안녕하세요.
오늘은 무선 802,1x 종류에 대해서 알아보겠습니다.
1. EAP-TLS (Transport Layer Security)
- 인증 방식: 클라이언트와 서버 모두 디지털 인증서 사용
- 보안성: ★★★★★ (가장 강력)
- 사용 예: 보안이 중요한 기업, 정부, 금융기관
- 장점:
- 상호 인증 (서버 + 클라이언트)
- 패스워드 노출 위험 없음
- 단점:
- 인증서 기반이므로 CA 서버, 인증서 배포 관리 필요
- 요구 사항:
- 클라이언트 인증서, 서버 인증서, RADIUS
2. PEAP (Protected EAP) + MSCHAPv2
- 인증 방식: 서버는 인증서 사용, 클라이언트는 ID/PW 입력
- 보안성: ★★★★☆
- 사용 예: 사무실 환경, 인증서 관리가 어려운 기업
- 장점:
- 클라이언트 인증서 필요 없음
- 윈도우 내장 지원
- 단점:
- 비밀번호 기반 (패스워드 추측 공격 가능)
- 요구 사항:
- 서버 인증서, 사용자 계정 (AD 또는 RADIUS DB)
3. EAP-TTLS (Tunneled TLS)
- 인증 방식: 서버 인증서 + 클라이언트는 다양한 방식 (PAP, CHAP, MSCHAPv2 등)
- 보안성: ★★★★☆
- 사용 예: 인증 유연성이 필요한 환경
- 장점:
- 다양한 내부 인증 방식 지원
- 클라이언트 인증서 불필요
- 단점:
- 일부 OS에서 기본 미지원 (추가 클라이언트 필요)
4. EAP-FAST (Flexible Authentication via Secure Tunneling) – Cisco 전용
- 인증 방식: PAC (Protected Access Credential) 기반 터널링
- 보안성: ★★★★☆
- 사용 예: Cisco 기반 대규모 환경
- 장점:
- 인증서 없이도 빠르고 안전한 인증 가능
- 빠른 재인증
- 단점:
- Cisco 환경에 최적화, 비표준 시스템 호환성
5. LEAP (Lightweight EAP) – 구버전, 사용 비권장
- Cisco가 만든 초기 방식
- 보안상 취약점 존재 → 현재는 사용 권장 안 함
방식 클라이언트 인증서 서버 인증서 사용자 정보 기반 보안 수준 비고
| EAP-TLS | ✅ | ✅ | X | ★★★★★ | 최고 보안 |
| PEAP-MSCHAPv2 | ❌ | ✅ | ✅ (ID/PW) | ★★★★☆ | 일반 기업용 |
| EAP-TTLS | ❌ | ✅ | ✅ | ★★★★☆ | 다양한 내부 인증 지원 |
| EAP-FAST | ❌ | ✅ (또는 PAC) | ✅ | ★★★★☆ | Cisco 환경 최적 |
| LEAP | ❌ | ❌ | ✅ | ★★☆☆☆ | 구식, 미사용 권장 |
Cisco 9800 WLC에서 무선 802.1X 설정 시 고려사항
- WLAN Policy Profile에서 WPA2/WPA3 Enterprise 활성화
- AAA 서버 설정(RADIUS) 연동 필요 (예: Cisco ISE, Windows NPS)
- RADIUS 서버에서는 사용자 계정 or 인증서 기반 인증 방식 설정
- 클라이언트에서 EAP 설정도 일치해야 연결 가능
'CISCO > 무선' 카테고리의 다른 글
| [C9800CL][#20]- 이중화 디자인 (0) | 2025.06.25 |
|---|---|
| [C9800CL][#19]- 무선 일반 인증 방식 종류 (1) | 2025.06.15 |
| [C9800CL][#17]- 5G 채널 간섭 (1) | 2025.06.15 |
| [C9800CL][#16]- 2.4G 채널 간섭 (0) | 2025.06.15 |
| [C9800CL][#15]- Cisco AP 별 권장 Client 수 (0) | 2025.06.15 |