보안설정 - cisco · 2008. 3. 16. · 그림4-2: eap 인증의순서...

4-1

보안 설정

본 장에서는 액세스 포인트의 보안 기능을 설정하는 방법에 관하

여 설명합니다. 본 장은 다음과 같은 절들로 구성되어 있습니다:

• 보안 개요

• WEP 설치

• 추가적인 WEP 보안 기능의 활성화

• 개방형 및 공유 키 인증 설치

• EAP 인증 설치

• MAC 기반의 인증 설치

• 백업 인증 서버 설치

• 관리자 권한 부여 설정

목차 4

Default settings

Unique SSID with Broadcast

SSID disabled

Shared key

authen-tication

with WEP

Open authen-tication

with WEP

MAC-based

authen-tication

with WEP

EAP authen-tication

with WEP

EAP authen-tication

with MIC, broadcast

key rotation,

and WEP

Not secure Most secure65

677

보안 개요

보안 설정

4-2

보안 개요

본 절에서는 액세스 포인트에서 설정할 수 있는 보안 기능의 유형들에 대하여 설명합니

다. 이러한 보안 기능들은 액세스 포인트와 다른 무선 장치들 간의 무선 통신을 보호하고

네트워크에 대한 액세스를 통제하며 액세스 포인트 관리 시스템으로 권한 없이 진입하는

것을 막아줍니다.

보안 수준

보안은 모든 무선 네트워크에 필수적인 것이므로 여러분은 사용 가능한 모든 보안 기능을

사용해야 합니다. 그림 4-1은 Cisco Aironet 무선 네트워크 장비에서 사용할 수 있는 보

안 수준을, 왼쪽의 보안이 전혀 없는 상태로부터 오른쪽의 가장 높은 보안 상태까지 차례

로 보여줍니다. 가장 높은 보안 수준인 EAP 인증은 무선 클라이언트 장치들에게 인증

서비스를 제공하기 위하여 네트워크 상의 RADIUS (Remote Authentication Dial-In

User Service) 서버와 통신합니다.

그림 4-1: 무선 LAN 보안 수준

보안 설정

보안 개요

4-3

만일 여러분이 액세스 포인트에서 보안 기능을 한 가지도 작동시키지 않는다면, 무선 네

트워크 장치를 가지고 있는 어떤 사람도 여러분의 네트워크에 참여할 수 있습니다. 만일

여러분이 WEP 암호화와 함께 개방형 또는 공유 키 인증을 가동한다면 여러분의 네트

워크는 일상적인 외부인들로부터는 안전하겠지만 WEP 키를 계산하기 위하여 해킹 알

고리즘을 사용하는 침입자로부터는 안전하지 않을 것입니다. 만일 여러분이

MIC(Message Integrity Check), 브로드캐스트 키 로테이션, 키 해싱과 함께 서버

기반의 EAP 인증을 가동한다면 여러분의 네트워크는 무선 보안에 대한 거의 모든 공격

으로부터 안전할 것입니다.

WEP로 무선 신호를 암호화하기

무선국으로부터 일정 거리 안에 있는 사람들이 누구나 그 무선국의 주파수에 맞추어 신

호를 들을 수 있는 것처럼 액세스 포인트의 일정 범위 안에 있는 어떤 무선 네트워크 장

치도 그 액세스 포인트의 전파를 받을 수 있습니다. WEP (Wired Equivalent

Privacy)는 침입자에 대한 첫번째 방어책이기 때문에 시스코는 무선 네트워크 전부에

암호화를 사용할 것을 권장합니다.

WEP 암호화는 통신을 보호하기 위하여 액세스 포인트와 클라이언트 장치 사이의 통신

을 스크램블합니다. 액세스 포인트와 클라이언트 장치는 무선 신호를 암호화하고 해독하

는데 동일한 WEP 키를 사용합니다. WEP 키는 유니캐스트와 멀티캐스트 메시지 모두

를 암호화합니다. 유니캐스트 메시지는 네트워크 상의 단 하나의 장치로 발송됩니다. 멀

티캐스트 메시지는 네트워크 상의 다수의 장치로 발송됩니다.

EAP (Extensible Authentication Protocol) 인증은 무선 사용자에게 동적인 WEP

키를 제공합니다. 동적인 WEP 키는 정적인 또는 변하지 않는 WEP 키보다 안전합니

다. 만일 어떤 침입자가 동일한 WEP 키로 암호화된 충분한 양의 패킷을 수신한 경우

그 침입자는 계산을 통하여 키를 알아낸 후 그 키를 사용하여 여러분의 네트워크에 침입

할 수 있습니다. 동적인 WEP 키는 자주 바뀌기 때문에 침입자가 계산을 통하여 키를

알아내는 것을 막을 수 있습니다.

추가적인 WEP 보안 기능들

세 가지 추가적인 보안 기능이 무선 네트워크의 WEP 키를 방어합니다:

• MIC(Message Integrity Check)-MIC는 비트 플립 (bit-flip) 공격이라고 불리는암호화된 패킷에 대한 공격을 막아줍니다. 비트 플립 공격에서 침입자는 암호화된

메시지를 가로채서 이것을 조금 바꾼 후 다시 전송하는데 그러면 수신자는 재전송된

메시지를 정당한 것으로 받아들입니다. 액세스 포인트 및 모든 관련 클라이언트 장

치 양쪽에 구현된 MIC는 패킷을 변경하지 못하게 만들기 위하여 각 패킷에 몇 바이

트를 추가합니다.

보안 개요

보안 설정

4-4

MIC를 활성화하는 것에 관한 설명은“MIC(Message Integrity Check) 활성화하

기”절을 참조하십시오.

• WEP 키 해싱-이 기능은 침입자가 WEP 키를 계산하기 위하여 암호화된 패킷에 포함된 암호화되지 않은 IV(initialization vector)를 사용하는 WEP 공격으로부터

보호합니다. WEP 키 해싱은 IV를 사용하여 WEP 키를 도출해낼 수 있다는 침입

자들의 기대를 제거해줍니다. 키 해싱을 활성화하는 방법은“WEP 키 해싱 활성화

하기”절을 참조하십시오.

• 브로드캐스트 키 로테이션 -EAP 인증은 클라이언트 장치들을 위해서 동적인 유니캐스트 WEP 키를 제공하지만 정적인 브로드캐스트 또는 멀티캐스트 키를 사용합니

다. 브로드캐스트 WEP 키 로테이션이 활성화되어 있을 때 액세스 포인트는 동적인

브로드캐스트 WEP 키를 제공하고 여러분이 선택하는 간격으로 그것을 바꾸어줍니

다. 시스코장비가 아니거나 또는 시스코 클라이언트 장치를 위한 최신 펌웨어로 업

그레이드할 수 없는 무선 클라이언트 장치들을 여러분의 무선 LAN이 지원해야 할

경우, 브로드캐스트 키 로테이션은 WEP 키 해싱에 대한 훌륭한 대안입니다. 브로

드캐스트 키 로테이션을 활성화하는 것에 대한 설명은“브로드캐스트 WEP 키 로테

이션 활성화하기”절을 참조하십시오.

메모 MIC, WEP 키 해싱 및 브로드캐스트 키 로테이션은 Cisco.com에서 얻을 수 있는펌웨어 버전 11.10T에 구현된 기능입니다. Cisco Aironet 펌웨어 릴리즈들은http://www.cisco.com/pcgi-bin/tablebuild.pl/aironet-350에서 다운로드하실수 있습니다.

네트워크 인증 유형

무선 클라이언트 장치는 액세스 포인트를 통하여 네트워크와 통신하기 전에 액세스 포인

트와 네트워크로의 인증을 받아야 합니다. 액세스 포인트는 네 가지 인증 기제 혹은 유형

을 사용하는데, 동시에 한가지 이상을 사용할 수도 있습니다:

• 네트워크-EAP-이 인증 유형은 무선 네트워크를 위한 가장 높은 수준의 보안을 제공합니다. EAP(Extensible Authentication Protocol)를 사용하여 EAP 호환

RADIUS 서버와 통신함으로써 액세스 포인트는 무선 클라이언트 장치와 RADIUS

서버가 상호 인증을 수행하고 동적인 유니캐스트 WEP 키를 도출할 수 있게 해줍니

다. RADIUS 서버는 WEP 키를 액세스 포인트로 보내고, 액세스 포인트는 클라이

언트와 송수신하는 모든 유니캐스트 데이터 신호에 그 키를 사용합니다.

Access pointor bridge

Wired LAN

Clientdevice

Server

1. Authentication request

2. Identity request

3. Username and password

(relay to client)

(relay to server)

4. Authentication challenge

5. Authentication response

(relay to client)

(relay to server)

6. Authentication success

7. Authentication challenge

(relay to client)

(relay to server)


9. Successful authentication (relay to server)

6558

3

보안 설정

보안 개요

4-5

액세스 포인트는 또한 클라이언트의 유니캐스트 키로 브로드캐스트 WEP 키 (액세스 포

인트의 WEP 키 슬롯 1에 들어온)를 암호화하여 그것을 클라이언트에게 보냅니다.

액세스 포인트와 클라이언트 장치에 EAP를 활성화하면, 네트워크로의 인증은 그림 4-2

에 보이는 단계를 따라 발생합니다:

그림 4-2: EAP 인증의 순서

그림 4-2의 1단계에서 9단계까지 무선 클라이언트 장치와 유선 LAN상의 RADIUS 서

버는 액세스 포인트를 통한 상호 인증을 수행하기 위하여 802.1x와 EAP를 사용합니다.

RADIUS 서버는 클라이언트에게 인증 챌린지 (authentication challenge)를 보냅니

다. 클라이언트는 사용자가 제공한 암호의 일방 암호화를 사용, 그 챌린지에 대한 응답

(response)을 생성하여 RADIUS 서버로 보냅니다. RADIUS 서버는 자신이 가지고

있는 사용자 데이터베이스의 정보를 사용하여 응답을 생성하고 그것을 클라이언트가 보

내온 응답과 비교합니다. RADIUS 서버가 클라이언트를 인증하면 동일한 프로세스가

반대방향으로 되풀이되어 클라이언트가 RADIUS 서버를 인증합니다.

보안 개요

보안 설정

4-6

상호 인증이 완료되면 RADIUS 서버와 클라이언트는 클라이언트에 고유한 WEP

키를 결정하고 클라이언트에게 적절한 네트워크 접근 수준을 제공함으로써 유선 스위

치 방식 세그먼트에서 개별 데스크톱에 제공하는 보안 수준을 모방합니다. 클라이언

트는 이 키를 로드하여 로그온 세션에 사용할 준비를 합니다.

로그온 세션 동안에 RADIUS 서버는 WEP 키를 암호화하여 유선 LAN을 통하여

액세스 포인트로 보내는데 이를 세션 키라고 부릅니다. 액세스 포인트는 세션 키를

가지고 자신의 브로드캐스트 키를 암호화하여 클라이언트에게 보내고 클라이언트는

세션 키를 사용하여 이를 해독합니다. 클라이언트와 액세스 포인트는 WEP를 활성화

하고, 남은 세션 기간 동안의 모든 통신에 이 세션/브로드캐스트 WEP 키를 사용합

니다.

EAP 인증에는 여러가지 유형이 있지만 액세스 포인트는 각 유형에 대하여 동일하게

행동합니다: 액세스 포인트는 인증 메시지를 무선 클라이언트 장치에서 RADIUS 서

버로, RADIUS 서버로부터 무선 클라이언트 장치로 전달합니다. 액세스 포인트에

EAP를 어떻게 설치하는지 보려면“EAP 인증 설치”절을 참고하십시오.

메모 EAP 인증을 사용하면 개방형 또는 공유 키 인증을 선택할 수 있지만

그렇게 할 필요는 없습니다. EAP 인증은 액세스 포인트로의 인증과 네

트워크로의 인증 양쪽 모두를 제어합니다.

• MAC 주소- 액세스 포인트가 무선 클라이언트 장치의 MAC 주소를 네트워크 상의RADIUS 서버로 전송하면 서버는 그 주소를 MAC 주소 승인 목록에서 찾아봅니

다. 만일 여러분이 네트워크 상에 RADIUS 서버를 가지고 있지 않다면 액세스 포

인트의 Address Filters 페이지에 MAC 주소 승인 목록을 생성할 수 있습니다. 목

록에 속해있지 않은 MAC 주소를 가진 장치들은 인증이 되지 않습니다. 침입자들이

위조 MAC 주소를 생성할 수 있으므로 MAC 기반의 인증은 EAP 인증에 비하여

안전도가 떨어집니다. 그러나 MAC 기반의 인증은 EAP 기능을 가지고 있지 않은

클라이언트 장치들에 대한 인증 방법의 대안을 제공합니다. MAC 기반의 인증을 활

성화하는 방법에 대해서는“MAC 기반의 인증 설치”절을 참조하십시오.

그림 4-3 은 MAC 기반 인증의 인증 절차를 보여주고 있습니다.

4-7


Wired LAN

Clientdevice

Server


2. Identity request

3. MAC address

(relay to client)

(relay to server)

4. Successful authentication

6558

4


with WEP key = 123Client device

with WEP key = 3211. Authentication request

2. Authentication response54

583

보안 설정

보안 개요

4-7

그림 4-3: MAC 기반의 인증 절차

• 개방형-어떤 장치도 인증을 하고 액세스 포인트와 통신하려는 시도를 할 수 있게 허용합니다. 개방형 인증을 사용하면 어떤 무선 장치도 액세스 포인트와 인증을 할 수

있지만 자신의 WEP 키가 액세스 포인트의 WEP 키와 일치하는 경우에만 통신할

수 있습니다. WEP를 사용하지 않는 장치는 WEP를 사용하는 액세스 포인트와 인

증을 시도할 수 없습니다. 개방형 인증은 네트워크 상의 RADIUS 서버에 의존하지

않습니다.

그림4-4는 인증을 시도하는 장치와 개방형 인증을 사용하는 액세스 포인트 간의 인

증 과정을 보여줍니다. 이 예에서 장치의 WEP 키가 액세스 포인트의 키와 일치하

지 않으므로 인증은 할 수 있지만 데이터를 전달할 수 없습니다.

그림 4-4: 개방형 인증의 절차

• 공유 키-시스코는 IEEE 802.11b 표준에 부합하는 공유 키 인증을 제공합니다. 그러나 공유 키의 보안상 결함 때문에 이것을 사용하지 않을 것을 권장합니다.

4-8


with WEP key = 123

Client devicewith WEP key = 123


2. Unencrypted challenge

3. Encrypted challenge response


5458

4

보안 개요

보안 설정

4-8

공유 키 인증에서 액세스 포인트는 액세스 포인트와 통신을 시도하는 장치로 암호화되지

않은 챌린지 텍스트 문자열 (challenge text string)을 보냅니다. 인증을 요청하는 장

치는 챌린지 텍스트를 암호화한 후 그것을 다시 액세스 포인트로 보냅니다. 만일 챌린지

텍스트가 올바르게 암호화되었다면, 액세스 포인트는 요청하는 장치에게 인증을 허락합

니다. 암호화되지 않은 챌린지와 암호화된 챌린지 양쪽 다 모니터될 수 있으므로 액세스

포인트는 암호화되지 않은 텍스트 문자열과 암호화된 텍스트 문자열을 비교하여 WEP

키를 계산하려는 침입자의 공격에 노출되어 있습니다. 이러한 취약점 때문에 공유 키 인

증은 개방형 인증에 비하여 안전하지 않습니다. 공유 키 인증도 개방형 인증과 마찬가지

로 네트워크 상의 RADIUS 서버에 의존하지 않습니다.

그림 4-5는 인증을 시도하는 장치와 공유 키 인증을 사용하는 액세스 포인트 사이의 인

증 절차를 보여주고 있습니다. 이 예에서 보면 장치의 WEP 키와 액세스 포인트의 키가

일치하므로 이 장치는 인증과 통신을 할 수 있습니다.

그림 4-5: 공유 키 인증 절차

사용자 매니저(User Manager)로 액세스 포인트 구성을 보호하기

액세스 포인트의 사용자 매니저 기능은 액세스 포인트 관리 시스템으로의 권한 없는 진

입을 통제합니다. 액세스 포인트 설정을 보거나 조정할 수 있도록 권한이 부여된 관리자

들의 목록이 만들어지므로 권한이 없는 사용자는 들어갈 수가 없습니다. 사용자 매니저

의 사용에 대한 설명은“관리자 권한 부여 설정”절을 참고하십시오.

4-9

보안 설정

WEP 설치

4-9

WEP 설치

WEP를 설치하려면 AP Radio Data Encryption 페이지를 사용하십시오. 또한 액세

스 포인트에 대한 인증 유형을 선택하려면 AP Radio Data Encryption 페이지를 사

용하십시오. 그림 4-6은 AP Radio Data Encryption 페이지를 보여줍니다.

그림 4-6: AP Radio Data Encryption 페이지

AP Radio Data Encryption 페이지로 가려면 다음의 경로를 따라가십시오:

1. Summary Status 페이지에서 Setup을 클릭하십시오.

2. Setup 페이지에서 Security를 클릭하십시오.

3. Security Setup 페이지에서 Radio Data Encryption (WEP)를 클릭하십시오.

4-10

WEP 설치

보안 설정

4-10

WEP 키를 설치하고 WEP를 활성화하려면 다음 단계들을 수행하십시오:

단계 1 AP Radio Data Encryption 페이지로 가는 경로를 따라가십시오.

단계 2 WEP를 활성화하려면 적어도 Encryption Key 필드 중 한 곳에 WEP 키를 입력해야 합

니다.

메모 클라이언트 장치에 동적 WEP 키를 제공하기 위하여 브로드캐스트 키 로테이션과 EAP 인증을 활성화한다면, 키를 입력하지 않고도 WEP를 활성화할 수 있습니다.

40-bit 암호화의 경우 10개의 16진수를 입력하십시오; 128-bit 암호화의 경우에는 26개

의 16진수를 입력하십시오. 16진수는 0부터 9까지의 숫자와 A부터 F까지의 문자로 이루

어져있습니다. 40-bit WEP 키는 이 중 10개의 조합으로 이루어집니다; 128-bit WEP

키는 이 중 26개의 조합으로 이루어집니다. 문자는 대소문자 구별을 하지 않습니다.

4개까지의 WEP 키를 입력할 수 있습니다. 키에 여러분이 입력하는 문자 또는 숫자는

여러분이 입력할 당시에만 화면에 표시됩니다. Apply 또는 OK를 클릭한 후에는 키의

내용을 보실 수 없습니다.

메모 EAP 인증을 활성화하면 전송키 (transmit key)로 키 1을 선택해야 합니다. 액세스 포인트는 EAP를 사용하는 클라이언트 장치에 보내는 멀티캐스트 데이터 신호를 암호화하는데 키 슬롯 1에 입력된 WEP 키를 사용합니다. 반면에 브로드캐스트 키 로테이션을 활성화한다면, 어떤 키도 전송키로선택할 수 있거나 또는 아무 키도 입력하지 않고 WEP를 활성화할 수 있습니다.

단계 3 각 키에 대하여 40-bit 또는 128-bit 암호화를 선택하려면 Key Size 풀다운 메뉴를 사용

하십시오. not set 옵션은 키를 삭제합니다. 각 키에 대해 not set 을 선택하거나 또는

단계 5에서 No Encryption을 선택함으로써 WEP를 완전히 비활성화할 수 있습니다.

단계 4 키 가운데 하나를 전송키로 선택하십시오. 만일 여러분이 인증 유형으로 네트워크-EAP를

선택한다면 전송키로 key 1을 선택하십시오.

4-11

보안 설정

WEP 설치

4-11

메모 액세스 포인트로 인증을 하는데 EAP를 사용하지 않는 클라이언트 장치들은 액세스 포인트의 전송키를 클라이언트 장치의 WEP 키 목록의 동일한키 슬롯에 가지고 있어야 합니다. 그러나 그 키가 클라이언트 장치의 WEP키 목록에서 전송키로 선택되어져야 할 필요는 없습니다.

표 4-1은 액세스 포인트와 접속 장치에 사용될 수 있는 WEP 키 설정의 예를 보여줍니

다:

표 4-1: WEP 키 설정 예

액세스 포인트 접속 장치

키 슬롯 전송 키 내용 전송 키 내용

1 x 12345678901234567890abcdef ─ 12345678901234567890abcdef

2 ─ 09876543210987654321fedcba x 09876543210987654321fedcba

3 ─ 설정되지 않음 ─ 설정되지 않음

4 ─ 설정되지 않음 ─ FEDCBA09876543211234567890

액세스 포인트의 WEP 키 1이 전송키로 선택되었기 때문에 상대 장치의 WEP 키 1은

동일한 내용을 가져야만 합니다. 상대 장치의 WEP 키 4가 설정되었지만 그것이 전송키

로 선택되지 않았기 때문에 액세스 포인트의 WEP 키 4는 설정될 필요가 전혀 없습니다.

키에 여러분이 입력하는 문자 또는 숫자는 여러분이 입력할 당시에만 화면에 표시됩니

다. Apply 또는 OK를 클릭한 후에는 키의 내용을 보실 수 없습니다. WEP 키는 삭제

할 수 없지만 기존의 키 위에 새로운 내용을 쓸 수는 있습니다.

단계 5 Use of Data Encryption by Stations is 이라고 표시된 풀다운 메뉴에서 Optional 또

는 Full Encryption을 선택하십시오.

메모 WEP를 활성화하기 전에 반드시 WEP 키를 설정해야만 합니다. Use ofData Encryption by Stations is 풀다운 메뉴의 옵션들은 키를 설정하기전에는 나타나지 않습니다.

4-12

WEP 설치

보안 설정

4-12

풀다운 메뉴에 있는 세 가지 설정은 다음과 같습니다:

• No Encryption (디폴트)-액세스 포인트는 WEP를 사용하지 않는 클라이언트 장치하고만 통신할 수 있습니다. WEP를 비활성화하기 위하여 이 옵션을 사용하십시오.

• Optional-클라이언트 장치는 액세스 포인트와 통신할 때 WEP를 사용할 수도 사용하지 않을 수도 있습니다.

메모 만일 Optional을 선택한다면, 액세스 포인트에 접속한 Cisco Aironet클라이언트 장치들은 혼합 셀(mixed cell)로의 접속이 허용되도록 구성되어야만 합니다. Cisco Aironet 클라이언트 장치를 구성하는 것에 관한 설명은 Cisco Aironet Wireless LAN Adapters SoftwareConfiguration Guide를 참조하십시오.

• Full Encryption-클라이언트 장치들은 액세스 포인트와 통신할 때 WEP를 사용해야 합니다. WEP를 사용하지 않는 장치는 통신이 불가능합니다.

메모 MIC(Message Integrity Check)를 활성화하기 위해서는 FullEncryption을 선택해야 합니다. MIC를 설정하는 것에 관한 설명은

“MIC (Message Integrity Check) 활성화하기”절을 참고하십시오.

단계 6 OK를 클릭하면 자동적으로 Security Setup페이지로 돌아가게 됩니다.

WEP를 설치하기 위해 SNMP 사용하기

액세스 포인트에서의 WEP 수준을 설정하기 위하여 SNMP를 사용할 수 있습니다.

SNMP 사용에 대한 세부사항은“SNMP 사용하기”절을 참조하십시오.

액세스 포인트는 WEP 수준을 설정하기 위하여 다음과 같은 SNMP 변수들을 사용합니

다:

• dot11ExcludeUnencrypted.2

• awcDot11AllowEncrypted.2

표 4-2 는 SNMP 변수 설정과 이에 해당하는 WEP 수준을 보여줍니다.

보안 설정

추가적인 WEP 보안 기능의 활성화

4-13

표 4-2: SNMP 변수 설정 및 해당 WEP 수준

SNMP변수 WEP Full WEP Off WEP Optional

dot11ExcludeUnencrypted.2 true False false

awcDot11AllowEncrypted.2 true False true

메모 액세스 포인트는 SNMP 변수 dot11PrivacyInvoked를 사용하지 않으므로 이 변수는 항상 비활성화되어 있습니다.


무선 네트워크의 WEP 키들에 대한 정교한 공격을 막기 위하여 세 가지 고급 보안 기능

을 활성화할 수 있습니다. 본 절에서는 이러한 기능들을 설정하고 활성화하는 방법을 설

명합니다:

• MIC(Message Integrity Check) 활성화하기

• WEP 키 해싱 활성화하기

• 브로드캐스트 WEP 키 로테이션 활성화하기

메모 MIC, WEP 키 해싱 및 브로드캐스트 키 로테이션 기능은 Cisco.com에서 구할 수있는 펌웨어 버전 11.10T에 구현된 기능입니다. Cisco Aironet 펌웨어 릴리즈들은http://www.cisco.com/pcgi-bin/tablebuild.pl/aironet-350에서 다운로드하실수 있습니다.

MIC(Message Integrity Check) 활성화하기

MIC는 비트 플립(bit-flip) 공격이라고 불리는 암호화된 패킷에 대한 공격을 막아줍니

다. 비트 플립 공격에서 침입자는 암호화된 메시지를 가로채서 이것을 조금 바꾼 후 다

시 전송하는데 그러면 수신자는 재전송된 메시지를 정당한 것으로 받아들입니다. 액세스

포인트와 모든 접속 클라이언트 장치에 구현된 MIC는 패킷들을 조작할 수 없게 만들기

위하여 각 패킷에 몇 바이트를 추가합니다.

4-14


보안 설정

4-14

메모 MIC가 사용되기 전에 반드시 WEP를 full encryption으로 설정하고 활성화해야 합니다.

메모 MIC를 사용하기 위해서는 AP Radio Advanced 페이지의 Use AironetExtensions 설정을 yes(디폴트 설정)로 해야 합니다.

MIC를 활성화하기 위해서는 AP Radio Advanced 페이지를 사용하십시오. 그림4-7

은 AP Radio Advanced 페이지를 보여줍니다.

4-15

보안 설정


4-15

그림4-7: AP Radio Advanced 페이지

AP Radio Advanced 페이지로 가려면 다음과 같은 경로를 따라가십시오:


2. Setup 페이지에서 Network Ports 아래에 있는 AP Radio 행의 Advanced를 클릭

하십시오.

4-16


보안 설정

4-16

MIC를 활성화하기 위해서는 다음 단계들을 수행하십시오:

단계 1 WEP를 설정하고 활성화하려면“WEP 설치”절에 있는 단계들을 따라가십시오. MIC가

활성화되기 전에 full encryption으로 WEP를 설정하고 활성화해야 합니다. 만일 WEP

이 활성화되어 있지 않거나 optional로 설정되어 있으면 MIC는 활성화되지 않습니다.

단계 2 AP Radio Advanced 페이지로 가십시오.

단계 3 Enhanced MIC verification for WEP 풀다운 메뉴에서 MMH를 선택하십시오.

단계 4 Use Aironet Extensions 설정에서 yes 가 선택되어 있는지 확인하십시오. Use

Aironet Extensions에서 no가 선택되어 있으면 MIC는 기능하지 않습니다.

단계 5 OK를 클릭하십시오. MIC가 활성화되고 MIC 기능을 가진 클라이언트 장치들만이 액세

스 포인트와 통신할 수 있게 됩니다.

WEP 키 해싱 활성화하기

WEP 키 해싱은 침입자가 IV(initialization vector)라고 불리는 암호화된 패킷에 포함

된 암호화되지 않은 부분을 사용, WEP 키를 계산하여 WEP를 공격하는 것을 막아줍니

다. WEP 키 해싱은 IV를 사용하여 WEP 키를 도출해낼 수 있다는 침입자들의 기대를

제거해줍니다. WEP 키 해싱은 유니캐스트 및 브로드캐스트 WEP 키 모두를 보호합니

다.

메모 WEP 키 해싱을 활성화할 때, 해당 액세스 포인트와 통신하는 모든 WEP 사용 클라이언트 장치들은 WEP 키 해싱을 지원해야 합니다. 키 해싱을 지원하지 않는 WEP사용 장치들은 액세스 포인트와 통신할 수 없습니다.

4-17

보안 설정


4-17

메모 WEP 키 해싱을 사용하려면 AP Radio Advanced 페이지의 Use AironetExtensions 설정이 yes (디폴트 설정)로 되어있어야 합니다.

힌트 WEP 키 해싱을 활성화할 때, 브로드캐스트 키 로테이션을 활성화할 필요는 없습니다. 키 해싱은 침입자들이 정적인 브로드캐스트 키를 계산하지 못하게 하므로 브로드캐스트 키를 교대할 필요가 없어집니다.

WEP 키 해싱을 활성화하려면 다음 단계들을 따라가십시오:

단계 1 WEP를 설정하고 활성화하려면“WEP 설치”절 에 있는 단계를 수행하십시오. WEP

레벨에 optional 또는 full encryption을 선택하십시오.

단계 2 AP Radio Advanced 페이지로 가려면 다음 경로를 따라가십시오:

a. Summary Status 페이지에서 Setup을 클릭하십시오.

b. Setup 페이지에서 Network Ports 아래에 있는 AP Radio 행의 Advanced를 클릭하십시오.

단계 3 Temporal Key Integrity Protocol 풀다운 메뉴에서 시스코를 선택하십시오.

단계 4 Use Aironet Extensions 설정에서 yes가 선택되어 있는지 확인하십시오. Use

Aironet Extensions에 no가 선택되어 있으면 키 해싱은 기능하지 않습니다.

단계 5 OK를 클릭하면 WEP 키 해싱이 활성화됩니다.

브로드캐스트 WEP 키 로테이션 활성화하기

EAP 인증은 클라이언트 장치들을 위해서 동적인 유니캐스트 WEP 키를 제공하지만 정

적인 멀티캐스트 키를 사용합니다. WEP 키 로테이션이 활성화되어 있을 때 브로드캐

스트 또는 멀티캐스트에서 액세스 포인트는 동적인 브로드캐스트 WEP 키를 제공하고

여러분이 선택하는 간격으로 그것을 바꾸어줍니다. 시스코장비가 아니거나 또는 시스코

클라이언트 장치를 위한 최신 펌웨어로 업그레이드할 수 없는 무선 클라이언트 장치를

여러분의 무선 LAN이 지원해야 할 경우 브로드캐스트 키 로테이션은 WEP 키 해싱에

대한 훌륭한 대안이 됩니다.

4-18


보안 설정

4-18

메모 브로드캐스트 키 로테이션을 활성화하면 LEAP 또는 EAP-TLS 인증을 사용하는무선 클라이언트 장치들만이 액세스 포인트를 사용할 수 있습니다. 정적인 WEP (개방형키, 공유 키 또는 EAP-MD5 인증)를 사용하는 클라이언트 장치들은 브로드캐스트 키 로테이션이 활성화된 액세스 포인트를 사용할 수 없습니다.

힌트 WEP 키 해싱을 활성화하면 브로드캐스트 키 로테이션을 활성화할 필요가 없습니다.키 로테이션과 키 해싱 양쪽 모두를 사용할 수도 있지만 이것은 중복되는 기능입니다.

브로드캐스트 키 로테이션을 활성화하려면 다음 단계들을 따라가십시오:

단계 1 WEP를 설정하고 활성화하려면“WEP 설치”절에 있는 단계들을 수행하십시오.

단계 2 AP Radio Advanced 페이지로 가려면 다음 경로를 따라가십시오:


b. Setup 페이지에서 Network Ports 아래에 있는 AP Radio 행의 Advanced를 클

릭하십시오.

단계 3 AP Radio Advanced 페이지의 Broadcast WEP Key rotation interval 입력 필드

에 로테이션 간격을 초단위로 입력하십시오. 예를 들어 900을 입력한다면 액세스 포인

트는 매 15분마다 모든 연결된 클라이언트 장치로 새로운 브로드캐스트 WEP 키를 보

냅니다. 브로드캐스트 WEP 키 로테이션을 사용하지 않으려면 0을 입력하십시오.

메모 브로드캐스트 키 로테이션을 사용하는 모든 액세스 포인트에 로테이션 간격을 설정하여야 합니다. RADIUS 서버에는 로테이션 간격을 입력할 수 없습니다.

힌트 만일 무선 네트워크의 트래픽에 많은 브로드캐스트 혹은 멀티캐스트 패킷이 포함되어있다면 짧은 로테이션 간격을 사용하십시오.

단계 4 OK를 클릭하면 브로드캐스트 키 로테이션이 활성화됩니다.

4-19

보안 설정

개방형 및 공유 키 인증 설치

4-19

개방형 및 공유 키 인증 설치

시스코는 공유 키 인증보다 개방형 인증을 사용할 것을 권장합니다. 공유 키에서 사용되

는 챌린지 쿼리와 응답은 액세스 포인트를 침입자에게 특히 취약하게 합니다.

AP Radio Data Encryption 페이지에서 개방형 또는 공유 키 인증을 선택하십시오.

그림 4-6 은 AP Radio Data Encryption 페이지를 보여주고 있습니다.

4-20

EAP 인증 설치

보안 설정

4-20

개방형 또는 공유 키 인증을 설치하려면 다음 단계들을 따라가십시오:

단계 1 WEP를 설치하고 활성화하려면“WEP 설치”절의 지시를 따르십시오.

공유 키 인증을 사용하려면 WEP를 활성화해야 하지만 개방형 인증을 사용하려면

WEP를 활성화할 필요가 없습니다. 그러나 시스코는 모든 무선 네트워크에서 WEP를

사용할 것을 강력히 권장합니다.

단계 2 액세스 포인트가 인식하는 인증을 설정하기 위하여 Open (디폴트) 또는 Shared Key를

선택하십시오. 세 가지 인증 유형을 모두 선택할 수 있습니다.

단계 3 모든 클라이언트 장치들이 네트워크에 들어오기 전에 EAP 인증을 수행하도록 강제하려

면 Open이나 Shared 아래의 Require EAP 체크박스를 선택하십시오. Require EAP

체크박스를 선택하면 또한 EAP-TLS 및 EAP-MD5를 포함하는 다양한 형태의 EAP

인증을 사용하는 클라이언트 장치들이 액세스 포인트를 통하여 인증할 수 있게 됩니다.

LEAP 사용 Cisco Aironet 클라이언트 장치들이 액세스 포인트를 통하여 인증하도록

허락하려면 Network-EAP도 선택해야 합니다. Require EAP와 Network-EAP 설

정에 관한 상세한 내용은“EAP 인증 설치”절을 참조하십시오.

단계 4 OK를 클릭하시면 자동적으로 Security Setup 페이지로 돌아갑니다.

EAP 인증 설치

EAP 인증시 액세스 포인트는 네트워크 상의 RADIUS 서버와 인증을 받으려는 클라이

언트 장치 사이에서 인증 메시지들을 전달합니다. 본 절은 다음에 대해 설명하고 있습니

다:

• 액세스 포인트에서 EAP를 활성화하기

• Cisco Secure ACS에서 EAP 활성화하기

• 리피터 액세스 포인트를 LEAP 클라이언트로 설치하기

보안 설정

EAP 인증 설치

4-21

액세스 포인트에서 EAP를 활성화하기

EAP 인증을 설치하고 가동하려면 Authenticator Configuration 페이지와 AP

Radio Data Encryption 페이지를 사용하십시오. 그림 4-6 은 AP Radio Data

Encryption 페이지를 보여줍니다. 그림 4-8 은 Authenticator Configuration 페이

지를 보여줍니다.

그림 4-8: Authenticator Configuration 페이지

Authenticator Configuration 페이지로 가려면 다음 경로를 따라가십시오:



3. Security Setup 페이지에서 Authentication Server를 클릭하십시오.

액세스 포인트에서 EAP를 활성화하려면 다음 단계를 따라가십시오:

단계 1 Authenticator Configuration 페이지로의 경로를 따라가십시오.

4-22

EAP 인증 설치

보안 설정

4-22

인증 서비스를 위해 4개까지의 서버를 설정할 수 있으므로 백업 인증 서버도 설치할 수

있습니다. 동일한 서비스에 대하여 하나 이상의 서버를 설정할 경우 목록의 첫번째에 있

는 서버가 해당 서비스에 대한 프라이머리 서버가 되고 다른 서버들은 이전 서버의 가동

이 중단될 경우 목록에 있는 순서대로 사용됩니다.

메모 EAP 인증과 MAC 주소 인증에 같은 서버를 사용할 수 있습니다.

단계 2 802.1x Protocol Version (for EAP Authentication) 풀다운 메뉴를 사용하여 액세

스 포인트의 전파가 사용할 802.1x 프로토콜의 초안(Draft)을 선택하십시오. EAP는

클라이언트 장치의 무선 펌웨어가 액세스 포인트의 관리 펌웨어와 동일한 802.1x 프로

토콜 초안을 준수해야만 기능합니다. 만일 액세스 포인트와 연결할 클라이언트 장치의

무선 펌웨어가 예를 들어 4.16이라면 Draft 8을 선택해야 합니다. 메뉴 옵션에는 다음과

같은 것들이 있습니다:

• Draft 7-초안 7을 준수하는 무선 펌웨어 버전가운데 LEAP 기능을 가지고 있는 것은 없습니다. 그러므로 이 설정을 선택할 필요는 없을 것입니다.

• Draft 8-액세스 포인트와 접속하는 LEAP 사용 클라이언트 장치가 무선 펌웨어 버전 4.13, 4.16 또는 4.23을 사용한다면 이 옵션을 선택하십시오.

• Draft 10- 액세스 포인트와 접속하는 클라이언트 장치가 Microsoft Windows XP인증을 사용하거나 또는 액세스 포인트와 접속하는 LEAP 사용 클라이언트 장치가

무선 펌웨어 버전 4.25 이상을 사용한다면 이 옵션을 선택하십시오.

표 4-3 은 무선 펌웨어 버전과 그것이 준수하는 초안의 목록입니다.

표4-3: 802.1x 프로토콜 초안 및 이를 준수하는 클라이언트 펌웨어

펌웨어 버전 Draft 7 Draft 8 Draft 10

PC/PCI 카드 4.13 ─ X ─



PC/PCI 카드 4.25 이상 ─ ─ X

WGB34x/352 8.58 ─ X ─

WGB34x/352 8.61 이상 ─ ─ X

AP34x/35x 11.05 및 이전 ─ X ─

-

보안 설정

EAP 인증 설치

4-23

표4-3: 802.1x 프로토콜 초안 및 이를 준수하는 클라이언트 펌웨어

펌웨어 버전 Draft 7 Draft 8 Draft 10

AP34x/35x 11.06 이상 ─ X X

BR352 11.06 이상1 ─ X X

1. 액세스 포인트와 브리지 펌웨어 버전 11.06 이상의 디폴트 초안 설정은 Draft 10임.

메모 펌웨어 버전 11.05 및 그 이전에는 Draft 표준 8이 디폴트 설정이므로 여러분이 펌웨어를 버전 11.6 또는 그 이상으로 업그레이드 할 때 이것이 그대로 남아있을 수 있습니다 . 여러분의 네트워크에 가장 이상적인 초안 표준이 선택될 수 있도록 관리 시스템의 Authenticator Configuration 페이지의 설정을 확인하십시오.

단계 3 Server Name/IP 입력 필드에 RADIUS 서버의 이름과 IP 주소를 입력하십시오.

단계 4 RADIUS 서버가 인증에 사용할 포트 번호를 입력하십시오. 디폴트 설정인 1812는 시

스코의 RADIUS 서버, Cisco Secure ACS(Access Control Server) 및 다른 여러

RADIUS 서버에 대한 포트 설정입니다. 올바른 포트 설정을 하려면 서버 제품의 설명

서를 확인하십시오.

단계 5 Shared Secret 입력 필드에는 RADIUS 서버가 사용할 공유 비밀(shared secret)을

입력하십시오. 액세스 포인트의 공유 비밀은 RADIUS 서버의 공유 비밀과 일치해야 합

니다.

단계 6 인증이 실패하기 전에 액세스 포인트가 기다려야 하는 시간을 초단위로 입력하십시오.

서버가 이 시간 안에 응답하지 않으면 액세스 포인트는 목록에 있는 다음 인증 서버 (만

일 있다면)와 접촉을 시도합니다. 이전 서버의 장애시 다른 백업 서버들이 목록의 순서

대로 사용됩니다.

단계 7 서버 아래의 EAP Authentication을 선택하십시오. EAP Authentication 체크박스는

이 서버를 Cisco Aironet LEAP, EAP-TLS 및 EAP-MD5를 포함하는 모든 EAP

유형에 대한 인증자로 지정합니다.

단계 8 OK를 클릭하면 자동적으로 Security Setup 페이지로 돌아갑니다.

단계 9 AP Radio Data Encryption 페이지로 가려면 Security Setup 페이지에서 Radio

Data Encryption (WEP)를 클릭하십시오.

단계 10 EAP를 사용하는 클라이언트 장치가 액세스 포인트를 통하여 인증할 수 있도록 하려면

4-24

EAP 인증 설치

보안 설정

4-24

Windows XP를 통하여 EAP-TLS 또는 EAP-MD5를 사용하는 클라이언트 장치들이

액세스 포인트를 통하여 인증하는 것을 허용하려면 Open이나 Shared Key 아래의

Require EAP를 선택하십시오. Require EAP을 선택하지 않는다면, Windows XP를

통하여 EAP를 사용하는 클라이언트 장치들은 액세스 포인트로 인증할 수는 있으나

RADIUS 서버와 상호 EAP 인증을 수행하지는 못할 것입니다. LEAP을 사용하는

Cisco Aironet 클라이언트 장치들은 Require EAP가 선택되어있지 않더라도 액세스

포인트를 통하여 LEAP 인증을 수행합니다.

메모 Require EAP을 선택하면 EAP를 사용하지 않는 클라이언트 장치가 액세스 포인트를 통하여 인증하는 것이 금지됩니다.

표 4-4는 다양한 클라이언트 장치들에게 인증을 제공하는 액세스 포인트의 구성을 보여

줍니다.

표 4-4: 여러가지 클라이언트 구성에 대한 액세스 포인트 EAP 구성

단계 11 키 슬롯 1에 WEP 키가 입력되었는지 확인하십시오. 슬롯 1에 WEP 키가 설정되었다면

단계 15로 넘어가십시오. WEP 키가 설정되어있지 않다면 단계 12로 가십시오.

액세스 포인트 구성 인증하도록 허용되는 클라이언트 장치

네트워크-EAP 인증 • LEAP을 사 용 하 는 Cisco Aironet 클 라 이 언 트

장치

• LEAP을 사용하는 리피터 액세스 포인트

equire EAP 체크박스가 • EAP을 사용하는 Non-Cisco Aironet 장치

선택되어진 상태의 개방형 인증 • Windows XP를 통하여 EAP-TLS 또는 EAP-MD5를 사용하는

Cisco Aironet 장치

메모 액세스 포인트에서 Require EAP를 선택하면 EAP를 사용하지

않는 클라이언트 장치가 액세스 포인트를 사용하는 것이 금지됩

니다.

4-25

보안 설정

EAP 인증 설치

4-25

메모 WEP를 활성화하지 않고도 EAP를 사용할 수는 있지만 이 때 액세스 포인트와 클라이언트 장치 사이에 전송되는 패킷은 암호화되지 않을 것입니다.안전한 통신을 하려면 WEP을 항상 사용하십시오.

단계 12 Encryption Key 필드의 슬롯 1에 WEP 키를 입력하십시오. 액세스 포인트는 멀티캐

스트 데이터 신호 (액세스 포인트로부터 동시에 여러 클라이언트 장치로 전송되는 신호)

에 이 키를 사용합니다. 클라이언트 장치에는 이 키가 설정될 필요가 없습니다.

단계 13 Key Size 풀다운 메뉴에서 128-bit encryption을 선택하십시오.

단계 14 만일 슬롯 1에 있는 키가 WEP 키로 설정된 유일한 것이면 그것을 전송 키로 선택하십

시오.

단계 15 OK를 클릭하면 자동적으로 Security Setup 페이지로 돌아갑니다.

Cisco Secure ACS에서 EAP 활성화하기

Windows NT/2000 서버를 위한 Cisco Secure ACS (Cisco Secure Access

Control Server)는 액세스 서버, PIX 방화벽, 라우터, 무선 액세스 포인트 또는 브리

지와 같은 NAS (network access server) 장치로의 접근을 제어하여 사용자를 인증하

는 것을 돕는 네트워크 보안 소프트웨어입니다.

Cisco Secure ACS는 Windows NT 또는 Windows 2000의 서비스로서 작동하며 네

트워크에 접근하는 사용자들의 AAA (authentication, authorization, and

accounting : 인증, 권한부여 및 과금)를 관리합니다. Cisco Secure ACS는

Windows NT 4.0 Server와 Windows 2000 Server에서 가동됩니다.

메모 ACS에서 액세스 포인트를 설치하려면 ACS 버전 2.6 이상을 사용해야 합니다.

Cisco Secure ACS에서 액세스 포인트를 NAS(Network Access Server)로 등록하려

면 다음 단계를 따라가십시오:

단계 1 ACS 주메뉴에서 Network Configuration을 클릭하십시오.

단계 2 Add New Access Server를 클릭하십시오.

단계 3 Network Access Server Hostname 입력 필드에 액세스 서버로서의 액세스 포인트에

부여하고자 하는 이름을 입력하십시오.

4-26

EAP 인증 설치

보안 설정

4-26

메모 이미 존재하는 NAS를 구성할 때에는 이 필드는 보이지 않습니다.

단계 4 Network Access Server IP address 박스에 액세스 포인트의 IP 주소를 입력하십시오.

단계 5 Key 박스에 TACACS+ 또는 RADIUS NAS 및 Cisco Secure ACS가 데이터를 암호

화하기 위하여 사용하는 공유비밀을 입력하십시오. 올바른 운영을 위해서는 동일한 키

(대소문자 구별)가 액세스 포인트의 Authenticator Configuration 페이지와 Cisco

Secure ACS에 구성되어야 합니다.

단계 6 Authenticate Using 드롭다운 메뉴에서 RADIUS (Cisco Aironet)를 선택하십시오.

단계 7 변경사항을 저장하고 즉시 적용하려면 Submit + Restart 버튼을 클릭하십시오.

힌트 변경사항을 저장하고 나중에 이를 적용하려면 Submit를 클릭하십시오. 변경사항을적용할 준비가 되면 System Configuration > Service Control과 Restart를 클릭하십시오.

메모 서비스를 재시작하면 Logged-in User Report가 지워지고 Max Sessions 카운터가 재생되며 일시적으로 모든 Cisco Secure ACS 서비스가 중단됩니다.

세션 기반의 WEP 키 타임아웃 설정

세션 기반의 WEP 키에 대해 타임아웃 값을 설정할 수 있습니다. 타임아웃 시간이 지나

면 서버는 인증된 클라이언트 장치들에게 새로운 동적인 WEP 키를 발급합니다.

메모 액세스 포인트에서 WEP 키 해싱을 활성화하면 세션 기반의 WEP 키 타임아웃을 설정

할 팔요가 없습니다. 키 해싱과 세션 키 타임아웃 양쪽을 동시에 사용할 수는 있지만,

이것은 중복된 보호를 제공합니다.

4-27

보안 설정

EAP 인증 설치

4-27

여러분의 무선 네트워크에 가장 바람직한 세션 키 타임아웃 값을 선택하려면 몇 가지 요

소들을 고려해야 합니다. 타임아웃 값을 선택하는 것에 관한 지침을 보려면 Product

Bulletin 1515: Cisco Wireless LAN Security Bulletin을 참조하십시오. Product

Bulletin 1515를 보려면 다음 URL을 방문하십시오:

http://www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodlit/1515_pp.htm

세션 기반의 WEP 키에 대한 타임아웃 값을 설정하는 단계는 다음과 같습니다:

단계 1 ACS 주메뉴에서 Group Setup을 클릭하십시오.

단계 2 Group 드롭다운 메뉴에서 WEP 키/세션 타임아웃을 변경하고자 하는 그룹을 선택하십

시오. Default 그룹이 통상 여러분이 변경하고자 하는 그룹일 것입니다.

단계 3 Edit Settings를 클릭하십시오.

단계 4 IETF RADIUS Attributes 설정까지 스크롤해서 내려가십시오.

단계 5 [027] Session-Timeout 에 대한 체크박스를 선택하고 [027] Session-Timeout 입력

필드에 여러분의 타임아웃 값을 초단위로 입력하십시오.

단계 6 Submit + Restart를 클릭하면 타임아웃 값이 활성화됩니다.

리피터 액세스 포인트를 LEAP 클라이언트로 설치하기

액세스 포인트를 리피터로 구성하면 (유선 LAN에 연결되어 있지 않은 액세스 포인트)

다른 무선 클라이언트 장치들처럼 리피터 액세스 포인트도 네트워크에 인증하도록 설치

될 수 있습니다. 리피터 액세스 포인트에 네트워크 사용자 이름과 암호를 제공한 후에는

리피터 액세스 포인트는 시스코의 무선 인증 방법인 LEAP을 사용하여 네트워크에 인증

하며 동적인 WEP 키를 수령하고 사용합니다.

리피터 액세스 포인트를 설치하는 방법에 대해서는“리피터 액세스 포인트 설치”절을

참조하십시오.

리피터 액세스 포인트에서 LEAP 인증을 활성화하는 단계는 다음과 같습니다:

단계 1 새로운 사용자에 대하여 사용자 이름과 암호를 설정하듯이 여러분 네트워크에 대해서 사

용자 이름과 암호를 설정하십시오. 리피터 액세스 포인트는 인증시 이 이름과 암호를 사

용합니다.

4-28

EAP 인증 설치

보안 설정

4-28

단계 2 AP Radio Identification 페이지로 가려면 다음 경로를 따라가십시오:


b. Setup 페이지에서 Network Ports아래에 있는 AP Radio 행의 Identification을

클릭하십시오.

그림 4-9 는 AP Radio Identification 페이지를 보여줍니다.

그림 4-9: AP Radio Identification 페이지

단계 3 단계 1에서 액세스 포인트에 설정한 네트워크 사용자 이름을 LEAP User Name 입력

필드에 입력하십시오.

단계 4 단계 1에서 액세스 포인트에 설정한 네트워크 암호를 LEAP Password 입력 필드에 입

력하십시오.

단계 5 OK를 클릭하십시오.

단계 6 리피터 액세스 포인트에서 Network-EAP를 활성화하려면“액세스 포인트에서 EAP를

활성화하기”절의 단계들을 수행하십시오.

리피터는 재부팅하면 LEAP 인증을 수행하고 루트 액세스 포인트에 접속합니다.

4-29

보안 설정

MAC 기반의 인증 설치

4-29


MAC 기반 인증은 특정한 MAC 주소를 가지고 있는 클라이언트 장치에게만 액세스 포

인트를 통한 접속과 데이터 전달을 허용합니다. MAC 주소 승인 목록에 포함되어 있지

않은 MAC 주소를 가진 클라이언트 장치는 액세스 포인트와 접속할 수 없습니다. MAC

주소 승인 목록을 액세스 포인트 관리 시스템과 MAC 기반 인증에 사용되는 서버에 생

성할 수 있습니다.

본 절에서는 다음에 관해 설명합니다:

• 액세스 포인트에서 MAC 기반 인증을 활성화하기

• Cisco Secure ACS에서 MAC 기반 인증을 활성화하기

액세스 포인트에서 MAC 기반 인증을 활성화하기

액세스 포인트에 MAC 기반 인증을 설치하고 활성화하는 단계는 다음과 같습니다:

단계 1 Address Filters 페이지로 가려면 다음의 경로를 따라가십시오:


b. Setup 페이지에서 Associations 아래에 있는 Address Filters를 클릭하십시오.

그림 4-10 은 Address Filters 페이지를 보여줍니다.

4-30


보안 설정

4-30

그림 4-10: Address Filters 페이지

메모 단계 2와 단계 3은 액세스 포인트 관리 시스템에 MAC 주소를 입력하는 것을 설명합니다. 인증 서버가 사용하는 목록에만 MAC 주소를 입력하려고 한다면 단계 4로넘어가십시오.

단계 2 Dest MAC Address 필드에 MAC 주소를 입력하십시오. 주소를 입력할 때 숫자 한 쌍

마다 콜론으로 분리하여 입력할 수도 있고 (예를 들면 00:40:96:12:34:56), 분리하는

문자 없이 이어서 (예를 들면004096123456) 입력할 수도 있습니다.

Dest MAC Address 필드 아래에 있는 Allowed 가 선택되어 있는지 확인하십시오.

단계 3 Add를 클릭하십시오. Existing MAC Address Filters 목록에 MAC 주소가 나타납니

다. 이 MAC 주소는 여러분이 삭제할 때까지 관리 시스템에 남아있습니다. 목록에서

MAC 주소를 제거하려면 MAC 주소를 선택한 후 Remove를 클릭하십시오.

메모 승인된 주소 목록에 여러분 자신의 MAC 주소를 입력하는 것을 잊지 마십시오.

4-31

보안 설정


4-31

단계 4 인증 서버가 사용하는 MAC 주소 목록를 생성할 계획이라면 Lookup MAC Address

on Authentication Server if not in Existing Filter List 라고 불리는 옵션에

Yes를 선택하십시오. 이 옵션이 활성화되면 액세스 포인트는 클라이언트 장치가 인증을

하고자 할 때 인증 서버의 MAC 주소 목록을 체크합니다.

단계 5 액세스 포인트 관리 시스템에 MAC 주소의 목록을 저장하려면 Apply를 클릭하십시오.

단계 6 Authenticator Configuration 페이지로 가려면 Authentication Server 링크를 클릭

하십시오. 그림 4-11 은 Authenticator Configuration 페이지를 보여줍니다.

그림 4-11: Authenticator Configuration 페이지

인증 서비스를 위해 4개까지의 서버를 설정할 수 있으므로 백업 인증 서버도 설치할 수

있습니다. 동일한 서비스에 대하여 하나 이상의 서버를 설정할 경우 목록의 첫번째에 있

는 서버가 해당 서비스에 대한 프라이머리 서버가 되고 다른 서버들은 이전 서버가 가동

이 중단될 경우 목록에 있는 순서대로 사용됩니다.

단계 7 Server Name/IP 입력 필드에 인증 서버의 이름 또는 IP 주소를 넣으십시오.


보안 설정

4-32

단계 8 서버가 인증에 사용할 포트 번호를 입력하십시오. 디폴트 설정인 1812는 시스코의

RADIUS 서버, Cisco Secure ACS(Access Control Server) 및 다른 여러 RADIUS

서버에 대한 포트 설정입니다, 올바른 포트 설정을 하려면 서버 제품의 설명서를 확인하

십시오.

단계 9 Shared Secret 입력 필드에는 서버가 사용할 공유 비밀을 입력하십시오. 브리지의 공유

비밀은 서버의 공유 비밀과 일치해야 합니다.

단계 10 Timeout 입력 필드에 액세스 포인트가 프라이머리 인증 서버와 접속하려고 시도해야 하

는 시간을 초단위로 입력하십시오. 만일 프라이머리 인증 서버가 주어진 시간 내에 응답

하지 않으면 액세스 포인트는 백업 인증 서버가 있는 경우 그 서버와 접속을 시도합니

다.

단계 11 서버 아래의 MAC Address Authentication을 선택하십시오. 만일 백업 인증 서버를

설치한다면, 백업 서버 아래의 MAC Address Authentication도 선택하십시오.

단계 12 OK를 클릭하시면 자동적으로 Setup 페이지로 돌아갑니다.

단계 13 인증 서버를 위한 MAC 주소 승인 목록을 생성하십시오. 승인된 클라이언트의 MAC 주

소들을 서버의 데이터베이스에 사용자로서 모두 입력하십시오. “Cisco Secure ACS에서

MAC 기반 인증을 활성화하기”절은 RADIUS 서버를 위해 MAC 주소 목록을 생성하

는 방법을 설명합니다.

메모 인증 서버의 목록에 여러분 자신의 MAC 주소를 포함시키는 것을 잊지 마십시오.

단계 14 Setup 페이지 아래쪽에 있는 Network Ports 섹션의 AP Radio 행의 Advanced를 클

릭하십시오. AP Radio Advanced 페이지가 나타납니다. 그림 4-12는 AP Radio

Advanced 페이지를 보여줍니다.

4-33

보안 설정


4-33

그림 4-12: AP Radio Advanced 페이지

단계 15 MAC 기반의 인증을 필요로 하는 모든 인증 유형에 대하여 Default Unicast Address

Filter의 풀다운 메뉴에서 Disallowed를 선택하십시오.

예를 들어 액세스 포인트가 개방형 및 네트워크-EAP 인증 양쪽 모두로 구성되면, 개방

형에 대한 Default Unicast Address Filter는 Disallowed로 설정하고 네트워크-

EAP에 대한 Default Unicast Address Filter는 Allowed로 설정할 수 있습니다. 이

러한 구성에서는 개방형 인증을 사용하는 클라이언트 장치들은 반드시 MAC 주소를 사

용하여 인증하여야 되지만 LEAP 사용 클라이언트 장치는 MAC 주소를 사용하여 인증

하지 않아도 됩니다.

4-34


보안 설정

4-34

모든 클라이언트 장치가 MAC 주소를 사용하여 인증하도록 강제하려면, 모든 활성화된

인증 유형에 대하여 Disallowed를 선택하십시오.

Default Unicast Address Filter를 disallowed로 설정하면, 액세스 포인트는 인증

서버 또는 액세스 포인트의 Address Filters 페이지에 허용되는 것으로 기록된 MAC

주소로 가는 패킷을 제외한 모든 유니캐스트 트래픽을 폐기합니다.

메모 Default Unicast Address Filter를 disallowed로 설정할 때 액세스 포인트에 접속해 있는 클라이언트 장치들이 즉각적으로 영향을 받지는 않습니다.

단계 16 OK를 클릭하면 자동적으로 Setup 페이지로 돌아갑니다. 액세스 포인트에 접속한 클라

이언트 장치들은 그들의 MAC 주소가 허용된 주소 목록에 포함되어 있지 않는 한 인증

을 할 수가 없게 됩니다.

Cisco Secure ACS에서 MAC 기반 인증을 활성화하기

Windows NT/2000 서버를 위한 Cisco Secure ACS (Cisco Secure Access Control

Server)는 액세스 포인트가 보내온 MAC 주소를 인증할 수 있습니다. 액세스 포인트는

ACS와 함께 Secure PAP(Secure Password Authentication Protocol)를 사용하여

MAC 주소를 인증합니다. 여러분은 승인된 MAC 주소 목록을, 클라이언트 장치의

MAC 주소를 사용자 이름과 암호로 하여 사용자로서 ACS에 입력합니다. 인증 서버의

MAC 주소 승인 목록은 인증 서버에 있을 수도 있고 서버가 접근할 수 있는 다른 네트

워크 위치에 있을 수도 있습니다.

Cisco Secure ACS에서 MAC 주소 승인 목록을 생성하는 단계는 다음과 같습니다:

단계 1 ACS 주 메뉴에서 User Setup을 클릭합니다.

단계 2 User 텍스트 박스가 나타나면 목록에 추가하려는 MAC 주소를 입력합니다.

4-35

보안 설정

백업 인증 서버 설치

4-35

메모 액세스 포인트는 소문자를 사용하여 서버로 MAC 주소 쿼리를 보냅니다.만일 서버가 사용자 이름과 암호에 대소문자 구별을 허용한다면 서버의 데이터베이스에 소문자로 MAC 주소를 입력해야합니다.

단계 3 User Setup 화면이 나타나면 Cisco Secure PAP Password와 Confirm Password

입력 필드에 MAC 주소를 입력합니다.

단계 4 CHAP/MS-CHAP/ARAP Password 와 Confirm Password 입력 필드에 MAC 주

소를 입력합니다.

단계 5 Separate (CHAP/MS-CHAP/ARAP) 체크박스를 선택합니다.

단계 6 Submit를 클릭합니다. MAC 주소 승인 목록에 추가하고자 하는 모든 MAC 주소에 대

하여 위의 단계를 되풀이합니다.

인증 서버의 목록에 입력한 MAC 주소는 클라이언트 장치가 액세스 포인트에 연결되면

액세스 포인트의 주소 필터 목록에 나타납니다. 서버의 목록에 있는 MAC 주소는 클라

이언트 장치가 연결을 해제하거나 액세스 포인트가 리셋되면 액세스 포인트의 목록에서

사라집니다.

메모 인증 서버의 목록에 여러분 자신의 MAC 주소를 포함시키는 것을 잊지 마십시오.


Authenticator Configuration 페이지에서 인증 서비스를 위해 4개까지의 서버를 설

정할 수 있으므로 백업 인증 서버도 설치할 수 있습니다. 동일한 서비스에 대하여 하나

이상의 서버를 설정할 경우 목록의 첫번째에 있는 서버가 해당 서비스에 대한 프라이머

리 서버가 되고 다른 서버들은 이전 서버가 가동이 중단될 경우 목록에 있는 순서대로

사용됩니다. 프라이머리 서버의 장애시 백업 서버가 응답하면 액세스 포인트는 백업 서

버를 사용하여 새로운 트랜잭션을 계속합니다.

4-36


보안 설정

4-36

백업 인증 서버 설치 단계는 다음과 같습니다:

단계 1 프라이머리 인증 서버를 설치하려면“EAP 인증 설치”절 또는“MAC 기반의 인증 설

치”절 에 있는 단계들을 수행하십시오.

단계 2 Authenticator Configuration 페이지에서 프라이머리 서버에 대하여 이미 입력이 완

료된 항목들의 아래에 있는 입력 필드 묶음들 중 하나에 백업 서버에 관한 정보를 입력

하십시오:

a. Server Name/IP 입력 필드에 백업서버의 이름 또는 IP 주소를 넣으십시오.

b. 서버가 인증에 사용할 포트 번호를 입력하십시오. 디폴트 설정인 1812는 시스코의

RADIUS 서버, Cisco Secure ACS(Access Control Server) 및 다른 여러

RADIUS 서버에 대한 포트 설정입니다. 올바른 포트 설정을 위해 서버 제품의 설명

서를 확인하십시오.

c. Shared Secret 입력 필드에는 서버가 사용할 공유 비밀을 입력하십시오. 브리지의

공유 비밀은 서버의 공유 비밀과 일치해야 합니다.

d. Timeout 입력 필드에 액세스 포인트가 백업 서버와 접속하려고 시도해야 시간을 초

단위로 입력하십시오. 만일 백업 서버가 주어진 시간 내에 응답하지 않으면 액세스

포인트는 목록에 있는 다음 백업 서버와 접속을 시도합니다. 만일 설정된 백업 서버

가 더 이상 없으면 액세스 포인트는 원래의 프라이머리 인증 서버와 접속을 시도합니

다.

e. 프라이머리 서버에서 선택된 것과 동일한 인증 방법을 선택하십시오.

단계 3 OK를 클릭하시면 자동적으로 Setup 페이지로 돌아갑니다. 그림 4-13 는

Authenticator Configuration 페이지에서 프라이머리 인증 서버와 백업 서버를 구성

한 모습을 보여주고 있습니다.

보안 설정

관리자 권한 부여 설정

4-37

그림 4-13: 프라이머리 및 백업 서버와 Authenticator Configuration 페이지


관리자 권한 부여는 액세스 포인트 관리 시스템을 권한이 없는 접근으로부터 보호합니

다. 액세스 포인트 관리 시스템을 보거나 변경할 수 있도록 권한이 부여된 사용자의 목

록을 생성하려면 액세스 포인트의 사용자 관리 페이지들을 사용하십시오. 사용자 관리

페이지로 가려면 Security Setup 페이지를 사용하십시오. 그림 4-14 는 Security

Setup 페이지를 보여줍니다.

메모 액세스 포인트 관리 시스템을 보거나 변경할 수 있도록 권한이 부여된 사용자의 목록을 생성하는 것은 클라이언트 장치가 액세스 포인트와 접속하는 것에 영향을 미치지않습니다.

4-38


보안 설정

4-38

그림 4-14: Security Setup 페이지

Security Setup 페이지로 가려면 다음 경로를 따라가십시오:



권한이 있는 관리 시스템 사용자 목록 생성하기

액세스 포인트 관리 시스템을 보거나 변경할 수 있도록 권한이 부여된 사용자의 목록을

생성하려면 다음 단계들을 수행하십시오:

단계 1 Security Setup 페이지로 가는 경로를 따라가십시오.

단계 2 Security Setup 페이지에서 User Information을 클릭하십시오. 그림 4-15 는 User

Information 페이지를 보여주고 있습니다.

그림 4-15: User Information 페이지

4-39

보안 설정


4-39

단계 3 Add New User를 클릭하십시오. User Management 윈도우가 나타납니다. 그림 4-

16 은 User Management 윈도우를 보여주고 있습니다.

그림 4-16: User Management 윈도우

단계 4 새로운 사용자의 이름과 암호를 입력하십시오.

단계 5 새로운 사용자에게 부여하고자 하는 권한을 선택하십시오. 권한은 다음과 같습니다:

• Write-사용자는 시스템 설정을 변경할 수 있습니다. 사용자에게 Write 권한을 주면그 사용자는 자동적으로 Admin 권한을 갖게 됩니다.

• SNMP-사용자 이름을 SNMP 커뮤니티 이름으로 지정합니다. SNMP 관리 스테이션은 SNMP 오퍼레이션을 수행하는데 이 SNMP 커뮤니티 이름을 사용합니다.SNMP 커뮤니티가 올바르게 운영되기 위하여 User Manager가 활성화될 필요는없습니다.

메모 SNMP 체크박스를 선택하는 것이 사용자에게 SNMP write 권한을주지는 않습니다; 그것은 단지 그 사용자 이름을 SNMP 커뮤니티 이름으로 지정하는 것 뿐입니다. 그 사용자 이름으로 수행되는 SNMP 오퍼레이션은 사용자에게 부여된 다른 권한에 따라 제한을 받습니다.

• Ident-사용자는 액세스 포인트의 아이덴티티 설정(IP address 및 SSID)을 바꿀 수있습니다. 사용자에게 Ident 권한을 부여하면 그 사용자는 자동적으로 Write와Admin 권한을 가지게 됩니다.

• Firmware-사용자는 액세스 포인트의 펌웨어를 업데이트할 수 있습니다.

4-40


보안 설정

4-40

Firmware 권한을 사용자에게 부여하면 그 사용자는 자동적으로 Write와 Admin

권한을 가지게 됩니다.

• Admin-사용자는 대부분의 시스템 스크린을 볼 수 있습니다. 사용자에게 모든 시스템 스크린을 볼 수 있고 시스템을 변경할 수 있는 권한을 주려면 Write 권한을 선택

하십시오.

단계 6 Apply를 클릭하십시오. User Management 윈도우가 사라지고 User Information

페이지의 사용자 목록에 새로운 사용자의 이름이 나타납니다.

단계 7 Security Setup 페이지로 돌아가기 위해 브라우저의 Back 버튼을 클릭하십시오.

Security Setup 페이지에서 User Manager를 클릭하십시오. User Manager Setup

페이지가 나타납니다. 그림 4-17 은 User Manager Setup 페이지를 보여주고 있습니

다.

그림4-17: User Manager Setup 페이지

단계 8 액세스 포인트 관리 시스템의 사용을 사용자 목록에 있는 사용자들에게로 제한하려면

User Manager: Enabled를 선택하십시오.

메모 사용자 매니저를 가동하기 전에 write, identity 및 firmware 권한을 가진 관리자 유저를 생성해 놓아야 합니다.

관리 시스템에 더 많은 제한을 두려면 User Manager Setup페이지의 다른 설정들을

사용하십시오:

• Allow Read-Only Browsing without Login-모든 사용자가 액세스 포인트의 기본화면들을 볼 수 있게 하려면 yes를 선택하십시오. 모든 액세스 포인트 화면에 대한 접근을 사용자 목록에 있는 사용자들에게로 제한하려면 no를 선택하십시오.

4-41

보안 설정


4-41

• Protect Legal Credit Page- 사용자 목록에 있는 사용자들만 Legal Credits 페이지로접근할 수 있게 하려면 yes를 선택하십시오. 모든 사용자가 Legal Credits 페이지를 볼수 있게 하려면 no를 선택하십시오.

단계 9 OK를 클릭하면 자동적으로 Security Setup 페이지로 돌아가게 됩니다.

보안설정 - cisco · 2008. 3. 16. · 그림4-2: eap 인증의순서...

Documents