PEAP(Protected Extensible Authentication Protocol)는 EAP(확장할 수 있는 인증 프로토콜) 프로토콜의 일부입니다.
PEAP는 TLS(전송 계층 보안)를 사용하여 무선 컴퓨터 같은 인증 PEAP 클라이언트와 NPS(네트워크 정책 서버)를 실행하는 서버 또는 다른 RADIUS(Remote Authentication Dial-In User Service) 서버 같은 PEAP 인증자 간에 암호화된 채널을 만듭니다.
PEAP와 NPS
PEAP는 인증 방법을 지정하지 않지만 PEAP에서 제공하는 TLS 암호화된 채널을 통해 작동할 수 있는 다른 EAP 인증 프로토콜(예: EAP-MSCHAP v2(Extensible Authentication Protocol-Microsoft Challenge Handshake 인증 프로토콜 버전 2))에 대해 추가 보안을 제공합니다. PEAP는 다음과 같은 종류의 네트워크 액세스 서버를 통해 조직 네트워크에 연결하는 액세스 클라이언트에 대한 인증 방법으로 사용됩니다.
-
802.1X 무선 액세스 지점
-
802.1X 인증 스위치
-
Windows Server® 2008 또는 Windows Server® 2008 R2와 라우팅 및 원격 액세스 서비스를 실행하는 VPN(가상 사설망) 서버
-
Windows Server 2008 및 TS 게이트웨이(터미널 서비스 게이트웨이) 또는 Windows Server® 2008 R2 및 RD 게이트웨이(원격 데스크톱 게이트웨이)를 실행하는 컴퓨터
EAP 프로토콜과 네트워크 보안을 강화하기 위해 PEAP는 다음을 제공합니다.
-
클라이언트와 서버 간에 발생하는 EAP 방법의 협상을 보호하는 TLS 채널. 이 TLS 채널은 공격자가 클라이언트와 네트워크 액세스 서버 간에 패킷을 삽입하여 보안 수준이 낮은 EAP 종류를 협상하지 않도록 방지합니다. 암호화된 TLS 채널은 NPS 서버에 대한 서비스 거부 공격을 방지하는 데에도 유용합니다.
-
메시지 조각화 및 리어셈블리 지원. 이렇게 하면 이 기능을 제공하지 않는 EAP 종류를 사용할 수 있습니다.
-
NPS 서버 또는 다른 RADIUS 서버를 인증하는 기능을 가진 클라이언트. 서버도 클라이언트를 인증하므로 상호 인증이 발생합니다.
-
NPS 서버가 제공한 인증서를 EAP 클라이언트에서 인증할 때 권한이 없는 무선 액세스 지점의 배포 방지. 또한 PEAP 인증자와 클라이언트가 만든 TLS 마스터 암호는 액세스 지점과 공유되지 않습니다. 따라서 액세스 지점에서는 PEAP로 보호된 메시지의 암호를 해독할 수 없습니다.
-
클라이언트의 인증 요청과 NPS 또는 다른 RADIUS 서버의 응답 간 지연을 줄이는 PEAP 빠른 다시 연결. 또한 PEAP 빠른 다시 연결을 사용하면 무선 클라이언트는 인증을 반복 요청할 필요 없이 동일한 RADIUS 서버의 RADIUS 클라이언트로 구성된 액세스 지점 간을 이동할 수 있습니다. 이렇게 하면 클라이언트와 서버 모두에 대한 리소스 요구 사항이 줄어들고 사용자가 자격 증명을 입력해야 하는 횟수가 최소화됩니다.
다음 표에서는 MS-CHAP v2와 비교하여 PEAP-MS-CHAP v2의 장점을 보여 줍니다.
| 기능 | MS-CHAP v2 | PEAP-MS-CHAP v2 |
|---|---|---|
|
암호를 사용한 클라이언트 인증 제공 |
예 |
예 |
|
서버가 자격 증명에 액세스할 수 있는지 확인 |
예 |
예 |
|
서버 인증 |
예 |
예 |
|
무선 액세스 지점 스푸핑 방지 |
아니요 |
예 |
|
권한이 없는 서버가 보안 수준이 가장 낮은 인증 방법을 협상하지 못하도록 방지 |
아니요 |
예 |
|
공개 키를 사용하여 생성된 TLS 키 사용 |
아니요 |
예 |
|
종단 간 암호화 제공 |
아니요 |
예 |
|
사전 공격(Dictionary Attack) 또는 무차별 암호 대입 공격(brute force attack) 방지 |
아니요 |
예 |
|
재생 공격 방지 |
아니요 |
예 |
|
인증 방법의 체인 작업 허용 |
아니요 |
예 |
|
서버가 제공한 인증서에 대한 클라이언트의 신뢰 요구 |
아니요 |
예 |
PEAP 인증 절차
PEAP 클라이언트와 인증자 간의 PEAP 인증 절차는 두 단계로 이루어집니다. 첫 번째 단계에서는 PEAP 클라이언트와 인증 서버 간에 보안 채널을 설정합니다. 두 번째 단계에서는 PEAP 클라이언트와 인증자 간에 EAP 인증을 제공합니다.
TLS 암호화 채널
PEAP 인증의 첫 번째 단계에서는 PEAP 클라이언트와 NPS 서버 간에 TLS 채널이 만들어집니다. 다음 단계에서는 무선 PEAP 클라이언트에 대해 이 TLS 채널이 만들어지는 방법을 보여줍니다.
-
PEAP 클라이언트가 NPS를 실행하는 서버에 대해 RADIUS 클라이언트로 구성된 무선 액세스 지점과 연결합니다. IEEE 802.11 기반 연결은 PEAP 클라이언트와 액세스 지점 간에 보안 연결이 만들어지기 전에 개방 시스템 또는 공유 키 인증을 제공합니다.
-
클라이언트와 액세스 지점 간에 IEEE 802.11 기반 연결이 성공적으로 설정된 후 액세스 지점과 TLS 세션이 협상됩니다.
-
무선 PEAP 클라이언트와 NPS 서버 간에 컴퓨터 수준 인증이 성공적으로 완료된 후 클라이언트와 서버 간에 TLS 세션이 협상됩니다. 이 협상 중에 파생된 키는 사용자가 조직 네트워크에 연결하도록 허용하는 네트워크 액세스 인증을 비롯하여 이후의 모든 통신을 암호화하는 데 사용됩니다.
EAP 인증 통신
EAP 협상을 비롯한 전체 EAP 통신은 TLS 채널을 통해 이뤄지며 이는 PEAP 인증의 두 번째 단계입니다. 다음 단계에서는 이전 예를 확장하고 무선 클라이언트가 PEAP를 사용하여 NPS 서버와 인증을 완료하는 방법을 보여줍니다.
NPS 서버와 PEAP 클라이언트 간에 TLS 채널이 만들어진 후 클라이언트는 암호화된 채널을 통해 NPS 서버에게 자격 증명(사용자 이름과 암호 또는 사용자 또는 컴퓨터 인증서)을 전달합니다.
액세스 지점은 무선 클라이언트와 RADIUS 서버 간에 메시지를 전달하는 역할만 하며, 액세스 지점(또는 액세스 지점을 모니터링하는 사용자)은 TLS 끝점이 아니기 때문에 이러한 메시지의 암호를 해독할 수 없습니다.
NPS 서버는 PEAP와 함께 사용하도록 선택된 인증 유형을 통해 사용자와 클라이언트 컴퓨터를 인증합니다. 인증 유형은 EAP-TLS(스마트 카드 또는 기타 인증서)나 EAP-MS-CHAP v2(보안 암호)일 수 있습니다.
 | 참고 |
|
NPS 네트워크 정책에서 PEAP를 인증 방법으로 구성할 수 있습니다. |
EAP 종류
PEAP와 함께 사용할 EAP 종류(인증 유형이라고도 함)로 EAP-MS-CHAP v2 또는 EAP-TLS 중에서 선택할 수 있습니다. EAP-MS-CHAP v2는 사용자 인증에 암호 기반 자격 증명(사용자 이름 및 암호)을 사용하고 서버 인증에는 서버 컴퓨터 인증서 저장소에 있는 인증서를 사용합니다. EAP-TLS는 사용자 및 클라이언트 컴퓨터 인증에 클라이언트 컴퓨터 인증서 저장소에 설치된 인증서 또는 스마트 카드를 사용하고 서버 인증에는 서버 컴퓨터 인증서 저장소에 있는 인증서를 사용합니다.
EAP-MS-CHAP v2를 사용하는 PEAP
PEAP-MS-CHAP v2(EAP-MS-CHAPv2를 사용하는 PEAP)는 인증서나 스마트 카드 대신 암호 기반 자격 증명(사용자 이름 및 암호)을 통해 사용자 인증을 수행하기 때문에 EAP-TLS보다 배포하기가 쉽습니다. NPS 서버 또는 다른 RADIUS 서버에만 인증서가 필요합니다. NPS 서버 인증서는 NPS 서버가 인증 과정 중에 PEAP 클라이언트에게 서버의 ID를 증명하는 데 사용됩니다.
PEAP-MS-CHAP v2 인증이 성공적으로 수행되려면 클라이언트가 서버 인증서를 검사한 후 NPS 서버를 신뢰해야 합니다. 클라이언트가 NPS 서버를 신뢰하기 위해서는 서버 인증서를 발급한 CA(인증 기관)의 고유 인증서가 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 있어야 합니다.
NPS가 사용하는 서버 인증서는 조직의 신뢰할 수 있는 루트 CA나 클라이언트 컴퓨터가 이미 신뢰한 Verisign 또는 Thawte 같은 공용 CA에서 발급할 수 있습니다.
| 참고 |
|
PEAP-MS-CHAP v2는 TLS를 사용한 키 생성을 제공하고 상호 인증을 사용하여 권한이 없는 서버가 PEAP 클라이언트와 보안 수준이 가장 낮은 인증 방법을 협상하지 못하도록 방지함으로써 MS-CHAP v2보다 크게 향상된 보안을 제공합니다. |
EAP-TLS를 사용하는 PEAP
AD CS(Active Directory 인증서 서비스)를 사용하여 PKI(공개 키 인프라)를 배포하는 경우 PEAP-TLS(EAP-TLS를 사용하는 PEAP)를 사용할 수 있습니다. 인증서는 암호 기반 자격 증명을 사용하는 방법보다 훨씬 더 강력한 인증 방법을 제공합니다. PEAP-TLS는 서버 인증에 인증서를 사용하고, 사용자 및 클라이언트 컴퓨터 인증에는 포함 인증서가 들어 있는 스마트 카드 또는 클라이언트 컴퓨터에 등록되고 로컬 컴퓨터의 인증서 저장소에 저장된 인증서를 사용합니다. PEAP-TLS를 사용하려면 PKI를 배포해야 합니다.
PEAP 빠른 다시 연결
PEAP 빠른 다시 연결을 사용하면 무선 클라이언트가 새 액세스 지점과 연결할 때마다 다시 인증받을 필요 없이 동일한 네트워크의 무선 액세스 지점 간에 이동할 수 있습니다.
무선 액세스 지점은 RADIUS 서버의 RADIUS 클라이언트로 구성됩니다. 무선 클라이언트가 동일한 RADIUS 서버의 클라이언트로 구성된 액세스 지점 간을 로밍하는 경우 클라이언트는 새로 연결할 때마다 인증받지 않아도 됩니다. 클라이언트가 다른 RADIUS 서버의 RADIUS 클라이언트로 구성된 액세스 지점으로 이동하는 경우 클라이언트는 다시 인증을 받지만 이 과정은 훨씬 더 빠르고 효율적으로 진행됩니다.
PEAP 빠른 다시 연결은 인증 요청이 새 액세스 지점에서 원래 클라이언트 연결 요청의 인증과 권한 부여를 수행한 NPS 서버로 전달되기 때문에 클라이언트와 인증자 간에 인증을 위한 응답 시간을 줄여 줍니다. PEAP 클라이언트와 NPS 서버는 모두 이전에 캐시된 TLS 연결 속성(TLS 핸들이라는 이름의 속성 모음)을 사용하므로 NPS 서버는 클라이언트 연결이 다시 연결인지 빠르게 확인할 수 있습니다.
클라이언트는 여러 PEAP 인증자에 대해 TLS 핸들을 캐시할 수 있습니다. 원래 NPS 서버를 사용할 수 없으면 전체 인증은 클라이언트와 새 인증자 간에 수행되어야 합니다. 새 PEAP 인증자의 TLS 핸들은 클라이언트에서 캐시합니다. 스마트 카드 또는 PEAP-MS-CHAP v2 인증의 경우 사용자는 각각 PIN 또는 자격 증명을 제공해야 합니다.
PEAP-MS-CHAP v2 인증을 사용하는 경우
| 새 액세스 지점이 동일한 RADIUS 서버의 클라이언트인 경우 | 새 액세스 지점이 새 RADIUS 서버의 클라이언트인 경우 |
|---|---|
|
클라이언트 컴퓨터가 새 액세스 지점과 연결할 때마다 사용자에게 자격 증명을 요구하는 메시지가 표시되지 않습니다. |
이러한 처음 연결에서 사용자에게 자격 증명을 요구하는 메시지가 표시됩니다. 다음에 클라이언트 컴퓨터가 이 서버의 클라이언트인 액세스 지점과 연결할 때는 사용자 자격 증명이 필요하지 않습니다. |
|
RADIUS 서버는 인증서를 제공하지 않아도 됩니다. |
RADIUS 서버는 무선 클라이언트가 RADIUS 서버를 인증할 수 있도록 이 처음 연결에서 인증서를 제공합니다. 다음에 클라이언트 컴퓨터가 이 서버의 클라이언트인 액세스 지점과 연결할 때 서버는 다시 인증받지 않아도 됩니다. |
PEAP-TLS 인증을 사용하는 경우
| 새 액세스 지점이 동일한 RADIUS 서버의 클라이언트인 경우 | 새 액세스 지점이 새 RADIUS 서버의 클라이언트인 경우 |
|---|---|
|
클라이언트와 서버는 인증서를 교환하지 않아도 됩니다. |
클라이언트와 서버는 이 처음 연결에서 인증서를 교환합니다. 다음에 클라이언트 컴퓨터가 이 서버의 클라이언트인 액세스 지점과 연결할 때는 인증서를 교환하지 않습니다. |
|
클라이언트 컴퓨터가 새 액세스 지점과 연결할 때마다 사용자에게 스마트 카드 PIN(개인 식별 번호)을 요구하는 메시지가 표시되지 않습니다. |
이러한 처음 연결에서 사용자에게 스마트 카드 PIN을 요구하는 메시지가 표시됩니다. 다음에 클라이언트 컴퓨터가 이 서버의 클라이언트인 액세스 지점과 연결할 때는 사용자에게 PIN을 요구하는 메시지가 표시되지 않습니다. |
PEAP 빠른 다시 연결을 사용하도록 설정하려면
-
PEAP 클라이언트(802.11 무선 클라이언트)와 PEAP 인증자(RADIUS 서버)에 모두 빠른 다시 연결을 사용하도록 설정되어 있어야 합니다.
-
PEAP 클라이언트가 로밍하는 모든 액세스 지점은 PEAP가 무선 연결에 대한 인증 방법으로 구성된 RADIUS 서버(PEAP 인증자)의 RADIUS 클라이언트로 구성되어야 합니다.
-
PEAP 클라이언트가 연결하는 모든 액세스 지점은 모든 RADIUS 서버에서 자격 증명을 요구하는 메시지가 표시되지 않도록 동일한 RADIUS 서버(PEAP 인증자)를 기본 설정으로 사용하도록 구성해야 합니다. RADIUS 서버를 기본 설정으로 사용하도록 액세스 지점을 구성할 수 없으면 기본 설정 RADIUS 서버를 사용하여 NPS RADIUS 프록시를 구성할 수 있습니다.
추가 정보
-
PEAP는 게스트 인증을 지원하지 않습니다.
-
PEAP 및 PEAP로 보호되지 않는 EAP를 모두 배포할 때는 PEAP를 사용할 때와 사용하지 않을 경우에 동일한 EAP 인증 유형을 사용하지 마십시오. 예를 들어 PEAP-TLS를 배포하는 경우 PEAP가 없으면 EAP-TLS도 배포하지 마십시오. 동일한 유형의 인증 방법을 배포하면 보안 취약점이 발생합니다.