9장: 무선 LAN 보안 인프라 구현

게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일

이 페이지에서

소개
802.1X WLAN 계획 워크시트
보안 WLAN을 위한 환경 준비
WLAN 인증 인증서 구성 및 배포
WLAN 액세스 인프라 구성
사용자 및 컴퓨터의 WLAN 액세스 사용
802.1X 네트워킹용 무선 AP 구성
테스트 및 확인
요약

소개

이 장은 Microsoft® Windows Server™ 2003 및 Microsoft Windows® XP Service Pack 1(SP1)을 기반으로 하여 802.1X 프로토콜로 무선 LAN(WLAN) 보안을 구현하는 방법을 상세하게 안내합니다. 이 장에서 설명할 내용은 Active Directory® 디렉터리 서비스 보안 그룹 구성, WLAN 인증용 X.509 인증서 배포, Microsoft IAS(인터넷 인증 서비스) 서버 설정 수정, WLAN 그룹 정책 배포 및 무선 액세스 지점(AP) 구성 팁 등이 있습니다. 이 장에서는 802.1X 및 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)를 사용하여 WLAN 보안을 구현하는 데 필요한 모든 설정을 다룹니다.

이 장의 목표는 6장 "802.1X를 사용한 무선 LAN 보안 디자인"에서 설명한 보안 WLAN 디자인 구현을 설명하는 것입니다. 802.1X, EAP, RADIUS(Remote Authentication Dial-In User Service)의 일반적인 개념 또는 802.1X 기반 보안 WLAN 구현의 세부 사항은 설명하지 않습니다. 이들 기술의 개요는 기사 "Windows XP Wireless Deployment Technology and Component Overview"(영문)를 참조하십시오. 이 장 마지막의 "추가 정보"에 소개되어 있습니다.

이 장은 PKI(공용 키 구조), RADIUS 및 WLAN 계획 설명서 및 운영 설명서 장과 함께 제공됩니다. 계획 설명서 장은 여기서 사용된 구현 결정의 근거를 설명합니다. 운영 설명서 장은 802.1X 인프라를 올바르게 유지 관리하는 데 필요한 작업과 프로세스를 설명합니다. 계획 설명서 장을 보지 않았다면 이 장을 진행하기 전에 보는 것이 좋습니다. 또한 이 설명서대로 제작 환경에 구현하기 전에 운영 설명서 장에 나와 있는 지원 요구 사항의 의미를 읽고 이해해야 합니다.

장 전제 조건

이 절에는 802.1X 기반 WLAN 구현을 위한 조직의 준비 상태를 점검해 볼 수 있는 검사 목록이 있습니다. (여기서 "준비 상태"란 업무상의 의미가 아니라 물류상의 의미입니다. 이 솔루션을 구현하려는 업무상의 동기는 계획 설명서 장 앞부분에서 다룹니다.)

지식 전제 조건

802.1X의 개념을 비롯해 Windows Server 2003 및 Windows XP Service Pack 1과 같은 관련 Microsoft 제품에서의 이 표준 구현에 대해 잘 알고 있어야 합니다. 또한 다음 영역에서 Windows Server 2003 또는 Windows 2000에 익숙해야 합니다.

  • Active Directory 개념(Active Directory 구조 및 도구, 사용자, 그룹 및 기타 Active Directory 개체 조정 및 그룹 정책 사용 포함).

  • Windows 시스템 보안, 사용자, 그룹 및 ACL(액세스 제어 목록) 등의 보안 개념 및 명령줄 도구 사용.

  • 배치 파일 스크립트의 이해. Windows Scripting Host 및 Microsoft Visual Basic® Scripting Edition(VBScript) 언어를 이해하면 제공되는 스크립트를 최대한 활용하는 데 도움이 되지만 반드시 필요한 것은 아닙니다.

이 장을 진행하기 전에 계획 관련 장을 읽고 솔루션의 아키텍처와 디자인을 철저히 이해해야 합니다.

조직 전제 조건

다음과 같이 이 솔루션 구현에 참여해야 하는 조직 내 다른 직원과 상의하는 것이 좋습니다.

  • 회사 후원자

  • 보안 및 감사 담당자

  • Active Directory 엔지니어링, 관리 및 운영 담당자

  • 데스크톱 엔지니어링, 관리 및 운영 담당자

  • DNS(Domain Name System) 및 네트워크 엔지니어링, 관리 및 운영 담당자

IT 인프라 전제 조건

또한 이 장에서는 다음을 전제로 합니다.

  • Windows Server 2003 Active Directory 도메인 인프라가 이미 배포되어 있습니다. 802.1X 솔루션의 모든 사용자는 동일한 Active Directory 포리스트 내 도메인의 구성원이어야 합니다.

    참고: Microsoft Windows 이전 버전과의 호환성에 대한 자세한 내용은 부록 A "Windows 버전 지원 매트릭스"를 참조하십시오.

  • 사용자는 기존 802.1X 기반 WLAN 솔루션이 없습니다. 이 솔루션은 기존 802.1X WLAN 솔루션과 함께 배포하는 경우를 배제하지 않지만 기존 802.1X 인프라에 통합하기 위한 지침은 들어 있지 않습니다.

  • PKI는 7장 "공용 키 구조 구현"에 설명된 대로 배포되고 인증서 자동 등록을 수행할 준비가 되어 있습니다.

  • DNS 및 DHCP(Dynamic Host Configuration Protocol)와 같은 인프라 지원이 배포되어 WLAN 클라이언트 컴퓨터에 서비스를 제공할 준비가 되어 있어야 합니다.

  • 8장 "RADIUS 인프라 구현"에 기술된 대로 RADIUS 서버로 사용할 두 대 이상의 IAS 실행 서버. 이 서버의 자세한 구성은 이 장에 나와 있습니다.

  • 802.1X 호환 무선 AP를 갖춘 WLAN, 128비트 WEP(Wired Equivalent Privacy) 또는 WPA를 사용하는 Windows XP Professional Service Pack 1 클라이언트, 802.1X 기능의 WLAN NIC(네트워크 인터페이스 카드). 이들 구성 요소의 자세한 구성은 이 장에 나와 있습니다.

장 개요

이 다이어그램은 이 장에 설명된 대로 802.1X를 사용하여 WLAN 보안을 구현하는 프로세스를 보여 줍니다.

그림 9.1 802.1X 인프라 구현 프로세스 다이어그램

이 단계에 따라 장이 구성되어 있고 다음과 같이 설명이 나와 있습니다. 각각은 설치 또는 구성 작업으로 이루어져 있습니다. 각 단계는 확인 절차가 있어 다음 단계로 진행하기 전에 모든 것이 올바르게 동작하는지 확인합니다.

  • 802.1X WLAN 계획 워크시트. 802.1X WLAN의 여러 구성 요소를 구성하기 위해 이 장에서 사용하는 구성 정보를 소개합니다. 이 장의 안내에 따라 구현을 시작하기 전에 사용자가 제공해야 하는 정보를 설명한 표가 있습니다.

  • 보안 WLAN 환경 준비. 802.1X WLAN을 구성하고 관리하는 데 필요한 Active Directory 보안 그룹의 준비 사항을 설명합니다. 또한 DHCP의 경우 높은 수준의 권장 사항이 제공됩니다.

  • WLAN 인증 인증서 구성 및 배포. 802.1 X WLAN 인증에 필요한 X.509 인증서 템플릿 작성과 구현을 상세하게 설명합니다. 배포 확인에 대해서도 설명합니다.

  • WLAN 액세스 인프라 구성. 802.1X 및 EAP-TLS 네트워킹용 IAS 원격 액세스 정책의 작성 및 구성을 상세하게 설명합니다. 무선 AP를 RADIUS 클라이언트로 IAS 서버에 추가하는 작업도 포함됩니다.

  • 사용자 및 컴퓨터의 WLAN 액세스 사용. Active Directory로 사용자 및 컴퓨터 권한을 구성하여 보안 WLAN에 액세스할 수 있는 방법을 설명합니다. 또한 Active Directory 그룹 정책을 만들고 배포하여 해당 802.1X 및 802.11 설정으로 WLAN 클라이언트를 구성하는 단계를 설명합니다.

  • 802.1X 네트워킹용 무선 AP 구성. 802.1X 기반 네트워킹용 무선 AP를 구성할 때 고려해야 할 사항을 설명합니다.

  • 테스트 및 확인. 802.1X 기반 WLAN의 기능을 테스트할 수 있는 절차를 설명합니다.

페이지 위쪽

802.1X WLAN 계획 워크시트

이 절의 표에는 솔루션에 사용되는 구성 매개 변수가 나와 있습니다. 이것을 계획 결정에 대한 검사 목록으로 사용해야 합니다.

이 표의 매개 변수 중 상당 수는 이 장에서 다루는 문서화된 절차의 일부로 직접 설정됩니다. 상당 수는 절차 중 하나의 일부로 실행되는 스크립트에서 설정하거나 그 밖의 구성 또는 운영 작업을 완료하기 위해 스크립트에서 참조합니다.

참고: 구축 설명서에 사용된 스크립트는 스크립트와 함께 제공된 ToolsReadme.txt 파일에 자세히 설명되어 있습니다.

사용자 정의 구성 항목

다음 테이블은 가상의 Woodgrove 은행에서 가져온 조직별 매개 변수를 나열합니다. 설치 절차를 시작하기 전에 조직에서 이 모든 항목에 해당하는 설정을 수집하여 값을 결정해야 합니다. 여기에 나오는 가상의 값은 이 장 전체에서 주어진 샘플 명령에 사용됩니다. 이 값들을 각 조직에 적합한 값으로 바꿔야 합니다. 기울임꼴로 표시된 모든 항목은 해당 조직에서 사용하는 값으로 바꿔야 합니다.

표 9.1: 사용자 정의 구성 항목

구성 항목 설정
Active Directory 포리스트 루트 도메인의 DNS 이름 woodgrovebank.com
도메인의 NetBIOS(네트워크 기본 입/출력 시스템) 이름 WOODGROVEBANK
주 IAS 서버의 서버 이름 HQ–IAS–01
보조 IAS 서버의 서버 이름 HQ–IAS–02
선택적 지점 IAS 서버의 서버 이름 BO–IAS–03
#### 솔루션에 규정된 구성 항목 솔루션 디자인과 다른 설정을 사용할 필요가 없다면 이 표에 지정된 설정을 특정 설치에 맞게 변경할 필요가 없습니다. 제공된 디자인 매개 변수의 변경은 사용자가 변경으로 인해 테스트 받은 솔루션이 달라진다는 것을 숙지하고 있을 때에만 허용됩니다. 구성 절차나 제공된 스크립트에서 이러한 값을 변경하기 전에 설정 변경의 의미와 그 설정에 따른 종속성을 완전히 이해해야 합니다. **표 9.2: 솔루션에 규정된 구성 항목**
구성 항목 설정
[계정] 802.1X 사용자 인증 인증서 배포를 제어하는 Active Directory 글로벌 그룹 클라이언트 인증 - 사용자 인증서 자동 등록
[계정] 802.1X 사용자 인증 인증서 배포를 제어하는 Active Directory 글로벌 그룹의 Windows 2000 이전 이름 클라이언트 인증 -  사용자 인증서 자동 등록
[계정] 802.1X 컴퓨터 인증 인증서 배포를 제어하는 Active Directory 글로벌 그룹 클라이언트 인증 - 컴퓨터 인증서 자동 등록
[계정] 802.1X 컴퓨터 인증 인증서 배포를 제어하는 Active Directory 글로벌 그룹의 Windows 2000 이전 이름 클라이언트 인증 - 컴퓨터 인증서 자동 등록
[계정] 802.1X 인증 인증서가 필요한 IAS 서버를 포함하는 Active Directory 글로벌 그룹 RAS 및 IAS 서버 인증 인증서 자동 등록
[계정] 802.1X 인증 인증서가 필요한 IAS 서버를 포함하는 Active Directory 글로벌 그룹의 Windows 2000 이전 이름 RAS 및 IAS 서버 인증 인증서 자동 등록
[계정] 무선 네트워크에 액세스할 수 있는 사용자를 포함하는 Active Directory 글로벌 그룹 원격 액세스 정책 – 무선 사용자
[계정] 무선 네트워크에 액세스할 수 있는 사용자를 포함하는 Active Directory 글로벌 그룹의 Windows 2000 이전 이름 원격 액세스 정책 – 무선 사용자
[계정] 무선 네트워크에 액세스할 수 있는 컴퓨터를 포함하는 Active Directory 글로벌 그룹 원격 액세스 정책 – 무선 컴퓨터
[계정] 무선 네트워크에 액세스할 수 있는 컴퓨터를 포함하는 Active Directory 글로벌 그룹 원격 액세스 정책 – 무선 컴퓨터
[계정] 무선 사용자 그룹과 무선 컴퓨터 그룹을 둘 다 포함하는 Active Directory 유니버설 그룹 원격 액세스 정책 - 무선 액세스
[계정] 무선 사용자 그룹과 무선 컴퓨터 그룹을 둘 다 포함하는 Active Directory 유니버설 그룹 원격 액세스 정책 - 무선 액세스
[계정] 무선 네트워크 속성 구성이 필요한 컴퓨터를 포함하는 Active Directory 글로벌 그룹 무선 네트워크 정책 - 컴퓨터
[계정] 무선 네트워크 속성 구성이 필요한 컴퓨터를 포함하는 Active Directory 글로벌 그룹 무선 네트워크 정책 - 컴퓨터
[인증서] 사용자 클라이언트 인증의 인증서를 생성하는 데 사용되는 인증서 템플릿 클라이언트 인증 - 사용자
[인증서] 컴퓨터 클라이언트 인증의 인증서를 생성하는 데 사용되는 인증서 템플릿 클라이언트 인증 - 컴퓨터
[인증서] IAS에서 사용할 서버 인증 인증서를 생성하는 데 사용되는 인증서 템플릿 RAS 및 IAS 서버 인증
[스크립트] 설치 스크립트 경로 C:\MSSScripts
[구성] 구성 백업 파일 경로 D:\IASConfig
[요청 로그] IAS 인증 및 감사 텍스트 로그의 위치 D:\IASLogs
[원격 액세스 정책] 정책 이름 무선 액세스 허용
[Group Policy] Active Directory GPO(그룹 정책 개체) 이름 무선 네트워크 정책
[Group Policy] GPO 내의 무선 네트워크 정책 클라이언트 컴퓨터 무선 구성
[](#mainsection)[페이지 위쪽](#mainsection) ### 보안 WLAN을 위한 환경 준비 802.1X 기반 무선 네트워킹 보안을 구현하기 전에 작업 환경의 지원 인프라를 준비해야 합니다. 지원 인프라에는 Active Directory와 DHCP 서버가 포함됩니다. WLAN 계획에 대한 모든 설명을 보려면 *Windows Server 2003 Deployment Kit*의 "Deploying a Wireless LAN(영문)" 설명서와 이 장 끝부분의 "추가 정보" 절에 나오는 기타 참고 정보를 참조하십시오. #### WLAN 액세스에 필요한 Active Directory 그룹 만들기 Active Directory 보안 그룹을 만들 수 있는 권한이 있는 사용자로 다음 스크립트를 실행해야 합니다. 이 스크립트는 무선 인증 인증서 등록, 원격 액세스 정책 및 무선 네트워크 그룹 정책에 필요한 그룹을 만듭니다. Cscript //job:CreateWirelessGroups C:\\MSSScripts\\wl\_tools.wsf 이 스크립트는 이 설명서의 나머지 부분 전체에 사용할 다음과 같은 Active Directory 기반 보안 그룹을 만듭니다. - 클라이언트 인증 - 사용자 인증서 자동 등록 - 클라이언트 인증 - 컴퓨터 인증서 자동 등록 - RAS 및 IAS 서버 인증 인증서 자동 등록 - 원격 액세스 정책 &\#150; 무선 사용자 - 원격 액세스 정책 &\#150; 무선 컴퓨터 - 원격 액세스 정책 - 무선 액세스 - 무선 네트워크 정책 - 컴퓨터 다중 도메인 포리스트의 경우 무선 사용자와 동일한 도메인에 이 그룹을 만들어야 합니다. **참고:** 여기서 만든 대부분의 그룹은 글로벌 그룹이지만 필요하면 유니버설 그룹으로 대체할 수 있습니다. 보안 그룹을 만든 스크립트는 쉽게 수정할 수 있습니다. 원격 액세스 정책 - 무선 액세스 유니버설 그룹을 만드는 데 사용한 구문을 복사합니다. #### DHCP 설정 확인 무선 네트워킹을 수용하려면 유선 클라이언트의 경우보다 짧은 IP(인터넷 프로토콜) 주소 임대 시간과 무선 전용 범위로 DHCP 서버를 구성해야 합니다. 무선 솔루션을 지원하도록 DHCP 서버를 적절히 구성했는지 확인하려면 DHCP 서버 관리자와 함께 점검하십시오. 무선 네트워킹을 위한 DHCP 계획에 대한 모든 설명을 보려면 *Windows Server 2003 Deployment Kit*의 "Deploying a Wireless LAN(영문)" 설명서를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### WLAN 인증 인증서 구성 및 배포 이 설명서에서 자세히 다루는 보안 WLAN 솔루션은 X.509 인증서를 사용하여 EAP&\#150;TLS를 통해 컴퓨터 및 사용자 인증을 수행합니다. 다음 절에서는 다음과 같은 인증서의 만들기와 배포에 대해 설명합니다. - 클라이언트 인증 - 컴퓨터 - 클라이언트 인증 - 사용자 - RAS 및 IAS 서버 인증 **참고:** 인증에 필요한 작업 및 역할에 관한 상세한 정보는 11장 "공용 키 구조 관리"를 참조하십시오. #### 서버 인증용 인증서 템플릿 만들기 서버 인증서는 IAS 서버에서 EAP&\#150;TLS 프로토콜 핸드셰이크 중 클라이언트에 대해 컴퓨터를 인증하는 데 필요합니다. 인증서 서비스 관리자에게 인증서 서비스 서버에서 인증서 템플릿 MMC(Microsoft Management Console) 스냅인을 통해 다음 단계를 수행하여 IAS 서버와 함께 사용할 서버 인증 인증서 템플릿을 만들어 줄 것을 요청하십시오. **서버 인증용 인증서 템플릿을 만들려면 다음을 수행합니다.** 1. RAS 및 IAS 서버 **인증서 템플릿을 복사합니다. 새 템플릿 속성의 일반** 탭에서 **템플릿 표시 이름 필드**에 **RAS 및 IAS 서버 인증**을 입력하십시오. 2. **확장** 탭에서 응용 프로그램 정책에 **서버 인증(OID 1.3.6.1.5.5.7.3.1)**만 포함되어 있는지 확인합니다. 3. 또한 **확장** 탭에서 발급 정책을 편집하여 **보통 보증** 정책을 추가합니다. 4. **주체 이름** 탭에서 **이 Active Directory 정보로 만듦**을 선택합니다. **주체 이름 형식**이 **일반 이름**으로 설정되어 있고 **대체 주체 이름에 이 정보 포함**에서 **DNS 이름**만 선택되어 있는지도 확인합니다. 5. **요청 처리** 탭에서 **CSP** 단추를 클릭하고 **요청에서 다음 CSP 중 하나를 사용해야 함**이 선택되어 있는지와 **Microsoft RSA SChannel Cryptographic Provider**만 선택되어 있는지 확인합니다. 6. **보안** 탭에서 **읽기**, **등록** 및 **자동 등록** 권한을 가진 자동 등록 RAS 및 IAS 서버 인증 인증서 보안 그룹을 추가합니다. **중요:** 이 인증서 템플릿을 등록 및/또는 자동 등록할 수 있는 권한이 있는 다른 모든 그룹을 제거해야 합니다. 이 인증서를 등록해야 하는 모든 사용자나 그룹을 관련 인증서 템플릿 등록(또는 자동 등록) 그룹에 추가해야 합니다. 이렇게 하면 등록해서는 안되는 인증서를 사용자나 그룹이 실수로 등록하는 것을 막을 수 있습니다. 자세한 내용은 11장 "공용 키 구조 관리"의 "인증서 템플릿 등록 그룹 만들기" 절을 참조하십시오. 4장 "공용 키 구조 설계"에서는 인증서 관리자 승인을 요구하도록 이 인증서 형식을 설정하는 방법에 대해 다루고 있습니다. 이것은 비교적 가치가 높은 인증서로 간주되므로 이 옵션을 사용하여 무허가 IAS 서버가 등록되지 않도록 추가 검사 실시를 고려해야 합니다. 즉, 이 접근 방식은 IAS 서버가 자동으로 요청을 보내고 인증서가 승인되면 자동으로 검색되더라도 인증서를 발급하는 데 수동 승인이 필요합니다. #### 사용자 인증용 인증서 템플릿 만들기 사용자 인증서는 최종 사용자가 EAP-TLS 인증 중에 IAS 서버를 인증하는 데 필요합니다. 인증서 서비스 관리자에게 인증서 서비스 서버에서 인증서 템플릿 MMC 스냅인을 통해 다음 단계를 수행하여 사용자 인증 인증서 템플릿을 만들어 줄 것을 요청하십시오. **사용자 인증 인증서 템플릿을 만들려면 다음을 수행합니다.** 1. 인증된 세션 템플릿을 복제합니다. 새 템플릿의 **일반** 탭에서 **템플릿 표시 이름** 필드에 **클라이언트 인증 - 사용자**를 입력합니다. 2. **요청 처리** 탭에서 **CSP**를 선택하고 **Microsoft Base DSS Cryptographic Provider** 확인란 선택을 취소합니다. 3. **주체 이름** 탭에서 **이 Active Directory 정보로 만듦**을 선택합니다. **주체 이름 형식** 에서 일반 이름 **을 선택합니다. UPN(사용자 이름)**이 **대체 주체 이름에 이 정보 포함**에서 선택한 유일한 옵션인지 확인합니다. 4. **확장** 탭에서 **응용 프로그램 정책**에 **클라이언트 인증(OID 1.3.6.1.5.5.7.3.2)**만 포함되어 있는지 확인합니다. 5. 또한 **확장** 탭에서 발급 정책을 편집하여 **낮은 보증** 정책을 추가합니다. 6. **보안** 탭에서 **읽기**, **등록** 및 **자동 등록** 권한이 있는 클라이언트 인증 - 사용자 인증서 자동 등록  보안 그룹을 추가합니다. **중요:** 이 인증서 템플릿을 등록 및/또는 자동 등록할 수 있는 권한이 있는 다른 모든 그룹을 제거해야 합니다. 이러한 인증서를 등록해야 하는 모든 사용자나 그룹을 관련 인증서 템플릿 등록(또는 자동 등록) 그룹에 추가해야 합니다. 이전 참고 사항을 참조하십시오. #### 컴퓨터 인증용 인증서 템플릿 만들기 인증서는 EAP&\#150;TLS 인증 중에 IAS 서버에 대해 컴퓨터를 인증하는 데 필요합니다. 인증서 서비스 관리자에게 인증서 서비스 서버에서 인증서 템플릿 MMC 스냅인을 통해 다음 단계를 수행하여 컴퓨터 인증 인증서 템플릿을 만들어 줄 것을 요청하십시오. **컴퓨터 인증 인증서 템플릿을 만들려면 다음을 수행합니다.** 1. 워크스테이션 인증 템플릿을 복제합니다. 새 템플릿의  **일반** 탭에서 **템플릿 표시 이름** 필드에 **클라이언트 인증 - 컴퓨터**를 입력하십시오. 2. **주체 이름** 탭에서 **이 Active Directory 정보로 만듦**을 선택합니다. **주체 이름 형식**에서 **일반 이름**을 선택합니다. **DNS 이름**이 **대체 주체 이름에 이 정보 포함**에서 선택한 유일한 옵션인지 확인합니다. 3. **확장** 탭에서 응용 프로그램 정책을 편집하고 **클라이언트 인증(OID 1.3.6.1.5.5.7.3.2)**만 포함되어 있는지 확인합니다. 4. 또한 **확장** 탭에서 발급 정책을 편집하여 **낮은 보증** 정책을 추가합니다. 5. **보안** 탭에서 **읽기**, **등록 및** 자동 등록 권한을 가진 자동 등록 클라이언트 인증 - 컴퓨터 인증서 (WOODGROVEBANK\\자동 등록 클라이언트 인증 - 컴퓨터 인증서) 보안 그룹을 추가합니다. **중요:** 이 인증서 템플릿을 등록 및/또는 자동 등록할 수 있는 권한이 있는 다른 모든 그룹을 제거해야 합니다. 이러한 인증서를 등록해야 하는 모든 사용자나 그룹을 관련 인증서 템플릿 등록(또는 자동 등록) 그룹에 추가해야 합니다. 이전 참고 사항을 참고하십시오. #### 인증 기관에 WLAN 인증 인증서 추가 WLAN 인증 인증서 템플릿이 구성되었으면 CA(인증 기관)에 추가하여 등록할 수 있도록 해야 합니다. 인증서 서비스 관리자에게 다음 단계를 수행하여 인증서 템플릿을 CA에 추가해 줄 것을 요청하십시오. **CA에 인증서 템플릿 추가** 인증 기관 MMC 스냅인에서 **인증서 템플릿** 폴더를 마우스 오른쪽 단추로 클릭한 다음 **새로 만들기**를 선택하고 **발급할 인증서 템플릿**을 선택합니다. 다음 인증서를 선택한 다음 **확인**을 클릭합니다. - 클라이언트 인증 - 컴퓨터 - 클라이언트 인증 - 사용자 - RAS 및 IAS 서버 인증 #### IAS 서버 인증서 등록 서버 인증 인증서를 IAS 서버에 배포하는 것은 비교적 간단하므로 자동화됩니다. 이 작업을 수행하려면 다음 절의 단계를 완료하십시오. **CA로부터 IAS 서버 인증 인증서를 등록하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 IAS 컴퓨터 계정을 자동 등록 RAS 및 IAS 서버 인증 인증서 보안 그룹에 추가합니다. **중요:** 서버를 다시 시작해야 새 그룹 구성원 자격을 얻습니다. 2. IAS에 로컬 관리자 그룹 구성원으로 로그온하여 명령 프롬프트에서 GPUPDATE /force를 실행합니다. 3. MMC를 열고 **인증서** 스냅인을 추가합니다. **컴퓨터 계정** 옵션을 선택한 다음 **로컬 컴퓨터**를 선택합니다. 4. 콘솔 트리에서 **인증서(로컬 컴퓨터)**를 선택하고 **동작** 메뉴에서 **모든 작업**을 선택한 다음 **인증서를 자동으로 등록**을 클릭합니다. **참고:** 이 인증서 종류에 대해 인증서 관리자 승인을 필요로 하는 옵션을 선택한 경우 CA 관리자에게 문의하여 IAS 서버로부터의 정당한 요청인지 확인해야 합니다. 확인이 되었으면 CA 관리자가 인증서를 발급합니다. #### IAS 서버 인증서 배포 확인 등록된 IAS 서버 인증서가 발급되어 서버 인증서 저장소로 배포되는 속도는 인증서 템플릿의 인증서 승인 설정에 따라 다릅니다. 또한 몇 시간마다 서버가 CA를 폴링하기 때문에 지연이 발생할 수 있습니다. **IAS 서버 인증 인증서가 배포되었는지 확인하려면 다음을 수행합니다.** 1. 로컬 컴퓨터에 로컬 관리자 그룹 구성원으로 로그온하고 인증서 MMC 스냅인을 연 다음**인증서** 스냅인을 추가합니다. **컴퓨터 계정** 옵션을 선택한 다음 **로컬 컴퓨터**를 선택합니다. 2. **인증서(로컬 컴퓨터)**, **개인**, **인증서** 저장소를 열고 RAS 및 IAS 서버 인증 인증서 템플릿으로부터 로컬 컴퓨터 이름에 발급된 인증서를 찾습니다. 오른쪽 창에서 템플릿 이름을 볼 수 있습니다. 가로로 스크롤을 해야 해당 열이 표시될 수도 있습니다. 3. 필요한 인증서가 인증서 MMC **스냅인에 나타나지 않으면 콘솔 트리에서 인증서(로컬 컴퓨터)**를 선택하고 **동작** 메뉴에서 **모든 작업**을 선택한 다음 **인증서를 자동으로 등록**을 선택합니다. 이 작업이 수행되는 동안 잠시 기다렸다가 개인, 인증서 폴더의 보기를 새로 고칩니다. **참고:** 인증서 자동 등록 성공 여부도 응용 프로그램 이벤트 로그에서 자동 등록 원본이 있고 이벤트 ID가 19인 이벤트로 식별할 수 있습니다. #### 자동등록 그룹에 사용자 및 컴퓨터 추가 WLAN 인증 인증서를 사용자와 컴퓨터에 배포하는 것은 보통 최종 사용자에게 투명합니다. 이 과정에는 LAN 연결, 도메인 기반의 사용자 계정, Active Directory 도메인에 가입된 컴퓨터 등이 필요합니다. 새 WLAN을 액세스해야 하는 사용자와 컴퓨터에 사전에 인증서를 배포하여 EAP-TLS 인증을 수행할 수 있도록 해야 합니다. Windows XP와 Windows Server 2003을 사용하면 컴퓨터 및 사용자 인증서를 모두 자동으로 등록하고 최종 사용자 입력 없이 갱신할 수 있습니다. 인증서 등록 및 갱신은 Active Directory 보안 그룹을 통해 제어됩니다. **참고:** 이 솔루션은 사용자 지정 보안 그룹(클라이언트 인증 - 사용자 인증서 자동 등록 및 클라이언트 인증 - 컴퓨터 인증서 자동 등록)을 사용하여 WLAN 인증서를 등록할 사용자 및 컴퓨터를 제한합니다. 모든 도메인 사용자 및 컴퓨터가 WLAN 인증서를 받도록 하려면 도메인 사용자를 클라이언트 인증 - 사용자 인증서 자동 등록 그룹에 추가하고 도메인 컴퓨터를 클라이언트 인증 - 컴퓨터 인증서 자동 등록 그룹에 추가합니다. **자동 등록을 위한 보안 그룹에 사용자와 컴퓨터를 추가하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 2. 자동 등록 클라이언트 인증 - 사용자 인증서 그룹에 사용자를 추가합니다. 3. 자동 등록 클라이언트 인증 - 컴퓨터 인증서 그룹에 컴퓨터를 추가합니다. **중요:** 사용자는 로그오프한 다음 다시 로그온해야 액세스 토큰에 새 그룹 구성원 자격을 얻습니다. 컴퓨터는 다시 시작해야 액세스 토큰에 새 그룹 구성원 자격을 얻습니다. 확인 절차를 계속하기 전에 사용자와 컴퓨터가 모두 자격을 얻었는지 확인합니다. ##### 사용자 인증서 배포 확인 자동 등록 클라이언트 인증 - 사용자 인증서 그룹에 추가된 사용자로 로그온할 때 다음 단계를 수행합니다. **사용자 인증 인증서 배포를 확인하려면 다음을 수행합니다.** 1. 그렇게 하지 않았으면 로그오프한 다음 선택한 사용자로 다시 로그온합니다. MMC를 열고**인증서** 스냅인을 추가합니다. 메시지가 나타나면 **내 사용자 계정** 옵션을 선택합니다. 2. **인증서 - 현재 사용자**, **개인**, **인증서** 저장소를 열고 클라이언트 인증 - 사용자 인증서 템플릿에서 사용자에게 발급된 인증서를 찾습니다. 오른쪽 창에 템플릿 이름이 표시되어야 합니다. 가로로 스크롤을 해야 해당 열이 표시될 수도 있습니다. 3. 필요한 인증서가 **인증서** 스냅인에 나타나지 않으면 명령 프롬프트에서 GPUPDATE /force를 실행하고 몇 분 정도 기다렸다가 개인, 인증서 폴더의 보기를 새로 고칩니다. ##### 컴퓨터 인증서 배포 확인 자동 등록 클라이언트 인증 - 컴퓨터 인증서 그룹에 추가된 클라이언트 컴퓨터에서 다음 단계를 수행합니다. **컴퓨터 인증 인증서 배포를 확인하려면 다음을 수행합니다.** 1. 컴퓨터를 인증서 자동 등록 그룹에 추가한 다음 다시 시작하지 않았으면 지금 다시 시작하십시오. 2. 로컬 컴퓨터의 로컬 관리자 그룹 구성원으로 로그온하고 MMC를 연 다음**인증서** 스냅인을 추가합니다. **컴퓨터 계정** 옵션을 선택한 다음 **로컬 컴퓨터**를 선택합니다. 3. **인증서(로컬 컴퓨터)**, **개인**, **인증서** 저장소를 열고 클라이언트 인증 - 컴퓨터 인증서 템플릿으로부터 로컬 컴퓨터 이름에 발급된 인증서를 찾습니다. 오른쪽 창에 템플릿 이름이 표시되어야 합니다. 가로로 스크롤을 해야 해당 열이 표시될 수도 있습니다. 4. 필요한 인증서가 **인증서** 스냅인에 나타나지 않으면 명령 프롬프트에서 GPUPDATE /force를 실행하고 몇 분 정도 기다렸다가 개인, 인증서 폴더의 보기를 새로 고칩니다. **팁:** 컴퓨터를 다시 시작하여 인증서 자동 등록을 다시 수행할 수 있습니다. 인증서 자동 등록 성공 여부도 응용 프로그램 이벤트 로그에서 자동 등록 원본이 있고 이벤트 ID가 19인 이벤트로 식별할 수 있습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### WLAN 액세스 인프라 구성 무선 사용자 및 컴퓨터의 WLAN에 대한 인증과 권한 부여를 결정하는 원격 액세스 정책 및 연결 요청 설정으로 주 IAS 서버를 구성해야 합니다. 이 설정을 다른 IAS 서버에 복제해야 합니다. 복제하려면 8장 "RADIUS 인프라 구현", "여러 IAS 서버에 구성 배포" 절에 상세하게 기술되어 있는 절차를 사용합니다. 또한 각 IAS 서버는 무선 AP 같은 RADIUS 클라이언트로부터 연결을 받도록 고유하게 구성해야 합니다. 무선 AP는 IAS 서버를 802.1X 네트워킹을 위한 인증 및 계정의 원본으로 사용하도록 구성해야 합니다. #### WLAN용 IAS 원격 액세스 정책 만들기 인터넷 인증 서비스 MMC 스냅인으로 다음 단계를 수행하여 IAS를 무선 네트워킹용 원격 액세스 정책으로 구성합니다. **IAS에서 원격 액세스 정책을 만들려면 다음을 수행합니다.** 1. 원격 액세스 정책 폴더를마우스 오른쪽 단추로 클릭한 다음 **새 원격 액세스 정책 만들기**를 선택합니다. 2. 정책 이름을 **무선 액세스 허용**으로 지정하고 마법사에서 **일반 시나리오용 일반 정책**을 설정하도록 지정합니다. 3. 액세스 방법으로 **무선**을 선택합니다. 4. 그룹 기반으로 액세스를 허용하고 원격 액세스 정책 - 무선 액세스 보안 그룹을 사용합니다. 5. EAP(확장할 수 있는 인증 프로토콜) 유형에 대해 **스마트 카드 또는 기타 인증서**를 선택한 다음 IAS용으로 설치된 서버 인증 인증서를 선택합니다. 마법사를 완료하고 끝냅니다. **참고:** 새 무선 액세스 허용 정책은 사용자가 만든 다른 원격 액세스 정책 또는 기본 원격 액세스 정책과 함께 사용할 수 있습니다. 그러나 기본 원격 액세스 정책은 삭제되거나 원격 액세스 정책 폴더에서 무선 액세스 허용 정책 다음에 나열되어야 합니다. ##### WLAN 액세스 정책 프로필 설정 수정 이전에 만든 원격 액세스 정책의 기본 설정을 변경하여 잠재적으로 무선 AP에 문제가 될 수 있는 Active Directory의 사용자 전화 접속 로그인 설정을 무시하도록 합니다. 또한 RADIUS 특성은 WEP(Wired Equivalent Privacy) 세션 키를 새로 고치도록 정해진 간격에 따라 클라이언트 재인증을 설정해야 합니다. 원격 액세스 정책 설정에 관한 자세한 정보는 6장 "802.1X를 사용한 무선 LAN 보안 디자인"을 참조하십시오. **무선 액세스 정책 프로필 설정을 수정하려면 다음을 수행합니다.** 1. 무선 액세스 허용 정책의 속성을 연 다음 **프로필 편집**을 클릭합니다. 2. **전화 접속 로그인 제약 조건** 탭에서 **클라이언트 연결 허용 시간(분)(세션 시간 제한)** 옵션을 선택한 다음 **10분**을 값으로 입력합니다. **참고:** 심각한 보안 결함 없이 최대 60분까지 긴 시간 제한 값을 사용할 수 있습니다. 이렇게 하면 일시적인 네트워크 중단 상태가 줄고 IAS 서버에 가해지는 부하도 줄어듭니다 . 3. **고급** 탭에서 **사용자 전화 접속 속성 무시** 특성을 추가한 다음 **참**으로 설정하고 **종료 동작** 특성을 추가한 다음 **RADIUS 요청**으로 설정합니다. ##### WLAN을 위한 연결 요청 정책 확인 기본 IAS 연결 요청 정책은 IAS에서 사용자와 컴퓨터를 Active Directory에 대해 직접 인증할 것을 요구하도록 구성됩니다. 기본 연결 요청 정책의 구성을 확인하려면 다음 단계를 수행합니다. **기본 연결 요청 정책의 구성을 확인하려면 다음을 수행합니다.** 1. 인터넷 인증 서비스 MMC 스냅인을 열고 **모든 사용자에 대해 Windows 인증 사용** 연결 요청 정책의 속성을 봅니다. 2. 정책 조건 목록에 **날짜 및 시간 제한 사항 일치 "Sun 00:00-24:00, Mon 00:00-24:00, Tue 00:00-24:00, Wed 00:00-24:00, Thu 00:00-24:00, Fri 00:00-24:00, Sat 00:00-24:00"**이 있는지 확인하십시오. 3. **프로필 편집** 단추를 클릭합니다. **인증** 탭에서 **이 서버에서 요청을 인증**을 선택하십시오. 4. **특성** 탭에 아무 규칙도 없는지 확인합니다. **참고:** 이 솔루션에는 추가 연결 요청 정책 설정이 필요하지 않습니다. 그러나 조직에서 다양한 시나리오에 대해 추가 설정을 구성할 수는 있습니다. WLAN 액세스를 구성한 후 주 IAS 서버의 구성 변경 내용을 IAS 서버에 복제해야 합니다. 복제하려면 8장 "RADIUS 인프라 구현", "여러 IAS 서버에 구성 배포" 절에 나와 있는 상세한 절차를 사용합니다. ##### IAS에 RADIUS 클라이언트 추가 무선 AP와 RADIUS 프록시를 IAS에 RADIUS 클라이언트로 추가해야 RADIUS 프로토콜을 통해 인증 및 계정 서비스를 사용할 수 있습니다. 무선 AP를 IAS에 추가하려면 인터넷 인증 서버 MMC 스냅인에서 다음 단계를 수행합니다. **RADIUS 클라이언트를 IAS에 추가하려면 다음을 수행합니다.** 1. RADIUS 클라이언트 폴더를 마우스 오른쪽 단추로 클릭한 다음 **새 RADIUS 클라이언트**를 선택합니다. 2. 무선 AP의 이름과 IP 주소를 입력합니다. 3. **RADIUS 표준**을 클라이언트 &\#150; 공급업체 특성으로 선택한 다음 이 특정 무선 AP의 공유 비밀을 입력합니다. (다음 절차에 설명되어 있는 GenPwd 스크립트를 사용하여 강력한 암호를 생성합니다.) 그런 다음 **요청에 메시지 인증자 특성이 포함되어야 함**을 선택합니다. **참고:** 일부 RADIUS 클라이언트는 VSA(공급업체 고유의 특성)을 구성해야 제대로 작동할 수 있습니다. VSA 요구 사항과 관련된 정보는 AP 문서를 참조하십시오. 이 설명서에 포함된 GenPwd 스크립트를 사용하여 RADIUS 클라이언트로 구성된 각 무선 AP에서 개별적으로 사용하기 위한 강력한 23자의 암호를 생성합니다. GenPwd는 임의의 암호를 생성한 다음 암호를 각 RADIUS 클라이언트의 이름과 함께 Clients.txt 파일에 저장합니다. 또한 현재 디렉터리의 Clients.txt 파일에 쉼표로 구분한 값 형태로 해당 정보가 자동으로 추가됩니다. 이 파일을 서버의 하드 디스크에 복사하지 *마십시오.* 파일을 "서버 ***HQ-IAS-01***"용 RADIUS 클라이언트"(*HQ-IAS-01* 대신 사용자의 서버 이름 사용)라고 표시한 플로피 디스크나 다른 쓰기 가능한 이동식 매체에 저장하여 안전한 곳에 보관하십시오. 이 서버별 디스크는 12장 "RADIUS 및 무선 LAN 보안 인프라 관리"에서 다룰 RADIUS 클라이언트 내보내기/가져오기를 수행하는 데도 사용합니다. **GenPwd를 사용하여 Clients.txt 파일에 RADIUS 비밀을 생성하려면 다음을 수행합니다.** 1. 명령 프롬프트를 열고 A: 드라이브를 현재 디렉터리로 바꿉니다. (플로피 디스크가 아닌 다른 매체를 사용하고 있다면 해당 드라이브 문자를 사용하십시오.) 기본 디렉터리의 Clients.txt 파일이 새로운 정보와 함께 자동으로 첨부되기 때문에 파일 시스템 디렉터리 위치가 중요합니다. Clients.txt 파일이 없으면 자동으로 만들어집니다. 2. 다음 명령을 실행합니다. *ClientName*을 무선 AP의 이름으로 바꾸어야 합니다. 이 이름은 DNS 이름 또는 다른 문자열이 될 수 있습니다. Cscript //job:GenPWD C:\\MSSScripts\\wl\_tools.wsf /client:*ClientName* **중요:** RADIUS 클라이언트 저장소 디스크는 긴급히 복원해야 할 경우 액세스할 수 있는 안전한 위치에 보관해야 합니다. 일단 작성한 쉼표로 구분되는 파일은 참조 및 편집을 위해 쉽게 스프레드시트 또는 데이터베이스 응용 프로그램으로 가져올 수 있습니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 사용자 및 컴퓨터의 WLAN 액세스 사용 사용자와 컴퓨터에 보안 WLAN 액세스를 활성화하기 위한 마지막 단계에는 Active Directory 개체에 대해 수행해야 하는 작업이 있습니다. 이러한 작업으로는 계정 사용 권한 확인, 그룹 구성원 수정, WLAN 그룹 정책 설정 실행 등이 있습니다. 제어된 방법으로 이러한 단계를 수행하여 단계적인 배포 일정을 맞추고 심각한 환경 변화의 위험을 완화할 수 있습니다. #### Active Directory 원격 액세스 권한 확인 Active Directory 사용자 및 컴퓨터 계정에는 원격 액세스 정책을 이용하기 위한 올바른 원격 액세스 권한이 있어야 합니다. 기본적으로 기본 모드 Active Directory 도메인의 계정에 대한 원격 액세스 권한은 **원격 액세스 정책을 통해 액세스 제어**로 설정되므로 일반적으로 수정하지 않아도 됩니다. 하지만 대상 사용자 및 컴퓨터가 Active Directory 사용자 및 컴퓨터 MMC 스냅인으로 올바로 구성되었는지 확인할 수 있습니다. 계정 속성의 **전화 접속 로그인** 탭에서 **원격 액세스 권한(전화 접속 로그인 또는 VPN)** 설정에서 **원격 액세스 정책을 통해 액세스 제어**가 선택되었는지 확인합니다. #### 원격 액세스 정책 그룹에 사용자 추가 IAS 원격 액세스 정책은 Active Directory 기반 보안 그룹을 사용하여 사용자와 컴퓨터가 WLAN에 연결할 수 있는 권한이 있는지 확인합니다. 이 장 앞부분에서 만든 보안 그룹에는 다음 표에 나오는 보안 그룹이 포함됩니다. **표 3. Active Directory 보안 그룹**
보안 그룹 설명
원격 액세스 정책 – 무선 사용자 WLAN에 대한 액세스가 필요한 사용자의 글로벌 그룹입니다.
원격 액세스 정책 – 무선 컴퓨터 WLAN에 대한 액세스가 필요한 컴퓨터의 글로벌 그룹입니다.
원격 액세스 정책 - 무선 액세스 앞의 글로벌 그룹 두 개를 포함해야 하는 유니버설 그룹입니다.
Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 원격 액세스 정책 - 무선 사용자 그룹 및 원격 액세스 정책 - 무선 컴퓨터를 원격 액세스 정책 - 무선 액세스 그룹에 추가합니다. **중요:** 이 솔루션은 사용자 정의 보안 그룹(원격 액세스 정책 - 무선 사용자 및 원격 액세스 정책 - 무선 컴퓨터)을 사용하여 WLAN에 액세스할 수 있는 사용자와 컴퓨터를 제한합니다. 모든 도메인 사용자와 컴퓨터에 WLAN 액세스 권한을 부여하려면 도메인 사용자 및 도메인 컴퓨터 그룹을 이 사용자 지정 보안 그룹에 추가하여 관리를 단순화합니다. 그룹 구조는 이제 WLAN에 액세스할 수 있도록 권한이 부여될 사용자와 컴퓨터로 채워질 준비가 되었습니다. **사용자와 컴퓨터를 WLAN 액세스 그룹에 추가하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다. 2. WLAN에 액세스할 수 있도록 허용된 사용자를 원격 액세스 정책 &\#150; 무선 사용자(WOODGROVEBANK\\원격 액세스 정책 &\#150; 무선 사용자) 그룹에 추가합니다. 3. WLAN에 액세스할 수 있도록 허용된 컴퓨터를 원격 액세스 정책 &\#150; 무선 컴퓨터(WOODGROVEBANK\\원격 액세스 정책 &\#150; 무선 컴퓨터) 그룹에 추가합니다. **참고:** WLAN에 대해 사용자 및 컴퓨터 인증을 모두 사용해야 하는 이유에 관한 자세한 논의는 6장 "802.1X를 사용한 무선 LAN 보안 디자인"을 참조하십시오. #### Active Directory WLAN 그룹 정책 만들기 Windows 그룹 정책을 이용하여 클라이언트 컴퓨터 WLAN 구성을 자동화 및 적용할 수 있습니다. Windows Server 2003의 그룹 정책 MMC는 802.1X 기반 보안 및 802.11 WLAN 동작 설정을 포함하여 **무선 네트워크 정책** 설정을 노출합니다. 클라이언트 컴퓨터용 새 802.1X 기능의 WLAN에 대한 무선 네트워크 그룹 정책 프로필을 만들려면 Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 다음 단계를 수행합니다. **참고:** 도메인 수준에서 GPO를 만드는 것이 모든 조직에 적합한 것은 아닙니다. 조직의 그룹 정책 전략을 검토하여 최선의 GPO 위치를 결정합니다. 무선 GPO 설정은 Windows 2000 또는 Windows XP 시스템에서 GPO를 편집하면 GPO MMC에 나타나지 않습니다. 무선 GPO 설정은 Windows Server 2003 시스템이나 Windows Server 2003 관리 도구가 설치된 시스템에서 편집해야 합니다. 이 GPO 설정은 Windows 2000 또는 Windows Server 2003 Active Directory에서 사용합니다. **무선 네트워크 그룹 정책을 만들려면 다음을 수행합니다.** 1. 도메인 개체(예: woodgrovebank.com)의 속성을 선택하고 **그룹 정책** 탭에서 **새로 만들기**를 클릭한 다음 GPO 이름을 **무선 네트워크 정책**으로 지정합니다. 2. **속성** 단추를 클릭하고 **보안** 탭에서 무선 네트워크 정책 - 컴퓨터 보안 그룹에 **읽기** 및 **그룹 정책 적용** 권한을 부여합니다. 그리고 인증된 GPO 사용자에서 **그룹 정책 적용** 권한을 제거합니다. 3. **일반** 탭에서 정책 개체에 대해 **사용자 구성 설정 사용 안 함**을 선택하고 나타나는 모든 경고 메시지에 대해 **예**를 선택합니다. 변경 내용을 적용하고 GPO **속성** 창을 닫습니다. 4. **편집** 단추를 클릭하고 정책을 편집한 다음 \\Computer Configuration\\Windows Settings\\Security Settings\\Wireless Network(IEEE 802.11) 정책으로 이동합니다. 5. 탐색 창에서 **무선 네트워크(IEEE 802.11) 정책** 개체를 선택한 다음 **동작** 메뉴에서 **무선 네트워크 정책 만들기**를 선택합니다. 마법사를 사용하여 **클라이언트 컴퓨터 무선 구성** 정책 이름을 지정합니다. 선택한 **속성 편집** 옵션을 그대로 두고 **마침**을 클릭하여 마법사를 닫습니다. 6. 클라이언트 컴퓨터 무선 구성 정책의 **기본 설정 네트워크** 탭에서 **추가**를 선택한 다음 무선 네트워크의 네트워크 이름이나 SSID(서비스 집합 ID)를 입력합니다. **참고:** 클라이언트가 기존 WLAN을 사용하는 경우 새 802.1X 무선 LAN에 대해 다른 SSID를 선택해야 합니다. 이 SSID를 802.1X 무선 네트워크 프로필에 입력해야 합니다. 7. **IEEE 802.1x** 탭을 클릭한 다음 **스마트 카드 또는 기타 인증서** EAP 유형에 대한 설정을 엽니다. **신뢰할 수 있는 루트 인증 기관**에서 IAS 서버 인증서를 발급한 PKI(즉, 7장 "공용 키 구조 구현"에서 설치한 PKI)의 루트 CA 인증서를 선택합니다. 8. **클라이언트 컴퓨터 무선 구성**에 대한 속성과 그룹 정책 개체 편집기를 닫습니다. #### WLAN 그룹 정책에 대한 보안 그룹에 컴퓨터 추가 Active Directory 기반 보안 그룹을 사용하여 어떤 컴퓨터에 무선 네트워크 정책을 적용하여 802.11 및 802.1X 설정을 자동으로 구성할지 결정합니다. 무선 AP에 802.1X 설정을 구성하고 새 WLAN을 활성화하기 훨씬 전에 새 802.1X 기반 네트워크에 대한 무선 네트워크 그룹 정책 설정을 배포해야 합니다. 이렇게 하면 클라이언트 컴퓨터가 유선 LAN에 아주 가끔 연결하더라도 컴퓨터 기반 그룹 정책을 다운로드하고 적용할 수 있는 적절한 기회를 갖게 됩니다. 또한 WLAN NIC(네트워크 인터페이스 카드)를 설치하고 Windows가 구성하기 전에 그룹 정책 설정을 컴퓨터에 적용할 수 있습니다. 무선 LAN NIC를 설치하면 올바른 무선 네트워크 그룹 정책 설정을 자동으로 검색하여 적용합니다. **중요:** 이 솔루션은 사용자 지정 보안 그룹(무선 네트워크 정책 - 컴퓨터)을 사용하여 어떤 컴퓨터가 WLAN 구성을 받는지 결정합니다. 모든 컴퓨터가 WLAN 구성 설정을 받도록 하려면 도메인 컴퓨터 또는 인증된 사용자 그룹을 이 그룹에 추가하여 관리를 단순화할 수 있습니다. 이렇게 하면 정책 설정이 도메인(도메인 컴퓨터를 사용하는 경우) 또는 포리스트(인증된 사용자를 사용하는 경우)의 클라이언트 컴퓨터 뿐 아니라 모든 서버에도 적용된다는 사실을 알아야 합니다. **무선 네트워크 그룹 정책에 대한 그룹에 컴퓨터를 추가하려면 다음을 수행합니다.** 1. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 컴퓨터를 무선 네트워크 정책 - 컴퓨터 그룹에 추가합니다. 2. 시스템이 WLAN을 사용하려면 시스템을 다시 시작해야 합니다. (이 단계는 컴퓨터에 이전 단계에서 구성한 새 그룹 구성원 자격을 주기 위해 필요합니다.) **참고:** 무선 네트워크 GPO 설정은 다음 컴퓨터 그룹 정책 새로 고침 간격 중에 클라이언트 컴퓨터에서 업데이트됩니다. 명령 프롬프트에서  GPUPDATE /force 명령을 사용하여 컴퓨터 정책 새로 고침을 실행하는 방법도 있습니다. #### WLAN 정책의 적용 확인 Active Directory의 **클라이언트 컴퓨터 무선 구성** 보안 그룹에 추가된 클라이언트 컴퓨터에서 다음 단계를 수행합니다. **참고:** 무선 네트워크 정책이 표시되기 전에 Windows에 의해 컴퓨터에 무선 네트워크 어댑터가 설치되고 인식되어야 합니다. **무선 네트워킹 구성 배포를 확인하려면 다음을 수행합니다.** 1. 로컬 컴퓨터에 관리자로 로그인하여 **시작**, **실행**을 클릭하고 ncpa.cpl 명령을 입력하여 네트워크 연결 폴더를 엽니다. 2. 사용자 무선 카드에 해당하는 **무선 네트워크 연결** 아이콘의 속성을 봅니다. **무선 네트워크** 탭에서 **기본 설정 네트워크**의 새 무선 네트워크 SSID 이름을 확인해야 합니다. 새 무선 네트워크 구성을 선택하고 **속성**을 클릭하여 설정을 탐색하고 그 설정이 무선 네트워킹 그룹 정책에서 선택한 것과 일치하는지 확인합니다. 3. **기본 설정 네트워크**에 SSID 이름이 나타나지 않거나 네트워크 설정이 무선 네트워킹 그룹 정책에 구성된 설정과 일치하지 않는 경우 모든 무선 네트워크 대화 상자를 닫고 명령 프롬프트에서 GPUPDATE /force를 실행합니다. 몇 분 후 설정을 다시 점검하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 802.1X 네트워킹용 무선 AP 구성 무선 AP 구성 절차는 해당 장치의 제조업체와 모델에 따라 다릅니다. 그러나 무선 AP 공급업체는 일반적으로 장치 구성을 위한 설명서를 다음 사항과 함께 제공합니다. - 802.1X 네트워킹 설정 - 주 RADIUS 인증 서버의 IP 주소 - 주 RADIUS 계정 서버의 IP 주소 - 주 RADIUS 서버와 함께 공유된 RADIUS 비밀 - 보조 RADIUS 인증 서버의 IP 주소 - 보조 RADIUS 계정 서버의 IP 주소 - 보조 RADIUS 서버와 함께 공유된 RADIUS 비밀 802.1X용 무선 AP 구성에 관한 정보는 공급업체 설명서를 참조하십시오. 현재 사용 환경의 사용자가 다른 보안이 없고 정적 WEP 보안만 구성되어 있는 무선 AP를 사용하는 경우 마이그레이션 계획을 세워야 합니다. 기존 무선 네트워크로부터 마이그레이션하는 방법에 관한 자세한 정보는 6장 "802.1X를 사용한 무선 LAN 보안 디자인"를 참조하십시오. 다양한 공급업체의 무선 AP 구성을 다루는 것은 본 설명서의 범위를 벗어나지만 무선 AP와 관련한 보안 논의는 6장을 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 테스트 및 확인 이제 컴퓨터 인증서, 사용자 인증서, 무선 네트워크 그룹 정책 및 WLAN NIC로 구성된 클라이언트 컴퓨터를 이용하여 802.1X 기반 WLAN의 기능을 테스트해야 합니다. **무선 네트워크 기능을 테스트하려면 다음을 수행합니다.** 1. 원격 액세스 정책 - 무선 컴퓨터 보안 그룹의 구성원인 클라이언트 컴퓨터를 다시 시작합니다. 2. 원격 액세스 정책 - 무선 사용자 그룹의 구성원인 사용자로 컴퓨터에 로그인합니다. 3. 명령 프롬프트에서 **ping** 명령을 사용하여 네트워크의 다른 컴퓨터에 대한 네트워크 연결을 테스트합니다. 상세한 테스트 절차는 13장 "솔루션 테스트"를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 요약 이 장의 모든 절차를 수행했으면 다음 작업을 완료한 것입니다. - WLAN 보안 구성 요소를 관리하는 데 사용하는 Active Directory 보안 그룹이 만들어지고 구성됩니다. - 필요한 인증서 템플릿이 만들어지고 무선 인증서가 IAS 서버, 선택한 컴퓨터 및 선택한 최종 사용자에게 배포됩니다. - 무선 네트워킹을 위한 IAS 기반 원격 액세스 정책과 연결 요청 정책을 만들고 구성했습니다. - 802.1X용 무선 AP가 구성됩니다. - 무선 네트워크 그룹 정책이 만들어지고 선택한 클라이언트 컴퓨터에 배포됩니다. 이 작업을 완료하면 802.1X 기반 WLAN 보안 인프라는 완벽하게 동작하고 조직의 네트워크 보안을 강화시킵니다. #### 추가 정보 - https://www.microsoft.com/korea/windows2000/techinfo/ administration/management/pgremote.asp에서 기사 ["Windows 2000 원격 액세스 정책을 사용한 그룹 단위 기준 원격 액세스 관리"](https://www.microsoft.com/korea/windows2000/techinfo/administration/management/pgremote.asp)를 참조하십시오. - [Windows Server 2003 제품 설명서(영문)](https://www.microsoft.com/windowsserver2003/proddoc/default.mspx)는 www.microsoft.com/windowsserver2003/proddoc/default.mspx에 있습니다. 제품 설명서에서는 IAS 기능 개요, 기본 구성 지침, 유용한 배포 정보 등을 제공합니다. - [IAS 기술 참조(영문)](https://www.microsoft.com/resources/documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ias_intro.asp)는 자세한 정보가 필요할 때 참조할 수 있는 IAS에 관한 상세한 기술 정보를 제공합니다. https://www.microsoft.com/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR\_ias\_intro.asp를 참조하십시오. - *Microsoft Windows Server 2003 Deployment Kit*의 ["Deploying a Wireless LAN"](https://www.microsoft.com/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbm_wir_overview.asp)(영문) 장은 www.microsoft.com/resources/documentation/ WindowsServ/2003/all/deployguide/en-us/DNSBM\_WIR\_OVERVIEW.asp 에 있습니다. Deployment Kit의 이 장에는 이 보안 무선 네트워킹 지침의 범위를 벗어나지만 디자인 결정에 영향을 주는 다양한 시나리오에서 IAS를 사용하기 위한 배포 지침이 들어 있습니다. - 광범위한 802.1X WLAN 사용, WLAN 보안 문제 및 관련 표준은 www.drizzle.com/~aboba/IEEE/의 [The Unofficial 802.11 Security Web Page](https://www.drizzle.com/~aboba/ieee/)(영문)를 참조하십시오. - WLAN 솔루션과 업계 정보에 대한 자세한 정보는 https://www.wi-fialliance.org의 [WiFi Alliance웹 사이트](https://www.wi-fialliance.org/)(영문) 를 방문하십시오. - 배경 정보, 시장 조사, 백서, 교육 프로그램을 비롯하여 WLAN 기술에 관한 정보는