부록 D: WPA 지원

게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일

소개

인증서 서비스를 사용한 무선 LAN 보안 솔루션은 디자인 속성상 WLAN용 WPA(Wi ? Fi Protected Access) 보안과 호환됩니다. WPA 호환성은 이 설명서 단계에 따라 구성된 랩에서 테스트하여 검증한 것입니다. 이 문서는 이 솔루션에서 WPA 사용 방식을 평가할 때 고려해야 할 몇 가지 주제를 다룹니다.

WEP 및 WPA 개요

WEP(Wired Equivalent Privacy)는 IEEE(Institute for Electrical Engineers) 1999 802.11 무선 네트워크 표준의 일부로 정의되어 유선 시스템과 동등한 수준의 보호 기능을 제공합니다. 기본(또는 정적) WEP는 미리 공유한 키를 기반으로 무선 트래픽용 암호화 및 액세스 제어 기능을 제공합니다. WEP는 집요한 공격자가 이 기본 802.11 보안망을 뚫을 수 있는 여러 취약점이 있는 것으로 알려졌습니다.

WLAN 업계는 WPA라는 수준 높은 보안 솔루션을 제공하여 WEP의 취약점에 대응합니다. WPA는 표준 기반 상호 운용이 가능한 보안 규격으로 WLAN 시스템의 데이터 보호 및 액세스 제어 수준을 높입니다. WPA 첫 번째 릴리스는 802.11i 표준의 초기 하위 집합으로 앞으로 나올 버전과 호환성을 유지할 것입니다. 802.11i는 현재 WPA 2.0으로 릴리스될 예정입니다.

발표 당시 많은 조직이 WPA를 지원하지 않는 수많은 WLAN 하드웨어 배포한 상태였습니다. 이 솔루션은 이전 하드웨어와 신형 WPA 호환 장비를 모두 지원한다는 점이 중요합니다. WPA는 동적 WEP보다 높은 수준의 보안을 제공하지만 동적 WEP도 모든 하드웨어가 WPA를 지원하도록 업데이트되기 전에는 현실성 있는 솔루션입니다.

WPA가 솔루션에 미치는 영향

WPA를 인증서 서비스를 사용한?무선 LAN 보안 솔루션에서 WEP의 대안으로 생각할 수 있습니다. 솔루션 구성 요소 대부분이 WPA 도입의 영향을 받지 않습니다. 솔루션은 WPA 기능의 네트워크 장비를 WEP 기반 장비와 유사한 방식으로 구현한 다음 클라이언트 컴퓨터에 변경을 적용함으로써 WPA와의 호환성 테스트를 무사히 마쳤습니다.

WPA가 네트워크 인증에 802.1X 프로토콜을 사용하기 때문에 RADIUS(Remote Authentication Dial-In User Service), Microsoft® Certificate Services 및 대부분의 Microsoft Active Directory® 디렉터리 서비스 설정이 구성한 대로 동작합니다. 한 가지 중요한 고려 사항은 Windows Server 2003 서비스 팩 1을 실행하는 도메인 컨트롤러가 최소한 한 대 있는 경우 그룹 정책을 사용하여 WPA별 설정을 구성하는 것만 가능하다는 점입니다(다른 방법은 Windows Server 2003을 실행하는 도메인 컨트롤러가 아닌 도메인 구성원에 그룹 정책 설정을 구성하는 것입니다). 이 문제에 관한 상세한 정보는 이 부록 뒷부분을 참조하십시오. 다음 표에 이 솔루션에 WPA를 사용할 때 고려해야 할 사항이 나와 있습니다.

표 D.1: 솔루션 구성에 필요한 고려 사항

솔루션 항목 고려 사항 설명
Microsoft Windows® XP 하드웨어 드라이버 NIC(네트워크 인터페이스 카드) 제조업체에 문의하여 WPA 지원 및 Windows XP 클라이언트 드라이버 사용을 위해 어떤 카드를 업그레이드할 수 있는지 평가해야 합니다. WHQL(Windows Hardware Quality Lab) 테스트를 통과한 드라이버를 찾습니다. Windows Wireless Zero Configuration 서비스의 드라이버 지원으로 카드 펌웨어가 WPA를 지원하도록 동적으로 업데이트할 수 있습니다. WZC 서비스의 드라이버 지원 여부를 제조업체에 확인하십시오.
Windows XP 클라이언트 구성 클라이언트 구성 설정을 변경해야 합니다. 이 솔루션은 WPA를 인증 방법으로, TKIP(임시 키 통합 프로토콜)를 암호화 프로토콜로 선택하여 테스트하였습니다. TKIP는 암호화 방법으로 WEP를 대체하고 WPA는 인증 방법으로 802.1X를 필요로 합니다.
정기적인 클라이언트 재인증 이 솔루션은 RADIUS 설정을 사용하여 클라이언트가 10분마다 재인증을 수행하여 WEP 키를 다시 생성하도록 합니다. TKIP는 각 패킷을 rekey합니다. 따라서 WEP 키를 위한 클라이언트 재인증 요구 사항이 필요없게 됩니다. 10분마다 이 설정을 적용하는 것은 Microsoft IAS(인터넷 인증 서비스) 서버에 불필요한 부하를 만듭니다. WPA를 사용하면 세션 시간 제한을 10시간으로 변경할 수 있습니다.
무선 네트워크 그룹 정책 SP1 이전 Windows Server 2003과 함께 제공되는 기존 무선 네트워크 그룹 정책은 WPA가 나오기 전에 개발되었기 때문에 클라이언트 WPA 설정을 구성할 수 없습니다. Windows Server 2003 SP1을 사용하여 그룹 정책 WPA 설정을 구성해야 합니다.
그렇지 않으면 무선 클라이언트 설정을 수동으로 구성해야 합니다.

보안 무선 LAN 솔루션의 WPA 구성

다음의 높은 수준의 단계를 수행하여 솔루션이 WPA를 사용하도록 구성할 수 있습니다.

  1. 기존 무선 AP(액세스 지점)의 펌웨어를 WPA를 지원하도록 업그레이드하거나 WPA를 지원하는 새 무선 AP를 배포합니다. 이 설명서의 지침에 따라 반드시 새 무선 AP를 IAS 서버에 RADIUS 클라이언트로 추가합니다. 제조업체 규격에 따라 무선 AP에 WPA 설정을 구성합니다.

  2. WLAN NIC(네트워크 인터페이스 카드) 드라이버를 WPA를 지원하는 버전으로 업그레이드합니다. Microsoft는 많은 WLAN 카드 제조업체와 협력하여 어댑터 카드 드라이버를 통한 펌웨어 업그레이드를 지원합니다.

  3. 무선 컴퓨터를 무선 네트워크 그룹 정책을 적용하는 보안 그룹에서 제거합니다. Windows Server 2003 SP1을 사용하여 새 GPO(그룹 정책 개체)를 만들고 WPA의 무선 클라이언트 설정을 구성합니다. WPA를 인증 형식으로, TKIP를 암호화 형식으로 지정합니다. 추가 보안 그룹을 만들고 그룹에 WPA GPO의 정책 적용 권한을 부여합니다. 이 그룹을 사용하여 WPA 설정을 받을 클라이언트를 제어합니다. Windows Server 2003 SP1을 배포하지 않은 경우 WPA 무선 클라이언트 설정을 수동으로 구성해야 합니다.

  4. WPA를 사용한 WLAN 인증 테스트 IAS는 IAS를 원본으로 이벤트 ID를 1로 하여 시스템 이벤트 로그 메시지를 기록해야 합니다. 이는 인증이 성공했음을 나타냅니다.??

추가 정보

이 부록에 상세히 기술된 주제에 관한 추가 정보를 얻으려면 다음 참고 자료를 사용하십시오.

페이지 위쪽