1. 무선 LAN의 보안 규격 변천 (Wi-Fi Alliance)
ㅇ WEP (초기) -> WPA (2003) -> WPA2 (2004) -> WPA3 (2018)
2. 무선 LAN의 보안 원칙 : 분리 보안
ㅇ `인증` 및 `암호화`를 원칙적으로 구분
- 인증 (Authentication) : 무선 네트워크로 접근하는 사람/기기의 신분 확인
- 암호화 (Encryption) : 무선 구간에서 데이터의 보호
※ 인증 및 암호화의 완벽한 분리 : 802.11i (2004년)
- `IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements`
3. 무선 LAN으로의 보안 접속을 위한 준비
ㅇ 다양한 인증 및 암호 알고리즘, 프로토콜 등이 사용될 수 있으므로,
- 이에대한 정보를 비콘 프레임 또는 프로브 응답 프레임을 통해 알려주고,
- 상호간에 인증 및 암호화를 위한 교섭 단계를 거치게됨 (어떤 보안 능력에 합의하는 것)
4. 무선 LAN의 `인증 방식 (Authentication)` ☞ 802.11 인증, 802.11i 참조
※ 무선단말의 무선랜 망에로의 접근의 허락 여부
ㅇ (과거,기존의 방식) : Pre RSN
- 개방 인증 (Open-system Authentication) (사실상 무인증임)
. 사실 인증이라고 할 수 없고 단말(MAC 주소) 확인 정도의 수준임
- 공유키 인증 (Shared-Key Authentication) (무선단말 인증)
. 쌍방이 동일한 WEP용 암호키를 갖고있음을 단순히 확인하는 정도
* [용어 유의] Pre RSN 또는 Pre RSNA
. 공유키 인증, WEP 암호화 등을 포괄하는 IEEE 802.11 용어
. 그 이전 하드웨어와의 호환성 유지 가능
. Supplicant(무선단말),Authenticator(AP) 사이에서 만 인증메세지를 직접 주고받게됨
ㅇ (더 안전한 현재 방식) : RSN
* RSN 또는 RSNA (Robust Security Network Association) 이라고 불리움
. 한편, 이를 Wi-Fi Alliance의 보안 인증 심사규격 명칭으로써, WPA 또는 WPA2 라고도 함
- 그 이전과는 다른 새로운 하드웨어,소프트웨어 필요
4. 무선 LAN의 `암호 방식 (Encryption)` ☞ 802.11i 참조
※ 무선 구간에서의 데이터 엿듣기 방지,기밀성 확보
ㅇ (과거,기존의 방식) : Pre RSN (선택사항 - 비추천)
* (일부 결함으로 이미 깨진 암호 알고리즘들)
- WEP - RC4
. 보안에 심각하게 취약
ㅇ (더 안전한 현재 방식) : RSN
- CCMP - AES (필수 의무 - 추천)
. 그 이전 장비와는 다른 새로운 하드웨어 필요
. 암호 방식 : CCMP (CTR with CBC-MAC Protocol) ☞ 암호운영모드 참조
.. CTR (Counter Mode) : 기밀성 제공
.. CBC-MAC (Cipher Block Chaining - Message Authentication Code) : 인증,무결성
. 암호 알고리즘 : AES
- TKIP - RC4 (선택 사항)
. 역호환(backward compatibility) 가능
.. 보안에 심각하게 취약한 기존 WEP를 한시적으로나마 대체하기 위한 임시적 개선판
.. 기존에 사용중인 WLAN 장비에 단지 펌웨어 업그레이드 정도 만으로 구현 가능