▣ 무선 네트워크 보안_SSID, WEP, WPA, WPA2, TKIP/MIC, AES-CCMP, PSK, EAP
| 구분 | 내용 |
| SSID | Service Set Identifiers 무선랜 서브 시스템에서 장비의 네트워크 이름을 지칭하는 것으로 기초적인 수준의 접속 제어 제공 AP는 주기적으로 보내는 비콘 신호에 SSID를 포함하여 브로드캐스트하므로 SSID를 이용해 네트워크 접속의 허용/불가 결정은 위험 |
| WEP | Wired Equivalent Privacy 무선랜 데이터 스트림의 보안성 제공 위한 암호화 시킴, 정적키 사용 데이터의 암호화/복호화에 동일키와 알고리즘 사용하는 대칭형 구조 RC4(40bit key) 암호화 알고리즘 사용 |
| WPA | Wi-Fi Protected Access WEP을 보완한 RC4(128 bit Key) 암호화 방식으로, TKIP기능이 추가로 동적키 사용 |
| WPA2 | 암호화 : AES-CCMP 인증 IEEE802.1x + PSK(개인) / EAP(기업) 무결성 : Micheal |
| WPA | WPA2 | |
| 엔터프라이즈 모드 | IEEE 802.1X/EAP, TKIP/MIC | IEEE 802.1X/EAP, AES-CCMP |
| 개인 모드 | PSK, TKIP/MIC | PSK, AES-CCMP |
* EAP(Extensible Authentication Protocol)는 RADIUS등 별도의 인증시스템과 연동하여 사용자가 직접 아이디, 패스워드등을 이용하여 단말기를 인증하는 방식임
* PSK(Pre Shared Key)는 사전에 정해진 키를 미리 공유하여 사용하는 방식, 확장성이 없고 고정된 Key 사용
■ WPA3
Wi-Fi 협회는 2018년 WPA3 보안 프로토콜을 발표했습니다. 이 보안 프로토콜은 WPA2 및 이전 보안 프로토콜을 대체하는 더욱 안전하고 신뢰할 수 있는 방식을 제공합니다. WPA2의 근본적인 단점은 불완전한 4방향 핸드셰이크이며, PSK(사전 공유키) 사용 시 Wi-Fi 연결을 위험에 노출시킵니다. WPA3은 암호 추측으로 네트워크에 침입하는 것이 더욱 어렵도록 추가적인 보안 향상을 제공합니다. 권장 구현 고려 사항은 다음과 같습니다.
- 신뢰할 수 있는 암호 보호
기업용 WPA3은 암호화 길이를 192비트(개인용 WPA3 모드에서는 128비트 암호화)로 늘려 암호 강도를 향상합니다. 추측을 통해 상대적으로 쉽게 알아낼 수 있는 약한 암호로부터 보호합니다.
- 네트워크 장치 보호
WPA3은 WPA2 사전 공유키(PSK)를 장치 간 동시 인증(SAE)으로 대체하여 악명 높은 KRACK과 같은 키 재설치 공격을 예방합니다. 무선 AP에 연결하는 동안 네트워크 장치를 안전하게 보호해 줍니다. SAE는 오프라인 사전 대입 공격에 대해서도 효과적으로 방어합니다.
- 공공장소에서도 안전한 연결
공격자가 트래픽 암호화 키를 가진 경우에도 개인용 WPA3트래픽 사용량과 전송된 데이터를 계산하기 어렵습니다. SAE는 공개 네트워크 전역에서 전방 보안성 이점과 더 큰 데이터 보안을 제공합니다. 또한, WPA3은 보안 관리 프레임(PMF)도 제공하여 공공장소에서의 도청과 위조를 예방합니다.
WPA3는 개인용(Personal)과 기업용(Enterprise)로 구분한다. WPA3-Personal의 경우 ‘사전대입공격’으로 인한 SSID(와이파이 이름) 접속 ID/PW 탈취를 차단할 수 있어 상대적으로 쉬운 ID/PW를 설정할 수 있는 것이 특징이다. 사전대입공격이란 사전(Dictionary)에 등록된 단어에 대소문자 및 숫자 등을 더한 뒤 일일이 입력하고, 비밀번호를 알아내는 공격기법이다. 이 때문에 WPA2의 경우 강력한 ID/PW 설정을 권장하며, KRACK 취약점 역시 PW 탈취가 우선적으로 필요하다.
이와 달리 WPA3는 일종의 난수 생성 알고리즘인 SAE를 통해 암호 키 초기화 공격 및 사전대입공격을 어렵도록 했다. 사용자는 기억하기 쉬운 암호를 설정해도 향상된 인증 과정을 통해 무선 연결을 보호하는 것이 가능하다. 특히, 데이터가 전송된 이후 암호가 노출되더라도 트래픽 암호화 키는 노출되지 않기 때문에 전송 데이터를 보호하는 것 역시 가능하다.
여기에 WPA3-Enterprise는 최소 192비트 암호화(AES 192)를 통해 이전 세대(WPA2, 128비트)보다 보안 성능을 강화했다.
2019년 106번
정답 : 2번
IEEE 802.11i는 802.11이후 여섯 번째 무선 표준으로 2004년에 제정됨
802.11i에는 WPA-1과 WPA-2 규약이 포함되어 있음
그중 CCMP 방식을 사용하는 것은 WPA2방식으로 AES 암호화 알고리즘을 사용하고 있음
AES - CCMP 또는 CCMP/AES : (필수 의무)
* 그 이전 장비와는 다른 새로운 하드웨어 필요
- 암호화 프로토콜 : CCMP (CTR with CBC-MAC Protocol)
. CTR (Counter Mode) : 기밀성 제공
. CBC-MAC (Cipher Block Chaining - Message Authentication Code) : 인증,무결성 제공
- 암호화 알고리즘 : 블록 암호화 방식인 AES (Authentication Encryption Standard)
. 키 길이 128 비트, 블록 크기 128 비트를 사용
. 한편, 기존의 WEP, TKIP는 RC4 스트림 암호화 방식을 사용
802.1X/EAP 방식(기업용,대규모)
사용자 인증 및 키 교환을 위해서 별도의 인증 서버 필요
실제 인증 수행은 주로 EAP 라는 인증 프레임워크 상에서 이루어짐
사전 공유 키(Pre Shared Key) 방식(개인용,소규모)
별도의 인증 서버가 필요 없는 대신에, 무선단말 및 엑세스포인트 간에 사전에 특정 키를 공유하여야 함
통상, 256 비트 길이로 사용자/관리자가 입력한 암호 및 SSID로부터 생성됨
무선단말(Supplicant), AP(Authenticator) 사이에서 인증메세지를 직접 주고받게됨
무선단말과 AP에 동일한 Pre Shared Key가 셋팅되고, 정적인 PMK로부터 무선구간 세션용 암호화 키 유도
aka. WPA/WPA2-Personal Pre-Shared Key, WPA/WPA2-Passphrase, WPA/WPA2-PSK, WPA/WPA2-Preshared Key 등
2021년 105번
정답 : 4번
WPA2의 인증방식은 IEEE 802.11i 표준의 PSK와 EAP방식으로 구분할 수 있음
PSK(Pre Shared Key)는 사전에 정해진 키를 미리 공유하여 사용하는 방식, 확장성이 없고 고정된 Key 사용
EAP(Extensible Authentication Protocol)는 RADIUS등 별도의 인증시스템과 연동하여 사용자가 직접 아이디, 패스워드등을 이용하여 단말기를 인증하는 방식임
2012년 111번
정답 : 4번
| WPA | WPA2 | |
| 엔터프라이즈 모드 | IEEE 802.1X/EAP, TKIP/MIC | IEEE 802.1X/EAP, AES-CCMP |
| 개인 모드 | PSK, TKIP/MIC | PSK, AES-CCMP |
* EAP(Extensible Authentication Protocol)는 RADIUS등 별도의 인증시스템과 연동하여 사용자가 직접 아이디, 패스워드등을 이용하여 단말기를 인증하는 방식임
* PSK(Pre Shared Key)는 사전에 정해진 키를 미리 공유하여 사용하는 방식, 확장성이 없고 고정된 Key 사용
2017년 111번
정답 : 2번
SSID(Service Set Identifier) 브로드캐스팅을 허용할 경우 SSID를 통해 AP정보가 노출될 수 있으므로 브로드캐스팅을 비 활성화하도록 함 / SSID는 wifi 켰을 때 나오는 이름임
| WEP | Wired Equivalent Privacy 무선랜 데이터 스트림의 보안성 제공 위한 암호화 시킴, 정적키 사용 데이터의 암호화/복호화에 동일키와 알고리즘 사용하는 대칭형 구조 RC4(40bit key) 암호화 알고리즘 사용 |
| WPA | WPA2 | |
| 엔터프라이즈 모드 | IEEE 802.1X/EAP, TKIP/MIC | IEEE 802.1X/EAP, AES-CCMP |
| 개인 모드 | PSK, TKIP/MIC | PSK, AES-CCMP |
* EAP(Extensible Authentication Protocol)는 RADIUS등 별도의 인증시스템과 연동하여 사용자가 직접 아이디, 패스워드등을 이용하여 단말기를 인증하는 방식임
* PSK(Pre Shared Key)는 사전에 정해진 키를 미리 공유하여 사용하는 방식, 확장성이 없고 고정된 Key 사용