보안 개요

이 섹션에서는 WiFi 네트워크를 보호하는 데 사용할 수 있는 다양한 보안 방법을 설명합니다.

WiFi 네트워크 보호

보호되지 않은 무선 네트워크는 다른 컴퓨터로부터의 액세스에 취약합니다. 여기에서 설명하는 보안 방법으로 모든 형태의 무단 액세스로부터 가정 또는 소규모 회사 네트워크를 쉽게 보호할 수 있습니다.

인증

인증은 네트워크 액세스 포인트에서 네트워크에 액세스하기 위한 클라이언트(보통 랩탑) 요청을 식별하고 승인하는 프로세스입니다. 인증이 완료되고 액세스가 허가되면 클라이언트가 네트워크에 액세스할 수 있습니다.

암호화

무선 네트워크를 통해 전송되는 정보와 데이터를 암호화하는 암호화 알고리즘을 선택할 수 있습니다. 미리 공유된 키가 탑재된 컴퓨터에서만 전송되는 데이터를 암호화하고 암호화를 해제할 수 있습니다. 암호화 키는 64비트와 128비트의 두 가지 보안 수준으로 사용할 수 있습니다. 보안 수준을 높이려면 128비트 키를 사용하십시오.

SSID 브로드캐스트

네트워크 보안을 향상시키는 간단한 방법은 SSID(Service Set Identifier)를 브로드캐스트하지 않도록 네트워크 액세스 포인트를 설정하는 것입니다. 액세스 권한을 받으려면 SSID가 필요합니다. SSID를 알고 있는 컴퓨터만이 네트워크에 액세스할 수 있습니다. (인텔® PROSet/무선 WiFi 연결 유틸리티를 사용하는 어댑터에서는 설정되지 않고 액세스 포인트에서 설정됩니다.)

개인 보안 방법

개방 및 공유 네트워크 인증

IEEE 802.11은 시스템 및 공유 키의 두 가지 네트워크 인증 방법을 지원합니다.

WEP

WEP(Wired Equivalent Privacy)는 암호화를 사용하여 무선 데이터의 무단 수신을 방지합니다. WEP는 데이터를 전송하기 전에 암호화 키를 사용하여 데이터를 암호화합니다. 동일한 암호화 키를 사용하는 컴퓨터만이 네트워크에 액세스하거나 다른 컴퓨터에서 전송된 데이터를 해독할 수 있습니다. WEP 암호화는 64비트 키(간혹 40비트이기도 함)와 128비트 키(104비트로도 알려짐)를 사용하여 두 가지 보안 수준을 제공합니다. 보안 성능을 강화하려면 128비트 키를 사용해야 합니다. 암호화를 사용하는 경우 무선 네트워크 상에 있는 모든 무선 장치의 암호화 키가 동일해야 합니다.

WEP 데이터 암호화를 사용하면 무선 장치는 최대 4개의 키(키 인덱스 값은 1,2, 3, 4임)로 구성할 수 있습니다. 액세스 포인트(AP) 또는 무선 장치에서 특정 키 인덱스에 저장된 키를 사용하여 암호화된 메시지를 전송하는 경우 전송된 메시지는 메시지 본문을 암호화하는 데 사용된 키 인덱스를 나타냅니다. 수신 AP 또는 무선 장치는 키 인덱스에 저장된 키를 검색할 수 있으며 암호화된 메시지 본문을 디코딩하는 데 키 인덱스를 사용할 수 있습니다.

WEP 인증 알고리즘은 네트워크 공격에 취약하므로 WPA-개인 또는 WPA2-개인 보안을 사용하는 것을 고려해야 합니다.

WPA-개인

WPA-개인 모드는 가정 및 소규모 회사 환경을 위한 것입니다. WPA 개인 모드에서는 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. 인증 서버는 필요하지 않습니다. 이 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서, 액세스 포인트에 입력한 암호와 동일한 암호를 사용해야 합니다. 보안 효과는 암호의 강력함 정도에 따라 달라집니다. 긴 암호를 사용하면 짧은 암호를 사용할 때보다 네트워크 보안 기능이 더 강화됩니다. 무선 액세스 포인트 또는 라우터가 WPA-개인 및 WPA2-개인을 지원하는 경우 액세스 포인트에서 WPA-PSK를 활성한 다음 길고 강력한 암호를 지정해야 합니다. WPA-개인 모드에서는 TKIP 및 AES-CCMP 데이터 암호화 알고리즘을 사용할 수 있습니다.

WPA2-개인

WPA2-개인 모드에서는 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. 인증 서버는 필요하지 않습니다. 이 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서, 액세스 포인트에 입력한 암호와 동일한 암호를 사용해야 합니다. 보안 효과는 암호의 강력함 정도에 따라 달라집니다. 긴 암호를 사용하면 짧은 암호를 사용할 때보다 네트워크 보안 기능이 더 강화됩니다. WPA2는 WPA 상의 구현으로, 전체 IEEE 802.11i 표준을 구현합니다. WPA2는 WPA와 역호환됩니다. WPA2-개인 모드에서는 TKIP 및 AES-CCMP 데이터 암호화 알고리즘을 사용할 수 있습니다.

참고: WPA-개인과 WPA2-개인은 상호 운용성이 있습니다.

802.1x 인증(기업 보안)

이 섹션에서는 대기업에 주로 사용되는 보안 방법에 대해 설명합니다.

개요

802.1X 인증은 802.11 인증 과정과는 별개의 인증입니다. 802.11 표준은 다양한 인증 및 키 관리 프로토콜에 대한 프레임워크를 제공합니다. 802.1X 인증 유형은 서로 다르며, 각각은 다른 인증 접근 방식을 제공하나 모두 클라이언트와 액세스 포인트 사이에서의 통신을 위해 동일한 802.11 프로토콜 및 프레임워크를 사용합니다. 대부분 프로토콜에서 802.1X 인증 처리가 완료된 후 클라이언트에서 데이터 암호화에 사용할 키를 수신합니다. 자세한 내용은 802.1X 인증 작동 방법을 참조하십시오. 802.1X 인증과 함께 클라이언트와 액세스 포인트에 연결된 서버(예: 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버) 사이에서 인증 방법이 사용됩니다. 인증 처리에서는 무선 네트워크로 전송되지 않는 사용자 암호와 같은 자격 증명을 사용합니다. 대부분 802.1X 유형은 사용자마다, 세션마다 동적 키를 지원하여 키 보안을 강화합니다. 802.1X 인증은 확장 인증 프로토콜(EAP)로 알려진 기존 인증 프로토콜을 사용합니다.

무선 LAN에 대한 802.1X 인증은 다음과 같은 세 가지 주 구성 요소로 구성됩니다.

802.1X 인증 보안은 무선 클라이언트에서 액세스 포인트로 향하는 인증 요청을 시작합니다. 이로 인해 확장 인증 프로토콜(EAP) 규격 RADIUS 서버에 대해 클라이언트가 인증됩니다. 이 RADIUS 서버는 사용자(암호 또는 인증서를 통해) 또는 시스템(MAC 주소를 통해)을 인증할 수 있습니다. 이론적으로 무선 클라이언트는 처리가 완료될 때까지 네트워크에 추가될 수 없습니다. (모든 인증 방법에서 RADIUS 서버를 사용하는 것은 아닙니다. WPA-개인 및 WPA2-개인은 네트워크에 액세스를 요청하는 모든 장치와 액세스 포인트에서 입력해야 하는 공통 암호를 사용합니다.)

802.1X에 사용되는 인증 알고리즘은 여러 가지가 있습니다. 다음은 몇 가지 예입니다. EAP-TLS, EAP-TTLS, 보호 EAP(PEAP) 및 EAP Cisco 무선 라이트 확장 인증 프로토콜(LEAP) 등이 있습니다. 이러한 방법을 통해 무선 클라이언트가 RADIUS 서버에게 자신을 확인시킬 수 있습니다. RADIUS 인증을 사용하여 데이터베이스에서 사용자 ID를 확인합니다. RADIUS는 AAA(Authentication, Authorization, Accounting)를 지정하는 표준 집합으로 구성됩니다. RADIUS에는 다중 서버 환경에서 클라이언트의 유효성을 확인하는 프록시 프로세스가 포함됩니다. IEEE 802.1X 표준은 포트 기반 802.11 무선 및 유선 이더넷 네트워크에 대한 액세스를 제어 및 인증하는 데 사용되는 메커니즘을 제공합니다. 포트 기반 네트워크 액세스 제어는 LAN 포트에 부착되어 인증 처리가 실패했을 때 포트에 대한 액세스를 방지하는 장치를 인증하는 전환 LAN 인프라와 비슷합니다.

RADIUS의 정의

RADIUS는 AAA 전화 접속 클라이언트가 네트워크 액세스 서버에 로그인하거나 서버에서 로그아웃할 때 사용하는 AAA(Authorization, Authentication 및 Accounting) 클라이언트-서버 프로토콜인 원격 인증 전화 접속 사용자 서비스입니다. 일반적으로 RADIUS 서버는 인터넷 서비스 제공자(ISP)가 AAA 작업을 수행하는 데 사용됩니다. AAA 구문은 다음과 같습니다.

802.1X 인증 작동 방법

802.1X 기능

네트워크 인증

열기(&O)

WPA-개인

WPA2-개인

WPA 엔터프라이즈

엔터프라이즈 모드 인증은 회사나 정부를 위한 것입니다. WPA 엔터프라이즈 모드는 RADIUS 또는 다른 인증 서버를 통해 네트워크 사용자를 확인합니다. WPA는 128비트 암호화 키 및 동적 세션 키를 사용하여 무선 네트워크에 대한 개인 정보와 엔터프라이즈 보안을 보증합니다. 802.1X 서버의 인증 프로토콜과 일치하는지 확인하기 위해 인증 유형을 선택합니다.

WPA2 엔터프라이즈

WPA 엔터프라이즈 인증은 회사나 정부를 위한 것입니다. WPA2 엔터프라이즈 모드는 RADIUS 또는 다른 인증 서버를 통해 네트워크 사용자를 확인합니다. WPA2는 128비트 암호화 키 및 동적 세션 키를 사용하여 무선 네트워크에 대한 개인 정보와 엔터프라이즈 보안을 보증합니다. 802.1X 서버의 인증 프로토콜과 일치하는지 확인하기 위해 인증 유형을 선택합니다. 엔터프라이즈 모드는 회사나 정부를 위한 것입니다. WPA2는 WPA 상의 구현으로, 전체 IEEE 802.11i 표준을 구현합니다.

데이터 암호화

AES-CCMP

고급 암호화 표준 - 카운터 CBC-MAC 프로토콜. IEEE 802.11i 표준에 명시된 무선 전송에 대한 새로운 개인 정보 보호 방식. AES-CCMP는 TKIP보다 더 강력한 암호화 방법을 제공합니다. 강력한 데이터 보호가 중요한 경우 데이터 암호화로서 AES-CCMP를 선택하십시오. AES-CCMP는 WPA/WPA2 개인/엔터프라이즈 네트워크 인증과 함께 사용할 수 있습니다.

TKIP

임시 키 무결성 프로토콜(TKIP)은 패킷 단위 키 혼합, 메시지 무결성 확인 및 재입력 메커니즘을 제공하며, TKIP는 WPA/WPA2 개인/엔터프라이즈 네트워크 인증과 함께 사용할 수 있습니다.

CKIP

WEP

WEP(Wired Equivalent Privacy)는 암호화를 사용하여 무선 데이터의 무단 수신을 방지합니다. WEP는 데이터를 전송하기 전에 암호화 키를 사용하여 데이터를 암호화합니다. 동일한 암호화 키를 사용하는 컴퓨터만이 네트워크에 액세스하거나 다른 컴퓨터에서 전송된 데이터를 해독할 수 있습니다. 개인 WEP와 달리 엔터프라이즈 WEP에서는 개방 네트워크 인증을 선택한 다음 802.1X 사용을 클릭하고 모든 클라이언트 인증 유형 중에서 선택할 수 있습니다. 개인 WEP에서는 인증 유형을 선택할 수 없습니다.

인증 유형

TLS

확장 인증 프로토콜(EAP) 및 터널 전송 계층 보안(TTLS)을 사용하는 인증 방법입니다. EAP-TLS는 암호를 사용하는 인증서를 사용합니다. EAP-TLS 인증은 동적 WEP 키 관리를 지원합니다. TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다.

TTLS

이러한 설정은 사용자를 인증하는 데 사용되는 자격 증명과 프로토콜을 정의합니다. TTLS(터널 전송 계층 보안)에서 클라이언트는 EAP-TLS를 사용하여 서버의 유효성을 확인하며 클라이언트와 서버 사이에 TLS 암호화 채널을 만듭니다. 클라이언트는 다른 인증 프로토콜을 사용할 수 있습니다. 일반적으로 비공개 TLS 암호화 채널에 암호 기반 프로토콜 도전을 사용합니다. TTLS 구현은 EAP에서 정의한 모든 방법과 여러 가지 이전 방법(PAP, CHAP, MS-CHAP 및 MS-CHAP-V2)을 모두 지원합니다. TTLS는 새로운 프로토콜을 지원하도록 새 특성을 정의하는 방식으로 새 프로토콜에서 사용이 가능하도록 쉽게 확장할 수 있습니다.

PEAP

PEAP는 IEEE 802.1X 인증 유형의 새로운 확장 인증 프로토콜(EAP)로, 서버쪽 EAP-전송 계층 보안(EAP-TLS)을 이용하고 사용자 암호, 1회 암호 및 일반 토큰 카드를 포함한 다양한 인증 방법을 지원하도록 고안된 것입니다.

LEAP

확장 인증 프로토콜(EAP) 버전 중 하나입니다. LEAP(Light Extensible Authentication Protocol)는 Cisco에서 개발한 독점 확장 인증 프로토콜로, 도전-응답 인증 메카니즘 및 동적 키 할당을 지원합니다.

EAP-SIM

EAP-SIM(Extensible Authentication Protocol Method for GSM Subscriber Identity)은 인증 및 세션 키 배포를 위한 메커니즘으로, 모바일 통신용 글로벌 시스템(GSM) SIM(Subscriber Identity Module)을 사용합니다. EAP-SIM은 클라이언트 어댑터 및 RADIUS 서버에서 추출한 동적 세션 기반 WEP 키를 사용하여 데이터를 암호화합니다. EAP-SIM를 통해 SIM(Subscriber Identity Module) 카드와 통신하려면 사용자 확인 코드 또는 PIN를 입력해야 합니다. SIM 카드는 모바일 통신용 글로벌 시스템(GSM) 기반 디지털 셀룰러 네트워크에 사용되는 특수한 스마트 카드입니다. RFC 4186에 EAP-SIM이 규정되어 있습니다.

EAP-AKA

EAP-AKA(Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement)는 UMTS(Universal Mobile Telecommunications System) 가입자 식별 모듈(USIM)을 사용한 인증 및 세션 키 배포에 사용되는 EAP 메커니즘입니다. USIM 카드는 네트워크를 사용하여 사용자를 검증하기 위해, 셀룰러 네트워크와 함께 사용하는 특수한 스마트 카드입니다.

인증 프로토콜

PAP

암호 인증 프로토콜은 PPP와 함께 사용하기 위해 고안된 2방향 핸드셰이크 프로토콜입니다. 기존 SLIP 시스템에 사용된 일반 텍스트 암호인 암호 인증 프로토콜은 보안 기능을 지원하지 않습니다. TTLS 인증 유형에만 사용할 수 있습니다.

CHAP

Challenge Handshake Authentication Protocol의 약어로, 암호 인증 프로토콜보다 강력한 보안을 제공하는 3방향 핸드셰이크 프로토콜입니다. TTLS 인증 유형에만 사용할 수 있습니다.

MS-CHAP (MD4)

RSA Message Digest 4 challenge-and-reply protocol에 대한 Microsoft 버전을 사용합니다. 이는 Microsoft 시스템에서만 작동하며 데이터 암호화를 활성화합니다. 이 인증 방법을 선택하면 모든 데이터가 암호화될 수 있습니다. TTLS 인증 유형에만 사용할 수 있습니다.

MS-CHAP-V2

MS-CHAP-V1 또는 표준 CHAP 인증과 함께 사용할 수 없는 기능과 암호 변경 기능이 추가되었습니다. 이 기능을 사용하면 RADIUS 서버에서 암호가 만료되었음을 보고하는 경우 클라이언트가 계정 암호를 변경할 수 있습니다. TTLS 및 PEAP 인증 유형에 사용할 수 있습니다.

일반 토큰 카드(GTC)

인증에 필요한 사용자 고유의 토큰 카드를 제공합니다. GTC의 기본 기능은 디지털 인증서/토큰 카드 기반 인증입니다. GTC는 또한 TLS 암호화 터널이 설정될 때까지 사용자 ID를 숨길 수 있으므로 인증 과정에서 사용자 이름이 공개되지 않아 기밀 유지 기능이 향상됩니다. PEAP 인증 유형에만 사용할 수 있습니다.

TLS

TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다. PEAP 인증 유형에만 사용할 수 있습니다.

Cisco 기능

Cisco LEAP

Cisco LEAP(Cisco Light EAP)는 사용자가 지정한 로그온 암호를 통한 서버 및 클라이언트 802.1X 인증입니다. 무선 액세스 포인트가 Cisco LEAP 활성 RADIUS(Cisco 보안 액세스 제어 서버(ACS) 서버)와 통신할 경우 Cisco LEAP는 클라이언트 WiFi 어댑터와 무선 네트워크 간 다중 인증을 통한 액세스 제어를 제공하며 전송된 데이터를 보호하는 동적 개별 사용자 암호화 키를 제공합니다.

Cisco 불량 액세스 포인트 보안 기능

Cisco 불량 액세스 포인트 기능은 보안을 해칠 수 있는 사용자 자격 증명과 인증 프로토콜에 대한 정보를 추출하기 위해 네트워크의 네트워크에서 불법 액세스 포인트를 모방할 수 있는 불량 액세스 포인트가 들어오지 못하도록 하는 보호 기능을 제공합니다. 이 기능은 Cisco의 LEAP 인증을 통해서만 작동합니다. 표준 802.11 기술은 불량 액세스 포인트가 네트워크에 들어오지 못하도록 보호하지 못합니다. 자세한 내용은 LEAP 인증을 참조하십시오.

802.11b 및 802.11g 혼합 환경 보호 프로토콜

Cisco 350 또는 Cisco 1200과 같은 일부 액세스 포인트는 일부 클라이언트 스테이션이 WEP 암호화를 지원하지 않는 환경을 지원합니다. 이를 혼합 셀이라 합니다. 이러한 무선 네트워크가 "선택적인 암호화" 모드에서 작동할 때 WEP 모드에 연결된 클라이언트 스테이션은 암호화된 모든 메시지를 보내며 표준 모드를 사용하는 스테이션은 암호화되지 않은 모든 메시지를 보냅니다. 이러한 액세스 포인트는 네트워크가 암호화를 사용하고 있지 않다는 것을 알려 클라이언트가 WEP 모드를 사용할 수 있도록 합니다. 프로파일에서 "혼합 셀"이 활성화되면 "선택적인 암호화"에 맞게 구성된 액세스 포인트에 연결할 수 있습니다.

CKIP

Cisco 키 무결성 프로토콜(CKIP)은 802.11 매체 암호화를 위한 Cisco 독점 보안 프로토콜입니다. CKIP는 다음 기능을 사용하여 인프라 네트워크 모드에서 802.11 보안을 개선합니다.

빠른 로밍(CCKM)

무선 LAN이 빠른 재연결이 가능하도록 구성된 경우 주 서버를 통하지 않고 LEAP 사용 클라이언트 장치가 한 액세스 포인트에서 다른 액세스 포인트로 로밍할 수 있습니다. CCKM(Cisco Centralized Key Management)을 사용하면 무선 도메인 서비스(WDS)를 제공하도록 구성된 액세스 포인트가 RADIUS 서버를 대신하며 음성이나 기타 시간에 민감한 다른 응용 프로그램의 별다른 지연 없이 클라이언트를 인증합니다.

라디오 관리

이 기능이 활성화되면 WiFi 어댑터가 Cisco 인프라에 라디오 관리 정보를 제공합니다. Cisco 라디오 관리 유틸리티가 인프라에서 사용되는 경우 라디오 매개변수를 구성하고 간섭 및 Rogue 액세스 포인트를 검색합니다.

EAP-FAST

EAP-TTLS 및 PEAP처럼 EAP-FAST는 트래픽 보호를 위해 터널링을 사용합니다. 주요 차이점은, EAP-FAST는 권한 부여에 인증서를 사용하지 않는다는 점입니다. EAP-FAST의 조항은 EAP-FAST를 서버에서 요청할 때 첫번째 통신 교환으로서 클라이언트에 의해서만 협상됩니다. 클라이언트에게 미리 공유된 비밀 보호 액세스 자격 증명(PAC)이 없으면 EAP-FAST 제공을 시작하여 서버로부터 동적으로 가져오도록 요청할 수 있습니다.

EAP-FAST는 PAC에 밴드외 보안 장치를 통한 수동 전달과 자동 제공의 두 가지 방법을 제공합니다.

EAP-FAST 방법은 제공과 인증의 두 부분으로 나뉘어집니다. 구축 단계에는 초기 클라이언트로의 PAC 전달이 포함됩니다. 이 단계는 클라이언트와 사용자 당 한 번만 수행해야 합니다.