시스코 네트워크 보안 - 14 : 프레임 릴레이, WAN, 무선네트워킹, 무선보안

프레임 릴레이

프레임 릴레이의 구성

느리고 에러가 많았던 옛날의 WAN 환경에 알맞은 통신 방식 이었음 == X.25

여러가지 에러복구 기능 및 흐름제어 기능이 있었음.

 

프레임 릴레이 방식은 에러복구와 흐름제어 등의 데이터 처리과정을 생략하여 X.25보다 빠르고 효과적이나 에러제공이 거의 안됨.

 

+) Data Link Connection Identifier (DLCI) : 프레임 릴레이 연결을 위한 주소. 하나의 논리인 링크에 하나씩의 DLCI가 배정된다.

 

+) LMI (Local Management Interface) : DLCI 정보와 함께 제공된 PVC 정보를 알려줌으로써 인터페이스의 다양한 정보와 동작상태 제공.

=> 특정 동작 상태에 관련된 정보를 인접 라우터들에게 알려줌으로써 프레임릴레이 네트워크상의 Virtual Circuit의 상태를 쉽게 파악할 수 있게 해줌.

 

 

 

무선 네트워킹

무선랜에서의 통신 표준 IEEE 802.11

유선랜에서의 통신 표준 IEEE 802.3

>> AP(Access Point)는 둘 다 이해

 

+) 무선랜에서의 통신방식 CSMA/CA 

: Carrier Sense Multiple Acces / Collision Avoidance

이더넷의 CSMA/CD와 같이 전송 전에 미리 Carrier를 Sense 해서 현재 통신이 일어나고 있는지 확인.

 

IEEE 802.11 통신에서 데이터를 보내는 방식

1) Listen Air Space (Radio wave) : 현재 통신이 일어나고 있는지 들어봄

2) Set random wait timer before sending frame : 바로 데이터를 보내지 않고 충돌 방지를 위해 랜덤한 시간동안 기다림

3) After timer has passed, listen again and send : 한번 더 통신 상황을 들어본 후 프레임 전송

4) Wait for an ACK /  5) if no ACK, resend the frame (go back to 1) : 잘 받았다는 신호 ACK를 기다림 / 전송 실패시 1로 돌아감

 

무선랜에서 중요한 2가지 모드

1. Ad Hoc 애드호크 모드

- AP 없이 PC끼리 무선랜카드만 꽂아서 임시변통으로 통신 > 요즘엔 사용하지 않는 추세

 

2. Infrastructure 모드

- 우리가 일반적으로 사용하는 무선네트워킹 보드

- AP를 사용해 무선통신이 일어남

- 무선 랜카드가 장착된 PC 데이터를 AP에게 전달하고, AP가 이 데이터를 상대박 PC에 전달. 허브의 역할과 비슷

- 두가지 모드의 서비스 방식 지원  (Service Set)

   BSS (Basic Service Set) : AP 한대로 무선랜 구성

   ESS (Extended Service Set) : AP 여러대를 이용해서 구성

    -> 여러개의 AP를 하나의 무선랜에서 사용해야 하기 때문에 서로 다른 주파수를 사용하도록 구성해줘야 한다.

 

 

무선통신에서의 3가지 인코딩 방식

(데이터를 무선신호로 바꾸는 과정)

 

1) FHSS (Frequency Hopping Spread Spectrum) 802.11a

주파수 호핑 확산 스펙트럼 -> 무선 신호를 많은 주파수 채널로 빠르게 바꿔가면서 전송하는 방식

 

2) DSSS (Direct Sequence Spread Spectrum) 802.11b

직접 시퀀스 확산 스펙트럼 -> 여러개의 채널 중 하나를 잡고 그 채널로만 전송하는 방식

매우 작은 전력으로 넓은 대역으로 전송하기 때문에 잡음에 대한 영향을 적게 받고 보안에 우수

 

3) OFDM (Orthogonal Frequency Division Multiplexing) 802.11a, 802.11b

직교 주파수 분할 다중 방식 -> 하나의 시그널을 여러개의 주파수로 나누어 보내는 방식

 

 

SSID(Sevice Set Identifier)

- BSS, ESS등 서비스셋에서 서로를 구분하기 위해 만들어놓은 ID

- 무선 네트워크에서 사용하는 이름

- 32바이트 구성

- 디폴트로 100ms 마다 SSID와 기타 구성정보를 Broadcast로 네트워크에 뿌려주도록 되어있다. 

- SSID를 아무나 못보게 하려면 SSID의 디폴트세팅인 Broadcast 기능을 Disable 해 놓으면 됨.

  => SSID의 Broadcast를 막는 것 : SSID Cloaking

- 동일한 무선네트워크를 사용하는 모든 무선장비들은 동일한 SSID를 가져야 한다.

- SSID가 Cloaking 되면 무선네트워크보기 에서는 보이지 않으며, 수동으로 SSID를 직접 입력해야만 접속이 가능하다.

 

+) WiFi (Wireless Fidelity)  : 무선장비들끼리의 호환성을 검증해서 붙이는 마크

 

 

무선네트워크에서의 보안 

-  WEP(Wired Equivalent Privacy) : 맨 처음 사용된 보안 표준 

 클라이언트 장비와 액세스 포인트가 같은 Key값을 나눠가지고 있다가 접속이 시도되면 Key값이 같을 경우에만 접속을 허락하는 방식. (Key는 40bit 이고 Static-> 보안에 취약)

 

- 802.1X : WEP보다 좀 더 보안에 강한 방법  

 username 과 password를 이용한 방식

 

- WiFi 협회에서 만들어낸 WPA(WiFi Protected Access)

   WEP이 가진 보안 약점을 해결한 새로운 무선 랜 보안방식

   802.1X 사용자 보안 도입

   기존의 Static 키만 사용하던 방식에 Dynamic 키 방식 추가

   Encryption 기법도 한층 강화된 TKIP 사용 (Temporal Key Integrity Protocol)

 

- 802.11i (표준)

 WPA 방식을 대부분 수용하지만, Encrytion에서 사용되는 알고리즘은 AES(Advanced Ecryption Standard Encryption)방식 사용.

 

무선 보안	키 분배 방식	사용자 인증	암호화
WEP	고정형(Static)	없다	불안
Cisco	동적 방식(Dynamic)	802.1X	TKIP
WPA	Static & Dynamic	802.1X	TKIP
802.11i / WPA2	Static & Dynamic	802.1X	AES