You cannot see this page without javascript.

진주성 블로그 방문하기

보안 WLAN, VLAN

2017.11.01 07:32

구피천사 조회 수:189

WLAN

 

LAN 에서 데이터 송수신을 수행할 때 Switch 라는 포워드(Forward, 입력링크로 들어온 프레임을 출력링크를 전송) 장비가 있다.

수신 받은 프레임(Frame)을 처리하는 방식에 따라 Cut through, Store and Forward, Fragment Free 방식이 존재한다

 

- Cut through

 목적지의 MAC Address 만 확인후 해당 포트로 전송

- Store and Forward

 전체 Frame을 모두 저장 후에 Error Check를 수행 후 전송

- Fragment Free

 Modify Cut Through
 Frame의 64bit를 검사, Header의 Error 를 검사 후 전소
 512Bit가 수신 될 때까지 대기 후 에러가 존재하지 않으면 전송하는 방식

 

  • 무선 LAN 물리계층 프로토콜

IEEE 802.11a : 5GHz 주파수 대역, OFDM 변조방식 , 최대 54Mbps 전송속도

IEEE 802.11b : 2.4GHz 주파수 대역, CCK/PBCC 변조방식 , 최대 11Mbps 전송속도

IEEE 802.11g : 2.4GHz 주파수 대역, OFDM 변조방식 , 최대 54Mbps 전송속도

IEEE 802.11n : 최대 600Mbps 전송속도

 

  • 무선 LAN 보안 프로토콜

IEEE 802.11i

802.1x, TKIP, AES 등을 도입하여 무선 LAN 인증및 암호화   
보안 취약점을 개선한 MAC 기능 개선              

IEEE 802.1x

Port Based Network Access 표준안으로 유선포트의 인증을 위한 표준 EAP(Extensible Auth Protocol)을 
정의함 - 특정 인증 메커니즘과 무관하게 인증 메시지를 교환하기 위한 프로토콜

CCK 방식 : 전송하는 비트를 사전에 약속된 8bit 심불로 바뀌어 전송하는 방식

PBCC 방식 : 부호화 방식으로 CCK 와 비교해 부호화 이득이 우수함

MAC(Media Access Control) : 네트워크 장비에 부여된 유일한 식별 번호

  • SSID ( Service Set ID )
 무선 LAN을 통해서 전송되는 패킷의 헤더에 붙여지는 32비트 고유 식별자
 네트워크 식별자로 사용됨
 모든 AP 나 무선장치들은 반드시 동일한 SSID 를 사용해야 함
 무선 LAN 서비스 영역을 구분하기 위한 식별자로 AP(Access Point)는 동일한
 SSID 를 가진 클라이언트만 접속을 허용하는 방법
  • WEP (Wired Equivalent Privacy)
 RC4 기반의 스트림 암호화 기법을 사용하고 정적키를 사용하여 데이터를 암호화 수행
 무작위 공격을 통해서 키를 파악할 수 있는 보안 취약점 가짐
 IEEE 802.11b 에서 표준화한 데이터 암호화 방식
 RC4 대칭형 암호화 알고리즘을 사용한 40Bit 키를 사용
 24Bit 길이의 초기화 벡터(IV:Initialization Vector) 에 연결되어 64bit 혹은 128Bit 
 WEP 키 열 생성하여 해당 키를 통해서 암호화를 수행
 키 열을 활용하여 정적으로 키를 사용하므로 무작위 공격과 같은 방법으로 키를 유츄할수 있음
  • WEP 구조 (암호화된 프레임)
 MAC Header : IV / pad / Key ID (4byte) : Data 암호화 : ICV 암호화(4byte) : FCS (4byte)

 

  • WPA(Wi-Fi Protected Access): IEEE 802.1x/EAP
 WEP의 정적 키관리 문제점을 해결하기 위해서 128bit 기반의 동적 키를 사용한
 암호화와 복호화를 수행하여 이 때 사용되는 동적키를 TKIP(Temporal Key Integrity Protocol)이라한다.
 WEP의 정적 키 관리에 대한 문제점을 해소한다
 128Bit 동적 암호화 및 복호화를 수행한다
 TKIP(Temporal Key Integrity Protocol) 방식으로 사용자, 네트워크 세션, 전송 프레임 별로 키를 동적으로 생성한다.

 

  • WPA2(Wi-Fi Protected Access): IEEE 802.11i
 2세대 WPA 로 보안기능이 개선 되었으며 AES(Advanced Encryption Standard) 암호화, 사전 인증 및 캐시로 구성
 CCMP(Counter Mode Encryption Protocol)는 RC4 암호화 알고리즘 대신에 TKIP 블록 암호화 방법을 사용하고 AES 암호화 사용
 즉, 블록 암호화 방식에 인증을 강화하였다.

 

  • 무선 LAN 인증 및 암호화 차이점
        키분배 방식     장비 인증      사용자인증    암호화
 WEP    정적키(공유키)   가능(약함)    공유키        RC4 
 WPA    정적/동적(TKIP) 가능          802.1x       RC4
 WPA2   정적/동적(CCMP) 가능          802.1x       AES

 

  • 무선 LAN 공격기법
 WPA 는 인증시에 4-Way Handshaking를 진행하고 이 과정 시에 사전파일을 대입하여 패스워드를 복호화 한다
 iwconfig : 무선 랜카드 확인
 Monitor 모드 : airmon-ng start wlan0
 Sniffing : airodump-ng wlan0
 DDos 공격 : aireplay-ng -3 -b AP-MAC -h LAN-MAC wlan0
 Crack : aircrack-ng -b AP-AMC -w DIC-FILE PACKET-FILE

 

VLAN(Virtual Local Network)

브로드케스트 제어
보안성 향상
트렁크(Trunk)
  • VLAN Trunk 방법
ISL (Inter Switch Link) : CISCO 기술, Fast Ethernet, Gigabit Ethernet 링크에만 사용
                          스위치 포트, 라우터 인터페이스, 서버 인터페이스 카드에서 서로 트렁크하기 위해서 사용
IEEE 802.1q : IEEE 프레임 태킹을 위한 표준방법
              VLAN 을 구별하기 위해서 프레임에 실제로 필드를 넣음
              CISCO 스위치 링크와 다른 벤더의 스위치를 트렁킹 하려면 IEEE 802.1q를 사용해야 된다
LANE (LAN emulation) : 다중 VLAN 을 ATAM과 연결할 때 사용
802.10(FDDI) : VLAN 정보를 전송 할때 VLAN 을 구별하기 위해서 프레임 헤더의 SAID 필드를 사용

번호 제목 날짜 조회 수
65 BCP 2017.11.01 588
» WLAN, VLAN 2017.11.01 189
63 ISMS - 정보보호관리체계 2017.11.01 169
62 위험관리 2017.11.01 218
61 법규 - 추가작성 2017.11.01 113
60 개발보안 file 2017.11.01 563
59 어플리케이션 보안 file 2017.11.01 133
58 시스템보안 file 2017.11.01 1314
57 DDos 공격대응 가이드 - kisa 자료 file 2017.10.31 290
56 블록체인 file 2017.10.31 161
55 route access-list file 2017.10.30 590
54 전자서명의 원리 file 2017.10.30 183
53 사이버 침해사고 대응 절차 file 2017.10.29 235
52 스니핑용 promisc 모드 file 2017.10.29 320
51 DDoS 공격도구 file 2017.10.18 221
진주성 블로그 방문하기
CLOSE