-
무선랜의 유형과 구성요소
-
무선 네트워크 유형과 무선랜 기술 표준
-
|
무선 네트워크 구조 |
내 용 |
사용예제 |
|
WPAN |
단거리 Ad Hoc 방식 또는 Peer to Peer 방식 |
-노트북간의 데이터 전송이나 핸드폰과 헤드셋과 같이 한 쌍을 이루는 무선 단말기에 사용 - 블루투스는 마우스와 키보드에서 유선 라인을 대신해 사용됨 |
|
WLAN |
유선랜의 확장개념 또는 유선랜의 설치가 어려운 지역으로의 네트워크 제공 |
-WLAN은 임시 사무실과 같은 환경에서 유선랜 구축으로 인해 발생하는 불필요한 비용소모를 줄임. |
|
WMAN |
대도시와 같은 넓은 지역을 대상으로 높은 전송속도를 제공 |
-대학 캠퍼스와 같이 넓은 지역에서 건물간의 무선 연결 기능을 제공 |
|
무선랜표준 |
표준 제정시기 |
주파수대역 |
데이터속도(최대) |
서비스 범위 (실내~외부) |
|
802.11 |
1997 |
2.4 GHz |
2 Mbps |
20~100M |
|
802.11a |
1999 |
5 GHz |
54 Mbps |
35~120M |
|
802.11b |
1999 |
2.4 GHz |
11 Mbps |
38~140M |
|
802.11g |
2003 |
2.4 GHz |
54 Mbps |
38~140M |
|
802.11n |
2009(예정) |
2.4~5 GHz |
300 Mbps |
70~250M |
802.11 à 2.4GHz 대역을 사용하는 세 가지 전송방법(ISM-Industrial, Scientific, Medical)에 대해 정의
à WEP(Wired Equivalent Privacy) 암호화 방식, 64비트,128비트 키
802.11a à CSMA/CA 때문에 전송속도 최대 6~7Mbps 802.11동일 사항
à 5GHz 대역은 통신위성이 지상과 교신할 떄 이용, 최대 200m 전송거리
802.11g à 전송 방법의 수정을 통해 최대 54 Mbps까지 지원, 가장 널리 쓰임.
802.11i à 가상 인증기능 EAP(Extensible Authentication Protocol), 데이터 암호화 기능 제공
암호화(WPA-1:TKIP, WPA-2:CCMP), (WPA-개인:(PSK모드), WPA-엔터프라이
즈:(Radius 인증 서버 사용))
PSK : 인증 서버가 설치되지 않은 소규모 망에서 사용, 무선AP와 단말기가 동일한 비밀키(PSK)
를 가지고 있는지 EAPoL-Key프레임으로 4웨이 핸드쉐이킹을 통해 인증 수행
인증 성공 후 임시 암호 키를 PSK(256비트)로부터 생성하여 사용
TKIP(WPA-1):WEP의 취약점 보완, 무선 채널 보호용 공유 비밀 키를 동적으로 생성,
무선 구간 패킷을 암호화
CCMP(WPA-2):128비트 블록 키 사용하는 CCM(Counter Mode Encryption with CBC-MAC)
모드의 AES 사용
-
무선랜 네트워크 유형
Infrastructure 모드(Client/Server)
<BSS를 포함하는 1개의 DS>
1개 이상의 무선 AP로 구성
하나의 무선랜은 다수의 무선 AP로 구성될 수 있으며, 무선 AP 1개와 다수의 무선 단말기로 구성된 무선랜의 최소 규모를 BSS(Base Service Sets)라고 한다.
Ad hoc 모드(Peer to Peer)
무선 AP를 이용하지 않고, 단말기간의 설정을 통해 통신이 이루어지는 모드.
장점:단말기만 있음 사용자끼리 무선 접속이 가능.
" 통신 인프라 구축이 곤란한 상황/조건"에 유용, "기존 기간 망의 한계 보완"
단점:노드 이동성이 심한 경우 전원이나 링크 대역폭 등 부족한 자원들이 더 자주 소모된다.
이에 대안으로 반응경로(Reactive Route)가 있다. 반응경로 방식은 패킷 라우팅이 분명히 필
한 경우에만 노드 간 루트가 성립되도록 할 수 있다.
공개키 암호 기술 사용
-
무선랜 주요 구성요소
무선 단말기(Station)à 노트북, PDA, 핸드폰, 스마트폰 등
무선 AP
무선 브릿지à 2개 이상의 무선랜을 연결하는 장비
무선랜 카드 및 무선랜 안테나à PCMCIA용, USB용, PCI용 등이 있다.
사용자 인증서버à 인증키 관리, 비인가 사용자의 접속 차단 등의 역할
-
무선랜 보안 취약성 분석
무선 네트워크 접속 시 인증 과정에서의 문제점
무선 전송데이터의 암호화 취약점
- 802.11(평문 전송), 802.11b(WEP:취약점 발견 됨.)부터 암호화 내용 포함.
-
무선랜의 물리적 취약성
장비의 외부 노출로 인한
"도난 및 파손", "구성설정 초기화", "전원 차단", "LAN 차단"
-
무선랜의 기술적 취약성
도청 가능(툴:Net Stumbler, 무선 통신 수신안테나)
서비스 거부 공격, 불법 AP(Rogue AP)
암호화 방식(WEP)취약점:선택된 공유키의 KEY ID와 IV값을 평문으로 상대방에게 알려줌.
SSID 노출
MAC 주소 노출
-
무선랜의 관리적 취약성
무선랜 장비 관리 미흡: 대부분 설정을 기본 값(초기 값)을 사용하는 곳이 많음.
사용자 보안 의식 결여
전파관리 미흡: AP의 전파 출력 조정을 하지 않아 외부로 유출되는 경우
-
채널 설정이 미흡한 경우(주파수 간섭-인근 AP의 채널과 3개 이상 떨어
뜨려 채널을 선택해야 함.)
-
사용자 인증 취약성과 대응기술
-
SSID 설정과 폐쇄시스템 운영
SSID: AP가 제공하는 무선랜 서비스 영역을 식별하기 위해 사용하는 ID
à 사용자의 접속 편의와 무선랜 서비스 식별을 쉽게 하기 위해 SSID 값을 기관의 이름, 기억하기 쉬운 값으로 설정하고 있다. SSID는 브로드캐스트가 기본 설정되어 취약함.
대안.
SSID의 브로드캐스트 않도록 설정, 인가된 사용자에게만 SSID를 알려줘 알려준 SSID로만 연결을 시도 하도록 한다.
AP à SSID 브로드캐스트하는 경우 : AP전파 수신영역 안에만 존재하면 SSID값을 알아낼 수 있다.
AP à 숨김 모드(브로드캐스트(X) : 무선 데이터 분석 도구를 사용, 무선 데이터 수집 분석 à
SSID 알아냄.(일정 시간 이상 걸림)
폐쇄시스템 운영(Closed System)
- 네트워크에 개방된 자원이 없도록 관리하는 것.
예) 공유폴더 생성하지 않기.
무선랜 환경에서의 폐쇄시스템
- SSID값을 숨김 모드로 해놓고 더불어 접근제한 규칙을 적용
-
MAC 주소 인증
MAC주소로 AP 인증하는 데 사용.
à 접속을 허용하는 사용자의 단말기의 랜카드 MAC주소를 사전에 등록하여 접속 요청 시에
존재 여부르 이용하여 인증. (MAC 주소 필터링) // AP 자체에서 설정 적용 가능.
-
WEP 인증 메커니즘
데이터 암호화, 사용자 인증 두 가지 제공
-
<WEP 인증 수행 절차>
<참고: 한국정보보호 진흥원(KISA) 『무선랜 보안 가이드』>