aaa authentication login VTY_AUTH group tacacs+ local
: aaa VTY 인증은 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 처리
aaa authentication login CON_AUTH local
: aaa console에 대한 인증은 local로 처리한다.
aaa authorization exec VTY_PRI group tacacs+ local
: aaa vty에 대한 권한은 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 한다.
aaa authorization commands 15 VTY_PRI group tacacs+ local
: aaa vty에 대한 관리자 명령어 권한에서 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 한다.
- IEEE 802.1X 인증(= dot1x 인증)
- 유선 / 무선 환경에서 End Device가 네트워크에 접속하려는 경우
사용자 인증에 따라서 접근을 허락할지 혹은 차단할지를
결정할 수 있는 방식
- dot1x 인증은 EAP(Extensible Authentication Protocol)라는
인증 프로토콜이 사용된다.
'dot1x 프로토콜'은 종단 장치와 Switch(혹은 무선 AP) 사이에서
EAP 메시지가 전송될 수 있는 프레임과 절차를 정의한 것이다.
-> 이를 EAPoL(EAP over LAN)이라고 표현한다.
사용자가 입력한 계정 정보는 EAP 메시지 안에 들어가고
종단 장치에서 Switch(혹은 AP)까지는 EAPoL에 의해 전송된다.
그 후 Switch는 EAP 메시지를 Radius 방식으로 인증 서버에게
전송하게 된다.
EAP 인증 메시지 즉 사용자 정보
EAP 사용하는 목적
: CHAP나 PAP 같은 단독 수행하면 이를 수행할 프로그램이 필요
EAP는 다 옮길 수 있다.
---> username,password
Eth | IP | UDP | RADIUS | EAP | FCS
(L2) (L3) (L4) ------------------
Data
Eth | EAPoL | EAP | FCS
(L2) --> Dot1x
스위치 포트에 인증을 거는 것이다.
Dot1x 인증
= EAPoL (EAP over LAN)
2. 802.1X 특징
ㅇ 802.1X는 사실상 프레임워크 이지, 프로토콜 구현 스펙이 아님
- 모든 IEEE 802 표준 계열에 적용이 가능
. 기존,신규 모든 인증 체계 및 인프라를 그대로 활용할 수 있음
- 유무선 모든 네트워크에 적용 가능하나,
. 현재는 무선 LAN 접속방식(접근통제)에 주로 활성화됨
ㅇ 포트 레벨의 보안 기술
- 유선 스위치(NAS 등), 무선 AP(Access Point)에서 포트 단위로 인증 수행
. 유선은 스위치 내 물리적인 포트 단위
. 무선은 AP 및 무선단말 간의 결합 단위
- 포트 단위로 개별적인 과금 정책, 사용제한, 대역할당 등 제어 가능
. 인증 이전에는 제어되지 않은 포트를 이용하며,
인증 이후에는 제어된 포트를 이용하게 됨
- 단말인증(Machine) 보다는 사용자인증(User) 위주로 각 포트에 대한 보안 행사 가능
ㅇ Transport mechanism
ㅇ Transport mechanism
- 인증 수행이 아닌, 포트 단위의 인증메세지 전달용 메커니즘을 수행함
. 주로, EAP 인증메세지(EAPOL)의 전송을 위함
. 실제 인증 수행은 주로 EAP라는 인증 프레임워크 상에서 이루어짐
3. 802.1x 물리적 구성 요소
ㅇ Supplicant (접속요구단말,인증 요청자)
- 망에 접근하려는 PC 등 사용자단말
- 무선인 경우 무선단말
. 이 경우 Supplicant ~ Authenticator 간에는 공기매체
ㅇ Authenticator (인증자,접속허가자,인증수행자)
- 브리지, 스위치, 엑세스 포인트(AP) 등 망 접근을 제어하는 장치류 또는 서버
. 인증 교환(Authentication Exchange)은 Supplicant 및 인증 서버 간에서 이루어지고,
인증자는 가교 역할 만 수행
ㅇ Authentication Server (인증 서버)
- RADIUS 서버 등 인증 서버
. 위 Authenticator는 Authentication Server의 클라이언트임
※ 일단은 비제어 포트(Uncontrolled Port)에 접속한 후에, 인증이 성공적이게되면
ㅇ Supplicant (접속요구단말,인증 요청자)
- 망에 접근하려는 PC 등 사용자단말
- 무선인 경우 무선단말
. 이 경우 Supplicant ~ Authenticator 간에는 공기매체
ㅇ Authenticator (인증자,접속허가자,인증수행자)
- 브리지, 스위치, 엑세스 포인트(AP) 등 망 접근을 제어하는 장치류 또는 서버
. 인증 교환(Authentication Exchange)은 Supplicant 및 인증 서버 간에서 이루어지고,
인증자는 가교 역할 만 수행
ㅇ Authentication Server (인증 서버)
- RADIUS 서버 등 인증 서버
. 위 Authenticator는 Authentication Server의 클라이언트임
※ 일단은 비제어 포트(Uncontrolled Port)에 접속한 후에, 인증이 성공적이게되면
4. 수송(캡슐화)하는 프로토콜의 분리 운영
ㅇ 인증 프로토콜을 수송(캡슐화)하는 프로토콜의 분리 운영
- Supplicant 및 Authenticator 간 (단말↔스위치/AP) : EAP over LAN (EAPoL)
- Authenticator 및 Authentication Server 간 (스위치/AP↔인증서버) : EAP over RADIUS
5. 802.1X 관련 인증,암호화를 위한 여러 프로토콜들
※ 기존에 존재하던 다양한 인증 프로토콜,방식들이 활용됨
ㅇ 다양한 인증 방식 활용
- ID/Password (OTP 등), Transport Layer Security, Token Card 등
ㅇ 다양한 인증 프로토콜 활용
- PAP, CHAP, EAP 중에서,
. 기본으로 EAP(Extensible Authentication Protocol) 사용을 권고 (RFC 2284)
- 여기서, EAP 프로토콜은 어떤 인증 프로토콜과도 결합이 가능
. 즉, EAP는 인증/키 관리를 위한 일종의 뼈대를 형성하나,
특정 인증 프로토콜은 아님
ㅇ 인증 프로토콜 : 암호 키의 동적 처리 등
- EAP-MD5, EAP-TLS, EAP-TLS-MD5, EAP-Cisco, EAP-SRP 등
. 위 중에서 EAP-MA5가 구현이 쉬워 많이 사용되었으나, 현재는 사용 권장 않음
ㅇ 암호화 알고리즘
ㅇ 인증 프로토콜을 수송(캡슐화)하는 프로토콜의 분리 운영
- Supplicant 및 Authenticator 간 (단말↔스위치/AP) : EAP over LAN (EAPoL)
- Authenticator 및 Authentication Server 간 (스위치/AP↔인증서버) : EAP over RADIUS
5. 802.1X 관련 인증,암호화를 위한 여러 프로토콜들
※ 기존에 존재하던 다양한 인증 프로토콜,방식들이 활용됨
ㅇ 다양한 인증 방식 활용
- ID/Password (OTP 등), Transport Layer Security, Token Card 등
ㅇ 다양한 인증 프로토콜 활용
- PAP, CHAP, EAP 중에서,
. 기본으로 EAP(Extensible Authentication Protocol) 사용을 권고 (RFC 2284)
- 여기서, EAP 프로토콜은 어떤 인증 프로토콜과도 결합이 가능
. 즉, EAP는 인증/키 관리를 위한 일종의 뼈대를 형성하나,
특정 인증 프로토콜은 아님
ㅇ 인증 프로토콜 : 암호 키의 동적 처리 등
- EAP-MD5, EAP-TLS, EAP-TLS-MD5, EAP-Cisco, EAP-SRP 등
. 위 중에서 EAP-MA5가 구현이 쉬워 많이 사용되었으나, 현재는 사용 권장 않음
ㅇ 암호화 알고리즘
- MD5, RSA 등
- 기본 설정 -
<NAD>
conf t
vlan 70
name Client_PC
vlan 888
name Native
exit
int range fa 1/0 - 15
shut
!
int fa 1/0
desc ##Client_PC_Dot1x##
sw mo acc
sw acc vlan 70
no shut
!
int range fa 1/10 - 11
desc ##DSW_UPLINK##
sw mo trunk
sw trunk all vlan 1,70,1002-1005
sw trunk native vlan 888
no shut
!
<DSW1>
conf t
vlan 70
name Client
exit
int fa 1/10
desc ##NAD_Connection##
sw trunk en dot1q
sw mo trunk
sw trunk all vlan 1,70,1002-1005
sw trunk native vlan 888
no shut
!
int vlan 70
ip add 10.10.70.252 255.255.255.0
standby 70 ip 10.10.70.254
standby 70 priority 110
standby 70 track fa 1/0 50
standby 70 preempt delay minimum 30
ip helper-address 10.10.50.2
!
router ospf 1
net 10.10.70.252 0.0.0.0 area 0
!
<DSW2>
conf t
vlan 70
name Client_PC
exit
int fa 1/11
desc ##NAD_Connection##
sw trunk en dot1q
sw mo trunk
sw trunk all vlan 1,70,1002-1005
sw trunk native vlan 888
no shut
!
int vlan 70
ip add 10.10.70.253 255.255.255.0
standby 70 ip 10.10.70.254
standby 70 preempt
ip helper-address 10.10.50.2
!
router ospf 1
net 10.10.70.253 0.0.0.0 area 0
!
<CE>
conf t
access-list 10 permit 10.10.70.0 0.0.0.255
## IEEE 802.1X 인증(= dot1x 인증) ##
- 유선/무선 환경에서 End Device가 네트워크에 접속하려는
경우 사용자 인증에 따라서 접근을 허락할지 혹은 차단할지를
결정할 수 있는 방식.
<DSW1>
vlan 200
name Temp
exit
int fa 1/10
sw trunk all vlan add 200
int vlan 200
ip add 10.10.200.252 255.255.255.0
standby 200 ip 10.10.200.254
standby 200 preempt
<DSW2>
conf t
vlan 200
name Temp
exit
int fa 1/11
sw trunk all vlan add 200
int vlan 200
ip add 10.10.200.253 255.255.255.0
standby 200 ip 10.10.200.254
standby 200 priority 110
standby 200 track fa 1/0 50
standby 200 preempt delay minimum 30
<NAD>
conf t
vlan 200
name Temp
int range fa 1/10 - 11
sw trunk all vlan add 200
int vlan 200
ip add 10.10.200.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.10.200.253
-> NAD에서 ACS 서버까지 도달성 확인
(만약 Ping test가 실패할 경우 인증 메시지 전달도
불가능하다)
vlan 800
name Fail_VLAN
exit
aaa new-model
radius-server host 10.10.50.4 key cisco123
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
-> 시스템 인증을 하는 것
int fa 1/0
shut
sw acc vlan 200
dot1x port-control auto
: 종단 장치가 물리면 자동적으로 인증을 한다.
dot1x auth-fail max-attempts 3
dot1x auth-fail vlan 800
dot1x reauthentication
dot1x timeout reauth-period 300
spanning-tree portfast
no shut
dot1x initialize int fa 1/0
:dot1x 초기화
'network 보안 > network 보안' 카테고리의 다른 글
| Wireshark 필터 (0) | 2018.09.11 |
|---|