본문 바로가기

전공 과목 시험정리/네트워크 보안

무선 네트워크 기초 #11

1. 무선 네트워크 환경

가. 무선 네트워크의 구성

무선 네트워크는 스테이션에 해당하는 장비와 AP 사이의 구간만 무선으로 구성하며, AP는 스위치 및 스위칭 허브와 연결되어 있다.

상황에 따라 무선 컨트롤러, 인증 서버 등의 보안 장비가 추가될 수 있다.


나. 무선 네트워크의 구축 형태

AD-HOC (애드훅) 모드 : 무선랜카드 필요

AP가 없이 흩어져 있는 무선으로 통신이 가능한 노드들끼리 서로 통신을 하는 자율적인 구조의 네트워크.

이 구조에서는 중간에서 제어하는 노드가 없으므로 각 노드들은 자신이 가질 수 있는 정보를 최대한 활용하여 통신해야 함

먼 거리의 노드와의 통신에는 다른 노드들을 경유하여 통신해야 한다.


Infrastructure 모드 : 무선랜카드, AP, 유무선공유기, 유선랜 필요

AP 또는 유무선 공유기와 같이 인터넷 신호가 전달되는 유선랜 케이블과 접속하는 장치를 활용한 무선 네트워크.

AP 또는 유무선 공유기에 접속한 노트북이나 스마트폰 등은 인터넷에 접속할 수 있게 된다.


다. 무선 네트워크 (802.11) 의 구성 요소

무선랜카드    

무선 네트워크에 접속하기 위한 랜카드. 유선랜카드의 10/100/1000Mbps 규격과 마찬가지로 802.11b/g/n 등의 

지원 가능한 무선랜 규격이 정해져 있다.


Access Point (AP)

HotSpot 이라고도 하며, 스위치와 비슷한 역할을 하는 장비로 AP 주변에 위치한 무선 클라이언트 들을 하나의 네트워크로 묶어서 서로 통신할 수 있게 함. 다른 백본이나 WAN 망으로의 연결도 가능하다.


POE Switch 

POE(Power Over Ethernet) 는 이더넷 케이블을 통해 데이터와 전원을 안정적으로 전송하는 방식.

Cat 5 케이블 이상의 케이블이 필요하다.


라. 무선 네트워크 (802.11) 의 종류

802.11

2Mbps 지원, 2.4GHz 대역 전파 사용, CSMA/CD 기술 적용.

규격이 엄격하지 않아 호환성이 부족하고 속도가 느려 널리 사용되지 않음.

802.11b

11Mbps 지원 (실제는 6~7Mbps 구현) 표준이 확정된 후 유선 네트워크를 대체하기 위해 폭넓게 사용됨.

802.11a

54Mbps 지원, 5GHz 대역 전파 사용. (2.4GHz 대역에 비해 다른 통신기기와 간섭이 적고 넓은 전파 대역 사용이 가능)

신호의 특성상 장애물이나 도심 건물 등 주변 환경의 영향을 쉽게 받음

802.11g

54Mbps 지원, 2.4GHz 대역 전파 사용, 802.11b 규격과 쉽게 호환되어 널리 사용됨.

802.11n

2.4 GHz 대역과 5GHz 대역을 사용. 기본적으로 최대 150Mbps 데이터 전송 속도를 지원

여러 개의 안테나를 사용하여 출력을 높이는 MIMO 기술이 적용된 AP나 단말기를 사용할 경우 최대 600Mbps 지원

현재까지는 300Mbps 정도의 전송 속도를 지원하는 제품들이 상용화 된 상태.


마. 라디오 주파수의 특징

- 직진성

전파는 빛과 유사한 성질을 갖고 있으며, 하나의 점에서 또 하나의 점으로 최단거리를 이동하는 특성이 있다.

- 간접성

역위상의 경우 (상쇄파동)

한쪽 물결의 마루와 다른 물결의 골이 겹쳐지는 곳에서는 양쪽 물결(파동)이 서로 상쇄하여, 그 합쳐진 물결은 그 마루와 골이 작아진다.

동위상의 경우 (합성파동)

마루와 마루가 겹치는 곳은 마루가 한층 더 높아지고, 골과 골이 겹치는 곳은 골이 더 낮아진다.

- 회절성

파동은 진행하다가 장애물을 만나면 장애물을 돌아 뒤쪽까지 도달하는 현상이 있으며 이를 전파의 회절성이라고 한다.

- 반사성

전파는 다양한 물질에 의해 반사되며 이는 장거리 통신을 가능하게도 하지만, 고스트 현상이나 다중 경로 페이딩 현상을 나타내기도 한다.

- 주파수 대역폭에 따른 특징

저주파

> 속도가 느림

> 파장이 길어 장애물을 만나더라도 굴곡되어 먼 거리까지 전파가 가능

> 원거리 전송이 중요한 항공/선박 항로 안내용으로 주로 사용.

고주파

> 속도가 빠름

> 대량의 데이터 전송이 가능. 직진성이 높아 장애물을 만나면 반사되어 수신거리가 짧음.

> 이동통신 및 무선랜 등 (300MHz ~ 30GHz) 에서 사용


바. 라디오 주파수의 도달 범위

전송영역

송/수신자 간의 통신이 가능한 영역. 신호의 오류가 있다고 하더라도 통신에 영향을 줄 정도는 아님.

감지영역

송신자가 보낸 신호를 수신자가 감지할 수는 있지만 주변 잡음이 너무 강해서 통신이 불가능한 영역.

간섭영역

주변 잡음으로 인해 수신자는 송신자가 보낸 신호조차 감지할 수 없는 영역.


사. 무선랜의 장점

편의성

가정이나 사무실에서 무선 네트워크 장비가 있는 곳이라면 무선 네트워크를 쉽게 사용할 수 있다.

휴대성 

일반 노동 환경 밖에서도 인터넷에 접속할 수 있다.

커피숍과 같은 공공장소에서 무선 인터넷 접속에 비용을 내지 않고 사용할 수 있다.

생산성

장소를 옮겨 다니며 원하는 네트워크의 접속을 유지할 수 있다.

배치

무선 네트워크를 처음 설치만으로 하나 이상의 액세스 포인트를 지원한다.

한편 유선 네트워크는 수많은 장소에 케이블 선을 깔아야 하므로 비용이 늘어나는 문제점이 있다.

확산성

무선 네트워크는 기존의 장비를 사용하여 수많은 고객을 받아들일 수 있다.


마. 무선랜의 단점

보안    

무선랜은 라디오 주파수를 이용하며, 대부분 무지향성 안테나를 사용한다.

무선랜의 신호가 도달하는 범위에 있는 모든 컴퓨터 등의 장치는 무선 패킷을 수신할 수 있다.

지원 범위의 한정

무선 네트워크는 일반적으로 수십 미터의 거리를 지원하며, 범위를 넓히려면 리피터나 추가적인 AP의 설치가 필요하다.

신뢰성

다른 라디오 주파수 비슷하게, 무선 네트워크 신호는 다양한 통신 간섭에 노출되어 있다.

속도

대부분의 무선 네트워크는 일반적인 유선 네트워크에 비해 느린 편이다.


2, 무선 네트워크의 보안 기초 :  IEEE 및 Wi-Fi Alliance 에서 표준 제정 및 권고 시행

가. 무선 네트워크 보안 요소

 사용자 인증

데이터 암호화 

사용자 보안 

 IEEE 802.1x 국제 표준 인증 사용

802.11i 표준 데이터 암호화 

사용자 보안 인식 강화로 개인 정보 유출 방지 

ID/PW/인증서 방식의 EAP 표준 인증 

 Dynamic WEP 키 이상의 WPA v1,v2 암호화 기술 사용 

불법 공유기 사용 금지 

사용자별 데이터 암호화 키 값 할당 

인증 서버로부터 데이터 암호화 키 값 부여 

불법 장비 검색 솔루션 도입 등


나. SSID 브로드캐스팅 금지    

AP를 탐색하면 나타나는 각 AP의 이름이 바로 SSID(Service Set Identifier) 이다.

무선 랜에서 가장 설정하기 쉬운 보안 사항은 이 SSID가 AP탐색에 쉽게 노출되지 않도록 SSID의 브로드캐스팅을 막는 것.


SSID (Service Set Identifier)

SSID는 무선랜을 통해 전송되는 모든 패킷의 헤더에 존재하는 고유 식별자.

클라이언트가 BSS에 접근할 때 하나의 무선랜을 다른 무선랜으로 부터 구분해주는 역할을 한다.

특정 무선랜에 접속하려는 모든 AP나 무선 장치들은 반드시 일정한 SSID를 사용해야만 한다.


BSS (Basic Service Set)

여러 개의 노드로 구성된 서비스 그룹을 말하며, 주로 AP의 MAC주소로 표시된다. 이러한 AP들이 구성한 BSS 여러개가 모여서 ESS (Extended Service Set) 을 구성한다.


BSSID (Basic Service Set Identifier)

무선 LAN 표준인 802.11 에서 48bit 의 BSS(Basic Service Set) 을 구분하기 위해 사용한다.

보통은 AP의 MAC 주소를 사용하지만 IBSS(Independent Basic Service Set) 나 AD HOC을 사용할 경우 임의의 값으로 생성된다.


다. WEP (Wired Equivalent Privacy, 유선 동등 프라이버시) 사용

무선 LAN은 운용간에 전파를 이용. 따라서 외부의 침입에 의한 정보 유출의 가능성이 높음.

1997년에 802.11g에 포함된 WEP는 RC4 알고리즘을 기반으로 그 당시 전통적인 유선 네트워크와 맞먹는 보안성을 가지도록 만들어 졌다. 그러나 2001년 초에 암호학자들에 의해 취약점이 발견되었고, 2004년 802.11i 의 일부인 WPA(Wi-Fi Protected Access) 로 대체되었다.


WEP 암호화

IEEE 802.11 에 포함되었으며, 스트림 암호화 기법인 RC4 를 사용하며, CRC-32 체크섬을 통해 무결성을 검증하였음


WEP-40 

키길이 : 40bits

초기화 벡터 : 24bits

전체 길이 : 64bits


WEP-104

키길이 : 104bits

초기화 벡터 : 24bits

전체 길이 : 128bits


취약점

RC4 keystream을 생성하는데 사용되는 초기화 벡터(initialization vector) 값이 재사용됨. WEP로 암호화된 데이터를 많이 수집할 경우, 동일한 패턴이 있는 IV 값을 이용해서 복호화가 가능해짐.


라. WPA v1 (Wi-Fi Protected Access, 와이파이 보호 접속) 사용

WPA 프로토콜은 이전의 WEP의 대안으로 나온 것이며, IEEE 802.11i 의 주요 부분을 구현하는 프로토콜.

TKIP(Temporal Key Integrity Protocol) 을 통해 데이터 암호화 성능을 향상시켰고, 802.1x 와 같은 인증 과정이 추가되었다.


- WEP 와 WPA 비교

WEP - Static Key

키의 일부분이 고정

WPA - Dynamic Key

TKIP를 사용하여 암호키를 특정 기간이나 일정 크기의 패킷 전송 후에 자동으로 변경


- TKIP (Temporal Key Integrity Protocol, 임시 키 무결성 프로토콜)

WEP의 취약점을 보완하기 위하여 사용된 프로토콜이며, WEP를 지원하는 기기들의 하드웨어 변경 없이 소프트웨어의 

업그레이드 만으로도 적용이 가능하다.


보완사항

- RC4 초기와 이전에 비밀키와 초기화 벡터를 이용하여 기본적인 임의 암호 방식을 보충

--> 반복적으로 사용되는 초기화 벡터를 유추하기 어렵게 함


- 순차적인 카운터 보충

반복적인 공격 방법을 막기 위함


- 64비트 크기의 문장 체크 기능을 추가

패킷 위조 공격을 방지하기 위함.


마. 802.11i 를 이용한 강력한 암호화 및 인증 사용

IEEE와 Wi-Fi 협회에서 규정한 802.11i는 WPA의 PSK, 802.1x EAP, TKIP, 암호화 알고리즘인 AES (Advanced Encryption Standard) 기반의 CCMP를 지원하여 강력한 암호화 및 인증을 준수하도록 하고 있다.



 항목

Static WEP Key 

Dynamic WEP Key 

WPA v1 

WPA v2 

보안키 적용 방식

 WEP (24bit IV)

WEP (24bit IV) 

TKIP (48bit) 

CCMP 

암호화 알고리즘

RC4 

RC4 

RC4 

AES 

암호 비트 

40/128 bit 

128 bit 

128 bit 

128 bit 

보안 레벨 

하 

중/상 

상 

최상 


- 802.1x

EAP (Extensible Authentication Protocol) 를 지원하는 인증서버(RADIUS Server) 를 통해 특정 장비의 네트워크 접속을 제어하는 방식이다. 인증서버에서 제공하는 키(Key)를 생성해 인증서나 아이디/비밀번호를 기반으로 사용자를 상호인증하고 무선 구간의 통신 데이터를 암호화 처리할 수 있도록 제공. 암호화 키를 안전하게 관리하는 기능을 수행.

인증솔루션은 

인증        (Authentication)

권한관리   (Authorization)

통계        (Accounting) 

라는 AAA를 지원하는 것이 필수 사항이며, 무선 네트워크의 서비스에 큰 영향을 미치기 때문에 안정성과 처리 성능이 가장 중요하다.


인증과정

1) 스테이션이 802.1x 가 적용된 AP에게 연결 요청을 한다. (EAP가 사용됨)

2) AP는 스테이션의 인증 요청 패킷을 RADIUS 서버로 보낸다. 이 패킷에는 스테이션의 인증 정보 (ID,Password)가 포함.

3) RADIUS 서버가 데이터베이스와 비교하여 인증 결과가 참이면 동의하는 패킷을 AP에게 보낸다.

4) AP는 스테이션에게 동의 패킷을 받고, 통신 권한을 허가한다.



WPA2 (Wi-Fi Protected Access, 와이파이 보호 접속) 사용

802.11i 표준을 지원하기 위해 WPA의 암호화 방식을 TKIP에서 AES (Advanced Encryption Standard) 로 변경한 것이다.

















'전공 과목 시험정리 > 네트워크 보안' 카테고리의 다른 글

암호의 이해 #10  (3) 2015.10.07
터널링 #09  (0) 2015.07.05
네트워크 패킷 분석  (0) 2015.04.29
네보 프트 정리 #00 ~ #01  (0) 2015.04.29
네보정리  (0) 2015.04.27