본문 바로가기
네트워크 보안

무선랜 보안

by 열콩 2023. 12. 11.

무선랜 기본 구성

1) AP(Access Point): 무선 인터넷에 접속하기 위한 지점으로, 유선랜의 마지막에 위치하여 무선랜과 유선랜 사이를 중계해 주는 역할. 일반적으로 무선 공유기를 뜻함.

2) SSID: AP를 구분하는 32byte 식별 ID

3) BSS(Basic Service Set): AP와 스테이션(무선AP에 연결되는 각종 무선 장치)로 구성되는 무선랜의 가장 기본적인 구성 단위

4) BSSID: BSS 구분 ID

5) ESS(Extended Service Set): BSS에 의해 구성된 네트워크

6) ESSID: ESS 구분 ID

7) DS(Distribution System): 무선 AP가 연결된 유선 네트워크

8) Beacon 프레임/메시지: 무선 AP가 관리하는 BSS의 존재를 정기적으로 알리는 브로드캐스트 메시지로, 스테이션으로 하여금 무선 네트워크를 찾도록 도와주는 역할 수행. IEEE 802.11 관리 프레임 중 하나

 

--무선랜 보안 기술

무선랜 통신 방식은 공기를 전송매체로 하는 브로드캐스트 특성을 가지고 있으므로, 무선 AP의 비콘 프레임을 수신할 수 있는 범위 내에서는 무선 패킷을 도청하고 위변조할 수 있는 문제점이 존재하므로 무선전송 데이터 암호화기술 무선랜 접속 인증기술이 필요

1) 무선전송 데이터 암호화 기술

WEP(Wired Equivalent Privacy): 802.11b 표준부터 적용. 데이터 암호화&사용자 인증 기능 제공

>> 동작 방식: IV(24bit)WEP 공유키(고정값 40bit/104bit)를 조합하여 RC4 암호화 알고리즘 기반으로 동작하는 PRNG(난수발생기)에 넣어 키스트림을 생성. 이후 평문의 무결성을 보장하기 위해 CRC-32를 통해 ICV(무결성 체크값)을 만든 뒤, 앞서 생성한 키스트림과 평문+ICV 값을 XOR 하여 암호문 생성.

RC4 기반 암호화 알고리즘은 자체 취약점 및 고정된 암호화키 사용, 너무 짧은 IV값으로 인해 취약하여 현재는 사용 권장하지 않음.

기밀성 보장: 암호화 알고리즘 RC4, 무결성 보장: CRC-32

**IEEE 802.11i 표준: WEP의 취약성을 보완하기 위한 표준으로 2004년에 제정됨. 향상된 무선구간 암호화 알고리즘 제공, BSS 내의 무선 AP와 단말기 사이 강화된 인증 및 키 교환 방식을 정의함.

WPA(Wi-fi Protected Access): 사용자 인증결과로부터 무선 AP와 단말 사이의 무선 채널 보호용 공유 비밀키를 동적으로 생성하여 무선 구간 패킷을 암호화하는 방식으로, WEP의 취약점으로 인해 하드웨어 교체 없이 보안성을 향상하기 위해 사용함. 키 암호화를 보완하는 TKIP(Temporal Key Integrity Protocol_IEEE 802.11i 표준)을 기반으로 하고 있으며, 인증 부문에서도 802.1x EAP(Extensible Authentiction Protocol)를 도입해 성능을 높임. 하지만 여전히 RC4 암호화 알고리즘을 사용하고, 키 관리 방법을 제공하지 않으며, 소프트웨어적인 암호화 및 복호화로 인한 시간 지연 문제 때문에 사용 권장되지 않음.

>> 개선 사항: IV값을 48bit로 확장, IV값의 순차적 증가 문제 해결, 키 믹싱 함수를 애용한 별도의 키 생성 과정을 통해 각 패킷/프레임 마다 별도의 암호키 적용, CRC-32보다 안전한 MIC(Message Integrity Check)를 사용 각 패킷/프레임 마다 적용.

기밀성 보장: 암호화 알고리즘 RC4-TKIP, 무결성 보장: MIC(Message Integrity Check)

WPA2: AES-CCMP를 통한 무선랜 암호화 알고리즘. 개인과 기업으로 나뉘는데, 개인은 PSK(Pre-Shared Key)를 이용하고 기업용(EAP)RADIUS 인증 서버를 통해 인증.

기밀성 보장: 암호화 알고리즘 AES, 무결성 보장: 개인_PSK, 기업_CBC-MAC

**WPA/WPA2-개인은 PSK모드, 기업은 802.1x/EAP 모드로 RADIUS 인증 서버를 통해 상호 인증 수행

**802.1x는 데이터링크 계층에서 사용하는 포트기반 접근제어 프로토콜, 암호화를 수행하지는 않음.

**WAPWireless Application Protocol의 약자로, 무선랜이 제공하는 인터넷 서비스 관련 통신 규약임.

 

2) 기타 무선랜 접속 인증 기술

SSID 숨김 설정, MAC 주소 인증, 공유키(PSK) 인증

'네트워크 보안' 카테고리의 다른 글

네트워크 계층 공격 종류  (0) 2023.12.11
네트워크 기본 개념  (1) 2023.12.11

관련글

티스토리툴바