EAP Methods, EAP Extensible Authentication Mechanism, EAP Authentication Type   EAP 확장 인증 프로토콜, EAP 확장 인증 메커니즘

(2020-12-10)

EAP Method type, EAP-MD5, EAP-LEAP, EAP-Cisco, EAP-TTLS, EAP-TLS, PEAP, EAP-FAST, EAP 확장


1. EAP 확장 

  ㅇ [참고] 기존 인증 프로토콜 (Legacy Authentication Protocol)
     - 주요 종류 : PAP,  CHAP,  MS-CHAP,  MS-CHAP v2
     - 사용 방식 : 이들 모두 보안 취약성으로, 
                   안전한 TLS 터널 안에서 만 인증 정보가 교환되도록 사용함이 바람직

  ㅇ EAP 확장
     - 많은 다양한 인증용 프로토콜메커니즘EAP와 결합 확장됨

  ※ IANAEAP Methods 타입 종류 ☞ IANA Extensible Authentication Protocol (EAP) Registry


2. EAP 확장 종류 (EAP Methods / EAP Authentication Type : EAP 확장된 인증 방법 종류)EAP - MD5 (Message Digest 5)  (type : 4)
     - Username/Password 기반의 비교적 단순한 인증프로토콜
        . 구현이 단순, 동적 구현 불가능
        . 사용자별 인증 가능
        . 단방향 인증(One Way User Authentication)
           .. 단말 만 인증 가능, 서버 인증 불가능
     - PPP - CHAPEAP에 유사하게 적용
     - 취약성 보고됨, 더이상 사용 권고 안함.
     - 표준 : RFC 2284 (1998년)

  ㅇ EAP - LEAP (Lightweight EAP) 또는 EAP - Cisco (type : 17)
     - 시스코社 독자 규격이나, 시장성 많이 확보
     - 클라이언트의 Username 및 해시된 Password에 대한 인증 방식
     - 2개의 MS-CHAP v1 교환으로 상호 인증이 이루어짐
        . 하나는 클라이언트서버를, 다른 하나는 서버클라이언트에 대해 인증
     - 인증서 기반 아님 : 인증서(Certificate) 불필요
     - MS-CHAP v1 상의 보안 취약점으로 지금은 사용 권고되지 않음
     - 비 표준

  ㅇ EAP - TLS  (type : 13)
     - 취약한 무선 환경에서 신뢰적보안 채널을 형성하기 위함
     - 인증서 기반 임  : 인증서(Certificate) 필요
        . 서버 인증서, 클라이언트 인증서 모두 필요함   
     - 인증서를 이용하여 서버 및 클라인언트 상호 인증
     - 표준 : RFC 2716(obsoleted,1999년),RFC 5216 (2008년) 
        . `The EAP-TLS Authentication Protocol`

  ※ 다음 2개는, 기존(Legacy)에 사용중이던 인증 체계를 그대로 사용 가능
     - 외부 인증 만 공인 PKI를 활용하고,
     - 내부 인증은 기존의 비용이 작게드는 사설 인증 체계를 그대로 사용케 함
     - 따라서, 실제적으로 EAP - TLS 보다 많이 사용됨

  ㅇ EAP - TTLS (Tunneled TLS)  (type : 21)
     - 내부 망은 TLS 터널화하고, 외부 망 만 공인 PKI 필요
     - 인증서 기반 임  : 인증서(Certificate) 필요.
        . 인증서가 설치된 서버와 개인 사용자간 터널을 이용하여,
        . 암호화된 인증 정보를 주고 받는 방식
     - 클라이언트가 제시하는 암호에 대한 인증 방식
     - 표준 : RFC 5281 (2008년)

  ㅇ PEAP (Protected EAP)  (type : 25)
     - 내부 망은 TLS 터널화하고, 외부 망 만 공인 PKI 필요
     - 인증서 기반 임  : 인증서(Certificate) 필요
        . 인증서를 통해 인증서버의 정당성 확인 (서버 인증서 필요)
        . MS사, 시스코社, RSA社가 공동 개발
     - MS-CHAP v2 전송을 위한 터널 구현

  ㅇ EAP - FAST (Flexible Authentication via Secure Tunneling) (type : 43)
     - 실제 내부 인증은 TLS 터널 내에서 하고, 
       TLS 터널화를 위한 외부 인증은 서버가 제공하는 PAC를 사용
         . 비용이 많이 드는 PKI 표준 인증서 대신 서버가 제공하는 PAC를 사용
     - 상호 인증 및 TLS 터널을 위한 상호 협상하고,
        . 서버 인증서가 아닌, 단말과 인증서버 간에 공유된 패스워드 키(PAC)를 사용하여
          상호 인증하고, TLS 터널을 위한 협상을 함
        . PAC(Protected Access Credential) : 인증서버에서 생성된 공유 키. 상호 인증에 사용
     - TLS 터널을 설정한 후에, TLS 터널을 통해 실제적인 사용자 인증을 수행
     - 인증서 기반 아님 : 인증서(Certificate) 불필요
     - 표준 : RFC 4851 (시스코社 제안,2007년)

  ㅇ EAP - AKA

  ㅇ EAP - SRP


3. EAP 확장 방식 요약인증서 기반 : EAP-TLS, EAP-TTLS, PEAP 등
  ㅇ 인증서 불요 : EAP-LEAP, EAP-FAST(따로 PAC 필요)
  ㅇ Supplicant와 AS(인증서버) 간에 형성된 보안 터널을 통한 인증 정보 교환 여부
     - 보안 터널 없음 : EAP-MD5, EAP-LEAP
     - 이외에는 모두 보안 터널을 통해 인증 정보 교환됨
  ㅇ 단방향 인증 : EAP-MD5 만
     - EAP-MD5 이외에는 모두 쌍방향 인증(클라이언트,서버 모두 서로 인증 수행)

EAP/802.1X/(W)LAN
   1. 802.1x   2. EAP   3. EAP 프레임   4. EAP methods   5. EAPOL  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"