이 장에서는 WLAN(무선 LAN) 솔루션의 802.1X 기반 무선 네트워크 보안 구성 요소에 대한 아키텍처와 디자인에 대해 설명합니다. 특히 무선 네트워크 보안 구성 요소와 관련된 디자인 결정 사항 및 이 결정에 대한 이유를 제공합니다.
이 장의 가장 큰 목표는 디자인이 조직에 적합한지 판단할 수 있도록 도움을 주는 것입니다. 사용 가능한 대체 디자인이 있을 경우 이 솔루션에 사용된 옵션과 함께 해당 옵션이 제공됩니다. 다른 문서를 참조하지 않고 단계를 이해할 수 있도록 필요에 따라 일부 항목을 다른 항목보다 자세히 설명합니다.
장 전제 조건
이 장을 읽기 전에 802.11 WLAN(Wireless Local Area Network) 개념, 802.1X 네트워크 액세스 제어, RADIUS(Remote Authentication Dial-In User Service) 개념, Microsoft® IAS(Internet Authentication Service) 및 Microsoft Windows® XP Professional을 사용하는 WLAN 배포 옵션을 잘 알고 있어야 합니다. 이 장의 끝에 있는 "추가 정보" 절에 나열된 자료를 참조할 수도 있습니다. 특히, Microsoft Windows Server™ 2003 Resource Kit 및 Microsoft Windows Server 2003 Deployment Kit에 중요한 정보가 들어 있습니다.
장 개요
다음 순서도는 이 장의 구조를 보여 줍니다.
그림 6.1 802.1X를 사용하여 WLAN 보안 계획
이 장은 크게 여섯 단계로 구성됩니다.
802.1X 및 암호화를 사용하여 WLAN 보안. WLAN에는 호환 가능한 WLAN 어댑터를 사용하는 사람이면 누구나 악용할 수 있는 두 가지 주요 보안 문제가 있습니다. 이 장에서 다음 방법과 함께 둘 다 설명합니다.
RADIUS 클라이언트가 RADIUS 서버에 액세스 요청 및 계정 메시지를 보내도록 IEEE(Institute of Electrical and Electronics Engineers) 802.1X 무선 액세스 지점(AP)을 구성하여 네트워크에 대한 보안 액세스를 실행합니다. 이런 RADIUS 서버(IAS 실행)는 중앙 집중화된 원격 액세스 정책을 통해 네트워크 액세스를 제어합니다.
802.11X 네트워킹 장비에 통합된 128비트 WEP(Wired Equivalent Privacy) 또는 WPA(Wi-Fi Protected Access) 암호화 및 무결성 검사 기능을 사용하여 무선 장치와 무선 AP 사이에 전송되는 데이터를 보호할 수 있습니다. 데이터를 보호하면 라디오 전송 데이터의 가로채기 및 악용을 방지할 수 있습니다.
인증서 또는 암호 결정. Microsoft는 기본적으로 802.1X 프로토콜에 사용할 수 있는 몇 가지 인증 프로토콜 종류를 지원합니다. 가장 일반적인 인증 자격 증명 형식은 암호 및 디지털 인증서입니다. 조직에서 선택하는 인증 방법이 솔루션에 필요한 인프라에 상당한 영향을 미칠 수 있습니다. 이 장은 사용자의 조직에 가장 잘 맞는 방법을 결정하는 데 도움이 됩니다.
솔루션 전제 조건상세 설명. 디자인을 시작하기 전에 환경에 대한 솔루션 전제 조건부터 파악해야 합니다. 여기에는 클라이언트 컴퓨터, 서버 인프라 및 WLAN 장비의 요구 사항이 포함됩니다. 이 절에서는 이러한 전제 조건에 대해 자세히 설명합니다.
WLAN 보안 옵션 고려. 보안 옵션을 고려하는 과정은 복잡하며 하드웨어 구입 담당자, 보안 정책 작성자, 사용 가능성 연구 담당자, 네트워크 엔지니어 및 네트워크 작업 관리자가 참여해야 합니다. 이런 전문가들이 이 장에서 설명하는 다음 항목을 고려해야 합니다.
네트워크 권한 부여 요구 사항 결정
클라이언트 구성 전략 선택
트래픽 암호화 요구 사항 결정
무선 네트워크 인프라 디자인 작성
무선 네트워크 그룹 정책과 관련된 고려 사항
802.1X WLAN에 필요한 소프트웨어 설정 결정. 802.1X WLAN 보안을 실현하려면 클라이언트 컴퓨터에 IAS 네트워크 액세스 정책 및 Active Directory® 디렉터리 서비스 GPO(그룹 정책 개체)를 구성해야 합니다. 이 절에서는 실현 방법을 자세히 설명합니다.
추가 요소 고려. 이 절에서는 이 솔루션에 포함되지는 않지만 사용자 환경에 영향을 줄 수 있는 몇 가지 항목에 대해 간략하게 설명합니다. 요소는 다음과 같습니다.
WLAN은 IEEE 802.11과 802.11b 같은 산업 표준을 채택함에 따라 점점 더 광범위하게 사용되고 있습니다. WLAN을 사용하면 무선 AP 가까이에 있는 경우 빌딩이나 캠퍼스를 돌아다닐 때 자동으로 네트워크에 연결됩니다.
그러나 WLAN을 사용할 경우 편리하다는 이점은 있지만 다음과 같은 보안 위험이 발생할 수 있습니다.
호환 가능한 WLAN 어댑터를 사용하는 사람이면 누구나 네트워크에 액세스할 수 있습니다.
무선 네트워킹 신호는 전파를 사용하여 정보를 주고 받습니다. 따라서 무선 AP 거리 내에 있는 사람이면 누구나 무선 AP에서 주고 받는 모든 데이터를 감지하고 받을 수 있습니다.
첫 번째 보안 위험을 해결하려면 IEEE 802.1X 무선 AP를 RADIUS 클라이언트로 구성하여 IAS를 실행하는 RADIUS 서버에 액세스 요청 및 계정 메시지를 보낼 수 있습니다. IAS는 사용자 및 장치 인증을 수행하고 중앙 집중화된 원격 액세스 정책을 통해 네트워크 액세스를 제어합니다.
두 번째 보안 위험을 해결하려면 802.11 네트워킹 장비에 기본으로 제공된 128비트 WEP 또는 WPA 암호화 기능을 사용하여 무선 장치와 무선 AP 사이에 전송되는 데이터를 보호할 수 있습니다.
정적 WEP에는 심각한 설계 상의 결함이 있습니다. 기본 암호화 키 관리 기능이 없어서 키가 정기적으로 업데이트되지 않습니다. 결과적으로 악의적인 사용자에게 암호화 키가 노출될 수 있습니다. IAS를 사용하면 인증서로 인증하는 동안 Windows XP를 실행하는 클라이언트 컴퓨터에 강력한 WEP 키를 동적으로 할당할 수 있습니다. 또한 WEP 키를 정기적으로 다시 생성하여 이러한 키를 검색하기 위해 만들어진 공격 도구를 차단할 수 있습니다.
WPA는 802.11 기반 WLAN 장비용으로 곧 릴리스될 802.11i 보안 표준의 하위 집합입니다. 그리고 정적 WEP의 보안 문제를 해결하기 위해 향상된 암호화 기능을 제공합니다. 이 설명서에 나와있는 솔루션은 WPA 사용에 적합합니다. 즉, 하드웨어에서 WPA를 사용하고 Windows XP 클라이언트로 업데이트해야 합니다.
Microsoft는 기본적으로 802.1X 프로토콜에 사용할 수 있는 몇 가지 인증 방법을 지원합니다. 이때 조직에서는 암호 기반 자격 증명 또는 인증서 기반 자격 증명에 따라 주로 WLAN 클라이언트 인증 방법을 선택합니다.
앞에서 설명했듯이 선택한 인증 방법이 솔루션에 필요한 인프라에 상당한 영향을 미칠 수 있습니다. 802.1X 표준은 서로 다른 인증 유형을 "연결"할 수 있는 EAP(확장할 수 있는 인증 프로토콜)라는 인증 구성표를 사용합니다.
다음 표에서는 Microsoft 802.1X 인프라에 사용할 수 있는 EAP 종류와 각 종류의 장단점에 대해 설명합니다.
표 6.1: 각 EAP 종류의 장점 및 단점
기능
PEAP
EAP-TLS
EAP-MD5
상호 인증
상호 인증
상호 인증
클라이언트 인증만
동적 키 생성, 예약된 시간에 다시 생성
인증하는 동안 생성됨, 정해진 간격에 따라 다시 생성됨
인증하는 동안 생성됨, 정해진 간격에 따라 다시 생성됨
동적 키 생성 또는 다시 생성 없음, 정적 키 사용
보안 기술 수준
강력한 암호 인증 또는 디지털 인증서 사용 가능
가장 강력한 인증
강력하지 않은 보안 기술
사용자 자격 증명 보호
TLS(전송 계층 보안) 터널로 보호됨
인증서 기반 인증이 TLS(전송 계층 보안) 터널로 보호됨
사전 공격에 노출
구현 용이성
광범위하게 지원되고 Windows 클라이언트에 기본으로 제공됨
PKI(공용 키 구조) 필요 광범위하게 지원되고 Windows 클라이언트에 기본으로 제공됨
간단하지만 무선 구성에는 권장되지 않음
자격 증명 유연성
EAP - MSCHAPv2(암호 기반 방법)를 포함하여 TLS 터널을 사용하는 승인된 모든 EAP
디지털 인증서만
암호만
인증서 기반 클라이언트 인증을 수행하는 데 권장되는 EAP 종류는 EAP - TLS이고 암호 기반 클라이언트 인증을 수행하는 데 권장되는 EAP 종류는 PEAP - EAP - MSCHAPv2라고 하는 PEAP(보호된 EAP) 내의 EAP - MSCHAPv2입니다.
PEAP 및 MSCHAPv2를 사용하는 암호 기반 802.1X 인증은 저렴하면서도 강력한 솔루션입니다. 현재 인증서 인프라가 적절하지 않고 EFS(암호화 파일 시스템) 및 VPN(가상 사설망) 등, 다른 용도의 인증서가 필요하지 않은 조직에 적합합니다. 암호 기반 802.1X 인증에서 인증서 기반 인증으로 간단하게 마이그레이션할 수 있습니다. 즉, 융통성 있게 한 인증 방법에서 다른 방법으로 나중에 변경할 수 있습니다.
PEAP를 사용하는 암호 솔루션에도 각 RADIUS 서버에 인증서가 필요합니다. 상용 인증서 공급자의 서버 인증서 구매 관련 비용과 인증서 인프라에서 발생하는 가치를 비교해야 합니다.
인증 방법이 제공하는 보안 수준이 높기 때문에 이 솔루션은 인증서 기반 클라이언트 인증을 사용합니다. 인증 방법에는 EAP – TLS(확장할 수 있는 인증 프로토콜 - 전송 계층 보안) 프로토콜이 사용됩니다.
PEAP 및 MSCHAPv2를 사용하는 암호 기반 802.1X 솔루션을 배포하는 방법을 보려면 2장 "무선 네트워킹 보안 전략 설정" 및 이 장의 끝에 표시된 관련 솔루션 설명서의 *PEAP 및 암호를 사용한 무선 LAN 보안*을 참조하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
### 솔루션 전제 조건
디자인을 시작하기 전에 이 솔루션의 환경 전제 조건부터 이해해야 합니다. 이 절에서는 이러한 전제 조건에 대해 자세히 설명합니다.
#### 클라이언트 컴퓨터 요구 사항
이 솔루션은 Windows XP Professional 서비스 팩 1(SP 1)을 사용하여 설계 및 테스트되었습니다. Windows XP SP1은 비용은 저렴하고 관리하기 쉬운 솔루션을 얻는 데 필요한 특정 802.1X 및 WLAN 기능을 제공합니다.
이 솔루션의 테스트 과정에는 Windows XP Professional과 Windows XP Tablet PC Edition을 둘 다 실행하는 클라이언트 컴퓨터가 포함되었습니다. 두 버전 모두 EAP - TLS 클라이언트 인증에 필요한 컴퓨터 및 사용자 WLAN 인증 인증서 갱신과 자동 인증서 등록 기능을 제공합니다. 이 기능을 사용하면 인증서 및 인증서 기반 802.1X 솔루션과 관련된 비용을 상당히 줄일 수 있습니다.
또한 Microsoft는 Windows 2000(무료 다운로드로 제공), Windows 9*x* 및 Microsoft Windows NT® 4.0(지원 계약에 따라 무료로 제공)에 802.1X 클라이언트를 제공합니다. 그러나 이러한 클라이언트 유형은 이 버전의 솔루션에서 테스트되지 않았습니다.
#### 필수 서버 인프라
이 솔루션은 Windows Server 2003의 인증서 서비스 및 IAS 구성 요소에 따라 다릅니다. 802.1X 기반 WLAN용으로 명시적으로 만들어진 인증서 서비스 및 IAS 기능을 제공합니다. 이 솔루션에 사용된 일부 기능에는 802.1X 프로토콜에 필요한 설정을 간편하게 배포할 수 있는 편집 가능 인증서 템플릿 및 원격 액세스 정책 설정이 들어 있습니다.
이 솔루션은 Windows Server 2003 및 Windows 2000 Active Directory 환경에서 만들어졌습니다. 그리고 Windows Server 2003 도메인 컨트롤러를 사용하여 테스트되었습니다. 필요하면 기존 도메인 컨트롤러 위에 IAS를 설치할 수도 있습니다. 이 옵션과 관련된 코로케이션(co-location) 고려 사항에 대한 자세한 내용은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 설계"를 참조하십시오.
#### 필수 WLAN 장비
이 솔루션에서는 조직에서 이미 배포를 최적으로 설계하고 WLAN 인프라에서 완벽하게 작동 중이라고 가정합니다. 이 설명서에는 무선 AP 배치 및 채널 선택과 같은 무선 네트워크 디자인에 대한 설명이 들어있지 않습니다. 조직에 WLAN 인프라를 배포하지 않은 경우 WLAN 보안 구성 요소의 배포를 시작하기 전에 이를 수행할 수 있는 전문가가 있는지 확인하십시오.
암호화를 위해 네트워크 하드웨어에서 802.1X 및 128비트 WEP이 지원되어야 합니다. 이 솔루션에서는 WLAN 인프라를 오류 없이 작동 중이고, 보안 제어를 사용 중이 아니거나 기본 802.11 보안 제어만 사용 중이라고 가정합니다. 공유 키(정적 WEP) WLAN 또는 개방형 시스템(비보안) 802.11 WLAN에서 이 솔루션으로 마이그레이션하는 과정은 매우 유사합니다. 별 문제 없이 이런 유형의 마이그레이션을 수행할 수 있어야 합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### WLAN 보안 옵션 고려
이제 조직에 필요한 WLAN 보안 정책을 계획해야 합니다. 계획 토론에는 하드웨어 구입, 보안 정책, 사용 가능성, 네트워크 엔지니어링 및 네트워크 작업 담당자가 모두 참여해야 합니다. 이 사람들과 보안 정책에 대해 토론할 때 조직이 직면한 위협을 해결하는 방법과 마이그레이션에 사용할 보안 제어를 결정하십시오.
WLAN 보안 정책을 문서화하여 모든 네트워크 사용자가 사용하고 볼 수 있도록 하는 것도 중요합니다. 이 솔루션은 최신 WLAN 기술과 관련된 위험을 줄일 수 있도록 여러 가지 보안 제어를 제공합니다. 하지만 조직 내에서 보안되지 않은 특별 네트워킹을 수행하고 악의적인 무선 AP를 배포하는 사용자로 인한 위험은 줄일 수 없습니다.
#### 사용자 및 컴퓨터 기반 인증 선택
WLAN 인프라에 대한 식별 방법을 고려하는 경우 사용자 인증을 선택하는 것이 일반적입니다. 그러나 대부분의 경우 WLAN의 완벽한 보안 솔루션을 위해 컴퓨터 또는 장치 인증도 구현할 수 있습니다.
Windows XP Professional에는 활성 네트워크 연결에 대해서만 제대로 실행되는 기능이 많이 있습니다. 802.1X 컴퓨터 인증을 사용하면 시작 시퀀스가 진행되는 동안 사용자가 초기 Windows 로그온 화면을 보기 전에 WLAN 네트워크에 연결됩니다. 사용자가 로그오프한 후 WLAN이 다시 인증되어 항상 네트워크에 연결되어 있는지 확인합니다.
**표 6.2: 컴퓨터 인증을 사용하는 이유**
기능
컴퓨터 인증이 필요한 시나리오
Active Directory 컴퓨터 그룹 정책
Windows 운영 체제에 로그온한 사람이 없는 경우에도 컴퓨터가 시작되는 동안 정해진 간격에 따라 컴퓨터 기반 그룹 정책이 적용됩니다.
네트워크 로그온 스크립트
초기 사용자 로그온을 수행하는 동안 네트워크 로그온 스크립트가 실행됩니다.
시스템 관리 에이전트
Microsoft SMS(Systems Management Server)와 함께 제공되는 에이전트와 같은 시스템 관리 에이전트는 사용자 개입 없이 네트워크에 액세스해야 합니다.
원격 데스크톱 연결
컴퓨터에 로그온한 사람이 없는 경우 Windows 원격 데스크톱 연결에서 컴퓨터에 액세스할 수 있습니다.
공유 폴더
사용자가 로그온하지 않은 경우에도 컴퓨터에서 공유되는 파일과 폴더를 사용할 수 있습니다.
가능한 경우 사용자 기반 인증을 사용하고 필요에 따라 컴퓨터 인증을 사용하도록 전략을 세우는 것이 가장 좋습니다. 이 솔루션에서는 Windows XP Professional 802.1X 클라이언트의 기본 동작을 사용합니다. 사용자가 컴퓨터 콘솔에 로그온하지 않은 경우 컴퓨터 인증을 수행하고, 사용자가 Windows에 로그온하는 경우 사용자 인증을 수행하고, 사용자가 로그오프하면 다시 컴퓨터 인증을 수행합니다. 이렇게 하면 아무도 로그온하지 않은 상태에서 네트워크에 액세스해야 하는 Windows 기능이 올바로 작동하는 동시에 필요한 경우 네트워크에서 사용자 계정 자격 증명을 사용할 수 있습니다.
##### 인증서 기반 자격 증명 확인
인증서 기반 WLAN 인증 전략의 일부로 유효한 자격 증명인지 확인해야 합니다. 해지된 인증서를 확인하여 분실 또는 도난 당한 컴퓨터 장비에 저장된 클라이언트 인증서의 사용을 차단할 수 있습니다. 클라이언트에서 서버 인증서의 유효성을 검사하여 악의적인 AP 및 RADIUS 서버와 관련된 복잡한 끼어들기(man-in-the-middle) 공격을 방지할 수 있습니다.
Windows에서는 인증서 기반 작업을 수행하는 경우 인증서를 확인할 수 있는 광범위한 지원을 제공합니다. IAS와 Windows XP Professional 802.1X 기능은 모두 이러한 기능이 지원되므로 EAP - TLS에 사용된 인증서가 유효한지 확인하고 신뢰할 수 있는 보안 사용자를 나타냅니다.
**표 6.3: 클라이언트 인증서 자격 증명의 IAS 유효성 검사**
클라이언트 인증서 자격 증명의 IAS 유효성 검사
기본 동작
이 솔루션에 사용된 설정
인증서가 유효 기간 내에 있는지 확인합니다.
사용
변경 안 함
인증서에서 신뢰할 수 있는 루트까지의 체인을 만들 수 있는지 확인합니다.
사용
변경 안 함
필수 키 용도 및 응용 프로그램 정책이 인증서에 있는지 확인합니다.
사용
변경 안 함
개인 키로 서명하여 클라이언트가 소유권을 증명하는지 확인합니다.
사용
변경 안 함
인증서가 해지되지 않았는지 확인합니다.
사용
변경 안 함
Windows XP Professional에서는 기본적으로 다음과 같은 IAS 서버 자격 증명 유효성 검사도 수행합니다.
**표 6.4: IAS 인증서 자격 증명의 Windows XP 유효성 검사**
서버 인증서 자격 증명의 Windows XP 유효성 검사
기본 동작
이 솔루션에 사용된 설정
인증서가 유효 기간 내에 있는지 확인합니다.
사용
변경 안 함
인증서에서 신뢰할 수 있는 루트까지의 체인을 만들 수 있는지 확인합니다.
사용
변경 안 함
필수 키 용도 및 응용 프로그램 정책이 인증서에 있는지 확인합니다.
사용
변경 안 함
개인 키로 서명하여 서버가 소유권을 증명하는지 확인합니다.
사용
변경 안 함
인증이 완료되기 전에는 네트워크에 액세스할 수 없기 때문에, WLAN에 인증할 때는 클라이언트 컴퓨터에서 서버 인증서의 해지 확인 작업을 제대로 수행할 수 없습니다.
유효성 검사의 보안을 향상시키기 위해 다음과 같은 자격 증명 유효성 검사 옵션(클라이언트 수행)을 추가로 설정하는 것이 좋습니다.
**표 6.5: IAS 인증서 자격 증명의 고급 Windows XP 유효성 검사**
서버 인증서 자격 증명의 Windows XP 유효성 검사
기본 동작
이 솔루션에 사용된 설정
인증서의 주체가 클라이언트에 구성할 수 있는 DNS(Domain Name System) 문자열 값과 일치합니다.
사용 안 함
변경 안 함
서버 인증서가 연결될 수 있는 트러스트된 루트 CA의 명시적 선택
사용 안 함
사용
클라이언트 컴퓨터의 주체 이름 확인 옵션을 사용하면 사용자에게 주체를 신뢰할지 결정할 수 있는 프롬프트가 나타납니다. 그리고 WLAN 클라이언트에서 허용된 서버 인증서 주체 이름을 최신 상태로 유지하는 관리 프로세스를 구현해야 합니다. 무선 네트워크 정책 GPO 설정을 사용하여 이 작업을 수행할 수 있습니다. 이러한 이유로 인해 이 솔루션에서는 주체 이름 확인 옵션을 구현하지 않습니다. 고급 보안 환경을 구현할 경우 추가 유효성 검사 단계가 필요한지 파악할 때 무선 AP가 포함된 악의적인 IAS 서버에 내재된 위협 문제를 고려할 수도 있습니다.
신뢰할 수 있는 루트 인증 기관을 명시적으로 선택하면 신뢰할 수 있는 루트 저장소의 대체 CA에서 위조된 서버 인증서 위험을 최소화할 수 있습니다. 그러나 이렇게 설정하면 트러스트된 루트 인증 기관 인증서의 변경 내용을 WLAN 클라이언트 설정에 적용하기 위한 추가 관리 프로세스가 필요합니다. 이런 설정은 무선 네트워크 정책 GPO 설정으로 배포됩니다.
#### 네트워크 권한 부여 요구 사항 결정
네트워크 액세스 관리 정책을 설계할 때는 관리 비용을 최소화하면서 조직의 보안 정책을 최대한 일치시키는 것이 중요합니다. IAS 원격 액세스 정책 같은 중앙 집중화된 네트워크 권한 부여 정책 표현이 작업에 적합합니다.
**참고:** 이 솔루션은 IAS 원격 액세스 정책을 통해 네트워크 권한 부여 관리를 사용합니다. 원격 액세스 정책 관리 모델 선택에 대한 자세한 내용은 이 장의 끝에 있는 "추가 정보" 절의 리소스를 참조하십시오.
유연하면서도 간단한 네트워크 권한 부여 관리가 모든 조직의 주요 목표입니다. 간소화된 관리를 구현하려면 원격 액세스 정책 수를 최소화하면서 이 정책에 조직의 보안 정책이 모두 나타나도록 해야 합니다.
##### 연결 조건 결정
IAS 원격 액세스 정책이 연결을 허용하거나 차단합니다. 정책에는 각 연결 시도와 비교되는 조건 세트가 들어 있습니다. 특정 연결과 일치하는 첫 번째 정책이 발견되면, 해당 정책에 따라 액세스가 허용 또는 거부됩니다. 정책과 비교할 수 있는 기본 연결 속성은 다음과 같습니다.
- 그룹 구성원
- 연결 형식
- 시간
- 인증 방법
또한 다음과 같은 기타 고급 필터 조건도 지정할 수 있습니다.
- 액세스 서버 ID
- 액세스 클라이언트 전화 번호 또는 MAC(Media Access Control) 주소
- 사용자 계정 전화 접속 속성을 무시할지 여부
- 인증되지 않은 액세스를 허용할지 여부
이 솔루션은 시간, 인증 방법 또는 다른 조건 대신 도메인 보안 그룹 및 원본 네트워크 종류를 기반으로 하는 IAS 연결 조건을 사용합니다. 이렇게 하면 특정 유형의 네트워크 액세스(예: 무선, VPN, 유선 또는 전화 접속) 및 클라이언트 그룹에 대해 원격 액세스 정책이 만들어지고 이 정책 기준의 범위는 필요한 원격 정책 수를 최소화할 수 있을 만큼 광범위합니다.
**참고:** 이 솔루션은 사용자 지정 보안 그룹(원격 액세스 정책 – 무선 사용자 및 원격 액세스 정책 – 무선 컴퓨터)을 사용하여 WLAN에 액세스할 수 있는 사용자와 컴퓨터를 제한합니다. 모든 도메인 사용자 및 컴퓨터를 WLAN에 액세스할 수 있도록 허용하려는 경우 사용자 지정 보안 그룹에 도메인 사용자 및 도메인 컴퓨터 그룹을 추가하여 간편하게 관리할 수 있습니다.
##### 연결 제한 사항 결정
연결 권한이 부여되면 원격 액세스 정책을 사용하여 해당 연결에 적용할 연결 제한 사항 및 기타 속성을 지정할 수도 있습니다. 지정할 수 있는 항목은 다음과 같습니다.
- 유휴 시간 제한
- 최대 세션 시간
- 암호화 강도
- IP 패킷 필터
연결에 다음 속성도 적용할 수 있습니다.
- PPP(지점 간 프로토콜) 연결의 IP 주소
- 고정 경로
조직에서 필요한 원격 액세스 정책 수를 결정할 때 중요한 요소 중 하나는 무선 네트워크에 액세스해야 하는 사용자 유형의 수입니다. 예를 들어 대부분의 조직에서 정규 직원은 전체 회사 네트워크에 대해 무제한 액세스 권한을 필요로 합니다. 그러나 계약 직원과 비즈니스 파트너의 경우 특정 네트워크 서브넷의 특정 응용 프로그램에 대한 액세스만 필요할 수 있습니다.
연결 제한 프로필은 각 원격 액세스 정책에 고유합니다. 따라서 연결 제한 프로필 유형이 여러 개 필요한 경우에는 원격 액세스 정책도 여러 개 필요합니다.
다음 표에서는 원격 액세스 정책을 통해 적용할 수 있는 다양한 사용자 유형 및 연결 제한 사항 예를 설명합니다.
**표 6.6: WLAN 연결 제한 사항 예제**
사용자 그룹 유형
연결 제한 사항 예
정규 직원
회사 네트워크에 대해 인증 및 무제한 액세스
계약 직원 및 비즈니스 파트너
특정 네트워크와 응용 프로그램에 대해 인증 및 제한된 액세스
방문 게스트
웹 검색을 위해 인터넷 전용 세그먼트에 대한 인증되지 않은 액세스 또는 원래 조직으로의 VPN 액세스
이 솔루션은 인증된 정규 직원에 대한 지원만 구성합니다. 따라서 간소화된 연결 제한 프로필을 사용하는 단일 원격 액세스 정책만 필요합니다. 조직에 무선 네트워크에 대한 제한된 액세스 사용자 지원과 같은 다른 요구 사항이 있을 경우 원격 액세스 정책을 추가해야 합니다. 추가 원격 액세스 정책을 계획하는 데 대한 자세한 내용은 이 장의 끝에 나오는 "추가 정보" 절의 자료를 참조하십시오.
#### 클라이언트 구성 전략 선택
클라이언트 컴퓨터 구성 설정 자동화는 무선 네트워킹 보안 배포 비용을 줄이고 잘못 구성된 설정으로 인해 발생하는 지원 문제를 최소화하기 위해 반드시 필요한 단계입니다.
Windows XP Professional에는 WLAN 클라이언트에서 무선 네트워크 및 802.1X 보안 설정의 수동 구성 및 재구성 작업을 단축시킬 수 있는 고급 기능이 들어 있습니다. Windows Server 2003에는 그룹 정책에 있는 무선 네트워킹 정책 설정을 사용하여 클라이언트 구성을 완전하게 자동화할 수 있는 기능이 추가되어 있습니다. 이 솔루션은 Windows Server 2003에서 무선 네트워킹 정책 기능을 사용하여 모든 무선 네트워크 클라이언트를 자동으로 구성합니다.
WLAN NIC(네트워크 인터페이스 카드)를 배포하기 전에도 클라이언트 컴퓨터에 이런 GPO 설정을 배포할 수 있습니다. 이렇게 하면 최종 사용자가 무선 NIC를 간편하게 설치하고 GPO를 통해 배포된 WLAN 설정을 사용하여 보안 802.1X WLAN에 자동으로 연결할 수 있습니다.
#### 트래픽 암호화 요구 사항 결정
WLAN 트래픽 보호 전략을 결정할 때는 802.11 WEP 암호화에 대해 지속적으로 발전하는 위협에 대응하여 항상 최신 상태로 전략을 유지해야 합니다. 앞에서 언급했듯이 악의적인 사용자가 WEP 상의 암호화 결함을 이용하여 공격을 시도하고 WEP 암호화 키를 알아낼 수 있습니다. 이런 공격을 수행하려면 침입자가 동일한 암호화 키로 보호되는 수백만 개의 패킷을 캡처해야 합니다.
WEP 기반 WLAN 보안 위협을 최소화할 수 있는 최선의 전략은 네트워크 트래픽을 암호화하는 데 사용되는 키를 정기적으로 새로 고치는 것입니다. 자주 이 작업을 수행하면 공격자가 공격을 수행할 만큼 충분한 트래픽을 캡처할 수 없습니다. 이렇게 하려면 IAS RADIUS 옵션을 설정하여 WEP 키 새로 고침을 시작하는 자동 클라이언트 재인증을 실행하십시오.
이 솔루션은 10분 간격으로 Windows XP 클라이언트 재인증을 실행하도록 IAS RADIUS 옵션을 구성하여 WEP 세션 키의 수명을 단축시킵니다. 이 설정은 설명서를 작성할 당시에 알려진 WEP 공격 도구 및 시나리오를 기반으로 구성되었습니다. 기본 WEP 암호화에는 공격자가 더 빨리 키를 손상시키기 위해 악용할 수 있는 취약한 IV(Initialization Vector) 시퀀스와 같은 결함이 있습니다. AP에 예측하기 어려운 강력한 IV를 생성하는 기능이 있어야 합니다.
**중요:** 세션 시간 제한을 10분으로 설정하면 여러 시나리오에서 시간이 부족할 수 있습니다. 시간 제한이 짧으면 IAS 서버의 로드가 높아집니다. 그리고 시간 제한이 짧으면 IAS 서버를 일시적으로 사용할 수 없게 되어 WLAN에서 클라이언트 연결이 끊어질 가능성도 커집니다. 이런 이유로 60분 이상으로 시간 제한을 설정하면 WLAN 보안이 크게 손상되지 않습니다.
EAP – TLS를 사용하면 TLS 협상 프로세스가 진행되는 동안 고유한 WEP 세션 키가 생성되어 네트워크를 통해 솔루션 구성 요소 간에 안전하게 전송됩니다. 정적 WEP와 달리 암호화 키는 다시 사용되거나 클라이언트 간에 공유되지 않습니다.
#### WLAN 마이그레이션 전략 선택
기존의 무선 네트워크가 적절하게 구현된 경우 사용자 및 환경에 대한 손상 정도를 최소화할 수 있도록 마이그레이션 전략을 계획해야 합니다.
많은 연구를 통해 대부분의 조직에서 802.11 기반 WLAN이 구현되어 네트워크 인증 또는 데이터 보호 없이 작동되고 있음을 알아냈습니다. 이 유형의 802.11 네트워크 보안 전략을 *개방형 시스템(Open System)* 인증이라고 합니다. 나머지 조직에는 정적 키 네트워크 인증 및 암호화가 구현되어 있습니다. 이 유형의 802.11 네트워크 보안을 *공유 키(Shared Key)* 인증이라고 합니다.
개방형 시스템 또는 공유 키 네트워크 보안 모델에서 802.1X 보안으로 마이그레이션하는 과정은 매우 비슷합니다. 다만 공유 키 보안의 경우 이미 보안 설정을 일부 제공하므로 공유 키 보안에서 마이그레이션할 때는 그만큼 일정이 느슨해질 수 있다는 차이가 있습니다.
이런 인증 전략 중 하나를 802.1X 보안 모델로 마이그레이션하는 단계는 일반적으로 다음과 같습니다.
1. **컴퓨터 및 사용자에게 인증서 배포** — 가끔씩 LAN에 연결되는 이동 컴퓨터에도 인증서가 배포되도록 802.1X 배포 전에 이 단계가 수행되어야 합니다.
2. **IAS 서버에 무선 네트워크 원격 액세스 정책 구성** — 무선 원격 액세스 정책의 구성 지침을 참조하십시오.
3. **클라이언트 컴퓨터에서 무선 네트워크 구성 배포** — 일반적으로 새 802.1X 사용 네트워크에는 새 네트워크 SSID(서비스 집합 ID)가 필요합니다. Active Directory 그룹 정책을 사용하여 이 SSID에 대한 네트워크 설정을 배포할 수 있습니다. 가끔씩만 LAN에 연결되는 이동 컴퓨터에서 WLAN GPO 설정을 받을 수 있도록 무선 AP 재구성 전에 WLAN 그룹 정책을 충분히 배포해야 합니다.
4. **802.1X 보안이 필요하도록 무선 AP 구성** — 일반적으로 이 단계는 건물 또는 학교 같은 위치별로 수행됩니다. 예기치 않은 동작이 발생할 경우를 위해 롤백 절차를 계획하여 지원 부서 직원이 관련 문의 전화를 적절하게 처리할 수 있도록 해야 합니다.
모든 마이그레이션 전략에서는 신중한 계획이 가장 중요합니다. 클라이언트 컴퓨터 및 무선 AP 구성에서 사용자 환경이 손상되는 변경 사항이 발생할 수 있습니다. 배포하기 전에 계획된 변경 내용을 철저하게 테스트해야 합니다.
**참고:** 일부 무선 AP에서는 정적 WEP 보안용 802.11 무선 통신 한 개 및 802.1X용 802.11 무선 통신 한 개를 구성할 수 있습니다. 그러나 대부분의 조직에서는 802.11b 채널 구분 문제로 인해 이 전략을 사용할 수 없습니다.
무선 AP 및 무선 NIC를 WPA로 업그레이드하는 데 대해 WLAN 장비 공급업체로부터 보증을 받으십시오. Microsoft는 SP2에 포함된 WPA 지원을 제공하는 Windows XP 업데이트를 릴리스했습니다. 또한 이후에 802.11i를 지원할 수 있도록 WLAN 인프라 업그레이드 계획도 세우십시오. 이 때 AP 및 무선 NIC에서 펌웨어를 업데이트해야 할 수도 있습니다.
이 설명서에는 소유 보안 또는 개방형 시스템/공유 키 보안을 사용하는 프로덕션 WLAN에 대한 자세한 마이그레이션 계획은 포함되어 있지 않습니다. 프로덕션 WLAN에서의 마이그레이션 계획에 대한 도움말을 보려면 Microsoft 협력업체에 직접 연락하거나 Microsoft 컨설팅 서비스 전문가 또는 적절한 협력업체와 연결해 줄 수 있는 Microsoft 계정 담당자에게 문의하십시오.
#### 무선 네트워크 인프라 설계
802.11 기반 WLAN 장비 및 네트워크 설계에 대한 일반적인 내용은 이 설명서에 포함되어 있지 않습니다. 이 항목에 대한 자세한 내용은 *Microsoft Windows Server 2003 Deployment Kit*의 WLAN 장을 참조하십시오.
이 솔루션은 다양한 네트워크 장비 공급업체의 여러 제품에서 사용할 수 있도록 되어 있습니다. 특정 무선 AP 제품에 대한 구성 계획 및 절차는 이 솔루션에 포함되어 있지 않습니다.
그러나 802.11 장비의 보안 설정 및 보안 관리를 결정할 때는 하드웨어 제조업체에서 제공하는 문서를 참조하여 다음 항목에 대해 학습하는 것이 좋습니다.
- **SSID 이름 및 기본 암호** — 이 항목에는 모든 AP에서 기본 SSID를 변경하고 SSID를 브로드캐스트하도록 AP를 구성할지 여부와 관련된 전략을 선택하는 것에 대한 내용이 포함되어 있습니다.
- **기본 콘솔 암호 및 SNMP(Simple Network Management Protocol) 문자열 변경** — 이 항목에는 무선 AP에서 기본 관리 암호 및 액세스 문자열을 변경하고 시간이 지남에 따라 이를 관리하는 것에 대한 내용이 포함되어 있습니다.
- **무선 AP 보안 관리** — 이 항목에는 SSL 또는 TLS를 사용하는 HTTP(Hypertext Transfer Protocol), SSH(Secure Shell) 등의 프로토콜을 사용하여 무선 AP에서 관리를 수행할 때 보안 통신을 사용하는 것에 대한 내용이 포함되어 있습니다.
- **RADIUS 클라이언트 설정** — 이 항목에는 인증 및 계정에 RADIUS 서버를 사용하도록 AP를 구성하는 것에 대한 내용이 포함되어 있습니다. 주 및 보조 RADIUS 서버에 대한 AP 구성, 강력한 RADIUS 비밀 사용 및 메시지 인증자 특성에 대한 내용은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인" 및 9장 "무선 LAN 보안 인프라 구현"을 참조하십시오. 9장에는 제공된 스크립트를 사용하여 강력한 RADIUS 비밀을 생성하는 데 대한 지침이 포함되어 있습니다.
- **VLAN(Virtual Local Area Network) 전환 및 트래픽 필터링** — 이 항목에는 네트워크 VLAN을 사용하여 여러 시나리오에서 다양한 유형의 사용자에 대한 액세스를 제한하는 것에 대한 내용이 포함되어 있습니다. IAS에서는 클라이언트 연결 중에 적절한 VLAN을 자동으로 선택할 수 있도록 원격 액세스 정책을 기반으로 하는 RADIUS 값을 제공할 수 있습니다. 무선 AP에 대한 VLAN을 지정하는 IAS 옵션에 대한 자세한 내용은 이 장의 끝에 나오는 "추가 정보" 절의 자료를 참조하십시오.
- **건물 경계 외부에서 무선 LAN 통신 전송의 누출을 제한할 수 있는 방법** — 이 항목에는 AP가 외부 벽 또는 창문 쪽으로 배치되지 않게 하는 것에 대한 내용이 포함되어 있습니다. 또한 필요한 구역으로 범위를 유지하기 위해 AP의 브로드캐스트 강도를 줄이고 계획하지 않은 구역(예: 주차장)은 서비스 범위에서 제외시키는 데 대한 내용도 포함되어 있습니다.
- **악의적 무선 AP 감지** — 이 항목에는 Windows XP 및 Windows CE 기반 WLAN 관리 도구(예: NetStumbler 또는 AirMagnet)를 사용하는 회사 네트워크에서 악의적인 AP를 정기적으로 검색하는 것에 대한 내용이 포함되어 있습니다.
이러한 항목 및 무선 AP 구성에 대한 도움말을 보려면 공급업체 설명서를 참조하거나 장비 전문가의 지원을 요청하십시오. 이 항목 중 일부는 이 장의 끝에 있는 "추가 정보" 절의 *Windows Server 2003 Technical Reference*의 "802.11 무선 네트워크 기술 참조" 항목에서 다룹니다.
#### 무선 네트워크 그룹 정책 고려 사항
클라이언트 컴퓨터에 무선 네트워크 그룹 정책을 적용하기 위한 전략을 결정하려면 도메인 GPO 관리자에게 문의하십시오. 다음 표는 사용자의 환경에서 고려해야 할 주요 항목과 이 솔루션에서 선택한 설정을 보여 줍니다.
**표 6.7: 무선 네트워크 정책 계획**
무선 네트워크 정책 고려 사항
솔루션 전략
솔루션 정보
정책 적용 조건
선택한 컴퓨터를 포함하도록 Active Directory 기반 그룹 필터링
무선 네트워크 정책 - 컴퓨터 글로벌 그룹
필요한 GPO 수
단일 무선 네트워크 정책
이 솔루션에 사용된 GPO는 "무선 네트워크 정책"입니다.
GPO 위치
도메인 개체에서 만들어지고 적용됨
woodgrovebank.com.
정책에 구성된 WLAN 프로필 수
802.1X를 구현하는 조직에 대해 하나의 WLAN 프로필이 구성됨
GPO에는 프로덕션에 WLAN을 사용하지 않은 환경에 대한 하나의 WLAN 프로필이 포함되어 있습니다.
레거시 프로덕션 WLAN의 단계화된 마이그레이션에 맞게 WLAN 프로필을 추가할 수도 있습니다.
참고: 이 솔루션은 사용자 지정 보안 그룹(무선 네트워크 정책 – 컴퓨터)에 "무선 네트워크 정책" GPO에 있는 "정책 적용" 권한을 부여합니다. 즉, 이 그룹 구성원은 WLAN GPO 설정이 적용되는 컴퓨터를 결정할 수 있습니다. 모든 컴퓨터에서 WLAN 구성 설정을 받도록 하려는 경우 이 그룹에 도메인 컴퓨터 또는 인증된 사용자 그룹을 추가하여 간편하게 관리할 수 있습니다. 그러나 이렇게 하면 도메인(도메인 컴퓨터) 또는 포리스트(인증된 사용자)에 있는 모든 서버와 클라이언트에 정책 설정이 적용됩니다.
이 솔루션은 단일 GPO를 만든 다음 도메인 개체에 연결하여 무선 네트워크 정책 관리 전략을 간소화합니다. 즉, "무선 네트워크 정책 - 컴퓨터" 그룹의 구성원인 도메인에 있는 모든 컴퓨터에 정책 설정이 적용됩니다. 보다 복잡한 그룹 정책 관리 표준을 고려해서 무선 네트워크 정책에 적절하게 적용할 수 있습니다. 그러나 대부분의 조직은 한 개의 무선 네트워크 정책 GPO로 충분합니다. 도메인 개체가 아니라 위치에 연결할 경우에도 한 개만 있으면 됩니다.
802.1X WLAN 보안을 실현하려면 다음과 같은 두 가지 주요 소프트웨어 솔루션 구성 요소를 구성해야 합니다.
IAS 네트워크 액세스 정책
클라이언트 컴퓨터에 대한 Active Directory 그룹 정책
IAS 네트워크 액세스 정책은 네트워크 액세스 관리 솔루션의 핵심입니다. WLAN 보안 정책을 나타내는 설정은 자동화된 방식으로 각 IAS 기반 RADIUS 서버에 배포됩니다. 이 정책에는 다음 항목에 대한 설정이 포함됩니다.
원격 액세스 정책
연결 요청 정책
원격 액세스 정책은 무선 AP를 통해 네트워크에 액세스할 수 있도록 합니다. 연결 요청 정책은 RADIUS 클라이언트로 구성된 다양한 무선 AP의 RADIUS 요청 처리를 결정합니다.
클라이언트 컴퓨터에 대한 Active Directory 그룹 정책에는 Windows XP 기반 클라이언트 컴퓨터에 배포될 모든 설정이 포함됩니다. 이 그룹 정책은 클라이언트와 무선 AP, RADIUS 서버, 기타 무선 네트워크 간의 상호 작용에 영향을 줍니다.
원격 액세스 정책 구성
조직의 무선 네트워크 액세스 전략에 맞도록 IAS 서버에 대한 원격 액세스 정책 만들기를 계획해야 합니다. 원격 액세스 정책을 만들고 구성하는 작업에는 각 정책에 대해 다음과 같은 세 가지 유형의 설정을 구성하는 단계가 포함됩니다.
정책 조건
정책 권한
정책 프로필
이 솔루션은 정규 직원에게 무선 네트워크에 대한 무제한 액세스 권한을 제공하는 단일 원격 액세스 정책을 사용합니다. 다음 표에서는 이 솔루션에 사용할 수 있는 원격 액세스 정책 조건에 대해 자세히 설명합니다.
표 6.8: 원격 액세스 정책 조건
정책 조건
일치하는 조건
설명
NAS – 포트 – 종류
무선 – 기타
또는
무선 – IEEE 802.11
이 조건은 들어오는 요청을 무선 AP 하드웨어에서 보내는 것으로 식별합니다.
Windows – 그룹
원격 액세스 정책 — 무선 액세스 보안 그룹 구성원
WLAN에 대한 액세스를 받을 사용자 및 컴퓨터의 중첩 글로벌 그룹을 포함하는 도메인 유니버설 보안 그룹입니다.
이 솔루션의 원격 액세스 정책에 대한 정책 권한은 **허가**로 설정되고 사용자 계정은 **원격 액세스 정책을 통해 액세스 제어** 설정으로 구성됩니다.
다음 표에서는 이 솔루션에 사용된 원격 액세스 정책 프로필 옵션에 대해 자세히 설명합니다. 특정 환경 조건에 맞게 다른 설정을 추가해야 할 수도 있습니다.
**표 6.9: 원격 액세스 정책 프로필 옵션**
프로필 옵션
프로필 설정
설명
전화 접속 로그인 제약 조건 – 클라이언트 연결 허용 시간(분)(세션 시간 제한) 정의
10분
이 설정을 사용하면 클라이언트 컴퓨터가 10분마다 재인증되고 새 암호화 키를 만듭니다.
인증 – EAP 방법
스마트 카드 또는 기타 인증서
이 설정을 사용하면 EAP - TLS가 무선 프로필의 EAP 종류로 선택됩니다.
사용자 전화 접속 로그인 속성 무시 RADIUS 특성
True로 설정
이 특성을 사용하면 Active Directory 사용자 계정의 전화 접속 로그인 설정(예: 콜백)이 무선 AP에 전달되지 않습니다. 이는 일부 네트워크 액세스 제품과 관련된 문제를 방지하기 위한 것입니다.
작업 종료 RADIUS 특성
RADIUS 요청으로 설정
이 특성을 사용하면 클라이언트가 재인증될 때 무선 AP가 클라이언트 연결을 끊지 않습니다.
**중요:** 세션 시간 제한을 10분으로 설정하면 여러 시나리오에서 시간이 부족할 수 있습니다. 시간 제한이 짧으면 IAS 서버의 로드가 높아집니다. 그리고 시간 제한이 짧으면 IAS 서버를 일시적으로 사용할 수 없게 되어 WLAN에서 클라이언트 연결이 일찍 끊어질 가능성도 커집니다. 이런 이유로 60분 이상으로 시간 제한을 설정하면 WLAN 보안이 크게 손상되지 않습니다.
#### 연결 요청 정책 구성
IAS가 RADIUS 서버 및 RADIUS 프록시로 사용되는 경우 IAS에서 RADIUS 요청을 처리하는 방법을 계획해야 합니다. IAS의 RADIUS 역할을 선택하는 것에 대한 내용은 5장 "무선 LAN 보안을 위한 RADIUS 인프라 디자인"을 참조하십시오.
무선 네트워크 액세스를 실현하기 전에 IAS 서버의 역할에 상관 없이 연결 요청 정책의 다음 구성 요소를 구성해야 합니다.
- 정책 조건
- 정책 프로필
이 솔루션은 IAS를 RADIUS 서버로 사용하므로 연결 요청이 각 서버에서 로컬로 처리됩니다. 다음 표의 설정은 이 솔루션의 연결 요청 정책에 구성된 정책 조건을 보여 줍니다.
**참고:** 이 솔루션의 연결 요청 정책 설정은 Windows Server 2003에서 IAS와 함께 설치되는 기본값을 사용합니다.
**표 6.10: 연결 요청 정책 조건**
정책 조건
일치하는 조건
설명
날짜 및 시간 제한
"일 00:00–24:00, 월 00:00–24:00, 화 00:00–24:00, 수 00:00–24:00, 목 00:00–24:00,
금 00:00–24:00,
토 00:00–24:00"
기본 연결 요청 정책의 이 조건을 사용하면 도착하는 연결 요청이 항상 정책과 일치합니다.
다음 표에서는 이 솔루션의 연결 요청 정책에 사용된 프로필 설정에 대해 설명합니다.
**표 6.11: 연결 요청 정책 프로필 설정**
프로필 옵션
프로필 설정
설명
인증
이 서버에서 요청을 인증
이 설정을 사용하면 요청이 추가 RADIUS 서버로 전달되지 않고 Active Directory에 대해 직접 인증됩니다.
#### 클라이언트 컴퓨터의 그룹 정책 구성
Active Directory 그룹 정책을 사용하여 무선 네트워크(IEEE 802.11) 정책을 통해 클라이언트 컴퓨터에서 WLAN 설정 및 802.1X 보안 설정을 구성하기 전에 먼저 계획해야 합니다. 이 절에서는 이 솔루션에 있는 여러 가지 설정 및 이러한 설정을 선택한 이유에 대해 자세히 설명합니다. 무선 네트워크(IEEE 802.11) 정책은 그룹 정책 개체 편집기의 \\컴퓨터 구성\\Windows 설정\\보안 설정\\무선 네트워크(IEEE 802.11) 정책 개체에 있습니다.
##### 무선 네트워크 설정 구성
그룹 정책 내에 있는 WLAN 정책 개체의 속성을 편집하여 WLAN 설정을 구성하십시오. 여기에는 다음과 같은 설정 유형이 들어 있습니다.
- 일반 설정
- 기본 설정 네트워크
- 네트워크 속성
다음 표에서는 이 솔루션에 대한 무선 네트워크 정책의 일반 설정에 대해 설명합니다.
**표 6.12: 무선 네트워크 정책 일반 설정**
옵션
설정
설명
이름
클라이언트 컴퓨터 무선 구성
조직의 명명 표준에 맞도록 이 값을 변경할 수 있습니다.
액세스할 네트워크
모든 사용 가능한 네트워크(액세스 지점 선호)
이 설정은 클라이언트 컴퓨터가 802.1X 사용 네트워크와 동일한 SSID로 구성된 다른 컴퓨터와 연결되지 않도록 차단합니다. 그러나 특별 네트워킹을 사용하도록 설정하면 필요한 경우(예: 집에서) 직원들이 다른 네트워크를 사용할 수 있으므로 이 설정은 선택된 상태로 남아 있습니다.
기본이 아닌 네트워크에 자동으로 연결
선택 취소
Windows XP Professional에서는 사용 가능한 무선 네트워크 알림을 자동으로 사용자에게 제공하지만 이러한 무선 네트워크에 자동으로 연결되지 않습니다. 알림을 제공하지만 자동으로 연결되지 않도록 설정하면 보안과 사용 편리함 사이의 균형이 취소됩니다.
무선 네트워크 정책의 **기본 설정 네트워크** 탭에서 802.1X WLAN SSID에 대한 항목을 만들어야 합니다. 기본 설정 네트워크가 만들어지면 네트워크 속성의 기본값을 편집해야 합니다.
다음 표에서는 이 솔루션의 무선 네트워크 정책에 새로 설정된 802.1X 네트워크에 대한 네트워크 속성 설정에 대해 자세히 설명합니다.
**표 6.13: 무선 네트워크 정책 속성 설정**
옵션
설정
설명
이름
MSSWLAN
조직의 명명 표준에 맞도록 이 값을 변경하십시오. 그러나 기존 프로덕션 WLAN과 다른 이름을 선택해야 합니다.
WEP(무선 네트워크 키) - 데이터 암호화(WEP 사용)
선택
암호화는 802.11 네트워크에서 무선 네트워크 트래픽의 프라이버시를 보호하기 위해 반드시 필요합니다. 802.11 네트워크를 지원하는 경우 WEP 또는 다른 암호화 형식으로 네트워크를 보호해야 합니다.
WEP(무선 네트워크 키) - 네트워크 인증(공유 모드)
선택 취소
공유 키 802.11 무선은 정적 WEP 키를 기반으로 하는 보안 전략입니다. 이 솔루션은 802.1X를 사용하여 Active Directory에 대한 RADIUS 인증을 제공하므로 이 옵션을 선택 취소됩니다.
WEP(무선 네트워크 키) - 자동으로 키 제공
선택
이 설정을 사용하면 802.1X로 네트워크 트래픽 암호화에 자동으로 동적 WEP 세션 키를 제공할 수 있습니다.
컴퓨터 간(특별) 네트워크이며 무선 액세스 지점 사용 안 함
선택 취소
솔루션에서 이 설정은 지점간 특별 네트워킹이 아니라, 802.1X에 대해 구성된 무선 AP와 함께 802.11 WLAN 인프라 모드를 사용합니다.
##### 클라이언트 컴퓨터의 802.1X 설정 구성
다음 설정 유형이 포함된 무선 네트워크 정책을 통해 802.1X 설정을 구성하십시오.
- 802.1X 매개 변수
- EAP 종류
- 자격 증명 유효성 검사
- 컴퓨터 인증 동작
다음 표에서는 이 솔루션에 대한 무선 네트워크 정책에 새로 설정된 802.1X 네트워크의 802.1X 설정에 대해 자세히 설명합니다.
**표 6.14: 무선 네트워크 정책 802.1X 설정**
옵션
설정
설명
IEEE 802.1X를 사용하여 네트워크 액세스 제어
사용
이 옵션을 사용하면 클라이언트 컴퓨터는 802.1X를 사용하여 보안된 네트워크에 참여할 수 있습니다.
EAPOL - Start 메시지
전송
이 메시지는 클라이언트에서 인증 프로세스를 시작하게 합니다.
매개 변수(초) - 최대 시작
3
이 값은 응답을 받지 않을 때 클라이언트에서 전송할 연속 EAPOL(EAP over LAN) - Start 메시지 수를 결정합니다. 반드시 필요한 경우가 아니면 기본값을 변경할 수 없습니다.
매개 변수(초) - 대기 기간
60
이 값은 실패한 802.1X 인증을 다시 시도하기 전에 클라이언트에서 대기하는 시간을 결정합니다. 반드시 필요한 경우가 아니면 기본값을 변경할 수 없습니다.
매개 변수(초) - 시작 기간
60
이 값은 다시 보내는 EAPOL - Start 메시지의 시간 간격을 결정합니다. 반드시 필요한 경우가 아니면 기본값을 변경할 수 없습니다.
인증 기간
30
이 값은 응답을 받지 못한 경우 다시 보내는 802.1X 요청 메시지의 시간 간격을 결정합니다. 반드시 필요한 경우가 아니면 기본값을 변경할 수 없습니다.
EAP 종류
스마트 카드 또는 기타 인증서
이 옵션은 EAP - TLS를 EAP 종류로 지정합니다.
다음 표에서는 이 솔루션에 대한 무선 네트워크 정책에 새로 설정된 802.1X 네트워크의 EAP 설정에 대해 자세히 설명합니다.
**표 6.15: 무선 네트워크 정책 EAP 설정**
옵션
설정
설명
연결할 때
이 컴퓨터의 인증서 사용
이 옵션은 스마트 카드 기반 자격 증명 대신 소프트웨어 기반 인증서 및 개인 키 사용을 지정합니다.
이 컴퓨터의 인증서 사용 - 간단한 인증서 선택 사용(권장)
선택
이 옵션을 사용하면 Windows에서는 인증서 속성을 기반으로 올바른 인증서를 선택합니다. 문제를 해결할 때 올바른 인증서를 수동으로 선택할 수 있도록 이 옵션을 해제할 수도 있습니다.
서버 인증서 유효성 확인
선택
이 옵션을 사용하면 EAP - TLS 인증을 수행하는 동안 클라이언트에 제공된 인증서가 유효한지 확인합니다(IAS 서버의 올바른 DNS 이름 및 서버 인증서의 인증서 만료 여부 및 클라이언트 인증서 저장소에 있는 루트 CA와의 연결).
서버 인증서 유효성 확인 - 다음 서버에 연결
선택 취소
이 옵션을 사용하면 서버 인증서의 주체 필드에서 FQDN(정규화된 도메인 이름) 접미사를 확인할 수 있습니다. 또한 IAS 서버의 클라이언트 컴퓨터에서 신뢰 승인을 확인하는 텍스트 풍선 상자가 만들어집니다. 이 옵션을 선택할 경우 사용 편리함과 보안을 비교 평가해야 합니다.
서버 인증서 유효성 확인 - 다음 서버에 연결 - 값
없음
이 값은 EAP - TLS 인증을 수행하는 동안 클라이언트에 제공된 인증서의 주체 정보와 일치해야 하는 FQDN 접미사를 지정합니다.
신뢰할 수 있는 루트 CA(인증 기관)
CompanyCA 선택
이 옵션을 사용하면 관리자는 802.1X 서버 인증서 자격 증명을 연결할 수 있는 신뢰할 수 있는 루트 CA를 지정할 수 있습니다. 이 옵션에 대해 사용자 고유의 트러스트된 루트 CA를 선택해야 합니다.
연결에 다른 이름 사용
선택 취소
이 옵션을 사용하면 EAP - TLS 인증을 수행하는 동안 제공되는 인증서에 포함된 이름이 아니라 사용자 이름을 지정할 수 있습니다. 이 솔루션에서는 이 옵션을 사용하지 않습니다.
다음 표에서는 이 솔루션에 대한 무선 네트워크 정책에 새로 설정된 802.1X 네트워크의 컴퓨터 인증 설정에 대해 자세히 설명합니다.
**표 6.16: 802.1X 컴퓨터 인증 동작 옵션**
옵션
설정
설명
사용자나 컴퓨터 정보가 없으면 Guest로 인증
선택 취소
이 설정을 사용하면 자격 증명이 없을 경우 컴퓨터에서 Guest로 인증할지 여부를 결정합니다. 이는 조직 방문자 또는 공용 WLAN 시나리오에 유용합니다.
컴퓨터 정보가 있으면 컴퓨터로 인증
선택
사용자가 대화형으로 컴퓨터에 로그온하지 않은 경우 컴퓨터 인증이 실행되도록 하려면 반드시 이 설정을 사용해야 합니다.
컴퓨터 인증
사용자 재인증
이 기본 옵션을 사용하면 가능한 경우 항상 사용자 자격 증명을 사용할 수 있습니다. 그러나 사용자가 컴퓨터에 로그온하지 않은 경우 항상 네트워크 연결을 사용할 수 있도록 컴퓨터 자격 증명이 사용됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 추가 고려 사항
이 절에서는 현재 솔루션에 포함되지는 않지만 사용자 환경에 영향을 줄 수 있는 몇 가지 추가 항목에 대해 간략하게 설명합니다.
#### 로밍 프로필 및 이동 사용자 지원
Windows의 EAP–TLS 기반 802.1X 구성 요소는 클라이언트 컴퓨터의 인증서 저장소에서 사용할 수 있는 인증서 및 개인 키 정보에 종속적입니다. 대부분의 조직에서 무선 사용자는 휴대용 컴퓨터 또는 Tablet PC를 휴대하므로 인증서와 키 정보를 항상 사용할 수 있습니다.
그러나 WLAN 전략에 컴퓨터를 다른 사람과 공유하는 사용자가 포함되어 있는 경우 로밍 프로필을 구현하는 것이 좋습니다. 로밍 프로필을 사용하여 802.1X 기반 환경 내에서 개인 키 정보 및 인증서를 항상 사용할 수 있습니다.
또는 무선 네트워크 정책을 사용하여 Windows XP를 실행하는 컴퓨터를 구성하여 컴퓨터 전용 인증을 수행할 수도 있습니다. 이 설정은 현재 솔루션에 구현되지는 않지만 일부 조직에 유용합니다.
#### 유선 LAN 연결이 없는 클라이언트 지원
일반적으로 대규모 조직에는 해당되지 않지만 일부 환경에서는 유선 LAN을 전혀 사용하지 않는 경우도 있습니다. 유선 LAN 인프라는 클라이언트 컴퓨터를 도메인에 참가시켜 인증서 및 그룹 정책을 받는 데 필요합니다. 컴퓨터 및 사용자 인증서와 적절한 클라이언트 WLAN 구성이 없는 경우 사용자는 802.1X 기반 WLAN에 액세스할 수 없습니다. 조직에서 항상 802.1X 인증이 필요한 유선 네트워크를 배포한 경우에도 이 문제가 발생합니다.
이런 경우 인증서 서비스 웹 등록 페이지를 사용하여 제어된 VLAN에 연결하기 위해 사용자가 PEAP - MSCHAPv2를 사용하여 RADIUS 서버에 암호 기반 자격 증명을 제공하는 전략을 고려해야 합니다. 여기에서 사용자는 인증서를 등록하고 설치하여 EAP - TLS를 통해 회사 WLAN에 대한 모든 권한을 얻을 수 있습니다. 이러한 전략은 현재 솔루션에 포함되지 않으며 특정 VLAN 설계뿐만 아니라 IAS 서버에 대한 추가 원격 액세스 정책을 필요로 합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 요약
이 장에서는 WLAN 전제 조건 결정, 보안 옵션 고려, 전략 구성 등 802.1X 프로토콜을 사용하여 WLAN 보안을 디자인하는 프로세스 및 추가 고려 사항에 대해 설명했습니다. 이 장에서 설명한 옵션을 사용하여 디자인을 구성한 후에는 사용자 환경에 802.1X 기반 WLAN 보안을 배포할 수 있습니다.
이 장의 디자인은 이후에 구축 및 운영 장에서도 사용됩니다. 여기에 나온 솔루션을 사용하여 802.1X WLAN 보안 인프라를 구현합니다.
#### 추가 정보
무선 네트워킹 보안에 대한 자세한 내용은 다음 리소스를 참조하십시오.
- [Windows Server 2003 제품 설명서](https://www.microsoft.com/korea/windowsserver2003/proddoc/default.asp) 웹 사이트(https://www.microsoft.com/korea/windowsserver2003/proddoc/default.asp)
제품 설명서에서는 IAS 기능 개요, 기본 구성 지침, 유용한 배포 정보 등을 제공합니다.
- [*PEAP 및 암호를 사용한 무선 LAN 보안*](https://go.microsoft.com/fwlink/?linkid=23459) (영문)에 대한 Microsoft 솔루션은 https://go.microsoft.com/fwlink/?LinkId=23459*를 참조하십시오.*
- *Microsoft Windows Server 2003 Technical Reference*의 "[IAS 기술 참조](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/techref/8f5c89d5-fdaf-430c-9ef4-318f8c15baf1.mspx) (영문)" 장은 https://www.microsoft.com/resources/documentation/windowsServ/2003/all/techref/en-us/W2K3TR\_ias\_intro.asp를 참조하십시오.
이 Resource Kit 장은 제품 설명서에 비해 상세한 ISA 기술 정보를 제공하므로 추가 정보가 필요한 경우 참조로 사용할 수 있습니다.
- [*Windows Server 2003 Technical Reference*](https://www.microsoft.com/windows/reskits/default.asp) (영문)및 [*Microsoft Windows Server 2003 Deployment Kit*](https://www.microsoft.com/windows/reskits/default.asp) (영문)은 https://www.microsoft.com/windows/reskits/default.asp를 참조하십시오.
- [*Microsoft Windows Server 2003 Deployment Kit*](https://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx) (영문)에 있는 *Deploying Network Services* 가이드의 "Deploying a Wireless LAN(영문)" 장은 https://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx를 참조하십시오.
이 Depolyment Kit 장은 현재 무선 네트워킹 보안 설명서에 포함되지는 않지만 설계 결정 사항에 영향을 주는 다양한 시나리오에서 IAS 사용을 위한 배포 지침을 제공합니다.
- 802.1X WLAN, WLAN 보안 문제 및 관련 표준에 대한 자세한 내용은 https://www.drizzle.com/~aboba/IEEE/의 [The Unofficial 802.11 Security Web Page](https://www.drizzle.com/~aboba/ieee/) (영문)를 참조하십시오.
- WLAN 솔루션과 업계 정보에 대한 자세한 내용을 보려면 https://www.wi-fialliance.org의 [Wi - Fi Alliance](https://www.wi-fialliance.org/) (영문) 웹 사이트를 방문하십시오.
- 배경 정보, 시장 조사, 백서, 교육 프로그램을 비롯하여 WLAN에 대한 자세한 내용을 보려면
.gif)