WPA - PSK : Wi – Fi Protected Access - Pre Shared Key
최근 무선랜의 사용이 급증하면서 새로운 형태의 다양한 네트워크 공격 방법들이 나타나고 있습니다. 기존의 사내 네트워크 혹은 인터넷 접속은 모두 유선으로만 이뤄져 있어 물리적으로 침투 위치를 확보해야만 하는 문제가 있었으나 무선랜의 경우 전파가 도달 가능한 거리에 있는 경우 어디에서든지 스니핑과 침투 공격이 가능합니다.
무선랜을 구축할 때 암호화 방식을 사용하는 경우는 크게 세 가지로 나누어 볼 수 있습니다. 오픈 시스템 인증 방식에 WEP 암호화를 사용하지 않는 경우와 오픈 시스템 인증 방식에 WEP 암호화를 사용하는 경우, 그리고 마지막으로 쉐어드 키 인증 방식에 WEP 암호화를 사용하는 경우입니다.
이 세가지 방식은 보안에 매우 취약하며, WEP 키를 알아내는 방법 또한 많이 알려져서 위험에 노출되어 있는 상황입니다.
오픈 시스템(without WEP encryption)
오픈 시스템은 글자 그대로 인증이 없는 경우(즉, Null Authentication)입니다.
인증 없이 접속하고 사용하는 데이터는 암호화를 하지 않는 구성이 바로 이 구성입니다.
이러한 구성의 장점은 네트워크 성능이 가장 좋으며 사용자가 구성하고 사용하기에 가장 편리하다는 데 있습니다. 대부분의 경우 장비의 기본 셋팅 만으로도 동작을 하며 사용자는 IP 주소만 설정해 주면 됩니다.
단점으로서는 보안이 떨어진다는 점입니다. 이 구성을 공격하는 방법과 프로그램에는 여러 가지가 있으며 또한 공격 방법들이 상대적으로 단순하고 쉬워서 절대로 권장할 수 없는 구성입니다.
오픈 시스템(with WEP Encryption40/104bit)
오픈 시스템 인증은 인증이 별도로 없기 때문에 누구나 AP에 접속할 수 있지만 WEP 인크립션(Encryption)을 통해 데이터를 암호화하므로 WEP 키를 알지 못하면 통신이나 도청이 불가능합니다. 그러나 최근에 발견된 WEP 알고리즘의 취약점으로 인해 WEP 키를 암호화된 데이터 트래픽만 가지고 알아낼 수 있는 기법들이 다양하게 알려지고 있습니다.
쉐어드 키 인증(with WEP Encryption 40/104bit)
쉐어드 키 인증은 사용자가 AP에 접속 시 미리 설정한 WEP 키를 알아야만 인증을 하도록 하는 방법입니다. 이러한 방법은 원래의 목적대로라면 오픈 시스템보다 보안성이 높아야 하지만 알고리즘의 취약점으로 인해 오히려 보안성이 떨어집니다.
쉐어드 키 인증 알고리즘은 단순한 챌린지 리스폰스(Challenge-Response) 인증 방식을 응용한 것으로 리플레이(Replay) 공격이나 딕셔너리(Dictionary) 공격을 방어하는 수단이 갖춰져 있지 않습니다. 따라서 굳이 WEP 알고리즘의 취약점을 공격하지 않아도 인증 패킷만 스니핑을 해도 손쉽게 WEP 키를 알아낼 수 있는 것입니다. 일단 WEP 키를 알아낸 후 AP에 접속하면 암호화 역시 동일한 키를 사용하므로 쉽게 내부 사용자와 같은 권한을 취득할 수 있습니다.
WPA - PSK (Wi – Fi Protected Access - Pre Shared Key)의 사용 배경, 동작 원리
기존의 WEP 암호화 방식은 취약한 보안으로 인해 기업환경에서는 거의 사용이 불가능해진 상태입니다. WEP 알고리즘은 IV(Initialization Vector)의 평문전송, 키 스트림의 단순성, 고정키 사용에 따른 RC4 키 갱신 부재 등으로 인해 키 길이에 상관없이 그 보안기능이 취약하다고 판명되었습니다.
사용자들이 WEP 사용에 인색한 이유는, 대부분의 무선랜 제품들이 "WEP 사용안함"을 기본 설정으로 출고 되기 때문에, 사용자들 역시 이 기능을 "사용함"으로 설정하는걸 잊은채(혹은 귀찮아서) 그냥 내버려 둔다는게 첫 번째이며, 두 번째는 WEP 설정시 연결이 잘 안된다거나, 초보자들의 경우 여러가지 옵션(ASCII, Hexadecimal, PassPhrase등)이나 키 입력 과정의 복잡함(?)이 그 이유였습니다.
WPA는 옵션이나 키 입력의 방식이 WEP방식 보다 간단하여 설정하기 더욱 편리해 졌습니다.
WPA는, 대칭벡터(IV : Initialization Vector)라 불리는 WEP 헤더의 취약점(고정 암호키 방식)을 해결하기 위해 그 대응책으로 개발되었습니다.
데이터 암호화를 강화하기 위해 TKIP(Temporal Key Integrity Protocol)과 AES(Advanced Encryption Standard)라는 IEEE 802.11i 보안 표준을 사용합니다.
TKIP(Temporal Key Integrity Protocol)은 순서 규칙이 있는 48비트 초기화 벡터(WEP에서는 24비트 초기화 벡터)를 이용하는데, 이것은 키 재사용 및 재생 공격을 방지해 줍니다. 또한 WEP 취약 키 공격을 막아주는 패킷 당 키 혼합 기능과, 패킷 위조 공격을 막아주는 암호 체크섬 키 기능이 있습니다.
AES(Advanced Encryption Standard)는 128, 192, 256 비트 등의 가변 키 크기를 가지는 수학적 암호화 알고리즘을 사용합니다. 암호화된 데이터는 AES 알고리즘의 키 없이 원래 데이터로 되돌리기가 거의 불가능하기 때문에 타인이 데이터를 송신하는 전파를 수신하더라도 기밀이 유출되는 사태를 막을 수 있습니다.
즉, 무선 통신상의 전송내용을 암호화하는 암호키가 기존 WEP에서는 고정되어 있던 것과 달리, WPA는 암호키를 특정 시간이나 일정 크기의 패킷 전송 후에 자동으로 변경시키기 때문에 해킹이 불가능하다는 것입니다. 또한, 암호키 생성 진행과정이 매우 정교하고 키 갱신이 매우 신속하게 이루어지기 때문에, 암호를 해독하기 위한 충분한 데이터를 모으기가 불가능합니다.
시스템 성능에 영향을 주지 않으며 소프트웨어 업그레이드를 통해 이용 가능 하여 SOHO 사용자들에겐 WPA-PSK라는 특정 모드로, 기업과 같이 인증서버 없이도 강력한 보안을 제공합니다.
종합해 보면 인증 방법들의 보안성의 우수한 순위가 다음과 같이 정리 됩니다.
오픈 시스템(WEP사용안함) < 쉐어드 키 인증 < 오픈 시스템(WEP사용함) < WPA - PSK
유무선 공유기나 엑세스 포인트에서의 WPA-PSK 설정
유무선 공유기 ipTIME PRO 54G의 설정법은 간단합니다.
공유기 설정화면에 접속 한 후 네트워크 설정->무선설정에서 보안 암호화 설정 부분의 인증방법을 “WPAPSK”로 선택하고, 암호화방법을 “TKIP”이나 “AES”로 선택하여 사용할 네트워크 키를 입력합니다. “TKIP”과 “AES”는 암호화 방법만 다를 뿐 설정 방법은 동일 합니다.
사용할 네트워크 키는 최소 8자 이상이어야 하며 최대 63자까지 가능합니다.
위와 같이 입력 한 후 [적용] 버튼을 눌러 유무선 공유기에 설정을 마칩니다.
윈도XP 자체 무선랜 기능(Wireless Zero Configuration)의 WPA 지원.
윈도XP 서비스팩 1 이상 사용자라면, 간단히 업데이트를 통해 운영체계차원에서 WPA를 사용할 수 있습니다.
자동으로 업데이트가 되지 않는다면 Windows Update의 Windows XP항목에서 “Windows XP용 업데이트(KB826942)”를 찾아 업데이트 해줘야 합니다.
윈도우 XP가 설치된 클라이언트에서 WPA-PSK설정
유무선 공유기나 엑세스 포인트에서의 WPA-PSK 설정이 완료 되었으면, 이제 무선으로 연결할 클라이언트에서 WPA-PSK 설정을 해 줄 차례 입니다.
1. 무선 네트워크 아이콘을 클릭하고 “사용할 수 있는 무선 네트워크 보기”를 선택합니다.
2. WPA-PSK를 설정한 유무선공유기의 SSID를 선택합니다.
3. “네트워크 키”에 유무선공유기와 동일한 구문을 입력합니다.
4. 연결 버튼을 누릅니다.
보통은 위와 같이 설정하여 사용할 수 있습니다. 하지만 “사용할 수 있는 무선 네트워크”창에 연결하고자 하는 유무선공유기의 SSID가 뜨지 않을 경우가 있습니다. 이런 경우엔 위 그림 하단의 “고급” 버튼을 누른 뒤, 다음 두 가지 상황 중 하나를 골라 해결해주시면 됩니다.
<상황 1>
기존에 별 다른 보안 설정 없이 연결하여 사용하다가 유무선공유기 또는 엑세스포인트에 WPA-PSK설정을 한 경우에 나타날 수 있는 현상입니다.
“고급”버튼을 눌러 위와 같이 “무선 네트워크 연결 속성”화면을 열었을 때, 위쪽의 “사용할 수 있는 네트워크”에 연결할 유무선 공유기의 SSID가 나타난다면, 이를 선택하고 “구성”버튼을 눌러 아래와 같이 설정해 주면 됩니다.
2. 데이터 암호화는 “TKIP”로 설정합니다.
3. “네트워크 키”에 유무선공유기와 동일한 구문을 입력합니다.
4. “네트워크 키 확인”에 역시 동일한 구문을 입력합니다.
<상황 2>
처음부터 네트워크 연결에 보안설정을 사용했을 때, 윈XP의 무선 네트워크 지원 기능이 해당 SSID를 찾아 내지 못하는 현상입니다. 방법은 위와 동일합니다.
1. 네트워크 인증은 “WPA-PSK”로 설정합니다.
2. 데이터 암호화는 “TKIP”로 설정합니다.
3. “네트워크 키”에 유무선공유기와 동일한 구문을 입력합니다.
4. “네트워크 키 확인”에 역시 동일한 구문을 입력합니다.
'프로그램' 카테고리의 다른 글
| Mutil tier (0) | 2009.01.28 |
|---|---|
| [스크랩] Mesh Network (0) | 2009.01.28 |
| mysql 백업관련 자료들 (0) | 2008.12.29 |
| 14주차 - 최종회 (0) | 2008.12.06 |
| 13주차 (0) | 2008.12.01 |
