[무선LAN과 보안프로토콜]무선LAN과 보안

2021. 12. 24. 19:30Network

  1. OSI 7계층
  2. 무선 LAN 시스템 구성
    • 단말(Station) : Network Interface Card(NIC) 장착해 IEEE 802.11 표준에 기반한 물리계층 및 MAC계층 동작을 수행
    • AP(Access Point) : 브리지 / 스위치 / 라우터
    • DS(Distribution System) : 여러개의 AP를 연결하는 백본망
    • BSS(Basic Service Set) : 하나의 AP와 이것에 접속된 단말로 구성된 그룹(BSSID는 해당 AP의 MAC 주소)
    • ESS(Extended Service Set) : BSS 집단(ESS 내부 통신 가능)

  3. 무선 LAN 시스템 동작 절차
    • 탐색 : AP의 주기적인 비컨 메시지 송신으로 단말이 AP에 대한 정보 습득
    • 인증 : AP를 선택해 유효 단말 증명
    • 결합 : 무선 단말이 AP에 접속하는 과정
    • 데이터 전송 : 이후 AP를 경유해 다른 장치에 데이터 전송
  4. 무선 LAN의 특징
    • ACK 프레임 전달 : 무선 LAN 장비들이 사용하는 ISM 밴드는 간섭에 의해 프레임이 제대로 전송되었는지 보장받을 수 없기 때문에 사용
    • 프레임 분할 : 긴 프레임 전송 시 오류가 많이 발생하므로 분할 기능 사용
    • AP의 상호중첩 없는 채널 사용 : AP를 중심으로 한 셀들 간의 무선 채널은 상호중첩 되지 않게 구성되며, 거리가 가까울수록 높은 전송속도 지원함
    • 낮은 대역 활용률 : 외부 웹 서버 통신 시, AP로부터의 MAC계층의 ACK 뿐만 아니라 서버로부터 송신된 TCP계층의 ACK도 수행
    • 충돌 감지 기능 미제공 : 송수신 채널이 분리된 이더넷의 CSMA/CD와 달리 수행하는 캐리어 감지 동작을 수행해도 충돌 여부를 전달할 방법이 없음(하나의 채널만 사용하므로)
    • 충돌 회피 기능 제공 : 물리계층으로부터 감지되는 실제 신호에 의해 수행되는 물리적 캐리어 감지와 범위 밖의 미감지 노드의 송수신에 의한 충돌 방지를 위한 가상 캐리어 감지 제공
      • 가상 캐리어 감지 동작과정
        1. 단말이 AP로 RTS 프레임(NAV(Network Allocation Vector, 채널 점유 기간(시간값) 포함) 송신
        2. AP가 범위 내 단말 전체에게 CTS 프레임(NAV 포함)으로 응답
        3. 타단말 송수신 동작 지연
    • 비컨 메시지 수신을 위한 시간동기(=> 전원 절약)
    • 무경쟁 폴링 방식도 지원(아직 상용화된 장비는 없음)
    • 무선 구간 보안 강 : IEEE 802.11i TKIP/CCMP 암호방식과 인증서 사용하는 EAP 사용
    • 이동성 : ESS내부 이동 지원
    • 주파수 간섭 방지를 위한 채널 간격 유지
  5. 무선 LAN 보안 기술
    • Pre-RSN : 기존의 약한 보안 기법에 의한 IEEE 802.11 무선망
      • 암호 방식 : WEP-40(WEP 공유키(40비트)+임의IV(24비트)+RC4 스트림 암호 방식) -> 공유키 유출 위험 있음
      • 인증 방식 : 개방시스템 또는 공유키(SK)
    • RSN(Robust Security Network) : 강화된 IEEE 802.11i 무선망
      • 암호 방식 : TKIP(각 프레임 별 상이한 키 적용 + 임시 비밀키 자동 갱신 + RC4 스트림 암호화 방식) / CCMP
      • 인증 방식 : 인증서버 기반(AP는 802.1x 포트 접근 제어 기술 탑재 필요) 또는 사전 공유키
  6. 가상 사설망(VPN) : 고가의 전용선 없이 전용 사설망과 같은 보안을 제공할 수 있는 공중망을 경유하는 가상의 사설망
  7. VPN 구성
    • 종점간 보안 : 전송계층 이상에서의 단말간 직접 보안전송 제공, SIME / SSH / TLS
    • 라우터간 보안 : 본사와 지사 연결하는 라우터간 IPSec 기능 이용
    • 클라이언트와 라우터간 보안 : PPP 프레임을 PPTP 또는 L2TP 수납해 IP 터널링 기법을 사용해 RAS(Remote Access Server) 장치(VPN 서버라고 부름)에 전달해 사용자 인증과정을 수행하고 내부 망용 IP주소를 할당(결과적으로 단말과 RSA장치가 PPP(Point-to-Point) 연결로 연장됨)
  8. VPN 프로토콜 종류
    • Application Layer : S/MIME(보안 e-mail) / SSH(secure shell)
    • Transport Layer(TCP/UDP) : SSL/TLS(Secure Socket Layer/Transport Layer Security)
    • Network Layer(IP) : IPSec
    • DataLink(LLC/MAC) : PPP PAP/CHAP 등(사용자 인증) / PPTP/MPPE, L2TP/IPSec(PPP패킷 수납 터널링/암호화)
    • 인증서버와 클라이언트 간 : RADIUS / DIAMETER 등
    • 무선 링크계층 암호화 : WEP / TKIP / CCMP
  9. VPN 동작 과정
    • 사용자 인증(AP 접속권 확보) 
      1. 단말에서 ID/PW를 AP로 송신
      2. AP는 RADIUS 인증서버에 사용자 정보 전달
      3. 계정 데이터베이스 검색해 유효한 사용자인지 판별 후 결과 AP에 전송
      4. AP는 단말에게 접속 허용
    • 인터넷을 통한 보안통신 과정 : 각 서버에 유효한 프로토콜을 통해 특정 서버에 접근 또는 RAS서버에 PPP연결을 설정하고 내부 모든 서버와 컴퓨터들에 접근

티스토리툴바