이 페이지의 내용
주니퍼 Mist Access Assurance 인증 방법
IEEE 802.1X는 포트 기반 네트워크 액세스 제어를 위한 표준입니다. 스위치 또는 액세스 포인트를 통해 LAN 또는 WLAN에 연결하는 디바이스를 인증하기 위한 메커니즘을 제공합니다. 주니퍼 Mist Access Assurance는 802.1X 인증과 비 802.1X 인증, 즉 MAC 인증 바이패스(MAB)를 모두 지원하여 유무선 네트워크에서 일관된 액세스 제어를 제공합니다.
주니퍼는 802.1X를 통한 보안 액세스를 위해 다음과 같은 방법을 지원합니다.
- EAP-TLS(확장할 수 있는 인증 프로토콜–전송 계층 보안)(디지털 인증서 기반)
- EAP-TTLS/PAP(터널링된 전송 계층 보안)(자격 증명 기반)
다음과 같은 비 802.1X 인증 방법을 지원합니다.
- MAC 인증 바이패스(MAB)
- MPSK(Multi Pre-Shared Key)
인증서 기반 인증 및 자격 증명 기반 인증
802.1X 인증 방법은 자격 증명 기반(사용자 이름 및 암호) 및 인증서 기반 인증을 지원합니다.
인증서 기반 인증
- 인증서 기반 인증은 서버와 클라이언트 디바이스 간의 상호 인증을 가능하게 하고 암호화를 구현하여 보안 네트워크 액세스를 제공합니다.
- 디지털 인증서는 개인-공개 키 쌍이 필요한 PKI(공개 키 인프라)를 사용합니다.
- IdP(ID 공급자)는 인증서 기반 인증에서 선택 사항입니다. IdP를 사용하여 계정 상태 및 그룹 정보와 같은 사용자 또는 디바이스 정보를 확인할 수 있습니다.
- 인증서는 보안 저장소에 저장됩니다.
- 인증서 기반 인증에는 일반적으로 MDM(모바일 장치 관리)을 사용하는 클라이언트 장치 프로비전이 필요합니다.
주니퍼 Mist Access Assurance는 Microsoft Azure AD, Okta, Google Workspace 등 기존 PKI 및 클라우드 기반 IdP와 통합하여 모든 적용 가능한 사용 사례에서 인증서 기반 인증을 구현할 수 있습니다.
암호 기반 인증
- 암호 기반 인증에는 인증을 위한 IdP가 필요합니다. 대부분의 IdP가 멀티 팩터 인증(MFA)을 시행함에 따라 802.1X 환경, 특히 무선 네트워크에서는 암호 기반 인증이 실용적이지 않습니다.
- 802.1X는 특히 무선 네트워크에서 MFA를 제대로 관리하지 못하기 때문에 메시지 가로채기(person-in-the-middle) 공격의 위험이 상당합니다.
PKI 배포가 즉시 가능하지 않은 시나리오 또는 인증서 기반 인증으로 전환하는 동안에만 암호 기반 인증을 사용하는 것이 좋습니다. 잠재적인 MITM 공격 벡터로 인해 BYOD를 지원하는 네트워크에서 암호 기반 802.1X 인증을 사용하지 마십시오.
802.1X 인증 방법
802.1X 프로토콜은 유선 및 무선 액세스 포인트의 포트 기반 네트워크 액세스 제어(NAC)를 위한 IEEE 표준입니다. 802.1X의 주요 기능은 LAN 또는 WLAN에 액세스하려는 모든 사용자 또는 디바이스에 대한 인증 제어를 정의하여 무단 사용자 액세스로부터 이더넷 LAN을 보호하는 것입니다. 또한 802.1X는 신청자가 자격 증명을 제시하고 인증 서버(RADIUS 서버)가 이를 검증할 때까지 인터페이스에서 신청자(클라이언트)와 주고받는 모든 트래픽을 차단합니다.
기본 802.1X 인증 메커니즘은 다음 세 가지 구성 요소로 구성됩니다.
- 신청자—인증 소프트웨어가 있는 클라이언트 디바이스. 클라이언트 디바이스가 네트워크에 액세스하려고 합니다. 이 장치는 데스크톱 또는 랩톱 컴퓨터, 태블릿, 전화 등이 될 수 있습니다.
- 인증자 - 초기 게이트웨이로, 일반적으로 신청자의 액세스 요청을 가로채는 스위치 또는 액세스 포인트(AP)입니다.
- Authentication Server(인증 서버) - 신청자의 ID를 데이터베이스에 저장된 자격 증명과 비교합니다. 자격 증명과 신청자 ID가 일치하면 신청자가 네트워크에 액세스할 수 있습니다.
주니퍼 Mist Access Assurance가 각 802.1X 인증 방법을 어떻게 사용하는지 알아보겠습니다. 주니퍼 Mist Access Assurance 사용 사례를 참조하십시오.
EAP-TLS의
EAP-TLS는 인증서와 암호화를 활용하여 클라이언트와 서버 간의 상호 인증을 제공합니다. 클라이언트와 서버 모두 두 엔터티가 모두 신뢰하는 인증 기관(CA)에서 서명한 디지털 인증서를 받아야 합니다. 이 방법은 인증을 위해 클라이언트 쪽과 서버 쪽 모두에서 인증서를 사용합니다. 이 인증을 위해 클라이언트와 서버는 서로의 인증서를 신뢰해야 합니다.
기능
- TLS를 사용하여 안전한 ID 트랜잭션 제공
- 보편적으로 지원되는 개방형 IETF 표준
- 인증에 X.509 인증서 사용
그림 1은 EAP-TLS 인증 시퀀스를 보여줍니다.
802.1X 표준은 신청자와 인증자 간의 데이터 전송을 위한 암호화 형식으로 EAP를 지정합니다.
이 메서드는 다음 단계에 따라 4방향 핸드셰이크를 수행합니다.
- 인증자(예: AP)가 세션 요청을 시작하거나 신청자(무선 클라이언트 디바이스)가 인증자에게 세션 시작 요청을 보냅니다.
- 인증자는 신청자의 ID를 요청하는 EAP 요청을 신청자에게 보냅니다.
- 신청자는 인증자를 통해 인증 서버(Juniper Mist Access Assurance 클라우드)에 EAP 응답을 보냅니다.
- 인증 서버는 인증서가 포함된 "Server Hello" 메시지로 클라이언트 디바이스에 응답합니다.
- 요청자가 서버 인증서의 유효성을 검사합니다. 즉, 신청자는 서버 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 여부를 확인합니다.
- 신청자는 인증자를 통해 "Client Hello" 메시지를 전송하여 Juniper Mist Access Assurance 서비스에 클라이언트 인증서를 제시합니다
- Juniper Mist Access Assurance는 신뢰할 수 있는 CA가 클라이언트 인증서에 서명했는지 검증합니다.
- Juniper Mist Access Assurance는 구성된 ID 프로바이더(IdP) 소스를 조회하고 IdP에 연결하여 사용자 이름과 몇 가지 기본 속성을 확인합니다.
- 주니퍼 Mist Access Assurance는 정책 조회를 수행하고 클라이언트 디바이스에 역할 및 권한 기반 액세스를 적용합니다.
- Juniper Mist Access Assurance는 VLAN 및 할당된 역할에 대한 정보를 인증자에게 전송하여 인증자가 요청자를 올바른 네트워크에 할당할 수 있도록 합니다.
- 인증자는 EAP 성공 메시지를 보내고 신청자에 대한 액세스를 제공합니다.
EAP-TTLS/PAP(확장할 수 있는 인증 프로토콜 - 터널링된 TLS)
EAP-TTLS-PAP는 클라이언트 측의 사용자 이름 및 암호 및 서버 측의 서버 인증서와 같은 사용자 자격 증명을 사용하여 인증을 수행합니다. 클라이언트 디바이스가 인증 서버와 보안 TLS 터널을 설정할 때 암호화된 터널 내에서 PAP 프로토콜을 사용하여 자격 증명을 전달합니다.
그림 2는 EAP-TTLS/PAP 인증 시퀀스를 보여줍니다.
EAP-TTLS/PAP 인증에는 다음 단계가 포함됩니다.
- 인증자(예: AP)가 세션 요청을 시작하거나 신청자(무선 클라이언트 디바이스)가 인증자에게 세션 시작 요청을 보냅니다.
- 인증자는 신청자에게 식별 정보를 요청하는 EAP 요청을 보냅니다.
- 신청자가 EAP 응답을 인증 서버(예: Juniper Mist Access Assurance 클라우드)로 보냅니다.
- 인증 서버는 인증서가 포함된 "Server Hello" 메시지로 클라이언트 디바이스에 응답합니다. 서버는 인증자를 통해 메시지를 보냅니다.
- 요청자가 서버 인증서의 유효성을 검사합니다. 즉, 요청자는 서버 인증서가 신뢰할 수 있는 CA에 의해 서명되었는지 여부를 확인합니다. 이 유효성 검사는 암호화된 TLS 터널을 설정합니다.
- 요청자는 TLS 터널을 통해 사용자 이름 및 비밀번호와 같은 계정 자격 증명을 서버로 보냅니다. 신청자는 SSL(LDAPS) 또는 OAuth(HTTPS)를 통한 LDAPS(Lightweight Directory Access Protocol)를 사용하여 정보를 암호화합니다.
- 주니퍼 Mist Access Assurance는 구성된 ID 공급자 소스에 대해 조회를 수행하여 몇 가지 기본 속성과 함께 사용자 이름을 찾습니다.
- 주니퍼 Mist Access Assurance는 정책 조회를 수행하고 클라이언트 디바이스에 역할 및 권한 기반 액세스를 적용합니다.
- Juniper Mist Access Assurance는 VLAN 및 할당된 역할에 대한 정보를 인증자에게 전송하여 인증자가 요청자를 올바른 네트워크에 할당할 수 있도록 합니다.
- 인증자는 EAP 성공 메시지를 보내고 신청자에 대한 액세스를 제공합니다.