Search
Wifi 802.1x EAP(PEAP) CA 인증서
2 min read

Wifi 802.1x EAP(PEAP) CA 인증서

UseeGod's Picture
UseeGod in Android

오랜만에 회사에서 안드로이드 공기계 와이파이를 연결하려 했는데 아이폰에서는 특정 조건 없이 잘 연결되는데 안드로이드에서는 Wifi 연결 시 연결이 되지 않아 802.1x의 EAP-PEAP를 적용한 와이파이를 확인해봤습니다.

802.1x

IEEE 802.1X란, 네트워크에 접속하는 컴퓨터등의 단말을 인증하는 방법을 정한 표준 규격중 하나로 이 표준은 근거리통신과 무선랜을 연결하기 위한 장치의 인증 메커니즘을 제공합니다.

IEEE 802.1x 규격에서는 크게 세 종류의 개체를 정의하고 있습니다.

  • 서플리컨트(supplicant): 인증받기를 원하는 이용자 또는 클라이언트
  • 인증 서버(authentication server): 인증을 이행하는 실제 서버, 일반적으로 RADIUS 서버임
  • 인증자(authenticator): 서플리컨트 및 인증 서버 사이의 기기, 예를 들어 무선 액세스 포인트 등

802.1x 인증 프로세스

802.1X의 핵심 혜택 가운데 하나는 인증자가 단순하고 처리 능력이 필요 없다는 것입니다. 처리 기능은 서플리컨트와 인증 서버에만 있으면 됩니다. 이는 802.1X를 무선 액세스 포인트에 가장 이상적인 표준으로 만듭니다. 일반적으로 메모리와 처리 능력이 거의 없기 때문입니다.

EAPOL은 802.11 와이어리스 등 이더넷과 유사한 LAN을 위해, 그리고 FDDI 같은 토큰 링 LAN을 위해 정의됩니다. EAPOL은 특별히 정교하지는 않습니다. 여러 작용 방식이 있지만, 가장 보편적인 인증 순서는 아래와 같습니다.

  1. 인증자(authenticator)는 링크가 활성 상태임을 감지한 즉시 서플리컨트에게 ‘EAP-요청/신원’ 패킷을 전송한다. 예를 들어 서플리컨트 시스템이 액세스 포인트와 연계될 때를 가리킨다.
  2. 서플리컨트가 ‘EAP-응답/신원’ 패킷을 인증자에게 전송하고, 인증자는 이를 인증 서버(RADIUS)로 이송한다.
  3. 인증 서버는 인증자에게 토큰 비밀번호 시스템 같은 챌린지를 반송한다. 인증자는 이를 IP로부터 추출해 EAPOL 안으로 리패키징한 후 서플리컨트에게 전송한다. 메시지와 메시지 수는 인증 방식에 따라 다르다. EAP는 클라이언트 단독 인증과 강력한 상호 인증만을 지원한다. 무선 네트워크에는 강력한 상호인증만이 적합하다.
  4. 서플리컨트는 인증자를 통해 챌린지에 응답하고, 인증자는 응답을 인증 서버로 전달한다.
  5. 서플리컨트가 정확한 신원을 제공한 경우 인증 서버는 성공 메시지로 응답하고, 이는 서플리컨트에게 전달된다. 인증자는 이제 LAN 액세스를 허용한다. 그러나 인증 서버로부터 반송된 속성에 따라 액세스는 제한적일 수 있다. 예를 들어 인증자는 서플리컨트를 특정 가상 LAN으로 전환하거나 일련의 방화벽 규칙을 적용할 수 있다.


그러면 Wifi 연결 시 802.1x EAP로 보안이 적용되어 있는데 CA 인증서 선택안함 시 특정 인증서가 없어 보안 연결이 제공되지 않습니다. 는 무슨 의미인가?

CA 인증서

CA 인증서는 검증된 인증기관(Certificate Authority, CA) 에서 만들어진 디지털 인증서로, 해당 와이파이 망이 진짜 서비스 제공자가 운영하는 와이파이 망인지 검증하는데 사용된다.

이는 만약 사용자가 802.1x Wifi를 사용하기 위해 평소에 접속하려던 와이파이 이름(SSID)에 접속하려고 하는데 이 때 공격자가 악의적으로 피싱을 하기 위해 이름이 같은 Wifi를 만들어 두고 기다린다면 사용자는 어떤게 접속하려는 Wifi인지 확인이 어렵다.

이러한 문제를 해결하기 위해 HTTPS 처럼 인증서를 사용하는 방식으로 인증기관이 발행한 인증서를 통한 검증방식을 적용할 수 있다.

EAP-PEAP 보안 방식에서 CA인증서에 기록된 복호화 키로 서버측 인증서를 복호화 하는 방식을 통해 복호화가 성공한다면 검증된 wifi고 복호화가 실패한다면 악의적으로 만든 wifi일 확률이 높음을 의미합니다.

공용 Wifi 접속 방법

CA 인증서를 사용하지 않는 Wifi 접속 방법

이미지 2

📃 References

https://www.datanet.co.kr/news/articleView.html?idxno=20438
https://tattler.tistory.com/154

You may also like

Custom Binary Blocked by FRP Lock + Rooting
2 min read

Custom Binary Blocked by FRP Lock + Rooting

갤럭시 벽돌 해결 순정 펌웨어 업데이트 + 안드로이드 루팅

UseeGod's Picture
UseeGod in Android
Apktool AppGuard 디컴파일 오류 해결
1 min read

Apktool AppGuard 디컴파일 오류 해결

UseeGod's Picture
UseeGod in Android Error
U ENGINE
1 min read

U ENGINE

Mobile Security Tool

UseeGod's Picture
UseeGod in Android

Latest Posts

Web3 자료 모음
1 min read

Web3 자료 모음

UseeGod's Picture
UseeGod
토큰기반 인증에서 bearer 란?
2 min read

토큰기반 인증에서 bearer 란?

UseeGod's Picture
UseeGod

Explore Tags

Android BugBounty CVE CheatSheet Cloud Error Git HTB IOS Reversing Web Web3