭션 제공
• 보편적으로 지원되는 개방형 IETF 표준
• 인증에 X.509 인증서 사용

그림 1은 EAP-TLS 인증 시퀀스를 보여줍니다.

802.1X 표준은 EAP를 신청자와 인증자 간의 데이터 전송을 위한 암호화 형식으로 지정합니다.

이 메서드는 다음 단계에 따라 4방향 핸드셰이크를 수행합니다.

1. 인증자(예: AP)가 세션 요청을 시작하거나 신청자(무선 클라이언트 디바이스)가 인증자에게 세션 시작 요청을 보냅니다.
2. 인증자는 신청자에게 EAP 요청을 보내 신청자의 ID를 요청합니다.
3. 신청자는 인증자를 통해 EAP 응답을 인증 서버(Juniper Mist Access Assurance 클라우드)로 보냅니다.
4. 인증 서버는 인증서가 포함된 "Server Hello" 메시지로 클라이언트 디바이스에 응답합니다.
5. 요청자가 서버 인증서의 유효성을 검사합니다. 즉, 요청자는 서버 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 여부를 확인합니다.
6. 요청자는 인증자를 통해 "Client Hello" 메시지를 보내 클라이언트 인증서를 Juniper Mist Access Assurance 서비스에 제시합니다
7. Juniper Mist Access Assurance는 클라이언트 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 확인합니다.
8. Juniper Mist Access Assurance는 구성된 IdP(ID 공급자) 소스를 조회하고 IdP에 연결하여 사용자 이름과 몇 가지 기본 속성을 확인합니다.
9. Juniper Mist Access Assurance는 정책 조회를 수행하고 역할 및 권한 기반 액세스를 클라이언트 디바이스에 적용합니다.
10. Juniper Mist Access Assurance는 VLAN 및 할당된 역할에 대한 정보를 인증자에게 전송하여 인증자가 요청자를 올바른 네트워크에 할당할 수 있도록 합니다.
11. 인증자는 EAP 성공 메시지를 보내고 신청자에 대한 액세스를 제공합니다.

EAP-TTLS/PAP(확장할 수 있는 인증 프로토콜–터널링된 TLS)

EAP-TTLS-PAP는 클라이언트 측의 사용자 이름 및 암호 및 서버 측의 서버 인증서와 같은 사용자 자격 증명을 사용하여 인증을 수행합니다. 클라이언트 디바이스가 인증 서버를 사용하여 보안 TLS 터널을 설정하면 암호화된 터널 내에서 PAP 프로토콜을 사용하여 자격 증명을 전달합니다.

그림 2는 EAP-TTLS/PAP 인증 시퀀스를 보여줍니다.

EAP-TTLS/PAP 인증에는 다음 단계가 포함됩니다.

1. 인증자(예: AP)가 세션 요청을 시작하거나 신청자(무선 클라이언트 디바이스)가 인증자에게 세션 시작 요청을 보냅니다.
2. 인증자는 신청자에게 식별 정보를 요청하는 EAP 요청을 보냅니다.
3. 신청자가 EAP 응답을 인증 서버(예: Juniper Mist Access Assurance 클라우드)에 보냅니다.
4. 인증 서버는 인증서가 포함된 "Server Hello" 메시지로 클라이언트 디바이스에 응답합니다. 서버는 인증자를 통해 메시지를 보냅니다.
5. 요청자가 서버 인증서의 유효성을 검사합니다. 즉, 신청자는 서버 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 여부를 확인합니다. 이 유효성 검사는 암호화된 TLS 터널을 설정합니다.
6. 요청자는 사용자 이름 및 비밀번호와 같은 계정 자격 증명을 TLS 터널을 통해 서버로 보냅니다. 요청자는 LDAPS(Lightweight Directory Access Protocol over SSL) 또는 OAuth(HTTPS)를 사용하여 정보를 암호화합니다.
7. Juniper Mist Access Assurance는 구성된 ID 제공자 소스에 대해 조회를 수행하여 몇 가지 기본 속성과 함께 사용자 이름을 찾습니다.
8. Juniper Mist Access Assurance는 정책 조회를 수행하고 역할 및 권한 기반 액세스를 클라이언트 디바이스에 적용합니다.
9. Juniper Mist Access Assurance는 VLAN 및 할당된 역할에 대한 정보를 인증자에게 전송하여 인증자가 요청자를 올바른 네트워크에 할당할 수 있도록 합니다.
10. 인증자는 EAP 성공 메시지를 보내고 신청자에 대한 액세스를 제공합니다.