개요: “무선 네트워크 보호. 무선 보안

"...정보보안과 무선네트워크?
그런데 이것들은 서로 배타적인 개념이 아닌가?”
Svyazexpocom-2004 전시회에서의 대화에서"

802.11x 표준을 기반으로 한 무선 통신 장치는 오늘날 네트워크 장비 시장에서 매우 공격적으로 움직이고 있습니다. 이는 놀라운 일이 아닙니다. 모바일 및 준모바일 사용자의 사용 용이성, 상업 및 기업 핫스팟 구성, "라스트 마일", 로컬 네트워크(LAN) 상호 연결 - 이 모든 것이 구현 이유의 전체 목록은 아닙니다. 그러한 솔루션. 실제로 세계에서 작동하는 모든 종류의 802.11x 장비의 수는 인상적입니다. J"son & Partners에 따르면 핫스팟 수는 2003년 말에만 43,000개를 초과했으며 2004년 말에는 43,000개에 달할 것으로 예상됩니다. 14만 이 지표에서 러시아의 점유율은 작지만 우리나라의 무선 통신 네트워크(핫스팟 포함)의 수는 꾸준히 증가하고 있습니다.또한 우리나라에서는 기업 무선 통신 네트워크의 80% 이상이 "가장 오래되고" 가장 자주 사용되는 장비 - Cisco Aironet.

그러나 인상적인 것은 숫자만이 아닙니다. 훨씬 더 놀라운 것은 그러한 네트워크에서 안전한 데이터 전송을 보장하는 것과 관련된 오해의 수가 많다는 것입니다. 여기에서 의견의 범위는 가장 넓습니다. 모든 장비 및 해당 설정에 대한 완전한 신뢰부터 우리가 비문으로 인용한 종류의 불쾌한 특성에 이르기까지 다양합니다.

802.11x - 외부 위협에 대한 취약성

무선 데이터 전송의 본질은 액세스 포인트에 대한 무단 연결, 데이터 가로채기 및 기타 문제의 가능성으로 가득 차 있습니다. 조직적으로 보호하기 쉬운 케이블이 없으면 불쾌한 개방성과 접근성이 느껴집니다.

"비프로토콜" 위협을 언급할 가치가 있습니다. 이는 문제의 기초입니다. 무선 기업 네트워크를 개발할 때 관리자는 주로 사무실 영역의 고품질 서비스 범위에 관심을 갖습니다. 교활한 해커가 거리에 주차된 자동차에서 직접 네트워크에 연결할 수 있다는 사실을 아무도 고려하지 않는 경우가 많습니다. 또한 전송된 트래픽을 "듣는" 가능성을 원칙적으로 제거하는 것이 불가능한 상황도 있습니다. 예로는 외부 안테나가 있습니다. 그런데 CIS 국가에서는 무선을 사용하여 LAN 사무실을 서로 연결하는 것이 매우 인기 있는 솔루션입니다.

똑같이 위험한 위협은 장비 도난 가능성입니다. 무선 네트워크의 보안 정책이 MAC 주소를 기반으로 하는 경우 공격자가 훔친 모든 구성 요소(네트워크 카드, 액세스 포인트)는 즉시 이 네트워크를 열어줍니다.

마지막으로, "너무 똑똑한" 사용자의 문제입니다. 종종 LAN에 대한 액세스 포인트의 무단 연결은 조직 직원 자신의 작업입니다. 더욱이 이는 업무의 편의를 위해서만 이루어지며 때로는 좋은 의도로 이루어지기도 합니다. 물론 이러한 직원은 이러한 장치를 스스로 네트워크에 연결할 때 정보 보호를 보장하며 이러한 "자기 방어"의 결과를 항상 상상하지는 않습니다.

이러한 문제와 유사한 문제를 포괄적으로 해결해야 합니다. 이 기사의 틀 내에서는 조직적 조치가 고려되지 않으며 각 특정 네트워크의 작동 조건에 따라 가장 자주 선택된다는 점을 바로 알아두십시오. 기술적 조치로는 장치 상호 인증을 의무화하고 능동(예: Observer 8.3, Airopeek NX 2.01, Wireless Sniffer 4.75) 및 수동(예: APTools 0.1.0, xprobe 0.0.2) 제어 도구를 도입하여 매우 좋은 결과 .

"오래된" 보안 방법의 취약성

IEEE 802.11 위원회는 항상 무선 네트워크의 데이터 보호에 참여해 왔습니다. 불행하게도 초기 개발 단계(1997-1998)에서 802.11x 네트워크의 보안을 보장하는 데 사용된 방법은 약간 성공하지 못했습니다. 여기에는 WEP(Wired Equivalent Privacy) 암호화 및 인증(MAC 주소 기반, 개방형 및 사전 공유 키)이 포함되었습니다.

나열된 방법을 순서대로 고려해 보겠습니다. RSA Data Security에서 개발한 기존 WEP 암호화 프로토콜은 생성된 초기화 벡터(IV, 길이는 24비트)에 추가되는 40비트 키를 사용합니다. 결과 키를 사용하여 사용자 데이터와 체크섬은 RC4 알고리즘을 통해 암호화됩니다. 벡터 IV는 투명하게 전송됩니다.

이 방법의 첫 번째 단점은 40비트 키만으로는 안심할 수 없다는 것입니다. 56비트 키를 사용하는 DES조차도 오랫동안 신뢰할 수 없는 것으로 인식되어 왔습니다. 두 번째 단점은 키의 불변성입니다. 정적 키를 사용하면 해킹 문제가 단순화됩니다. 40비트 키는 신뢰할 수 없기 때문에 좀 더 자주 바꿔주고 싶습니다. 마지막으로 암호화 자체에 대한 접근 방식이 매우 의심스럽습니다. IV의 크기는 24비트입니다. 즉, 5시간 이내에 반복된다는 의미입니다(패킷 길이 1500바이트, 속도 11Mbit/s).

Nikita Borisov, Ian Goldberg 및 David Wagner는 이 문제를 처음으로 연구했으며 이미 2001년에 WEP 암호화에 대처하기 위한 드라이버 및 프로그램의 첫 번째 구현이 나타났습니다. 이 취약점을 설명하는 문서는 http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htm l에 게시되어 있습니다.

인증 방법도 그다지 신뢰할 수 없습니다. 예를 들어, MAC 주소로 전체 인증 절차를 "듣는" 데는 비용이 전혀 들지 않습니다. 결국 프레임의 MAC 주소는 암호화되지 않은 상태로 전송됩니다. 공격자가 승인된 인증 방법을 알고 있다면 네트워크에 진입할 준비가 거의 완료된 것입니다. 나열된 방법 중 가장 신뢰할 수 있는 방법은 PreShared Key이지만 안전하게 암호화되고 고품질 비밀번호를 정기적으로 교체하는 경우에만 좋습니다.

고유한 SSID(서비스 세트 ID)를 사용하면 무단 연결을 방지할 수 있다는 것은 일반적인 오해입니다. 아쉽게도 SSID는 네트워크 장치를 그룹으로 논리적으로 나누는 데에만 적합합니다. SSID로 할 수 있는 유일한 일은 "인쇄할 수 없는" 문자를 사용하여 젊은 해커를 혼란스럽게 하는 것입니다. 예를 들어 Cisco Systems의 액세스 포인트(액세스 포인트, AP)를 사용하면 이 작업을 수행할 수 있습니다(SSID에 포함된 문자를 16진수 - \xbd\xba로 지정할 수 있음).

따라서 랩탑을 가지고 있는 "호기심 많은" 십대들의 집단을 고려한다면, 무선 통신 네트워크는 필연적으로 거의 보장된 WEP 공격으로부터 보호해야 하는 문제에 직면하게 됩니다.

WEP 공격

위에서 설명한 불충분한 키 길이, 키 순환 부족, RC4 암호화 원리 자체로 인해 매우 효과적인 수동 공격을 구성할 수 있습니다. 또한 공격자는 자신을 탐지할 수 있는 어떠한 작업도 수행할 필요가 없으며 단순히 채널을 듣는 것만으로도 충분합니다. 이 경우 특별한 장비가 필요하지 않습니다. 20-25 달러에 구입한 일반 WLAN 카드와 IV 벡터 값이 일치할 때까지 하드 드라이브에 패킷을 축적하는 프로그램이면 충분합니다. 패킷 수가 충분해지면(보통 100만 ~ 400만 개) WEP 키를 쉽게 계산할 수 있습니다. 이러한 "운동"을 위한 가장 인기 있는 프로그램 중 하나는 AirSnort(http://airsnort.shmoo.com)입니다. 이 소프트웨어는 Cisco Systems의 네트워크 카드, NMC Prism-2 기반 카드(상당히 많음), Orinoco 카드 또는 그 복제품과 함께 작동합니다.

적극적인 공격 방법을 사용하는 해커는 좋은 결과를 얻을 수 있습니다. 예를 들어, LAN 외부(예: 인터넷)에서 알려진 데이터를 전송하는 동시에 액세스 포인트가 데이터를 암호화한 방법을 분석할 수 있습니다. 이 방법을 사용하면 키를 계산하고 데이터를 조작할 수 있습니다.

또 다른 적극적인 공격 방법은 Bit-Flip 공격이다. 여기서의 동작 알고리즘은 다음과 같습니다(그림 1).

WEP 암호화 프레임을 가로챕니다.
"데이터" 필드의 여러 비트를 무작위로 변경하고 CRC-32 체크섬을 다시 계산합니다.
수정된 프레임을 액세스 포인트로 보냅니다.
체크섬이 정확하기 때문에 액세스 포인트는 링크 레이어의 프레임을 수락합니다.
액세스 포인트는 데이터의 암호 해독을 시도하고 알려진 텍스트(예: "암호화 키가 올바르지 않습니다.")로 응답합니다.
암호화된 텍스트와 암호화되지 않은 텍스트를 비교하면 키를 계산할 수 있습니다.

이 기사에서는 DSSS 광대역 변조 방법을 사용하는 장비에 대한 DOS 공격 가능성을 고려하지 않습니다. 이러한 유형의 장비에는 저속으로 작동하는 802.11b 및 802.11a 장치가 포함됩니다.

임시 결론

위의 모든 내용은 무선 네트워크의 보안을 보장하는 기존 방법이 신뢰할 수 없음을 시사합니다. 장비가 정보 보호를 위한 최신 솔루션 구현을 허용하지 않는 경우 전략 선택은 적습니다. 가장 엄격한 관리 정책을 사용하거나(사이드바 "관리 조치" 참조) IPSec - ESP 기술을 사용합니다.

IPSec - ESP 기술은 확실히 데이터를 보호하지만 LAN 성능을 크게 저하시킵니다. 그럼에도 불구하고 이 기술은 글로벌 네트워크를 위해 개발된 기술이기 때문에 무선 로컬 네트워크 내에서 사용하는 것은 낭비이다. 무선 채널을 통한 사용은 지점이나 기타 유사한 솔루션을 연결하는 경우에만 정당화됩니다.

Wi-Fi 보호 액세스

WPA(Wi-Fi Protected Access) 표준은 802.11x 네트워크에서 데이터 보호를 구현하기 위한 규칙 집합입니다. 2003년 8월부터 WPA 준수는 Wi-Fi 인증(http://www.wi-fi.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf)으로 인증된 장비에 대한 요구 사항의 일부였습니다.

WPA 사양에는 약간 수정된 TKIP-PPK 프로토콜이 포함되어 있습니다. 암호화는 현재 키와 후속 키 등 여러 키의 "혼합"에 대해 수행됩니다. 이 경우 IV 길이는 48비트로 늘어납니다.

WPA는 또한 단순화된 버전의 MIC(Michael MIC)에 따라 메시지 무결성 제어를 정의합니다. 이는 해시 함수가 더 적은 수의 필드를 기반으로 계산되지만 MIC 필드 자체가 더 길다는 점(64비트)이 설명된 것과 다릅니다. 이를 통해 재연결, 재인증 등에 대한 요구 사항을 강화하는 등 추가 정보 보호 조치를 구현할 수 있습니다.

사양에는 802.1x/EAP 및 공유 키 인증에 대한 지원과 물론 키 관리도 포함됩니다.

WPA 장치가 최신 표준을 지원하는 장비를 갖춘 클라이언트와 보안에 전혀 관심이 없고 오래된 장비나 소프트웨어를 사용하는 클라이언트 모두와 함께 작동할 준비가 되어 있다는 점은 특히 기쁩니다. 저자는 다음과 같이 강력히 권장합니다. 서로 다른 가상 LAN에 서로 다른 보안 수준을 가진 사용자를 배포하고 이에 따라 보안 정책을 구현하십시오.

오늘날 최신 장비와 소프트웨어를 사용한다면 802.11x 표준을 기반으로 안전하고 공격에 강한 무선 네트워크를 구축하는 것이 가능합니다. 이렇게 하려면 몇 가지 합리적인 가정을 적용하면 됩니다.

무선 네트워크는 거의 항상 유선 네트워크에 연결되어 있다는 점을 기억해야 합니다. 무선 채널을 보호해야 하는 필요성 외에도 이러한 사실은 유선 네트워크에 새로운 보안 방법을 도입하는 인센티브로 작용합니다. 그렇지 않으면 네트워크의 보안이 단편화되어 본질적으로 잠재적인 보안 위협이 발생하는 상황이 발생할 수 있습니다.

2003년 8월 이후에 발급된 Wi-Fi 인증 인증서(예: WPA 준수 확인)가 있는 장비를 사용하는 것이 좋습니다.

많은 관리자는 LAN에 장치를 설치할 때 제조업체의 기본 설정을 저장합니다. 심각한 무선 네트워크에서는 이는 절대 용납될 수 없습니다.

물론 802.1x/EAP/TKIP/MIC 및 동적 키 관리를 구현해야 합니다. 네트워크가 혼합되어 있는 경우 가상 로컬 네트워크를 사용하세요. 이제 거의 모든 주요 액세스 포인트 제조업체가 이 기술을 지원합니다. 그리고 그가 지원하지 않는다면, 장비 구매를 통해 해당 제조업체를 지원해서는 안 됩니다. 외부 안테나를 사용하는 경우(예: 서로 다른 LAN을 연결하는 경우) VPN 가상 사설망 기술을 권장합니다.

프로토콜 및 소프트웨어 보호 방법을 관리 방법과 결합하는 것이 좋습니다. 가능한 침입을 탐지하기 위해 침입 탐지 시스템(IDS) 기술을 구현하는 것을 고려하는 것도 합리적입니다. 위에서 설명한 소프트웨어 제품을 사용할 수도 있습니다.

마지막으로 가장 중요한 것은 보안 무선 네트워크를 계획할 때 상식을 활용하는 것입니다. 기억하세요: 데이터를 암호화하거나 기타 조작하면 필연적으로 추가 지연이 발생하고 서비스 트래픽 양이 증가하며 네트워크 장치 프로세서의 부하가 늘어납니다. 물론 보안은 현대 네트워크에서 중요한 요소이지만 사용자 트래픽이 적절한 대역폭을 수신하지 못하면 의미가 없습니다. 결국 불행히도 모든 네트워크는 궁극적으로 관리자가 아닌 사용자를 위해 생성됩니다. 그러나 802.11x 무선 네트워크의 QoS 주제는 별도의 기사가 필요합니다.

802.11i 표준 비준

2004년 6월 25일, IEEE(Institute of Electrical and Electronics Engineers)는 오랫동안 기다려온 무선 LAN 보안 표준인 802.11i를 비준했습니다.

채택되기 전인 2002년에 업계 컨소시엄 Wi-Fi Alliance는 WPA 프로토콜을 중간 옵션으로 사용할 것을 제안했습니다. 여기에는 TKIP 암호화 및 RADIUS 프로토콜을 기반으로 하는 802.1x 사용자 인증 시스템을 사용하는 기능을 포함한 일부 802.11i 메커니즘이 포함되어 있습니다. WPA 프로토콜은 경량(가정 사용자용)과 802.1x 인증 표준 포함(기업 사용자용)이라는 두 가지 수정 방식으로 존재합니다.

공식 802.11i 표준은 미국 정부에서 사용하는 FIPS 클래스 140-2(연방 정보 처리 표준)의 요구 사항을 충족하는 보안 수준을 제공하는 AES 암호화 표준을 사용하라는 요구 사항을 WPA 프로토콜에 추가합니다. 그러나 많은 기존 네트워크에서는 AES 프로토콜에 특별한 암호화 및 암호 해독 기능이 탑재되지 않은 한 교체 장비가 필요할 수 있습니다.

또한, 새로운 표준은 상대적으로 잘 알려지지 않은 몇 가지 속성을 획득했습니다. 그 중 하나인 키 캐싱은 사용자가 알아차리지 못한 채 그에 대한 정보를 기록하므로 무선 네트워크 적용 범위를 떠났다가 다시 돌아올 때 자신에 대한 모든 정보를 다시 입력할 수 없습니다.

두 번째 혁신은 사전 인증입니다. 그 본질은 다음과 같습니다. 사용자가 현재 연결된 액세스 포인트에서 사전 인증 패킷이 다른 액세스 포인트로 전송되어 새 포인트에 등록하기 전에 이 사용자에게 사전 인증을 제공함으로써 다음과 같은 경우 인증 시간을 단축합니다. 액세스 포인트 간 이동.

Wi-Fi Alliance는 올해 9월 이전에 장치가 새로운 표준(WPA2라고도 함)을 준수하는지 테스트를 시작할 계획입니다. 대표자들에 따르면 장비를 광범위하게 교체할 필요는 없을 것이라고 합니다. WPA1 지원 장치는 고급 암호화 및 RADIUS 인증이 필요하지 않은 환경에서도 작동할 수 있지만, 802.11i 제품은 AES를 지원하는 WPA 장비로 간주될 수 있습니다.

무선 네트워크는 안전하지 않습니다. 반복하겠습니다. 무선 네트워크는 안전하지 않습니다. 대부분의 경우 대부분의 사용자에게 충분히 안전하지만 이러한 네트워크를 완전히 비공개로 만들 수는 없습니다.

단순한 사실은 무선 네트워크가 잘 정의된 특성을 가진 무선 신호를 사용하므로 이러한 신호를 모니터링하는 데 충분한 시간과 노력을 투자하려는 사람이라면 누구나 신호에 포함된 데이터를 가로채서 읽을 수 있는 방법을 찾을 수 있다는 것입니다. 무선 연결을 통해 중요한 정보를 보내면 공격자가 이를 복사할 수 있습니다. 신용카드 번호, 계좌 비밀번호, 기타 개인정보는 취약합니다.

암호화 및 기타 보안 방법을 사용하면 데이터를 가로채는 것이 약간 더 어려워질 수 있지만 실제로 정교한 스파이로부터 완벽한 보호를 제공하지는 않습니다. 모든 경찰관이 말할 수 있듯이 자물쇠는 정직한 사람에게서 나오지만 경험 많은 도둑은 자물쇠를 다루는 방법을 알고 있습니다. 인터넷에서 WEP 암호화를 해독하기 위한 전체 도구 카탈로그를 찾는 것은 쉽습니다.

상황을 더욱 위험하게 만드는 많은 네트워크 관리자와 가정용 무선 사용자는 모든 802.11b 무선 포인트 및 네트워크 노드에 통합된 암호화 및 기타 보안 기능을 활용하지 않고 네트워크의 문과 창을 활짝 열어 둡니다. 많은 도시 지역과 다수의 로컬 네트워크에서 보안되지 않은 개인 네트워크에 로그인하는 것이 가능합니다. 2001년 봄, 샌프란시스코 크로니클(San Francisco Chronicle)은 샌프란시스코 시내의 밴 지붕에 지향성 안테나를 장착한 네트워크 보안 전문가가 블록당 평균 6개의 무선 네트워크에 로그온할 수 있었다고 보도했습니다. 그러한 네트워크의 수는 꾸준히 증가하고 있습니다. 1년 후, "비공식 테스트"를 수행한 Microsoft 직원 그룹은 시애틀 교외 지역 네트워크에서 200개 이상의 보안되지 않은 개방형 액세스 포인트를 발견했습니다. 그리고 Tully's Coffee 매장에서는 고객이 길 건너 스타벅스 매장의 핫스팟을 통해 Wi-Fi 네트워크에 로그인하는 것을 발견했다고 보고했습니다.

간단한 산술이면 충분합니다. 액세스 포인트의 범위는 모든 방향에서 100m 이상이므로 신호가 귀하의 소유지(또는 아파트 벽)를 넘어 확장될 가능성이 높습니다. 건물 옆방이나 길 건너편에 있는 네트워크 장치가 네트워크를 감지할 가능성이 높습니다. 거리에 주차된 자동차에 놓인 노트북이나 PDA도 비슷한 작업을 수행할 수 있습니다. 일부 예방 조치를 취하지 않으면 이 장치의 운영자가 귀하의 네트워크에 등록하고, 서버에서 파일을 훔치고, 비디오 스트리밍이나 온라인 게임을 위해 귀하의 인터넷 연결에 침투할 수 있습니다.

우리가 말하는 두 가지 유형의 무선 보안 위협에 대해 이야기하고 있다는 점을 이해하는 것이 중요합니다. 첫 번째는 귀하가 알지 못하거나 허가 없이 다른 사람이 귀하의 네트워크에 연결할 위험이 있습니다. 두 번째는 정교한 공격자가 사용자가 데이터를 보내고 받는 동안 데이터를 훔칠 수 있다는 가능성입니다. 각각은 별도의 잠재적인 문제이며 각각 특별한 예방 및 보호 방법이 필요합니다. 현재 사용 가능한 도구 중 어느 것도 완전한 보호를 제공할 수 없다는 것이 사실일 수 있지만 대부분의 일반 공격자의 경우 이러한 도구가 훨씬 더 어려운 상황을 초래할 수 있습니다.

무선 네트워크는 보안과 유용성 사이의 균형을 나타냅니다. 무선 네트워크 연결의 명백한 이점(노트북이나 격리된 위치에서 빠르고 쉬운 네트워크 액세스)에는 비용이 듭니다. 대부분의 사용자에게 이러한 비용은 무선 네트워크의 편리함보다 중요하지 않습니다. 그러나 주차할 때 차를 잠그는 것과 마찬가지로 네트워크와 데이터를 보호하기 위해 유사한 조치를 취해야 합니다.

네트워크 및 데이터 보호

무선 네트워크 사업자로서 외부인으로부터 자신을 보호하기 위해 무엇을 할 수 있습니까? 두 가지 옵션이 있습니다. 802.11b 네트워크가 완전히 안전하지 않다는 사실을 받아들일 수 있지만 내장된 네트워크 보안 기능을 사용하여 악의적인 행위자의 속도를 늦출 수 있습니다. 기본 제공 도구를 사용하지 않고 대신 방화벽을 사용하여 격리할 수 있습니다.

보안 기능이 802.11b 프로토콜에 통합되어 있다는 것은 분명합니다.

전송된 데이터의 절대적인 보호를 위해서는 허용되지 않습니다. 업계 잡지에서 무선 네트워크 보안에 관한 기사를 읽고 온라인 포럼에서 토론을 숙독했다면 Wi-Fi 네트워크가 속담처럼 누출이 많다고 믿기 쉽습니다. 그러나 이는 네트워크에 대한 실제 위협을 과장할 수 있습니다. 귀하의 메시지를 훔치거나 귀하의 네트워크에 침투하려고 하는 대부분의 사람들은 귀하가 데이터 전송을 시작할 때까지 가만히 앉아서 기다리지 않는다는 점을 기억하십시오. 그리고 완전히 솔직하게 말하면 네트워크를 통해 전송되는 대부분의 데이터는 실제로 관심이 없습니다. 하지만 암호화 도구는 모든 Wi-Fi 네트워크에서 사용할 수 있으므로 실제로 사용해야 합니다.

더 심각한 위협은 귀하의 통신이 가로채는 것이 아니라 불법적인 연결이 생성된다는 것입니다. 이를 통해 승인되지 않은 사용자가 귀하가 알지 못하거나 허가를 받지 않고도 네트워크로 연결된 다른 컴퓨터에 저장된 파일을 읽거나 귀하의 광대역 인터넷 연결을 사용할 수 있습니다.

네트워크를 관리하는 것이 합리적입니다. 802.11b 보안을 구현하기로 선택한 경우 따라야 할 특별한 단계가 있습니다.

액세스 포인트를 창문 옆이 아닌 건물 중앙에 배치하세요. 이렇게 하면 신호가 벽을 통과해야 하는 거리가 줄어듭니다.

모든 802.11b 네트워크 노드에서 사용할 수 있는 WEP(Wired Equivalent Privacy) 암호화를 사용합니다. 충분한 시간과 적절한 장비가 있다면 WEP는 해독하기 어렵지 않지만 암호화된 패킷은 암호화 없이 전송된 데이터보다 읽기가 더 어렵습니다. 이 장에서는 WEP 암호화에 대한 자세한 정보를 제공합니다.

WEP 키를 자주 변경하십시오. 데이터 스트림에서 WEP 암호화 키를 추출하는 데는 시간이 걸리며 키를 변경할 때마다 데이터를 훔치려는 악의적인 행위자가 처음부터 다시 시작해야 합니다. 한 달에 한두 번 키를 변경하는 것은 그리 자주 발생하지 않습니다.

쉽게 접근할 수 있는 곳에 WEP 키를 보관하지 마십시오. 대규모 네트워크에서는 로컬 웹 페이지나 텍스트 파일에 저장하려고 시도할 수 있습니다. 그거 하지마;

WEP 키를 전송하기 위해 이메일을 사용하지 마십시오. 외부인이 계정 이름과 비밀번호를 훔치는 경우, 도둑은 합법적인 사용자가 새 키를 받기 전에 새 키가 포함된 메시지를 받게 됩니다.

무선 네트워크에 통합된 WEP 암호화 위에 Kerberos, SSH 또는 VPN과 같은 또 다른 암호화 계층을 추가합니다.

액세스 포인트의 기본 SSID를 사용하지 마십시오. 이러한 설정은 네트워크 해커에게 잘 알려져 있습니다.

SSID를 귀하의 직업이나 위치를 식별할 수 없는 것으로 변경하십시오. 공격자가 BigCorpNet이라는 이름을 발견하고 길 건너편에 BigCorp 본사가 보이면 귀하의 네트워크를 표적으로 삼을 가능성이 높습니다. 홈 네트워크에서도 마찬가지입니다. 우편함 겉면에 퍼킨스라는 이름이 적혀 있다면 부르지 마세요. 네트워크에 뭔가 매력적인 정보가 들어 있는 것처럼 들리는 SSID를 사용하지 마십시오. 빈 필드, "network-" 또는 임의의 문자열(W24rnQ)과 같이 눈에 띄지 않는 이름을 사용하십시오.

액세스 포인트의 IP 주소와 비밀번호를 변경하세요. 대부분의 액세스 포인트 구성 도구의 기본 비밀번호는 찾기 쉬우므로(한 공급업체에서 다른 공급업체로 자주 반복됩니다. 팁: "admin"을 사용하지 마십시오) 자체 사용자로부터 보호하기에 충분하지 않습니다. 혼자 있는 외부인 자신의 목적을 위해 네트워크를 사용하려는 경우

올바른 SSID가 없는 클라이언트의 연결을 허용하는 액세스 포인트에 대해 SSID 브로드캐스트 기능을 비활성화합니다. 이것이 네트워크가 보이지 않는다는 것을 보장하지는 않지만 도움이 될 수 있습니다.

액세스 포인트에 대한 액세스 제어 기능을 활성화합니다. 액세스 제어는 지정된 MAC 주소를 사용하는 네트워크 클라이언트에 대한 연결을 제한합니다. 액세스 포인트는 주소가 목록에 없는 어댑터에 대한 연결을 거부합니다. 다른 방문자가 귀하의 네트워크를 사용하도록 허용하려는 경우 이는 실용적이지 않을 수 있지만 모든 잠재 사용자를 알고 있는 가정 및 소규모 사무실 네트워크에는 유용한 도구입니다. "브로드캐스트 SSID" 기능과 유사하게 이는 보장되지는 않지만 나쁠 것은 없습니다.

거리에서 네트워크를 찾아 네트워크 보안을 테스트해 보세요. Network Stumbler나 네트워크 어댑터의 상태를 표시하는 유틸리티와 같은 검색 프로그램이 실행 중인 노트북을 들고 건물에서 멀어지기 시작하세요. 한 블록 떨어진 곳에서도 네트워크를 탐지할 수 있다면 외부인도 마찬가지입니다. 악의를 품은 사람들은 이득이 높은 지향성 안테나를 사용하여 거리를 늘릴 수 있다는 점을 기억하십시오.

네트워크는 공유를 위해 활짝 열려 있다고 생각하십시오. 네트워크를 사용하는 모든 사람이 자신이 안전하지 않은 시스템을 사용하고 있다는 사실을 알고 있는지 확인하십시오.

실제로 공유하려는 파일에만 파일 액세스를 확장하세요. 디스크 전체를 열지 마십시오. 접근 가능한 모든 항목에 대해 비밀번호 보호를 사용하십시오.

유선 네트워크에서 사용하는 것과 동일한 보안 도구를 사용하십시오. 기껏해야 LAN의 무선 부분은 유선 부분보다 더 안전하지 않으므로 동일한 예방 조치를 취해야 합니다. 대부분의 경우 네트워크의 무선 부분은 유선 부분보다 보안 수준이 훨씬 낮습니다.

보안을 강화하려면 VPN(가상 사설망)을 사용하는 것이 좋습니다.

일부 전문가는 무선 네트워크를 보호하기 위해 다른 방법을 사용합니다. 그들은 802.11b 네트워크가 안전하지 않다는 생각을 받아들이고 내장된 보안 기능을 사용하려고 시도조차 하지 않습니다. 예를 들어, 캘리포니아에 있는 NASA의 Advanced Supercomputing Division 네트워크 보안 팀은 "네트워크 자체는 강력한 인증 및 변조 방지 기능을 제공하지 않으며" "802.11b 보안 기능은 실질적인 보안을 제공하지 않고 리소스만 소비할 뿐입니다"라는 사실을 발견했습니다. 따라서 모든 802.11b 보안 기능을 비활성화하고 대신 자체 무선 방화벽인 WFG(무선 방화벽 게이트웨이)를 사용합니다. WFG는 무선과 나머지 네트워크 사이에 위치하는 라우터이므로 무선 장치(인터넷 액세스 포함)와 주고받는 모든 네트워크 트래픽은 게이트웨이를 통과해야 합니다.

추가 이점으로 이 보안 방법은 인증이나 암호화가 포함되어 있지 않기 때문에 각 패키지의 관리 공간을 최소한으로 유지합니다. 이는 각 패킷의 비트 수를 줄여 네트워크의 유효 데이터 전송 속도를 높입니다.

다른 무선 네트워크 운영자는 VPN을 사용하여 무선 게이트웨이를 통한 액세스를 제어합니다. VPN은 사용자가 네트워크를 탐색하기 전에 IP 계층(802.11b에서 암호화가 발생하는 물리적 계층 대신)에 또 다른 지점 간 보안 계층을 추가합니다.

네트워크 보안은 두 가지 경우에 필요합니다. 네트워크 관리자는 승인되지 않은 사용자가 네트워크에 진입하는 것을 허용하지 않고 개별 사용자는 다른 사람이 자신의 개인 파일에 액세스하는 것을 원하지 않습니다. 공유 네트워크에 로그인할 때 네트워크를 통해 파일을 읽지 않도록 몇 가지 예방 조치를 취해야 합니다.

비활성화하려면 파일 공유(파일 액세스) 공유 네트워크에 연결하기 전에 Windows 95, Windows 98 및 Windows ME에서 다음 절차를 따르십시오.

1. ㄴ 제어판(제어판) 대화 상자 열기 회로망(그물).

2. 선택 파일 및 프린터 공유(파일 및 프린터에 대한 액세스)

3. Fi 대화 상자에서 파일 및 프린터 공유기능을 비활성화 다른 사람에게 내 파일에 대한 액세스 권한을 부여하고 싶습니다.(다른 사람에게 내 파일에 대한 액세스 권한을 부여합니다.)

Windows 2000 및 Windows XP에는 파일에 대한 액세스를 비활성화할 수 있는 중앙 위치가 없으므로 각 액세스를 개별적으로 비활성화해야 합니다.

1. 창을 엽니다 내 컴퓨터(내 컴퓨터).

2. 사용 가능한 모든 드라이브 및 폴더의 아이콘에는 손 모양 아이콘이 있습니다. 액세스를 비활성화하려면 아이콘을 마우스 오른쪽 버튼으로 클릭하고 공유 및 보안(액세스 및 보안) 메뉴에서

3. 기능 비활성화 이 폴더를 네트워크에서 공유(네트워크를 통해 이 폴더에 대한 액세스를 엽니다.)

4. 버튼을 클릭하세요 좋아요(예) 대화 상자를 닫습니다.

5. 사용 가능한 각 폴더 또는 파일에 대해 프로세스를 반복합니다. 폴더를 잊지 마세요 공유 문서(일반 문서).

사무실이나 홈 네트워크로 돌아갈 때 파일에 다시 액세스하려면 절차를 반대로 해야 합니다.

또 다른 문제는 스파이가 무선 통신을 통해 전송된 데이터를 추적하고 즉석에서 기밀 정보를 훔칠 위험이 있다는 것입니다. 이는 스파이가 네트워크에 액세스하여 파일을 읽는 것만큼 일반적이지는 않지만 가능합니다. 암호화 및 기타 보안 도구로 인해 데이터 디코딩이 어려울 수 있지만 Wi-Fi 네트워크를 휴대폰처럼 취급하는 것이 가장 좋습니다. 민감한 정보가 포함된 메시지나 파일을 절대 보내지 마십시오.

802.11b 보안 도구

802.11b 사양의 보안 도구는 완벽하지는 않지만 없는 것보다는 낫습니다. 사용하지 않기로 결정한 경우에도 끄기 전에 해당 기능이 무엇인지, 어떻게 작동하는지 이해하는 것이 중요합니다.

네트워크 이름(SSID)

1장에서 설명한 것처럼 모든 무선 네트워크에는 이름이 있습니다. 액세스 포인트가 하나만 있는 네트워크에서 이름은 BSSID(기본 서비스 세트 ID)입니다. 네트워크에 둘 이상의 액세스 포인트가 포함된 경우 이름은 ESSID(확장 서비스 세트 ID)가 됩니다. 모든 네트워크 이름의 표준 지정은 SSID입니다. 이는 무선 액세스 포인트 및 클라이언트 구성 유틸리티에서 가장 자주 볼 수 있는 용어입니다.

네트워크에 대한 액세스 포인트를 구성할 때 SSID를 할당해야 합니다. 네트워크의 모든 액세스 포인트와 네트워크 클라이언트는 동일한 SSID를 사용해야 합니다. Windows 컴퓨터에서는 무선 어댑터의 SSID도 작업 그룹 이름이어야 합니다.

동일한 SSID를 가진 두 개 이상의 액세스 포인트가 감지되면 사용자는 해당 액세스 포인트가 모두 동일한 네트워크의 일부라고 가정하고(액세스 포인트가 서로 다른 무선 채널에서 작동하는 경우에도) 가장 강력하거나 가장 명확한 신호를 제공하는 액세스 포인트에 연결합니다. 간섭이나 감쇠로 인해 이 신호가 저하되면 클라이언트는 동일한 네트워크에 속한다고 생각되는 다른 액세스 포인트로 이동하려고 시도합니다.

신호가 겹치는 두 개의 다른 네트워크가 동일한 이름을 갖는 경우 클라이언트는 둘 다 동일한 네트워크의 일부라고 가정하고 전환을 시도할 수 있습니다. 사용자의 관점에서 이러한 잘못된 전환은 네트워크 연결이 완전히 중단된 것처럼 보입니다. 따라서 서로 중복될 수 있는 각 무선 네트워크에는 고유한 SSID가 있어야 합니다.

고유 SSID 규칙의 예외는 공용 및 그룹 네트워크로, 이는 인터넷에만 액세스를 제공하고 로컬 네트워크의 다른 컴퓨터나 장치에는 액세스를 제공하지 않습니다. 이러한 네트워크는 공통 SSID를 공유하는 경우가 많으므로 가입자는 여러 위치에서 해당 네트워크를 검색하고 연결할 수 있습니다.

Apple의 AirPort 베이스 스테이션 및 유사한 Orinoco 시스템을 포함한 일부 액세스 포인트에는 "개방형" 액세스와 "폐쇄형" 액세스 중에서 선택할 수 있는 기능이 있습니다. 액세스 포인트가 공개 액세스용으로 구성되면 SSID가 다음으로 설정된 클라이언트의 연결을 허용합니다. 어느(Any), 액세스 포인트의 자체 SSID를 사용하여 통신하도록 구성된 장치와 동일합니다. 액세스 포인트가 비공개로 설정되면(Apple에서는 이를 "숨겨진 네트워크"라고 함) SSID가 SSID와 일치하는 연결만 허용합니다. 이는 외부인으로부터 네트워크를 보호하는 좋은 방법이지만 네트워크의 모든 노드가 Orinoco의 어댑터를 사용하는 경우에만 작동합니다(Apple AirPort 카드는 Orinoco 어댑터의 독점 버전입니다). 다른 제조업체에서 만든 어댑터가 폐쇄된 액세스 포인트에 연결을 시도하면 SSID가 일치하더라도 이를 무시합니다.

네트워크 SSID는 무선 연결을 설정할 때 SSID를 지정해야 하므로 매우 제한된 형태의 액세스 제어를 제공합니다. 액세스 포인트 SSID 기능은 항상 사용자가 지정하려는 이름을 허용하는 텍스트 필드입니다. 그러나 많은 네트워크 구성 프로그램(Windows XP의 무선 네트워킹 도구 및 일부 주요 브랜드의 네트워크 어댑터와 함께 제공되는 프로그램 포함)은 신호 범위 내에서 각 활성 네트워크의 SSID를 자동으로 감지하고 표시합니다. 따라서 연결하기 전에 항상 네트워크 SSID를 알 필요는 없습니다. 때로는 구성 유틸리티(네트워크 모니터 또는 Network Stumbler와 유사한 검색 프로그램)가 목록이나 메뉴에서 근처의 각 네트워크 이름을 표시합니다.

그림의 예로서 그림 14.1은 WayPort가 여객 터미널 역할을 하고 MobileStar가 American Airlines VIP Club에서 서비스를 제공하는 Seattle-Tacoma 공항의 Network Stumbler 스캐너 결과를 보여줍니다. (MobileStar는 이 계획을 세운 직후에 다른 서비스의 일부가 되었기 때문에 네트워크 이름은 변경되었지만 서비스는 그대로 유지됩니다.)

각 액세스 포인트에는 기본 SSID 설정이 제공됩니다. 이러한 기본 설정은 잘 알려져 있으며 스누핑 커뮤니티에 게시되어 있습니다(예: http://www.wi2600.org/mediawhore/nf0/wireless/ssid_defaults 참조). 분명히 기본 설정은 어떤 네트워크에서도 사용되어서는 안 됩니다.

쌀. 14.1

많은 액세스 포인트에는 SSID 숨기기 기능이 제공됩니다. 숨겨진 네트워크또는 숨겨진 네트워크. 이 기능은 일부 스파이가 네트워크 이름을 알아내는 것을 방지하는 데 도움이 되지만 새 클라이언트가 네트워크에 연결하거나 기존 클라이언트가 약한 신호를 수신할 때마다 SSID가 브로드캐스트되고 Kismet과 같은 프로그램이 이를 감지합니다. SSID를 숨기면 가끔 게스트의 속도가 느려질 수 있지만 실제 보안은 제공되지 않습니다.

WEP 암호화

WEP 암호화는 모든 802.11b 시스템의 기능이므로 사용하지 않기로 결정하더라도 작동 방식을 아는 것이 중요합니다. 이름에서 알 수 있듯이 WEP(Wired Equivalent Privacy)의 원래 목적은 유선 네트워크에 필적하는 수준의 보안을 무선 네트워크에 제공하는 것이었습니다. 그러나 WEP 암호화 기반 네트워크는 보안이 전혀 없는 네트워크만큼 침입에 취약하다는 매우 일반적인 주장이 있습니다. 간헐적으로 발생하는 스파이로부터는 보호할 수 있지만 끈질긴 강도에 대해서는 특별히 효과적이지는 않습니다.

WEP는 세 가지 기능을 수행합니다. 즉, 네트워크에 대한 무단 액세스를 방지하고, 각 패킷의 무결성을 확인하고, 악의적인 사용자로부터 데이터를 보호합니다. 데이터 패킷을 암호화하기 위해 WEP는 네트워크 클라이언트나 액세스 포인트가 이를 전송하기 전에 비밀 암호화 키를 사용하고, 데이터가 수신된 후에는 동일한 키를 사용하여 데이터를 디코딩합니다.

클라이언트가 다른 키를 사용하여 네트워크와 통신을 시도하면 결과가 왜곡되어 무시됩니다. 따라서 WEP 설정은 네트워크의 모든 액세스 포인트와 클라이언트 어댑터에서 정확히 동일해야 합니다. 이는 간단해 보이지만 공급업체가 WEP 키 크기와 형식을 결정하기 위해 서로 다른 방법을 사용하기 때문에 혼란스럽습니다. 기능은 브랜드마다 일관되지만 동일한 설정이 항상 동일한 명칭을 갖는 것은 아닙니다.

WEP 키에는 몇 비트가 있습니까?

첫째, WEP 키는 64비트 또는 128비트일 수 있습니다. 128비트 키는 해독하기가 더 어렵지만 각 패킷을 전송하는 데 걸리는 시간도 늘어납니다.

40비트 WEP는 64비트 WEP 키와 동일하고, 104비트 키는 128비트 키와 동일하기 때문에 여러 공급업체의 구현 간에 혼동이 발생합니다. 표준 64비트 WEP 키는 내부적으로 생성된 24비트 초기화 벡터와 네트워크 관리자가 할당한 40비트 비밀 키를 포함하는 문자열입니다. 일부 제조업체의 사양 및 구성 프로그램에서는 이를 "64비트 암호화"라고 부르고 다른 제조업체에서는 이를 "40비트 암호화"라고 부릅니다. 두 경우 모두 암호화 체계는 동일하게 유지되므로 40비트 암호화를 사용하는 어댑터는 64비트 암호화를 사용하는 액세스 포인트 또는 어댑터와 완벽하게 호환됩니다.

많은 네트워크 어댑터와 액세스 포인트에는 128비트 키(실제로는 24비트 초기화 벡터가 포함된 104비트 비밀 키)를 사용하는 "강력한 암호화" 기능도 포함되어 있습니다.

강력한 암호화는 64비트 암호화와 단방향 호환되지만 자동이 아니므로 128비트 및 64비트 키가 있는 혼합 장치 네트워크의 모든 구성 요소는 64비트 암호화에서 작동합니다. 액세스 포인트와 모든 어댑터가 128비트 암호화를 지원하는 경우 128비트 키를 사용하십시오. 그러나 네트워크가 64비트 암호화만 인식하는 어댑터 및 액세스 포인트와 호환되도록 하려면 전체 네트워크가 64비트 키를 사용하도록 구성하십시오.

ASCII 또는 16진수 키?

그러나 WEP 암호화를 설정할 때 키 길이만으로는 혼란스럽습니다. 일부 프로그램에서는 키를 텍스트 문자열로 요구하는 반면 다른 프로그램에서는 16진수로 키를 요구합니다. 다른 사람들은 선택적 암호에서 키를 생성할 수 있습니다.

각 ASCII 문자는 8비트로 구성됩니다. 따라서 40비트(또는 64비트) WEP 키는 5자로 구성되고, 104비트(또는 128비트) 키는 13자로 구성됩니다. 16진수에서 각 숫자는 4비트로 구성되므로 40비트 키에는 10개의 16진수 문자가 포함되고 128비트 키에는 26개의 문자가 포함됩니다.

그림에서. D-Link 액세스 포인트에 대한 무선 설정 창을 보여주는 그림 14.2에서 40비트 공유 키 보안 필드는 16진수 문자를 사용하며 10자를 위한 공간이 있습니다. D-Link 프로그램은 한 줄에 10개의 문자를 모두 포함하지만 다른 프로그램에서는 두 개의 숫자로 구성된 5개 그룹 또는 5개의 숫자로 구성된 두 그룹으로 나눕니다.

쌀. 14.2

컴퓨터에서 키는 어느 쪽이든 동일하게 보이지만 문자열을 여러 부분으로 분할하면 복사하기가 더 쉽습니다.

Windows XP의 무선 네트워크 속성 대화 상자(그림 14.3 참조)와 같은 많은 클라이언트 유틸리티에서는 16진수 코드 또는 텍스트를 선택할 수 있으므로 액세스 포인트에 적합한 형식을 사용할 수 있습니다.

암호는 어댑터와 액세스 포인트가 자동으로 16진수 문자열로 변환하는 텍스트 문자열입니다. 사람들은 일반적으로 16진수 gobbledygook보다 의미 있는 단어나 문구를 더 쉽게 기억하므로 암호문은 16진수 문자열보다 전달하기가 더 쉽습니다. 그러나 암호는 네트워크의 모든 어댑터와 액세스 포인트를 동일한 제조업체에서 만든 경우에만 유용합니다.

쌀. 14.3

어떤 기능이 있나요?

802.11b 구성 유틸리티의 거의 모든 설정과 마찬가지로 WEP 기능의 이름은 프로그램마다 일정하지 않습니다.

일부는 "WEP 암호화 활성화"와 같은 개방형 기능 세트를 사용하는 반면 다른 일부는 공식 802.11 사양에서 가져온 기술 용어를 사용합니다. 개방형 시스템 인증은 "WEP 암호화 비활성화됨"이라는 이름의 두 번째 변형입니다.

일부 액세스 포인트는 WEP 암호화를 사용하는 선택적인 공개 키 인증 기능도 제공합니다. 여기서 네트워크 클라이언트에는 키가 있지만 암호화되지 않은 데이터는 다른 네트워크 노드에서 허용됩니다.

16진수 키와 텍스트 키 결합

일부 네트워크 노드는 16진수 키만 사용하고 다른 노드는 텍스트 키를 요구하는 경우 혼합 네트워크 설정이 더 복잡해집니다. 네트워크에서 이러한 상황이 발생하는 경우 아래 규칙에 따라 WEP로 구성해야 합니다.

모든 텍스트 키를 16진수로 변환합니다. 구성 프로그램에 텍스트 키가 필요한 경우 문자를 입력하세요. 오(0 다음에 소문자 x가 옴) 16진수 문자열 앞에 위치합니다. Apple의 AirPort 소프트웨어를 사용하는 경우 대신 오 16진수 키 시작 부분에는 달러 기호( $ );

모든 암호화 키의 문자 수가 올바른지 확인하세요.

그래도 문제가 해결되지 않으면 네트워크 어댑터 및 액세스 포인트 설명서의 보안 섹션을 읽어보세요. 네트워크에 있는 이러한 장치 중 하나 이상에 사용자가 인식하지 못하는 숨겨진 성격 특성이 있을 수 있습니다.

WEP 키 변경

많은 액세스 포인트와 네트워크 클라이언트 어댑터는 최대 4개의 64비트 WEP 키를 지원할 수 있지만 그림 1과 같이 한 번에 하나만 활성화됩니다. 14.4. 다른 키는 네트워크 관리자가 짧은 시간 내에 네트워크 보안을 조정할 수 있는 예비 키입니다. 128비트 암호화를 지원하는 어댑터 및 액세스 포인트는 한 번에 하나의 128비트 WEP 키만 사용합니다.

쌀. 14.4

WEP 암호화가 심각하게 구성되는 네트워크에서. WEP 키는 일정에 따라 정기적으로 변경되어야 합니다. 중요한 데이터를 전송하지 않는 네트워크의 경우 한 달이면 충분하지만, 좀 더 심각한 네트워크의 경우 일주일에 한두 번 새 키를 설치해야 합니다. 현재 WEP 키를 안전한 곳에 적어 두십시오.

가정이나 소규모 사무실 네트워크에서는 모든 WEP 키를 직접 변경할 가능성이 높습니다. 그렇지 않은 경우 네트워크 관리자나 보안 전문가는 이메일이 아닌 메모를 통해 종이에 새 WEP 키를 배포해야 합니다. 64비트 암호화를 사용하는 네트워크의 보안 수준을 강화하려면 사용자에게 한 번에 두 개의 키(현재 기본값 아님)를 변경하도록 지시하십시오. 어떤 키가 새로운 기본값이 되었는지, 언제 변경해야 하는지 사용자에게 알리는 별도의 메모를 보냅니다.

일반적인 주간 지침은 다음과 같습니다.

다음과 같은 새로운 64비트 WEP 키를 입력하십시오:

키 1: XX XX XX XX XX

키 4: YY YV YY YY YY

일주일 후 또 다른 메모에서는 키 2와 키 3에 대한 코드가 제공됩니다.

별도의 메모에는 다음과 같은 내용이 포함될 수 있습니다. “우리 네트워크는 화요일 자정에 키 3으로 전환됩니다. 네트워크 어댑터의 기본 키를 변경하세요." 변경하려면 무선 네트워크를 사용하는 사용자 수가 가장 적은 시간을 선택하십시오. 키가 변경될 때 액세스 포인트의 활성 연결이 끊어지고 클라이언트 어댑터의 키가 변경될 때까지 복원할 수 없기 때문입니다. 사용자는 현재 활성 키 대신 새 키를 미리 입력할 수 있으며, 새 키가 적용되면 몇 번의 클릭만으로 변경할 수 있습니다.

WEP 보호가 충분합니까?

몇몇 컴퓨터 과학자들은 민감한 데이터를 보호하기 위해 WEP 암호화를 사용하는 것에 반대하는 WEP 암호화에 대한 보고서를 발표했습니다. 이들 모두는 WEP 암호화 알고리즘 구성에 사용되는 암호화 이론과 실제에 심각한 결점이 있음을 지적합니다. 이들 전문가들은 만장일치로 다음과 같이 권고합니다. 802.11 무선 네트워크를 사용하는 사람은 보안 목적으로 WEP에 의존해서는 안 됩니다. 네트워크를 보호하려면 다른 방법을 사용해야 합니다.

University of California, Berkeley 팀은 WEP 알고리즘에서 최소 4가지 유형의 공격에 취약하게 만드는 수많은 결함을 발견했습니다.

데이터를 디코딩하기 위해 통계 분석을 사용하는 수동적 공격

액세스 포인트가 잘못된 명령을 수락하도록 강제하는 암호화된 패킷 생성을 통한 적극적인 공격

암호화된 패킷을 분석하여 사전을 생성하는 공격을 통해 실시간으로 데이터를 자동으로 디코딩하는 데 사용할 수 있습니다.

공격자가 제어하는 대상으로 데이터를 리디렉션하기 위해 패킷 헤더를 수정하는 공격입니다.

Berkeley 보고서는 “WEP 보안은 유선 보안과 동등하지 않습니다. 프로토콜의 문제는 암호화의 기본 사항 중 일부를 오해하여 암호화 방법을 안전하지 않게 사용한 결과입니다."

라이스 대학과 AT&T 연구소의 연구원들은 WEP 암호화 네트워크에 대한 공격에 대한 자체 설명을 발표했습니다(http://www.cs.rice.edu/~astubble/wep). 이는 유사한 결론에 도달했습니다. "802.11의 WEP 완전히 안전하지 않습니다." 그들은 필요한 장비를 주문 및 수령하고, 테스트 벤치를 설정하고, 공격 도구를 개발하고, 일주일도 채 안 되어 128비트 WEP 키를 성공적으로 획득할 수 있었습니다.

Berkeley 및 AT&T Labs 보고서는 모두 기술 전문가가 기술 전문가를 위해 작성하고 암호화를 분석합니다. 그들의 주장은 이해할 수 있지만, 그들의 방법은 악의를 품은 사람이 심각한 기술 지식을 가지고 있다고 전제합니다. 그러나 덜 정교한 코드 분리기를 위한 도구도 쉽게 찾을 수 있습니다. AirSnort(http://airsnort.shmoo.com)와 WEPCrack()은 모두 무선 네트워크 신호를 모니터링하고 WEP 알고리즘의 약점을 이용하여 암호화 키를 얻는 Linux 프로그램입니다.

AirSnort 개발자는 자사 프로그램이 2주 내에 대부분의 네트워크를 성공적으로 해킹할 수 있다고 주장합니다. 이 기술은 네트워크 신호에 영향을 주지 않고 모니터링하므로 네트워크 관리자는 공격의 존재를 감지할 수 없습니다. 문제를 더욱 악화시키기 위해 프로그램이 출시되고 있습니다. WEP 암호화가 깨지기 쉽다면 표준 그룹은 이를 더욱 안전하게 만드는 방법을 찾거나 더 깨기 어려운 옵션으로 교체해야 합니다.

요약하면 간단하게 유지하고 네트워크 데이터를 암호화하세요.

암호화된 데이터는 일반 텍스트 전송보다 더 안전하고 WEP 키를 크래킹하는 데 시간이 걸리므로 특히 키를 자주 변경하는 경우 WEP는 또 다른(약한) 보안 계층을 추가합니다. WEP 암호화는 심각한 적으로부터 사용자를 보호하는 데 큰 도움이 되지 않지만 임의의 악의적인 사람들로부터 사용자를 보호합니다. 암호화를 사용하지 않는 네트워크(대부분의 경우)에 침투하는 것이 훨씬 쉽기 때문에 암호화된 신호를 발견한 해커는 보안이 덜한 대상으로 이동할 가능성이 높습니다.

도움이 곧 제공됩니다

분명히, 거대한 디지털 트럭을 운전할 만큼 큰 구멍이 있는 보안 설계는 보안이 전혀 없는 것만큼이나 나쁩니다. WEP 암호화에 대한 성공적인 공격과 보안 프로토콜 결함을 악용하기 위해 쉽게 사용할 수 있는 도구로 인해 Wi-Fi Alliance 회원들은 라이선스를 무선 네트워킹의 사실상 표준으로 지원하는 것을 진지하게 고려하게 되었습니다. 그들은 이러한 문제에 대한 관심을 설명하기 위해 "위기"와 같은 단어를 사용합니다.

그들은 보안 위반의 악명이 그들이 신중하게 만들고 광고한 무선 이더넷 장비에 대한 수요를 능가하기 전에 솔루션을 찾고 싶어합니다.

이 문제를 해결할 새로운 표준은 802.11i.IEEE라고 불릴 것입니다. 802.11 표준 위원회는 이 문제가 대중에게 알려지기 몇 달 전부터 논의를 시작했습니다. TGi(Task Group i)라는 위원회는 WEP 암호화 표준의 알려진 모든 약점을 해결할 수 있는 새롭고 향상된 보안 사양을 개발하고 있습니다. 그룹은 새로운 보안 도구가 자동으로 작동하고 새 도구를 사용하지 않는 기존 장비와 호환될 것이라고 약속합니다. 연구 그룹의 웹사이트는 http://grouper.ieee.Org/groups/802/11/Reports이며, 여기서 회의 정보를 찾고 일부 기술 문서를 읽을 수 있습니다.

Wi-Fi Alliance는 회원들이 가능한 한 빨리 TGi 제품을 사용하기를 원합니다. 이는 상업적 재앙이 되기 전에 상황을 완화할 수 있습니다. 엔지니어가 솔루션을 보고하면 모든 액세스 포인트 및 네트워크 어댑터 제조업체는 새로운 보안 방법을 자사 제품에 통합하고 Alliance는 이를 Wi-Fi 인증 테스트 제품군에 추가합니다. 업데이트된 소프트웨어 및 펌웨어는 기존 802.11b 제품과 새로운 802.11i 프로토콜의 호환성을 보장합니다.

액세스 제어

대부분의 액세스 포인트에는 네트워크 관리자가 지정된 목록에서 클라이언트 어댑터에 대한 액세스를 제한할 수 있는 기능이 있습니다. MAC 주소가 승인된 사용자 목록에 없는 네트워크 장치에 연결을 시도하는 경우 액세스 포인트는 네트워크 연결 요청을 무시합니다. 이 방법은 낯선 사람이 무선 네트워크에 연결하는 것을 방지하는 데 효과적일 수 있지만 네트워크 관리자는 사용자 어댑터 및 MAC 주소의 전체 목록을 유지해야 합니다. 새로운 사용자가 네트워크에 연결하려고 할 때마다 그리고 합법적인 사용자가 어댑터를 변경할 때마다 누군가는 목록에 다른 MAC 주소를 추가해야 합니다. 이는 가정이나 소규모 사무실 네트워크에서는 가능하지만 대기업이나 캠퍼스 시스템에서는 큰 문제가 될 수 있습니다.

각 액세스 포인트 구성 유틸리티는 액세스 목록에 대해 서로 다른 형식을 사용합니다. 액세스 포인트와 함께 제공되는 매뉴얼과 온라인 문서는 액세스 제어 목록을 생성하고 사용하는 방법에 대한 자세한 지침을 제공해야 합니다. 802.11b 표준은 액세스 포인트의 최대 ACL 크기를 정의하지 않으므로 숫자는 카드 전체에 분산됩니다. 일부 액세스 포인트는 목록을 수십 개의 매개변수로 제한합니다. Proxim Harmony AP 컨트롤러와 같은 기타 제품은 최대 10,000개의 개별 주소를 지원합니다. 나머지는 무제한으로 허용됩니다. 주소 목록을 사용하여 네트워크에 대한 액세스를 제어하려는 경우 액세스 포인트가 향후에 충분한 여유 공간을 갖고 모든 사용자를 지원할 수 있을 만큼 큰 목록을 처리할 수 있는지 확인하십시오. 경험에 따르면 액세스 포인트는 네트워크의 현재 사용자 수와 비교하여 최소 두 배의 MAC 주소 수를 허용해야 합니다.

MAC 인증은 대부분의 네트워크 카드에서 MAC 주소 변경이 간단하기 때문에 모든 침입으로부터 보호할 수는 없습니다. 공격자가 해야 할 일은 유효한 사용자를 찾고 그의 MAC 주소를 복사할 수 있을 만큼 오랫동안 네트워크 트래픽을 모니터링하는 것뿐입니다.

그러나 이는 가끔 스파이 활동을 늦추는 매우 효과적인 방법이 될 수 있습니다.

인증: 802.1x 표준

WEP 암호화 사양의 보안 허점으로 인해 많은 무선 네트워크 장비 제조업체와 소프트웨어 개발자는 이미 새로운 IEEE 표준인 802.1x를 채택하여 네트워크에 또 다른 보안 계층을 추가했습니다. 802.1x 표준은 인증서, 스마트 카드, 일회용 암호 등 여러 가지 인증 형식을 지원할 수 있는 프레임워크를 정의합니다. 이러한 인증은 모두 802.11에 통합된 액세스 제어보다 더 강력한 보안을 제공합니다.

802.11 무선 네트워크에서는 802.1x 프레임워크 위에 강력한 보안 네트워크라는 기술이 구축되어 승인된 장치에 대한 네트워크 액세스를 제한합니다.

대부분의 최종 사용자는 802.1x에 대해 두 가지 사실을 알아야 합니다. 첫째, 802.1x는 Windows XP와 함께 제공되는 무선 구성 유틸리티와 많은 최신 액세스 포인트를 포함하여 일부(전부는 아님) 802.11b 하드웨어 및 소프트웨어에 통합되어 있으므로 다른 기능을 제공할 수 있습니다. 잠재적인 보호 계층; 둘째, 숙련된 네트워크 해커가 무선 네트워크에 침투하기 위해 악용할 수 있는 심각한 결함이 여전히 남아 있습니다. 두 명의 메릴랜드 대학 연구원이 분석한 불쾌한 기술적 세부 사항은 http://www.cs.umd.edu/~waa/1x.pdf에서 온라인으로 확인할 수 있습니다.

랜드마크가 나타난 것 같죠? 관심 있는 하드웨어 및 소프트웨어 회사의 엔지니어들이 연구 그룹이라는 기치 아래 함께 뭉칩니다.

무엇을 해야 할까요? 안전한 무선 네트워크는 달성할 수 없는 이상입니까? 무선 보안을 고양이와 쥐의 게임으로 본다면 쥐(스파이와 네트워크 크래커)가 승자임이 분명합니다. 그러나 이러한 마우스에는 기존 암호화 및 인증 도구를 극복하기 위한 고급 지식과 하드웨어가 필요합니다.

집의 현관문과 같다고 생각해보세요. 문을 활짝 열어두면 누구나 들어와서 물건을 훔칠 수 있지만, 문을 잠그고 창문을 잠그면 도둑이 집 안으로 들어가기가 훨씬 더 어려워집니다. . 전문가가 자물쇠를 열 수 있지만 시간과 노력이 많이 소요됩니다.

방화벽

WEP 암호화와 802.1x가 적절한 무선 보안을 제공하지 않는다는 점을 인정한다면 다음 논리적 단계는 외부인이 네트워크에 액세스하지 못하도록 방지하는 다른 방법을 찾는 것입니다. 방화벽이 필요합니다.

방화벽은 네트워크 관리자가 설정한 규칙 집합에 따라 네트워크를 통해 들어오고 나가는 모든 데이터를 필터링하는 프록시 서버입니다. 예를 들어 방화벽은 알 수 없는 소스의 데이터나 특정 소스(바이러스)와 관련된 파일을 필터링할 수 있습니다. 또는 로컬 네트워크에서 인터넷으로 전송되는 모든 데이터를 허용하지만 인터넷에서 특정 유형의 데이터만 허용할 수도 있습니다. 네트워크 방화벽의 가장 일반적인 용도는 그림과 같이 인터넷 게이트웨이로 사용되는 것입니다. 14.5. 방화벽은 한쪽의 로컬 네트워크와 다른 쪽의 인터넷 사이에 들어오고 나가는 모든 데이터를 모니터링합니다. 이러한 유형의 방화벽은 인터넷의 무단 액세스로부터 네트워크의 컴퓨터를 보호하도록 설계되었습니다.

쌀. 14.5

무선 네트워크에서 방화벽은 무선 액세스 포인트와 유선 네트워크 사이의 게이트웨이에 위치할 수도 있습니다. 이러한 방화벽은 네트워크의 무선 부분을 유선 네트워크에서 격리하므로, 허가 없이 컴퓨터를 네트워크에 연결하는 악의적인 사용자는 무선 연결을 사용하여 인터넷이나 네트워크의 유선 부분에 액세스할 수 없습니다. 그림에서. 그림 14.6은 무선 네트워크의 방화벽 위치를 보여줍니다.

쌀. 14.6

무선 네트워크 침입자에게 기회를 주지 마십시오

무선 네트워크에 접속하려는 대부분의 사람들은 다른 컴퓨터에 대해 걱정하지 않습니다. 그들은 무료 고속 인터넷 접속에 관심이 있습니다. 네트워크를 사용하여 파일을 다운로드하거나 즐겨찾는 웹 페이지에 연결할 수 없는 경우 보안되지 않은 다른 무선 지점을 찾으려고 할 가능성이 높습니다. 이는 보안되지 않은 컴퓨터의 액세스 가능한 파일에 민감한 데이터를 저장해야 한다는 의미는 아니지만, 인터넷 액세스를 제한하거나 거부할 수 있다면 비방하는 사람들이 네트워크를 덜 매력적으로 보이게 만들 것입니다. 무선 네트워크의 방화벽은 여러 기능을 수행할 수 있습니다. 무선 네트워크와 유선 네트워크 사이의 라우터 역할 또는 네트워크와 인터넷 사이의 브리지 역할을 하며, 인증된 네트워크에서 발생하지 않는 무선에서 유선으로의 모든 트래픽을 차단합니다. 사용자. 그러나 신뢰할 수 있는 사용자가 수행하는 명령, 메시지 또는 파일 전송을 방해하지 않습니다.

승인된 사용자와 외부인 모두 방화벽의 보안되지 않은 쪽에 있으므로 무선 노드가 서로 격리되지 않습니다. 공격자는 여전히 동일한 무선 네트워크에 있는 다른 컴퓨터에 액세스하여 사용 가능한 파일을 읽을 수 있으므로 비활성화하는 것이 좋습니다. 파일 공유(파일에 액세스) 무선 네트워크에 연결된 모든 컴퓨터에서.

무선 방화벽은 인증된 사용자가 게이트웨이를 통과하도록 허용하고 다른 모든 사용자를 필터링하려면 특정 유형의 인증을 사용해야 합니다. MAC 주소 기반 액세스 제어가 802.11b 시스템에 내장되어 있고 802.1x의 추가 인증이 허용되지 않는 경우 외부 방화벽은 각 사용자가 인터넷에 연결하기 전에 로그인 및 비밀번호를 입력하도록 요구해야 합니다.

무선 네트워크에 여러 운영 체제를 실행하는 컴퓨터가 포함되어 있는 경우 방화벽은 모든 플랫폼에서 작동하는 로그인을 사용해야 합니다. 이를 수행하는 가장 쉬운 방법은 Apache 웹 서버(http://httpd.apache.org)에 포함된 것과 같은 웹 기반 인증 서버를 사용하는 것입니다.

NASA는 전용 서버에서 Apache를 사용하여 사용자가 계정 이름과 비밀번호를 입력하면 이를 알려주는 웹 사이트를 만듭니다.

서버는 Perl/CGI 스크립트를 사용하여 로그인 및 비밀번호를 데이터베이스와 비교합니다. 올바른 경우 서버에 사용자 IP 주소의 명령과 데이터를 수락하도록 지시합니다. 데이터베이스에 로그인이 없거나 비밀번호가 정확하지 않은 경우 Apache 서버는 "잘못된 사용자 이름 및 비밀번호" 웹 페이지를 표시합니다.

Apache 웹 서버는 초기 Pentium 또는 심지어 486 CPU를 갖춘 오래되고 느린 컴퓨터에서 실행되는 Unix 응용 프로그램으로 사용 가능하므로 더 이상 일상 업무에 사용되지 않는 오래된 컴퓨터를 방화벽으로 재사용하는 것이 가능한 경우가 많습니다. . Apache 애플리케이션과 Unix 운영 체제 모두 오픈 소스 소프트웨어로 제공되므로 매우 저렴한 비용으로 Apache 기반 방화벽을 구축하는 것이 가능합니다.

Unix 대신 Windows를 사용하려는 경우 몇 가지 옵션이 있습니다. Windows NT/2000 버전의 Apache나 Sygate의 Wireless Enforcer(http://www.sygate.com/prodacls/sse/sse_swe_securjty.htm)와 같은 상용 유틸리티를 사용할 수 있습니다. - Wireless Enforcer는 Sygate의 다른 요소와 함께 작동합니다. Secure Enterprise Suite Sygate Security)를 사용하여 인증된 각 사용자에게 고유한 지문을 할당하고 확인합니다. 외부인이 필요한 지문 없이 액세스 포인트에 연결을 시도하면 네트워크는 이를 차단합니다.

인터넷에서 네트워크 분리

무선 네트워크에 대한 모든 공격이 무선으로 수행되는 것은 아닙니다. 무선 네트워크에는 다른 네트워크와 마찬가지로 인터넷 공격에 대비한 동일한 종류의 방화벽 지원이 필요합니다. 많은 액세스 포인트에는 구성 가능한 방화벽 기능이 포함되어 있지만 그렇지 않은 경우 네트워크에는 다음 방화벽 중 하나 이상이 포함되어야 합니다.

각 컴퓨터의 방화벽 프로그램

네트워크 방화벽 역할을 하는 별도의 라우터 또는 전용 컴퓨터

이전 섹션에서 설명한 Sygate 패키지와 같은 통합 보안 패키지입니다.

방화벽 클라이언트 프로그램은 인터넷을 통한 네트워크 공격에 대한 또 다른 방어선을 제공합니다. 그 중 일부는 외부 세계에서 숨기고 싶은 파일 및 기타 리소스를 읽을 수 있는 방법을 찾는 악의를 품은 사람들로부터 왔습니다. 다른 사람들은 실제 리소스를 추적하기 어렵게 만들기 위해 귀하의 컴퓨터를 세계 다른 곳의 컴퓨터에 대한 스팸 또는 침입 시도의 배포 지점으로 사용하려고 할 수 있습니다. 다른 사람들은 바이러스를 배포하거나 컴퓨터를 제어하고 위협적이거나 광고적인 메시지를 표시하는 원치 않는 프로그램을 사용합니다. 또한 사용되지 않는 저장 공간이 많은 보안되지 않은 시스템은 불법 복제 소프트웨어, 음악 또는 비디오 파일을 배포하려는 해커에게 매력적인 표적이 될 수 있습니다(그들이 자신의 컴퓨터에 그런 쓰레기를 저장할 수도 있다고 생각하지 않습니까?).

외부 컴퓨터가 네트워크에 연결을 시도할 때 이를 알려주는 방화벽을 설정하면 매일 여러 번의 침입 시도를 보게 될 것입니다.

방화벽이 있는 액세스 포인트

무선 방화벽을 사용하는 가장 간단한 옵션은 액세스 포인트에 내장된 방화벽을 사용하는 것입니다. 일부는 무선 액세스 포인트의 기능을 광대역 라우터 및 이더넷 스위치와 결합하여 유선 및 무선 네트워크 클라이언트를 모두 지원합니다.

아시다시피 네트워크 라우터는 로컬 네트워크의 게이트웨이를 정의하는 숫자 IP 주소와 그 안에 있는 개별 컴퓨터를 정의하는 내부 IP 주소 간의 변환을 제공합니다. 방화벽은 일반적으로 로컬 네트워크 호스트로 들어오는 모든 데이터 요청을 차단하지만, 이로 인해 하나 이상의 로컬 네트워크 컴퓨터를 파일 서버로 사용하려는 경우 문제가 발생합니다. 이 문제를 해결하기 위해 방화벽에는 특정 유형의 요청을 네트워크 내의 적절한 컴퓨터로 리디렉션하는 가상 서버가 포함되어 있습니다.

서버에 연결하기 위한 각 요청에는 서버 유형을 결정하는 특정 포트 번호가 포함되어 있습니다. 예를 들어 웹 서버는 포트 80을 사용하고 FTP는 포트 21을 사용하므로 이러한 포트 번호는 액세스 요청의 일부입니다. 서버 액세스 요청을 수락할 때 방화벽에서 NAT(네트워크 주소 변환) 기능을 활성화하여 이러한 요청을 로컬 네트워크 내의 지정된 컴퓨터로 라우팅해야 합니다. 그림에서. 14.7 가상 서버는 로컬 IP 주소가 192.168.0.177인 컴퓨터를 웹 서버로 사용하고 192.168.0.164를 FTP 파일 서버로 사용하도록 구성됩니다. 테이블에 표 14.1은 가장 일반적인 서비스 포트 번호를 보여줍니다.

테이블 14.1 공통 TCP/IP 서비스 포트 번호

서로 다른 네트워크에서 사용되는 수백 개의 다른 포트 번호가 있지만 대부분은 실제 사용에서는 볼 수 없습니다. 할당된 포트의 공식 목록은 http://www.iana.org/locationments/port-numbers에 있습니다.

쌀. 14.7

NAT 변환에서는 각 가상 서버의 IP 주소가 한 요청에서 다음 요청으로 변경되어서는 안 된다고 가정합니다. 현재 번호가 192.168.0.23인 웹 서버는 일주일 안에 192.168.0.47로 전환되어서는 안 됩니다. 이는 일반적으로 유선 네트워크에서는 문제가 되지 않지만, 네트워크 클라이언트가 계속 연결되고 나가는 무선 네트워크에서는 문제가 됩니다. DHCP 서버는 각 새 클라이언트에 사용 가능한 다음 번호를 자동으로 할당합니다. 이러한 사용자 중 한 명이 네트워크 서비스 포트 중 하나의 위치에 있는 경우 NAT는 이를 감지하지 못할 수 있습니다. 대부분의 네트워크에서는 랩톱을 서버로 사용하지 않기 때문에 이 문제는 흔하지는 않지만 가끔 발생합니다. 해결 방법은 DHCP 서버를 비활성화하고 각 클라이언트에 영구 IP 주소를 할당하거나 서비스 포트를 네트워크에 유선으로 연결된 컴퓨터로 이동하는 것입니다.

방화벽 소프트웨어

액세스 포인트와 LAN의 유선 부분 사이의 인터페이스에 있는 무선 게이트웨이 방화벽은 외부인이 네트워크를 사용하여 인터넷에 액세스하는 것을 방지하고 인터넷 연결 방화벽은 인터넷에서 네트워크에 연결하려는 시도를 거부합니다. 무선 네트워크에는 보안이 필요합니다. 누군가가 허가 없이 무선 네트워크에 액세스하는 경우 동일한 네트워크에 있는 다른 합법적인 컴퓨터를 제거해야 합니다. 이는 각 네트워크 노드마다 클라이언트 방화벽 프로그램이 필요하다는 것을 의미합니다.

클라이언트 방화벽은 네트워크 또는 기업 방화벽이 전체 네트워크에 대해 수행하는 것과 동일한 기능을 컴퓨터의 네트워크 인터페이스에서 수행합니다. TCP 포트에 대한 연결 시도를 감지하고 하나 이상의 방화벽 프로그램 구성 설정과 일치하지 않는 경우 이를 무시합니다.

일부 방화벽은 평가판 버전으로 제공되는 반면 다른 방화벽은 비상업적 사용자에게 무료로 제공되므로 자신의 시스템에서 쉽게 시험해 보고 어느 것이 가장 마음에 드는지 확인할 수 있습니다.

다음은 Windows용 프로그램입니다.

Unix 및 Linux 사용자에게는 방화벽 기능도 많이 있습니다. 대부분은 네트워크 게이트웨이로 널리 사용되는 독립형 방화벽 컴퓨터에서 사용하기 위해 작성되었지만 개별 네트워크 클라이언트에 대한 보호 역할도 동일하게 수행할 수 있습니다.

Linux에서 방화벽은 커널의 일부이며 사용자는 콘솔 유틸리티(ipchains 또는 iptables)를 통해 방화벽을 사용합니다. 둘 다 각각 http://linuxdoc.org/HOWTO/IPCHAINS-HOWVTO.html 및 http://www.netfilter.org/unreliable-guides/packet-filtering-HOWTO에 문서화되어 있습니다. IP 필터는 FreeBSD 및 NetBSD 시스템에 방화벽 서비스를 제공하는 소프트웨어 패키지입니다. 공식 IP 필터 웹 사이트는 http://coombs.anu.edu.au/-avalon이고 http://www.obfuscation.org/ipf/ipf-howto.txt에는 그 사용에 대한 훌륭한 문서가 있습니다. 이 프로그램은 방화벽을 통과하는 모든 패킷을 거부하거나 허용할 수 있을 뿐만 아니라 넷마스크 또는 호스트 주소로 필터링하고, 서비스 포트 제한을 구현하고, NAT 변환 서비스를 제공할 수 있습니다.

NetBSD/i386 방화벽은 또 다른 무료 Unix 방화벽입니다.

최소 8MB의 메모리를 갖춘 486 이상의 CPU를 갖춘 모든 PC에서 실행됩니다. NetBSD/i386 방화벽 프로젝트 홈 페이지는 http://www.dubbele.com에 있습니다.

PortSentry는 Red Hat, Caldera, Debian 및 Turbo Linux를 포함하여 널리 사용되는 여러 Linux 버전에 통합되는 포트 스캐닝 도구입니다. http://www.psionic.com/products/portsentry.html에서 다운로드할 수 있습니다.

가상 사설망

VPN은 다른 네트워크 트래픽으로부터 네트워크 노드 간의 연결을 분리함으로써 또 다른 보호 계층을 추가할 수 있습니다. VPN은 "데이터 터널"을 통해 두 네트워크 끝점을 연결하는 암호화된 전송 채널입니다. 많은 네트워크 보안 전문가들은 악의적인 사용자와 승인되지 않은 사용자로부터 무선 네트워크를 보호하는 효과적인 방법으로 VPN을 권장합니다. 다음 장에서 VPN 설정 및 사용에 대한 자세한 정보를 확인할 수 있습니다.

물리적 보호

지금까지 전자 도둑이 네트워크에 액세스하는 것을 방지하는 방법에 대해 설명했습니다. 아직 구성되지 않은 기존 하드웨어를 사용하여 네트워크에 액세스하는 것은 충분히 쉽습니다. 공격자가 인증된 사용자로부터 컴퓨터를 훔친 경우에는 더욱 쉽습니다.

노트북 컴퓨터를 잃어버리는 것은 즐거운 일이 아닙니다. 도둑이 훔친 컴퓨터를 사용하여 네트워크를 추적하도록 허용하는 것은 훨씬 더 나쁩니다. 네트워크 운영자는 휴대용 장치가 도둑의 표적이 된다는 점을 사용자에게 상기시키고 이를 보호하는 방법에 대한 몇 가지 팁을 제공해야 합니다. 사용자로서 귀하도 동일한 규칙을 준수해야 합니다.

첫 번째 규칙은 간단합니다. 컴퓨터를 착용하고 있다는 사실을 잊지 마세요. 당연해 보이지만 런던의 택시 기사들은 6개월 동안 자동차에 약 2,900개의 노트북(및 62,000개의 휴대폰!)이 남겨져 있는 것을 발견했습니다. 비행기, 호텔 객실, 통근 열차 및 회의실에 수많은 다른 것들이 버려졌습니다. 컴퓨터를 가지고 있다고 광고하지 마십시오. 측면에 큰 "IBM" 또는 "COMPAQ" 로고가 있는 나일론 가방은 멋져 보일 수 있지만 일반 서류 가방이나 쇼핑백만큼 안전하지는 않습니다.

컴퓨터가 옷장이나 보관실에 잠겨 있지 않은 경우에는 항상 손에 들거나 어깨에 메고 다니십시오. 잠시 주의가 산만해지면 숙련된 도둑이 그것을 훔칠 수 있습니다. 공항 터미널, 기차역, 호텔 로비는 도난이 자주 발생하는 장소입니다. 보안되지 않은 개인용 컴퓨터를 밤새 사무실에 두지 마십시오. 공항 검색대를 통과하지 마세요. 검사관에게 직접 검사하도록 요청하거나 컴퓨터가 컨베이어 벨트를 따라 이동한 후 즉시 컴퓨터를 반납할 수 있는지 확인하십시오. 두 사람이 함께 일하면 쉽게 당신을 감금하고 당신이 컴퓨터를 갖기도 전에 컴퓨터를 훔칠 수 있습니다. 수하물 검사 중에 누군가가 컴퓨터를 훔치려고 하면 소란을 피우고 보안요원에게 도움을 요청하세요. 컴퓨터와 PC 카드와 같은 개별 구성 요소의 내부와 외부에 소유권 라벨이 있는지 확인하십시오.

사무실 자산의 보안 추적(http://www.stoptheft.com)은 제거하는 데 360kg의 힘이 필요한 기록 가능하고 인쇄된 시아노아크릴레이트 접착 보안 태그를 제공하며, 누군가... 또는 삭제하면 나타나는 영구적인 "도난 재산" 화학 표시가 있습니다. 바로가기.

고객이 컴퓨터에서 경고 장치를 사용하도록 설득할 수 있다면 고객이 다시 돌아올 가능성이 높아질 수 있습니다. Trackit(http://www.trackit-corp.com m)은 클립형 송신기와 컴퓨터 가방에 들어 있는 소형 수신기를 사용하는 두 부분으로 구성된 경고 장치입니다. 송신기가 수신기로부터 12m 이상 떨어져 있으면 수신기는 110dB의 사이렌을 방출하는데, 이는 일반적으로 도둑이 훔친 가방을 떨어뜨리는 원인이 됩니다.

마지막으로 모델 및 일련번호 목록을 장치 자체와 별도로 보관하세요. 보험 청구를 위해 이 정보가 필요합니다.

네트워크에 연결된 컴퓨터 중 하나가 분실 또는 도난당한 것을 발견한 경우 나머지 네트워크를 보호하는 것이 중요합니다. 가능하다면 네트워크 SSID, 비밀번호, WEP 키를 최대한 빨리 변경하십시오. 네트워크에서 MAC 주소 목록을 사용하여 액세스를 제어하는 경우 인증된 연결 목록에서 도난당한 장치의 MAC 주소를 제거하십시오.

네트워크를 전 세계에 연결

무선 네트워크를 사용하여 인근 네트워크 또는 캠퍼스의 인터넷 액세스를 공유하거나 고객 및 다른 방문자가 무선 네트워크에 연결하도록 허용하려는 경우 WEP 또는 기타 보안 도구를 사용하여 알려진 사용자에게 액세스를 제한해서는 안 됩니다. 하지만 여전히 몇 가지 보안 조치를 제공해야 합니다.

사람들에게 인터넷에 직접 연결을 제공하려는 것은 그들이 네트워크의 다른 컴퓨터를 로밍할 수 있도록 허용하려는 것이 아니라 무선 액세스 지점을 네트워크의 나머지 부분과 격리하려는 것입니다.

네트워크의 모든 로컬 호스트가 유선으로 연결된 경우 가장 좋은 방법은 무선 액세스 포인트와 유선 LAN 사이에 방화벽을 배치하여 액세스 포인트(및 무선 연결을 통해 연결된 컴퓨터)가 인터넷에만 연결되고 그림과 같이 로컬 호스트 유선 네트워크에는 연결되지 않습니다. 14.8.

그러나 일부 가정용 컴퓨터가 무선 연결을 사용하는 경우 네트워크의 공유 부분을 사용하여 다른 사람이 액세스하지 못하도록 보호해야 합니다. 이 계획을 구현하는 방법에는 두 가지가 있습니다. 그림 14.9는 각 가정용 컴퓨터에 소프트웨어 방화벽이 있는 무선 네트워크를 보여줍니다. 14.10 - 동일한 인터넷 노드에 연결된 서로 다른 SSID를 가진 두 개의 별도 무선 네트워크를 사용하는 시스템. 일반적인 규칙은 하나 이상의 방화벽을 사용하여 나머지 세계에 노출되기를 원하지 않는 컴퓨터로부터 네트워크의 공개 부분을 격리하는 것입니다.

쌀. 14.8

쌀. 14.9

쌀. 14.10

노트:

Windows XP 및 Windows 2000에서 파일에 대한 액세스를 중앙에서 제어하려면 상황에 맞는 메뉴를 마우스 오른쪽 버튼으로 클릭하세요. 내 컴퓨터그리고 선택 관리하다. 오른쪽 창에서 북마크를 선택하세요. 공유 폴더, 그 다음에 주식. - 메모 과학적 에드.

지난 몇 년 동안 무선 기술이 발전했습니다. Wi-Fi 네트워크(802.11a/b/g 표준 네트워크)는 점점 더 대중화되고 있으며, 이전에는 주로 사무실이나 핫스팟에서의 무선 네트워크 사용에 관한 것이었지만 이제는 가정과 휴대폰 배치 모두에서 널리 사용됩니다. .사무실(출장 중 사무실). 무선 액세스 포인트와 SOHO 클래스 무선 라우터는 특히 가정 사용자와 소규모 사무실을 위해 판매되며, 포켓 무선 라우터는 모바일 사용자를 위해 판매됩니다. 그러나 무선 네트워크로 전환하기로 결정할 때 현재 개발 단계에서는 보안 측면에서 불완전하다는 한 가지 중요한 단점이 있다는 점을 기억해야 합니다. 이 기사에서는 무선 네트워크의 가장 취약한 영역에 대해 설명하고 실제 사례를 통해 해당 영역이 어떻게 해킹되는지 보여줍니다. 얻은 지식은 무선 네트워크의 보안을 감사하는 데 성공적으로 사용될 수 있으며, 이를 통해 무선 네트워크를 배포할 때 발생하는 전통적인 실수를 방지할 수 있습니다. 먼저 오늘날 무선 네트워크를 보호하는 데 사용되는 기본 보안 조치를 살펴본 다음 공격자가 이러한 조치를 극복할 수 있는 방법에 대해 이야기하겠습니다.

무선 보안 방법

802.11a/b/g 무선 네트워크 표준은 여러 보안 메커니즘을 제공합니다.

WEP(Wired Equivalent Privacy) 프로토콜을 사용한 인증 및 데이터 암호화 모드;
WPA(Wi-Fi Protected Access) 프로토콜을 사용한 인증 및 데이터 암호화 모드;
MAC 주소로 필터링;
숨겨진 네트워크 식별자 모드를 사용합니다.

WEP 프로토콜

모든 최신 무선 장치(액세스 포인트, 무선 어댑터 및 라우터)는 원래 IEEE 802.11 무선 네트워크 사양에 포함된 WEP 보안 프로토콜을 지원합니다.

WEP 프로토콜을 사용하면 키 크기가 64비트 또는 128비트인 RC4 알고리즘을 기반으로 전송된 데이터 스트림을 암호화할 수 있습니다. 일부 장치는 152, 256 및 512비트의 키도 지원하지만 이는 규칙의 예외입니다. 키에는 64비트 및 128비트 키에 대해 각각 길이가 40비트 및 104비트인 정적 구성 요소와 IV(초기화 벡터)라고 하는 크기가 24비트인 추가 동적 구성 요소가 있습니다.

가장 간단한 수준에서 WEP 암호화 절차는 다음과 같습니다. 처음에는 패킷에 전송된 데이터의 무결성을 검사(CRC-32 알고리즘)한 후 체크섬(무결성 검사 값, ICV)을 패킷 헤더의 서비스 필드에 추가합니다. 다음으로 24비트 초기화 벡터(IV)가 생성되고 여기에 정적(40비트 또는 104비트) 비밀 키가 추가됩니다. 이렇게 얻은 64비트 또는 128비트 키는 데이터를 암호화하는 데 사용되는 의사 난수를 생성하기 위한 초기 키입니다. 다음으로 의사 난수 키 시퀀스를 사용하여 논리적 XOR 연산을 사용하여 데이터를 혼합(암호화)하고 프레임 서비스 필드에 초기화 벡터를 추가합니다.

수신 측에서는 초기화 벡터에 대한 정보가 데이터와 함께 전송되고 키의 정적 구성 요소가 데이터가 전송되는 사용자에 의해 저장되므로 데이터를 해독할 수 있습니다.

WEP 프로토콜은 개방형 시스템(개방)과 공유 키(공유)라는 두 가지 사용자 인증 방법을 제공합니다. 공개 인증을 사용하면 실제로 인증이 발생하지 않습니다. 즉, 모든 사용자가 무선 네트워크에 액세스할 수 있습니다. 단, 개방형 시스템의 경우에도 WEP 데이터 암호화는 허용됩니다.

WAP 프로토콜

2003년에는 또 다른 보안 표준인 WPA가 도입되었습니다. 이 표준의 주요 기능은 RC4 암호화를 더욱 발전시킨 TKIP(임시 키 무결성 프로토콜)를 기반으로 구축된 데이터 암호화 키의 동적 생성 기술입니다. 연산. TKIP 프로토콜에서 네트워크 장치는 48비트 초기화 벡터(24비트 WEP 벡터와 반대)로 작동하고 비트 순서를 변경하는 규칙을 구현하므로 키 재사용이 필요하지 않습니다. TKIP 프로토콜은 전송된 각 패킷에 대해 새로운 128비트 키 생성을 제공합니다. 또한 WPA의 암호화 체크섬은 MIC(메시지 무결성 코드)라는 새로운 방법을 사용하여 계산됩니다. 각 프레임에는 특별한 8바이트 메시지 무결성 코드가 포함되어 있으며 이를 확인하면 위조된 패킷을 사용하는 공격을 물리칠 수 있습니다. 결과적으로 네트워크를 통해 전송되는 각 데이터 패킷에는 고유한 키가 있으며 각 무선 네트워크 장치에는 동적으로 변경되는 키가 부여됩니다.

또한 WPA 프로토콜은 WEP 및 TKIP 프로토콜에 비해 더 안전한 암호화 알고리즘을 갖춘 고급 AES(Advanced Encryption Standard) 표준을 사용한 암호화를 지원합니다.

집이나 소규모 사무실에 무선 네트워크를 배포할 때 일반적으로 공유 키를 기반으로 하는 WPA 보안 프로토콜의 변형인 WPA-PSK(사전 공유 키)가 사용됩니다. 앞으로는 별도의 RADIUS 서버에서 사용자 인증이 수행되는 기업 네트워크를 겨냥한 WPA 프로토콜 옵션을 건드리지 않고 WPA-PSK 옵션만 고려할 것입니다.

WPA-PSK를 사용하는 경우 액세스 포인트 설정 및 클라이언트 무선 연결 프로필에 8~63자의 비밀번호가 지정됩니다.

MAC 주소 필터링

802.11 표준의 일부는 아니지만 모든 최신 액세스 포인트 및 무선 라우터에서 지원되는 MAC 주소 필터링은 무선 네트워크의 보안을 향상시키는 것으로 간주됩니다. 이 기능을 구현하기 위해 이 네트워크에서 작동하도록 승인된 클라이언트의 무선 어댑터 MAC 주소 테이블이 액세스 포인트 설정에 생성됩니다.

숨겨진 SSID 모드

무선 네트워크에서 자주 사용되는 또 다른 예방 조치는 숨겨진 네트워크 식별자 모드입니다. 각 무선 네트워크에는 네트워크 이름인 고유 식별자(SSID)가 할당됩니다. 사용자가 네트워크에 로그인하려고 하면 무선 어댑터 드라이버는 먼저 전파에서 무선 네트워크가 있는지 검색합니다. 숨겨진 식별자 모드(일반적으로 이 모드를 SSID 숨기기라고 함)를 사용하는 경우 네트워크는 사용 가능한 목록에 표시되지 않으며 먼저 해당 SSID가 정확하게 알려진 경우에만 연결할 수 있습니다. 이 네트워크에 연결하기 전에 프로필이 생성되었습니다.

무선 네트워크 해킹

802.11a/b/g 네트워크를 보호하는 주요 방법을 숙지한 후 이를 극복하는 방법을 고려해 보겠습니다. WEP 및 WPA 네트워크를 해킹하는 데 동일한 도구가 사용되므로 먼저 공격자의 무기고에 무엇이 포함되어 있는지 알려 드리겠습니다.

우선, 무선 어댑터가 장착된 노트북이 필요합니다. 무선 해킹 도구를 선택하는 과정에서 발생하는 주요 문제는 소프트웨어에서 사용하는 무선 어댑터 칩과 운영 체제 간의 호환성을 보장하는 것입니다.

무선 어댑터 선택

사실 무선 네트워크를 해킹할 수 있는 대부분의 유틸리티는 Linux 시스템에 "맞춤형"으로 제공됩니다. Windows XP용 일부 유틸리티 버전이 있습니다. 그러나 무선 어댑터 칩에 따라 특정 무선 카드는 Linux 및 Windows XP 시스템용 유틸리티와 함께 사용할 수 있으며, 일부 무선 어댑터는 Linux 또는 Windows XP 시스템용 유틸리티에만 사용할 수 있습니다. Linux 또는 Windows XP 유틸리티에서 지원되지 않는 무선 어댑터가 있습니다. 또한 유틸리티에서 지원하기는 하지만 (패킷 캡처 및 분석 측면에서) 매우 느리게 작동하는 칩이 있습니다.

사실 무선 네트워크를 해킹하는 작업을 수행하려면 무선 네트워크 어댑터용 특수(비표준) 드라이버가 필요합니다. 모든 무선 어댑터의 표준 모드는 인프라(기본 서비스 세트, BSS) 및 임시(독립 기본 서비스 세트, IBSS)입니다. 인프라 모드에서는 각 클라이언트가 액세스 포인트를 통해 네트워크에 연결되며, 애드혹 모드에서는 액세스 포인트를 사용하지 않고도 무선 어댑터가 서로 직접 통신할 수 있습니다. 그러나 이 두 모드 모두 무선 어댑터가 무선을 수신하고 패킷을 가로채는 것을 허용하지 않습니다. 두 경우 모두 네트워크 어댑터는 구성된 네트워크에만 사용되는 패킷을 포착합니다. 다른 네트워크(숨겨진 ESSID가 있음)를 보고 패킷을 캡처할 수 있도록 전환 시 어댑터가 특정 네트워크와 연결되지 않고 사용 가능한 모든 패킷을 캡처하는 특수 모니터링 모드(모니터 모드)가 있습니다. 일반적으로 무선 어댑터 제조업체에서 제공하는 드라이버는 모니터링 모드를 지원하지 않으며, 이를 활성화하려면 타사 개발자 그룹이 작성한 특수 드라이버를 설치해야 합니다. Windows 운영 체제의 경우 이러한 특수 드라이버는 Hermes, Realtek, Aironet 및 Atheros 칩 기반 무선 어댑터에만 존재합니다. Linux/BSD 제품군의 운영 체제에 대한 이 모드에 대한 드라이버 지원은 주로 카드 사양의 개방성에 따라 결정되지만 지원되는 장치 목록은 Windows 제품군보다 훨씬 더 넓습니다. 모니터링 모드를 지원하는 Linux/BSD 시스템용 드라이버는 Prism, Orinoco, Atheros, Ralink, Aironet, Realtek, Hermes 및 Intel 칩셋을 기반으로 하는 무선 어댑터에 대해 찾을 수 있지만 Intel 칩 기반 드라이버는 모든 경우에 적합하지 않습니다. 장치.

현재 Intel Centrino 모바일 기술을 기반으로 하는 모든 노트북에는 Intel 칩(IPW2100, IPW2200, IPW2915, IPW3945 칩) 기반 무선 어댑터가 내장되어 있지만 이러한 어댑터는 Linux 유틸리티와 호환되지만 우리의 목적에는 적합하지 않습니다. 해킹의 경우 이러한 칩은 매우 느리게 작동하며 일반적으로 Windows 유틸리티와 호환되지 않습니다.

운영 체제 선택

운영 체제 선택과 관련하여 다음 권장 사항이 제공될 수 있습니다. Linux를 사용할 때 가능한 도구의 범위가 훨씬 더 넓고 Linux 유틸리티가 훨씬 더 빠르게 작동하기 때문에 이러한 목적에는 Linux 시스템이 더 바람직합니다. 하지만 이것이 Windows 유틸리티와 함께 Windows XP를 사용할 수 없다는 의미는 아닙니다. 앞으로는 무선 네트워크 해킹에 대한 두 가지 옵션, 즉 Linux와 Windows 유틸리티를 모두 사용하는 방법을 모두 고려할 것입니다. 동시에 우리는 모든 사용자가 Windows에서 Linux로 서둘러 전환하는 것은 아니라는 점을 잘 알고 있습니다. 모든 단점에도 불구하고 Windows OS는 훨씬 더 널리 퍼져 있으며 초보 사용자가 배우기가 훨씬 쉽습니다. 따라서 최적의 옵션은 Windows XP를 랩톱의 기본 운영 체제로 사용하고 무선 네트워크 해킹 작업을 위해 CD에서 실행되고 컴퓨터 하드에 설치할 필요가 없는 Linux Live CD를 사용하는 것입니다. 운전하다. 우리의 경우 가장 좋은 솔루션은 Linux OS(커널 버전 2.6.18.3)를 기반으로 구축되었으며 네트워크 해킹에 필요한 모든 도구 패키지가 포함된 BackTrack 디스크입니다. 이 디스크의 이미지는 http://www.remote-exploit.org/backtrack.html 링크를 사용하여 웹사이트에서 다운로드할 수 있습니다.

소프트웨어 세트

전통적으로 무선 네트워크를 해킹하려면 Windows XP(aircrack-ng 0.6.2-win) 및 Linux(aircrack-ng 0.7) 버전에 모두 존재하는 에어크랙 소프트웨어 패키지가 사용됩니다. 이 패키지는 무료로 배포되며 공식 웹사이트 www.aircrack-ng.org에서 다운로드할 수 있습니다. 이 패키지는 동급 최고의 솔루션이므로 다른 유틸리티를 찾을 필요가 없습니다. 또한 BackTrack 디스크에는 Linux 버전(물론 Linux 버전)이 포함되어 있습니다.

BackTrack Live CD를 사용하여 무선 네트워크 해킹

따라서 랩톱에 어떤 운영 체제를 설치했는지에 관계없이 BackTrack 부팅 디스크를 사용하여 무선 네트워크를 해킹합니다. 무선 네트워크를 해킹하는 데 필요한 도구 외에도 이 디스크에는 네트워크를 감사할 수 있는 다른 많은 유틸리티(포트 스캐너, 스니퍼 등)가 포함되어 있습니다. 그런데 이러한 디스크는 네트워크 감사와 관련된 모든 시스템 관리자에게 유용합니다.

BackTrack 디스크를 사용한 무선 네트워크 해킹은 세 단계로 수행됩니다(표 1).

무선 네트워크에 대한 정보를 수집하는 단계;
패킷 캡처;
패킷 분석.

첫 번째 단계는 해킹당하는 무선 네트워크에 대한 자세한 정보(액세스 포인트의 MAC 주소, 무선 네트워크의 활성 클라이언트, 네트워크 이름(네트워크 ID), 사용된 암호화 유형)를 수집하는 것입니다. 이렇게 하려면 airmon-ng, airodump-ng 및 Kismet 유틸리티를 사용하십시오. 첫 번째 유틸리티는 무선 네트워크를 모니터링하기 위해 무선 네트워크 어댑터 드라이버를 구성하는 데 필요하고 나머지 두 유틸리티를 사용하면 무선에 대해 필요한 정보를 얻을 수 있습니다. 회로망. 이러한 유틸리티는 모두 BackTrack 디스크에 이미 포함되어 있습니다.

표 1. BackTrack Live CD를 사용하여 무선 네트워크를 해킹하는 단계

단계 번호	설명	사용된 유틸리티	결과
단계 번호	설명	사용된 유틸리티
	무선 네트워크 정보 수집	airmon-ng airodump-ng Kismet	액세스 포인트 MAC 주소, 활성 클라이언트 MAC 주소, 네트워크 유형, 네트워크 ID, 암호화 유형(WEP, WPA-PSK), 통신 채널 번호
	패킷 차단	airodump-ng Kismet airoplay-ng
	패킷 분석		키 선택	비밀번호 선택

다음 단계는 airodump-ng 유틸리티를 사용하여 패킷을 캡처하는 것입니다. 네트워크에서 WEP 암호화가 사용되는 경우 초기화 벡터가 포함된 IV 패킷을 수집해야 합니다. 네트워크의 트래픽이 낮은 경우(예: 클라이언트가 비활성 상태인 경우) 추가적으로 airoplay-ng 유틸리티를 사용하여 클라이언트와 액세스 포인트 간의 트래픽을 늘릴 수 있습니다.

네트워크에서 WPA-PSK 암호화를 사용하는 경우 네트워크의 클라이언트 인증 절차(핸드셰이크 절차)에 대한 정보가 포함된 패킷을 수집해야 합니다. 클라이언트가 네트워크에서 강제로 인증을 받도록 하려면 airoplay-ng 유틸리티를 사용하여 네트워크에서 강제로 연결을 끊은 다음 연결을 복원하는 프로세스를 시작할 수 있습니다.

마지막 단계에서 가로채는 정보는 aircrack-ng 유틸리티를 사용하여 분석됩니다. WEP 암호화의 경우 키를 추측할 확률은 수집된 IV 패킷 수에 따라 달라지며, WPA-PSK 암호화는 비밀번호를 추측하는 데 사용되는 사전에 따라 달라집니다.

실제 사례

무선 네트워크 해킹 절차에 대한 간략한 설명을 마친 후, 각 단계와 사용된 유틸리티에 대한 자세한 설명과 함께 실제 사례를 고려하도록 하겠습니다.

우리의 경우 D-Link DWL-7000AP 액세스 포인트와 Gigabyte GN-WPEAG 무선 PCI 어댑터가 있는 네트워크 클라이언트로 구성된 실험적인 네트워크를 다루고 있었습니다.

네트워크를 해킹하기 위해 우리는 Atheros 칩 기반의 Gigabyte GN-WMAG 무선 PCMCIA 어댑터가 장착된 노트북을 사용했습니다. BackTrack 디스크를 사용할 때 Gigabyte GN-WPEAG 어댑터에는 추가 드라이버가 필요하지 않습니다. 모든 것이 이미 디스크에 있습니다.

1단계. 무선 네트워크에 대한 정보 수집

따라서 첫 번째 단계에서는 무선 네트워크에 대한 정보를 수집해야 합니다. 무선 어댑터를 노트북에 삽입하고 CD에서 운영 체제를 로드합니다. 그런 다음 콘솔을 호출하고 aircrack-ng 패키지에 포함된 airmon-ng 유틸리티를 실행합니다.

이 유틸리티를 사용하면 사용 가능한 무선 인터페이스를 확인하고 사용 가능한 인터페이스 중 하나에 네트워크 모니터링 모드를 할당할 수 있습니다.

airmon-ng 명령을 사용하는 구문은 다음과 같습니다.

airmon-ng ,

옵션은 어디에 있나요 모니터링 모드의 시작 또는 중지를 결정하고, - 모니터링되는 무선 인터페이스. 선택적 매개변수는 모니터링되는 무선 네트워크의 채널 번호를 지정합니다.

처음에는 airmon-ng 명령이 매개변수 없이 지정되어 사용 가능한 무선 인터페이스 목록을 얻을 수 있습니다. 예를 들어, 우리의 경우 airmon-ng 명령에 대한 응답은 다음과 같습니다.

사용법:airmon-ng

인터페이스 칩셋 드라이버

wifi0 Atheros madwifi-ng

ath0 Atheros madwifi-ng VAP(상위: wifi0)

무선 인터페이스로 wifi0을 선택하고 airmon-ng start wifi0 명령을 입력합니다. 결과적으로 모니터링 모드에 있는 또 다른 인터페이스 ath1을 얻게 됩니다(그림 1).

쌀. 1. 무선 네트워크 모니터링 모드 설정

다음으로, 802.11 무선 네트워크에서 패킷을 캡처하고 무선 네트워크에 대한 정보를 수집하는 데 사용되는 airodump-ng 유틸리티를 실행해야 합니다. 명령을 사용하는 구문은 다음과 같습니다.

airodump-ng .

가능한 명령 옵션이 표에 나와 있습니다. 2.

표 2. airodump-ng 명령에 가능한 옵션

	가능한 의미	설명
		IV 패킷만 저장
		GPS 데몬을 사용하세요. 이 경우 수신 지점의 좌표도 기록됩니다.
쓰기(또는 -w)	파일 이름	녹음할 파일의 이름을 지정합니다. 파일 이름만 지정하면 프로그램의 작업 디렉터리에 저장됩니다.
		필터링 없이 모든 패킷을 기록합니다.
	채널 번호(1~11)	채널 번호를 지정합니다. 기본적으로 모든 채널이 청취됩니다.
		802.11a/b/g 프로토콜 지정

우리의 경우 ath1 인터페이스는 모니터링 모드로 설정됩니다.

그러나 지금까지는 네트워크 유형(802.11a/b/g), 네트워크 암호화 유형에 대한 정보가 없으므로 어떤 패킷을 가로채야 하는지(전체 또는 IV 패킷만) 알 수 없습니다. . 따라서 처음에는 airodump-ng 명령에 옵션을 사용해서는 안 되며 인터페이스만 지정하면 됩니다. 이렇게 하면 네트워크에 대해 필요한 정보를 수집할 수 있습니다.

따라서 첫 번째 단계에서는 다음 구문을 사용하여 airodump-ng 명령을 시작합니다.

airodump-ng-ath1

이를 통해 우리는 네트워크에 대해 필요한 정보, 즉 다음을 얻을 수 있습니다.

액세스 포인트의 MAC 주소
클라이언트 MAC 주소
네트워크 유형;
네트워크 ESSID;
암호화 유형;
통신 채널 번호.

이 예에서는 airodump-ng ath1 명령을 입력하여 필요한 모든 네트워크 매개변수를 확인할 수 있었습니다(그림 2).

쌀. 2. 네트워크에 대한 정보 수집
airodump-ng 유틸리티 사용

액세스 포인트의 MAC 주소는 00:0D:88:56:33:B5입니다.
클라이언트 MAC 주소 - 00:0E:35:48:C4:76
네트워크 유형 - 802.11g;
네트워크 ESSID - dlinkG;
암호화 유형 - WEP;
통신 채널 번호 - 11.

airodump-ng 유틸리티를 사용하면 액세스 포인트가 숨겨진 SSID 모드로 설정되어 있는지 여부에 관계없이 네트워크 식별자(ESSID)를 확인할 수 있습니다.

네트워크에 대한 정보를 수집하려면 BackTrack 디스크에 포함된 Kismet 유틸리티를 사용할 수도 있습니다. airodump-ng와 달리 이 유틸리티를 사용하면 무선 네트워크에 대해 훨씬 더 많은 정보를 수집할 수 있으며 이러한 의미에서 완전하고 동급 최고의 유틸리티입니다. 무선 네트워크 분석기. 이 유틸리티에는 작업이 매우 용이한 그래픽 인터페이스(그림 3)가 있습니다.

쌀. 3. 네트워크에 대한 정보 수집
Kismet 유틸리티 사용

2단계: 패킷 차단

무선 네트워크에 대한 자세한 정보가 수집되면 네트워크에 대한 정보를 수집하는 데 사용된 것과 동일한 유틸리티(airodump-ng 또는 Kismet)를 사용하여 패킷 가로채기를 시작할 수 있습니다. 그러나 이 경우 약간 다른 명령 구문이 필요합니다.

WEP 암호화

먼저 네트워크에서 WEP 암호화를 사용할 때의 옵션을 고려해 보겠습니다. 이 경우 초기화 벡터(IV 패킷)가 있는 패킷만 필터링하고 이를 파일에 기록해야 하며, 이는 나중에 키를 선택하는 데 사용됩니다.

예를 들어, 공격받은 네트워크가 802.11g 네트워크이고 WEP 암호화를 사용하며 채널 11에서 전송이 수행되는 경우 패킷을 가로채는 명령 구문은 다음과 같습니다.

airodump-ng --ivs –w dump --band g --채널 11 ath1

이 예에서는 IV 패킷만 dump라는 파일에 씁니다. 성공적인 키 선택 확률은 누적된 IV 패킷 수와 키 길이에 따라 달라집니다. 일반적으로 키 길이가 128비트이면 약 100만~200만 개의 IV 패킷을 축적하기에 충분하고, 키 길이가 64비트이면 대략 수십만 개의 패킷을 누적할 수 있습니다. 그러나 키의 길이는 미리 알 수 없으며 어떤 유틸리티도 이를 결정할 수 없습니다. 따라서 분석을 위해서는 최소 150만 개의 패킷을 가로채는 것이 바람직합니다. 그림에서. 그림 4는 airodump-ng 유틸리티에서 1,137,637개의 IV 패킷을 캡처하는 예를 보여줍니다.

쌀. 4. airodump-ng 유틸리티를 사용하여 패킷 캡처

캡처된 패킷 수는 airodump-ng 유틸리티에 대화형으로 표시되며, 패킷 캡처 프로세스를 중지하려면 Ctrl+C 키 조합을 누르면 됩니다.

Kismet 유틸리티를 사용하여 패킷을 캡처할 수도 있습니다. 실제로 차단 프로세스는 유틸리티가 시작된 직후 시작되며 덤프 확장자를 가진 파일에 녹음이 이루어지며 프로그램의 작업 디렉터리에 저장됩니다. 그러나 airodump-ng 유틸리티와 달리 이 경우 IV 패킷만 필터링하고 통신 채널 번호를 설정하는 것은 불가능합니다. 따라서 Kismet 유틸리티를 사용할 경우 airodump-ng 유틸리티를 사용할 때보다 패킷의 효율성(축적률)이 낮아지고, 가로채야 하는 패킷 수가 많아야 합니다.

종종 패킷을 가로챌 때 액세스 포인트와 클라이언트 사이에 집중적인 트래픽 교환이 없는 상황이 발생하므로 성공적인 네트워크 해킹에 필요한 패킷 수를 축적하려면 매우 오랜 시간을 기다려야 합니다. 그러나 클라이언트가 aireplay-ng 유틸리티를 사용하여 액세스 포인트와 통신하도록 하면 이 프로세스를 가속화할 수 있습니다(그림 5). 이 유틸리티는 다른 콘솔 세션을 시작해야 하는 airodump-ng 유틸리티와 병렬로 시작됩니다.

쌀. 5. aireplay-ng 유틸리티를 사용하여 트래픽 초기화
액세스 포인트와 클라이언트 사이

명령 구문은 다음과 같습니다.

aireplay-ng

이 명령에는 매개변수 없이 명령을 실행하면 찾을 수 있는 매우 다양한 옵션이 있습니다.

우리의 목적에 맞게 명령 구문은 다음과 같습니다.

aireplay –ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

이 경우 -e dlinkG 매개변수는 무선 네트워크 ID를 지정합니다. 매개변수 -a 00:0d:88:56:33:b5 - 액세스 포인트의 MAC 주소. 매개변수 -c 00:0f:ea:91:7d:95 - 클라이언트 MAC 주소; 옵션 --deauth 20 - 연결을 끊는 공격(20회)과 클라이언트 인증이 이어집니다. 클라이언트가 인증되면 클라이언트와 액세스 포인트 사이의 트래픽이 급격히 증가하고 가로챌 수 있는 패킷 수가 늘어납니다. 필요한 경우 연결 중단 횟수를 늘리거나 필요한 패킷 수가 누적될 때까지 이 명령을 반복할 수 있습니다.

WPA-PSK 암호화

무선 네트워크에서 WPA-PSK 암호화를 사용하면 패킷 차단 알고리즘이 약간 다릅니다. 이 경우 WPA-PSK 암호화를 사용하면 IV 패킷이 존재하지 않기 때문에 IV 패킷을 필터링할 필요가 없지만 모든 패킷을 연속적으로 캡처하는 것도 의미가 없습니다. 실제로 우리에게 필요한 것은 네트워크의 클라이언트 인증 절차(핸드셰이크 절차)에 대한 정보를 포함하는 액세스 포인트와 무선 네트워크 클라이언트 사이의 트래픽 중 작은 부분입니다. 하지만 네트워크에서 클라이언트 인증 절차를 가로채려면 먼저 aireplay-ng 유틸리티를 사용하여 강제로 시작해야 합니다.

따라서 WPA-PSK 암호화를 사용하면 패킷 차단 알고리즘은 다음과 같습니다. 두 개의 콘솔 세션을 열고 첫 번째 세션에서는 네트워크 연결을 강제로 끊는 명령을 실행한 후 클라이언트를 다시 식별(aireplay-ng 유틸리티, 인증 해제 공격)하고 두 번째 세션에서는 한두 번 일시 중지합니다. 몇 초 후에 패킷을 가로채는 명령을 실행합니다(airodump-ng 유틸리티). 명령 구문은 다음과 같습니다.

aireplay–ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -dauth 10 ath1

airodump-ng –w dump -band g -채널 11 ath1

보시다시피, aireplay-ng 명령의 구문은 이 명령이 액세스 포인트와 네트워크 클라이언트 사이의 트래픽을 초기화하는 데 사용되었을 때 WEP 암호화와 정확히 동일합니다(유일한 차이점은 인증 해제 패킷이 더 적다는 것입니다) . airodump-ng 명령 구문에는 IV 패킷 필터가 없습니다.

인증 해제 공격이 활성화되면 핸드셰이크 패킷을 캡처할 확률이 거의 100%이므로 패킷 캡처 프로세스는 몇 초 동안만 계속되어야 합니다.

3단계: 패킷 분석

마지막 단계에서는 콘솔 세션에서 시작되는 aircrack-ng 유틸리티를 사용하여 가로채는 패킷을 분석합니다. 당연히 WEP 암호화와 WPA-PSK 암호화에서는 aircrack-ng 명령의 구문이 다릅니다. 일반적인 명령 구문은 다음과 같습니다.

에어크랙-ng

가능한 명령 옵션이 표에 나와 있습니다. 3. 확장자가 *.cap 또는 *.ivs인 여러 파일을 캡처된 패킷(캡처 파일)이 포함된 파일로 지정할 수 있습니다. 또한 WEP 암호화를 사용하여 네트워크를 해킹할 때 airodump-ng 및 aircrack-ng 유틸리티를 동시에 시작할 수 있습니다(2개의 콘솔 세션이 사용됨). 이 경우 aircrack-ng는 IV 패키지의 데이터베이스를 자동으로 업데이트합니다.

표 3. aircrack-ng 명령에 가능한 옵션

	가능한 의미	설명
	1 = 정적 WEP, 2 = WPA-PSK	공격 유형(WEP 또는 WPA-PSK)을 지정합니다.
		옵션이 주어지면 동일한 ESSID 값을 가진 모든 IV 패킷이 사용됩니다. 이 옵션은 ESSID가 브로드캐스트되지 않는 경우(숨겨진 네트워크 식별자 모드) WPA-PSK 네트워크를 해킹하는 데에도 사용됩니다.
	액세스 포인트 MAC 주소	액세스 포인트의 MAC 주소를 기반으로 네트워크 선택
		숨겨진 작동 모드. 키를 찾거나 키를 찾을 수 없을 때까지 정보가 표시되지 않습니다.
		WEP 네트워크의 경우 키 선택을 숫자와 문자 집합으로만 제한합니다.
		WEP 네트워크의 경우 키 추측을 16진수 문자 집합으로만 제한합니다.
		WEP 네트워크의 경우 키 선택을 숫자 집합으로만 제한합니다.
		WEP 네트워크의 경우 키의 시작 부분을 16진수 형식으로 지정합니다. 프로그램을 디버그하는 데 사용됩니다.
	클라이언트 MAC 주소	WEP 네트워크의 경우 클라이언트의 MAC 주소를 기반으로 패킷 필터를 설정합니다. -m ff:ff:ff:ff:ff:ff는 모든 IV 패킷을 수집하는 데 사용됩니다.
	64(40비트 키의 경우) 128(104비트 키의 경우) 152(128비트 키의 경우) 256(232비트 키의 경우) 512(488비트 키의 경우)	WEP 네트워크의 경우 키 길이를 지정합니다. 기본 키 길이는 104비트입니다.
		WEP 네트워크의 경우 지정된 키 인덱스(1~4)가 있는 IV 패킷 모음을 나타냅니다. 기본적으로 이 옵션은 무시됩니다.
		매개변수는 WEP 네트워크를 크랙할 때 사용됩니다. 104비트 키의 경우 기본값은 2이고, 40비트 키의 경우 - 5입니다. 이 매개변수의 값이 높을수록 더 적은 수의 패킷으로 키를 계산할 수 있지만 시간은 더 길어집니다.
		WEP 네트워크를 해킹할 때 사용됩니다. 이 매개변수를 사용하면 특정 유형의 코렉 공격을 제외할 수 있습니다(총 17가지 유형의 코렉 공격이 있습니다).
		WEP 네트워크를 해킹할 때 사용됩니다. 키의 마지막 문자 검색을 비활성화합니다.
		WEP 네트워크를 해킹할 때 사용됩니다. 키의 마지막 문자 검색 허용(기본값)
		WEP 네트워크를 해킹할 때 사용됩니다. 키의 마지막 두 문자를 검색할 수 있습니다.
		WEP 네트워크를 해킹할 때 사용됩니다. SMP 시스템에서 다중 프로세서 사용을 금지합니다.
		WEP 네트워크를 해킹할 때 사용됩니다. 특수(실험적) 유형의 공격을 사용하여 키를 선택할 수 있습니다. 100만 개 이상의 IV 패킷을 사용할 때 표준 공격으로 키를 찾을 수 없는 경우에 사용됩니다.
	사전 경로	WPA-PSK 공격 중에 사용되는 사전에 대한 경로를 지정합니다.

WEP 암호화를 사용할 때 가장 큰 문제는 암호화에 사용되는 키의 길이를 미리 알 수 없다는 것입니다. 따라서 -n 매개변수로 지정되는 키 길이에 대한 여러 옵션을 시도해 볼 수 있습니다. 이 매개변수를 지정하지 않으면 기본적으로 키 길이는 104비트(-n 128)로 설정됩니다.

키 자체에 대한 일부 정보가 알려진 경우(예: 숫자로만 구성되거나 문자로만 구성되거나 문자와 숫자 집합으로만 구성되지만 특수 문자는 포함되지 않음) -c를 사용할 수 있습니다. -t 및 -h 옵션.

우리의 경우 다음 구문과 함께 aircrack-ng 명령을 사용했습니다.

aircrack-ng –a 1 –e dlinkG –b 00:0d:88:56:33:b5 –c 00:0f:ea:91:7d:95 –n 128 dump.ivs.

여기서는 하나의 액세스 포인트와 하나의 무선 클라이언트만 사용되었기 때문에 액세스 포인트와 클라이언트의 MAC 주소와 네트워크 ESSID를 지정하는 것은 중복됩니다. 그러나 클라이언트가 여러 개 있고 액세스 지점이 여러 개 있는 경우에는 이러한 매개변수도 지정해야 합니다.

그 결과, 우리는 단 25초 만에 128비트 키를 찾을 수 있었습니다(그림 6). 보시다시피 WEP 암호화를 기반으로 한 네트워크 해킹은 심각한 문제는 아니지만 항상 성공으로 끝나는 것은 아닙니다. 키를 선택하기에 충분한 IV 패킷이 축적되지 않은 것으로 나타날 수 있습니다.

쌀. 6. 128비트 키 선택
aircrack-ng 유틸리티 사용

WPA-PSK 암호화는 다음 명령 구문을 사용합니다.

aircrack-ng –a 2 –e dlinkG–b 00:0d:88:56:33:b5 –w dict dump.cap.

이 경우 긍정적인 결과가 나올 확률, 즉 비밀번호 전체를 추측할 확률은 사용된 사전에 따라 달라집니다. 비밀번호가 사전에 있으면 찾아집니다. aircrack-ng 프로그램에서 사용하는 사전은 먼저 프로그램의 작업 폴더에 마운트되거나 사전의 전체 경로를 지정해야 합니다. 웹사이트 www.insidepro.com에서 다양한 좋은 사전을 찾아보실 수 있습니다. 도움이 되지 않는다면 비밀번호는 의미 없는 문자 집합일 가능성이 높습니다. 결국 사전에는 단어나 구문뿐만 아니라 편리하고 기억하기 쉬운 키보드 단축키도 포함되어 있습니다. 사전에 임의의 문자 집합이 없다는 것은 분명합니다. 하지만 이 경우에도 탈출구는 있습니다. 암호 추측을 위해 설계된 일부 유틸리티는 주어진 문자 집합과 최대 단어 길이로부터 사전을 생성할 수 있습니다. 이러한 프로그램의 예는 PasswordPro v.2.2.5.0입니다.

그러나 WPA-PSK 비밀번호를 해킹할 확률은 매우 낮다는 점을 다시 한 번 지적합니다. 비밀번호가 단어 형태로 지정되지 않고 문자와 숫자의 임의 조합인 경우 추측이 거의 불가능합니다.

일반화

무선 네트워크 해킹에 대해 위에서 말한 모든 내용을 요약하기 위해 이 프로세스의 주요 단계와 각 단계에서 사용되는 명령을 다시 한 번 나열하겠습니다.

1단계. 네트워크에 대한 정보 수집:

Airmon-ng는 wifi0을 시작합니다.

Airodump-ng ath1.

2단계. 패키지 수집:

WEP 케이스:

Airodump-ng --ivs -w dump --band g --channel 11 ath1,

Aireplay -ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 20 ath1

(트래픽이 부족한 경우. 명령은 별도의 콘솔 세션에서 실행됩니다.)

WPA-PSC 케이스:

-aireplay-ng -e dlinkG -a 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 --deauth 10 ath1,

Airodump-ng -w dump --band g --channel 11 ath1

(명령은 별도의 콘솔 세션에서 실행됩니다.)

3단계. 패킷 분석:

WEP 케이스:

에어크랙-ng -a 1 -e dlinkG -b 00:0d:88:56:33:b5 -c 00:0f:ea:91:7d:95 -n 128 dump.ivs;

WPA-PSK 케이스:

Aircrack-ng -a 2 -e dlinkG-b 00:0d:88:56:33:b5 -w dict dump.cap.

aircrack-ng 0.6.2-win 패키지와 Windows XP를 사용하여 무선 네트워크 해킹

기사 시작 부분에서 이미 언급했듯이 Windows XP 운영 체제에서 지원되는 aircrack-ng 패키지 0.6.2-win 버전이 있습니다. 패키지의 기능은 Linux에 비해 광범위하지 않으므로 Linux에 대한 강한 편견이 없다면 BackTrack 디스크와 함께 옵션을 사용하는 것이 좋습니다.

aircrack-ng 프로그램의 Windows 버전을 사용할 때 가장 먼저 직면해야 할 일은 무선 네트워크 어댑터 제조업체의 표준 드라이버를 모니터링 및 패킷 차단 모드를 지원하는 특수 드라이버로 교체해야 한다는 것입니다. 또한 Linux 버전의 프로그램과 마찬가지로 드라이버의 특정 버전은 네트워크 어댑터가 구축된 칩에 따라 다릅니다. 예를 들어 Atheros AR5004 칩을 기반으로 하는 Gigabyte GN-WMAG 무선 PCMCIA 어댑터를 사용할 때 WildPackets의 드라이버 버전 5.2.1.1을 사용했습니다.

aircrack-ng 패키지의 Windows 버전을 사용하여 무선 네트워크를 해킹하는 절차는 매우 간단하며 개념적으로 Linux 버전 패키지를 사용하여 무선 네트워크를 해킹하는 절차를 반복합니다. 이는 전통적으로 네트워크에 대한 정보 수집, 패킷 가로채기 및 분석의 세 단계로 수행됩니다.

유틸리티 작업을 시작하려면 편리한 그래픽 인터페이스가 있고 실제로 aircrack-ng 0.6.2-win에 포함된 모든 유틸리티에 대한 그래픽 셸인 Aircrack-ng GUI.exe 파일을 실행해야 합니다. 패키지. 기본 프로그램 창(그림 7)에는 필요한 유틸리티를 활성화할 수 있는 탭이 여러 개 있습니다.

쌀. 7. Aircrack-ng GUI 유틸리티의 메인 창

네트워크에 대해 필요한 정보를 수집하려면 airdump-ng 탭으로 이동해야 합니다. 그러면 airdump-ng 0.6.2 유틸리티가 별도의 창에서 실행됩니다.

airdump-ng 0.6.2 프로그램(그림 8)을 실행하면 무선 네트워크 어댑터(네트워크 인터페이스 인덱스 번호), 네트워크 인터페이스 유형(o/a) 칩, 무선 채널 번호 통신(채널: 1 ~ 14, 0=모두)(채널 번호를 알 수 없는 경우 모든 채널을 검색할 수 있습니다). 또한, 캡처된 패킷이 저장되는 출력 파일의 이름(Output filename prefix)이 지정되며, 전체 패킷(CAP 파일)을 모두 캡처해야 하는지 아니면 초기화 벡터를 사용하여 패킷의 일부만 캡처해야 하는지 여부가 표시됩니다. (IVS 파일)(WEP IV만 쓰기(y/n)). WEP 암호화를 사용하면 비밀 키를 선택하려면 IVS 파일만 생성하면 충분하지만 WPA-PSK 암호화를 사용하는 경우 cap 파일이 필요합니다. 기본적으로 IVS 또는 CAP 파일은 airdump-ng 0.6.2 프로그램과 동일한 디렉터리에 생성됩니다.

쌀. 8. airdump-ng 0.6.2 유틸리티 설정

airodump-ng 0.6.2 유틸리티의 모든 옵션을 구성하면 감지된 무선 액세스 포인트에 대한 정보, 네트워크 클라이언트에 대한 정보 및 차단된 패킷 통계를 표시하는 정보 창이 열립니다(그림 9).

쌀. 9. airodump-ng 0.6.2 유틸리티의 정보 창

액세스 포인트가 여러 개인 경우 각 액세스 포인트에 대한 통계가 표시됩니다.

첫 번째 단계는 액세스 포인트의 MAC 주소, 무선 네트워크의 SSID 및 연결된 클라이언트 중 하나의 MAC 주소(여러 개가 있는 경우)를 기록하는 것입니다. 그런 다음 충분한 수의 패킷이 차단될 때까지 기다려야 합니다. 패킷 캡처 프로세스(유틸리티 작업)를 중지하려면 Ctrl+C 키 조합을 사용합니다. 패키지의 Windows 버전은 액세스 포인트와 네트워크 클라이언트 사이의 트래픽을 강제로 늘리는 방법을 제공하지 않습니다(패키지의 Linux 버전은 이를 위해 aireplay-ng 유틸리티를 제공한다는 점을 기억하십시오).

Aircrack-ng GNU 0.6.2 프로그램의 Windows 버전을 사용하여 WPA-PSK 네트워크를 해킹할 때 주요 문제는 네트워크의 클라이언트 초기화 절차가 CAP 파일에 캡처되어야 한다는 것입니다. 즉, 매복해야 한다는 것입니다. airodump-ng 프로그램을 실행합니다. 네트워크 클라이언트 초기화 절차가 CAP 파일에 캡처되면 airodump 프로그램을 중지하고 암호 해독 프로세스를 시작할 수 있습니다. 실제로 이 경우에는 초기화 과정에서 액세스 포인트와 클라이언트 사이에 전송된 패킷만 비밀키 계산에 사용되기 때문에 가로채는 패킷을 누적할 필요가 없습니다.

WEP 암호화의 경우 출력 IVS 파일을 생성한 후 aircrack-ng 0.6.2 유틸리티를 사용하여 분석을 시작할 수 있습니다. 이를 실행하려면 다음에서 Aircrack-ng GUI 프로그램의 기본 창을 열어야 합니다. 해당 탭을 클릭하고 aircrack-ng 유틸리티를 구성하세요. WEP 암호화를 사용하면 유틸리티 설정은 WEP 키 길이 설정, 무선 네트워크의 ESSID 지정, 액세스 포인트의 MAC 주소 설정, 특정 유형의 공격(RoreK 공격) 제외, 필요한 경우 설정으로 구성됩니다. 키에 사용되는 문자 세트 등 이 유틸리티의 Linux 버전의 경우와 동일한 설정이 모두 여기에 제공됩니다. 유일한 차이점은 Linux 버전에서는 모든 설정이 명령줄에서 옵션으로 지정되는 반면, Windows 버전에서는 편리한 그래픽 인터페이스를 사용하여 유틸리티를 구성한다는 점입니다(그림 10).

쌀. 11. IVS 파일 분석 결과
aircrack-ng 0.6.2 유틸리티

IVS 파일 분석 결과는 그림 1에 나와 있습니다. 11. KEY FOUND!라는 줄이 나올 가능성은 거의 없습니다. 의견이 필요합니다. 참고: 비밀 키는 단 1초 만에 계산되었습니다!

aircrack-ng 0.6.2 유틸리티 설정에서 WPA-PSK 암호화를 사용하는 경우 IVS 파일이 아닌 CAP 파일을 출력 파일로 사용해야 합니다. 또한 aircrack-ng 0.6.2 프로그램을 사용하여 해당 디렉터리에 미리 설치된 해킹에 사용되는 사전의 경로를 지정해야 합니다(그림 12).

쌀. 12. ivs 파일 분석 결과
aircrack-ng 0.6.2 유틸리티

CAP 파일 분석 결과는 그림 1과 같다. 13. 그러나 분석된 사전에 비밀번호가 존재하는 경우에만 키 검색의 긍정적인 결과가 가능하다는 점을 명심해야 합니다.

쌀. 13. CAP 파일 분석 결과

MAC 주소 필터 보호 우회

기사 시작 부분에서 WEP 및 WPA-PSK 암호화 외에도 숨겨진 네트워크 식별자 모드 및 MAC 주소 필터링과 같은 기능이 자주 사용된다는 점을 언급했습니다. 이는 전통적으로 무선 보안 기능으로 분류됩니다.

aircrack-ng 패키지로 이미 시연한 것처럼 숨겨진 네트워크 식별자 모드에 전혀 의존할 수 없습니다. 앞서 언급한 airodump-ng 유틸리티는 나중에 네트워크에 대한 연결 프로필(무단!)을 만드는 데 사용할 수 있는 네트워크 SSID를 표시합니다.

글쎄, MAC 주소 필터링과 같은 보안 조치에 대해 이야기하면 여기서 모든 것이 매우 간단합니다. 인터넷에서는 네트워크 인터페이스의 MAC 주소를 대체할 수 있는 Linux 및 Windows용 유틸리티를 많이 찾을 수 있습니다. 예를 들어, 다음과 같은 Windows 유틸리티를 인용할 수 있습니다: SMAC 2.0(유료 유틸리티, http://www.klcconsulting.net/smac), MAC MakeUP(무료 유틸리티, www.gorlani.com/publicprj/macmakeup/macmakeup.asp) - 그림 14) 또는 MAC Spoofer 2006(무료 유틸리티).

쌀. 14. MAC MakeUP 유틸리티를 사용한 MAC 주소 스푸핑

이러한 대체 작업을 수행하면 자신의 것으로 가장하여 무선 네트워크에 대한 무단 액세스를 구현할 수 있습니다. 또한 두 클라이언트(실제 클라이언트와 초대받지 않은 클라이언트) 모두 동일한 MAC 주소를 사용하여 동일한 네트워크에 매우 조용히 존재하며, 이 경우 초대받지 않은 게스트에게는 실제 네트워크 클라이언트와 정확히 동일한 IP 주소가 할당됩니다.

결론

따라서 WEP 암호화를 기반으로 하는 무선 네트워크의 전체 보안 시스템을 극복하는 것은 어렵지 않습니다. 아마도 많은 사람들은 WEP 프로토콜이 사라진 지 오래되어 사용되지 않기 때문에 이것이 관련이 없다고 말할 것입니다. 보다 강력한 WPA 프로토콜로 대체되었습니다. 그러나 성급하게 결론을 내리지는 말자. 이는 사실이지만 부분적으로만 그렇습니다. 사실 어떤 경우에는 무선 네트워크의 범위를 늘리기 위해 소위 분산 무선 네트워크(WDS)가 여러 액세스 포인트를 기반으로 배포됩니다. 가장 흥미로운 점은 이러한 네트워크가 WPA 프로토콜을 지원하지 않으며 이 경우 허용되는 유일한 보안 조치는 WEP 암호화를 사용한다는 것입니다. 이 경우 WDS 네트워크는 단일 액세스 포인트 기반 네트워크와 동일한 방식으로 해킹됩니다. 또한 무선 모듈을 탑재한 PDA도 WPA 프로토콜을 지원하지 않으므로 PDA 기반 클라이언트를 무선 네트워크에 포함시키려면 WEP 프로토콜을 사용해야 합니다. 결과적으로 WEP 프로토콜은 오랫동안 무선 네트워크에서 수요가 있을 것입니다.

우리가 고려한 무선 네트워크 해킹의 예는 무선 네트워크의 취약성을 매우 명확하게 보여줍니다. WEP 프로토콜에 대해 이야기하면 완벽한 보호와 비교할 수 있습니다. 이것은 자동차 경보기와 거의 같습니다. 단지 훌리건으로부터 당신을 구해줍니다. MAC 주소 필터링 및 숨겨진 네트워크 식별자 모드와 같은 예방 조치는 전혀 보호로 간주될 수 없습니다. 그럼에도 불구하고, 비록 다른 조치와 결합하더라도 그러한 수단도 무시되어서는 안 됩니다.

WPA 프로토콜은 크랙하기가 훨씬 더 어렵지만 취약합니다. 그러나 낙심하지 마십시오. 모든 것이 그렇게 절망적인 것은 아닙니다. 사실 WPA 비밀 키 해킹의 성공 여부는 해당 키가 사전에 있는지 여부에 달려 있습니다. 우리가 사용한 표준 사전의 크기는 40MB가 조금 넘는데, 일반적으로 그다지 많지 않습니다. 세 번의 시도 끝에 가까스로 사전에 없는 키를 찾아냈고, 네트워크 해킹은 불가능한 것으로 드러났다. 이 사전에 수록된 단어 수는 6,475,760개에 불과하며, 물론 매우 적은 숫자입니다. 더 큰 용량의 사전을 사용할 수 있습니다. 예를 들어 인터넷에서 3장의 CD, 즉 거의 2GB 크기의 사전을 주문할 수 있지만 가능한 모든 비밀번호가 포함되어 있지는 않습니다. 실제로 영어 알파벳 26자(대소문자 구분), 숫자 10자, 러시아어 알파벳 32자를 사용하여 구성할 수 있는 8~63자 길이의 비밀번호 수를 대략적으로 계산해 보겠습니다. 각 기호는 126가지 방법으로 선택할 수 있는 것으로 나타났습니다. 따라서 길이가 8자인 비밀번호만 고려하면 가능한 조합 수는 1268=6.3·1016이 됩니다. 8자로 구성된 각 단어의 크기가 8바이트라면 그러한 사전의 크기는 450만 테라바이트가 됩니다. 하지만 이것은 8개의 기호를 조합한 것일 뿐입니다! 8자부터 63자까지 가능한 조합을 모두 진행하면 어떤 사전이 나올까요?! 그러한 사전의 크기가 대략 1.2·10119TB가 될 것이라고 계산하기 위해 수학자일 필요는 없습니다.

그러므로 절망하지 마십시오. 사용 중인 비밀번호가 사전에 없을 가능성이 높습니다. 간단히 말해서, 비밀번호를 선택할 때 이해하기 쉬운 단어를 사용해서는 안 됩니다. "FGproukqweRT4j563app"과 같은 임의의 문자 집합인 것이 가장 좋습니다.

무단 액세스 - 적절한 권한 없이 정보를 읽거나 업데이트하거나 파기하는 것입니다.

무단 접근은 타인 명의 사용, 기기의 물리적 주소 변경, 문제 해결 후 남은 정보 이용, 소프트웨어 및 정보 수정, 저장매체 도용, 녹음기기 설치 등을 원칙으로 합니다.

귀하의 정보를 성공적으로 보호하려면 사용자는 가능한 무단 액세스 방법을 완전히 명확하게 이해해야 합니다. 승인되지 않은 정보를 얻는 주요 일반적인 방법은 다음과 같습니다.

· 저장 매체 및 생산 폐기물의 도난;

· 보안 조치를 극복하여 저장 매체를 복사합니다.

· 등록된 사용자로 위장하는 행위

· 사기(시스템 요청으로 위장);

· 운영 체제와 프로그래밍 언어의 단점을 활용합니다.

· "트로이 목마" 유형의 소프트웨어 북마크 및 소프트웨어 블록 사용;

· 전자 방사선 차단;

· 음향 방사선 차단;

· 원격 촬영;

· 청취 장치의 사용;

· 보호 메커니즘 등을 악의적으로 비활성화하는 행위

무단 액세스로부터 정보를 보호하기 위해 다음이 사용됩니다.

1) 조직 행사

2) 기술적 수단

3) 소프트웨어;

4) 암호화.

조직 행사에는 다음이 포함됩니다.

· 액세스 모드;

· 미디어 및 장치를 금고에 보관(플로피 디스크, 모니터, 키보드 등)

· 전산실 등의 출입을 제한합니다.

기술적 수단에는 다음이 포함됩니다.

· 장비용 필터, 스크린;

· 키보드를 잠그는 열쇠;

· 인증 장치 – 지문, 손 모양, 홍채, 타이핑 속도 및 기술 등을 판독합니다.

· 초소형 회로의 전자 키 등

소프트웨어 도구에는 다음이 포함됩니다.

· 비밀번호 액세스 – 사용자 권한 설정;

· Norton Utilites 패키지의 Diskreet 유틸리티에 있는 키 조합을 사용하여 화면과 키보드를 잠급니다.

· BIOS 암호 보호 도구 사용 - BIOS 자체 및 PC 전체에서.

암호화는 공개된 정보를 외부인이 접근할 수 없는 암호화된 정보로 변환(코딩)하는 것입니다. 메시지를 암호화하고 해독하는 방법은 암호학에 의해 연구되며, 그 역사는 약 4000년 전으로 거슬러 올라갑니다.

2.5. 무선 네트워크의 정보 보호

현대 네트워크에서 무선 솔루션을 구현하는 믿을 수 없을 정도로 빠른 속도는 데이터 보호의 신뢰성에 대해 생각하게 만듭니다.

무선 데이터 전송의 원리에는 액세스 포인트에 대한 무단 연결 가능성이 포함됩니다.

똑같이 위험한 위협은 장비 도난 가능성입니다. 무선 네트워크 보안 정책이 MAC 주소를 기반으로 하는 경우 공격자가 훔친 네트워크 카드나 액세스 포인트로 인해 네트워크에 대한 액세스가 열릴 수 있습니다.

종종 보호에 대해 생각하지 않는 기업 직원이 LAN에 대한 액세스 포인트를 무단으로 연결하는 경우가 있습니다.

이러한 문제는 종합적으로 해결되어야 합니다. 조직적 조치는 각 특정 네트워크의 운영 조건에 따라 선택됩니다. 기술적 조치의 경우 장치의 필수 상호 인증을 사용하고 능동 제어를 도입함으로써 매우 좋은 결과를 얻었습니다.

2001년에는 WEP 암호화에 대처할 수 있는 드라이버와 프로그램이 최초로 구현되었습니다. 가장 성공적인 것은 PreShared Key입니다. 그러나 신뢰할 수 있는 암호화와 고품질 비밀번호의 정기적인 교체가 있는 경우에만 좋습니다(그림 1).

그림 1 - 암호화된 데이터 분석 알고리즘

최신 보호 요구 사항

입증

현재 무선 장치를 포함한 다양한 네트워크 장비에서는 802.1x 표준에 정의된 보다 현대적인 인증 방법이 널리 사용되고 있습니다. 즉, 상호 검증이 수행될 때까지 사용자는 어떠한 데이터도 수신하거나 전송할 수 없습니다.

많은 개발자가 장치 인증을 위해 EAP-TLS 및 PEAP 프로토콜을 사용합니다.Cisco Systems는 언급된 프로토콜 외에도 EAP-TLS, PEAR, LEAP, EAP-FAST와 같은 무선 네트워크용 프로토콜을 제공합니다.

모든 최신 인증 방법에는 동적 키에 대한 지원이 필요합니다.

LEAP 및 EAP-FAST의 가장 큰 단점은 이러한 프로토콜이 주로 Cisco Systems 장비에서 지원된다는 것입니다(그림 2).

그림 2 - TKIP-PPK, MIC 및 WEP 암호화를 사용하는 802.11x 패킷 구조.

암호화 및 무결성

Cisco Systems 802.11i 권장 사항에 따라 TCIP(Temporal Integrity Protocol) 프로토콜이 구현되어 각 패킷의 PPK 암호화 키(Per Packet Keying) 변경을 보장하고 MIC 메시지의 무결성(메시지 무결성 검사)을 모니터링합니다.

또 다른 유망한 암호화 및 무결성 프로토콜은 AES(Advanced Encryption Standard)입니다. DES 및 GOST 28147-89에 비해 암호화 강도가 더 좋습니다. 암호화와 무결성을 모두 제공합니다.

무선 근거리 통신망의 보안 표준은 802.11i입니다.

WPA(Wi-Fi Protected Access) 표준은 802.11x 네트워크에서 데이터 보호 구현을 보장하는 일련의 규칙입니다. 2003년 8월부터 WPA 표준 준수는 Wi-Fi 인증을 받은 장비에 대한 필수 요구 사항이 되었습니다.

WPA 사양에는 수정된 TKOP-PPK 프로토콜이 포함되어 있습니다. 암호화는 현재 키와 후속 키 등 여러 키의 조합을 사용하여 수행됩니다. 이 경우 IV 길이는 48비트로 늘어납니다. 이를 통해 재연결 및 재인증에 대한 요구 사항을 강화하는 등 정보를 보호하기 위한 추가 조치를 구현할 수 있습니다.

사양에는 802.1x/EAP 지원, 공유 키 인증 및 키 관리가 포함됩니다.

표 3 - 보안 정책 구현 방법

색인
색인
최신 OS 지원
인증의 소프트웨어 복잡성 및 리소스 집약도
통제의 어려움
단일 사인온(Windows의 단일 로그인)
동적 키
일회용 비밀번호

표 3의 계속

최신 장비와 소프트웨어를 사용한다면 이제 802.11x 시리즈 표준을 기반으로 안전하고 공격에 강한 무선 네트워크를 구축하는 것이 가능해졌습니다.

거의 항상 무선 네트워크는 유선 네트워크에 연결되며, 이는 무선 채널을 보호해야 할 필요성 외에도 유선 네트워크에 보호 기능을 제공해야 합니다. 그렇지 않으면 네트워크의 보안이 단편화되어 본질적으로 보안 위험이 됩니다. Wi-Fi 인증 인증서, 즉 WPA 준수를 확인하는 장비를 사용하는 것이 좋습니다.

802.11x/EAP/TKIP/MIC 및 동적 키 관리를 구현해야 합니다. 혼합 네트워크의 경우 VLAN을 사용해야 합니다. 외부 안테나가 있는 경우 VPN 가상 사설망 기술이 사용됩니다.

프로토콜과 소프트웨어 보호 방법은 물론 관리 방법도 결합해야 합니다.

우리 시대에 홈 Wi-Fi 네트워크를 보호하는 것보다 더 중요한 것은 무엇일까요? :) 이것은 이 사이트에만 두 개 이상의 기사가 작성된 매우 인기 있는 주제입니다. 나는 이 주제에 대해 필요한 모든 정보를 한 페이지에 수집하기로 결정했습니다. 이제 Wi-Fi 네트워크 보호 문제에 대해 자세히 살펴 보겠습니다. 비밀번호로 Wi-Fi를 보호하는 방법, 다양한 제조업체의 라우터에서 Wi-Fi를 올바르게 보호하는 방법, 선택할 암호화 방법, 비밀번호 선택 방법 및 사용자가 알아야 할 사항을 알려 드리겠습니다. 무선 네트워크 비밀번호를 변경할 계획입니다.

이 기사에서 우리는 정확하게 이야기 할 것입니다 홈 무선 네트워크 보호에 대해. 비밀번호 보호에 대해서만. 사무실에 있는 일부 대규모 네트워크의 보안을 고려한다면 보안에 조금 다르게 접근하는 것이 좋습니다. (적어도 다른 인증 모드). 하나의 비밀번호만으로는 Wi-Fi 네트워크를 보호하기에 충분하지 않다고 생각한다면 귀찮게 하지 말 것을 권합니다. 다음 지침에 따라 적절하고 복잡한 비밀번호를 설정하고 걱정하지 마세요. 누구도 귀하의 네트워크를 해킹하는 데 시간과 노력을 들이지 않을 것입니다. 예, 예를 들어 네트워크 이름(SSID)을 숨기고 MAC 주소로 필터링을 설정할 수 있지만 이는 불필요한 번거로움이며 실제로는 무선 네트워크에 연결하고 사용할 때 불편을 끼칠 뿐입니다.

Wi-Fi를 보호하거나 네트워크를 열어두는 것을 고려하고 있다면 해결책은 하나뿐입니다. 바로 Wi-Fi를 보호하는 것입니다. 예, 인터넷은 무제한이며 집에 있는 거의 모든 사람이 자신의 라우터를 가지고 있지만 결국 누군가가 귀하의 네트워크에 연결될 것입니다. 추가 클라이언트는 라우터에 추가 부하를 주기 때문에 이것이 필요한 이유는 무엇입니까? 그리고 비싸지 않다면 이 하중을 견디지 못할 것입니다. 또한 누군가 귀하의 네트워크에 연결되면 귀하의 파일에 액세스할 수 있습니다. (로컬 네트워크가 구성된 경우), 라우터 설정에 액세스 (결국 제어판을 보호하는 표준 관리자 비밀번호를 변경하지 않았을 가능성이 높습니다).

올바른(최신) 암호화 방법을 사용하여 올바른 비밀번호로 Wi-Fi 네트워크를 보호하세요. 라우터를 설정할 때 즉시 보호 기능을 설치하는 것이 좋습니다. 또한, 비밀번호는 수시로 변경해 주시는 것이 좋습니다.

누군가 귀하의 네트워크를 해킹할까봐 걱정되거나 이미 해킹했다면 비밀번호를 변경하고 평화롭게 지내십시오. 그건 그렇고, 여전히 라우터의 제어판에 로그인할 것이기 때문에 라우터 설정을 입력하는 데 사용되는 을(를) 권장합니다.

홈 Wi-Fi 네트워크의 적절한 보호: 어떤 암호화 방법을 선택해야 할까요?

비밀번호 설정 과정에서 Wi-Fi 네트워크 암호화 방법을 선택해야 합니다. (인증방법). 만 설치하는 것이 좋습니다 WPA2 - 개인, 암호화 알고리즘 포함 AES. 홈 네트워크의 경우 이는 현재 가장 최신이고 가장 안정적인 최고의 솔루션입니다. 이는 라우터 제조업체에서 설치를 권장하는 종류의 보호 장치입니다.

Wi-Fi에 연결하려는 오래된 장치가 없다는 한 가지 조건에서만 가능합니다. 설정 후 일부 기존 장치가 무선 네트워크 연결을 거부하는 경우 프로토콜을 설치할 수 있습니다 WPA (TKIP 암호화 알고리즘 사용). WEP 프로토콜은 이미 오래되고 안전하지 않으며 쉽게 해킹될 수 있으므로 설치하지 않는 것이 좋습니다. 예, 새 장치를 연결하는 데 문제가 있을 수 있습니다.

프로토콜 조합 WPA2 - AES 암호화를 사용한 개인용, 이것은 홈 네트워크에 가장 적합한 옵션입니다. 키 자체(비밀번호)는 8자 이상이어야 합니다. 비밀번호는 영문, 숫자, 기호로 구성되어야 합니다. 비밀번호는 대소문자를 구분합니다. 즉, “111AA111”과 “111aa111”은 다른 비밀번호입니다.

어떤 라우터를 가지고 계신지 모르기 때문에 가장 인기 있는 제조업체에 대한 간단한 지침을 준비하겠습니다.

암호를 변경하거나 설정한 후 장치를 무선 네트워크에 연결하는 데 문제가 있는 경우 이 문서 끝에 있는 권장 사항을 참조하세요.

설정할 비밀번호를 즉시 적어 두는 것이 좋습니다. 잊어버린 경우 새 것을 설치해야 합니다.

Tp-Link 라우터에서 비밀번호로 Wi-Fi 보호

라우터에 연결 (케이블이나 Wi-Fi를 통해), 브라우저를 실행하고 주소 192.168.1.1 또는 192.168.0.1을 엽니다. (라우터 주소와 표준 사용자 이름 및 비밀번호는 장치 자체 하단의 스티커에 표시되어 있습니다). 사용자 이름과 비밀번호를 입력하세요. 기본적으로 이들은 admin과 admin입니다. 에서는 설정 입력에 대해 좀 더 자세히 설명했습니다.

설정에서 탭으로 이동하세요 무선 전화(무선 모드) - 무선 보안(무선 보안). 보호 방법 옆의 확인란을 선택하세요. WPA/WPA2 - 개인(권장). 드롭다운 메뉴에서 버전(버전) 선택 WPA2-PSK. 메뉴에 암호화(암호화) 설치 AES. 현장에서 무선 비밀번호(PSK 비밀번호) 네트워크를 보호하기 위한 비밀번호를 입력하세요.

Asus 라우터에 비밀번호 설정하기

설정에서 탭을 열어야 합니다 무선 네트워크을 클릭하고 다음 설정을 지정합니다.

"인증 방법" 드롭다운 메뉴에서 WPA2 - 개인을 선택합니다.
"WPA 암호화" - AES를 설치합니다.
"WPA 사전 공유 키" 필드에 당사 네트워크의 비밀번호를 적어두세요.

설정을 저장하려면 버튼을 클릭하세요. 적용하다.

새 비밀번호를 사용하여 장치를 네트워크에 연결하세요.

D-Link 라우터의 무선 네트워크 보호

192.168.0.1에서 D-Link 라우터 설정으로 이동하세요. 자세한 안내를 보실 수 있습니다. 설정에서 탭을여세요 와이파이 - 보안 설정. 아래 스크린샷과 같이 보안 유형과 비밀번호를 설정하세요.

다른 라우터에 비밀번호 설정하기

또한 ZyXEL 및 Tenda 라우터에 대한 자세한 지침도 있습니다. 링크를 참조하세요:

라우터에 대한 지침을 찾지 못한 경우 라우터 제어판의 보안 설정, 무선 네트워크, Wi-Fi, 무선 등의 설정 섹션에서 Wi-Fi 네트워크 보호를 설정할 수 있습니다. I 찾을 수 있을 것 같아요. 어렵지 않을 거예요. WPA2 - 개인 및 AES 암호화 등 어떤 설정을 설정해야 하는지 이미 알고 계시리라 생각합니다. 그게 핵심이에요.

잘 모르겠으면 댓글로 물어보세요.

설치 또는 비밀번호 변경 후 장치가 연결되지 않으면 어떻게 해야 합니까?

설치 후, 특히 비밀번호를 변경한 후에는 이전에 네트워크에 연결되었던 장치가 네트워크에 연결하기를 원하지 않는 경우가 많습니다. 컴퓨터에서는 일반적으로 "이 컴퓨터에 저장된 네트워크 설정이 이 네트워크의 요구 사항을 충족하지 않습니다" 및 "Windows에서 연결할 수 없습니다..."라는 오류가 발생합니다. 태블릿 및 스마트폰(Android, iOS)에서는 '네트워크에 연결할 수 없습니다', '연결됨, 보호됨' 등의 오류가 나타날 수도 있습니다.

이러한 문제는 무선 네트워크를 삭제하고 새 비밀번호로 다시 연결하면 해결될 수 있습니다. Windows 7에서 네트워크를 삭제하는 방법을 작성했습니다. Windows 10을 사용하는 경우 . 모바일 장치에서는 네트워크를 길게 누르고 다음을 선택하세요. "삭제".

구형 장치에서 연결 문제가 발생하면 라우터 설정에서 WPA 보안 프로토콜과 TKIP 암호화를 설정하십시오.