구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
566
VIEWS
1
Helpful
0
의견

3. Introducing Cisco ISE Policy Enforcement Components - 3.1 & 3.2

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-22-2023 12:29 AM

3.1 Introduction

이번장에서는 Cisco ISE에서의 802.1X, MAB(MAC Authentication Bypass) 그리고 Identity management 를 포함한, 정책 적용에 대해서 알아보겠습니다.

3,2 802.1X for Wired and Wireless Access

IEEE 802.1X Overview

 

KaiShin_0-1692020138535.png

IEEE 802.1X port-based authentication을 제공합니다. 802.1X 프로세스에는 다음과 같은 역할을 하는 세 가지 네트워크 장치가 있습니다.

  • Supplicant : Endpoint 802.1X 호환 소프트웨어 서비스를 제공합니다. 이 서비스는 NAD authenticator와 통신하여 네트워크 액세스를 요청합니다. 이 서비스는 endpoint 운영 체제의 일부로 임베드되거나 Cisco AnyConnect Network Access Manager(Cisco NAM)와 같은 애플리케이션으로 설치될 수 있습니다.
  • Authenticator : 클라이언트 인증 상태에 따라 네트워크에 대한 액세스를 제어합니다. 여기서 목표는 endpoint가 일부EAP(Extensible Authentication Protocol)을 통해 인증 서버에 인증하는 것입니다. NAD authenticator는 클라이언트와 인증 서버 사이의 프록시 역할을 합니다. 802.1X를 통해 endpoint supplicant와 통신하여 신원 정보를 요청합니다. 그런 다음 RADIUS를 통해 인증 서버와 통신하여 해당 정보를 확인합니다. 인증 서버의 응답을 클라이언트에 다시 전달합니다. Authenticator EAP 프레임을 캡슐화 및 캡슐화 해제하는 RADIUS 클라이언트 역할을 합니다.
  • Authentication Server : 클라이언트 인증을 수행합니다. 인증 서버는 클라이언트 신원의 유효성을 검사하고 NAD authenticator에게 클라이언트 권한 부여 상태를 알립니다. Authenticator가 프록시 역할을 하므로 인증 서비스는 클라이언트에 transparent합니다. Cisco ISE가 인증 서버 역할을 합니다.

스위치는 EAPOL(Extensible Authentication Protocol over LAN)을 수신하면 프레임을 생성하여 인증 서버로 릴레이합니다. 프레임의 이더넷 헤더가 제거된 후 RADIUS 형식으로 다시 캡슐화됩니다. 캡슐화 중에 EAP 필드는 수정되지 않으며 인증 서버는 기본 프레임 형식 내에서 EAP를 지원해야 합니다.

Authenticator가 인증 서버에서 EAP 프레임을 받으면 프레임 헤더가 제거됩니다. 그런 다음 EAP 프레임은 EAPOL을 사용하여 캡슐화되어 supplicant에게 전송됩니다.

802.1X Message Flow

인증은 supplicant 또는 authenticator에 의해 시작될 수 있습니다. Authenticator는 링크 상태가 다운에서 업으로 변경될 때 또는 포트가 인증되지 않은 상태로 유지되는 동안 주기적으로 인증을 시작합니다.

KaiShin_1-1692020138539.png

Authenticator는 클라이언트 신원을 요청하기 위해 EAP 요청 또는 identity 프레임을 보냅니다. Supplicant는 프레임을 수신하고 EAP 응답 또는 identity 프레임을 보냅니다. 그러나 부팅하는 동안 supplicant EAP 요청 또는 identity 프레임을 받지 못하면 인증을 시작할 수 있습니다. Supplicantauthenticator에게 클라이언트 identity를 요청하라는 메시지를 표시하는 EAPOL start 프레임을 보냅니다. EAP 프레임의 구체적인 교환은 인증 방법에 따라 다릅니다.

Note

802.1X가 NAD에서 사용하도록 설정되어 있지 않거나 지원되지 않으면 supplicant의 EAPOL 프레임이 차단됩니다. Supplicant가 세 번 시도한 후에도 EAP 요청 또는 identity 프레임을 받지 못하면 supplicant는 포트가 권한이 부여된 상태인 것처럼 프레임을 보냅니다. 권한이 부여된 상태의 포트는 사실상 supplicant가 성공적으로 인증되었음을 의미합니다.

Supplicant가 자신의 신원을 제공하면 authenticator는 중개자로서의 역할을 시작합니다. Authenticator는 인증이 성공하거나 실패할 때까지 supplicant와 인증 서버 간에 EAP 프레임을 전달합니다. 인증이 성공하면 authenticator 포트에 권한이 부여됩니다.

802.1X Authorization

802.1X 프레임워크는 네트워크 액세스를 요청하는 클라이언트에 대한 인증과 권한 부여를 모두 제공합니다. 인증에 성공하면 Cisco ISE는 사용자별 및 그룹별 네트워크 권한 부여를 수행할 수 있습니다.

KaiShin_2-1692020138543.png

Authorization features 는 아래와 같습니다.

  • VLAN assignment : 인증 서버가 특정 사용자 또는 그룹과 VLAN을 연결할 수 있으므로 스위치에서 인증된 사용자에 대해 VLAN을 동적으로 할당할 수 있습니다. 원하는 액세스 제어 방법이 ACLs(Access Control Lists) 또는 방화벽 시스템과 함께 서로 다른 VLAN을 기반으로 하는 경우 이 VLAN 할당이 적합합니다.
  • ACL assignment : 인증 서버는 ACL을 특정 사용자 또는 그룹과 연결합니다. 그런 다음 NAD에 사용자 세션에 ACL을 동적으로 할당하도록 지시합니다. 이 메커니즘은 포트 수준까지 매우 세분화된 액세스 제어를 제공합니다.
  • Time-based access : 인증 서버는 각 사용자의 액세스 허용 요일과 시간을 제어합니다.
  • Scalable Group Access (SGA) : 이전에 Security Group Access 로 알려진 SGA는 토폴로지와 무관한 확장 가능한 액세스 제어를 제공합니다. 확장형 그룹 접속을 사용하면 인그레스 스위치는 특정 역할에 따라 데이터 트래픽을 분류하고 트래픽에 SGTs(Scalabe Group Tags)를 태그합니다. 송신 네트워크 디바이스는 Security Group Tags를 평가하고 적절한 보안 그룹 ACL을 적용하여 패킷을 필터링합니다.

802.1X VLAN Assignment

Endpoint는 동적 또는 기본 VLAN 할당을 통해 VLAN에 배치할 수 있습니다.

KaiShin_3-1692020138547.png
  • Dynamic VLAN assignment : 802.1X/EAP 인증에 성공하면 사용자에게 특정 VLAN에 대한 권한이 부여될 수 있습니다. 이 동적 VLAN Cisco ISE RADIUS 서비스에서 구성되며 RADIUS Access-Accept 메시지로 전달됩니다. 일반적으로 인증 성공 시 VLAN을 할당하는 데 사용되지만 인증 실패 시에도 사용할 수 있습니다.
    • 예를 들어, 인증 서버는 사용자 인증 및 MAB(Mac Authentication Bypass)이 실패할 때 Guest VLAN을 할당할 수 있습니다. 이 방법의 장점은 guest VLAN 할당 및 액세스가 AAA(Authentication, Authorization, Accounting) 시스템에 중앙에서 기록된다는 것입니다. 인증 서버에서 할당된 VLAN이 없는 경우, 인증 서버는 스위치로 액세스 거부 메시지를 다시 보내고 스위치는 로컬로 구성된 guest VLAN 또는 제한된 VLAN을 사용합니다. 이 경우 AAA 시스템에 이 액세스를 기록하는 중앙 집중식 감사 추적이 없습니다.
  • Default VLAN assignment : Default VLAN은 유선 스위치 포트 또는 무선 SSID(Service Set IDentifier)에 대해 구성된 VLAN입니다. 클라이언트가 인증에 성공하고 인증 서버에서 동적 VLAN을 할당하지 않은 경우 이 Default VLAN이 사용됩니다.

802.1X Named ACLs

Named ACL은 무선 사용자에게 차별화된 액세스를 제공합니다. 사용자가 성공적으로 인증되면 authorization policy은 무선 사용자 세션에 적용해야 하는 named ACL WLC에 알릴 수 있습니다.

KaiShin_4-1692020138552.png

Named ACL WLC(Wireless LAN Controller)에서 로컬로 구성됩니다. Cisco ISE authorization policy에서 ACL을 참조하기만 하면 됩니다. 물론 Cisco ISE에서 지정하는 이름이 WLC에 정의된 ACL의 실제 이름과 일치하는 것이 중요합니다. 이러한 이름은 대소문자를 구분합니다.

Note

IOS-XE 버전 17.10.1부터 dACL 지원이 지원됩니다(ISE에서 푸시됨). 버전 17.8 이전 ACL은 WLC에서 구성해야 하며 authorization profile은 해당 이름의 ACL을 참조해야 합니다.

802.1X Downloadable ACLs

dACL(Downloadable ACLs) 802.1X 인증 사용자에게 다양한 수준의 액세스를 제공할 수 있습니다. RADIUS 서버는 802.1X에 연결된 사용자를 인증합니다. 사용자 identity를 기반으로 RADIUS 서버는 ACL 특성을 검색하여 스위치로 보냅니다. 스위치는 사용자 세션 중에 802.1X 포트에 특성을 적용합니다.

KaiShin_5-1692020138556.png

유선 네트워크에서의 dACL 사용은 무선 사용자에게 차별화된 액세스를 제공하는 named ACL과 유사합니다. dACL Cisco ISE에서 구성되며 인증/권한 부여 프로세스 중에 스위치로 푸시 다운(다운로드)됩니다. 그러나 named ACL WLC에서 로컬로 구성됩니다. Cisco ISE authorization policy에서 이 ACL을 참조하기만 하면 됩니다.

세션이 종료되거나 인증에 실패하거나 링크 다운 조건이 발생하면 스위치에서 사용자별 ACL 구성을 제거합니다. 스위치는 실행 중인 구성에 RADIUS 지정 ACL을 저장하지 않습니다. 포트가 권한이 없는 경우 스위치는 포트에서 ACL을 제거합니다. dACL은 실행 중인 configuration 의 일부는 아니지만 장치의 RAM에 있습니다. dACL의 존재를 확인하려면 show access-list [name] 명령을 사용합니다.

RADIUS는 공급업체별 특성을 포함한 사용자별 특성을 지원합니다. 이러한VSA(Vendor-Specific Attribute) 8진수 문자열 형식입니다. 이러한 속성은 authorization 프로세스의 결과로 스위치에 한 줄씩 전달됩니다. 사용자별 ACL에 사용되는 VSA inacl#<n> 구문을 사용합니다.

dACL의 예는 다음과 같습니다.

ip:inacl#100=permit ip any 209.165.201.2 255.255.255.255
ip:inacl#200=permit ip any 209.165.201.3 255.255.255.255
ip:inacl#300=deny ip any any

802.1X Phased Deployment Modes

유선 네트워크에서는 단계적 접근 방식을 사용하여 802.1X를 배포할 수 있습니다. 단계적 접근 방식에서는 네트워크에 미치는 영향을 최소화하면서 인증 및 권한 부여를 점진적으로 도입합니다. 그림은 모니터, low-impact mode closed mode의 세 가지 802.1X 배포 단계에 대한 인증 전후 동작을 요약한 것입니다.

KaiShin_6-1692020138559.png

Monitor Mode

monitor mode에서 open 액세스 기능은 인증 결과에 관계없이 최종 사용자의 액세스를 허용합니다. 따라서 802.1X, MAB 또는 웹 인증 배포는 사용자 액세스에 영향을 미치지 않습니다.

KaiShin_7-1692020138562.png

802.1X 사용 포트는 일반적으로 인증 및 권한 부여에 성공하기 전에는 트래픽을 차단하지 않습니다. 이 기능을 사용하면 초기 Cisco ISE 배포를 생성하고 의도치 않은 액세스 차단에 대해 걱정할 필요 없이 네트워크에 대해 학습할 수 있습니다.

monitor mode는 문 앞에 보안 카메라를 설치하여 포트 액세스 동작을 모니터링하고 기록하는 것과 같습니다. AAA RADIUS 계정을 활성화하여 인증 시도를 기록하고 감사 추적을 통해 누가, 무엇에 네트워크에 연결하고 있는지에 대한 가시성을 확보할 수 있습니다.

네트워크에 연결되는 endpoint(PC, 프린터, 카메라 등), 이러한 endpoint가 네트워크에 연결되는 위치(스위치, 포트), 802.1X 지원 여부, 유효한 자격 증명을 가지고 있는지 여부를 확인할 수 있습니다.

MAB 시도에 실패한 경우 endpoint가 알려진 유효한 MAC 주소를 가지고 있는지 확인할 수 있습니다.

Monitor mode Cisco IOSopen 액세스 및 다중 인증 모드 기능과 함께 802.1X를 통해 활성화됩니다. Monitor mode“authentication open” “authentication host-mode multi-auth” Command로 구성됩니다.

Low-impact Mode

Low-impact mode를 사용하면 보안을 점진적으로 강화할 수 있습니다. 이전에 네트워크 및 endpoint 사용량에 대한 인사이트를 얻기 위해 포트를 open mode로 구성했을 수 있습니다. 이제 이러한 open 포트를 pre-authentication ACL로 구성하고 인증되지 않은 호스트에 대한 기본 연결만 허용할 수 있습니다.

KaiShin_8-1692020138565.png

예를 들어 인증되지 않은 사용자는 모든 내부 리소스에 대한 액세스 권한을 얻지 않고도 DHCP, DNS를 사용할 수 있으며 인터넷에 접속할 수 있습니다.

인증에 성공하면 Cisco ISE 인증 서버는 기존 포트 ACL을 재정의하기 위해 dACL을 보냅니다. 이 작업은 인증된 사용자에게 차별화된 액세스를 제공합니다.

Closed Mode

802.1X 지원 스위치 포트에 대한 또 다른 옵션은 동적 VLAN 할당, dACL 또는 기타 권한 부여 메커니즘과 같은 차별화된 액세스와 함께 기존의 closed mode를 엄격하게 사용하는 것입니다.

KaiShin_9-1692020138567.png

이전에 high-security mode라고 알려진 closed mode는 인증 프로세스가 완료될 때까지 EAPOL 트래픽만 허용하며, 이는 802.1X 지원 스위치 포트의 기본 동작입니다.

802.1X Host Modes

802.1X 포트의 host mode에 따라 포트에서 둘 이상의 클라이언트를 인증할 수 있는지 여부와 인증이 적용되는 방식이 결정됩니다. 802.1X 포트는 네 가지 host mode 중 하나를 사용하도록 구성할 수 있습니다. 각 모드는 pre-authentication open 액세스를 허용하도록 수정할 수 있습니다.

KaiShin_10-1692020138572.png

4가지 802.1X host mode는 아래와 같습니다.

  • Single Host Mode: 단일 host mode에서는 802.1X 사용 포트에 하나의 클라이언트만 연결할 수 있습니다. 포트 상태가 "up"으로 변경되면 스위치에서 클라이언트를 감지하고 EAPOL 프레임을 보냅니다. 인증 후 클라이언트 액세스 권한이 부여됩니다. 다른 호스트의 패킷은 차단됩니다. 클라이언트가 나가거나 다른 클라이언트로 교체되면 스위치에서 포트 링크 상태를 "down"으로 변경합니다. 그러면 포트는 권한이 없는 상태로 돌아갑니다.
  • Multiple Host Mode: Multiple host mode에서는 802.1X가 활성화된 단일 포트에 여러 호스트를 연결할 수 있습니다. 이 모드에서는 클라이언트를 연결하는 첫 번째 클라이언트만 권한이 부여되어야 합니다. 이후의 모든 클라이언트는 이 인증을 기반으로 네트워크 액세스 권한을 부여받습니다. 포트가 권한이 없는 상태가 되면(재인증에 실패하거나 EAPOL 로그오프 메시지가 수신되면), authenticator는 연결된 모든 클라이언트에 대한 네트워크 액세스를 거부합니다.
KaiShin_11-1692020138577.png
  • Multiple Domain Authentication Mode : MDA(Multi Domain Authentication) mode를 사용하면 IP 전화와 IP 전화 뒤에 있는 단일 호스트가 802.1X, MAB 또는 웹 기반(호스트 전용) 인증을 통해 독립적으로 인증할 수 있습니다. 이 애플리케이션에서 multi domain은 두 개의 도메인(데이터 및 voice VLAN)을 의미합니다. 도메인당 하나의 MAC 주소만 허용됩니다. 스위치는 호스트를 data VLAN, IP 폰을 voice VLAN에 배치할 수 있지만 동일한 스위치 포트에 나타납니다. 데이터 및 voice VLAN 할당은 AAA 서버에서 수신한 VSA에서 얻을 수 있습니다.
  • Multiple Authentication Mode : Multiple Authentication modevoice VLAN에서 하나의 802.1X 또는 MAB 클라이언트를 허용합니다. 또한 data VLAN에서 여러 개의 인증된 802.1X, MAB 또는 웹 인증 클라이언트를 허용합니다. 허브 또는 액세스 포인트가 802.1X 포트에 연결된 경우 다중 인증 모드는 연결된 각 클라이언트의 인증을 요구하여 다중 host mode보다 향상된 보안을 제공합니다. 802.1X가 아닌 디바이스의 경우 개별 호스트 인증에 대한 대체 방법으로 MAB 또는 웹 기반 인증을 사용할 수 있으며, 이를 통해 단일 포트에서 서로 다른 방법을 통해 서로 다른 호스트를 인증할 수 있습니다.

Multi-Auth mode에서는 포트에서 권한이 부여된 첫 번째 호스트가 VLAN 할당을 정의하고 후속 호스트가 동일한 VLAN에 추가됩니다. 이러한 호스트는 RADIUS 데이터베이스에 VLAN 할당이 없거나 구성된 그룹 VLAN이 포트에 할당된 그룹 VLAN과 일치해야 합니다. 그렇지 않으면 호스트는 포트에 대한 액세스가 거부됩니다. 또한 인증 서버가 dACL을 할당하는 경우, 인증된 호스트의 IP 주소를 소스 주소로 사용하도록 적용된 인터페이스 ACL이 수정됩니다. , Multi-auth mode 에서는 각 호스트에 호스트별로 차별화된 dACL이 적용됩니다.

Change of Authorization

AAA 프레임워크는CoA(Change of Authorization) 메시지를 사용하여 active subscriber 세션을 동적으로 수정합니다. 예를 들어, CoA 메시지의 RADIUS 속성은 프레임워크에 subscriber 서비스를 만들거나, 수정하거나, 종료하도록 지시할 수 있습니다.

KaiShin_12-1692020138581.png

인증에 성공하면 endpoint에 기본 네트워크 연결이 허용됩니다. 이 기본 연결 프로필을 통해 Cisco ISEprofiling, security posture functions guest 서비스를 수행할 수 있습니다. Endpoint의 상태 변경(: endpoint가 규정 준수 상태를 확인하는 경우)을 인식하면 Cisco ISEauthenticator에게 CoA 메시지를 보내고 확장 액세스 권한을 제공하며, 이 권한은 일반적으로 적절한 dACL의 형태로 설명됩니다.

802.1X Implementation Guidelines

802.1X 프로토콜은 유선 스위치 포트 및 무선 Access Points를 포함한 layer2 static access 포트에서 지원됩니다. Voice VLAN 포트 및 layer3 라우팅 포트에서도 지원됩니다.

KaiShin_13-1692020138583.png

802.1X 가 지원되지 않는 포트 유형은 아래와 같습니다.

  • Trunk ports : Trunk port에서 802.1X를 사용하도록 설정하려고 하면 오류 메시지가 나타나고 802.1X가 사용하도록 설정되지 않습니다. 802.1X 사용 포트의 모드를 트렁크로 변경하려고 하면 오류 메시지가 나타나고 포트 모드가 변경되지 않습니다.
  • Dynamic ports : Dynamic port의 포트는 Trunk port가 되기 위해 neighbor 포트와 협상할 수 있습니다. Dynamic ports에서 802.1X를 사용하도록 설정하려고 하면 오류 메시지가 표시되고 802.1X가 사용하도록 설정되지 않습니다.
  • Dynamic access ports: Dynamic access ports 에서 802.1X를 사용하도록 설정하려고 하면 오류 메시지가 표시되고 802.1X가 사용하도록 설정되지 않습니다. 802.1X 사용 포트를 dynamic VLAN 할당으로 변경하려고 하면 오류 메시지가 나타나고 VLAN 구성이 변경되지 않습니다.
  • EtherChannels : Etherchannel 의 활성화 또는 비활성 구성원인 포트를 802.1X 포트로 구성하지 마십시요. Etherchannel에서 802.1X를 활성화하려고 하면 오류 메시지가 나타나고 802.1X가 활성화되지 않습니다.

Note

Cisco IOS 릴리스 12.2(18)SE 이전 소프트웨어 릴리스에서 아직 비활성 상태인 이더채널 포트에서 802.1X를 사용하도록 설정하면 해당 포트는 이더채널에 적용되지 않습니다.

802.1X에 대한 인터페이스 구성 외에도 스위치에서 프로토콜을 전역적으로 사용하도록 설정해야 합니다. 스위치에서 802.1X를 전역적으로 사용하도록 설정하기 전에 802.1XEtherchannel이 모두 구성된 인터페이스에서 Etherchannel 구성을 제거합니다.

시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents