데이터 수집을 위한 Wi-Fi 보안 입문서

Wi-Fi 네트워크 보안은 지난 10여년간 IT 업계에서 큰 성장을 거듭하여 현재 데이터 수집 어플리케이션을 위한 실용적인 솔루션으로 자리잡았습니다. Wi-Fi는 물리적 매개체가 공기이므로, 기존의 유선 시스템과는 별개의 보안상의 문제를 가집니다. 본 문서는 NI Wi-Fi 데이터 수집 (DAQ)을 사용한 데이터를 보호하기 위한 산업 표준 보안 기술에 대해 간략히 다룹니다.

Wi-Fi 보안의 역사

초기의 802.11 표준은 원치 않는 무선 네트워크 액세스에 대한 보호의 수단으로 WEP (Wired Equivalent Privacy)을 채택하였습니다. 각 클라이언트 컴퓨터는 네트워크상의 액세스 포인트에 대한 암호가 있습니다. 본 암호는 네트워크에 접근하기 위해 사용되며, 액세스 포인트와 클라이언트간의 모든 메시지를 암호화하기 위한 기반으로 사용됩니다.

대부분의 가정과 소규모 기업에서는 설치가 편리한 WEP을 사용합니다. 그러나, WEP을 적절히 사용하지 않으면 위험에 노출되기 쉽습니다. WEP은 데이터 암호화를 위해 RC4 암호를 사용하고, 메시지 인코딩과 디코딩을 위해 40비트 키를 사용합니다. 본 프로토콜의 취약점을 발견한 공격자들은 적절히 보호되지 않은 WEP 네트워크를 공략하기 위한 몇 가지 방법을 개발하였습니다.

• 사전단어공격 – 여러 사용자들은 무선 액세스 포인트와 네트워크 인터페이스 카드를 기본 설정값으로 유지합니다. 또 다른 사용자들은 사전에서 쉽게 찾을 수 있는 (보안성이) “약한” WEP 키를 선택합니다. 따라서 잠재 공격자들은 보안 설정에서 "추측"을 통해 네트워크를 공략할 수 있습니다. 일부 사용자들은 브루트 포스(brute force) 방식을 사용하기도 하지만, 더욱 고급화된 알고리즘 또한 사용 가능합니다. 사전단어공격을 막으려면 보안이 철저한 암호를 선택해야 합니다.
• MITM (Man-in-the-Middle) 공격 – 대부분의 Wi-Fi 네트워크 액세스 포인트는 SSID 신호를 보내 클라이언트가 쉽게 찾고 연결하도록 합니다. 같은 SSID 신호를 보내는 불법 액세스 포인트(AP)는 클라이언트가 보안 정보를 보내도록 유도하여, 공격자들이 실제 네트워크로 접근하도록 합니다. 일반적인 해결 방법은 라우터에서 SSID 신호를 끄면 됩니다.
• 재전송(Replay) 공격 – 재전송 공격은 공격자가 무선 통신 패킷을 도청하고 전송된 데이터를 기록할 경우에 발생합니다. 공격자는 그 후 본 데이터를 사용하여 거짓 데이터 또는 에러가 있는 데이터가 있는 메시지를 재전송하여 추가의 ARP(Address Resolution Protocol) 패킷을 전송하도록 유도합니다. 패킷(50,000–100,000)이 충분하기 때문에 공격자들은 WEP 키를 해독할 수 있습니다.

NI Wi-Fi DAQ은 WEP 보안을 지원합니다. 그러나, 여러 무선 데이터 수집 어플리케이션은 더욱 강력한 보안 프로토콜을 요구합니다.

NI Wi-Fi 데이터 수집 네트워크 보안의 컴포넌트

NI Wi-Fi DAQ은 WEP, WPA, IEEE 802.11i (WPA2로 알려짐) 와 같은 여러 가지 무선 보안 프로토콜을 지원합니다. WPA는 재전송 공격을 방지함으로써 WEP보다 더욱 우수한 보안을 제공합니다. WPA2는 더욱 강력한 데이터 보호 (암호)와 액세스 컨트롤 (인증)을 제공하여 최상의 무선 네트워크 보안을 제공합니다.

암호

무선 데이터 전송의 효율적인 보호를 위해 Wi-Fi 네트워크에는 반드시 강력한 암호 알고리즘과 키 관리 형태가 있어야 합니다. Wi-Fi 네트워크에 널리 사용되는 두 가지 암호 표준은 TKIP와 AES입니다.

IEEE 802.11i 태스크 그룹에서 기존의 WEP 네트워크에 대한 임시방편으로 WPA에 TKIP(임시 키 무결성 프로토콜)를 도입하였습니다. 액세스 포인트와 클라이언트는 간단한 펌웨어나 소프트웨어 변경만으로 WEP에서 WPA/TKIP로 업그레이드됩니다. WEP에 비해 TKIP를 사용하는 장점은 40비트 키와 비교해 128비트 키를 사용하는 것이며, 암호 알고리즘 (RC4)은 동일합니다. 더욱 큰 차이점은 TKIP가 모든 메시지 패킷에 다른 키를 사용한다는 점입니다. 본 키는 클라이언트의 MAC 주소와 각 패킷에 대한 시리얼 번호 및 알려진 PTK (쌍방향 임시 키)를 혼합하여 생성됩니다. PTK는 사전 공유 키 (모든 네트워크 회원이 알고 있는 패스프레이즈)와 임의 숫자 생성을 사용하여 클라이언트가 액세스 포인트에 연결하면 생성됩니다. 시리얼 번호는 새로운 패킷이 전송될 때마다 증가됩니다. 다시 말해, 동일한 키가 하나의 패킷에서 다음으로 사용되지 않기 때문에 재전송 공격이 불가능합니다. 공격자가 구 패킷을 재생하려고 할 때 액세스 포인트가 감지합니다.

IEEE 802.11i 태스크 그룹은 최종적인 보안 솔루션으로 고급 암호 표준(Advanced Encryption Standard:AES)을 선택하였습니다. TKIP와 달리, AES는 암호화 알고리즘 (cryptographic algorithm)이 더욱 프로세서 집약적이기 때문에 대부분의 WEP 설치를 위해 하드웨어 업그레이드가 요구됩니다. AES는 TKIP와 WEP이 사용하는 RC4 알고리즘보다 침입하기가 훨씬 어려운 128비트 암호를 사용합니다. 실제로 NIST에서는 모든 미국 정부 기관을 위한 암호 표준으로 AES를 선택하였습니다. (FIPS publication 197 에 본 조건에 대한 세부사항이 설명되어 있습니다.) 정부 또는 국방을 위한 모든 무선 데이터 수집 어플리케이션은 데이터 전송을 위해 주로 AES를 사용합니다.

인증

네트워크 인증은 본질적으로 클라이어트 액세스 컨트롤입니다. 클라이언트가 무선 액세스 컨트롤과 통신하기 이전에 반드시 네트워크 인증을 거쳐야 합니다. 인증에는 서버 기반과 PSK 기반의 두 가지 기본 형태가 있습니다.

대부분의 기업 네트워크에는 최소한 하나의 인증 서버가 있어 RADIUS(Remote Authentication Dial-In User Service)를 실행합니다. WPA2 네트워크 보안은 IEEE 802.1X 포트 기반 인증 표준을 활용하며, 다음의 컴포넌트로 구성됩니다.

• Supplicant(요청자) – 네트워크에 액세스하는 클라이언트 무선 디바이스
• Authenticator (인증자) – 요청자의 액세스를 컨트롤하는 무선 액세스 포인트
• 인증 서버 – 인증자에 인증 서비스 (보통의 경우, RADIUS)를 제공

• 

요청자가 네트워크 액세스를 요청하면, 인증자는 인증을 위해 컨트롤되지 않는 포트에 액세스를 제공합니다. 인증자가 액세스 요청을 인증 서버에 보내면, 요청자에 대한 액세스를 승인 또는 거부합니다. 인증자는 인증 서버에서 요청자로 응답을 보내며, 컨트롤되는 포트로의 액세스를 허가하거나 거부된 요청자를 차단합니다.

성공적인 인증 과정의 결과로써 PMK (쌍방향 마스터 키)가 사용되어 무선 트래픽을 암호화합니다. 본 교환에 대한 세부사항은 네트워크가 지원하는 EAP(확장 가능한 인증 프로토콜) 방식에 기반합니다. 다음은 가장 보편적인 EAP 방식 (모두 NI Wi-Fi 데이터 수집 디바이스가 지원함)입니다.

• LEAP (Lightweight EAP) – Cisco Systems에서 개발한 오래된 EAP 방식. 모든 Microsoft Windows OS에는 LEAP에 대한 네이티브 지원이 없습니다.
• EAP-TLS (EAP-Transport Layer Security) – 대부분의 무선 벤더에서 지원하는 개방 표준. EAP-TLS는 서버 측과 클라이언트 측 인증을 모두 요구하므로 설치가 더욱 어렵습니다.
• EAP-TTLS (EAP-Tunneled Transport Layer Security) – 더욱 확장된 네트워크를 위해 EAP-TLS 방식에서 클라이언트 측 인증 조건을 제거한 프로토콜
• PEAP (Protected EAP) – Cisco Systems, Microsoft 및 RSA 보안에 의해 개발된 개방 표준. 이는 서버 측 인증을 요구하는 가장 보편적인 EAP 방식입니다. PEAPv0/EAP-MsCHAPv2는 본 방식의 가장 일반 변수입니다.

위에 명시된 모든 EAP 방식은 상호 인증을 지원합니다. 여기서 클라이언트가 서버를 인증해야 하기 때문에 MITM 공격을 방지합니다. 불법 무선 액세스 포인트는 서버 측 보안 인증을 위조할 수 없습니다.

모든 네트워크에 인증 서버가 있는 것은 아니므로 이전 인증 방식이 가능하지 않습니다. SOHO (Small office or home office) 네트워크는 클라이언트 (Wi-Fi DAQ 디바이스)와 액세스 포인트 간 PSK (preshared key)를 사용합니다. 이는 네트워크 인증 시작을 위해 사용자가 제공하는 패스프레이즈입니다.

NI Wi-Fi 데이터 수집으로 보안 네트워크 구현

NI Wi-Fi 데이터 수집 (DAQ) 디바이스는 AES 암호와 대부분의 일반적인 EAP 인증 방식을 포함한 완벽한 IEEE 802.11i 보안 표준을 지원합니다. 이는 무선 네트워크 보안 중에서 가장 상용화되어 있으므로, 다시 말해 매우 중요한 데이터가 원치 않는 액세스로부터 보호됩니다.

실제로, 정부 또는 국방 시설에서 사용되는 어플리케이션의 경우 AES 암호가 요구됩니다. 기타 어플리케이션의 경우, 기존 액세스 포인트 하드웨어에 WPA를 사용할 수 있습니다.

NI Wi-Fi DAQ 가이드 투어 보기

기업 네트워크에 연결할 경우, 사용자의 서버가 어떤 보안 프로토콜과 EAP 방식을 수용하는지를 결정하기 위해 IT 그룹과 의논해야 합니다. NI Wi-Fi DAQ 디바이스가 대부분의 일반적인 EAP 방식 (LEAP, PEAP, EAP-TLS, 및 EAP-TTLS)을 지원하기 때문에, 사용자의 어플리케이션과 네트워크 인프라에 가장 적합한 방식을 자유롭게 선택할 수 있습니다.

Wi-Fi DAQ 디바이스에 대한 보안 설정은 사용하기 편리합니다. Measurement & Automation Explorer (MAX)에서, NI-DAQmx 디바이스 아래의 Wi-Fi DAQ 디바이스를 선택하고 스크린 가장 아랫부분의 네트워크 탭을 클릭합니다. 드롭 다운 메뉴에서 네트워크 보안 옵션을 구성하기 위해 Wireless 탭을 선택합니다.

만약 EAP 방식이 클라이언트 측의 인증을 요구한다면, DAQ 디바이스를 설정하기 이전에 인증을 획득해야 합니다. 또한, 인증 서버 없이 네트워크를 설치하려고 하는 경우, 강력한 PSK 패스프레이즈 (WPA 및 WPA2 네트워크)를 사용해야 합니다.

   
[+] 크게 보기

MAX를 사용하여 Wi-Fi DAQ 암호와 인증 설정을 구성하십시오.

MAX는 암호화된 쓰기 전용 프로세스를 사용하여 모든 구성 및 설정 데이터를 Wi-Fi 또는 이더넷 DAQ 디바이스에 전송하여 (사용자 이름, 암호 및 클라이어트 측 인증) 네트워크를 더욱 보호합니다.

더욱 구체적인 내용에 대해서는 NI WLS-9163 사용자 매뉴얼을 참조하십시오.

Wi-Fi DAQ 네트워크 보안 최우수 사례 체크리스트

• 네트워크에 사용 가능한 인증 서버 (예, RADIUS)가 있는 경우 802.1X (EAP)를 사용하십시오.
• 인증 서버를 사용하지 않는 경우 PSK를 위해 보안이 철저한 암호를 사용하십시오. 사전에 나오는 평범한 문구나 단어를 사용하는 대신 대문자, 소문자 및 숫자를 조합하십시오.
• 무선 액세스 포인트 또는 라우터 설정 시, 일반적이거나 기본값 SSID를 사용하지 마십시오.
• 액세스 포인트 하드웨어가 AES 암호를 지원하는 경우 TKIP에서 AES 암호를 사용하십시오.
• 가능하다면 WEP을 사용하지 마십시오. 액세스 포인트를 WPA로 업그레이드하거나, Windows XP WPA2 패치 를 다운로드하십시오.
• 추가 보안을 위해 Wi-Fi DAQ 디바이스에 대한 설정을 잠그십시오.

기타 자료

NI LabVIEW 및 Wi-Fi 데이터 수집을 사용하여 간단한 무선 원격 모니터링 어플리케이션을 구현하는 방법에 대한 웹 세미나를 보십시오.
6분 Wi-Fi DAQ 가이드 투어 를 보십시오.
Wi-Fi DAQ 가격과 스펙 을 검색하십시오.

평가 0 건 | 5 중 0.00

언어 선택 Korean Chinese (Simplified) Chinese (Traditional) English French German Japanese | 인쇄