WPA2란?


기존 WEP 보안 취약점이 발견되면서 임시 보안 표준으로 WPA를 사용하였다. 그러다 WPA2가 나옴으로써 이를 보안 표준으로 대체하였다. 이는 802.11i의 주요조건을 충족하며, 802.1x를 통한 인증 부문과 AES(Advanced Encryption Standard) 암호화 부문으로 나뉘어 있다. Wi-Fi Alliance가 2004년 9월부터 인증하기 시작했으며, 2006년 3월 이후부터 Wi-Fi로고 획득을 위해 반드시 필요한 항목이 되었다.





Hole196이란, 내부자 공격에 의해 보안된 무선 네트워크를 노출시키는 WPA2 보안 프로토콜의 취약점이다. 


이 취약점은 Airtight Networks 사의 보안 연구원에 의해 발견되었으며, IEEE 802.11 표준 제 196페이지 마지막 줄에 존재하는 WPA2 프로토콜에 취약점이 존재한다고 하여, 취약점의 이름을 ‘Hole 196’으로 명명하게 되었다.






이 취약점의 핵심은 WPA2를 사용하는 네트워크에 인증된 모든 사용자끼리는 GTK를 공유한다는 것인데, 사실 정상적인 동작에선 AP가 GTK를 사용하여 모든 데이터 트래픽을 암호화하여 전송하기 때문에 수신자는 트래픽을 복호화 해야만 한다.





하지만, 이 취약점은 악의적인 내부 인가자가 다른 인가자의 Station을 스캔하여 송신된 데이터를 스니핑 또는 암호화된 데이터를 복호화 할 수 있으며 악성코드를 주입시켜 손상을 줄 수 있는 치명적인 결점이 존재한다.


또, 이는 인증 및 암호화 과정에서의 문제점이 아닌 프로토콜 자체의 취약점이기 때문에 해당 표준을 적용한 802.11 Architecture(AP 또는 컨트롤러)는 이 취약점을 지니고 있으며 표준의 문제점으로 WPA2뿐만 아니라, WPA에서도 위험하다.


한마디로 말하자면, 이 취약점은 WPA2 보안이 적용된 내부 네트워크(인가된 사용자만이 GTK를 알 수 있기 때문)에선 그 보안이 무의미하다는 뜻이다. Hole 196은 위에서도 언급했지만, 프로토콜 자체의 취약점이기 때문에 해당 표준을 적용한 무선 랜(독립 AP 또는 컨트롤러)은 해당 취약점을 지니고 있다.


이 글을 읽고 있는 당신이 만약 내부자 공격에 민감하다면, 아마 내부자 공격을 방어할 수 있는 최대한의 조치를 취해놓았을 것이다. 하지만, 이 취약점은 아직 막을 방법이 없으며, 내부자에 의해 민감한 데이터(지적 재산권, 금융 정보, 기업기밀 등)의 외부 유출을 초래할 수 있다.



Hole 196 취약점은 다음과 같은 공격으로 인해 악용될 수 있다.


1. ARP Poisoning 또는, MITM(Man-In-The-Middle)공격

2. 인가된 다른 사용자에게 악성코드 주입

3. DoS 공격


위 같은 공격을 WPA2를 사용하는 환경에선 악의적인 내부자가 조작된 패킷(AP와 송신자 MAC주소를 조작)을 다른 인가자의 GTK를 이용해, 패킷을 암호화하여 전송할 수 있다.


ARP Poisoning을 예로 들어보자.




GTK에는 ARP Request 메시지를 추가할 수 있다. 이를 이용하여, ARP Request에 공격자의 가짜 Gateway 주소를 포함시켜 브로드캐스팅 하게 되면 모든 Station은 공격자의 MAC 주소를 Gateway 주소로 ARP 테이블에 매핑하게 된다.이 공격은 유선 네트워크상에선 IDS 또는 IPS에 의해 감지가 되거나 차단될 수 있다. 


하지만, WPA2환경에서 ARP Spoofing 공격을 할 땐, 악용된 GTK 패킷 자체가 암호화되어 전송하기 때문에 이를 막을 방법이 아직까지는 존재하지 않는다. 



그리고 이러한 ARP Spoofing 공격은 단지 예시일 뿐, 실제로는 DoS, DNS Spoofing, exe Weakness 등의 취약점등을 GTK를 이용하여 더 강력하고 정밀한 공격이 가능하다.




이를 방어하기 위해선 ARP Poisoning을 탐지하는 소프트웨어를 설치하면 되지만, Station마다 일일이 설치해야 한다는 불편함이 존재하며, 모바일 운영체제(Android, IOS, Windows Mobile 등)를 사용하는 Station에서는 지원이 되지 않는 단점이 있다.


그리고, Hole196 취약점을 기반한 다른 공격기법들이 위에서 봤던 것 처럼 여러 있기 때문에 이를 모두 막는 것은 거의 불가능하다. 

또한, Hole196 취약점을 이용한 공격 자체가 무선 환경에서 이루어지기 때문에 유선 네트워크 기반의 IDS/IPS, Firewall, ARP Poisoning 감지 장치에서는 감지가 되지 않는 특징이 존재한다.


그리고 안타깝게도 이 취약점은 클라이언트를 격리시키거나, PSPF(클라이언트 간 통신 차단)를 설정해도 이를 우회할 수가 있다.


그렇다면 애초에 AP가 클라이언트를 격리하거나 Station간의 통신을 금지시키면 해결되는 것인가? 그것 역시 아니다.

앞의 위험성에 대한 페이지에서도 언급한 것처럼 클라이언트 격리 또는, PSPF도 우회할 수 있기 때문이다.

악의적인 내부 인가자가 계속해서 암호화된 Spoofed GTK 패킷을 네트워크의 다른 Station(Victim)에게 보냄으로써 공격자의 Station으로 데이터 트래픽이 포워딩 되게 할 수 있는데, 이를 이용해 유선 네트워크에 가짜 게이트웨이를 설치하고 Poisoning된 ARP Cache를 인가된 사용자(station)에게 보냄으로써 모든 데이터 트래픽을 가로채, 클라이언트 격리를 우회할 수 있기 때문이다.

현재의 WPA2 프로토콜 표준에 따르면 GTK는 각각의 클라이언트에 AP가 4 Way Handshaking을 통해 할당되는데, 무선 랜 벤더들이 이러한 GTK를 무작위로 생성하게끔 패치를 하면 방어할 수 있다.

또한, 오늘날의 컨트롤러 기반 무선 랜은 아예 GTK를 사용하지 않게 무선 컨트롤러를 ARP Proxy 대신 AP를 사용함으로써 브로드캐스트 트래픽의 전송을 해제할 수 있다.

지금으로썬, WIPS(무선 침입 방지 시스템)를 사용하여 보안 프로토콜의 취약점을 보호하는 것이 확실한 방법이다. 하지만, WIPS 장비를 도입하는 것은 금전적으로 힘든 점이 있다. 

결론적으로, WIPS가 없으면 취약점으로부터 보호받기가 어렵다는 것을 알 수 있다..
그러니 최소한의 보안을 위해, 모든 기업 및 정부 기관에선 WIPS를 도입하여 Hole196에 대응하는 것이 최선이라고 생각한다.




참고 자료

[1] http://www.airtightnetworks.com/
- WPA-Too-Hole196-Defcon18-Presentation
- WPA2-Hole196-vulnerability-FAQs
[2] http://www.airtightnetworks.com/webinars
[3] http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=62209

'공부 > Network' 카테고리의 다른 글

UNC(Universal Naming Convention)  (0) 2012.07.17
WEP 암호화 알고리즘 취약점  (1) 2012.07.14
Well Known Port  (0) 2012.07.05
CCNA  (1) 2012.07.05
[802.11] 802.11i (detailed)  (0) 2012.06.29
Posted by extr
:

 

802.11i 보안에 관해 한번 작성해보았습니다.

 

이 역시 뭐...마소...델...인텔 등등 여러 군데를 구글링하고..책보고 해서...나온..ㅋ..결과물입니다..

 

중요한 액기스만 썻으니ㅋ_ㅋ 잘봐주시고 잘못된 부분이 있으시면 지ㅋ적ㅋ 부탁드립니다

 

--------------------------------------------------------------------------

 

 

802.11i의 개요

 

802.11i 이란, 무선 랜의 합리적인 가격과 편리성에도 불구하고 WEP등의 취약한 보안이 문제가 되고있었는데

 

이 문제를 해결하기 위해 2004년 7월에 새롭게 등장한 무선 랜 보안 표준이다.

 

이는 사용자 인증, 데이터 무결성, 키 관리, 암호화 등의 방식들과 EAP등의 검증된 보안 기술들이 포함되어 있어,

 

보다 강력한 암호화 기능과 인증을 제공한다.

 

802.11i은 AP와 Station간의 인증과 키 교환 및 BSS 내의 무선 구간에서의 통신 보호를 위해 상이한 암호 키와 메세지 무결성 키에 의해 보호되는

 

신뢰성 있는 아주 튼튼한 무선 보안 망, 즉 RSN(Robust Security Network)을 구축하여 보호한다.

 

 

 

802.11i 표준 암호화 알고리즘

 

이는 무선 구간 데이터 보호를 하기 위한 방법을 뜻한다.

 

알고리즘 종류에는 station과 AP 사이에서 설립된 암호 키를 사용하는 TKIP과, CCMP 알고리즘이 있다.

 

 

 

1. TKIP(Temporal Key Integrity CBC-MAC Protocol)

 

=> TKIP 암호화 알고리즘은 기존 WEP를 확장하는 방법으로, 하드웨어를 교체하는 번거로움 없이 소프트웨어 업그레이드만으로 사용할 수 있도록 

 

구현되어 있으며, 메세지 무결성 코드인 MIC를 프레임에 포함시키고, WEP를 이용해 암호화를 하여 각 데이터 프레임마다 WEP에 적용되는 키가

 

변경되도록 설계되어 있다. 즉, 패킷 하나하나 마다 암호 키를 변경하여 암호화를 적용시켰다고 할 수 있다.

 

아래의 그림은 TKIP 알고리즘의 암 · 복호화 과정을 보여준다.

 



 

 

 

2.CCMP(Counter mode with CBC-MAC Protocol)

 

CCMP 알고리즘이란, counter mode with cipher-block chaining with message authentication code(CTR-CBC-MAC) 프로토콜이라고 하기도 하며,

 

CCM Mode(Counter mode with CBC-MAC Mode)를 사용하는 AES(Advanced Encryption Standard) 암호 알고리즘을 사용한다.

 

이는 AES 암호화가 그대로 포함되어 있어, 매우 강력한 보안성을 지니고 있다.

 

아래의 그림은 CCMP 알고리즘의 암 · 복호화 과정을 보여준다.

 




 

 

 

 

802.11 표준 인증 방식

 

사용자를 어떤 방식의 인증으로 엑세스 포인트에 연결시킬 것인지 정의한다.

 

이는 사용자 인증뿐만 아니라 station과 AP 사이에 교환하게 될 session key의 master key를 생성하는 키 관리 방식을 구분하기 때문에

 

섞여있는 인증과 키를 통틀어 AKM(Authentication Key Management) 방식이라고 부르기도 한다.

 

 

1.802.1x

 

802.1x는 다양한 인증 방식(프로토콜)을 제공하며 포트를 이용한 인증 접근 방식을 통해 포트 접근 제어 기능을 정의하고 있다.

 

이러한 포트 접근 제어 기능을 통해 인증과 무선 구간 보안에 필요한 PMK(Pairwise Master Key), 일명 마스터 키를 전달할 수 있는데,

 

이 마스터 키를 이용하여 일대일 대칭 키인 PTK(Pairwise Transient Key)교환을 하여 포트 제어를 수행하게 된다.

 

 

2.사전 공유 키 : PSK(Pre-Shared Key)

 

별도의 인증 서버는 없지만, 대신 키 값을 사전에 정의하여 Station과 AP에 입력하여 사용하는 인증방식이다.

 

이는 인증서버 설치의 부담이 있는 SOHO 또는 가정에서 활용 가능한 방식이다.

 

 

- 선인증(Pre-Authentication) 방식 및 마스터 키(PMK) 관련 정보의 캐시(cache) 기능 도입

 

선인증이란, 현재 접속되어 있는 AP 뿐만 아니라 근접한 모든 AP에게 인증을 요청하여 미리 다수의 AP들의 인증을 받아 놓는다는 것이다.

 

결과적으로, 목표 AP는 직접 접속되어 있지 않은 Station과 관련 PMK를 캐시에 저장하며, Station은 나중에 핸드오프(hand-off : AP 전이라고 생각하세요)

 

될 가능성이 있는 목표 AP에게 미리 인증 받음과 동시에 동일한 PMK를 캐시에 저장하게 되는 것이다.

 

그리고 결과적으로 생성된 PMK와 Station과의 관계는 PMK 식별자(PMKID : PMK IDentifier)로 확인할 수 있다.

 

 

 

802.11i 표준의 키 교환 방식

 

세션 키를 어떻게 하면 안전하게 전달할 수 있는지, 어떻게 하면 효율적으로 전달할 수 있는지에 따라 3가지로 분류된다.

 

 

1.일대 일(Unicast) 통신

 

하나의 Station과 하나의 AP가 통신하는 것을 의미한다.

 

통신 보호용 대칭 키인 PTK(Pairwise Transient Key) 교환을 위한 4 Way-Handshaking 방식을 사용한다.

 

 

2.일대 다(Broadcast) 통신

 

다수의 Station과 하나의 AP가 통신하는 것을 의미한다.

 

통신을 위해 필요한 그룹 키인 GTK(Group Transient Key) 교환을 위한 GKH(Group Key Handshake) 방식이다.

 

 

3.Station 대 Station

 

동일한 BSS 내에 존재하는 2개의 Station이 통신할때 사용하는 단말 대 단말 키(STA to STA Key) 교환을 위한 STAKey Handshake 방식이다.

 

 

 

 출처 - 옛날 블로그 2011/04/30 03:21

Posted by extr
:

인텔..마소..등등ㅋ 여러 인터넷에 떠돌아 다니는 자료들을 한꺼번에 정리 해보았습니다.

 

오탈자도 있고..잘못 설명된 부분도 있는 부분을 고치고 보강해봣어요 ㅋ

 

혹시 잘못된 것이 있으면 따끔하게 지적 부탁드립니다 ㅋ_ㅋ

 

-----------------------------------------------------------------------------------------------

 

802.1x란, 인증을 통해 무선 802.11 네트워크 및 유선 이더넷 네트워크를 보호하는 포트 기반의 접근 프로토콜이다. (이 글에선 802.11만 다룹니다)

 

이는 무선 사용자가 네트워크 접근을 위해 802.1x 인증을 하여 승인이 된다면 AP에서 가상 포트가 열려 통신이 허용된다.

 

하지만, 승인받지 못했다면 가상포트를 사용할 수 없어 통신이 차단되는 메커니즘을 지니고 있다.

 

 

802.1x 인증을 위해선 세 가지 요소가 필요하다.

 

 



 

바로 인증을 요청하는 스테이션(=supplicant)과,

 

인증 프록시 역할(중계을 해주는 매체)을 해주는 AP(=Authenticator).

 

그리고 인증 데이터베이스가 저장되어있는 인증 서버(=RADIUS Authentication Server)가 그 필요요소이다.

 

 

802.1x의 인증 프로세스는 다음과 같다.

 

 

1. station이 802.1x 인증이 적용되어있는 AP에게 연결 요청을 한다.(EAP가 사용된다)

 

2. AP는 station의 인증 요청 패킷을 RADIUS Server로 보낸다. 이 패킷에는 station의 인증 정보(예: ID/PW)가 담겨 있다.

 

3. RADIUS Server가 데이터베이스와 비교하여 인증결과가 참이 되면 동의하는 패킷을 AP에게 보낸다.

 

4. AP는 Station에게 동의 패킷을 받고, 통신(접근) 권한을 가지게 된다.

 

 

여기서 station이 어떤 EAP 인증을 사용하느냐에 따라서 그 보안 강도 또한 달라지게 된다.

 

그렇다면 EAP란 무엇인가?

 

EAP(Extensible Authentication Protocol)란, 점대점 통신 규약(PPP)에서 규정된 인증 방식으로 확장이 용이하도록 고안된 프로토콜이란 의미이다.

 

이 EAP는 단지 station과 RADIUS 서버 사이에 인증 정보를 전달하는데 사용되며 어떤 EAP유형을 사용하느냐에 따라 그 보안 강도가 달라지는데,

 

그 중 가장 널리 이용되는 EAP 유형은 다음과 같다.

 

----------------------------------------------------------------------------------------------------------------------------

 

EAP-MD5 (Message Digest 5)

 

=> 빠른 구축을 할 수 있는 패스워드 기반 MD5 인증은 상호인증 없이 단방향 인증만을 수행하기 때문에 보안상 취약한 특징을 가지고 있다.

   (일방적으로 인증을 하기 때문에 station은 AP를 무조건 신뢰하게 된다. 때문에, Rogue AP가 존재할 경우 문제가 발생할 수 있다.)

 

 

EAP-TLS (Transport Layer Security)

 

=> 현실적으로는 거의 쓰이지 않고, 금융기관같은 철두철미한 보안이 필요한 곳에서 사용된다.

    서버와 클라이언트의 인증서를 필요로 하는 상호 인증을 수행하며, 연결된 후의 보안을 생각해 Dynamic WEP를 사용한다. 

 

 

EAP-TTLS (Tunneled Transport Layer Security)

 

=> TLS를 터널링하여 클라이언트측 인정서에 대한 요구를 없앰으로써 TLS에 있던 인증서에 대한 번거로운 문제를 해결하였다.

    이 역시 상호 인증을 수행하며 동적 WEP를 사용한다.

 

 

EAP-FAST (Flexible Extensible via Secure Tunneling)

 

=> 이는 Cisco에서 개발했으며, 번거로운 인증서를 사용하는 대신 RADIUS Server 에서 PAC라는 보호 액세스 자격 증명 방식을 사용하여 인증

한다. 이는 동적 WEP를 사용하며, Rogue AP 탐지 기능이 존재한다.

 

 

PEAP (Protected Extensible Authentication Protocol)

 

=> 이 방식은 클라이언트 인증서가 필요로 하지 않는다는 점에서 TTLS과 동일하다.

 

 

LEAP (Lightweight Extensible Authentication Protocol)

 

=> 가장 먼저 개발된 방식으로, 과거엔 Cisco 장비만 호환이 되는 방식이였지만, 최근에는 호환 확장 프로그램을 통해 호환성이 좋다고 한다.

   이는 인증서를 요구하지 않고 Dynamic WEP만을 사용하기 때문에 강력한 암호 사용을 요구한다.

 

----------------------------------------------------------------------------------------------------------------------------

 

이러한 종류가 있다.

 

지금껏 쓴 내용을 요약하자면, 802.1x란 인증을 통해 네트워크를 보호하는 포트 기반의 접근 프로토콜이며,

 

전송되는 인증 정보를 보호하기 위해 EAP가 사용된다고 할 수 있다.

 

 

 

 


출처 - 옛날 블로그 2011/04/29 04:09

Posted by extr
:

 

지난번엔 네트워크 접근 인증 보안 프로토콜에 대해 알아봤는데요

 

이번에는 망 계층!! 즉, 네트워크 측에서 주고받고하는 메세지들을 보안하는 프로토콜!!

그 중에서 IPSec 이란 녀석에 대해 간단하게!! 알아보도록 하겠습니다 ㅋ_ㅋ

 

IPSec(IP Security) 프로토콜이란, IP 계층에서의 데이터 변조, 노출 등을 방지하는 역할을 합니다. 

 

쉽게 말하자면 전달되는 데이터가 해커에 의해 스니핑이 된다던가? 넘어서 스푸핑을 할 수도 있는데 이를 방어해준다!! 이겁니다!!

 

 

이는 세 가지 형식의 패킷으로 역할을 수행하는데요

 

 

AH(Authentication Header)

ESP(Encapsulation Security Payload)

ESP+AH

 

형식으로 나눠지게 됩니다

 

 

 

 

먼저 인증 헤더(AH)

 

AH에는 단방향 알고리즘인 MD5, SHA-1의 해쉬 결과 값이 저장됩니다.

어떤 것에 대한 해쉬 값이냐... IP 계층 보안 프로토콜이니 IP 패킷을 해쉬한 값이겠죠ㅋㅋ

 

이렇게 AH에 저장하여 보냄으로써 인가된 사용자만을 승인할 수 있도록...즉.. 무결성이 보장되는겁니다.

 

무결성이 보장되니 자연스레 인증강화도 되겠지요?ㅋ_ㅋ

 

 

 

그리고 캡슐 보안 페이로드(ESP)

 

AH에서 패킷에 대한 무결성을 제공했다면, ESP에선 패킷에 대한 암호화를 제공한답니다~

 

해쉬한건 암호화를 한게 아니냐구요? 그건 암호화를 한게 아니라 인증 강화를 위한 하나의 수단이였을 뿐입니다 ㅋ 혼돈 ㄴㄴ요!!

 

 

 

 

이 두 가지가 합쳐지면 뭐..ㅋ..쩔어주죠..서로의 단점을 보완해주니까 ㅋ_ㅋ

 

AH+ESP=암호화와 무결성이 보장된 패킷

 

이런 공식이 성립하게 되는거지욬ㅋㅋㅋㅋ

 

 

 

뭐 여튼.. 이런 방법을 사용하는 IPSecd은 두 가지 보안 방식을 사용할 수가 있습니다.

 

 

바로 점대 점 보안(종단간 보안)

 

라우터 간 전용 터널링을 이용한 보안으로 나뉩니다.

 

 

쉽게 말하자면 연결된 두 컴퓨터 자체를 보안하는 것과

서로서로 인증된 두 라우터 간에 자기들 끼리만의 터널을 파서 그 터널로만 데이터가 다니게 만드는 것이죠..

 

 

 

이들을 각각, 전송모드와 터널모드라고 한답니다 ㅋ_ㅋ

 

 

 



 

아...어려운 그림 나왔네요..

 

위의 그림은 전송모드에서의 패킷 형식을 뜻합니다.

 

전송모드는 기존 IP헤더와 IP데이터 프레임 사이에 AH라던가 ESP를 추가시키는 방식이랍니다. 한마디로 끼워넣기 방식이죠

 

 

그럼 그림을 볼까요?

 

 

뭐,, 그림,,, 보는 그대로입니다. AH형식은 그자체로 IP패킷 전체를 해쉬해가지고 꾸역꾸역 넣는다고 하지요..

 

그리고 ESP형식은 데이터를 암호화하는 것..

 

3번째는 ESP+AH방식으로써 ㅋㅋ 그림 보시는 그대로입니다 ㅋㅋ ESP의 암호화! 그 다음엔 AH의 무결성!

 

 

 

 




 

이 역시 그림이 어렵네요 -_-;;

 

위에선 전송모드했으니..당연히 이 그림은 터널모드에 대한 설명이겠지요?ㅋ_ㅋ

 

터널모드란 IPSec용 라우터간에 만들어진 IP 터널을 이용해서 사용자들이 주고 받는 IP패킷들을 보안해준답니다.

 

위의 전송모드와는 달리 이 터널모드는 단말로부터 전달된 일반적인 IP 패킷에다가 AH 또는 ESP같은 헤더를 부착시킵니다.

 

그리고 뭐 또 다양한걸 붙여줍니다. 또, 얘가 터널로 들어가야하는데 다른 길로 새지말라고 일종의 주소인 터널용 IP를 붙여준답니다 ㅋㅋ

 

여러모로 친절한(?) 방식의 보안이네요 ㅋㅋ

 

 

 

 

여튼 이렇게 무슨 모드로든 서로서로 IPSec 보안이 적용되어 있는 연결을 가리켜 SA(Security Association)이라고 부른답니다..

 

또한, IKE(Internet Key Exchange)에 의해 키가 분배되구요..ㅋㅋ 그렇답니다 ㅜㅜ

 

 

이번 강은 사람에 따라 지루했을 지도 모르겠네요..

 

짧지만 강한타격(?)을 주는 강의였습니다..

 

 

IPSec에 대해 더 지루하고 자세하게 알고싶으신 분은

 

http://white-hacker.wo.tc/60131547292

 

이 링크를 참조해주세요 ㅋ_ㅋ

 

 

 

----------------------------------------------------------

-이미지 및 포스팅에 도움을 준 출처-

 

http://anrlab.kau.ac.kr

http://en.wikipedia.org

www.terms.co.kr

 

RFC 2409 - The Internet Key Exchange (IKE) (RFC2409)

 

------------------------------------------------------------



출처 - 옛날 블로그 2011/06/06 04:06

Posted by extr
:

 

이전에 이어서

 

 

 

네트워크 접근 인증 프로토콜에 대해서 설명해 드리겠습니다 ^^

 

 

 

 

 



 

음.. 위의 그림은 네트워크 접근 인증 프로토콜의 종류들입니다 ^^;; 많으면서도..어렵네요..

 

하지만 어렵지않습니다!!ㅋㅋㅋㅋ 제가 지난번에 PAP와 CHAP가 있다고만 말씀드렸죠?

 

과연 PAP와 CHAP란 무엇인지?? 또 다른 것에는 어떤 것들이 있는지 한번 알아보도록 하겠습니다 ㅋ_ㅋ

 

 

 

우선 공유 키를 이용한 인증 방법에 대해서 설명드릴게요~

 

 

공유 키(Shared Key) 인증이란, 말 그대로 키를 공유하는겁니다.

 

컴퓨터(이하, STA(Station))와 인증 서버가 동일한 비밀 키를 가지고 있는 것이지요. 

 

 

 

STA가 인터넷에 연결하고싶다.. 그러면 AP에게 요청을 보냅니다ㅋ 연결하고싶다고..

 

AP는 자신의 비밀 키와 연결 요청을 한 STA의 비밀 키를 서로 이게 맞나?다른가? 대조시켜봅니다.

물론 맞다면 OK하고 연결시켜주겠지만, 다르다면 연결시켜주지 않겠죠.

 

 

 

왠지 좀 강화된 인증방법같죠?ㅋ_ㅋ

 

 

 

하지만 이 공유 키를 이용한 인증은 아~무런 인증을 걸지 않은 Open System보다 더욱 취약한 인증 방식입니다 -_-;;

 

왜 그런지는 다음에 설명드릴게요~ RC4라고하는 알고리즘과 관계가 깊기 때문인데 아직 설명드리기가 이르네요 ㅋㅋ..

 

 

 

 

 

그럼 일단 공유 키 인증은 다음으로 미뤄두고~

 

 1장에서 미뤄두었던 PAP(Password Authentication Protocol)에 대해서 먼저 설명 드리겠습니다ㅋ

 

PAP란 은근히 간단한 녀석입니다. 하지만 간단한 만큼 문제점이 있는 놈인데요.. 한번 볼까요?


 

 

위의 그림은 PAP의 인증 절차입니다~

 

보시면 제일 처음에 'PPP LCP Negotiation' 이라는 절차를 수행하는데요.

 

 

 

이는 한번에 보낼 수 있는 최대 프레임(흔히들 MRU(Maximum Receive Unit라고도 하죠?)과 어떤 인증을 사용할것인지에 대해 협상하는 것입니다.

 

쉽게 말해서 최대한 한번에 패킷을 어느정도 보낼 수 있는지!! 어떤 인증?? 여기선 PAP 인증이 되겠죠?^^ 이것을 서로서로 방식을 정하는겁니다.

 

 

 

이렇게 협상을 하고나면 STA는 자신의 계정 정보를 NAS에게 줍니다.

 

NAS는 인증서버라고 생각하시면 되요 ㅋㅋㅋ 그런데!!

 

 

 

여기서 NAS 안에 계정 데이터베이스가 있으면 NAS혼자 비교해서 승낙거절하면 되는데 NAS가 그런 시스템이 없다면

 

옆에있는 RADIUS라는 인증 서버에게 "얘 정보 너  혹시 가지고 있어??" 라고 물어본답니다 ㅋ

 

만약 RADIUS가 없다고하면 인증을 거절해야겠지요?? 계정이 없는거니까요 ㅋ

 

 

 

그런데 이 절차에는 문제점이 하나 있습니다!!

 

 

 

바로 처음에 STA가 자신의 계정 정보를 NAS에게 넘겨줄 때 이게 평문으로 전송된다는 것!!

 

 

 

 

 

 

 

그래서!!! 만들어진게!!!!!!

 

 

 




 

 

바로 이 CHAP(Challenge-Handshake Authentication Protocol) 입니다!!

 

 

이건 기존의 PAP 인증 시 패스워드가 평문으로 노출되는 것을 막고자 제안된 프로토콜인데요.

 

이는 아이디는 평문전송시키되, 비밀번호는 특수한 처리를 시켜 보호하는 기술이 있습니다.

 

 

 

바로 Challenge-Key Handshaking이 비밀번호를 보호해주는 주요 역할을 수행해줍니다!!

 

 

 

이게 뭘까요?

 

과정을 보시면 금방 이해가 가실겁니다 ㅋ_ㅋ

 

 

 

1. 우선 사용자 명을 NAS에게 전송합니다.

 

2. NAS는 요청을 보고 프레임의 순서 번호인 Sequence Number(줄여서 Seq_Num) 과 임의의 값인 Challenge Value(CV)를

CHAP Challenge라는 패킷에 포함시켜 STA에게 전송합니다.


3.STA는 받은 정보(Seq_Num,CV)와 자신의 패스워드를 MD5 해쉬를 하여 다시 NAS에게 보냅니다.

 

4.NAS는 STA에게 받은 해쉬 값과 자신이 직접 Seq_num,CV와 계정 테이블에 있는 패스워드를 해쉬화한 값을 비교합니다.

 

5.일치하면 인증 성공 메세지를 STA에게 보냅니다.

 

 



 

바로 이런식이죠ㅋㅋㅋ

 

이런 식의 인증 형태가 바로 CHAP 인증이라는 것!! 아시겠죠??

 

 

그런데 이런 CHAP 인증 형태와 유사한 EAP 인증이 있습니다.

 

바로 EAP-MD5라는 인증인데요 음...그전에 EAP부터 설명을 드려야 겠지요??ㅋㅋㅋㅋ

 

 

 

 

 

EAP(Extensible Authentication Protocol)란, 뜻 그대로 확장된 인증 프로토콜이란 의미입니다.

 

EAP-MD5..OTP..LEAP..PEAP..TLS..등등 여러가지 방식을 모~~두 지원할 수 있을 정도로의

막강한 확장성을 지니고 있기 때문이랍니다.

 

 

그럼 과연 EAP-MD5.. 이건 어떤 인증 프로토콜일까요?

 



 

 

 

바로 요로코롬..복잡해보이는 -_- 프로토콜입니다...

 

하지만 이 역시(??) 매우 취약한 점이 존재한답니다!!

 

 

우선 그건 인증 절차를 보면 자연스레 나오게 되어있으니 ㅋ 인증 절차부터 한번 볼까요??ㅋ_ㅋ

 

 

 

 

이는 CHAP와 별 다를 바 없습니다..

 

뭐.. 일단 접속 요청을 하면! AP가 사용자에게 물어보겠죠? "니 아이디가 무엇이냐?"하고

 

그럼 "내 아이디는 Arami이다" 하고 EAP-Response를 날려줍니다! 이 프레임은 AP를 거쳐 인증 서버에게 도달하게 됩니다. 

 

인증 서버는 CHAP와 마찬가지로 Seq_num과 CV를 STA에게 넘겨줍니다. "이 값과 니 비밀번호를 같이 MD5해쉬해서 나한테 주라" 라고 하겠죠?

 

그렇게 해쉬해서 값을 넘겨주면 인증 서버 측에서 자신의 계정 테이블의 비밀번호와 CV,Seq_Num을 해쉬해서 넘겨받은 값과 비교를 합니다.

 

그렇게 일치하면 성공패킷을 넘겨주겠지요?

 

 

 

 

 

하지만 뭔가 빠진게 있습니다..

 

 

 

 

 

 

바로 상호인증을 하지 않는다는 것!!!!

 




 

 

상호간의 인증을 하지 않게 되면 서버이건..클라이언트건.. 지들이 통신하는 상대가 누구건 간에 항~~상~~ 올바른 사용자라고 믿게 됩니다 -_-;;

 

 

그렇기 때문에 위의 그림 처럼 Rogue AP(불법적으로 네트워크에 연결된 AP)가 연결되어있는 경우는..

 

 

말 다했죠..ㅋㅋㅋㅋㅋ개인정보 유출 끝장나는거지요..ㅋㅋㅋㅋㅋ

 

 

 

 

그래서..

 

EAP에 제안된 여러 인증 프로토콜이 존재한답니다.

 

 

 

기존의 MD5 방식과는 차원이 다른 인증 방식을 제공하지요..

 

대표적으로 EAP-TLS/TTLS, PEAP, EAP-FAST !!

 

 

 

이들은 모두 TLS(Transport Layer Security)기반으로 이루어져 있는데..

 

 

 

TLS란 간단히 말해서 그냥 인터넷 상의 어플리케이션과 사용자의 프라이버시를 지켜주기 위한 프로토콜이라고 생각하시면 되요!!ㅋㅋ

 

 

이런 프로토콜을 바닥으로 깔고있다!! 고 하는 인증 프로토콜들이니 웬만하면 다 쓸만하겠죠??ㅋ_ㅋ




 

위의 절차들이 바로 TLS기반의 EAP 인증 방식들입니다^^

 

 

EAP-TLS(Transport Layer Security)같은 경우엔 서버와 STA 양 측 모두에게 인증서를 요구하는 프로토콜입니다.

 

이는 보안상 매우 매우 매우 강화되었지만.. 보안이 강한 만큼 사용자 입장에선 매우 번거로운데요..

 

그래서 대체로 EAP-TLS같은 경우엔 금융쪽 시장에서 자주 사용된답니다~

 

 

 

이와 비슷한 EAP-TTLS(Tunneled Transport Layer Security)!!

 

이는 TLS의 STA에 인증서를 요구하는 부담을 덜어줬습니다!!(STA에게는 인증서를 요구하지 않는다는 뜻!!)

 

 

PEAP(Protected Extensible Authentication Protocol) 역시 STA에게 인증서를 요구하지 않는다고 합니다^^

 

 

 

 

TLS/TTLS,PEAP같은 경우엔 인증서를 이용한 인증이였지만, EAP-FAST(Flexible Extensible via Secure Tunneling)같은 경우엔

PAC라고 하는 색다른 절차를 이용한다고 하네요?

 

 

 

PAC(Protected Access Credential)이란, 인증서를 대체하기 위해 Cisco사에서 개발한 일종의 개인 키 인증 방식이라고 할 수 있습니다.

 

쉽게 말하자면, 개인의 고유한 식별자를 이용한 방식이라고 할까요? ㅋㅋ

고유한 식별자를 이용하게 되니 당연히 그만큼 보안성도 강화되기 마련이죠.

 

이 EAP에 대해서 좀 더 관심이 있으신 분들은 http://white-hacker.wo.tc/60128822149 여기를 참고해 주시길 바랍니다^^

 

 

 

 

 

 

2강은 이만 여기까지..ㅋㅋ

 

 

 

-----------------------------------

참고:

 

http://anrlab.kau.ac.kr

http://www.cisco.com

http://en.wikipedia.org

http://documentation.netgear.com

 

RFC 1334, PPP Authentication Protocols

RFC 2716, PPP EAP TLS Authentication Protocol

RFC 3748, Extensible Authentication Protocol(EAP)

 



출처 - 옛날 블로그 2011/05/27 02:21

Posted by extr
:

 

통신망 보안 프로토콜을 설명드리기 전에 우선 이게  필요한지 설명드리겠슴당

 

 

 

 



 

 

그림과 같이 아~무런 보안절차없이 통신을 하는 경우엔 언제든지 크래커의 간섭과 공격을 받기 쉽습니다

 

바로 이런 문제를 해결하기 위해 통신망 보안 프로토콜이 생겨난 것입니다!!ㅋㅋ

 

 

 이 통신망 보안 프로토콜은 크게 2가지의 형태로 분류가 되는데요

 

 

 

 

첫 째로 ADSL이나 VDSL..같은 공중 망 연결 시 필요한 네트워크에 접근 사용자 인증 프로토콜!

 

그리고 둘 째로 링크 계층,트랜스포트 계층,응용 계층에서 쓰이는 메세지 보안 프로토콜이 있습니다.

 

 

그럼 각각의 프로토콜의 종류에는 어떤 것이 있는지 한 번 대충 볼까요??

 

 

우선 네트워크 접근 인증 프로토콜의 종류에는 STA과 NAS 간의 PPP 연결 시....음.. 말이 어렵네요..

 

 

 

STA(Station)과 NAS(Network Authentication Server)!!

즉, 컴퓨터와 인증 서버를 뜻합니다!!

 

얘네들이 PPP연결을 한다고 했는데..PPP(Point to Point Protocol)는 간단히 말해서 점대 점 연결 즉,

 

여기서는 컴퓨터와 인증서버가 연결되었을 때!! 라고 생각해주시면 됩니당ㅋ

 

 

 

정리를 하자면 이렇습니다.

 

컴퓨터와 인증서버가 서로 연결되어 있을 때!! 얘네는 상호간의 인증을 합니다.

 

"과연 내가 연결하고 있는 이놈이 연결해도 되는 놈인가??;;"

 

이런 식으로 말이지요^^ 이렇게 상호 유효성을 검증하는 프로토콜이 있습니다.

 

바로 PAP와 CHAP 프로토콜이 그것입니다^^

 

 

또 일반적으로 우리가 무선 AP에 연결하면 아이디 비밀번호를 묻거나 인증서를 요구하는 경우가 있죠?

 

이런식으로 사용자를 인증하는 프로토콜로 EAP 프로토콜이 있습니다 ㅋ

 

이 프로토콜들에 대해서는 다음에 자세히 다뤄보도록 하겠습니다.

 

 

 

그럼 둘 째로 메세지 보안 프로토콜...

 

메세지 보안 프로토콜은 종류가 너무 많습니다 ㅜㅜ

 

WEP..PPTP...IPSec..TLS..L2TP..SSH..SSL..등등.. 너무많아요 ㅋ

 

설명은...네트워크 보안 프로토콜에 대해 설명을 드린 뒤에 포스팅 해 드리도록 하겠습니닼ㅋㅋㅋ

 

 

 

1장 끝ㅋ

 

 

출처 - 옛날 블로그 2011/05/25 22:02 

 

Posted by extr
:

[802.11] Standard

공부/Network 2012. 6. 29. 16:44 |

Standard and amendments

 

Within the IEEE 802.11 Working Group,[7] the following IEEE Standards Association Standard and Amendments exist:

 

 

 

  • IEEE 802.11-1997: The WLAN standard was originally 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and infrared [IR] standard (1997), all the others listed below are Amendments to this standard, except for Recommended Practices 802.11F and 802.11T.
  • IEEE 802.11a: 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001)
  • IEEE 802.11b: Enhancements to 802.11 to support 5.5 and 11 Mbit/s (1999)
  • IEEE 802.11c: Bridge operation procedures; included in the IEEE 802.1D standard (2001)
  • IEEE 802.11d: International (country-to-country) roaming extensions (2001)
  • IEEE 802.11e: Enhancements: QoS, including packet bursting (2005)
  • IEEE 802.11FInter-Access Point Protocol (2003) Withdrawn February 2006
  • IEEE 802.11g: 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003)
  • IEEE 802.11h: Spectrum Managed 802.11a (5 GHz) for European compatibility (2004)
  • IEEE 802.11i: Enhanced security (2004)
  • IEEE 802.11j: Extensions for Japan (2004)
  • IEEE 802.11-2007: A new release of the standard that includes amendments a, b, d, e, g, h, i & j. (July 2007)
  • IEEE 802.11k: Radio resource measurement enhancements (2008)
  • IEEE 802.11n: Higher throughput improvements using MIMO (multiple input, multiple output antennas) (September 2009)
  • IEEE 802.11p: WAVE—Wireless Access for the Vehicular Environment (such as ambulances and passenger cars) (July 2010)
  • IEEE 802.11r: Fast BSS transition (FT) Working "Task Group r" (2008)
  • IEEE 802.11s: Mesh Networking, Extended Service Set (ESS) (~ June 2011)
  • IEEE 802.11T: Wireless Performance Prediction (WPP)—test methods and metrics Recommendation cancelled
  • IEEE 802.11u: Interworking with non-802 networks (for example, cellular) (~ Dec 2010)
  • IEEE 802.11v: Wireless network management (~ Dec 2010)
  • IEEE 802.11w: Protected Management Frames (September 2009)
  • IEEE 802.11y: 3650–3700 MHz Operation in the U.S. (2008)
  • IEEE 802.11z: Extensions to Direct Link Setup (DLS) (September 2010)
  • IEEE 802.11mb: Maintenance of the standard. Will become 802.11-2011. (~ Dec 2011)
  • IEEE 802.11aa: Robust streaming of Audio Video Transport Streams (~ Mar 2012)
  • IEEE 802.11ac: Very High Throughput <6 GHz;[20] potential improvements over 802.11n: better modulation scheme (expected ~10% throughput increase); wider channels (80 or even 160 MHz), multi user MIMO;[21] (~ Dec 2012)
  • IEEE 802.11ad: Very High Throughput 60 GHz (~ Dec 2012)
  • IEEE 802.11ae: QoS Management (~ Dec 2011)
  • IEEE 802.11af: TV Whitespace (~ Mar 2012)
  • IEEE 802.11ah: Sub 1Ghz (~ July 2013)
  • IEEE 802.11ai: Fast Initial Link Setup

To reduce confusion, no standard or task group was named 802.11l, 802.11o, 802.11x, 802.11ab, or 802.11ag.

802.11F and 802.11T are recommended practices rather than standards, and are capitalized as such.

802.11m is utilized standard maintenance, where 802.11ma completed 802.11-2007 and 802.11mb is expected to complete 802.11-2011.

 

Posted by extr
:

EAP 유형 약어 - MD5, LEAP, PEAP, TLS 및 TTLS

 

802.1x에 대한 개요


인증을 통해 네트워크를 보호하는 포트 액세스 프로토콜입니다. 결과적으로 이러한 유형의 인증 방법은 매체 속성상 무선 환경에 매우 유용합니다. 무선 사용자가 802.1x를 통해 네트워크 액세스를 위한 인증을 받게 되면 액세스 포인트에서 가상 포트가 열려 통신이 허용됩니다. 인증을 받지 못하면 가상 포트를 사용할 수 없어 통신이 차단됩니다. 

다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.

  1. 요청자 - 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
  2. 인증자 - 무선 액세스 포인트

인증 서버 - 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS* 또는 Microsoft IAS*와 같은 Radius 서버)

EAP(Extensible Authentication Protocol)는 요청자(무선 워크스테이션)와 인증 서버(Microsoft IAS 등) 사이에 인증 정보를 전달하는 데 사용되며 실제 인증은 EAP 유형에 의해 정의 및 처리됩니다. 인증자 역할을 하는 액세스 포인트는 요청자와 인증 서버가 통신할 수 있도록 하는 프록시일 뿐입니다.

 

 

사용할 EAP 유형
구현할 EAP의 유형 또는 802.1x를 구현할지 여부는 조직에서 요구하는 보안 수준과 필요한 관리 오버헤드/기능에 따라 다릅니다. 여기서 제공하는 설명 및 비교 차트를 통해 여러 가지 EAP 유형을 보다 쉽게 이해할 수 있습니다. 

EAP(Extensible Authentication Protocol) 인증 유형
WLAN 보안은 필수적이며 EAP 인증 유형은 WLAN 연결의 보안을 강화하는 유용한 방법을 제공하므로 공급업체마다 자사의 WLAN 액세스 포인트 제품에 필요한 EAP 인증 유형을 빠르게 개발하고 있습니다. 가장 널리 사용되는 EAP 인증 유형으로는 EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast 및 Cisco LEAP가 있습니다. 

  • EAP-MD-5(Message Digest) Challenge는 기본적인 수준의 EAP 지원을 제공하는 EAP 인증 유형입니다. EAP-MD-5는 사용자 암호를 알아낼 수 있으므로 일반적으로 무선 LAN 구현에는 권장되지 않습니다. 이 인증 유형은 실제로는 무선 클라이언트와 네트워크에 대한 상호 인증 단계가 없으므로 단방향 인증만 제공합니다. 또한 동적인 세션 기반 WEP(Wired Equivalent Privacy) 키를 알아낼 수 있는 방법을 제공하지 않는다는 점에서 매우 중요한 인증 유형 중 하나입니다.

 

  • EAP-TLS(Transport Layer Security)는 클라이언트 및 네트워크에 대한 인증서 기반 상호 인증 기능을 제공합니다. 이 방법은 클라이언트측 인증서와 서버측 인증서를 통해 인증을 수행하며 WLAN 클라이언트와 액세스 포인트 간 후속 통신에 대한 보안을 강화하기 위해 사용자 기본 WEP 키 및 세션 기반 WEP 키를 동적으로 생성합니다. EAP-TLS의 한 가지 단점은 클라이언트측과 서버측 모두에서 인증서를 관리해야 한다는 점입니다. 이는 규모가 큰 WLAN을 설치하는 경우 번거로운 작업이 될 수 있습니다.

 

  • EAP-TTLS(Tunneled Transport Layer Security)는 Funk Software와 Certicom이 EAP-TLS를 보강하여 개발한 방법입니다. 이 보안 방법은 암호화된 채널(또는 "터널")을 통해 클라이언트와 네트워크에 대한 인증서 기반 상호 인증 및 동적인 사용자 또는 세션 기반 WEP 키를 생성할 수 있는 방법을 제공합니다. EAP-TLS와 달리 EAP-TTLS에는 서버측 인증서만 있으면 됩니다.

 

  • EAP-FAST(Flexible Authentication via Secure Tunneling)는 Cisco에서 개발한 것으로, 인증서를 사용하는 대신 인증 서버에서 동적으로 관리할 수 있는 PAC(보호 액세스 자격 증명) 방식으로 상호 인증이 구현됩니다. PAC는 수동 또는 자동으로 클라이언트에게 제공할 수 있습니다(한 번에 배포 가능). 수동으로 제공하는 경우 디스크나 보안된 네트워크 배포 방법을 통해 클라이언트에게 전달되며 자동으로 제공하는 경우에는 대역 내에서 또는 무선으로 배포됩니다.

 

  • LEAP(Lightweight Extensible Authentication Protocol)는 주로 Cisco Aironet WLAN에서 사용하는 EAP 인증 유형으로, 동적으로 생성된 WEP 키를 사용하여 전송 데이터를 암호화하며 상호 인증을 지원합니다. 지금까지 소유주인 Cisco가 Cisco 호환 확장 프로그램을 통해 여러 제조업체에 LEAP 사용을 허가해 왔습니댜.

 

  • PEAP(Protected Extensible Authentication Protocol)는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공합니다. PEAP는 PEAP 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행합니다. PEAP는 유사한 기능을 수행하는 TTLS( Tunneled Transport Layer Security)와 같이 서버측 인증서만을 사용하여 보안 무선 LAN의 구현 및 관리를 간소화함으로써 무선 LAN 클라이언트를 인증합니다. PEAP는 Microsoft, Cisco 및 RSA Security에서 개발한 방법입니다.

 

802.1x EAP 유형

기능 / 이점

MD5
---
Message Digest 5
TLS
---
Transport Level Security
TTLS
---
Tunneled Transport Level Security
PEAP
---
Protected Transport Level Security

FAST
---
Flexible Authentication via Secure Tunneling

LEAP
---
Lightweight Extensible Authentication Protocol
클라이언트측 인증서 필요아니오아니오아니오없음
(PAC)
아니오
서버측 인증서 필요아니오아니오없음
(PAC)
아니오
WEP 키 관리아니오
Rouge AP 감지아니오아니오아니오아니오
제공업체MSMSFunkMSCiscoCisco
인증 속성일방쌍방쌍방쌍방쌍방쌍방
구축 난이도용이어려움(클라이언트 인증서 구축으로 인해)중간중간중간중간
무선 보안낮음매우 높음높음높음높음높음(강력한 암호 사용 시)

 

위의 설명과 표의 내용에 대한 결론

  • MD5는 단방향 인증만을 수행하며 무엇보다 WEP 키의 자동 배포 및 순환을 지원하지 않아 수동 WEP 키 유지보수의 관리 부담을 줄일 수 없으므로 잘 사용되지 않습니다.

 

  • TLS의 경우 보안 기능은 뛰어나지만 각 무선 워크스테이션에 클라이언트 인증서를 설치해야 합니다. PKI 인프라를 관리하려면 WLAN 자체에 대한 관리 외에 추가 관리 전문 기술과 시간이 필요합니다.

 

  • TTLS는 TLS를 터널링하여 클라이언트측 인증서에 대한 요구를 없앰으로써 인증서 문제를 해결합니다. 이 방법이 주로 사용됩니다. TTLS는 주로 Funk에서 관리하며 요청자 및 인증 서버 소프트웨어에 대한 대가를 별도로 지불해야 합니다.

 

  • LEAP는 가장 먼저 개발된 것으로, 과거에는 Cisco에게 소유권이 있었으며(Cisco 무선 어댑터와 함께 사용해야 함) Cisco는 Cisco 호환 확장 프로그램을 통해 여러 제조업체에게 LEAP 사용을 허가해 왔습니다. LEAP를 인증에 사용하는 경우에는 강력한 암호 정책을 설정해야 합니다.

 

  • 이제 강력한 암호 정책을 설정하거나 인증에 대한 인증서 구축을 원하지 않는 기업의 경우 EAP-FAST를 사용할 수 있습니다.

 

  • 가장 최근에 개발된 PEAP 방법은 클라이언트측에 대한 인증서가 필요하지 않다는 점에서 EAP-TTLS 방법과 유사합니다. PEAP는 Cisco 및 Microsoft에서 지원하는 방법으로, Microsoft에 추가 비용을 지불하지 않고 사용이 가능합니다. LEAP에서 PEAP로 데이터를 전송하려는 경우 Cisco의 ACS 인증 서버가 두 방법을 모두 실행합니다.

 

 

 

데이터 개인 정보 보호


데이터 개인 정보 보호는 데이터를 전송하기 전에 암호화한 다음 수신 종단에서 암호를 해독(일반 데이터 복구)하는 자격 증명 키를 사용하여 구현됩니다. WEP(Wired Equivalent Privacy)는 상대적으로 보안에 취약하므로 무선 데이터의 보호 기능을 향상시키기 위해 WPA 및 WPA2와 같은 다른 방법이 개발되었습니다.

WPA*(Wi-Fi* Protected Access)
Wi-Fi Alliance는 개정된 802.11i 표준을 충족시킬 수 있는 보다 강력한 무선 LAN 보안 솔루션을 개발하기 위한 노력 끝에 2003년 말 이 표준 기반 솔루션을 발표했습니다. WPA*에는 802.1x 인증 및 TKIP 암호화가 포함됩니다(WEP 암호화보다 강화된 보안 방식).

 

WPA2*(Wi-Fi* Protected Access 2) 
Wi-Fi Alliance는 2004년 말 차세대 WPA* 보안 솔루션을 발표했습니다. WPA*와 같이 WPA2*에도 802.1x 인증이 포함됩니다. 802.11i 개정에 따라 WPA2는 AES(Advanced Encryption Standard)를 사용하여 데이터 개인 정보를 보호합니다.

 

WPA* Personal 및 WPA2* Personal
인증 서버가 없는 소규모 사무실이나 가정에서는 PSK(Pre-Shared Key)의 사용을 통해 액세스에 대한 인증이 결정됩니다. 사전 공유 키는 16진수 문자열이거나 암호문으로, 액세스 포인트와 모든 클라이언트 간에 일치해아 합니다. WPA Personal 또는 WPA2 Personal 방법을 사용하는 경우에는 802.1x 보안을 사용할 수 없습니다.

기타 보안 옵션

VPN


인증 및 개인 정보 보호(암호화)를 위한 방법으로 WLAN 대신 많은 기업에서는 VPN을 구현하고 있습니다. 즉, 기업 방화벽 외부에 액세스 포인트를 설치하고 사용자가 원격 사용자인 것처럼 VPN 게이트웨이를 통해 통신하도록 하는 것입니다. VPN 솔루션 구현 방법의 단점은 비용이 많이 소요되고 초기 설치 과정이 복잡하며 지속적인 관리 부담을 고려해야 한다는 점입니다.

 

 

 

출처 - 인텔 코리아(http://www.intel.com)

 

 

'공부 > Network' 카테고리의 다른 글

[802.11] WNetwork Security Protocols(1) - What is Security Protocol?  (0) 2012.06.29
[802.11] Standard  (0) 2012.06.29
[802.11] Frame - Frame Control  (0) 2012.06.29
[802.11] 4가지 오해들  (0) 2012.06.29
[802.11] Phishing Attack  (2) 2012.06.29
Posted by extr
:

 



 

프레임에 대해 글을 쓸 것입니다.

 

네이버에 뒤져보고 구글에 뒤져보고 온갖 다 뒤져봐서 나온 별거없는 결과물이에요..ㅋ

 

 

우선 위에껀 다 잠시 스킵하고 프레임 컨트롤(FC : Frame Control) 부터 볼게요

 

프레임 컨트롤은 총 2byte의 공간을 갖고, 그 내부 값들은 다음과 같습니다.

 

1. Protocol Version.............2 bit

2. Frame Type....................2 bit

3. Frame Subtype................4 bit

4. To DS ...........................1 bit

5. From DS ........................1 bit

6. More Fragment................1 bit

7. Retry..............................1 bit

8. Power Management.........1 bit

9. More Data......................1 bit

10. WEP ............................1 bit

11. Order ..........................1 bit

 

 

하나하나 짚어봅시다 ^-^;;

 

 

 

1. Protocol Version.............2 bit

 

=> 말 그대로 802.11 MAC프로토콜의 버젼을 의미합니다.

이는 항상..0으로 초기화되어있답니다. 왜냐하면 0 하나밖에 없으니까요 ㅋ_ㅋ

 


 

 

2. Frame Type....................2 bit

 

=> 이거슨.. 프레임의 유형이 정의되어 있습니다.

총 2비트로 구성되어있으며,

 

관리 프레임을 의미하는 00(0)

제어 프레임을 의미하는 01(1)

데이터 프레임을 의미하는 10(2)

예약된 프레임을 의미하는 11(3) 

 

이렇게 네 가지로 구성되어 있습니다.

 

각각에 대한 설명은 검색을 통해서 자세한 이해를 하시길 바랍니다.

 

 

 

3. Frame Subtype................4 bit

 

부 유형은 유형의 종류에 따라 달라집니다.

 

관리프레임

 

0000(0) - Association Request    (결합 요청)

0001(1) - Association Response (결합 응답)

0010(2)- Reassociation Request    (재결합 요청)

0011(3) - Reassociation Response (재결합 응답)

0100(4) - Probe Request    (프로브 요청)

0101(5) - Probe Response (프로브 응답)

1000(8) - Beacon (비콘)

1001(9) - ATIM (Announcement Traffic Indication Message)

1010(10) - Association Clear (결합 해제)

1011(11) - Authentication (인증)

1100 (12)- Authentication Clear (인증 해제)

 

제어 프레임

 

1010(10) - Power Management Mode (전력 절약 모드)

1011(11) - RTS (Request to Send)

1100(12) - CTS (Clear to Send)

1101(13) - ACK (Acknowledgement)

데이터 프레임

 

0000(0) - 데이터

0001(1) - 데이터 + CF ACK

0010(2) - 데이터 + CF Poll

0011(3) - 데이터 + CF ACK + CF Poll

0100(4)- NULL

0101(5) - CF ACK

0110(6) - CF Poll

0111(7) - CF ACK + CF Poll

 

 

4. To DS ..........................1 bit

5. From DS .......................1 bit

 

to DS랑 from DS는 그게 그거니까 하나로 묶어서 설명할게요 ㅋ_ㅋ

 

to DS란? 말 그대로 DS로 보내는거지요^

 

 

station이 AP를 통해 다른 station에게 보내고자 할 때 DS를 반드시 거치게 됩니다. 고로, 발송할 때 to DS가 활성화 됩니다.

 

to DS는 10(2) 입니다.

 

 

from DS는? 역으로 Infrastructure 네트워크상에 존재하는 AP로부터 station에게 보내는겁니다. 이건 01(1)입니다.

 

인프라 스트럭쳐 네트워크가 아닌 Ad-hoc(IBSS)통신일 경우엔 00(0)이 활성화가 됩니다.

 

이 외에 11(3)은 무선 브릿지를 의미합니다.

 

 

 

6. More Fragment...............1 bit

 

데이터를 분할할게 더 있는지 확인하는 부분입니다.

 

 

예를 들어, 3000byte의 데이터 프레임을 한번에 전송하려고하면 MTU(Maximum Transfer Unit) 수치에 벗어나기 때문에 이 데이터를 분할합니다.

 

무선에서의 MTU는 최대 2304byte(2312byte라고 정의되어있는 이유는, 실제론 WEP의 오버헤드를 수용하기 때문에 8byte가 추가되기 때문이다.

 

인데, 이렇게되면 2304byte와 696byte 이렇게 2번 분할이 됩니다.

 

자신의 데이터 프레임 뒤에 분할된 프레임이 존재할 경우엔 1(1)이 활성화가 되고, 존재하지 않을 땐 0(0)이 활성화 됩니다.

 

 

 

7. Retry............................1 bit

 

ACK를 받지 못하여 재 전송이 필요할 시 사용됩니다.

 

또, 수신 스테이션이 중복되는 프레임이 존재할 경우 재 전송을 하여 제거하는 경우에도 사용이 됩니다.


 

 

8. Power Management.........1 bit

 

전원 절약 모드에 빠졌는지, 그 여부를 나타내는 필드입니다.

 

power management 모드라면 1(1)로 표시되고, 아니라면 0(0)으로 표시됩니다.

 

station의 경우 이 필드 값이 가변적일 수도 있지만, AP의 경우 항상 켜져있어야 하므로 그 값이 항상 0(0)으로 셋팅되어 있어야 합니다.

 

 

 

9. More Data.....................1 bit

 

흠..이것은..전원 절약 모드일 때 사용되어집니다.

 

스테이션이 전원 절약모드 일땐 해당 스테이션을 목적지로하는 데이터 프레임을 AP는 버퍼링(buffering)하여야 합니다.

 

여기서 버퍼링이란, 일시적으로 저장하여 놓는다는 의미로 받아들이시면 됩니다.

 

AP는 이 비트를 설정해서 전원 절약 모드에 빠진 스테이션을 확인하여 프레임을 전송해야한다는 것을 지시하게 됩니다.

 

이 비트는 관리 프레임과 데이터프레임에서는 1(1)로 설정이 가능하며, 제어프레임일 경우엔 사용이 불가능하기 때문에 0(0)으로 세팅합니다.

 

 

 

10. WEP ..........................1 bit

 

WEP(Wired Equivalent Privacy : 유선 동등 프라이버시) 암호화를 의미합니다.

 

WEP암호화가 적용된 프레임인 경우, 1(1)로 설정되어있습니다.

 

당연히 적용되지 않은 경우엔 0(0)이겠죠?

 

 

 

11. Order .........................1 bit

 

데이터가 너무 커서 분할된 데이터인 경우, 순서가 알맞지 않게 전송이 될 수 있습니다.

 

이를 보완하기 위해 이 필드를 설정할 수 있습니다.

 

Order 필드는 순서를 지정하여 순서대로 전송을 할 수 있게 하는 일종의 '순번' 역할을 합니다.

 

 

 

 

하..지금까지 802.11의 프레임에서!! MAC 프레임 헤더의!! 프레임 컨트롤에 대해 알아봤습니다.

 

되게...ㅋ...양이 만만치않네요...................ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

 

새벽에 쓴 글이라 말이 헛나왔다거나 어색한게 있을 수 있습니다 ㅠㅠ 있으면 지적좀 부탁드립니다~ㅜㅜ

 

 

 

 

참고키워드-802.11 frame, 802.11 MAC frame, 802.11 Frame Control

 

참고문헌- 802.11 Wireless Networks: The Definitive Guide

 

출처 - 옛날 블로그 2011/04/27 03:13


'공부 > Network' 카테고리의 다른 글

[802.11] Standard  (0) 2012.06.29
[802.11] 802.1x(detailed)  (1) 2012.06.29
[802.11] 4가지 오해들  (0) 2012.06.29
[802.11] Phishing Attack  (2) 2012.06.29
[802.11] Dynamic WEP  (1) 2012.06.29
Posted by extr
:

무선 인터넷 보안은 더 이상 전문가나 시스템 관리자들만의 영역은 아닙니다. 이제는 무선 인터넷과 매일 매일의 생활을 해나가고 있는 모든분들에게 해당되는 문제가 되었습니다.



이미 많은분들이 사무실 혹은 가정에서 무선, 혹은 유무선 공유기등으로 무선 인터넷 환경을 구축해서 인터넷을 사용하고 있습니다. 이 경우, 보안을 고려하지 않고 그냥 사용하시게 되면 인터넷으로 주고 받는 정보나 민감한 파일이 위험에 노출되게 됩니다.



그래서, 이번 포스팅 시리즈에서는 가정의 무선 네트워크를 안전하게 하는데 필요한 근본적이고도 기본적인 것들을 소개해 드리려고 합니다.



특히, 일반적으로 무선으로 사용하고 계시는 모든분들이 게임 콘솔, 인터넷 전화, 데스크탑 컴퓨터, 노트북들이 함께하는 무선 네트워크를 안전하게 하기 위해서 알아야할 중요한, 핵심적인 것들을 다루어 보려고 합니다.



WEP나 WPA같은 암호화 방법들에 대해서도 설명하고, 그 밖에 무선 네트워크 보안과 관련된 기본적인 것들도 몇 가지 살펴보고, 그리고 어떻게 하면 무선 네트워크를 안전하게 할 수 있을지에 대해서 함께 생각하는 시간을 마련해 보고자 합니다.



만일 이미 기술적으로 환하게 알고 계신다면, 제가 쓴 이 글의 내용을 알맞게 다듬어서 가족이나 친척에게 보낸다면 아마도 새롭게 무선 네트워크를 설정할때에 문의 전화를 하게되는 횟수가 줄게되지 않을까 생각합니다 ^^;;



이건 참고사항 입니닷: 이 짧은 포스팅 시리즈에서는 802.11g/802.11 드래프트 n 라우터를 안전하게 하는데에 촛점을 맞출 생각입니다.

이 두가지 타입이 현재 시장에서 가장 공통적인 타입이라고 생각되기 때문입니다.



여기에서 제시하는 정보들은 더 오래된 802.11b 나, 혹은 더 심하게(?!?) 오래된 802.11a 라우터에도 당근하게(=당연하게) 적용될 수 있습니다. 물론, 이 경우에는 구입하신 라우터의 제조자가 알맞은 펌웨어 업데이트를 제공했다는 가정하에서 입니다...



그리고 글에서 자주 언급되는 라우터는 무선, 혹은 유무선 겸용 공유기를 이야기 하는거라고 보시면 됩니다^^....




우선적으로 알아야 할것!



무선 보안에 대해서 우선적으로 이해하셔야 할것은 (대부분이) 기본적으로, 아무것도 되어있지 않다는 점입니다.


여러분이 구입하신 라우터는 아마도 누구나가 다 접근할 수 있도록 (오픈 액세스) 미리 그렇게 설정되어 있을것입니다. 이렇게되면 근처에 있는 그 누구라도 연결하고 MP3 파일(나아가서는 중요하거나 민감한 파일)들을 훔쳐오는게 가능하게 되어버립니다.



이렇게 미리 누구나 다 접근할 수 있게 설정되어 있으면 라우터를 가지고 설정하는게 쉬워집니다. (요즘의 대부분의 운영체제에서는, 이 경우에 어댑터나 라우터를 연결하는것 이상으로 더 해야할게 거의 없기 때문입니다.)



하지만 저런 상태는 무선 인터넷 접속 지점(WAP, Wireless Access Point) 이 100% 공격에 무방비가 되게 만들어 버립니다. 대부분의 제조자들이 간단한 로그인/암호 조합을 쓰지만 그러한 정보는 온라인에서 쉽게 구할 수 있습니다.



그렇기 때문에 무선 네트워크를 안전하게 하는 첫번째 단계는 라우터의 기본 암호를 변경하는 일입니다.



대부분의 제조자들은 기본 암호를 "admin", "password", "changeme"등과 같은 너무나 간단한 형태로 설정해두며, 라우터의 IP 주소는 거의 대부분, 변화가 단순한 192.168.x.1 의 형태를 가집니다. (x = 0,1, 15 등이 될 수 있습니다. 192.168.x.x 형태의 IP를 사설IP라고 부릅니다. 공유기를 사용해보셨다면 이미 익숙하실 겁니다 :) )



흔하지 않은, 강력한 암호는 실제 암호화 기술(WEP, WPA등) 대신에 쓰일수는 없겠지만, 적어도 바른 방향을 향한 첫번째 한걸음 이라고 생각합니다.



다음 단계는 구입한 라우터의 펌웨어 업데이트를 체크해야 합니다. 특히, 오래된 모델일 경우에는 더욱 하셔야 합니다.



더 나은 보안 설정 (예: WPA. 뒤에 자세히 설명하겠습니닷!) 을 지원하지 않았던 많은 라우터들은 그러한 지원을 대부분 이후의 펌웨어 업그레이드로 제공합니다.




▲ 라우터의 암호를 설정하는 일은 여러분이 가장 먼져 하셔야 할 일입니다.




4가지 오해



많은 무선 인터넷과 관련된 보안 상식이나 팁이 있지만, 그중 무선 인터넷에 대한 확실한 보안이라고 믿고 있지만 실제로는 그렇지 않은것들이 있습니다.


이런것들은 실제로 그렇게 유용하지 않을뿐만 아니라 사용자가 잘못된 보안 지식을 갖게해 좋기 보다는 심지어 해를 끼칠수도 있습니다.


이중에서 크게 4가지를 다루어 보고자 합니다.





SSID 숨기기


SSID (Service Set Identifier)는 무선 라우터에 의해서 뿌려지는(브로드캐스트되는) 신원확인 코드(identification code) 입니다. (코드라고는 했지만... 일반적으로 단순한 이름의 형태 입니다.)



만일 무선 장비가 여러 접속 지점(AP, Access Point)으로부터 다중의 SSID를 발견하게 되면, 일반적으로 사용자에게 그중 어디에 연결해야 되는지 묻게 됩니다.

라우터에게 SSID를 뿌리지 않도록(브로드캐스트하지 않도록) 하는것은 기본적인 무선 액세스 소프트웨어가 (연결 옵션의 문제로서) 네트워크를 표시하는걸 방지할 수 있을지도 모르지만, 이것은 실제로 네트워크를 안전하게 하는데 아무것도 하지 않습니다.



어느때라도 사용자가 라우터에 연결하면, SSID는 암호화의 여부에 상관없이 평범한 텍스트(plaintext) 상태로 뿌려지게 됩니다.



이때 SSID 정보는 네트워크를 패시브 모드(Passive mode)로 수신하고 있는 그 누구라도 가져가 버릴 수 있습니다.





SSID 바꾸기


이 방법이 때때로 보안의 척도로서 추천되기도 합니다만, 실제로는 그렇지 않습니다.



접속 지점(AP)의 SSID를 변경하는 것은 라우터가 뿌리는(브로드캐스트하는) 신원 확인 코드를 변경할겁니다. 하지만 이것말고는 그 어떤것도 바꾸지 않을겁니다.



이 방법으로는 어떻게해서도 라우터가 발견되고, 정보가 훔쳐지고, 심지어 해킹당하는걸 방지할 수 없습니다.





DHCP 끄기


DHCP를 끄고 정적인 IP 주소를 사용하는것은 해킹에 대비한 방어가 될 수 없습니다.



네트워크를 침입하는(snooping) 사람은 IP 주소를 할당하기 위해서 사용된 패턴을 감지하고 파악해 낼 수 있으며 이에 알맞게 특정한 요청을 만들어 낼 수 있습니다.





맥(MAC) 어드레스 필터링 하기


이론적으로, 이 말은 매우 훌륭하게 들립니다. 모든 랜카드는 고유한 맥 어드레스를 가지고 있고, 무선 접속 지점(AP)은 특정한 랜카드만 접근 가능하도록하고 나머지를 차단하도록 설정될 수 있습니다.



그러나 맥주소를 필터링하는 방법의 문제점은, 이 주소들이 손쉽게 위조될 수 있고 적절한 모니터링 프로그램을 쓴다면 어려움없이 발견될 수 있다는 점입니다.



게다가, 이 접근 방법은 기업 환경에서 큰 부하를 일으키며, 많은 기기가 연결된 홈 네트워크에서도 과부하가 일어나서 얼마안가 곧 유지가 불가능하게 됩니다. (접근을 허용해야할 랜카드의 맥 어드레스의 목록을 하나 하나 기록하고 작성하고 보관/유지해야 하니 부하가 많이 생깁니다.)





위에서 말한 4가지 오해들중, 오직 맥 어드레스를 필터링하는 방법만이 최소의 가치가 있다고 봅니다.



맥어드레스를 필터링하는것은, 미운 이웃에게 알려준다면 최소한 그들이 손쉽게 침입당하지 않도록 할겁니다만, 그렇게 많은것을 하지는 않을것입니다.



(미워하는것도 어떻게 보면 감정이고, 사실 감정이란 것은 시간이 지남에 따라 자신에게 왔다가, 시간이 흐르면 또 가버리게 됩니다. 쉽지는 않겠지만, 이런 경우에는 감정에 집착하지 않는것이 좋다고 봅니다.



그들을 계속 미워할순 있겠지만, 미워할수록 마음은 불편하고 껄끄럽고 괴로워 집니다. 오히려 미운 사람을 용서 할 수 있다면, 그 순간 마음은 자유로워 지겠지요.)



마음을 굳게 먹고 결심한 침입자들이 들어 오는걸 막으려면 암호화(Encryption)를 사용하셔야만 합니다.



암호화라고 해서 많이 어렵기만 한건 아니구요, 이미 WEP나 WPA 같은 용어를 들어보신분도 계시리라 생각됩니다.


 

이제 다음부터는! 

무선 인터넷의 보안에 대해서 본격적으로 다뤄보겠습니다 ^_^...

 

 

출처 - http://comblog.wo.tc/


'공부 > Network' 카테고리의 다른 글

[802.11] 802.1x(detailed)  (1) 2012.06.29
[802.11] Frame - Frame Control  (0) 2012.06.29
[802.11] Phishing Attack  (2) 2012.06.29
[802.11] Dynamic WEP  (1) 2012.06.29
[802.11] WPA-PSK, AES, TKIP  (0) 2012.06.29
Posted by extr
: