802.1X 포트 기반 인증이란?
IEEE 802.1X는 네트워크 접속 전 사용자·장치 인증을 요구하는 표준입니다. 인증되지 않은 단말이 네트워크에 접근하지 못하도록 차단합니다. 유선·무선 네트워크 모두 적용 가능합니다.
802.1X 구성 요소
- 서플리컨트(Supplicant): 인증을 요청하는 클라이언트 (PC, 스마트폰)
- 인증자(Authenticator): 접속 포트를 제어하는 네트워크 장비 (스위치, AP)
- 인증 서버(Authentication Server): 인증 처리하는 서버 (RADIUS 서버)
인증 흐름
- 서플리컨트가 네트워크 포트에 연결
- 인증자가 EAP 요청 전송 (포트는 인증 트래픽만 허용 = Uncontrolled Port)
- 서플리컨트가 자격증명 전송
- 인증자가 RADIUS 서버에 인증 요청 전달
- RADIUS 서버: 인증 성공(Access-Accept) 또는 실패(Access-Reject)
- 인증 성공 시 포트 개방 (Controlled Port 활성화)
EAP (Extensible Authentication Protocol) 방식
- EAP-MD5: 단순 패스워드 해시. 서버 인증 없어 취약. 거의 사용 안 함
- PEAP (Protected EAP): TLS 터널 안에서 사용자 인증. 서버 인증서 필요. 가장 많이 사용
- EAP-TLS: 클라이언트·서버 모두 인증서 사용. 가장 강력한 보안. PKI 인프라 필요
- EAP-TTLS: TLS 터널 + 레거시 인증 (PAP, CHAP). PEAP와 유사
- EAP-FAST: Cisco 개발. 터널 내 인증. PAC(Protected Access Credential) 사용
RADIUS (Remote Authentication Dial-In User Service)
- UDP 기반 인증·인가·계정 관리(AAA) 프로토콜
- 인증 포트: 1812 / 계정 포트: 1813 (구버전: 1645/1646)
- NAS(인증자)와 RADIUS 서버 간 공유 비밀키(Shared Secret)로 보안
- RADIUS Proxy: 여러 RADIUS 서버 간 인증 요청 전달
- TACACS+: Cisco 개발, TCP 기반, 인증·인가·계정 개별 분리 가능
NAC (Network Access Control)
802.1X를 기반으로 접근 제어 정책을 적용하는 솔루션입니다.
- 엔드포인트 컴플라이언스 검사: OS 패치 수준, 백신 설치 여부, 취약점 확인
- 격리 네트워크(Quarantine): 미준수 단말은 격리망으로 유도 후 치료
- 게스트 VLAN: 인증 실패 또는 미인증 단말을 게스트 VLAN으로 배정
- 동적 VLAN 할당: 인증 결과에 따라 다른 VLAN 배정
시험 핵심 포인트
- 802.1X 구성: 서플리컨트 – 인증자(스위치) – RADIUS 서버
- EAP-TLS: 가장 강력 (양방향 인증서), PKI 인프라 필요
- PEAP: 서버 인증서만 필요, 가장 많이 사용
- RADIUS 포트: 1812(인증), 1813(계정)
- NAC = 802.1X + 엔드포인트 컴플라이언스 검사
마무리
802.1X와 NAC는 기업 네트워크 보안의 핵심입니다. 인증 흐름과 EAP 방식의 차이, RADIUS 포트 번호는 시험에 자주 출제되므로 반드시 숙지하세요.