MAB (MAC Authentication Bypass) Summary #2

5. Feature Interaction

MAB 관련자료를 읽어보면 802.1X에 대한 이야기가 자주 등장한다. 처음 MAB 자료를 읽어보면서 나도 왜 자꾸 등장하는 개념인지 궁금해다가 스스로 정리할 기회가 생겨 짧게 요약해본다. network access가 필요한 모든 장비들이 802.1X authentication을 support하지 않기에 사용되는 기술을 MAB이라고 보면된다. 예를 들어, 빌딩 환경을 감시하는 센서라던가 보안카메라 또는 무선전화기를 생각해보면 network access를 제공하기 위해서는 802.1X의 대안이 필요하다. 이 때 MAB을 이용해 endpoint의 network access 여부를 결정하면 된다. 내가 참고한 자료에서 설명하고 있듯이 MAB은 IEEE 802.1X 구축에 있어서 중요한 부분이며 non-IEEE 802.1X endpoint를 수용할 수 있도록 Cisco가 제공하는 기술이다. MAB가 더불어 Web authentication, Guest VLAN 할당, Authentication Failure VLAN 할당 등 다양한 형태로 활용가능하다.

 

1. MAB as Fallback Mechanism - IEEE 802.1X time out이 발생하면 MAB process가 시작된다. 앞서 언급한 것처럼 endpoint가 IEEE 802.1X compatible하지 않는 장치이기 때문이다. 하지만 dot1X의 time out 이전에 endpoint의 pre-execution Environment (PXE) 과정이 time out되거나 DHCP가 backoff 과정이 발생하면 MAB이 수행되지 않기 때문에 network access를 얻을 수 없게된다. 이를 해결하려면 dot1X의 timer를 줄이거나, Flexible Authentication 방식을 사용하는 것이다. Flexible Authentication이란 dot1X과정 이전에 MAB을 수행하게 하는 방법이다. 이후 MAB이 실패하게 되면 dot1X 과정을 수행토록 하는 설정이다.

   

2. MAB as failover Mechanism - IEEE 802.1X 방식은 지원하지만 invalid credentail이 사용된 경우 해당 mechanism을 사용한다. MAB은 dot1X가 실패한 경우 즉시 수행되기 때문에 이 방법은 timing 관련 문제는 없다. 단, MAB 실행을 유발시키기 위해서는 dot1X failure packet을 endpoint에서 보내야 한다.  

5.1 IEEE 802.1X Timer

아래 diagram과 같이 스위치 interface의 link가 up되면 EAP 패킷을 보낸다. 이때, dot1x tiomeout tx-period 설정값에 따라서 EAP Request-Identity packet이 시간차를 두고 보내지고 max-reauth-req에 의해 재전송 횟수가 결정된다. 즉, IEEE 802.1X의 time out을 산출하는 공식은:

Timeout = (max-requth-req + 1) * tx-period

 

Cisco에서 제공하는 default tx-period는 30초, max-requth-req는 2회로 설정되어있다. 따라서, 각 network에 맞는 적정한 값을 설정해 주어야 한다. 이 값을 변경할 때 고려할 사항은 두 가지가 있다.

1. timer가 너무 짧은 경우 dot1X-compatible 장치가 fallback authentication 과정을 수행하게 된다. fallback method로 authentication된 경우 실제는 dot1X 지원 장비는 exclusive하게 trusted network을 access할 수 있도록 design했더라도 guest device처럼 간주될 수도 있다.
2. timer가 너무 긴 경우 network access를 위한 불필요한 delay가 생긴다.

6. Multiple Endpoints per Port

MAB은 기본적으로 포트마다 단일 장치만 허용한다. 만약 다수의 장비가 port에 확인되면 security violoation을 야기한다. 하지만 IP phone과 workstation이 연결된 network 구성은 굉장히 일반적이다. 이러한 경우라면?

 

1. Single-host mode - MAB에서 제공하는 가장 기본적인 host mode이다. 다중의 장치가 port에서 확인되면 security violation으로 해당 포트는 disable 된다.
2. Multidomain Authentication Host Mode - 두 개의 장치가 허용되는 구성이다. 즉, IP phone을 통해서 workstation을 연결한 구성이 좋은 예이며 voice와 data domain 두 개를 허용하는 설정이다.
3. Multi-Authentication Host Mode - 여러 장치가 동일 포트에서 인증될 수 있는 설정이다. 
4. Multihost Mode - multi-auth 방식과는 다르게 첫 번째 장치가 인증되면 그 이후 장치는 별도의 인증없이 사용할 수 있는 방식이다. 물론, 이 방법보다 보안상으로는 multi-auth mode가 더 나은 선택이라는 점.

7. 정리를 마치며

MAB은 monitor mode라는 것도 존재한다. MAB 정리 #1에서도 설명한 것처럼 MAC 주소의 DB는 MAB 기술을 이용하기 위해서 필수적이다. 따라서, 해당 모드를 이용해서 authentication은 적용하나 network access에 대한 제한은 허용하지 않는 것이다. 사용자에게는 특별한 service impact를 주지않고 dot1X를 support하지 않는 endpoint에 대한 정보를 수집할 수 있다.

 

 

Reference site: www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/config_guide_c17-663759.html