정보통신 정보관리기술사/정보통신망

문. 공공와이파이의 물리적, 관리적, 기술적 보안취약점 및 대책

가카리 2021. 2. 1. 21:13
반응형

문. 공공와이파이의 물리적, 관리적, 기술적 보안취약점 및 대책

답.

1. 와이파이(WiFi)보안의 목적

구 분

특 징

기밀성

- Data의 내용이 불법 유출되지 않아야함

무결성

- Data 원본성 보장

접근제어

- 허가받은자만 네트워크 접근

가용성

- 필요할 때 언제든지 접근 가능

Hand off

- AP간 이동 시 프로토콜간 이동시 이동성 보장

부인성

- 송신자 Data의 부인 방지

 

2. 와이파이(WiFi) 보안 취약점

  가. 관리적 취약점

구 분

특 징

무선랜 장비관리 미흡

- 기관에서 사용하는 무선랜 장비인 AP 현황 / 상요자 현황 관리 미흡

무선랜 사용자의 보안의식 결여

- 무선랜 사용자가 단말기 보안설정을 미설정

- 보안 설정 값이나 암호키 값을 노출시킴

전파관리 미흡

- AP의 전파출력을 조정하지 않아서 기관 외부로 전파 유출

- 무선랜 채널 설정 미흡

 -> 중심 주파수 기준 3개 채널까지 전파간섭

 

  나. 물리적 취약점

구 분

특 징

도난 및 파손

- 외부 노출된 무선 AP의 도난 및 파손으로 인한 장애 발생

구성설정 초기화

- 무선 AP의 리셋버튼을 통한 초기화 장애

전원 차단

- 무선 AP의 전원케이블 분리로 인한 장애

LAN 차단

- 무선 AP에 연결된 내부 케이블 절체 장애

 

  다. 기술적 취약점

구 분

특 징

도청

- 무선 AP 전파의 강도와 지형에 따라 필요 범위 이상 전달되어 무단 도청 가능

서비스거부

(DoS)

- 무선 AP에 대량 무선 패킷을 전송하여 서비스거부공격 수행

- Probe request 다량 발송

불법 AP

(Rogue AP)

- 공격자가 불법적으로 무선 AP를 설치하여 사용자들의 전송데이터를 수집

무선암호화방식

- WEP의 IV값, RC4알고리즘 취약점 존재

- WPA/WPA2의 4 Way hand shaking 취약점

비인가 접근

- SSID 노출 취약점

- MAC주소 스푸핑을 통한 MAC 주소 필터링 우회

 *WEP(Wired Equivalent Protocol)

 *WPA(WiFi Protected Access) : 무선랜 보안 표준

 *SSID (Service Set IDentifier ) : 무선랜을 통해 전송되는 패킷들의 각 헤더에 덧붙여지는 32바이트 길이의 고유 식별자

 

3. 와이파이(WiFi) 보안 취약점 대응 방안

  가. 관리적 취약점 대응방안

구 분

특 징

무선랜 운용자/사용자 교육

- 무선랜 운용자와 사용자에게 장비관리 보안설정 방법 교육

매뉴얼 수립

- 무선 AP 분실 또는 보안 사고 발생 시 보고체계 및 대응 매뉴얼 수립

무선랜 사용자 리스트 관리

- 특정 목적을 위한 무선 AP 사용 시 사용자별 ID/PW 리스트 관리

무선랜 정기적인 보안점검

- 무선랜의 보안설정 상태를 주기적으로 점검

 - 추가적으로 로그관리 / 사용절차 정의 / 관리담당자 지정 / 주기적 암호변경 등 필요함.

 

  나. 물리적 취약점 대응방안

구 분

특 징

Rogue AP 제거

- 주기적인 모니터링을 통해 Rogue AP 제거

PoE 스위치

- 사용하지 않는 Port disable

- 원격 NMS를 통한 통신장비 모니터링 및 비승인 접속에 대한 알람 시스템

Port lock 사용

- AP의 RJ-45 포트락을 부착하여 불법으로 착탈할 수 없게함

설치 위치

- 비인가자가 접근이 어려운 위치에 설치

- CCTV를 통한 모니터링

 

  다. 기술적 취약점 대응방안

구 분

특 징

암호화

-IPSec 또는 SSL 암호화

- VPN Tunneling / WPA2 또는 WPA3 암호화

전파세기 조절

- 인가된 공간외에서 무선랜 전파가 탐지되지 않도록 전파세기 조절

관리자페이지 접근제어

- 관리자 페이지 ACL 설정 / OTP

- ID / Password default 값 사용 금지

DoS 대응

- Anti-DoS 솔루션 도입

SNMP 접속 관리

- 승인된 IP만 SNMP 접속 가능하도록 구성

- 복잡한 SNMP Community String 설정

 

 

 

반응형