안녕하세요.
오피스 SDN 구성을 위한 효율적인 Network 인증 4번째 포스팅으로 인증서 기반의 인증에 대해 알아 보겠습니다.
첫번째 포스팅에서 우리가 선택 가능한 인증의 방식은 크게 3가지가 있다고 설명 드렸습니다.
- MAC Address
- ID/PW
- 인증서
이중 가장 많이 사용 되고 권장 받는 방식은 ID/PW 기반의 인증 입니다. MAC Address 기반의 인증은 단순 하지만 보안적인 측면에서는 ID/PW 방식에 비해 부족한 부분이 있기 때문 입니다. 이번 포스팅에서는 ID/PW 보다 한발 더 나아간 인증서 기반의 인증에 대해 알아 보겠습니다.
인증서 방식의 인증은 기존 인증 방식에서는 사용 되지 않은 새로운 인증 방식은 아닙니다. 다만 인증서를 어느 쪽에서 요구 하느냐의 차이가 있습니다.
무선랜 인증을 위해 주로 사용된 인증 방식 PEAP는 인증서를 사용 하지만, 단말의 인증서를 확인 하지 않고, 인증을 위해 연결 될 인증서버의 인증서만 확인 하는 방식 입니다.
인증서버의 인증서 확인이 끝나면 단말의 식별은 단말이 제출 하는 ID/PW를 통해 이루어 지는 방식 입니다.
하지만 대부분 인증서버가 유효한 인증서를 사용 하지 않는 관계로 인증서버의 인증서 확인 절차를 무시하거나 신뢰 하는 인증서로 강제 등록 해주어 실제 인증에서는 서버의 인증서 확인이 무의미 하게 됩니다.
무선랜 연결 등 오랫동안 ID/PW 기반의 인증(PEAP)를 사용 해왔지만, 지속 적인 보안 이슈와 더불어 Windows/MacOS 등 대부분의 운영 체제의 권장 인증 방식이 EAP-TLS, 즉 인증서버와 단말의 상호 인증서 인증 방식으로 변화 함에 따라, EAP-TLS로의 전환이 네트워크 인증의 하나의 숙제가 되었습니다. EAP-TLS 방식으로의 전환은 단순한 인증서버의 정책의 변화가 아닌 다음의 사항을 해결 할 방안이 필수적으로 동반 되어야 합니다.
- 단말의 기본 인증 방식이 EAP-TLS 가 아니므로 인증 방식 변경을 위한 단말의 프로파일 설정 변경 필요
- 단말/서버의 인증서 배포 및 관리의 어려움
위의 과정을 개개인의 사용자가 안내문을 통해 변경 할 수 있다면 좋겠지만, 운영자의 입장에서는 사용자의 불편함을 최소화 하고, 무리 없는 PEAP -> EAP-TLS 도입과정의 설계가 필요 합니다. 물론 Cisco 인증서버인 ISE등 각 인증서버들은 나름의 자체적인 인증서 배포 및 관리 기능을 제공 하고 있습니다. 하지만 인증서버의 인증서 관리 기능은 매우 단순한 기능만 제공 되므로 사용자 입장에서 불편한 지점이 있으며 경우에 따라 제약 사항이 존재 합니다.
따라서 인증서버가 EAP-TLS 환경의 인증의 주체로 동작함과 동시에 단말의 인증서를 효율적으로 배포 및 관리할 또 다른 시스템이 필요 합니다.
이번 포스팅의 테스트 에서는 EAP-TLS로의 전환을 위한 가장 기본 적인 인증서의 배포 및 관리를 편리하게 수행 하기 위해 삼성 클라우드 플랫폼의 Single ID와 함께 테스트 환경을 구성 하였습니다. 이 구성에서 각각의 시스템은 다음의 역할을 수행 합니다.
- 단말 및 인증서버의 인증서 발급 -> Single ID
- 단말의 인증 프로파일 변경 및 SSID 제어 -> Single ID
- 인증서를 기반 인증 수행 -> ISE
- 인증서 미발급 단말의 Single ID 연결 -> ISE
인증서 발급 및 프로파일 관리는 Single ID를 통해 진행, 인증서를 가지지 않은 단말의 식별과 인증서 발급 페이지의 유도는 ISE가 담당 하게 됩니다.
인증서 미발급 단말의 인증서 발급 과정은 아래의 Flow를 통해 진행 됩니다.
[인증서 미발급 단말]
- 인증서 미발급 단말은 인증서 발급을 위한 네트워크(SSID)에 연결 됩니다.
- 인증서버는 인증서 미발급 단말을 인식 하고 Single-ID로 연결을 유도 합니다.
- 단말은 인증서 발급을 위한 페이지로 연결 됩니다.
- 인증서 발급 페이지에서 login을 통해 신원을 확인을 완료 합니다.
- 단말은 인증서 발급 프로그램과 인증 변경 프로파일을 제공 받습니다.
- 발급 받은 프로그램을 통해 본인의 고유 정보 (Username/부서명 등)이 포함 된 인증서와 새롭게 연결 될 SSID가 반영 됩니다.
발급된 인증서 정보, SAN (Subject Alternative Name) 필드의 DNS name 값으로 (Useranme=alex_h.han, 부서명=defaultGroup) 이 포함된 인증서가 발급 되었습니다. 인증과정에서 해당 인증서의 부서명 값을 기준으로 VLAN을 할당 하게 됩니다.
[인증서 발급 단말]
인증서의 발급이 완료 된 단말은
- 프로파일에 저장 된 SSID로 자동 연결 되며, 함께 연결 된 인증서를 제출 하게 됩니다.
- 인증서버는 제출 된 인증서와 인증서버 정책을 비교 합니다.
- 인증서 내부 정보와 별도로 해당 계정의 계정 DB 정보가 추가 확인이 필요한 경우 계정 DB에 추가 질의가 가능 합니다.
- 인증서버 정책에 따란 권한 (VLAN)을 제공 합니다.
위의 프로파일 배포 과정에서 추가적으로 언급 하지는 않았지만, 프로파일 배포 과정에서 단말이 연결 가능한 SSID의 제어 등 추가적인 무선 보안 조치 또한 가능 합니다.
해당 구성을 통해 다음의 장점을 가져 갈 수 있습니다.
- 인증서 배포와 인증 시스템의 Flow 통합
- 인증서의 다양한 속성 값을 바탕으로 네트워크 인증 및 분리
- 프로파일 배포를 통한 추가적인 무선 보안 구현
- 인증서버에 별도의 DB 연동 불필요
위의 조건을 만족하는 구성을 하나의 시스템으로 구현이 가능 할 수 있습니다. 하지만 운영적인 측면에서 보았을때 무리하게 하나의 시스템에서 구성 하는것 보다, 각각의 시스템이 잘 할수 있는 영역을 설정하고, 이를 하나의 Flow로 연결 하는것이 더욱 효과적일 수 있습니다.
아래의 삼성 클라우드 플랫폼의 블로그에서도 해당 내용 확인이 가능 합니다.
4개의 포스팅을 통해 SDN 네트워크와 무선 네트워크 등 인증이 필요한 네트워크에 기존 보안 시스템과 인증서버를 어떻게 효율적으로 연결 할지, 보다 안정적인 인증 방식으로 전환을 효율적으로 진행 할지에 대해 고민한 내용을 공유 하는 차원에서 전달 드렸습니다.
현재 혹은 미래에 계획 중인 인증 방식의 고도화 및 적용시에 참고 하시기를 바라며, 다른 좋은 아이디어가 있다면 언제든지 환영 합니다.
감사합니다.
Authors