오늘은 SDA의 가장 큰 축인 인증에 대해 알아보고자 합니다.
인증이라고 하면 어떤 내용이 떠오르시나요?
매일같이 사용하는 포털 사이트 로그인도 인증의 한 부분이고, 카페에서 와이파이에 접속하기 위해 입력하는 비밀번호도 인증입니다. 이와 같이 인증이 필요한 이유는, 서비스에 접속하는 사용자가 안전한 사용자임을 확인하기 위해서입니다.
오늘은 SDA 망에서 네트워크에 접속하는 사용자 인증에 대해 알아봅시다.
우선, 네트워크에서 인증이 필요한 이유부터 살펴봅시다.
네트워크 접속 시 인증이 꼭 필요할까요? 그렇지 않습니다. 예를 들어 집에서 LAN 케이블을 연결해서 인터넷을 하는 경우 따로 비밀번호를 입력할 필요가 없습니다. 다만 이렇게 인증이 없는 네트워크의 경우, 집에 외부인이 들어와 외부 노트북을 연결해도 아무런 보안 없이 인터넷이 연결됩니다.
물론 가정용 네트워크에 외부 노트북을 연결하는 건 크게 문제될 일이 없습니다. 하지만 사업장 또는 학교라면 어떨까요? 위험한 단말이 네트워크에 자유롭게 연결되면 보안 위협이 생길 가능성이 높아지겠죠. 따라서 최근 구축하는 대부분의 사업장 네트워크에는 사용자 인증이 포함되고 있습니다.
이처럼 인증을 하면 보안적으로 안전해질 뿐 아니라, 사용자/단말 별로 적합한 권한을 할당할 수도 있습니다. 이 때 권한이란, 해당 사용자/단말의 네트워크 사용 범위를 뜻하며 VLAN, ACL, Security Group Tag* 를 통해 사용 범위를 제어할 수 있습니다.
예를 들어, 유선 사용자와 무선 사용자 간에 서로 다른 VLAN 을 부여하여 유선 사용자와 무선 사용자 간의 통신을 제어할 수 있습니다. 또는 사내 구매팀과 개발팀에 서로 다른 Security Group Tag 를 부여하여 구매팀과 개발팀 간 통신을 제어할 수 있습니다.
이렇게 권한을 할당하는 행위를 일컬어 ‘인가 (Authorization)’ 라 합니다.
* Security Group Tag: 네트워크 트래픽의 출발지에 따라 권한을 부여하는 기술입니다.
SDA 인증 및 인가 과정
그렇다면, SDA 네트워크에 단말이 연결될 때 인증과 인가 과정은 어떻게 될까요?
- 사용자 A 가 SDA 네트워크에 연결되면, Edge 스위치 포트에서 A에게 인증 요청을 보냅니다.
- 사용자 A 는 본인의 인증 정보를 담은 EAP 패킷을 Edge 스위치에 전달합니다. EAP 패킷 설명은 아래를 참고하시기 바랍니다.
3 – 4. 사용자 A 의 인증 정보를 담은 EAP 패킷이 인증 서버에 전달됩니다.
- 인증 서버는 EAP 패킷의 내용을 확인합니다. 사용자 A의 인증이 성공하면 알맞은 권한 (VLAN, ACL, Security Group Tag) 을 회신합니다.
- 사용자 A 의 권한은 사용자 A가 연결된 Edge 스위치 포트에 할당됩니다.
EAP 패킷이란 무엇일까요?
EAP란 Extensible Authentication Protocol 의 약자로써, 확장 가능한 인증 프로토콜입니다. 간단하게는 ID/패스워드를 담은 특수한 패킷이라고 생각하시면 됩니다.
단말과 인증 서버 간에는 다양한 인증 알고리즘을 사용할 수 있는데, EAP는 인증 정보를 전달하는 패킷으로써 모든 인증 알고리즘이 동일하게 사용하는 패킷 형태입니다. 어떠한 알고리즘이라도 사용 가능하다는 의미에서 ‘확장 가능한’이라는 수식어가 붙습니다.
오늘은 SDA의 가장 큰 축, 인증에 대해 알아보았습니다. 네트워크에서 인증이 필요한 이유부터 인가를 통한 사용자 권한 할당, 단말의 인증 및 인가 과정까지 살펴보았습니다.
여기까지 SDA 초심자 이야기 시리즈를 통해 1장 – SDA 가 출시된 배경, 2장 – SDA 의 구성 요소, 3장 – SDA 의 근간을 이루는 기술 VXLAN, LISP, 그리고 4장 – 인증까지 공부해보았습니다. 이번 시리즈를 통해 SDA 기술의 기본적인 이해에 도움이 되셨기를 바랍니다.
[SDA 초심자이야기 3] SDA 를 이루는 필수 기술
[SDA 초심자이야기 4] SDA 의 핵심 – 인증이란?