|
Wi-Fi 네트워크 보호
보호되지 않은 무선 네트워크는 다른 컴퓨터로부터의 액세스에 취약합니다. 무단 액세스를 모크를 쉽게 보호할 수 있습니다 이 문서 설명하는 보안 방법으로.
- 인증
- 인증 요청 승인 프로세스를 통해 네트워크 액세스 포인트에서 네트워크에 액세스하기 위한 클라이언트(신청자, 보통 랩탑). 인증이 완료되고 액세스가 허가되면 클라이언트가 네트워크에 액세스할 수 있습니다. IEEE 802.11 인증을 IEEE 802.1X 링크 레이어 네트워크 사용자 인증과 혼동하지 마십시오. 802.11 인증 및 연결 액세스 포인트(AP) 또는 광대역 무선 라우터 수준에서 발생할 레벨 상위 레이어 인증(802.1X), 특수한 "백엔드" 서버를 이용하기 다양한 자격 증명 유형을 기반으로 하는 개별 사용자를 식별할 수 있습니다.
- 프레임을 전송하기 전에 스테이션(모바일 장치)이 자체 ID를 설정해야 합니다. 802.11 인증 스테이션이 네트워크에 연결할 때마다 이 프로세스가 수행되지만 네트워크 보안 조치는 제공되지 않습니다. 802.11 인증은 상호적인 속성을 갖지 않는 네트워크 연결을 위한 핸드세이크 프로세스의 첫 단계일 뿐입니다. 즉, AP만이 스테이션을 인증하며 반대 방향의 인증은 일어나지 않습니다. 또한 참고 이 수준에서는 데이터 암호화도 없습니다.
암호화
- 무선 네트워크를 통해 전송되는 정보와 데이터를 암호화하는 암호화 알고리즘을 선택할 수 있습니다. 미리 공유된 키가 탑재된 컴퓨터에서만 전송되는 데이터를 암호화하고 암호화를 해제할 수 있습니다.
- 암호화 키는 64비트와 128비트의 두 가지 보안 수준으로 사용할 수 있습니다. 보안 수준을 높이려면 128비트 키를 사용하십시오.
SSID 브로드캐스트
- 네트워크 보안을 향상시키는 간단한 방법은 SSID(Service Set Identifier)를 브로드캐스트하지 않도록 네트워크 액세스 포인트를 설정하는 것입니다. 액세스 권한을 받으려면 SSID가 필요합니다.(이 SSID를 알고 있는 컴퓨터만이 네트워크에 액세스할 수 있습니다. Intel® PROSet/무선 WiFi 연결 유틸리티를 사용하는 어댑터에서는 설정되지 않고, 액세스 포인트에서 설정됩니다. )을 무선 네트워크의 보안 방법의 권장 보안 아니며 있습니다.
개인 보안 방법
개방 및 공유 네트워크 인증
IEEE 802.11 개방 시스템 및 공유 키: 두 가지 네트워크 인증 방법을 지원합니다.
- 개방 인증이 사용된 경우 무선 장치에서 인증을 요청할 수 있습니다. 다른 무선 장치를 사용해서 인증해야 하는 장치는 전송 장치의 ID를 인증 관리 요청을 보냅니다. 수신 장치 또는 액세스 포인트는 인증을 위한 요청 권한을 부여합니다. 개방 인증을 사용하면 모든 장치에 네트워크 액세스 권한을 부여할 수 있습니다. 네트워크에서 암호화가 활성화되지 않은 경우 액세스 포인트의 서비스 세트 ID(SSID)를 알고 있는 장치는 네트워크에 액세스할 수 있습니다.
- 공유 키 인증이 사용된 경우 각 무선 장치는 802.11 무선 네트워크 통신 채널과 별개인 보안 채널을 통해 비밀 공유 키를 수신하는 것으로 간주합니다. 유선 이더넷 연결을 통해 또는 USB 메모리 스틱이나 CD를 사용하여 물리적으로 이 비밀 키를 공유할 수 있습니다. 공유 키 인증에서는 클라이언트가 정적 WEP 키를 구성할. 인증에서 발생하는 문제를 해결한 경우에만 클라이언트 액세스가 허가됩니다.
WEP
- WEP(Wired Equivalent Privacy)는 암호화를 사용하여 무선 데이터의 무단 수신을 방지합니다.
- WEP 데이터 IT 전송하기 전에 암호화 키를 사용하여 데이터를 암호화합니다. 동일한 암호화 키를 사용하는 컴퓨터만이 네트워크에 액세스하거나 다른 컴퓨터에서 전송된 데이터를 해독할 수 있습니다.
- WEP 암호화는 64비트 키(간혹 40비트이기도 함)와 128비트 키(104비트로도 알려짐)를 사용하여 두 가지 보안 수준을 제공합니다. 보안 성능을 강화하려면 128비트 키를 사용해야 합니다. 암호화를 사용하는 경우 무선 네트워크 상에 있는 모든 무선 장치의 암호화 키가 동일해야 합니다.
- WEP 데이터 암호화를 사용하면 무선 장치는 최대 4개의 키(키 인덱스 값은 1,2 , 3, 4임)로 구성할 수 있습니다.
- 액세스 포인트(AP) 또는 무선 장치에서 특정 키 인덱스에 저장된 키를 사용하여 암호화된 메시지를 전송하는 경우 전송된 메시지는 메시지 본문을 암호화하는 데 사용된 키 인덱스를 나타냅니다.
- 수신 AP 또는 무선 장치는 키 인덱스에 저장된 키를 검색할 수 있으며 암호화된 메시지 본문을 디코딩하는 데 키 인덱스를 사용할 수 있습니다.
- WEP 인증 알고리즘은 네트워크 공격에 취약하므로 WPA-개인 또는 WPA2-개인 보안을 사용하는 것을 고려해야 합니다.
WPA-개인
- WPA-개인 모드는 가정 및 소규모 회사 환경을 위한 것입니다.
- WPA 개인 모드에서는 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. 인증 서버는 필요하지 않습니다.
- , 액세스 포인트에 입력한 암호와 동일한 암호를 요구를 연결하는 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서 사용할 수 있습니다.
- 보안 및 비밀 암호 강도에 따라 다릅니다. 암호가 길수록 강해집니다 무선 네트워크 보안.
- 그런 다음 사용 중인 무선 액세스 포인트나 라우터가 WPA 개인 및 WPA2-개인을 지원하는 경우 액세스 포인트에서 WPA-PSK를 활성화 길고 강력한 암호를 사용해야 합니다.
- WPA-개인 TKIP 및 AES-CCMP 데이터 암호화 알고리즘을 호환됩니다.
WPA2-개인
- WPA2-개인 모드에서는 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. 인증 서버는 필요하지 않습니다.
- , 액세스 포인트에 입력한 암호와 동일한 암호를 요구를 연결하는 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서 사용할 수 있습니다.
- 보안 및 비밀 암호 강도에 따라 다릅니다. 암호가 길수록 강해집니다 무선 네트워크 보안.
- WPA2는 WPA 상의 구현으로, 전체 IEEE 802.11i 표준을 구현합니다. WPA2는 WPA와 역호환됩니다.
- WPA2-개인 TKIP 및 AES-CCMP 데이터 암호화 알고리즘을 호환됩니다.
802.1x 인증(기업 보안)
개요
802.1X 인증은 802.11 인증 과정과는 별개의 인증입니다. 802.11 표준은 다양한 인증 및 키 관리 프로토콜에 대한 프레임워크를 제공합니다. 802.1X 인증 유형은 여러 가지가 있으며 각각은 다른 인증 접근 방식을 제공하나 모두 동일한 및 클라이언트와 액세스 포인트 사이에서의 통신을 위한 프레임워크 802.11 프로토콜.
대부분 프로토콜에서 802.1X 인증 처리가 완료된 후 클라이언트에서 데이터 암호화에 사용할 키를 수신합니다.
802.1x 인증, 인증 방법이 클라이언트와 서버 사이에서 사용됩니다. 예를 들어, RADIUS(Remote Authentication Dial& # 150 ;in User Service) 서버 액세스 포인트에 연결된. 인증 처리에서는 무선 네트워크로 전송되지 않는 사용자 암호와 같은 자격 증명을 사용합니다.
대부분 802.1X 유형은 사용자마다, 세션마다 동적 키를 지원하여 키 보안을 강화합니다. 802.1X 인증은 확장 인증 프로토콜(EAP)로 알려진 기존 인증 프로토콜을 사용합니다.
무선 LAN에 대한 802.1X 인증은 다음과 같은 세 가지 주 구성 요소로 구성됩니다.
- 인증자(액세스 포인트)
- 단말(클라이언트 소프트웨어)
- 인증 서버
802.1X 인증 보안은 무선 클라이언트에서 액세스 포인트로 향하는 인증 요청을 시작합니다. 이로 인해 확장 인증 프로토콜(EAP) 규격 RADIUS 서버에 대해 클라이언트가 인증됩니다. 이 RADIUS 서버는 사용자(암호 또는 인증서를 통해) 또는 시스템(MAC 주소를 통해)을 인증할 수 있습니다.
이론적으로 무선 클라이언트는 처리가 완료될 때까지 네트워크에 추가될 수 없습니다. 않을 RADIUS 서버를 사용하는 모든 인증 방법. WPA-개인 및 WPA2-개인 공통 암호를 네트워크에 액세스를 요청하는 모든 장치와 액세스 포인트에서 입력해야
802.1X에 사용되는 인증 알고리즘은 여러 가지가 있습니다. 세 가지 주 공급업체(PROSet 유틸리티를 지원하는) 및 해당 인증 알고리즘:
- Microsoft:
- PEAP - MSCHAPv2
- TLS
- PEAP-TLS
- Cisco:
- LEAP
- PEAP-GTC
- EAP-FAST
이러한 방법을 통해 무선 클라이언트가 RADIUS 서버에게 자신을 확인시킬 수 있습니다. RADIUS 인증을 사용하여 데이터베이스에서 사용자 ID를 확인합니다. RADIUS는 AAA(Authentication, Authorization, Accounting)주소 표준 입니다.
802.1X 인증 작동 방법
다음은 802.1X 인증 작동 방법에 대한 간략한 설명입니다.
- 클라이언트가 액세스 포인트에 대한 "액세스 요청" 메시지를 보냅니다. 액세스 포인트에서는 클라이언트 ID를 요청합니다.
- 클라이언트는 인증 서버를 통과한 ID 패킷으로 응답합니다.
- 인증 서버는 액세스 포인트 "수락" 패킷을 보냅니다.
- 공인 상태 및 데이터 트래픽 클라이언트 포트 액세스 포인트 계속 진행하려면 허용됩니다.
802.1x 기능
Microsoft Windows XP * 다음과 같은 인증 방법이 지원됩니다 :
- 802.1x 보충 프로토콜 지원.
- 확장 인증 프로토콜(EAP).
Microsoft Windows Vista * 와 Microsoft Windows 7 * , Microsoft Dell의 고유 신청자 EAP 운영체제 Microsoft Windows XP * Intel® PROSet/무선 클라이언트 유틸리티 EAPOL 신청자 상태 시스템을 실행합니다.
Microsoft Windows XP * 이상 지원되는 인증 방법:
- EAP TLS
- EAP 터널링된 TLS (TTLS).
- Cisco LEAP.
- PEAP를 선택합니다.
- EAP-SIM:
- EAP-FAST.
- EAP-AKA.
네트워크 인증
- 공개
- 공유
- WPA-개인
- WPA2-개인
- WPA-기업
- WPA2 엔터프라이즈
WPA/WPA2 Enterprise RADIUS 또는 다른 인증 서버를 통해 네트워크 사용자를 확인합니다. 128비트 암호화 키 및 동적 세션 키를 사용하여 무선 네트워크에 대한 개인 정보와 엔터프라이즈 보안을 보증합니다. 802.1X 서버의 인증 프로토콜과 일치하는지 확인하기 위해 인증 유형을 선택합니다.
데이터 암호화
- AES-CCMP
고급 암호화 표준 - 카운터 CBC-MAC 프로토콜(Advanced Encryption Standard - Counter CBC-MAC Protocol. IEEE 802.11i 표준에 명시된 무선 전송에 대한 새로운 개인 정보 보호 방식. AES-CCMP는 TKIP보다 더 강력한 암호화 방법을 제공합니다. 강력한 데이터 보호가 중요한 경우 데이터 암호화 방법으로 AES-CCMP를 선택합니다. AES-CCMP는 WPA/WPA2 개인/기업 네트워크 인증과 함께 사용할 수 있습니다.
| 참고 |
일부 보안 솔루션은 컴퓨터 운영 체제에서 지원되지 않습니다 및 기타 소프트웨어 또는 하드웨어, 및 무선 LAN 인프라 지원이 필요할 수 있습니다. | |
- TKIP
임시 키 무결성 프로토콜(TKIP)은 패킷 단위 키 혼합, 메시지 무결성 확인 및 재입력 메커니즘을 제공하며, WPA/WPA2 개인/기업 네트워크 인증과 함께 사용할 수 있습니다.
- CKIP
Cisco 키 무결성 프로토콜(CKIP)은 802.11 매체 암호화를 위한 Cisco 독점 보안 프로토콜입니다. CKIP는 다음 기능을 사용하여 인프라 네트워크 모드에서 802.11 보안을 개선합니다.
- 키 교환(KP)
- 메시지 시퀀스 번호
| 참고 |
CKIP는 WPA/WPA2 개인/기업 네트워크 인증과 함께 사용되지 않습니다. | |
| 참고 |
Windows * XP에서 WiFi 연결 유틸리티를 사용하는 경우에만 CKIP가 지원됩니다. | |
- WEP
Wired Equivalent Privacy 원본 802.11 표준 부품 및 약한 보안 프로토콜 키 길이는 10자 또는 26자의 16진수 숫자. IT Stream cipher 사용하는 기밀성을 위해 rc-4 및 무결성 CRC-32 체크섬을 계산할 수 있습니다.
인증 유형
- TLS
확장 인증 프로토콜(EAP) 및 터널 전송 계층 보안(TTLS)을 사용하는 인증 방법입니다. EAP-TLS는 암호가 있는 인증서를 사용합니다. EAP-TLS 인증은 동적 WEP 키 관리를 지원합니다. TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다.
- TTLS
TTLS(터널 전송 계층 보안)에서 클라이언트는 EAP-TLS를 사용하여 서버의 유효성을 확인하며 클라이언트와 서버 사이에 TLS 암호화 채널을 만듭니다. 클라이언트 다른 인증 프로토콜을 사용할 수 있습니다. 일반적으로 비공개 TLS 암호화 채널에 암호 기반 프로토콜 도전을 사용합니다. TTLS 구현은 EAP에서 정의한 모든 방법을 지원합니다, 및 여러 가지 이전 방법(PAP, CHAP, MS-CHAP 및 MS-CHAP-V2)을 TTLS는 새로운 프로토콜을 지원하도록 새 특성을 정의하는 방식으로 새 프로토콜에서 사용이 가능하도록 쉽게 확장할 수 있습니다.
- PEAP
PEAP 새로운 확장 인증 프로토콜(EAP) IEEE 802.1x 인증 유형 설계된 서버쪽 EAP-전송 계층 보안(EAP-TLS)을 이용하고 수 있습니다 사용자 암호, 1회 암호 및 일반 토큰 카드를 포함한 다양한 인증 방법을 지원합니다.
- LEAP
LEAP(Light Extensible Authentication Protocol)는 Cisco에서 개발한 독점 확장 인증 프로토콜로, 도전-응답 인증 메카니즘 및 동적 키 할당을 지원합니다. 무선 액세스 포인트를 통신하는 경우 Cisco LEAP 활성 RADIUS(Cisco 보안 액세스 제어 서버[ACS] ), Cisco LEAP 클라이언트 WiFi 어댑터 및 무선 네트워크 간의 상호 인증을 통해 액세스 제어 기능을 제공하며, 전송된 데이터 개인 정보 보호하기 위해 동적, 개별 사용자 암호화 키를 제공합니다.
- EAP-SIM
EAP-SIM(Extensible Authentication Protocol Method for GSM Subscriber Identity)은 인증 및 세션 키 배포를 위한 메커니즘으로, 모바일 통신용 글로벌 시스템(GSM) SIM(Subscriber Identity Module)을 사용합니다. EAP-SIM은 클라이언트 어댑터 및 RADIUS 서버에서 추출한 동적 세션 기반 WEP 키를 사용하여 데이터를 암호화합니다. EAP-SIM를 통해 SIM(Subscriber Identity Module) 카드와 통신하려면 사용자 확인 코드 또는 PIN를 입력해야 합니다. SIM 카드는 모바일 통신용 글로벌 시스템(GSM) 기반 디지털 셀룰러 네트워크에 사용되는 특수한 스마트 카드입니다.
- EAP-AKA
EAP-AKA(Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement)는 UMTS(Universal Mobile Telecommunications System) 가입자 식별 모듈(USIM)을 사용한 인증 및 세션 키 배포에 사용되는 EAP 메커니즘입니다. USIM 카드는 네트워크를 사용하여 사용자를 검증하기 위해, 셀룰러 네트워크와 함께 사용하는 특수한 스마트 카드입니다.
EAP-FAST
- EAP-TTLS 및 PEAP처럼 EAP-FAST는 트래픽 보호를 위해 터널링을 사용합니다. 주요 차이점은, EAP-FAST는 권한 부여에 인증서를 사용하지 않는다는 점입니다. EAP-FAST의 조항은 EAP-FAST를 서버에서 요청할 때 첫번째 통신 교환으로서 클라이언트에 의해서만 협상됩니다. 클라이언트에게 미리 공유된 비밀 보호 액세스 자격 증명(PAC)이 없으면 EAP-FAST 제공을 시작하여 서버로부터 동적으로 가져오도록 요청할 수 있습니다.
- EAP-FAST는 PAC에 밴드외 보안 장치를 통한 수동 전달과 자동 제공의 두 가지 방법을 제공합니다.
- 수동 배달 메커니즘은 네트워크 관리자가 충분히 안전하다고 판단하는 배달 메커니즘입니다.
- 자동 제공은 암호화된 터널을 만들어 클라이언트 인증 및 클라이언트로의 PAC 전달을 보호합니다. 이 메커니즘은 수동 방법만큼 안전하지는 않지만 LEAP에 사용된 인증 방법보다는 더 안전합니다.
- EAP-FAST 방법은 제공과 인증의 두 부분으로 나눌 수 있습니다. 제공 단계에는 클라이언트로의 초기 PAC 전달이 포함됩니다. 이 단계는 클라이언트와 사용자 당 한 번만 수행해야 합니다.
인증 프로토콜
- PAP
암호 인증 프로토콜은 PPP와 함께 사용하기 위해 고안된 2방향 핸드셰이크 프로토콜입니다. PAP 기존 SLIP 시스템에 사용된 일반 텍스트 암호인. 보안 기능을 지원하지 않습니다. 이 TTLS 인증 유형에만 사용할 수 있습니다.
- CHAP
Challenge Handshake Authentication Protocol의 약어로, 암호 인증 프로토콜보다 강력한 보안을 제공하는 3방향 핸드셰이크 프로토콜입니다. 이 TTLS 인증 유형에만 사용할 수 있습니다.
- MS-CHAP(MD4)
RSA Message Digest 4 challenge-and-reply protocol에 대한 Microsoft 버전을 사용합니다. 이는 Microsoft 시스템에서만 작동하며 데이터 암호화를 활성화합니다. 이 인증 방법을 선택하면 모든 데이터가 암호화될 수 있습니다. 이 TTLS 인증 유형에만 사용할 수 있습니다.
- MS-CHAP-V2
이 MS-CHAP-V1 또는 표준 CHAP 인증과 함께 사용할 수 없는 기능과 암호 변경 기능이 추가되었습니다. 이 기능을 사용하면 RADIUS 서버에서 암호가 만료되었음을 보고하는 경우 클라이언트가 계정 암호를 변경할 수 있습니다. 이 TTLS 및 PEAP 인증 유형에 사용할 수 있습니다.
- 일반 토큰 카드(GTC)
인증을 위해 사용자 고유의 토큰 카드를 제공합니다. GTC의 기본 기능은 디지털 인증서/토큰 카드 기반 인증입니다. GTC는 또한 TLS 암호화 터널이 설정될 때까지 사용자 ID를 숨길 수 있으므로 인증 과정에서 사용자 이름이 공개되지 않아 기밀 유지 기능이 향상됩니다. PEAP 인증 유형에만 사용할 수 있습니다.
- TLS
TLS 프로토콜은 공유 네트워크에서 데이터 암호화를 통한 통신을 보호 및 인증하기 위해 고안된 것입니다. TLS 핸드셰이크 프로토콜을 사용하면 서버 및 클라이언트가 데이터가 전송되기 전에 상호 인증을 제공하고 암호화 알고리즘 및 암호 키를 협상할 수 있습니다. PEAP 인증 유형에만 사용할 수 있습니다.
적용 대상:
| 
기계 번역 면책 조항
