CCNP ROUTER(300-101) 문제풀이 NO. 14

CCNP ROUTER(300-101)의 Dump 문제 풀이입니다. 비교적 오래된 Dump이기 때문에 지금은 유효한 Dump가
아닐 수 있으며, 저도 공부하는 입장이기 때문에 잘못된 풀이 및 해답 일 수도 있습니다.

그리고 수정해야 할 부분이 있으면 댓글 주시기 바랍니다.

QUESTION NO: 14

A network engineer has been asked to ensure that the PPPoE connection is established and

authenticated using an encrypted password. Which technology, in combination with PPPoE, can

be used for authentication in this manner?

A. PAP

B. dot1x

C. IPsec

D. CHAP

E. ESP

Explanation

문제 : 네트워크 엔지니어는 PPPoE 연결이 수립되고 암호화된 비밀번호로 인증되었는지 확인 할 것을 요청 받았습니다.
어떤 기술이 PPPoE와 함께 이 방식으로 인증에 사용될 수 있습니까?

PPPoE(Point to Point Protocol over Ethernet)은 PPP프레임이 이더넷에서 전송될 수 있도록, PPP프레임을
이더넷 프레임에 수납하여 PPP서버인 NAS까지 전달되도록 하는 일종의 PPP수납용 링크계층 프로토콜입니다. 이를 위해서 PPPoE 단말은 NAS를 탐색하기 위한 PPPoE discover과정을 먼저 수행해야 하며, 적합한 NAS를 선택하고 해당 Session ID를 할당 받은 후, PPPoE session과정이라고 불리는 상태에서 PPP패킷들을
전송하게 됩니다.

PPP 인증 절차

1.     Link Control Protocol(LCP)를 사용하여, PPP연결에 필요한 최대 허용 프레임 길이와 인증과정에서 사용할 인증 프로토콜의 종류 등을 PPP단말과 PPP서버간 현상합니다.

2.     이후 LCP 단계에서 결정된 인증 프로토콜인 Password Authentication Protocol(PAP) 또는 Challenge Handshake Authentication Protocol(CHAP)을 사용하여 사용자 ID와 패스워드를 사용한 인증 과정을 수행 합니다. 이때 PPP서버는 자신의 내부에 인증서버가 있으면 자신이 인증절차를 수행하고 외부의 RADIUS인증서버를 사용하는 경우 이러한 인증 정보들을 인증서버에 전달 합니다.

3.     인증이 성공하면, IP Control Protocol(IPCP)를 사용하여 네트워크 계증 프로토콜(IP,IPX,IDP등)에 대한 설정값 (단말의 주소, 게이트웨이 주소, DNS주소 등)을 할당합니다.

4.     위 3가지가 모두 성공하면 IP와 같은 네트워크 계층 프로토콜들은 PPP의 데이터 영역에 수납되어 PPP연결로상에 전달됩니다.

PAP(Password Authentication Protocol)는 2 Way Handshake방식으로 호스트 이름과 비밀번호가 암호화 되지 않고 평문으로 전달되기 때문에 해킹의 노출이 있습니다.

CHAP(Challenge Handshake Authentication Protocol)은 PAP보다 보안이 강화된 형태로 3 Way Handshake방식입니다.
접속요청을 받은 라우터가 챌린지라는 코드값을 상대 라우터에게 보내주고, 그 코드 값을 받은 라우터는 챌린지 값을 이용하여 패스워드를 해싱한 다음 그 값을 다시 라우터에 전송, 이값을 받은 라우터도 똑같은 해싱방식으로 경과를 만들어서 비교합니다.

이 두값이 같으면 통과, 다르면 통신을 끊습니다.

PPPoE에서 인증에 사용되는 방식은 PAP와 CHAP이고 이중 암호화된 비밀번호는 CHAP이므로
정답은 D 입니다.