보안 개요: 인텔(R) PROSet/무선 3945ABG 네트워크 연결 사용자 안내서

WEP 암호화
- 개방 및 공유 키 인증
802.1x 인증
- 802.1x 인증 작동 방법
- 802.1x 기능
WPA/WPA2

AES-CCMP
TKIP

MD5
TLS
TTLS
- 인증 프로토콜
PEAP
- 인증 프로토콜
Cisco 기능

WEP 암호화

IEEE 802.11 WEP(Wired Equivalent Privacy) 암호화를 사용하여 무선 데이터의 무단 수신을 방지할 수 있습니다. WEP 암호화는 두 가지 보안 수준을 제공합니다. 64비트 키(간혹 40비트이기도 함)와 128비트 키(104비트로도 알려짐). 보안 성능을 강화하려면 128비트 키를 사용하십시오. 암호화를 사용하는 경우 무선 네트워크 상에 있는 모든 무선 장치의 암호화 키가 동일해야 합니다.

WEP(Wired Equivalent Privacy) 암호화 및 공유 인증을 사용하여 네트워크에서 데이터를 보호할 수 있습니다. WEP는 데이터를 전송하기 전에 암호화 키를 사용하여 데이터를 암호화합니다. 동일한 암호화 키를 사용하는 컴퓨터만이 네트워크에 액세스하거나 다른 컴퓨터에서 전송된 암호화된 데이터를 해독할 수 있습니다. 인증은 어댑터와 액세스 포인트 사이에서의 추가 확인 프로세스를 제공합니다.

WEP 인증 알고리즘은 수동 및 능동 네트워크 공격에 취약합니다. TKIP 및 CKIP 알고리즘에는 기존의 네트워크 공격을 완화하고 취약점을 알려주도록 개선된 WEP 프로토콜이 포함됩니다.

개방 및 공유 키 인증

IEEE 802.11은 시스템 및 공유 키의 두 가지 네트워크 인증 방법을 지원합니다.

개방 인증이 사용된 경우 무선 장치에서 인증을 요청할 수 있습니다. 다른 무선 장치를 사용해서 인증해야 하는 장치는 전송 장치의 ID를 포함하는 인증 관리 요청을 보내며 수신 장치 또는 액세스 포인트는 인증을 위한 요청 권한을 부여합니다. 개방 인증을 사용하면 모든 장치에서 네트워크에 액세스할 수 있습니다. 네트워크에서 암호화가 활성화되지 않은 경우 액세스 포인트의 서비스 세트 ID(SSID)를 알고 있는 장치는 네트워크에 액세스할 수 있습니다.
공유 키 인증이 사용된 경우 각 무선 장치는 802.11 무선 네트워크 통신 채널과 별개인 보안 채널을 통해 비밀 공유 키를 수신하는 것으로 간주합니다. 공유 키 인증에서는 클라이언트가 정적 WEP 키를 구성해야 합니다. 인증에서 발생하는 문제를 해결한 경우에만 클라이언트 액세스가 허가됩니다.

802.1x 인증

802.1x 인증 작동 방법
802.1x 기능

개요

802.1x 인증은 802.11 인증 프로세스와는 별개의 인증입니다. 802.1x 표준은 다양한 인증 및 키 관리 프로토콜에 대한 프레임워크를 제공합니다. 802.1x 인증 유형은 서로 다르며 각각은 다른 인증 접근 방식을 제공하나 모두 클라이언트와 액세스 포인트 사이에서의 통신을 위해 동일한 802.1x 프로토콜 및 프레임워크를 사용합니다. 대부분 프로토콜에서 802.1x 인증 처리가 완료되면 단말에서 데이터 암호화를 위한 키를 수신합니다. 자세한 내용은 802.1x 인증 작동 방법을 참조하십시오. 802.1x 인증과 함께 클라이언트와 액세스 포인트에 연결된 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버 사이에서 인증 방법이 사용됩니다. 인증 처리에서는 무선 네트워크로 전송되지 않는 사용자 암호와 같은 자격 증명을 사용합니다. 대부분 802.1x 유형은 사용자마다, 세션마다 동적 키를 지원하여 고정 키 보안을 강화합니다. 802.1x는 확장 인증 프로토콜(EAP)로 알려진 기존 인증 프로토콜을 사용합니다.

무선 LAN에 대한 802.1x 인증은 다음 세 가지 요소로 구성됩니다.

인증자(액세스 포인트)
단말(클라이언트 소프트웨어)
인증 서버(원격 인증 전화 접속 사용자 서비스 서버 [RADIUS])

802.1x 인증 보안은 무선 클라이언트에서 액세스 포인트로 향하는 인증 요청을 시작합니다. 이로 인해 확장 인증 프로토콜(EAP) 규격 RADIUS 서버에 대해 클라이언트가 인증됩니다. 이 RADIUS 서버는 사용자(암호 또는 인증서를 통해) 또는 시스템(MAC 주소를 통해)을 인증할 수 있습니다. 이론적으로 무선 클라이언트는 처리가 완료될 때까지 네트워크에 추가될 수 없습니다.

802.1x용으로 사용되는 인증 알고리즘에는 EAP-TLS, EAP-TTLS, 보호 EAP(PEAP) 등이 포함됩니다. 이러한 방법을 통해 무선 클라이언트가 RADIUS 서버에게 자신을 확인시킬 수 있습니다. RADIUS 인증을 사용하여 데이터베이스에서 사용자 ID를 확인합니다. RADIUS는 표준 주소 지정 AAA(Authentication, Authorization 및 Accounting) 집합으로 구성됩니다. RADIUS에는 다중 서버 환경에서 클라이언트의 유효성을 확인하는 프록시 프로세스가 포함됩니다. IEEE 802.1x 표준은 포트 기반 802.11 무선 및 유선 이더넷 네트워크에 대한 액세스를 제어하고 인증하는 데 사용됩니다. 포트 기반 네트워크 액세스 제어는 LAN 포트에 부착되어 인증 처리가 실패했을 때 포트에 대한 액세스를 방지하는 장치를 인증하는 스위칭 LAN 인프라와 비슷합니다.

RADIUS의 정의

RADIUS는 AAA 전화 접속 클라이언트가 네트워크 액세스 서버에 로그인하거나 서버에서 로그아웃할 때 사용하는 AAA(Authorization, Authentication 및 Accounting) 클라이언트-서버 프로토콜인 원격 액세스 전화 접속 사용자 서비스입니다. 일반적으로 RADIUS 서버는 인터넷 서비스 제공자(ISP)가 AAA 작업을 수행하는 데 사용됩니다. AAA 구문은 다음과 같습니다.

Authentication 구문: 로컬 데이터베이스에 대한 사용자 이름과 암호를 확인합니다. 자격 증명이 확인되면 인증 프로세스가 시작됩니다.
Authorization 구문: 리소스에 대한 액세스가 허용된 요청인지 여부를 결정합니다. 전화 접속 클라이언트에 대해 IP 주소가 할당됩니다.
Accounting 구문: 추세 분석, 감사, 세션 시간 과금 또는 비용 할당에 사용할 목적으로 리소스 사용량 정보를 수집합니다.

802.1x 인증 작동 방법

다음에서는 802.1x 인증에 대해 간략히 설명합니다.

클라이언트가 액세스 포인트로 "액세스 요청" 메시지를 보냅니다. 액세스 포인트에서는 클라이언트 ID를 요청합니다.
클라이언트는 인증 서버를 통과한 ID 패킷으로 응답합니다.
인증 서버는 액세스 포인트로 "수락" 패킷을 보냅니다.
액세스 포인트는 클라이언트 포트를 인증된 상태에 놓으며 데이터 트래픽 처리가 가능합니다.

802.1x 기능

802.1x 단말 프로토콜 지원
확장 인증 프로토콜(EAP) 지원 - RFC 2284
지원되는 인증 방법
- EAP TLS 인증 프로토콜 - RFC 2716 및 RFC 2246
- EAP 터널링된 TLS (TTLS)
- PEAP
Microsoft Windows XP 및 Windows 2000을 지원합니다.

WPA 또는 WPA2

Wi-Fi 보호 액세스(WPA 또는 WPA2)는 데이터 보호 및 무선 네트워크에 대한 액세스 제어 수준을 강력하게 개선하는 향상된 보안 기능입니다. WPA는 강제로 802.1x 인증과 키 교환을 실행하며 동적 암호화 키를 통해서만 작동합니다. WPA에서는 임시 키 통합 프로토콜(TKIP)을 사용하여 데이터 암호화를 강화합니다. TKIP에서는 패킷마다 키 혼합 기능, 연속 규칙을 포함한 "Michael" 확장 초기 벡터(IV)라는 이름의 메시지 통합 확인(MIC) 및 키 재설정 방법을 포함하여 데이터 암호화 방법이 크게 개선되었습니다. 이러한 개선된 암호화 방법을 통해 TKIP에서는 WEP의 기존 결점을 보호합니다.

IEEE TGi 사양을 준수하는 차세대 WPA는 WPA2로 알려져 있습니다.

기업 모드: 기업 모드는 RADIUS 또는 다른 인증 서버를 통해 네트워크 사용자를 확인합니다. WPA는 128비트 암호화 키 및 동적 세션 키를 사용하여 무선 네트워크에 대한 개인 정보와 엔터프라이즈 보안을 보증합니다. 기업 모드는 회사나 정부를 위한 것입니다.

개인 모드: 개인 모드의 경우 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. PSK는 클라이언트 스테이션과 액세스 포인트 모두에서 암호 또는 식별 코드를 통해 사용자를 인증합니다. 인증 서버는 필요하지 않습니다. 개인 모드는 가정 및 소규모 회사 환경을 위한 것입니다.

WPA-기업 및 WPA2-기업: 802.1x RADIUS 서버가 있는 기업 네트워크에서의 보안 수준을 제공합니다. 802.1x 서버의 인증 프로토콜과 일치하는지 확인하기 위해 인증 유형을 선택합니다.

WPA-개인 및 WPA2-개인: 개인은 소규모 네트워크 또는 가정 환경에서의 보안 수준을 제공하며 미리 공유된 키(PSK)라는 암호를 사용합니다. 암호가 길수록 무선 네트워크에 대한 보안이 강력해집니다. 무선 액세스 포인트 또는 라우터가 WPA-개인 및 WPA2-개인을 지원하는 경우 액세스 포인트에서 WPA-PSK를 활성한 다음 길고 강력한 암호를 지정해야 합니다. 이 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서, 액세스 포인트에 입력한 암호와 동일한 암호를 사용해야 합니다.

참고: WPA-개인 및 WPA2-개인은 상호 운용성이 없습니다.

AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) 무선 전송에 대한 개인 정보 보호를 위한 IEEE 802.11i 표준에 지정된 새로운 방법입니다. AES-CCMP는 TKIP보다 더 강력한 암호화 방법을 제공합니다. 강력한 데이터 보호가 중요한 경우 데이터 암호화로서 AES-CCMP를 선택하십시오.

참고: 일부 보안 솔루션은 운영 체제에서 지원하지 않을 수도 있으며 무선 LAN 인프라 지원과 함께 추가적인 소프트웨어 또는 하드웨어가 필요할 수 있습니다. 자세한 내용은 컴퓨터 제조업체에 문의하십시오.

TKIP(임시 키 통합 프로토콜)는 WEP(Wired Equivalent Privacy) 보안을 개선한 것으로, 패킷 단위 키 혼합, 메시지 무결성 확인 및 재입력 메커니즘을 제공하여 WEP의 결함을 수정합니다.

MD5

MD5(Message Digest 5) 인증은 사용자 이름과 암호를 사용하는 일원 인증 방법입니다. 이 방법은 키 관리를 지원하지 않지만, 데이터 암호화가 사용되는 경우에는 미리 구성된 키가 필요합니다. EAP 터널 방법 내 무선 인증을 위해 쉽게 배포가 가능합니다.

TLS

확장 인증 프로토콜(EAP) 및 터널 전송 계층 보안(TTLS)을 사용하는 인증 방법입니다. EAP-TLS는 암호를 사용하는 인증서를 사용합니다. EAP-TLS 인증은 동적 WEP 키 관리를 지원합니다. TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다.

TTLS

이러한 설정은 사용자를 인증하는 데 사용되는 자격 증명과 프로토콜을 정의합니다. TTLS(터널 전송 계층 보안)에서 클라이언트는 EAP-TLS를 사용하여 서버의 유효성을 확인하며 클라이언트와 서버 사이에 TLS 암호화 채널을 만듭니다. 클라이언트는 다른 인증 프로토콜을 사용할 수 있습니다. 일반적으로 이 암호화된 채널을 이용하여 서버 유효성을 확인하는 MD5 Challenge와 같은 암호 기반 프로토콜을 사용합니다. 도전 및 응답 패킷이 비공개 TLS 암호화 채널을 통해 전송됩니다. TTLS 구현은 EAP에서 정의한 모든 방법과 여러 가지 이전 방법(PAP, CHAP, MS-CHAP 및 MS-CHAPv2)을 모두 지원합니다. TTLS는 새로운 프로토콜을 지원하도록 새 특성을 정의하는 방식으로 새 프로토콜에서 사용이 가능하도록 쉽게 확장할 수 있습니다.

인증 프로토콜

PAP: 암호 인증 프로토콜은 PPP와 함께 사용하기 위해 고안된 2방향 핸드셰이크 프로토콜입니다. 기존 SLIP 시스템에 사용된 일반 텍스트 암호인 인증 프로토콜의 암호 인증 프로토콜은 보안 기능을 지원하지 않습니다.
CHAP: Challenge Handshake Authentication Protocol의 약어로, PAP(암호 인증 프로토콜)보다 강력한 보안을 제공하는 3방향 핸드셰이크 프로토콜입니다.
MS-CHAP(MD4): RSA Message Digest 4 challenge-and-reply protocol에 대한 Microsoft 버전을 사용합니다. 이는 Microsoft 시스템에서만 작동하며 데이터 암호화를 활성화합니다. 이 인증 방법을 사용하면 모든 데이터가 암호화됩니다.
MS-CHAP-V2: MSCHAPV1 또는 표준 CHAP 인증과 함께 사용할 수 없는 기능과 암호 변경 기능이 추가되었습니다. 이 기능을 사용하면 RADIUS 서버에서 암호가 만료되었음을 보고하는 경우 클라이언트가 계정 암호를 변경할 수 있습니다.

PEAP

PEAP는 IEEE 802.1x 인증 유형의 새로운 확장 인증 프로토콜(EAP)로, 서버쪽 EAP-전송 계층 보안(EAP-TLS)을 이용하고 사용자 암호, 1회 암호 및 일반 토큰 카드를 포함한 다양한 인증 방법을 지원하도록 고안된 것입니다.

인증 프로토콜

일반 토큰 카드(GTC): 인증을 위해 사용자 고유의 토큰 카드를 제공합니다. GTC의 기본 기능은 디지털 인증서/토큰 카드 기반 인증입니다. GTC는 또한 TLS 암호화 터널이 설정될 때까지 사용자 이름을 숨길 수 있으므로, 인증 과정에서 사용자 이름이 공개되는 것을 막을 수 있습니다.
MS-CHAP-V2: 위의 MS-CHAP-V2를 참조하십시오.
TLS: TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다. 위의 TLS를 참조하십시오.

Cisco 기능

Cisco LEAP

Cisco LEAP(Cisco Light EAP)는 사용자가 지정한 로그온 암호를 통한 서버 및 클라이언트 802.1x 인증입니다. 무선 액세스 포인트가 Cisco LEAP 활성 RADIUS(Cisco 보안 액세스 제어 서버(ACS) 서버)와 통신할 경우 Cisco LEAP는 클라이언트 무선 어댑터와 무선 네트워크 간 다중 인증을 통한 액세스 제어를 제공하며 전송된 데이터를 보호하는 동적 개별 사용자 암호화 키를 제공합니다.

Cisco 불량 액세스 포인트 보안 기능

Cisco 불량 액세스 포인트 기능은 보안을 해칠 수 있는 사용자 자격 증명과 인증 프로토콜에 대한 정보를 추출하기 위해 네트워크의 네트워크에서 불법 액세스 포인트를 모방할 수 있는 불량 액세스 포인트가 들어오지 못하도록 보호 기능을 제공합니다. 이 기능은 Cisco의 LEAP 인증을 통해서만 작동합니다. 표준 802.11 기술은 불량 액세스 포인트가 네트워크에 들어오지 못하도록 보호하지 못합니다. 자세한 내용은 LEAP 인증을 참조하십시오.

빠른 로밍(CCKM)

무선 LAN이 빠른 재연결이 가능하도록 구성된 경우 주 서버를 통하지 않고 LEAP 사용 클라이언트 장치가 한 액세스 포인트에서 다른 액세스 포인트로 로밍할 수 있습니다. CCKM(Cisco Centralized Key Management)을 사용하면 무선 도메인 서비스(WDS)를 제공하도록 구성된 액세스 포인트가 RADIUS 서버를 대신하며 음성이나 기타 시간에 민감한 다른 응용 프로그램의 별다른 지연 없이 클라이언트를 인증합니다.

CKIP

Cisco 키 무결성 프로토콜(CKIP)은 802.11 매체 암호화를 위한 Cisco 독점 보안 프로토콜입니다. CKIP는 다음 기능을 사용하여 인프라 네트워크 모드에서 802.11 보안을 개선합니다.

키 교환(KP)
메시지 시퀀스 번호

802.11b 및 802.11g 혼합 환경 보호 프로토콜

Cisco 350 또는 Cisco 1200과 같은 일부 액세스 포인트는 일부 클라이언트 스테이션이 WEP 암호화를 지원하지 않는 환경을 지원합니다. 이를 혼합 셀이라 합니다. 이러한 무선 네트워크가 "선택적인 암호화" 모드에서 작동할 때 WEP 모드에 연결된 클라이언트 스테이션은 암호화된 모든 메시지를 보내며 표준 모드를 사용하는 스테이션은 암호화되지 않은 모든 메시지를 보냅니다. 이러한 액세스 포인트는 네트워크가 암호화를 사용하고 있지 않다는 것을 알려 클라이언트가 WEP 모드를 사용할 수 있도록 합니다. 프로파일에서 혼합 셀이 활성화되면 "선택적인 암호화"에 맞게 구성된 액세스 포인트에 연결할 수 있습니다.

EAP-FAST

EAP-TTLS 및 PEAP처럼 EAP-FAST는 보호 트래픽에 대한 터널링을 사용합니다. 주요 차이점은, EAP-FAST는 권한 부여에 인증서를 사용하지 않는다는 점입니다. EAP-FAST의 조항은 EAP-FAST를 서버에서 요청할 때 첫번째 통신 교환으로서 클라이언트에 의해서만 협상됩니다. 클라이언트에게 미리 공유된 비밀 보호 액세스 자격 증명(PAC)이 없으면 EAP-FAST 제공을 시작하여 서버로부터 동적으로 가져오도록 요청할 수 있습니다.

EAP-FAST는 PAC에 밴드외 보안 장치를 통한 수동 전달과 자동 제공의 두 가지 방법을 제공합니다.

수동 전달 방법은 네트워크 관리자가 네트워크 보안이 충분하다고 판단되는 전달 방법입니다.
자동 제공은 암호화된 터널을 만들어 클라이언트 인증 및 클라이언트로의 PAC 전달을 보호합니다. 이 매커니즘은 수동 방법만큼 안전하지는 않지만 LEAP에 사용된 인증 방법보다는 더 안전합니다.

EAP-FAST 방법은 제공과 인증의 두 부분으로 나뉘어집니다. 구축 단계에는 초기 클라이언트로의 PAC 전달이 포함됩니다. 이 단계는 클라이언트와 사용자 당 한 번만 수행해야 합니다.

혼합 셀 모드

Cisco 350 또는 Cisco 1200과 같은 일부 액세스 포인트는 일부 클라이언트 스테이션이 WEP 암호화를 지원하지 않는 환경을 지원합니다. 이를 혼합 셀이라 합니다. 이러한 무선 네트워크가 "선택적인 암호화" 모드에서 작동할 때 WEP 모드에 연결된 클라이언트 스테이션은 암호화된 모든 메시지를 보내며 표준 모드를 사용하는 스테이션은 암호화되지 않은 모든 메시지를 보냅니다. 이러한 액세스 포인트는 네트워크가 암호화를 사용하고 있지 않다는 것을 알려 클라이언트가 WEP 모드를 사용할 수 있도록 합니다. 프로파일에서 "혼합 셀"이 활성화되면 "선택적인 암호화"에 맞게 구성된 액세스 포인트에 연결할 수 있습니다.

라디오 관리

이 기능이 활성화되면 무선 어댑터가 Cisco 인프라에 라디오 관리 정보를 제공합니다. Cisco 라디오 관리 유틸리티가 인프라에서 사용되는 경우 라디오 매개변수를 구성하고 간섭 및 Rogue 액세스 포인트를 검색합니다.

맨 위로 돌아가기

목차로 돌아가기

상표 및 부인 정보