WPA2(Wi-Fi Protected Access 2)는 IEEE 802.11i 표준을 기반으로 하는 무선 네트워크 보안 프로토콜입니다. WPA2는 두 가지 인증 방식을 지원합니다. 하나는 PSK(Pre-Shared Key) 방식이고, 다른 하나는 EAP(Extensible Authentication Protocol) 방식입니다.
EAP는 확장 가능한 인증 프로토콜로, 다양한 인증 방식을 지원합니다. WPA2에서 EAP를 사용하는 경우, 일반적으로 802.1X/EAP 프레임워크를 사용하여 인증을 수행합니다. 802.1X/EAP 프레임워크는 다음과 같은 절차로 구성됩니다.
- 클라이언트(supplicant)는 무선 액세스 포인트(AP)에 연결을 시도합니다.
- AP는 클라이언트에게 EAP 시작 메시지를 전송하여 EAP 인증 프로세스를 시작합니다.
- 클라이언트와 인증 서버(authentication server)는 EAP 메시지를 교환하여 클라이언트의 신원을 확인합니다. EAP 메시지는 다양한 형식을 가질 수 있으며, 사용되는 EAP 타입에 따라 다릅니다.
- 인증 서버는 클라이언트의 신원을 확인한 후, AP에게 클라이언트에 대한 액세스 권한을 부여합니다.
- AP는 클라이언트에게 액세스 권한을 부여하고, 클라이언트는 무선 네트워크에 연결됩니다.
WPA2에서 EAP를 사용하는 경우, 다음과 같은 EAP 타입을 사용할 수 있습니다.
- EAP-TLS(Transport Layer Security): 인증서를 사용하여 클라이언트와 서버의 신원을 확인하는 방식입니다.
- EAP-TTLS(Tunneled Transport Layer Security): EAP-TLS와 유사하지만, 클라이언트는 인증서를 가지고 있지 않아도 된다는 점이 다릅니다. 대신 사용자 이름과 패스워드를 사용하여 인증합니다.
- PEAP(Protected EAP): EAP-TLS와 유사하지만, 클라이언트와 서버 간의 통신을 보호하기 위해 TLS 터널을 사용합니다.
- EAP-FAST(Flexible Authentication via Secure Tunneling): Cisco Systems에서 개발한 EAP 타입으로, 사용자 이름과 패스워드 없이 인증을 수행할 수 있습니다.
- EAP-SIM(Subscriber Identity Module): SIM 카드를 사용하여 클라이언트의 신원을 확인하는 방식입니다.
- EAP-AKA(Authentication and Key Agreement): 3GPP(3rd Generation Partnership Project)에서 정의한 EAP 타입으로, USIM(Universal Subscriber Identity Module) 카드를 사용하여 클라이언트의 신원을 확인합니다.
이러한 EAP 타입을 사용하여 WPA2에서 강력한 인증을 수행할 수 있습니다. 그러나 EAP를 사용하려면 인증 서버가 필요하며, 인증 서버를 설치하고 관리하는 데 추가 비용이 발생할 수 있습니다.
DevSecOps Pentest🚩