날짜: 08-22-2023 12:29 AM
3.1 Introduction
이번장에서는 Cisco ISE에서의 802.1X, MAB(MAC Authentication Bypass) 그리고 Identity management 를 포함한, 정책 적용에 대해서 알아보겠습니다.
3,2 802.1X for Wired and Wireless Access
IEEE 802.1X Overview
IEEE 802.1X 은port-based authentication을 제공합니다. 802.1X 프로세스에는 다음과 같은 역할을 하는 세 가지 네트워크 장치가 있습니다.
스위치는 EAPOL(Extensible Authentication Protocol over LAN)을 수신하면 프레임을 생성하여 인증 서버로 릴레이합니다. 프레임의 이더넷 헤더가 제거된 후 RADIUS 형식으로 다시 캡슐화됩니다. 캡슐화 중에 EAP 필드는 수정되지 않으며 인증 서버는 기본 프레임 형식 내에서 EAP를 지원해야 합니다.
Authenticator가 인증 서버에서 EAP 프레임을 받으면 프레임 헤더가 제거됩니다. 그런 다음 EAP 프레임은 EAPOL을 사용하여 캡슐화되어 supplicant에게 전송됩니다.
802.1X Message Flow
인증은 supplicant 또는 authenticator에 의해 시작될 수 있습니다. Authenticator는 링크 상태가 다운에서 업으로 변경될 때 또는 포트가 인증되지 않은 상태로 유지되는 동안 주기적으로 인증을 시작합니다.
Authenticator는 클라이언트 신원을 요청하기 위해 EAP 요청 또는 identity 프레임을 보냅니다. Supplicant는 프레임을 수신하고 EAP 응답 또는 identity 프레임을 보냅니다. 그러나 부팅하는 동안 supplicant가 EAP 요청 또는 identity 프레임을 받지 못하면 인증을 시작할 수 있습니다. Supplicant는 authenticator에게 클라이언트 identity를 요청하라는 메시지를 표시하는 EAPOL start 프레임을 보냅니다. EAP 프레임의 구체적인 교환은 인증 방법에 따라 다릅니다.
Note
802.1X가 NAD에서 사용하도록 설정되어 있지 않거나 지원되지 않으면 supplicant의 EAPOL 프레임이 차단됩니다. Supplicant가 세 번 시도한 후에도 EAP 요청 또는 identity 프레임을 받지 못하면 supplicant는 포트가 권한이 부여된 상태인 것처럼 프레임을 보냅니다. 권한이 부여된 상태의 포트는 사실상 supplicant가 성공적으로 인증되었음을 의미합니다.
Supplicant가 자신의 신원을 제공하면 authenticator는 중개자로서의 역할을 시작합니다. Authenticator는 인증이 성공하거나 실패할 때까지 supplicant와 인증 서버 간에 EAP 프레임을 전달합니다. 인증이 성공하면 authenticator 포트에 권한이 부여됩니다.
802.1X Authorization
802.1X 프레임워크는 네트워크 액세스를 요청하는 클라이언트에 대한 인증과 권한 부여를 모두 제공합니다. 인증에 성공하면 Cisco ISE는 사용자별 및 그룹별 네트워크 권한 부여를 수행할 수 있습니다.
Authorization features 는 아래와 같습니다.
802.1X VLAN Assignment
Endpoint는 동적 또는 기본 VLAN 할당을 통해 VLAN에 배치할 수 있습니다.
802.1X Named ACLs
Named ACL은 무선 사용자에게 차별화된 액세스를 제공합니다. 사용자가 성공적으로 인증되면 authorization policy은 무선 사용자 세션에 적용해야 하는 named ACL을 WLC에 알릴 수 있습니다.
Named ACL은 WLC(Wireless LAN Controller)에서 로컬로 구성됩니다. Cisco ISE authorization policy에서 ACL을 참조하기만 하면 됩니다. 물론 Cisco ISE에서 지정하는 이름이 WLC에 정의된 ACL의 실제 이름과 일치하는 것이 중요합니다. 이러한 이름은 대소문자를 구분합니다.
Note
IOS-XE 버전 17.10.1부터 dACL 지원이 지원됩니다(ISE에서 푸시됨). 버전 17.8 이전 ACL은 WLC에서 구성해야 하며 authorization profile은 해당 이름의 ACL을 참조해야 합니다.
802.1X Downloadable ACLs
dACL(Downloadable ACLs)은 802.1X 인증 사용자에게 다양한 수준의 액세스를 제공할 수 있습니다. RADIUS 서버는 802.1X에 연결된 사용자를 인증합니다. 사용자 identity를 기반으로 RADIUS 서버는 ACL 특성을 검색하여 스위치로 보냅니다. 스위치는 사용자 세션 중에 802.1X 포트에 특성을 적용합니다.
유선 네트워크에서의 dACL 사용은 무선 사용자에게 차별화된 액세스를 제공하는 named ACL과 유사합니다. dACL은 Cisco ISE에서 구성되며 인증/권한 부여 프로세스 중에 스위치로 푸시 다운(다운로드)됩니다. 그러나 named ACL은 WLC에서 로컬로 구성됩니다. Cisco ISE authorization policy에서 이 ACL을 참조하기만 하면 됩니다.
세션이 종료되거나 인증에 실패하거나 링크 다운 조건이 발생하면 스위치에서 사용자별 ACL 구성을 제거합니다. 스위치는 실행 중인 구성에 RADIUS 지정 ACL을 저장하지 않습니다. 포트가 권한이 없는 경우 스위치는 포트에서 ACL을 제거합니다. dACL은 실행 중인 configuration 의 일부는 아니지만 장치의 RAM에 있습니다. dACL의 존재를 확인하려면 show access-list [name] 명령을 사용합니다.
RADIUS는 공급업체별 특성을 포함한 사용자별 특성을 지원합니다. 이러한VSA(Vendor-Specific Attribute)은 8진수 문자열 형식입니다. 이러한 속성은 authorization 프로세스의 결과로 스위치에 한 줄씩 전달됩니다. 사용자별 ACL에 사용되는 VSA는 inacl#<n> 구문을 사용합니다.
dACL의 예는 다음과 같습니다.
ip:inacl#100=permit ip any 209.165.201.2 255.255.255.255
ip:inacl#200=permit ip any 209.165.201.3 255.255.255.255
ip:inacl#300=deny ip any any
802.1X Phased Deployment Modes
유선 네트워크에서는 단계적 접근 방식을 사용하여 802.1X를 배포할 수 있습니다. 단계적 접근 방식에서는 네트워크에 미치는 영향을 최소화하면서 인증 및 권한 부여를 점진적으로 도입합니다. 그림은 모니터, low-impact mode 및 closed mode의 세 가지 802.1X 배포 단계에 대한 인증 전후 동작을 요약한 것입니다.
Monitor Mode
monitor mode에서 open 액세스 기능은 인증 결과에 관계없이 최종 사용자의 액세스를 허용합니다. 따라서 802.1X, MAB 또는 웹 인증 배포는 사용자 액세스에 영향을 미치지 않습니다.
802.1X 사용 포트는 일반적으로 인증 및 권한 부여에 성공하기 전에는 트래픽을 차단하지 않습니다. 이 기능을 사용하면 초기 Cisco ISE 배포를 생성하고 의도치 않은 액세스 차단에 대해 걱정할 필요 없이 네트워크에 대해 학습할 수 있습니다.
monitor mode는 문 앞에 보안 카메라를 설치하여 포트 액세스 동작을 모니터링하고 기록하는 것과 같습니다. AAA RADIUS 계정을 활성화하여 인증 시도를 기록하고 감사 추적을 통해 누가, 무엇에 네트워크에 연결하고 있는지에 대한 가시성을 확보할 수 있습니다.
네트워크에 연결되는 endpoint(PC, 프린터, 카메라 등), 이러한 endpoint가 네트워크에 연결되는 위치(스위치, 포트), 802.1X 지원 여부, 유효한 자격 증명을 가지고 있는지 여부를 확인할 수 있습니다.
MAB 시도에 실패한 경우 endpoint가 알려진 유효한 MAC 주소를 가지고 있는지 확인할 수 있습니다.
Monitor mode는 Cisco IOS의 open 액세스 및 다중 인증 모드 기능과 함께 802.1X를 통해 활성화됩니다. Monitor mode는 “authentication open” 및 “authentication host-mode multi-auth” Command로 구성됩니다.
Low-impact Mode
Low-impact mode를 사용하면 보안을 점진적으로 강화할 수 있습니다. 이전에 네트워크 및 endpoint 사용량에 대한 인사이트를 얻기 위해 포트를 open mode로 구성했을 수 있습니다. 이제 이러한 open 포트를 pre-authentication ACL로 구성하고 인증되지 않은 호스트에 대한 기본 연결만 허용할 수 있습니다.
예를 들어 인증되지 않은 사용자는 모든 내부 리소스에 대한 액세스 권한을 얻지 않고도 DHCP, DNS를 사용할 수 있으며 인터넷에 접속할 수 있습니다.
인증에 성공하면 Cisco ISE 인증 서버는 기존 포트 ACL을 재정의하기 위해 dACL을 보냅니다. 이 작업은 인증된 사용자에게 차별화된 액세스를 제공합니다.
Closed Mode
802.1X 지원 스위치 포트에 대한 또 다른 옵션은 동적 VLAN 할당, dACL 또는 기타 권한 부여 메커니즘과 같은 차별화된 액세스와 함께 기존의 closed mode를 엄격하게 사용하는 것입니다.
이전에 high-security mode라고 알려진 closed mode는 인증 프로세스가 완료될 때까지 EAPOL 트래픽만 허용하며, 이는 802.1X 지원 스위치 포트의 기본 동작입니다.
802.1X Host Modes
802.1X 포트의 host mode에 따라 포트에서 둘 이상의 클라이언트를 인증할 수 있는지 여부와 인증이 적용되는 방식이 결정됩니다. 802.1X 포트는 네 가지 host mode 중 하나를 사용하도록 구성할 수 있습니다. 각 모드는 pre-authentication open 액세스를 허용하도록 수정할 수 있습니다.
4가지 802.1X host mode는 아래와 같습니다.
Multi-Auth mode에서는 포트에서 권한이 부여된 첫 번째 호스트가 VLAN 할당을 정의하고 후속 호스트가 동일한 VLAN에 추가됩니다. 이러한 호스트는 RADIUS 데이터베이스에 VLAN 할당이 없거나 구성된 그룹 VLAN이 포트에 할당된 그룹 VLAN과 일치해야 합니다. 그렇지 않으면 호스트는 포트에 대한 액세스가 거부됩니다. 또한 인증 서버가 dACL을 할당하는 경우, 인증된 호스트의 IP 주소를 소스 주소로 사용하도록 적용된 인터페이스 ACL이 수정됩니다. 즉, Multi-auth mode 에서는 각 호스트에 호스트별로 차별화된 dACL이 적용됩니다.
Change of Authorization
AAA 프레임워크는CoA(Change of Authorization) 메시지를 사용하여 active subscriber 세션을 동적으로 수정합니다. 예를 들어, CoA 메시지의 RADIUS 속성은 프레임워크에 subscriber 서비스를 만들거나, 수정하거나, 종료하도록 지시할 수 있습니다.
인증에 성공하면 endpoint에 기본 네트워크 연결이 허용됩니다. 이 기본 연결 프로필을 통해 Cisco ISE는 profiling, security posture functions 및 guest 서비스를 수행할 수 있습니다. Endpoint의 상태 변경(예: endpoint가 규정 준수 상태를 확인하는 경우)을 인식하면 Cisco ISE는 authenticator에게 CoA 메시지를 보내고 확장 액세스 권한을 제공하며, 이 권한은 일반적으로 적절한 dACL의 형태로 설명됩니다.
802.1X Implementation Guidelines
802.1X 프로토콜은 유선 스위치 포트 및 무선 Access Points를 포함한 layer2 static access 포트에서 지원됩니다. Voice VLAN 포트 및 layer3 라우팅 포트에서도 지원됩니다.
802.1X 가 지원되지 않는 포트 유형은 아래와 같습니다.
Note
Cisco IOS 릴리스 12.2(18)SE 이전 소프트웨어 릴리스에서 아직 비활성 상태인 이더채널 포트에서 802.1X를 사용하도록 설정하면 해당 포트는 이더채널에 적용되지 않습니다.
802.1X에 대한 인터페이스 구성 외에도 스위치에서 프로토콜을 전역적으로 사용하도록 설정해야 합니다. 스위치에서 802.1X를 전역적으로 사용하도록 설정하기 전에 802.1X와 Etherchannel이 모두 구성된 인터페이스에서 Etherchannel 구성을 제거합니다.
상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.
이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.