복수의 인증 프로토콜을 캡슐화시킬 수 있게 해줌 → 다양한 인증방식 선택 가능

⇒ 인증 (무선)프레임워크 (not 인증 매커니즘)

* 인증 프레임워크 : 사용자나 장치가 자신의 신원을 확인하고 시스템에 안전하게 액세스할 수 있도록 하는 시스템 또는 규정들의 집합이다. 보안 목적으로 사용자나 장치가 자원에 대한 적절한 권한을 가지고 있는지를 확인하는 것을 중심으로 합니다.

식별 및 인증, 권한 부여, 감사 및 모니터링, 단일 로그인, 다중 계층 보안을 제공한다.

concept

• 확장 가능한 인증 프로토콜은 여러 인증 메소드를 지원하도록 설계된 프로토콜이다. 인증 데이터의 내용을 정의하지 않고 클라이언트와 인증 서버 간의 인증 통신의 구조를 지정한다. 인증에 사용되는 고유의 EAP 메소드에 의해 정의된다.
  • MD5-인증 확인
  • 일회성 비밀번호
  • 일반 토큰 카드
  • TLS(Transport Layer Security)다중 계층 보안
• Radius는 Radius 서버와 관련 클라이언트 간에 EAP 데이터를 전송하는 데 사용되는 Radius 속성을 지정해 EAP를 이용한다. 그러면 Radius 서버가 이 EAP 데이터를 다양한 EAP 인증 메소드를 구현하는 백엔드 서버로 직접 전송할 수 있다.
• 로컬 데이터베이스 또는 LDAP에서 사용자 항목의 값을 설정해 사용자를 인증하는 데 사용되는 EAP 메소드를 사용자 레벨에서 설정할 수 있다.

* LDAP(Lightweight Directory Access Protocol) : 사용자가 조직, 구성원 등에 대한 데이터를 찾는 데 도움이 되는 프로토콜이다. 여러 종류가 있다. LDAP 디렉터리에 데이터를 저장하고 사용자가 디렉터리에 액세스할 수 있도록 인증하기 위해 주로 사용된다.

• 원래는 모뎀(신호 변환기)를 통한 PPP를 위해 개발되었으나, 지금은 LAN 연결, 무선 랜 연결 등에서 많이 활용한다.
• 모든 데이터링크 계층에서 사용 가능하다. 즉, IP(3계층) 없이도 데이터링크(2계층) 상에서 직접 적용이 가능하다.
• RFC에 정의되고 업데이트된다.

* RFC(Request for Commenets) : 컴퓨터 네트워크 공학 등에서 인터넷 기술에 적용 가능한 새로운 연구, 혁신, 기법 등을 아우르는 메모이다. 미국의 국제 인터넷 표준화기구인 IETF(Internet Engineering Task Force)에서 제공, 관리한다.

인증 요청과 응답

• ID : 클라이언트 식별
• Challenge : 클라이언트 신원 증명

Method

• EAP-TLS
  • TLS 프로토콜을 사용하며 무선 벤더들 사이에서 널리 지원된다. 아직까지 가능한 EAP 표준 중 가장 안전한 것으로 여겨지며 모든 무선랜 하드웨어 및 소프트웨어 제조사들로부터 보편적으로 지원된다.
  • TLS(Transport Layer Security)
    • 전송 계층 보안은 인터넷 상의 커뮤니케이션을 위한 개인 정보와 데이터 보안을 용이하게 하기 위해 설계된 보안 프로토콜이다. 웹 사이트를 로드하는 웹 브라우저와 같이 웹 응용 프로그램과 서버 간의 통신을 암호화한다.
    • SSL(Secure Sockets Layer)에서 발전한 것이다. HTTPS는 HTTP 상위에서 TLS 암호화를 구현한 것으로 모든 웹 사이트와 다른 웹 서비스에서 사용된다. 따라서 HTTPS를 사용하는 웹 사이트는 TLS 암호화를 이용한다.
    • TLS 암호화는 데이터 유출 및 다른 공격으로부터 웹 애플리케이션을 보호한다. 암호화, 인증, 무결성(데이터의 위조 또는 변조 여부 확인)을 제공한다.
    • TLS 인증서란 인증 기관이 도메인 소유자에게 TLS 인증서를 발행한다. 서버의 공개 키와 더불어 누가 도메인 소유자인지에 대한 중요 정보를 포함하며 서버의 신원을 확인하는 데 중요하다.
    • TLS Handshake 순서를 사용하여 초기화된다. 사용자가 TLS를 사용하는 웹 사이트를 돌아다니면 클라이언트와 웹 서버간에 TLS Handshake가 시작된다.
    • TLS 버전 지정 → 암호 제품군 결정 → 인증서를 사용해 서버 신원 인증 → Handshake 완료 후 키 간의 메시지 암호화를 위해 세션 키 생성한다.
    • 데이터가 암호화, 인증되고 나면 MAC(메시지 인증 코드)와 함께 서명된다. 수신자는 데이터 무결성 보장을 위해 MAC을 확인할 수 있다.
  • EAP-PEAP(Protected EAP)
    • 기존 EAP에서는 시스템이 공개키 시스템을 사용하여 사용자를 연결한다. 사용자가 자격 증명을 입증하려고 하면 서버가 공개 키를 전달하여 트랜잭션을 완료한다. 그러면 사용자는 암호화 키를 가지고 공개 키를 복호화한다. ⇒ 문제 발생!! 비밀번호를 입력하고 키를 주고받다 보면 무방비 상태에 놓여 해커에게 시스템 입구를 활짝 열어준다.
    • 그래서 PEAP란? EAP의 전송 속도와 TLS 터널을 결합한 기술이다. 따라서 클라이언트와 서버 사이에서 이루어지는 전체 통신이 TLS 터널 내에서 보호를 받는다. PEAP는 특정 방법을 의미하지는 않고 다수의 EAP 매커니즘을 함께 결합하여 사용한다.
  • EAP - FAST(FlexibleAuthentication via SecureTunneling)
    • 실제 내부 인증은TLS 터널 내에서 하고, TLS 터널화를 위한 외부 인증은서버가 제공하는PAC를 사용. 비용이 많이 드는PKI 표준인증서 대신서버가 제공하는PAC를 사용
    • 상호 인증 및TLS 터널을 위한 상호 협상하고, 서버인증서가 아닌, 단말과인증서버 간에 공유된 패스워드 키(PAC)를 사용하여 상호인증하고,TLS 터널을 위한 협상을 함.
    • PAC(Protected AccessCredential) : 인증서버에서 생성된 공유 키. 상호 인증에 사용
    • TLS 터널을 설정한 후에,TLS 터널을 통해 실제적인사용자 인증을 수행
    • 인증서 기반 아님 :인증서(Certificate) 불필요
    • 표준 :RFC 4851 (시스코社 제안,2007년)

Packet

프레임 형태 : EAP는 모든 데이터링크 계층에서 사용 가능합니다. 3계층 없이도 2계층 상에서 직접 적용이 가능하다.

1 바이트 짜리 코드 부분에는 1부터 6 중에 하나가 들어가고 각각 나타내는 의미가 다르다. 이 코드 값에 따라 위의 데이터 필드의 해석이 달라진다.

타입 부분의 타입 1은 인증 수행자가 인증 요청자에게 username을 요구하는 request, response패킷을 나타낸다.

타입 2는 인증수행자가 인증요청자에게 암호 만료등을 알려주는 메시지다.

타입 3에는 NAK 라고 인증 수행자가 요청자에게 타입 4 이상의 인증 메소드들을 제시한다.

요청자가 제시된 메소드를 수용할 수 없으면 NAK 값 3을 넣어 반환한다.

Process

1. 포트기반제어표준이 적용되어 인증되지 않은 포트들이 차단되고, 요청자가 서비스에 접근하여 수행장치와 EAP가 시작
2. AP 에서 클라이언트 식별을 위한 ID 인증 요청
3. 응답이 오면 인증 서버에 ID 식별 요청
4. 인증 서버에서 클라이언트 신원을 증명하라는 Challenge 요청
5. AP는 요청자에게 같은 Challenge EAP 인증 요청
6. 요청자가 응답하면 EAP 인증 메소드가 포함된 인증 메시지를 교환해 인증 절차를 수행하고, 서버에서 생성된 키를 전송해 인증이 성공

PKI란?

디지털 인증의 생성, 관리, 배포, 사용, 저장, 파기와 공개 키 암호화의 관리에 쓰이는 일련의 역할, 정책, 하드웨어, 소프트웨어, 절차의 총칭이다.

전자상거래, 인터넷 뱅킹, 민감한 정보를 담은 이메일처럼 다양한 네트워크 활동에 있어 정보의 안전한 전송을 위해 사용된다.

통신 주체를 식별하거나 오가는 정보를 검증하여 단순한 암호 뿐만 아니라 엄격한 확증이 필요한 경우 중요하다.

전자상거래의 안전성과 신뢰성을 확보하기 위한 인증, 무결성, 부인봉쇄 등의 요건을 충족하기 위한 인증 기술이다.

전자서명 기술을 활용하는데, 전자서명 기술을 효과적으로 이용하기 위해 공개키 암호 방식을 이용한다. 이를 구현하기 위해 요구되는 기술적, 제도적 기반이 공개키 기반구조 = PKI 이다.

공개된 키를 개인이나 집단을 대표하는 적절한 주체와 엮는 것이다. 인증기관에의 등록과 해당 기관에 의한 인증의 발행을 통해 성립된다.

보증의 정도에 따라 완전 자동으로 성립되기도 하고, 수동적인 작업이 무조건 필요하기도 하다.

PKI의 기능

• 공개 키 인증서 저장소 및 해지
• 키 백업 및 복구
• 디지털 서명 부인 방지
• 키 쌍 인증서 자동 업데이트
• 주요 기록 관리
• 교차 인증 지원

• 기밀성 : 암호화를 통한 정보보호와 기밀유지
• 접근제어 : 선택된 수신자만 정보에 접근할 수 있다.
• 무결성 : 위조, 변조를 방지하기 위해 암호화, 전자서명
• 인증 : 전자서명으로 행위자의 신원확인
• 부인방지 : 전자서명을 통한 신뢰도 향상 (행위자 확인)

기밀성을 보장하기 위해서 상대방에게 데이터 전송 시 수신자의 공개키를 이용해 데이터를 암호화하여 전송한다. 그러면 수신자는 자신의 개인키를 이용해 복호화하여 데이터를 확인할 수 있다. 

따라서 송신자는 수신자의 공개키가 필요하다.

무결성을 보장하기 위해서 Hash 함수를 이용한다. '단방향 함수'로서 원본이 1비트만 변경되도록 하여 2개의 문서는 서로 다른 결과 값을 가진다. 원본 데이터에서 Hash 함수를 이용해 계산된 값이 Digest이다. 전자서명을 하면 데이터는 '원본데이터 + Digest(Hash화 된 데이터)'로 구성된다. 

부인방지 : 메시지의 송수신이나 교화 후 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 것이다. 이를 보장하기 위해 전자서명을 이용하는데, 전자서명은 수신자의 개인키를 암호화하여 전송함으로써 구현할 수 있다. 개인키를 이용한 암호화는 자신의 사칭이 아닌 진짜 자신이 보낸 데이터라는 것을 알려주기 위한 방법일 뿐 제 3자가 데이터를 열지 못하게 하는 방법은 아니다.

PKI의 구성요소

시스템

• 인증기관 (CA) : 암호화, 복호화 및 인증을 위한 서명 키 제공 및 할당을 담당한다. 인증서(공개 키와 특성 집합 포함)를 사용해 키를 배포한다. 인증서 발급, 취소 등 관리를 한다.
• 등록기관 (RA) : 인증기관의 위임을 받아 사용자의 등록 및 인증서 분배처럼 인증기관의 역할 중 사용자와의 접촉이 필요한 부분을 담당한다. 인증기관에 인증을 요청하고 인증서 취소를 처리한다.
• 디렉토리 (Drectory) : 인증서 및 취소목록 등 PKI관련 정보들을 저장 및 검색하는 장소이다. 인증서 등의 보관 및 정보를 제공하고, 효율적인 검색을 위한 서비스들을 지원한다.
• 사용자 (End Entitry) : PKI의 최종 사용자 및 시스템을 포함하며 인증서와 비공개키를 가지고 있다. 서명 및 검증을 위해 인증서를 생성하거나 취소, 갱신을 요구한다. 

인증서

• 공인인증서, 사설인증서 : 인증 정책 수립 및 운영, 인증서 발급자 신원확인, 개인정보 관리 등을 구현한다. 
• 인증서 저장매체 : 전자문서의 형태로 구현되는 인증서를 저장하는 매체이며 대부분 PC내의 하드디스크이다. 보안성 강화를 위해 USB토큰이나 스마트카드를 이용하기도 한다.

UTM이란

Unified Threat Management 의 줄임말로, 통합 위협 관리를 말합니다.

UTM 방화벽은 다양한 보안 기능을 하나의 장비에서 통합하여 제공합니다. 이로 인해 여러 개별 보안 장비를 구매하고 관리할 필요가 없어지며, 통합된 기능으로 보안을 관리할 수 있습니다.

UTM 방화벽의 기능

기본적으로 방화벽의 기능인 네트워크 트래픽을 모니터링하고, 혀용되지 않은 접근을 차단하여 외부에서 내부로의 불법적인 접근을 막습니다.

• 바이러스 방지 : UTM은 네트워크를 모니터링할 수 있는 바이러스 백신 소프트웨어를 제공하며, 바이러스가 시스템 또는 장치를 손상시키는 것을 탐지하여 차단할 수 있습니다. 
• 애플리케이션 필터링 : 네트워크에서 사용되는 애플리케이션을 모니터링하고, 정책을 적용하여 특정 애플리케이션의 사용을 제한하거나 차단할 수 있습니다.
• 가상 사설망 (VPN) : 안전한 원격 접근을 위해 VPN 을 제공하며, 데이터 암호화를 통해 데이터 보안을 강화합니다.
• 웹 필터링 : 웹 트래픽을 모니터링하고, 웹 사이트 차단, 콘텐츠 필터링, 악성 웹사이트 차단 등을 통해 웹 보안을 강화합니다.
• 데이터 손실 방지 : 데이터 유출이나 유출 시도를 감지해서 차단하여 데이터를 보호합니다.

UTM 방화벽의 이점

• 유연성 및 적응성 : UTM 네트워크는 최신 인프라에서 사용할 수 있는 복잡한 네트워킹 구성을 처리할 수 있습니다. 두 개 이상의 보안 기술을 원하는 대로 자유롭게 배치할 수 있습니다. 또한 시스템이 최신 위협에 대응할 수 있도록 자동 업데이트를 제공합니다.
• 편의성 : UTM 방화벽은 사용자 친화적인 인터페이스와 설정 도구로 사용자가 쉽게 구성하고 관리할 수 있도록 지원합니다.
• 비용 효율성 : 중앙 집중식 설정으로 인해 네트워크 보호에 필요한 장치의 수를 줄입니다. 따라서 비용 절감 효과를 얻을 수 있고, 시스템을 모니터링하는 데 필요한 인력이 적기 때문에 인력 비용도 절감할 수 있습니다.

UTM 방화벽의 단점

• 성능 이슈 : UTM 방화벽은 여러 보안 기능을 하나의 장비에서 처리하기 때문에 성능 문제가 발생할 수 있습니다. 특히 네트워크 트래픽이 많거나 복잡한 보안 정책이 필요한 경우 성능 저하가 발생할 수 있습니다.
• 커스터마이징 한계 : UTM 방화벽은 다양한 통합 기능을 제공하지만, 특정 보안 기능에 대한 고도의 커스터마이징이 어려울 수 있습니다. 즉, 특정 기능의 세부 설정이나 조정이 더 복잡할 수 있습니다.