WEBVTT

00:00.090 --> 00:00.930
네 강사님 이 강의에서는

00:00.930 --> 00:03.360
aa 서버에 관해 얘기하겠습니다 aa

00:03.360 --> 00:06.210
서버는 인증 권한 부여, 회계를 뜻하죠 aa

00:06.210 --> 00:09.000
서버를 이해하려면 먼저 802 서버를 어떻게…

00:09.000 --> 00:12.327
? 1x는 프레임워크로 작동합니다.

00:12.327 --> 00:15.240
802번 1x는 표준 프레임워크로

00:15.240 --> 00:17.040
유선과 무선 네트워크에서 포트

00:17.040 --> 00:19.650
기반 인증을 위해 사용됩니다

00:19.650 --> 00:22.800
이제 802년부터. 네 1x는 프레임워크입니다

00:22.800 --> 00:24.840
다른 메커니즘을 이용해 실제

00:24.840 --> 00:27.210
인증을 대신해줍니다

00:27.210 --> 00:28.140
실행할 수 있습니다

00:28.140 --> 00:30.690
예를 들어 원격 인증 다이얼인 사용자 서비스와 radius

00:30.690 --> 00:31.800
터미널 액세스 컨트롤러

00:31.800 --> 00:33.510
예를 들어 액세스 컨트롤 시스템

00:33.510 --> 00:36.510
플러스 tacacs+는 둘 다 802를 사용해 인증 수행에

00:36.510 --> 00:41.700
사용될 수 있습니다

00:41.700 --> 00:41.700
1x 프로토콜

00:41.700 --> 00:43.410
802에서 인증이 발생하려면

00:43.410 --> 00:46.920
세 가지 역할이 필요합니다. 1X

00:46.920 --> 00:49.830
첫 번째는 서플리컨트입니다 네트워크에 엑세스 권한을

00:49.830 --> 00:51.660
요청하는 장치나 사용자를 말하죠

00:51.660 --> 00:54.030
이 이미지에서 pc1 같은 거요 ,

00:54.030 --> 00:56.430
그런 다음 신청자가 네트워크에 액세스를 시도하는

00:56.430 --> 00:58.080
데 사용하는 장치인 인증자가

00:58.080 --> 00:59.370
있습니다.

00:59.370 --> 01:01.620
네 일반적으로 이건 스위치나 무선

01:01.620 --> 01:04.860
액세스 포인트 혹은 vpn 센터 같은 거죠

01:04.860 --> 01:07.230
끝으로 인증 서버가 있죠 인증을 수행하는

01:07.230 --> 01:08.760
중앙 집중식 장치가 될

01:08.760 --> 01:11.970
겁니다 보통 여러분의 tacacs+서버가

01:11.970 --> 01:13.920
되겠죠 ????

01:13.920 --> 01:16.230
인증이 이루어집니다 증명이 완료되고

01:16.230 --> 01:19.500
시스템에 의해 신원이 확인되면 인증이 이루어지죠

01:19.500 --> 01:21.180
매일 하시잖아요

01:21.180 --> 01:23.850
이 코스에 로그인했을 때 이미 했죠

01:23.850 --> 01:26.340
네 이메일 주소와 비밀번호를 입력했을 때 본인이

01:26.340 --> 01:28.380
이 과정에 등록금을 낸 학생이라고 주장했고

01:28.380 --> 01:30.660
그렇게 함으로써 시스템으로 확인받고

01:30.660 --> 01:33.150
액세스를 허가받습니다 ,

01:33.150 --> 01:36.330
자신을 증명하는 방법은 다양해요

01:36.330 --> 01:38.700
예를 들어, 현실 세계에서는 과속으로

01:38.700 --> 01:40.380
인해 경찰관이 차를 세우는 경우

01:40.380 --> 01:42.000
운전 면허증을 꺼내서 자신이

01:42.000 --> 01:43.860
누구인지, 자신이 누구인지 보여줄

01:43.860 --> 01:45.780
수 있습니다.

01:45.780 --> 01:47.220
이게 증거예요

01:47.220 --> 01:48.600
디지털 세계에는 다섯

01:48.600 --> 01:51.000
가지 인증 방법이 있습니다

01:51.000 --> 01:52.800
네 우리가 아는 건 암호나

01:52.800 --> 01:55.050
사용자 이름 같은 거죠 사용자 정보도

01:55.050 --> 01:57.150
있어요 지문이나 눈, 망막 스캔과

01:57.150 --> 02:00.390
같은 거죠 ? 네 여기 뭔가 있어요 토큰 같은 거죠

02:00.390 --> 02:02.280
운전면허증이나 신용카드요

02:02.280 --> 02:07.410
여러분이 하는 것일 수도 있고 말하는 방식이나 이름을 서명하는 방식일

02:07.410 --> 02:10.020
수도 있어요 여러분이 있는 곳이 위치

02:10.020 --> 02:12.540
인자일 수도 있죠 gps 위치에 기반한

02:12.540 --> 02:15.930
위치 인자요

02:15.930 --> 02:19.080
Ldap는 경량 디렉토리 엑세스 프로토콜입니다

02:19.080 --> 02:21.630
이는 네트워크의 클라이언트 및 개체에 대한 정보를

02:21.630 --> 02:24.510
중앙 집중화하는 데 사용되는 데이터베이스입니다.

02:24.510 --> 02:28.050
Ldap는 본질적으로 x의 단순화 버전입니다 500은 디렉토리 서비스이며

02:28.050 --> 02:29.490
네트워크 내부의

02:29.490 --> 02:32.460
사용자, 그룹, 서버 및 시스템의

02:32.460 --> 02:36.360
계층적 구성을 포함합니다.

02:36.360 --> 02:39.000
Ldap는 암호화되지 않은 상태에서 포트

02:39.000 --> 02:41.400
389를 통해 통신하며, ssl이나 tls를

02:41.400 --> 02:46.290
사용하여 암호화하기로 결정한 경우 포트 636을 사용하게 됩니다.

02:46.290 --> 02:48.960
네 자 이제 Microsoft는 AD 또는

02:48.960 --> 02:51.390
Active Directory로

02:51.390 --> 02:54.060
알려진 이걸 자체적으로 구현했습니다 ,

02:54.060 --> 02:56.370
Windows 도메인에서 Active Directory는

02:56.370 --> 02:58.710
네트워크의 모든 걸 구성하고 관리하는 데 사용됩니다

02:58.710 --> 03:00.570
클라이언트 서버 장치 사용자, 그룹을

03:00.570 --> 03:02.730
포함해서요

03:02.730 --> 03:04.650
네 이제

03:04.650 --> 03:08.883
이제 ,

03:09.990 --> 03:13.770
반경은 원격 인증 다이얼인 사용자 서비스입니다

03:13.770 --> 03:17.130
네 네 네, 둘 다 사용할

03:17.130 --> 03:21.660
수 있죠

03:21.660 --> 03:21.660
확장성

03:21.660 --> 03:25.350
인증 프로토콜, 즉 eap입니다

03:25.350 --> 03:27.870
Radius는 osi 모델의 7번째 계층인 애플리케이션

03:27.870 --> 03:31.470
계층에서 실행되는 클라이언트 서버 프로토콜입니다.

03:31.470 --> 03:34.470
네 반경은 보통 별도의 서버에서 실행되도록 구성돼 있지만

03:34.470 --> 03:36.810
Windows 서버에 더 작은 도메인 환경에서

03:36.810 --> 03:38.880
로드될 수도 있어요

03:38.880 --> 03:40.950
Radius는 사용자를 인증하고

03:40.950 --> 03:42.390
서비스를 승인하고 그 서비스

03:42.390 --> 03:44.970
사용을 계정화합니다 ???????

03:44.970 --> 03:48.120
Radius는 또한 연결을 위해 udp를 활용하므로

03:48.120 --> 03:49.470
인증 및 권한 부여 기능

03:49.470 --> 03:52.380
중에 속도가 상당히 빠릅니다.

03:52.380 --> 03:55.140
네 자 반경은 플랫폼 간 표준이지만 Cisco의

03:55.140 --> 03:58.590
독점 프로토콜 TACACS+가 있습니다 ???

03:58.590 --> 04:00.300
802에서 인증자 역할을 수행할 수 있는 Terminal

04:00.300 --> 04:03.060
Access Controller Access-Control System

04:03.060 --> 04:06.300
Plus입니다. 1x 네트워크

04:06.300 --> 04:08.640
이제 어떤 게 조직에 최선일지 결정하는

04:08.640 --> 04:10.500
건 여러분 몫입니다

04:10.500 --> 04:12.810
개인적으로 저는 radius를 조직

04:12.810 --> 04:14.370
내에서만 사용했습니다

04:14.370 --> 04:17.490
Tacacs+는 udp 대신 tcp에 의존하기

04:17.490 --> 04:20.100
때문에 작동 속도가 약간 느리지만 tacacs+에는

04:20.100 --> 04:22.620
몇 가지 이점이 있습니다.

04:22.620 --> 04:24.090
이는 추가적인 보안을

04:24.090 --> 04:26.550
제공하고 인증, 승인 및 계정 프로세스를

04:26.550 --> 04:29.070
독립적으로 수행합니다.

04:29.070 --> 04:31.560
네 tacs+는 모든 네트워크 프로토콜을 지원하지만

04:31.560 --> 04:32.880
반면에 radius는 원격

04:32.880 --> 04:35.070
접속 프로토콜을 지원하지 않습니다 네, 맞아요,

04:35.070 --> 04:38.850
넷바이오 프레임 프로토콜 x 25명과 다른 인맥도

04:38.850 --> 04:39.840
있고요

04:39.840 --> 04:42.480
네 전체적으로 TACACS+는 훌륭한 선택입니다

04:42.480 --> 04:44.490
하지만 네트워크에서 Cisco 장치를

04:44.490 --> 04:45.630
사용할 경우에만요 크로스

04:45.630 --> 04:48.270
플랫폼 기능을 갖추려면 RADIUS를 살펴봐야

04:48.270 --> 04:49.770
합니다 제가 과거에 선택한

04:49.770 --> 04:51.840
방법으로요

04:51.840 --> 04:54.360
두 번째 a는 허가입니다

04:54.360 --> 04:57.000
승인 네 부여받을

04:57.000 --> 05:00.990
때 발생합니다

05:00.990 --> 05:03.120
이봐요 네 관계자

05:03.120 --> 05:06.570
외 출입 금지라는 거요

05:06.570 --> 05:09.180
그럼 그 지역엔 못 들어가요

05:09.180 --> 05:11.100
정비실 같은 곳일 거예요 발전기가

05:11.100 --> 05:12.840
있어서 정비공만 들어갈

05:12.840 --> 05:14.790
수 있는 곳이죠

05:14.790 --> 05:16.650
그들은 해당 영역으로 들어갈 수 있는 특별한

05:16.650 --> 05:18.450
열쇠나 특별한 배지를 가지고 있습니다.

05:18.450 --> 05:21.900
거긴 허가 없이 들어갈 수 없어요

05:21.900 --> 05:25.170
Kerberos는 인증과 권한 부여에 초점을 맞추고 있습니다

05:25.170 --> 05:27.570
Windows 도메인의 Kerberos 티켓팅

05:27.570 --> 05:29.280
시스템을 통해 실행됩니다

05:29.280 --> 05:31.860
케르베로스는 양방향 혹은 상호 인증을

05:31.860 --> 05:34.350
제공하는 인증 프로토콜입니다

05:34.350 --> 05:36.330
네 사용자가 도메인에 로그인하면

05:36.330 --> 05:38.400
가장 먼저 키 배포 센터인 kdc로

05:38.400 --> 05:42.120
동작하는 도메인 컨트롤러에 접촉합니다 ,

05:42.120 --> 05:44.550
이 kdc에는 인증과 티켓 부여라는

05:44.550 --> 05:46.980
두 가지 기본 기능이 있습니다.

05:46.980 --> 05:49.410
네 의뢰인이 제대로 인증받으면

05:49.410 --> 05:51.990
조폐국에서 표를 발급해 줘요

05:51.990 --> 05:54.570
티켓 허가증이라고 하죠

05:54.570 --> 05:56.520
네 티켓 부여 티켓은 사용자가 리소스에

05:56.520 --> 05:58.740
액세스하고 싶을 때 도메인 컨트롤러에

05:58.740 --> 06:00.060
제공됩니다 도메인 컨트롤러는

06:00.060 --> 06:02.460
해당 사용자에게 서비스 티켓이나 세션

06:02.460 --> 06:07.260
키를 제공해 필요에 따라 사용할 수 있습니다

06:07.260 --> 06:09.150
이 티켓들은 리소스에 제공되고 액세스가

06:09.150 --> 06:10.680
승인됩니다 리소스는 항상

06:10.680 --> 06:12.180
도메인 컨트롤러가 제공한

06:12.180 --> 06:14.580
티켓을 신뢰하기 때문이죠 ,

06:14.580 --> 06:16.860
자 Kerberos는 핵심 배포 센터로

06:16.860 --> 06:19.080
도메인 컨트롤러에 의존하기 때문입니다

06:19.080 --> 06:21.840
도메인에서 단일 실패 지점이죠

06:21.840 --> 06:23.550
도메인 컨트롤러가 다운되면

06:23.550 --> 06:26.190
티켓 제공 서비스도 다운됩니다

06:26.190 --> 06:28.350
네 이걸 막기 위해 대부분의 사람들이

06:28.350 --> 06:31.530
주 활성 도메인 컨트롤러를 갖습니다

06:31.530 --> 06:33.330
이렇게 여분을 남겨서 케르베로스가

06:33.330 --> 06:36.900
작동하고 ldap가 작동하는지 확인할 수 있어요

06:36.900 --> 06:38.790
세 번째 a는 회계입니다.

06:38.790 --> 06:40.980
회계는 데이터, 컴퓨터 사용 및 네트워크

06:40.980 --> 06:44.220
리소스에 대한 추적이 유지되도록 보장합니다.

06:44.220 --> 06:46.170
그걸 할 땐 보통 로그

06:46.170 --> 06:48.150
파일이란 걸 넣어요

06:48.150 --> 06:49.680
이건 컴퓨터에 있는

06:49.680 --> 06:51.930
파일로 본질적으로 큰 텍스트

06:51.930 --> 06:54.450
문서죠 모든 걸 추적합니다

06:54.450 --> 06:56.340
이게 네트워크를 떠나는 모든 인터넷

06:56.340 --> 06:58.980
연결일 수도 있어요 여기 화면에서처럼요 아니면

06:58.980 --> 07:01.140
특정 파일이나 웹사이트에 로그인하려는

07:01.140 --> 07:04.680
모든 사람의 목록일 수도 있죠 , 이건 그냥

07:04.680 --> 07:07.320
네 컴퓨터에 온갖 종류의 로그가 저장돼

07:07.320 --> 07:09.180
있어요 진행 중인 다양한 일을

07:09.180 --> 07:11.100
모두 기록하는 거죠 모두 훌륭한

07:11.100 --> 07:14.250
회계 관행이 사용되고 있다는 뜻이에요 데이터

07:14.250 --> 07:16.170
유출이 있거나 내부에 위협이

07:16.170 --> 07:18.270
있다면 로그 파일에 있는 데이터를

07:18.270 --> 07:21.090
살펴보고 누가 언제 뭘 했는지 알아낼 수

07:21.090 --> 07:23.880
있거든요

07:23.880 --> 07:26.310
경리부는 그런 일을 하게 해주죠

07:26.310 --> 07:29.130
네 이제 누군가 어떤 행동을 했다는

07:29.130 --> 07:32.850
증거가 있으면 부인하지 않는 거예요 ?

07:32.850 --> 07:35.790
부인하지 않기 부인하지 않기란 사용자가 그 행동을 안

07:35.790 --> 07:39.060
했다고 말할 수 없다는 뜻이죠 했다는 증거가 있으니까요

07:39.060 --> 07:41.160
예를 들어 나한테 이메일을

07:41.160 --> 07:43.200
보내고 디지털 서명으로 서명하면

07:43.200 --> 07:45.360
그 디지털 서명 키를 가진 사람은

07:45.360 --> 07:47.910
당신뿐이에요

07:47.910 --> 07:50.400
그 메일 당신이 보낸 거 알아요

07:50.400 --> 07:52.350
나중에 안 보냈다고 하지 마요 이제

07:52.350 --> 07:54.060
증거가 생겼으니까요

07:54.060 --> 07:55.593
부인하지 마세요