무선네트워크 보안설정
가정집에서 흔히 사용하는 ipTime 공유기를 예를 들었으며 기업보안설정이 아닌 개인사용자에 대한 보안설정 입니다.
번호
|
대응방안
|
설명
|
NO 1.
|
Hidden SSID
|
Non Broadcast Beacon
|
NO 2.
|
무선네트워크 프로파일 관리
|
|
NO 3.
|
출력세기 조정
|
AP
의 출력세기를 필요한 장소까지만 출력될
수 있도록 설정.
|
NO 4.
|
공유기 원격관리 기능 해제
|
|
NO 5.
|
Mac Filtering
|
화이트리스트
|
NO 6.
|
AP 암호설정
|
|
NO 7.
|
관리자계정 비밀번호 설정
|
|
NO 8.
|
사용하지않는 공유기 전원 OFF
|
|
NO 9.
|
펌웨어 최신버전 유지
|
|
NO 10.
|
관리자 세션 관리
|
|
NO 11.
|
비밀번호 길이 설정
|
|
NO 1. Hidden SSID
사용자가 무선 AP 를 편리하게 사용하기위해 '네트워크이름 알림' 기능이 기본적으로 '사용함' 으로 설정 되어있다. 보안설정을위해 이 과정을 허용하지 않아야 한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 기본설정 > XX GHz 무선 설정/보안 ] 에서 설정할 수 있다.
네트워크이름 알림을 '사용하지 않음' 으로 설정해야 한다.
Why ??
1. AP가 Station에게 Beacon 패킷을 전송한다. Beacon에는 AP의 정보나, 이름, 암호 등의 프로필이 들어있다.
2. Station이 AP에게 Authentication Request 인증 요청을 한다. 패스워드가 없더라도(open system) 인증을 한다.
(정말로 없는지 확인)
3. AP가 Station에게 Authentication Response인증 응답을 한다.
4. 인증 성공하면Station이 AP에게 Association Request, 결합 요청을 한다.
5. AP가 Station에게 Association Response, 결합 응답을 한다.
6. AP는 Station에게 AID를 부여 한다.
위 사진은 Passive mode 에 대한 설명입니다. AP 는 항상 자신이 여기있다고 광고를하는 Beacon 패킷을 뿌립니다. 이 패킷을 뿌리지 않는다면 일반사용자는 주위에 SSID 를 탐색할수 없겠죠? 그리고 악의적인 목적을 가진 사용자가 주변 AP를 스캐닝 해도 Beacon 패킷을 뿌리지 않는 AP는 탐지할 수 없습니다.
Q) 숨김으로 설정한 후 어떻게 사용하나요 ??
A) 아래 그림과 같이 수동으로 입력해주시면 됩니다.
Q) Beacon 패킷을 뿌리지도 않는데 수동으로 입력했을때는 어떻게 연결이 가능한가요??
A) 수동으로 입력할 경우 Active 방식으로 결합하게 됩니다.
1. 한번 연결된적이 있는 경우 Station이 항상 그 AP를 찾고 있다. 주변에 찾고 있는 AP가 있는지 확인(Probe Request)
2. 찾고 있는 AP가 응답을 한다. (Probe Response)
3. Station이 AP에게 Authentication Request 인증 요청을 한다.
4. AP가 Station에게 Authentication Response인증 응답을 한다.
5. 인증 성공하면Station이 AP에게 Association Request, 결합 요청을 한다.
6. AP가 Station에게 Association Response, 결합 응답을 한다.
7. AP는 Station에게 AID를 부여 한다.
위 그림은 Active 방식에 대한 설명입니다.
AP 와 Station 이 한번 결합이 이루어지면 Station 에 무선프로파일이 자동 저장되게 됩니다. 위에서 무선네트워크를 수동으로 입력하는 행위는 Station의 프로파일에 수동으로 입력한다는 것과 같은말입니다.
무선프로파일에 저장되어 있는 정보들은 해당 AP 를 항상 찾고있으며 결합하려고 시도합니다.
스마트폰의 Wi-Fi 를 활성화 하면 자동으로 AP에 연결되는 경우가있죠?? 이 경우 Active 방식으로 결합되는 경우입니다.
NO 2. 무선네트워크 프로파일 관리
무선 네트워크 자동접속은 허용하지 않아야 하며, 프로파일은 항상 관리해야 한다.
Window 8 의 경우 커맨드창에서 관리 할 수 있는데, >> netsh wlan show profiles 명령어를 이용해 무선네트워크 프로필을 볼 수 있으며, 삭제는 >> netsh wlan delete profile name=" [삭제할 프로파일명] " 명령어를 이용해 삭제할 수 있다.
스마트폰 ( 갤럭시s5 ) 무선인터넷 프로파일 관리는 [ 설정 > Wi-Fi > ... > 고급설정 > Wi-Fi 초기화 ] 에서 관리할 수 있다.
Q) 왜 프로파일관리를 해줘야하나요??
A) NO.1 과 연결되는 내용입니다. 자신이 사용하고 있는 AP의 설정을 Beacon을 뿌리지 않도록 설정해 놓았다고 가정합시다. 그러면 공격자는 해당 AP를 스캐닝할 수 없겠죠?? 어디있지-__- ?? .......
그순간 갑자기 사용자가 무선네트워크를 활성화시킵니다. 그러면 Client의 프로파일에 저장되어있던 AP 정보가 모두 Probe Request 패킷을 날리기 시작합니다. 그리고... AP 에 연결되게 되죠. 그러면 공격자는 해당 AP 를 스캐닝할 수 있게되기 때문입니다.
NO 3. 출력세기 조정
AP 의 출력세기를 필요한 장소까지만 사용할 수 있도록 조절 해야 한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 기본설정 > XX GHz 무선 설정/보안 ] 에서 설정할 수 있다.
'송신 파워' 를 적절히 설정해 줄 수 있다.
NO 4. 공유기 원격관리 기능 해제
공유기를 원격접속하여 관리할 수 있는 기능이 있다. 보안설정을위해 이 기능을 허용하지 않아야 한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 고급설정 > 보안기능 > 공유기 접속 관리 ] 에서 설정할 수 있다.
NO 5. Mac Filtering
무선 AP 접속 허용을 제한해야 한다. ( 화이트리스트 방식 )
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 고급설정 > XX GHz 무선랜 관리 > MAC 주소 인증 ] 에서 설정할 수 있다.
'등록된 주소만 허용' 을 설정한 뒤 허용할 Mac 주소만 따로 추가해야 한다.
NO 6. 무선 AP 비밀번호설정
무선 AP 접속에 제한을 할 수 있도록, 무선 AP 에 비밀번호를 설정해야 한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 고급설정 > XX GHz 무선랜 관리 > 무선 설정/보안 ] 에서 설정할 수 있다.
NO 7. 관리자 계정 비밀번호 설정
관리자 페이지 접속에 제한을 할 수 있도록, 관리자 계정 비밀번호 설정은 필수이다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 고급설정 > 시스템 관리 > 관리자 설정 ] 에서 설정할 수 있다.
NO 8. 사용하지 않는 무선공유기 전원 OFF
사용하지 않는 무선공유기는 관리를 하지 않기 때문에 전원을 꺼놓는 것이 안전하다.
NO 9. 펌웨어 최신버전 유지
펌웨어 버전에 따라 취약점이 존재하는 경우가 있기때문에 펌웨어는 항상 최신버전으로 유지해야 한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 기본 설정 > 펌웨어 업그레이드 ] 에서 설정할 수 있다.
자동 업그레이드를 이용해 최신버전 펌웨어로 업그레이드 시킬 수 있으며, 수동 업그레이드를 이용해 원하는 버전의 펌웨어로 업데이트 가능하다.
NO 10. 관리자 세션관리
관리자 계정관리를 위해 로그인 접속 시간에 제한이 있어야한다.
ipTime 공유기의 경우 [ 관리자페이지 > 관리도구 > 고급설정 > 시스템 관리 > 관리자 설정 ] 에서 설정할 수 있다.
NO 11. 패스워드 길이설정
관리자 계정과 무선 AP 패스워드는 길게 설정하고, 특수문자, 영문자 대소문자, 숫자 모두 조합하여 사용하는 것이 안전하다.
Why ??
비밀번호를 유추하기도 힘들고 BruteForce Attack 이나 Dictionary Attack 등에 조금이라도 안전함을 유지하기 위해서이다.