WPA2-Enterprise 인증
무선 네트워크는 유선랜과 달리 지리적 제약이 약하기 때문에 네트워크에 접속하기 위해서는 인증단계를 거쳐 접속하는것이 일반적입니다. 주로 인증과 데이터 암호화를 묶어서 WEP또는 WPA와 같은 방식들을 사용하게 됩니다. 보통은 하나의 SSID(무선랜 이름)에 공통된 하나의 비밀번호를 사용하는 방식을 많이 사용하게 됩니다. 허나 이같은 방식은 가정용으로는 적합하지만 기업에서 사용하기에는 많은 문제점을 가지고 있습니다. 기업은 가정과 달리 구성원들이 들어오고 나감이 잦기 때문에 한번 설정한 무선랜 비밀번호는 원칙적으로 퇴사자가 한명 생길때 마다 변경해줘야 합니다. 허나 현실은 그렇게 하기에는 어려움이 많기 때문에 이사간 사람들이 생겨도 항상 같은 비밀번호를 사용하는 아파트 1층 현관문 비밀번호 같은 수준의 보안성만 제공할 수 있게 됩니다.
이같은 문제를 해결하기 위해서는 개인별로 별도의 아이디 비밀번호를 사용하는 인증방식이 필요하게 되는데 가장 대표적인것이 WPA2-Enterprise(WPA2-Ent)라는 방식입니다. 사용자는 무선랜에 접속하기 위해서 개인 아이디와 비밀번호를 입력해서 인증서버로 부터 인증에 성공한경우 네트워크접속이 허용되게 됩니다.
윈도우즈 환경에서 WPA2-Enterprise적용시 문제점
WPA2-Ent를 윈도우즈 환경에서 적용하려다 보면 어려가지 어려운점에 직면하게 됩니다. 첫번째가 사용자가 설정하기 쉽지 않다는 것입니다. 물론 쉽게 할수도 있긴하지만 그러기 위해서는 Active Directory구축 및 공인인증서 발급, MS에서 제공되는 솔루션 사용등 여러가지 제약사항이 많아지게 됩니다. 다음은 일반적인 인증서버(RADIUS)를 이용하여 윈도우즈 환경에서 WPA2-Ent를 적용할때 사용자가 설정해줘야 하는 내용들 입니다.
1. 무선네트워크 관리에서 새로운 네트워크 프로파일 추가.
2. 보안종류(WPA2-Ent) 선택
3. 연결 설정 변경선택
4. 서버인증서 유효성 확인 해제(서버가 공인인증서를 사용하지 않을경우)
5. 자동으로 Windows 로그온 이름 및 암호 사용 선택해제 (AD환경이 아닐경우)
6. 802.1x 인증모드를 컴퓨터 및 사용자 에서 사용자 인증으로 변경
위와같은 설정단계는 일반적인 PC사용자에게 너무나도 어려운 단계입니다. 특히나 네트워크에 접속를 위한 단계이기 때문에 네트워크를 통한 어떠한 도움도 받은수 없는상태에서는 더더욱 그럴것입니다.
PEAP-GTC인증
두번째 문제는 인증을 위한 아이디, 비밀번호의 문제 입니다. 윈도우즈는 기본적으로 WPA2-Ent인증시 PEAP-MSCHAPv2라는 방식을 사용합니다. 사용자가 입력한 비밀번호는 MSCHAPv2에 의해서 Hash로 처리되어 인증서버로 전달되게 됩니다. 따라서 인증서버에는 Hash된 - MD4기반의 NTHASH - 비밀번호가 있어야만 인증이 가능합니다. 헌데 만일 사용자 아이디, 비밀번호가 NTHASH형식으로 저장되어 있지 않거나 Active Directory가 구축 되어있지 않다면 인증처리를 할 수 없게됩니다. 대부분의 경우 사내에 이미 구축된 사용자DB를 이용하거나 POP3/IMAP과 같은 이메일서버 시스템과 연동을 통하여 인증을 제공하던 환경에서는 이미 다른 Hash방식으로 저장된 비밀번호를 NTHASH로 변경하는것이 불가능 하기 때문에 구축에 큰 어려움을 겪게 됩니다. 이런 문제를 해결하기 위해서 PEAP-GTC라는 인증방식을 사용하게 되는데 이 방식은 사용자의 비밀번호를 평문으로 인증서버로 전송하는 방식입니다. 평문이긴 하지만 TLS(SSL)를 통하여 암호화된 체널을 통하여 전송되는 것이므로 보안상 문제는 없습니다. 평문으로 전송받은 비밀번호는 저장된 비밀번호의 형식에 맞게 변환하여 인증처리를 할 수 있게 됩니다.
헌데 문제는 윈도우즈가 PEAP-GTC인증을 지원하지 않는다는 것입니다. 대신 별도의 제3자가 제공하는 인증모듈을 추가할 수 있도록 기능을 제공하고 있습니다.
Wireless Connection Manager
Genian NAC Suite는 위에서 얘기된 설정의 번거로움과 PEAP-GTC인증 지원을 위해 WCM(Wireless Connection Manager)이라 불리는 에이전트 플러그인을 제공합니다. WCM을 통하여 WPA2-Ent설정을 자동으로 수행해주고 PEAP-GTC인증 모듈을 제공해 줍니다. 따라서 관리자는 사용자 DB의 재구축이나 Active Directory없이도 원활한 WPA2-Ent인증체계를 구축할 수 있게됩니다.
윈도우즈 무선랜 프로파일 자동설정 기능
윈도우즈용 PEAP-GTC 플러그인
아울러 별도의 인증창을 통하여 사용자들이 보다 직관적으로 무선네트워크 인증을 수행할 수 있도록 전용 로그인창과 다양한 접속옵션을 제공합니다.
WCM의 다양한 옵션들
WPA2-Enterprise는 기업 무선보안의 가장 첫번째 필수요수 입니다. 개별적인 사용자 인증체계를 구축하고 기존 사내 인증 인프라와 연계해서 운영할 수 있도록 하는것으로 부터 무선랜 보안은 시작됩니다. 무선랜 접속과정의 복잡함 및 구축의 어려움이 문제였다면 Genian NAC Suite의 WCM을 활용해 보시기 바랍니다.
