MAC RADIUS 인증을 위한 PEAP 구성

EAP(확장할 수 있는 인증 프로토콜)는 암호 기반 인증 방법 및 보다 안전한 인증서 기반 인증 방법을 비롯한 여러 인증 방법을 지원하는 확장 가능한 프로토콜입니다. EAP는 신청자에 사용할 인증 방법을 결정하기 위해 인증자 또는 스위칭 디바이스와 인증 서버 간의 협상을 용이하게 합니다. MAC RADIUS 인증에 사용되는 기본 인증 방법은 EAP-MD5이며, 여기서 서버는 클라이언트에게 임의의 챌린지 값을 전송하고 클라이언트는 MD5로 챌린지와 암호를 해시하여 ID를 증명합니다. EAP-MD5는 서버 인증이 아닌 클라이언트 인증만 제공하기 때문에 스푸핑 공격에 취약할 수 있습니다.

EAP-MD5의 보안 취약성을 해결하기 위해 보호된 EAP 또는 간단히 PEAP라고도 하는 보호된 확장 인증 프로토콜을 구성할 수 있습니다. PEAP는 암호화되고 인증된 TLS(전송 계층 보안) 터널 내에서 EAP 패킷을 캡슐화하는 프로토콜입니다. PEAP는 터널을 설정하고 끝점 인증에 직접 관여하지 않으므로 외부 인증 프로토콜이라고 합니다. 터널 내에서 클라이언트의 MAC 주소를 인증하는 데 사용되는 내부 인증 프로토콜은 MS-CHAPv2(Microsoft Challenge Handshake Authentication Protocol version 2)입니다. 터널 내부의 암호화된 정보 교환을 통해 사용자 자격 증명을 도청으로부터 안전하게 보호합니다.

PEAP를 MS-CHAPv2와 함께 사용할 경우 PEAP의 장점 중 하나는 보안 터널을 설정하는 데 서버 쪽 인증서만 필요하고 서버 쪽 공개 키 인증서를 사용하여 서버를 인증한다는 것입니다. 이렇게 하면 인증이 필요한 모든 클라이언트에 대해 디지털 인증서를 배포하는 것과 관련된 오버헤드가 제거됩니다.

클라이언트가 MAC RADIUS 인증을 사용하여 스위치에서 인증되면 후속 클라이언트는 첫 번째 클라이언트가 설정한 것과 동일한 외부 터널을 사용하여 서버와 통신할 수 있습니다. 이 작업은 SSL에서 제공하는 세션 재개 기능을 사용하여 수행됩니다. 세션 재개는 후속 클라이언트가 새 TLS 터널이 설정되기를 기다릴 때 발생할 수 있는 대기 시간을 줄입니다.

MAC RADIUS 인증을 위해 PEAP 인증 프로토콜을 구성하기 전에 인증 서버가 MS-CHAPv2와 함께 PEAP를 내부 인증 프로토콜로 사용하도록 구성되어 있는지 확인합니다. 인증 서버 구성에 대한 자세한 내용은 서버 설명서를 참조하십시오.

주:

인증 프로토콜은 옵션을 사용하여 interface all 전역적으로 구성할 수 있을 뿐만 아니라 개별 인터페이스 이름을 사용하여 로컬로 구성할 수도 있습니다. 인증 프로토콜이 개별 인터페이스와 모든 인터페이스 모두에 대해 구성된 경우, 해당 인터페이스의 로컬 구성이 글로벌 구성보다 우선합니다.

MAC RADIUS 인증을 위한 PEAP 인증 프로토콜을 구성하려면,