3장 무선 LAN 보안 솔루션 아키텍처

  • 아티클

게시 날짜: 2004년 11월 20일 | 업데이트 날짜: 2004년 11월 24일

이 페이지에서

소개
개념적 디자인
솔루션 디자인 기준
솔루션 논리적 디자인
디자인 기준 재평가
요약

소개

앞 장에서는 무선 LAN 보안 옵션에 대해 논의하고 이 솔루션에서 EAP-TLS(확장할 수 있는 인증 프로토콜 전송 계층 보안) 프로토콜을 사용하는 802.1X 무선 인증을 선택한 이유를 설명했습니다. 이 장은 솔루션 아키텍처에 대해 설명하고 논리적 디자인은 예제 회사의 디자인 기준을 토대로 합니다.이 정보를 솔루션 구현의 밑그림으로 사용할 수 있습니다. 논리적 디자인은 802.1X WLAN 네트워크 하드웨어, RADIUS(Remote Authentication Dial-In User Service) 인증 및 PKI(공용 키 구조)를 기반으로 합니다.

장 전제 조건

IT 인프라 디자인 개념을 이해하고 디자인을 구성하는 핵심 구성 요소에 익숙해져야 합니다. 핵심 구성 요소는 WLAN 및 네트워킹 구성 요소, RADIUS, Active Directory® 디렉터리 서비스 및 PKI입니다. 이 구성 요소에 대한 상세한 지식은 필요치 않습니다.

장 개요

이 장의 목표는 다음과 같습니다.

  • 802.1X 및 EAP TLS 프로토콜 기반의 보안 WLAN 솔루션의 기능 및 이 솔루션의 핵심 구성 요소의 개념을 간략하게 소개합니다.

  • 논리적 디자인을 위한 솔루션 디자인 기준 및 후반부의 상세한 기술 디자인까지 정의합니다.

  • 다음 장에서 다룰 세부 디자인의 토대를 형성하는 견고한 논리적 디자인을 생성합니다.

  • 다양한 규모의 여러 조직의 요구에 맞게 솔루션을 확장하는 방법을 설명합니다.

  • 제안된 디자인을 확장하거나 이를 VPN(가상 사설망) 및 유선 네트워크 액세스 제어를 포함하는 다른 네트워크 액세스 솔루션 구축의 토대로 사용하는 방법을 상세하게 설명하고 디자인의 PKI 구성 요소를 다양한 보안 응용 프로그램의 기반으로 활용하는 법을 살펴봅니다.

다음 장에서는 솔루션 구축 및 운영을 대비하여 논리적 디자인의 주요 구성 요소(WLAN, RADIUS 및 PKI) 각각의 상세한 디자인 프로세스를 다룹니다.

페이지 위쪽

개념적 디자인

앞 장에서 설명했듯이 무선 네트워킹에는 본질적으로 여러 가지 심각한 보안상의 약점이 있습니다. 이러한 약점은 IEEE(Institute of Electrical and Electronics Engineers) 802.11 표준에 지정된 WEP(Wired Equivalent Privacy)를 사용하여 기껏해야 일부만 해결할 수 있습니다. 이 설명서에 제시된 솔루션은 무선 네트워크 통신 보안을 개선하는 문제를 다룹니다. 이를 위해 이상적인 솔루션은 다음 기능을 갖추고 있어야 합니다.

  • 견고한 무선 클라이언트 인증 여기에는 클라이언트, 무선 AP(액세스 지점) 및 RADIUS 서버의 상호 인증이 포함되어야 합니다.

  • 무선 네트워크에 액세스할 수 있는 사용자를 결정하는 권한 부여 프로세스

  • 네트워크 액세스를 허가 받은 클라이언트에게만 허용하는 액세스 제어

  • 무선 네트워크 트래픽의 수준 높은 암호화

  • 암호화 키의 안전한 관리

  • DoS(서비스 거부) 공격에 대한 복원성

네트워크 액세스 제어에 대한 802.1X 표준을 EAP-TLS 등의 보안 인증 방법과 결합하면 이러한 요구 사항을 충족시킬 수 있습니다. 고강도 WEP는 네트워크 트래픽을 비교적 안전하게 암호화하지만 키 관리는 효율적이지 않습니다. 802.1X 및 EAP 고유의 WEP 암호화 키 관리 방법은 802.11 기반 표준에서 허용하는 것보다 훨씬 안전합니다. WPA(WiFi Protected Access) 표준은 802.1X 및 EAP(기타 개선 기능도 있음) 및 TKIP(임시 키 통합 프로토콜)라고 하는 표준 키 관리 프로토콜을 포함하는 산업 기반 표준 집합입니다. WPA 표준은 WLAN 보안에 상당한 진전을 이루었고 대부분의 분석가와 제조업체로부터 인정 받았습니다.

참고: WPA 개선 기능 중에 802.11 및 802.1X 모두에 해당되는 DoS 취약점을 다루는 기능은 없습니다. DoS 약점은 WEP의 다른 결점만큼 심각한 것이 아니며 명시된 대부분의 DoS 공격은 일시적인 네트워크 붕괴를 가져올 뿐입니다. 하지만 DoS 공격 위협은 일부 조직에서는 여전히 심각한 문제이고 2004년 예정인 IEEE 802.11i 표준이 나오기 전에는 해결될 가능성이 희박합니다.

현재 WPA 지원이 널리 보급되어 있지만 아직 WPA를 지원하지 않는 기존 장치와 시스템이 많습니다. 이런 이유로 이 설명서의 솔루션은 동적 WEP 및 WPA 모두와 동작하도록 설계되어 있습니다. 대부분의 네트워크 하드웨어 제조업체는 동적 WEP 키 및 WPA를 갖춘 802.1X를 지원하는 제품을 판매합니다. 이 장의 디자인에서는 두 가지 방법이 번갈아 사용되므로 한 가지 방법만 사용한다고 디자인에 심각한 영향을 주지는 않습니다.

솔루션(802.1X EAP-TLS 인증)의 개념도가 다음 그림에 나와 있습니다.

그림 3.1 802.1X EAP-TLS 인증 기반의 솔루션 개념

이 그림은 네 가지 주요 구성 요소를 설명합니다.

  • 무선 클라이언트. 네트워크 리소스에 액세스해야 하는 응용 프로그램을 실행하는 컴퓨터 또는 장치입니다. 클라이언트에는 네트워크 트래픽을 암호화하고 키나 암호 같은 자격 증명을 저장하고 안전하게 교환하는 기능이 있습니다.

  • 무선 AP. 이 구성 요소는 일반적인 네트워킹 용어로는 NAS(네트워크 액세스 서비스)라고 하지만 무선 표준에서는 AP라고 합니다. 무선 AP는 네트워크에 대한 액세스를 허용하거나 금지하도록 액세스 제어 기능을 구현하고 무선 트래픽을 암호화하는 기능을 제공합니다. 또한 AP는 암호화 키를 안전하게 클라이언트와 공유하여 네트워크 트래픽을 보호하는 수단도 있습니다. 끝으로 인증 및 권한 부여 서비스에 권한 부여 결정을 쿼리할 수 있습니다.

  • AS(인증 서비스). 이 구성 요소는 유효한 사용자의 자격 증명을 저장 및 확인하고 액세스 정책에 기초하여 권한 부여 결정을 합니다. 또한 클라이언트의 네트워크 액세스에 대한 계정 및 감사 정보를 수집할 수도 있습니다. RADIUS 서버는 AS의 주요 구성 요소이지만 디렉터리와 CA도 이 기능을 수행하는 데 역할을 합니다.

  • 내부 네트워크. 무선 클라이언트 응용 프로그램이 액세스해야 하는 네트워크로 연결된 서비스의 보안 영역입니다.

그림에서 숫자는 네트워크 액세스 프로세스를 나타냅니다. 다음 단계에서 보다 자세히 설명합니다.

  1. 무선 클라이언트는 무선 네트워크 액세스를 설정하기 전에 AS에서 자격 증명을 받아야 합니다. (이는 대역 외 연결(outofband) 방법(예: 플로피 디스크 교환)을 사용하여 수행할 수도 있고 유선 또는 기타 보안 네트워크에서 할 수도 있습니다.)

  2. 클라이언트 컴퓨터가 무선 AP의 범위에 있으면 AP에서 활성화되어 있는 WLAN에 연결을 시도합니다. WLAN은 SSID(서비스 집합 ID)로 식별합니다. 클라이언트는 WLAN SSID를 탐지하고 이를 사용하여 해당 WLAN에서 사용할 정확한 설정 및 자격 증명 형식을 결정합니다.

    무선 AP는 보안(802.1X 인증) 연결만 허용하도록 구성됩니다. 클라이언트가 연결을 시도하면 AP는 일단 클라이언트를 통제합니다. 그런 다음 AP는 클라이언트가 RADIUS 서버하고만 통신할 수 있는 제한된 채널을 만듭니다. 이 채널은 네트워크의 다른 부분에 대한 액세스를 차단합니다. RADIUS 서버는 신뢰할 수 있는 무선 AP 또는 Microsoft IAS(Internet Authentication Service) 서버에 RADIUS 클라이언트로 구성되어 있고 해당 RADIUS 클라이언트에 공유 암호를 제공하는 AP의 연결만 허용합니다.

    클라이언트는 802.1X를 사용하는 제한된 채널에서 RADIUS 서버의 인증을 받으려 합니다. EAPTLS 협상의 일부로 클라이언트는 RADIUS 서버와 TLS(전송 계층 보안) 세션을 설정합니다. TLS 세션을 사용하는 것은 다음 목적을 위해서입니다.

    • TLS 세션으로 클라이언트는 RADIUS 서버를 인증합니다. 즉, 클라이언트는 클라이언트가 신뢰하는 인증서를 보유한 서버하고만 세션을 설정합니다.

    • 클라이언트가 인증서 자격 증명을 RADIUS 서버에 제공할 수 있습니다.

    • 패킷 스누핑으로부터 인증서 교환을 보호합니다.

    • TLS 세션 협상으로 클라이언트와 RADIUS 서버가 공통 마스터 키를 설정하는 데 사용하는 키를 생성합니다. 이 키를 사용하여 WLAN 트래픽을 암호화하는 데 사용하는 키를 유도합니다.

    이 교환 과정에서 TLS 터널 내부의 트래픽은 클라이언트와 RADIUS 서버만 볼 수 있고 무선 AP에는 노출되지 않습니다.

  3. RADIUS 서버는 디렉터리와 대조하여 클라이언트 자격 증명을 확인합니다. 클라이언트가 인증을 받으면 RADIUS 서버는 클라이언트에게 WLAN 사용을 허가할지 결정하는 데 필요한 정보를 수집합니다. RADIUS 서버는 디렉터리의 정보(예: 그룹 구성원 자격) 및 액세스 정책에 정의된 제한 사항(예: WLAN 액세스 허용 기간)을 참조하여 클라이언트에게 액세스를 부여하거나 거부합니다. 그런 다음 RADIUS는 액세스 결정을 AP에 전파합니다.

  4. 클라이언트에게 액세스 권한을 부여하면 RADIUS 서버는 클라이언트 마스터 키를 무선 AP에 전송합니다. 그러면 클라이언트와 AP는 둘 사이에 전송되는 WLAN 트래픽을 암호화하고 암호를 해독하는 데 사용할 공통 키 정보를 공유합니다.

    동적 WEP를 사용하여 트래픽을 암호화하는 경우 WEP 키 복구 공격을 차단하기 위해 마스터 키를 주기적으로 변경해야 합니다. RADIUS 서버는 정기적으로 클라이언트가 재인증을 받고 새 키 집합을 생성하도록 하여 이를 수행합니다.

    통신 보안에 WPA를 사용하는 경우 마스터 키 정보를 사용하여 데이터 암호화 키를 유도합니다. 데이터 암호화 키는 전송되는 패킷별로 달라집니다. WPA는 키 보안을 위해 재인증을 자주 실행할 필요가 없습니다.

  5. AP가 내부 LAN과 클라이언트 WLAN 연결을 설정하여 클라이언트에 내부 네트워크 시스템에 대한 무제한 액세스 권한을 허용합니다. 이제 클라이언트와 AP 사이에 전송되는 트래픽이 암호화되었습니다.

  6. 클라이언트가 IP 주소가 필요한 경우 LAN의 서버에 DHCP(Dynamic Host Configuration Protocol) 임대를 요청할 수 있습니다. IP 주소가 할당되면 클라이언트는 네트워크 전체의 시스템과 정상적으로 정보 교환을 시작합니다.

다음 그림은 이 과정을 상세하게 보여줍니다.

그림 3.2 802.1X EAP-TLS 액세스 과정

그림에는 개별 구성 요소가 더 자세히 나와 있습니다. 이 장 뒷부분에서는 이 다이어그램으로 돌아와 이를 기반으로 확장하게 됩니다. 지금은 AS의 하위 구성 요소인 인증 기관(CA), 디렉터리 및 RADIUS 서버를 익히는 것이 좋습니다. 개념적으로 이러한 하위 구성 요소는 비교적 단순한 일련의 작업을 수행하지만 확장 및 관리가 가능하고 안정적이며 안전한 방식으로 이러한 작업을 수행하려면 상당히 정교한 인프라가 필요합니다. 이를 필요로 하는 계획, 구현 및 관리 작업 대부분을 이 설명서 나머지 장에서 상세히 다룹니다.

페이지 위쪽

솔루션 디자인 기준

솔루션의 기본 개념을 설명했으므로 이제 솔루션의 주요 디자인 기준을 살펴 보겠습니다. 이 기준은 솔루션 개념을 실제로 구현할 수 있는 디자인으로 바꾸는 지침을 제공합니다.

디자인 기준은 이 솔루션을 구현하는 일반적인 조직의 요구 사항에서 비롯된 것입니다. 다음 절은 조직 및 조직의 주요 기술 요구 사항을 설명합니다.

대상 조직

이 절에서 조직에 대한 설명은 디자인 기준에 대한 전후 상황을 제공하려는 것뿐입니다. 솔루션이 사용자의 조직에 적합한지 평가할 때 조직이 여기서 설명하는 것과 같은지가 아니라 디자인 기준이 사용자에게 의미가 있는지에 초점을 맞춰야 합니다.

솔루션 대상이 되는 조직이 네트워크 인프라 비용을 최소화하고 담당자 이동성과 생산성을 높이기 위해 일부 위치에 WLAN을 배포했을 수 있습니다. 조직은 보안 필요성에 대한 인식이 분명하고 IT 보안을 강화하기 위해 이미 수많은 기술을 배포한 상태입니다. 예를 들어 도메인 인증, 인터넷 방화벽, 바이러스 검색 프로그램 및 원격 액세스 또는 VPN 솔루션을 배포합니다. 또한 파일 암호화와 보안 전자 메일과 같은 다른 고급 보안 응용 프로그램을 사용하려는 장기적인 계획도 있습니다.

이 조직의 단순화시킨 논리적 및 물리적 네트워크 레이아웃은 대략 다음 그림에 정의된 레이아웃과 같습니다.

그림 3.3 대상 조직의 네트워크 및 물리적 레이아웃 구성도

그림에는 큰 외곽 사무실 하나와 작은 사무실 하나만 나오지만 실제로는 몇 개씩 있을 수 있습니다. 알기 쉽도록 소수의 서버와 클라이언트만 나와 있습니다. 이렇게 적은 수의 호스트는 평균적인 조직 환경을 나타낼 수 없습니다.

특정 한계 내에서 대상 조직의 크기는 솔루션에 대한 디자인 기준에 비교적 큰 영향을 주지 않습니다. 소규모 조직의 경우 수백명의 직원이 있는 본사가 있고 이들이 수십 명의 직원이 근무하는 지점과 함께 일할 수 있습니다. 더 큰 규모의 조직에서는 본사 직원은 수천 명에 이르고 지사에는 수백 명의 직원이 있을 수 있습니다. 큰 조직이든 작은 조직이든 적은 수의 직원이 근무하는 작은 사무소도 있습니다.

조직 요구 사항

다음 요구 사항은 이 시나리오에서 구성한 조직에 일반적인 것입니다.

  • 조직은 WLAN 보안을 강화하여 다음 위협을 제거하거나 크게 줄여야 합니다.

    • 침입자가 WLAN에서 데이터 전송을 도청

    • 침입자가 WLAN에서 데이터 전송을 가로채고 수정

    • 침입자 또는 권한이 없는 다른 사용자가 WLAN에 연결하여 바이러스나 기타 악의적인 코드를 내부 네트워크에 전파

    • 네트워크 수준(무선 수준이 아닌) DoS 공격

    • 침입자가 회사 WLAN을 이용하여 인터넷 액세스 권한 획득

  • 보안 조치는 네트워크 가용성에 영향을 주지 않아야 하며 지원 부서 호출을 크게 증가시키지 않아야 합니다.

  • 배포 및 진행 중인 관리 비용은 비교적 적은 수(직원의 10% 미만)의 WLAN 사용자가 솔루션을 사용해도 비용면에서 정당하다고 여겨질 수 있을 정도로 낮은 비용이어야 합니다.

  • 광범위한 클라이언트와 장치를 디자인에서 지원할 수 있어야 합니다.

이 외에도 보다 일반적인 많은 기술 요구 사항이 있습니다.

  • 한 구성 요소 실패에 대한 복원력을 유지해야 합니다.

  • 앞으로 기존 노동력의 100% 이상의 확장에 대비하여 높은 사용 수준을 처리할 수 있는 확장성이 있어야 합니다. 증가하는 사용자를 지원하기 위한 비용은 최소이거나 적어도 필요한 확장에 비례하여 적절한 수준이어야 합니다.

  • 필요한 경우 구성 요소의 재사용.솔루션은 기존의 인프라를 다시 사용해야 하며 솔루션으로 도입된 모든 새로운 구성 요소는 향후 프로젝트에서 다시 사용할 수 있어야 합니다.

  • 기존 관리 및 모니터링 인프라가 새로운 솔루션을 쉽게 수용할 수 있어야 합니다.

  • 치명적인 오류가 발생할 경우 복구 능력(예: 대체 하드웨어에 백업 복원)을 유지해야 합니다.

  • 산업 표준 프로토콜 및 형식을 따라야 합니다.현재 표준이 아직 없는 경우 솔루션은 향후 표준에 맞춰야 합니다.

  • 솔루션에 자격 증명 및 키의 견고한 보안(정기적 갱신 포함) 대책이 있어야 합니다.

  • 사용자 등록 및 클라이언트의 네트워크 액세스에 대한 완전한 감사 정보를 제공해야 합니다.

솔루션 디자인 기준

이러한 요구 사항으로부터 솔루션 디자인 지원을 위한 다음 표의 기준을 끌어낼 수 있습니다.

표 3.1 솔루션 디자인 기준

디자인 요소 기준
보안 무선 클라이언트의 견고한 인증 및 권한 부여 허가 받은 클라이언트에게만 네트워크 액세스를 허용하는 견고한 액세스 제어 -무선 네트워크 트래픽의 고강도 암호화 -암호화 키의 안전한 관리 DoS 공격에 대한 복원력
확장성 기본 디자인을 다양한 조직 규모에 맞게 확대 및 축소합니다.
최소/최대 사용자 지원 500 15,000 이상의 WLAN 사용자 500 15,000 이상의 인증서 사용자
지원하는 사이트 수 여러 대형 사이트 로컬 인증 도메인 컨트롤러 및 Microsoft IAS(Internet Authentication Service)가 있고 WAN(wide area network) 실패에 대한 복원력 지원 WAN 실패에 대한 복원력이 없는 여러 작은 사이트
구성 요소 다시 사용(기존 인프라 사용) Active Directory, 네트워크 서비스 및 Microsoft Windows® XP 클라이언트 사용
구성 요소 다시 사용(향후 응용 프로그램에서 사용 가능성) 인증 인프라로 기타 네트워크 액세스 응용 프로그램(VPN 및 802.1X 유선 네트워크 액세스) 지원 PKI로 광범위한 응용 프로그램 지원(예: EFS(파일 암호화 시스템) 및 VPN)
가용성 단일 구성 요소 또는 네트워크 연결 장애에 대한 복원력
확장성 향후 기능 및 표준(예: 802.11i, WPA, WLAN용 802.11a)을 지원하도록 확장 가능 인증서 인프라를 확장하여 대부분의 공용 키 인증서 사용을 지원함(보안 전자 메일, 스마트 카드 로그온, 코드 서명 및 웹 서비스 보안).
관리 효율 기존 회사 관리 솔루션으로 통합(시스템 및 서비스 모니터링, 백업, 구성 관리 등 포함)
IT 조직 구조 중앙 IT(최소 5명 그리고 일반적으로 20-30명의 IT 직원이 있는 부서) 지지
표준 준수 현재의 관련 표준 준수 및 미래의 관련 표준에 대한 명확한 이전 경로 제공
[](#mainsection)[페이지 위쪽](#mainsection) ### 솔루션 논리적 디자인 이 절에서는 논리적 및 논리적-물리적 솔루션 디자인을 설명합니다. 여기에는 서버 하드웨어 사양과 같은 물리적 디자인 내역은 포함하지 않지만 실제 구성 요소의 사양 및 배치가 포함됩니다. #### 개념적 디자인 검토 이 절은 앞에서 소개했던 다음 그림을 사용하여 다양한 구성 요소가 전체 디자인을 어떻게 구성하는지 살펴봅니다. [![](images/Dd547897.03fig3-4(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-4_big(ko-kr,technet.10).gif) **그림 3.4 네트워크 액세스 프로세스의 개념적 보기** #### 논리적 설계 앞의 그림은 WLAN 액세스 프로세스를 이해하기 쉽도록 논리적 구성 요소를 나누었습니다. 하지만 배포 및 관리를 단순화하기 위해 구성 요소 그룹을 약간 변경하는 것이 좋습니다. 구성 요소 그룹화를 통해 구성 요소 재사용을 극대화할 수 있도록 모듈식으로 전체 디자인을 볼 수 있습니다. 예를 들어 WLAN 사용자를 인증하기 위한 수단으로만 PKI 구성 요소를 구현할 수 있습니다. 하지만 PKI 구성 요소를 다른 응용 프로그램에 다시 사용할 수 있는 가능성이 제한됩니다. 마찬가지로 솔루션의 RADIUS 구성 요소가 향후 지원해야 하는 다른 응용 프로그램이 무엇인지 염두에 두고 RADIUS 구성 요소를 디자인해야 합니다. 디자인의 IT 서비스는 다음 범주로 그룹화됩니다. - WLAN 구성 요소 -무선 클라이언트 및 액세스 지점 - RADIUS 구성 요소 - PKI 구성 요소 - 인증 기관(CA) - 인프라 서비스 구성 요소 이 마지막 구성 요소에는 디렉터리 및 지원 네트워크 서비스가 들어 있습니다. 이는 일반적으로 조직이 이미 갖춘 IT 서비스이면서 솔루션이 어떤 식으로든 상호 작용하는 서비스로 이루어져 있습니다. [![](images/Dd547897.03fig3-5(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-5_big(ko-kr,technet.10).gif) **그림 3.5 보안 WLAN 솔루션의 논리적 디자인** ##### 논리적-물리적 수준 논리적-물리적 수준에서는 이러한 구성 요소가 물리적 서버로 구현되는 방법, 서로 연결되는 방법 및 대상 조직의 여러 사이트에 배포되는 방법 등을 보여줍니다. 하지만 다음 그림에 표시된 서버 수는 일반화한 것입니다. 서버 수 및 배치의 최종 결정은 설명서 계획 장 뒷부분에서 논의합니다. ###### 본사 다음 그림은 본사에서의 서버 구현을 보여 줍니다. 맨 위의 세 구성 요소는 취득해야 하는 새 서버 또는 구성 요소를 나타냅니다. 인프라 서비스 구성 요소는 일반적으로 대부분의 조직에서 이미 일정 형태로 존재하고 있습니다. 조직이 이미 802.1X를 사용할 수 있는 WLAN 장비를 배포한 경우 WLAN 구성 요소를 가지고 있을 수 있습니다. [![](images/Dd547897.03fig3-6(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-6_big(ko-kr,technet.10).gif) **그림 3.6 본사 서버 구현** ###### 대규모 지점/지역 사무소 다음 그림은 로컬 도메인 컨트롤러를 보유하여 소규모 지점과 구별되는 대규모 지점의 물리적 레이아웃을 보여 줍니다. 단일 IAS 서버가 원격 사무소에 배포됩니다. IAS 서버를 별도의 서버로 표시했지만 이 서비스를 도메인 컨트롤러에 실행할 수 있습니다. **참고**: 본사에 대한 WAN 연결을 신뢰할 수 있는 경우, 즉 중복 네트워크 연결이 있고 지나치게 혼잡하지 않은 경우 대규모 지점은 자체 RADIUS 서비스를 준비하는 대신 본사 RADIUS 서비스를 사용할 수 있습니다. 이 옵션은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"에서 상세하게 논의합니다. 기타 모든 서비스(예: CA)는 본사에서 공급됩니다. [![](images/Dd547897.03fig3-7(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-7_big(ko-kr,technet.10).gif) **그림 3.7 대규모 지점의 실제 레이아웃** ###### 소규모 지점 작은 지점이 IT 인프라(예: 파일 서버 및 프린터)를 어느 정도 갖추고 있더라도 일반적으로 인증 인프라는 보유하고 있지 않습니다. 일부 조직은 이러한 소규모 지점에는 WLAN 서비스가 필요하지 않거나 적합하지 않다고 간주합니다. 임시 사무소를 사용하는 다른 조직은 네트워크 케이블을 설치하여 관리할 필요가 없다는 점을 장점으로 여깁니다. WLAN 서비스가 로컬 도메인 컨트롤러가 없는 소규모 사무소에 필요한 경우 로컬 무선 AP는 본사에 있는 IAS와 도메인 인증 인프라에 의존합니다. 이 접근 방식의 문제는 본사에 대한 WAN 연결이 실패할 경우 모든 WLAN 연결이 손실된다는 점입니다. 이 시나리오에 맞는 쉬운 솔루션이 없지만 WAN 중복성을 제공하거나 로컬 도메인 컨트롤러를 배포하여 취약점을 다룰 수 있습니다. 소규모 지점의 WAN 중복성 또는 로컬 도메인 컨트롤러 배포가 비용이 너무 많이 들면 WPA PSK(미리 공유한 키) 모드를 사용하여 독립된 무선 AP를 배포하는 방법도 있습니다. 이제 모든 Wi Fi 인증 무선 AP가 WPA를 지원합니다. 이는 정적 WEP보다 훨씬 안전하지만 이 옵션에는 추가의 관리 오버헤드가 있습니다. [![](images/Dd547897.03fig3-8(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-8_big(ko-kr,technet.10).gif) **그림 3.8 소규모 지점의 실제 레이아웃** ##### 확장 전략 주요 디자인 기준 중 하나는 디자인을 확장할 수 있어야 한다는 점입니다. 솔루션은 각각에 적합한 비용으로 광범위한 크기의 구현을 지원해야 합니다. 예를 들어 사용자가 500명인 솔루션 구현은 사용자가 5,000명일 때보다 그만큼 비용이 적게 듭니다. 또한 솔루션 구현 및 관리 복잡성이 이 범위의 조직이 감당할 수 있도록 현실적이어야 합니다. ###### 대규모 조직 다음 그림은 본사 및 규모가 큰 지점의 수많은 사용자를 수용하도록 디자인을 확장하는 방법을 설명합니다. IAS 서버는 VPN과 같은 다른 네트워크 응용 프로그램에 서비스를 제공할 수도 있습니다. 이 주제에 관한 자세한 정보는 이 장 뒷부분의 "디자인 확장*"* 절을 참조하십시오. 이 고려 사항은 서버의 정확한 레이아웃과 수에도 영향을 줄 수 있습니다. 추가 IAS 서버가 다음 그림에 나와 있는데 설명을 위한 것뿐입니다. 솔루션 확장 버전에 필요한 추가 서버는 음영 표시됩니다. [![](images/Dd547897.03fig3-9(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-9_big(ko-kr,technet.10).gif) **그림 3.9 대규모 조직에 맞게 확장된 솔루션** ###### 소규모 조직 한편으로 비교적 많지 않은 새 하드웨어와 소프트웨어를 사용하여 솔루션을 구현할 수 있습니다. 이는 주로 기존 도메인 컨트롤러에 IAS 서비스를 실행하여 구현합니다. 이 구성은 IAS 제품 그룹으로 광범위한 테스트를 통과했으므로 많은 시나리오에 사용할 수 있습니다. 다음 그림은 이 버전의 디자인을 보여줍니다. [![](images/Dd547897.03fig3-10(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-10_big(ko-kr,technet.10).gif) **그림 3.10 소규모 조직에 맞게 확장한 솔루션** 이 그림에서 RADIUS 구성 요소는 논리적으로 별도로 표시되어 있지만(비교하기 쉽도록 이전 그림의 레이아웃과 맞추기 위해) 실제로는 기존 도메인 컨트롤러의 서비스로 구현됩니다. 이 솔루션 버전에서 필요한 유일한 서버는 솔루션 디자인의 PKI 영역에 상주하는 CA입니다. #### 디자인 확장 다른 핵심 디자인 기준은 향후 애플리케이션에서의 구성 요소 재사용입니다. RADIUS 구성 요소와 PKI 구성 요소 모두 다시 사용되어 다양한 응용 프로그램에 인증과 기타 보안 서비스를 제공할 수 있습니다. ##### 기타 네트워크 액세스 서비스 이 솔루션의 RADIUS 디자인은 802.1X 유선 네트워크 인증과 VPN 및 원격 액세스 인증 등의 인증, 권한 부여 및 다른 네트워크 액세스 서버에 대한 계정 서비스를 제공할 수 있습니다. ###### 802.1X 유선 네트워크 인증 기본 WLAN RADIUS 디자인을 수정하지 않아도 되는 가장 간단한 응용 프로그램은 802.1X 유선 인증입니다. 유선 네트워크 인프라가 널리 분포된 조직에서는 회사 네트워크의 무단 사용을 제어하기가 어렵습니다. 예를 들어 방문객이 랩톱에 연결하는 것을 막거나 직원이 허가되지 않은 컴퓨터를 네트워크에 추가하는 것을 막기가 어렵습니다. 데이터 센터 같은 네트워크의 어떤 부분은 높은 보안 영역으로 지정될 수 있습니다. 권한이 있는 장치만 높은 보안 영역의 네트워크를 사용하도록 해야 합니다. 심지어 회사 컴퓨터를 사용하는 직원도 제외합니다. 다음 그림은 유선 네트워크 액세스 솔루션을 디자인에 통합한 것입니다. 굵은 선으로 표시한 부분은 802.1X 유선 구성 요소를 나타내고 레이아웃의 나머지 부분은 앞의 디자인 그림에 소개했던 관련 서비스를 나타냅니다. [![](images/Dd547897.03fig3-11(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-11_big(ko-kr,technet.10).gif) **그림 3.11 802.1X 유선 인증 사용** 802.1X 스위치를 사용하는 네트워크는 핵심 솔루션의 무선 AP 역할과 동일한 역할을 수행합니다. 또한 이 네트워크는 동일한 RADIUS 인프라를 사용하여 클라이언트를 인증하고 선별적으로 해당 네트워크 세그먼트에 대한 액세스 권한을 부여합니다. 이 솔루션 버전에는 네트워크 액세스 정책은 여전히 네트워크 보안 관리자의 제어 아래 두면서 회사 디렉터리의 계정을 중앙에서 관리하는 확실한 장점이 있습니다. ###### VPN 및 원격 전화 접속 인증 RADIUS 구성 요소를 이용할 수 있는 다른 네트워크 액세스 서비스는 VPN 및 원격 전화 접속입니다. 특히 대규모 조직에서는 RADIUS 프록시 추가와 같이 현 상태의 디자인에 몇 가지 사항을 추가해야 합니다. 다음 그림은 확장 솔루션을 대략적으로 보여줍니다. [![](images/Dd547897.03fig3-12(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-12_big(ko-kr,technet.10).gif) **그림 3.12 VPN 지원을 위한 RADIUS 구성 요소 확장** 이 솔루션에서 VPN 서버는 핵심 디자인에서 무선 AP와 같은 NAS 역할을 수행합니다. VPN 서버는 클라이언트의 인증 요청을 RADIUS 인프라에 전달합니다. RADIUS 요청을 내부 IAS 서버에 바로 전달하는 것이 가능하지만 요청을 내부 IAS 서버에 전달하는 RADIUS 프록시 계층을 사용하는 것이 더 안전합니다. 이 솔루션은 또한 기존 인프라를 사용하고 계정 관리를 중앙 집중화하면서 액세스 정책 제어는 여전히 네트워크 보안 관리자의 감독 아래 두는 이점이 있습니다. 스마트 카드 기반의 사용자 인증 위임 등의 향상 기능이 솔루션의 전체 보안에 추가되었습니다. Microsoft는 아주 유사한 구성을 사용하여 내부 직원이 안전하게 회사 네트워크에 연결할 수 있도록 합니다. 전화 접속 원격 액세스는 Windows RRAS(라우팅 및 원격 액세스 서비스)의 전화 접속 서버 기능을 사용하여 VPN 기능 대신 NAS와 비슷한 방식으로 작동합니다. 이 시나리오에 RADIUS(특히 IAS)를 사용하면 또 다른 이점이 있습니다. 바로 *차단* 정책을 사용할 수 있다는 점입니다. 이는 Microsoft Windows Server2003의 RRAS(Routing and Remote Access service) 및 연결 관리자(Windows 확장 원격 액세스 클라이언트)를 사용하여 클라이언트 컴퓨터의 보안 상태를 기준으로 액세스를 허가하거나 거부할 수 있습니다. 이 구성으로 IAS는 클라이언트가 네트워크에 연결할 때 특정 요구 사항을 만족하는지 확인할 수 있습니다. 예를 들어 이 절차는 클라이언트가 최신 바이러스 백신 소프트웨어를 가지고 있거나 회사가 승인한 운영 체제 빌드를 사용하고 있는지 확인합니다. 클라이언트가 이 확인 절차를 통과하지 못하면 RADIUS 서버가 네트워크 액세스를 거부합니다. 따라서 올바르게 인증을 받은 사용자 및 컴퓨터도 회사 네트워크에 보안 위협이 될 가능성이 있으면 거부당할 수 있습니다. ##### PKI 응용 프로그램 솔루션 재사용 및 확장성 기준이 중요하기 때문에 PKI 구성 요소는 향후 다양한 보안 응용 프로그램에 사용할 수 있다는 것을 전제로 설계되었습니다. 따라서 다음 장에서 논의할 PKI 디자인은 혼합 전략입니다. 즉, 한편으로 무선 솔루션 보안의 일부로서 비용과 복잡성을 최소화하며 다른 한편으로는 앞으로 다른 응용 프로그램의 기준으로 사용할 수 있는 유연성을 유지하는 것입니다. 다음 그림은 PKI 구성 요소가 무선 응용 프로그램 보안 외에 지원하는 응용 프로그램 몇 가지를 보여줍니다. 일부는 이 솔루션에서 개발한 PKI를 핵심 디자인을 거의 변형하지 않고 사용할 수 있는 비교적 간단한 응용 프로그램입니다. 보안 전자 메일, 스마트 카드 로그온 등의 다른 것들은 보다 복잡하고 대부분 PKI 디자인에 대한 더 신중한 고려와 확장이 필요합니다. [![](images/Dd547897.03fig3-13(ko-kr,TechNet.10).gif)](https://technet.microsoft.com/ko-kr/dd547897.03fig3-13_big(ko-kr,technet.10).gif) **그림 3.13 PKI 응용 프로그램** [](#mainsection)[페이지 위쪽](#mainsection) ### 디자인 기준 재평가 이 장을 끝내기 전에 솔루션의 디자인 기준 목록을 다시 검토하여 제안된 디자인이 앞에서 설정한 목표를 얼마나 잘 달성했는지 평가할 필요가 있습니다. 평가 과정은 다음과 같이 요약할 수 있습니다. 이러한 항목 대부분은 이 장 다음에 나올 구체적인 디자인 장에서 상세히 다룹니다. - **보안**. 이 솔루션 디자인은 강력한 인증, 권한 부여 및 액세스 제어를 포함합니다. 수준 높은 암호화(128비트)는 네트워크 하드웨어의 기능이며 현재 사용 가능한 대부분의 장치에서 지원됩니다. 암호화 키의 보안 관리는 Microsoft 802.1X 클라이언트, 802.1X 사용 무선 AP와 무선 네트워크 카드 및 RADIUS 서버의 조합으로 제공됩니다. DoS 공격에 대한 복원력은 아직 개선의 여지가 많은 부분입니다. 802.11i가 제정될 때까지 현재 산업 표준은 아직 다양한 DoS 공격에 취약합니다. - **확장성**. 기본 디자인은 사용자가 수백 명에서 수천 명에 이르는 다양한 규모의 조직을 비용 효율적인 방법으로 수용합니다. 이 디자인은 또한 지리적 및 네트워크 레이아웃에 관해 유연성이 있습니다. 로컬 도메인 컨트롤러가 없는 소규모 지점의 경우 WAN 안정성이나 낮은 등급의 보안 솔루션에 의존하게 됩니다. - **구성 요소 재사용(기존 인프라 사용)**. 디자인은 Active Directory와 DHCP(Dynamic Host Configuration Protocol) 및 DNS(Domain Name System) 등의 수많은 기존 네트워크 서비스를 사용합니다. - **향후 응용 프로그램에서 구성 요소 재사용**. IAS를 사용하여 구현한 RADIUS 디자인은 다른 네트워크 액세스 응용 프로그램에서 사용하거나 다른 네트워크 액세스 응용 프로그램을 지원하도록 손쉽게 확장할 수 있습니다(예: VPN, 802.1X 유선 네트워크 액세스 및 원격 액세스 전화 접속). 또한 PKI는 EFS와 같은 단순한 공용 키 응용 프로그램을 지원할 수 있고 스마트 카드 로그온 등을 수행하는 복잡한 응용 프로그램으로 작업할 수 있는 환경을 제공합니다. 이 항목은 **확장성**이라는 디자인 기준도 만족합니다. - **가용성**. 솔루션 디자인은 본사 및 RADIUS 서버가 배포되는 외곽 지점에서 단일 구성 요소 또는 네트워크 연결 실패가 발생할 때 복구 기능이 있습니다. 로컬 RADIUS 서버가 없는 소규모 지점은 WAN 실패에 취약합니다. - **관리 효율성**. 솔루션 관리 능력은 디자인으로 정확히 알 수 없지만 운영 프레임워크 디자인에서 이 요구 사항을 다룹니다. - **IT 조직 구조**. 조직의 IT 부서에서 일정 수준의 WLAN 전문성을 확보하는 것이 이런 유형의 솔루션을 배포하고 관리하는 데 필수적입니다. - **표준 준수**. 솔루션은 현재의 공식적인 산업 표준을 준수합니다. 이것은 솔루션이 802.1X 프로토콜, EAP-TLS 및 128비트 동적 WEP 또는 WPA의 기초가 되는 WLAN 보안의 영역과 가장 관련이 있습니다. Microsoft에서는 최근 WLAN 보안에 대해 사용 가능한 최고 수준의 표준을 제공하는 Windows XP용 WPA에 대한 제품 지원을 발표했습니다. 이 디자인은 WPA 또는 동적 WEP를 지원합니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 요약 이 장은 802.1X 프로토콜 및 EAPTLS 사용을 기반으로 한 무선 LAN 네트워크 보안 솔루션의 개념적 디자인을 다루었습니다. 솔루션의 핵심 구성 요소는 아키텍처 수준에서 설명했습니다. 솔루션을 설계하는 데 사용되는 디자인 기준과 함께 이 솔루션에 대한 대상 조직도 간단히 설명했습니다. 디자인 기준을 사용하여 개념적 솔루션을 논리적 솔루션 디자인으로 변환시켰습니다. 또한 다양한 조직 규모와 요구 사항에 맞게 솔루션을 확장하는 구현 옵션 및 기본 디자인을 확장하여 다른 네트워크 액세스 및 보안 응용 프로그램을 지원하는 방법을 살펴보았습니다. 끝으로 주요 디자인 기준을 제안된 디자인 기능과 비교 검토했습니다. 기준 검토는 계획 설명서의 나머지 장을 진행할 수 있는 출발점 역할을 합니다. 다음 세 장은 PKI, RADIUS 인프라 및 WLAN 보안 디자인 등 솔루션의 주요 아키텍처 구성 요소 각각의 디자인을 상세하게 다룹니다. [](#mainsection)[페이지 위쪽](#mainsection)