Skip to Content
05. Security05. AAA and 802.1X Authentication

AAA와 802.1X 인증

네트워크 보안에 관해서 AAA802.1X 인증은 우리가 사용할 수 있는 두 가지 강력한 도구입니다. 스위치에 이것이 왜 필요한지 예를 통해 보여드리겠습니다.

03_AAA and 802.1X Authentication_img_p01_01

네트워크 사용자가 집에서 가져온 자신의 무선 라우터를 스위치에 연결해 동료들과 무선 인터넷을 공유할 수 있습니다. 이러한 액세스 포인트를 로그 액세스 포인트(rogue access point) 라고 하며, 네트워크에서 보고 싶지 않은 것입니다. 탐지하기가 어렵습니다. 스위치에서는 하나의 MAC 주소만 보이기 때문입니다. 라우터가 NAT를 수행하므로 IP 주소도 하나만 보일 것이며, 이는 포트 보안(port security) 으로도 막을 수 없습니다.

이런 문제를 다루는 한 가지 방법은 AAA를 사용하는 것입니다.

AAA는 Authentication(인증), Authorization(인가), Accounting(과금)의 약자입니다.

AAA 구성 요소

03_AAA and 802.1X Authentication_img_p02_01
  • 인증(Authentication): 사용자의 신원을 확인합니다. 당신은 누구인가요?
  • 인가(Authorization): 사용자가 무엇을 할 수 있는가? 어떤 리소스에 접근할 수 있는가?
  • 과금(Accounting): 청구와 감사를 위해 사용됩니다.
03_AAA and 802.1X Authentication_img_p02_02

AAA의 기본 개념은 사용자가 네트워크에 접근하기 전에 인증을 받아야 한다는 것입니다. SW1의 fa0/1 인터페이스는 차단되며, IP 주소조차 받지 못합니다. 사용자가 할 수 있는 유일한 것은 자격 증명을 보내는 것이며, 이는 AAA 서버로 전달됩니다. 자격 증명이 정상이면 포트가 잠금 해제되고 네트워크 접근이 허용됩니다.

802.1X는 인터페이스를 차단하거나 잠금 해제하는 메커니즘입니다. 이를 포트 기반 제어(port-based control) 라고 합니다. 위 그림에서 알 수 없는 사용자가 스위치에 케이블을 꽂은 상태입니다.

802.1X 구성 요소

802.1X 인증에는 세 가지 역할이 있습니다.

  • Supplicant(요청자): 네트워크에 접근하려는 클라이언트(PC, 노트북 등). 802.1X 지원 소프트웨어가 필요합니다. 대부분의 최신 OS(Windows, macOS, Linux)는 기본 지원합니다.
  • Authenticator(인증자): 클라이언트가 연결된 네트워크 장비. 보통 스위치 또는 무선 AP. 포트를 잠그고 풀어주는 역할을 하며, 인증 요청을 Authentication Server로 중계합니다.
  • Authentication Server(인증 서버): 실제로 자격 증명을 확인하는 서버. RADIUS 또는 TACACS+ 서버를 사용합니다.

EAP와 EAPOL

802.1X는 EAP(Extensible Authentication Protocol) 를 인증 프레임워크로 사용합니다. EAP는 다양한 인증 방식을 지원합니다.

  • EAP-MD5: 사용자 이름/비밀번호 (가장 약함)
  • EAP-TLS: 클라이언트와 서버 모두 인증서 사용 (가장 강력)
  • PEAP: 서버 인증서 + 클라이언트 사용자 이름/비밀번호
  • EAP-FAST: Cisco가 개발, PAC(Protected Access Credential) 사용

Supplicant와 Authenticator 사이는 이더넷 프레임 위에서 EAP를 실어나르기 위해 EAPOL(EAP over LAN) 을 사용하고, Authenticator와 Authentication Server 사이는 RADIUS 메시지로 EAP를 캡슐화해 전달합니다.

인증 흐름

  1. Supplicant가 포트에 연결됩니다. 포트는 Unauthorized 상태로, 802.1X/EAPOL 트래픽 외에는 모두 차단됩니다.
  2. Authenticator(스위치)가 EAPOL-Start 또는 EAP-Request Identity를 보냅니다.
  3. Supplicant가 자격 증명(사용자 이름/인증서 등)을 EAPOL로 응답합니다.
  4. Authenticator가 이를 RADIUS Access-Request로 캡슐화해 Authentication Server로 전달합니다.
  5. Authentication Server가 검증 후 Access-Accept 또는 Access-Reject로 응답합니다.
  6. 성공 시 포트가 Authorized 상태로 전환되어 모든 트래픽이 허용됩니다.

RADIUS와 TACACS+

두 프로토콜 모두 AAA에 사용되지만 사용처가 다릅니다.

항목RADIUSTACACS+
포트UDP 1812/1813TCP 49
암호화 범위비밀번호만페이로드 전체
AAA 분리Authentication + Authorization 결합각각 독립
주 용도네트워크 접근 인증 (802.1X, WPA2-Enterprise, VPN)장비 관리 인증 (관리자 CLI 접근, 명령어별 권한 제어)
표준IETF RFC 2865Cisco 독점 → RFC 8907

일반적으로 사용자의 네트워크 접속 인증(유선 802.1X, 무선 WPA2-Enterprise)에는 RADIUS를, 엔지니어의 장비 관리 접근에는 세밀한 명령어 인가가 가능한 TACACS+를 많이 사용합니다. 물론 두 용도 모두에 RADIUS만 쓰는 조직도 많습니다.

어느 쪽이든 중앙 집중화의 이점은 동일합니다. 네트워크의 모든 라우터·스위치·방화벽에 개별 계정을 만들 필요 없이, AAA 서버 한 곳에서 사용자와 권한을 관리할 수 있습니다.

선택 가이드 (실무)

  • 장비 관리 (관리자 CLI): TACACS+. 각 명령어별 인가 로그를 남길 수 있어 감사에 유리.
  • 사용자 네트워크 접속 (802.1X, VPN, 무선): RADIUS. 대부분의 NAC/AP/방화벽이 RADIUS 중심 설계.
  • IoT/프린터 등 802.1X 미지원 장비: **MAB(MAC Authentication Bypass)**로 RADIUS에 MAC 등록 후 인증 — 04편 참조.
  • 둘 다 필요한 조직: Cisco ISE 같은 플랫폼이 한 서버에서 RADIUS와 TACACS+ 모두 제공.

현대 NAC — Cisco ISE 중심

기본 802.1X는 “인증 성공/실패”만 결정합니다. 실제 엔터프라이즈는 더 복잡합니다:

  • “같은 사용자라도 회사 노트북이면 내부망, 개인 BYOD면 제한 VLAN”
  • “로그인 성공했지만 안티바이러스가 꺼져 있으면 격리”
  • “게스트는 캡티브 포털 동의 후 인터넷만”
  • “IoT 센서는 특정 VLAN으로 자동 분리”

이 모든 시나리오를 중앙 정책 엔진 하나로 처리하는 것이 Cisco ISE(Identity Services Engine)의 역할입니다.

ISE 기본 구성요소

요소역할
Policy Service Node (PSN)RADIUS/TACACS+ 요청 실시간 처리
Monitoring Node (MnT)로그·분석·보고서
Administration Node (PAN)정책 설정·관리 UI
pxGrid외부 시스템(Firepower, Splunk, WSA 등)과 실시간 정보 공유

전형적 802.1X + ISE 흐름

 PC ── 802.1X ──> Switch ── RADIUS ──> ISE

                                         ├─> AD 쿼리 (사용자 신원)
                                         ├─> 디바이스 DB 조회 (회사 자산 여부)
                                         ├─> 포스처 검사 결과 확인 (AV, OS 패치)
                                         └─> 정책 매칭

        Access-Accept + VLAN/ACL/SGT <───┘

포스처(Posture) 검사

엔드포인트 상태를 인증 일부로 평가:

  • 안티바이러스 설치·최신성
  • 디스크 암호화 활성화
  • OS 패치 수준
  • 회사 인증서 존재

미달 → 격리 VLAN으로 보내 복구 후 재인증.

동적 VLAN / SGT 할당

RADIUS Access-Accept에 속성을 실어 인증 결과에 따라 VLAN이나 SGT를 실시간 할당:

! RADIUS Access-Accept에서 받는 속성 예
Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE 802
Tunnel-Private-Group-ID = "USER_VLAN_20"

! 또는 SGT (TrustSec, 27편 참조)
cisco-av-pair = "cts:security-group-tag=0010-00"

802.1X 배포 패턴 — 실수 방지용

  • Monitor Mode 먼저: 전면 시행 전 몇 주간 로깅만 — 오인증 탐지
  • Multi-auth 모드: VoIP 폰 뒤 PC 같은 멀티 호스트 처리
  • Authentication Timeout 튜닝: 기본값(30초)은 프린터·IoT에 너무 김
  • Guest 백업 VLAN: 인증 실패 시 fallback VLAN 설정 — “인증 안 되면 무조건 차단”은 프로덕션 장애 시 콜센터 폭주
  • MAB와의 결합: authentication order dot1x mab — 802.1X 먼저 시도 후 실패 시 MAB

주요 경쟁·대안

제품특징
Cisco ISERADIUS+TACACS+ 통합, pxGrid, 대기업 표준
Aruba ClearPassHPE 계열. Cisco 외 환경에서 강력
FortiNACFortinet 중심 환경 통합
Microsoft NPSAD 직결, 소규모·중견 적합. TACACS+ 없음
FreeRADIUS오픈소스. 커스터마이징 필요하지만 유연

현업 도입 팁

  • ISE 도입은 대공사: PoC → 파일럿 VLAN → 부서별 단계 확산 순서. 전사 일괄 적용 금지
  • AD 연동 안정성: ISE가 AD를 못 보면 전원 인증 실패 → 다중 AD 컨트롤러 + GC 포인트 이중화 필수
  • RADIUS 재전송 설정: Switch 쪽 RADIUS 타임아웃·재시도를 PSN 이중화에 맞춰 조정
  • 라이선스 설계: ISE는 Base/Plus/Apex 라이선스로 포스처·pxGrid 기능이 분리 과금. TCO 계산 필수

결론

  • AAA(Authentication, Authorization, Accounting)는 네트워크 접근 통제의 표준 프레임워크입니다.
  • 802.1X는 스위치 포트 단위로 인증 전까지 트래픽을 차단하는 L2 메커니즘입니다.
  • Supplicant → Authenticator → Authentication Server 3-tier 구조로 동작하며, EAP/EAPOL/RADIUS가 사용됩니다.
  • 실제 구성은 다음 강의 Cisco 스위치에서 AAA 구성에서 다룹니다.

출처: networklessons.com - AAA and 802.1X Authentication

태그: 802.1X, AAA, Security

04. MAC Authentication Bypass (MAB)06. AAA Authentication on Cisco IOS