보안개요 보안개요 본절에서는액세스포인트에서설정할수있는보안기능의유형들에대하여설명합니다. 이러한보안기능들은액세스포인트와다른무선장치들간의무선통신을보호하고네트워크에대한액세스를통제하며액세스포인트관리시스템으로권한없이진입하는것을막아줍니다. 보안수준 보안은모든무선네트워크에필수적인것이

목차 4 본장에서는액세스포인트의보안기능을설정하는방법에관하여설명합니다. 본장은다음과같은절들로구성되어있습니다 : 보안개요 WEP 설치 추가적인 WEP 보안기능의활성화 개방형및공유키인증설치 EAP 인증설치 MAC 기반의인증설치 백업인증서버설치 관리자권한부여설정 4-1

보안개요 보안개요 본절에서는액세스포인트에서설정할수있는보안기능의유형들에대하여설명합니다. 이러한보안기능들은액세스포인트와다른무선장치들간의무선통신을보호하고네트워크에대한액세스를통제하며액세스포인트관리시스템으로권한없이진입하는것을막아줍니다. 보안수준 보안은모든무선네트워크에필수적인것이므로여러분은사용가능한모든보안기능을사용해야합니다. 그림 4-1 은 Cisco Aironet 무선네트워크장비에서사용할수있는보안수준을, 왼쪽의보안이전혀없는상태로부터오른쪽의가장높은보안상태까지차례로보여줍니다. 가장높은보안수준인 EAP 인증은무선클라이언트장치들에게인증서비스를제공하기위하여네트워크상의 RADIUS (Remote Authentication Dial-In User Service) 서버와통신합니다. 그림 4-1: 무선 LAN 보안수준 Default settings Unique SSID with Broadcast SSID disabled Shared key authentication with WEP Open authentication with WEP MACbased authentication with WEP EAP authentication with WEP EAP authentication with MIC, broadcast key rotation, and WEP Not secure Most secure 65677 4-2

보안개요 WEP 로무선신호를암호화하기 추가적인 WEP 보안기능들 만일여러분이액세스포인트에서보안기능을한가지도작동시키지않는다면, 무선네트워크장치를가지고있는어떤사람도여러분의네트워크에참여할수있습니다. 만일여러분이 WEP 암호화와함께개방형또는공유키인증을가동한다면여러분의네트워크는일상적인외부인들로부터는안전하겠지만 WEP 키를계산하기위하여해킹알고리즘을사용하는침입자로부터는안전하지않을것입니다. 만일여러분이 MIC(Message Integrity Check), 브로드캐스트키로테이션, 키해싱과함께서버기반의 EAP 인증을가동한다면여러분의네트워크는무선보안에대한거의모든공격으로부터안전할것입니다. 무선국으로부터일정거리안에있는사람들이누구나그무선국의주파수에맞추어신호를들을수있는것처럼액세스포인트의일정범위안에있는어떤무선네트워크장치도그액세스포인트의전파를받을수있습니다. WEP (Wired Equivalent Privacy) 는침입자에대한첫번째방어책이기때문에시스코는무선네트워크전부에암호화를사용할것을권장합니다. WEP 암호화는통신을보호하기위하여액세스포인트와클라이언트장치사이의통신을스크램블합니다. 액세스포인트와클라이언트장치는무선신호를암호화하고해독하는데동일한 WEP 키를사용합니다. WEP 키는유니캐스트와멀티캐스트메시지모두를암호화합니다. 유니캐스트메시지는네트워크상의단하나의장치로발송됩니다. 멀티캐스트메시지는네트워크상의다수의장치로발송됩니다. EAP (Extensible Authentication Protocol) 인증은무선사용자에게동적인 WEP 키를제공합니다. 동적인 WEP 키는정적인또는변하지않는 WEP 키보다안전합니다. 만일어떤침입자가동일한 WEP 키로암호화된충분한양의패킷을수신한경우그침입자는계산을통하여키를알아낸후그키를사용하여여러분의네트워크에침입할수있습니다. 동적인 WEP 키는자주바뀌기때문에침입자가계산을통하여키를알아내는것을막을수있습니다. 세가지추가적인보안기능이무선네트워크의 WEP 키를방어합니다 : MIC(Message Integrity Check)-MIC 는비트플립 (bit-flip) 공격이라고불리는암호화된패킷에대한공격을막아줍니다. 비트플립공격에서침입자는암호화된메시지를가로채서이것을조금바꾼후다시전송하는데그러면수신자는재전송된메시지를정당한것으로받아들입니다. 액세스포인트및모든관련클라이언트장치양쪽에구현된 MIC 는패킷을변경하지못하게만들기위하여각패킷에몇바이트를추가합니다. 4-3

보안개요 MIC 를활성화하는것에관한설명은 MIC(Message Integrity Check) 활성화하기 절을참조하십시오. WEP 키해싱 - 이기능은침입자가 WEP 키를계산하기위하여암호화된패킷에포함된암호화되지않은 IV(initialization vector) 를사용하는 WEP 공격으로부터보호합니다. WEP 키해싱은 IV 를사용하여 WEP 키를도출해낼수있다는침입자들의기대를제거해줍니다. 키해싱을활성화하는방법은 WEP 키해싱활성화하기 절을참조하십시오. 브로드캐스트키로테이션 -EAP 인증은클라이언트장치들을위해서동적인유니캐스트 WEP 키를제공하지만정적인브로드캐스트또는멀티캐스트키를사용합니다. 브로드캐스트 WEP 키로테이션이활성화되어있을때액세스포인트는동적인브로드캐스트 WEP 키를제공하고여러분이선택하는간격으로그것을바꾸어줍니다. 시스코장비가아니거나또는시스코클라이언트장치를위한최신펌웨어로업그레이드할수없는무선클라이언트장치들을여러분의무선 LAN 이지원해야할경우, 브로드캐스트키로테이션은 WEP 키해싱에대한훌륭한대안입니다. 브로드캐스트키로테이션을활성화하는것에대한설명은 브로드캐스트 WEP 키로테이션활성화하기 절을참조하십시오. MIC, WEP 키해싱및브로드캐스트키로테이션은 Cisco.com 에서얻을수있는펌웨어버전 11.10T 에구현된기능입니다. Cisco Aironet 펌웨어릴리즈들은 http://www.cisco.com/pcgi-bin/tablebuild.pl/aironet-350 에서다운로드하실수있습니다. 네트워크인증유형 무선클라이언트장치는액세스포인트를통하여네트워크와통신하기전에액세스포인트와네트워크로의인증을받아야합니다. 액세스포인트는네가지인증기제혹은유형을사용하는데, 동시에한가지이상을사용할수도있습니다 : 네트워크 -EAP- 이인증유형은무선네트워크를위한가장높은수준의보안을제공합니다. EAP(Extensible Authentication Protocol) 를사용하여 EAP 호환 RADIUS 서버와통신함으로써액세스포인트는무선클라이언트장치와 RADIUS 서버가상호인증을수행하고동적인유니캐스트 WEP 키를도출할수있게해줍니다. RADIUS 서버는 WEP 키를액세스포인트로보내고, 액세스포인트는클라이언트와송수신하는모든유니캐스트데이터신호에그키를사용합니다. 4-4

보안개요 액세스포인트는또한클라이언트의유니캐스트키로브로드캐스트 WEP 키 ( 액세스포인트의 WEP 키슬롯 1 에들어온 ) 를암호화하여그것을클라이언트에게보냅니다. 액세스포인트와클라이언트장치에 EAP 를활성화하면, 네트워크로의인증은그림 4-2 에보이는단계를따라발생합니다 : 그림 4-2: EAP 인증의순서 Wired LAN Client device 1. Authentication request 2. Identity request Access point or bridge Server 3. Username and password (relay to server) (relay to client) 4. Authentication challenge 5. Authentication response (relay to server) (relay to client) 6. Authentication success 7. Authentication challenge (relay to server) (relay to client) 8. Authentication response 9. Successful authentication (relay to server) 65583 그림 4-2 의 1 단계에서 9 단계까지무선클라이언트장치와유선 LAN 상의 RADIUS 서버는액세스포인트를통한상호인증을수행하기위하여 802.1x 와 EAP 를사용합니다. RADIUS 서버는클라이언트에게인증챌린지 (authentication challenge) 를보냅니다. 클라이언트는사용자가제공한암호의일방암호화를사용, 그챌린지에대한응답 (response) 을생성하여 RADIUS 서버로보냅니다. RADIUS 서버는자신이가지고있는사용자데이터베이스의정보를사용하여응답을생성하고그것을클라이언트가보내온응답과비교합니다. RADIUS 서버가클라이언트를인증하면동일한프로세스가반대방향으로되풀이되어클라이언트가 RADIUS 서버를인증합니다. 4-5

보안개요 상호인증이완료되면 RADIUS 서버와클라이언트는클라이언트에고유한 WEP 키를결정하고클라이언트에게적절한네트워크접근수준을제공함으로써유선스위치방식세그먼트에서개별데스크톱에제공하는보안수준을모방합니다. 클라이언트는이키를로드하여로그온세션에사용할준비를합니다. 로그온세션동안에 RADIUS 서버는 WEP 키를암호화하여유선 LAN 을통하여액세스포인트로보내는데이를세션키라고부릅니다. 액세스포인트는세션키를가지고자신의브로드캐스트키를암호화하여클라이언트에게보내고클라이언트는세션키를사용하여이를해독합니다. 클라이언트와액세스포인트는 WEP 를활성화하고, 남은세션기간동안의모든통신에이세션 / 브로드캐스트 WEP 키를사용합니다. EAP 인증에는여러가지유형이있지만액세스포인트는각유형에대하여동일하게행동합니다 : 액세스포인트는인증메시지를무선클라이언트장치에서 RADIUS 서버로, RADIUS 서버로부터무선클라이언트장치로전달합니다. 액세스포인트에 EAP 를어떻게설치하는지보려면 EAP 인증설치 절을참고하십시오. EAP 인증을사용하면개방형또는공유키인증을선택할수있지만그렇게할필요는없습니다. EAP 인증은액세스포인트로의인증과네트워크로의인증양쪽모두를제어합니다. MAC 주소 - 액세스포인트가무선클라이언트장치의 MAC 주소를네트워크상의 RADIUS 서버로전송하면서버는그주소를 MAC 주소승인목록에서찾아봅니다. 만일여러분이네트워크상에 RADIUS 서버를가지고있지않다면액세스포인트의 Address Filters 페이지에 MAC 주소승인목록을생성할수있습니다. 목록에속해있지않은 MAC 주소를가진장치들은인증이되지않습니다. 침입자들이위조 MAC 주소를생성할수있으므로 MAC 기반의인증은 EAP 인증에비하여안전도가떨어집니다. 그러나 MAC 기반의인증은 EAP 기능을가지고있지않은클라이언트장치들에대한인증방법의대안을제공합니다. MAC 기반의인증을활성화하는방법에대해서는 MAC 기반의인증설치 절을참조하십시오. 그림 4-3 은 MAC 기반인증의인증절차를보여주고있습니다. 4-6

보안개요 그림 4-3: MAC 기반의인증절차 Wired LAN Client device 1. Authentication request 2. Identity request Access point or bridge Server 3. MAC address (relay to client) (relay to server) 4. Successful authentication 65584 개방형 - 어떤장치도인증을하고액세스포인트와통신하려는시도를할수있게허용합니다. 개방형인증을사용하면어떤무선장치도액세스포인트와인증을할수있지만자신의 WEP 키가액세스포인트의 WEP 키와일치하는경우에만통신할수있습니다. WEP 를사용하지않는장치는 WEP 를사용하는액세스포인트와인증을시도할수없습니다. 개방형인증은네트워크상의 RADIUS 서버에의존하지않습니다. 그림 4-4 는인증을시도하는장치와개방형인증을사용하는액세스포인트간의인증과정을보여줍니다. 이예에서장치의 WEP 키가액세스포인트의키와일치하지않으므로인증은할수있지만데이터를전달할수없습니다. 그림 4-4: 개방형인증의절차 Client device with WEP key = 321 1. Authentication request Access point or bridge with WEP key = 123 2. Authentication response 54583 공유키 - 시스코는 IEEE 802.11b 표준에부합하는공유키인증을제공합니다. 그러나공유키의보안상결함때문에이것을사용하지않을것을권장합니다. 4-7

보안개요 공유키인증에서액세스포인트는액세스포인트와통신을시도하는장치로암호화되지않은챌린지텍스트문자열 (challenge text string) 을보냅니다. 인증을요청하는장치는챌린지텍스트를암호화한후그것을다시액세스포인트로보냅니다. 만일챌린지텍스트가올바르게암호화되었다면, 액세스포인트는요청하는장치에게인증을허락합니다. 암호화되지않은챌린지와암호화된챌린지양쪽다모니터될수있으므로액세스포인트는암호화되지않은텍스트문자열과암호화된텍스트문자열을비교하여 WEP 키를계산하려는침입자의공격에노출되어있습니다. 이러한취약점때문에공유키인증은개방형인증에비하여안전하지않습니다. 공유키인증도개방형인증과마찬가지로네트워크상의 RADIUS 서버에의존하지않습니다. 그림 4-5 는인증을시도하는장치와공유키인증을사용하는액세스포인트사이의인증절차를보여주고있습니다. 이예에서보면장치의 WEP 키와액세스포인트의키가일치하므로이장치는인증과통신을할수있습니다. 그림 4-5: 공유키인증절차 Client device with WEP key = 123 1. Authentication request Access point or bridge with WEP key = 123 2. Unencrypted challenge 3. Encrypted challenge response 4. Authentication response 54584 사용자매니저 (User Manager) 로액세스포인트구성을보호하기 액세스포인트의사용자매니저기능은액세스포인트관리시스템으로의권한없는진입을통제합니다. 액세스포인트설정을보거나조정할수있도록권한이부여된관리자들의목록이만들어지므로권한이없는사용자는들어갈수가없습니다. 사용자매니저의사용에대한설명은 관리자권한부여설정 절을참고하십시오. 4-8

WEP 설치 WEP 설치 WEP 를설치하려면 AP Radio Data Encryption 페이지를사용하십시오. 또한액세스포인트에대한인증유형을선택하려면 AP Radio Data Encryption 페이지를사용하십시오. 그림 4-6 은 AP Radio Data Encryption 페이지를보여줍니다. 그림 4-6: AP Radio Data Encryption 페이지 AP Radio Data Encryption 페이지로가려면다음의경로를따라가십시오 : 1. Summary Status 페이지에서 Setup을클릭하십시오. 2. Setup 페이지에서 Security를클릭하십시오. 3. Security Setup 페이지에서 Radio Data Encryption (WEP) 를클릭하십시오. 4-9

WEP 설치 WEP 키를설치하고 WEP 를활성화하려면다음단계들을수행하십시오 : 단계 1 AP Radio Data Encryption 페이지로가는경로를따라가십시오. 단계 2 WEP 를활성화하려면적어도 Encryption Key 필드중한곳에 WEP 키를입력해야합니다. 클라이언트장치에동적 WEP 키를제공하기위하여브로드캐스트키로테이션과 EAP 인증을활성화한다면, 키를입력하지않고도 WEP 를활성화할수있습니다. 40-bit 암호화의경우 10 개의 16 진수를입력하십시오 ; 128-bit 암호화의경우에는 26 개의 16 진수를입력하십시오. 16 진수는 0 부터 9 까지의숫자와 A 부터 F 까지의문자로이루어져있습니다. 40-bit WEP 키는이중 10 개의조합으로이루어집니다 ; 128-bit WEP 키는이중 26 개의조합으로이루어집니다. 문자는대소문자구별을하지않습니다. 4 개까지의 WEP 키를입력할수있습니다. 키에여러분이입력하는문자또는숫자는여러분이입력할당시에만화면에표시됩니다. Apply 또는 OK 를클릭한후에는키의내용을보실수없습니다. EAP 인증을활성화하면전송키 (transmit key) 로키 1 을선택해야합니다. 액세스포인트는 EAP 를사용하는클라이언트장치에보내는멀티캐스트데이터신호를암호화하는데키슬롯 1 에입력된 WEP 키를사용합니다. 반면에브로드캐스트키로테이션을활성화한다면, 어떤키도전송키로선택할수있거나또는아무키도입력하지않고 WEP 를활성화할수있습니다. 단계 3 단계 4 각키에대하여 40-bit 또는 128-bit 암호화를선택하려면 Key Size 풀다운메뉴를사용하십시오. not set 옵션은키를삭제합니다. 각키에대해 not set 을선택하거나또는단계 5 에서 No Encryption 을선택함으로써 WEP 를완전히비활성화할수있습니다. 키가운데하나를전송키로선택하십시오. 만일여러분이인증유형으로네트워크 -EAP 를선택한다면전송키로 key 1 을선택하십시오. 4-10

WEP 설치 액세스포인트로인증을하는데 EAP 를사용하지않는클라이언트장치들은액세스포인트의전송키를클라이언트장치의 WEP 키목록의동일한키슬롯에가지고있어야합니다. 그러나그키가클라이언트장치의 WEP 키목록에서전송키로선택되어져야할필요는없습니다. 표 4-1 은액세스포인트와접속장치에사용될수있는 WEP 키설정의예를보여줍니다 : 표 4-1: WEP 키설정예 액세스포인트 접속장치 키슬롯 전송 키내용 전송 키내용 1 x 12345678901234567890abcdef 12345678901234567890abcdef 2 09876543210987654321fedcba x 09876543210987654321fedcba 3 설정되지않음 설정되지않음 4 설정되지않음 FEDCBA09876543211234567890 액세스포인트의 WEP 키 1 이전송키로선택되었기때문에상대장치의 WEP 키 1 은동일한내용을가져야만합니다. 상대장치의 WEP 키 4 가설정되었지만그것이전송키로선택되지않았기때문에액세스포인트의 WEP 키 4 는설정될필요가전혀없습니다. 키에여러분이입력하는문자또는숫자는여러분이입력할당시에만화면에표시됩니다. Apply 또는 OK 를클릭한후에는키의내용을보실수없습니다. WEP 키는삭제할수없지만기존의키위에새로운내용을쓸수는있습니다. 단계 5 Use of Data Encryption by Stations is 이라고표시된풀다운메뉴에서 Optional 또는 Full Encryption 을선택하십시오. WEP 를활성화하기전에반드시 WEP 키를설정해야만합니다. Use of Data Encryption by Stations is 풀다운메뉴의옵션들은키를설정하기전에는나타나지않습니다. 4-11

WEP 설치 풀다운메뉴에있는세가지설정은다음과같습니다 : No Encryption ( 디폴트 )-액세스포인트는 WEP 를사용하지않는클라이언트장치하고만통신할수있습니다. WEP를비활성화하기위하여이옵션을사용하십시오. Optional-클라이언트장치는액세스포인트와통신할때 WEP 를사용할수도사용하지않을수도있습니다. 만일 Optional 을선택한다면, 액세스포인트에접속한 Cisco Aironet 클라이언트장치들은혼합셀 (mixed cell) 로의접속이허용되도록구성되어야만합니다. Cisco Aironet 클라이언트장치를구성하는것에관한설명은 Cisco Aironet Wireless LAN Adapters Software Configuration Guide 를참조하십시오. Full Encryption- 클라이언트장치들은액세스포인트와통신할때 WEP 를사용해야합니다. WEP 를사용하지않는장치는통신이불가능합니다. MIC(Message Integrity Check) 를활성화하기위해서는 Full Encryption 을선택해야합니다. MIC 를설정하는것에관한설명은 MIC (Message Integrity Check) 활성화하기 절을참고하십시오. 단계 6 OK 를클릭하면자동적으로 Security Setup 페이지로돌아가게됩니다. WEP 를설치하기위해 SNMP 사용하기 액세스포인트에서의 WEP 수준을설정하기위하여 SNMP를사용할수있습니다. SNMP 사용에대한세부사항은 SNMP 사용하기 절을참조하십시오. 액세스포인트는 WEP 수준을설정하기위하여다음과같은 SNMP 변수들을사용합니다 : dot11excludeunencrypted.2 awcdot11allowencrypted.2 표 4-2 는 SNMP 변수설정과이에해당하는 WEP 수준을보여줍니다. 4-12

추가적인 WEP 보안기능의활성화 표 4-2: SNMP 변수설정및해당 WEP 수준 SNMP 변수 WEP Full WEP Off WEP Optional dot11excludeunencrypted.2 true False false awcdot11allowencrypted.2 true False true 액세스포인트는 SNMP 변수 dot11privacyinvoked 를사용하지않으므로이변수는항상비활성화되어있습니다. 추가적인 WEP 보안기능의활성화 무선네트워크의 WEP 키들에대한정교한공격을막기위하여세가지고급보안기능을활성화할수있습니다. 본절에서는이러한기능들을설정하고활성화하는방법을설명합니다 : MIC(Message Integrity Check) 활성화하기 WEP 키해싱활성화하기 브로드캐스트 WEP 키로테이션활성화하기 MIC, WEP 키해싱및브로드캐스트키로테이션기능은 Cisco.com 에서구할수있는펌웨어버전 11.10T 에구현된기능입니다. Cisco Aironet 펌웨어릴리즈들은 http://www.cisco.com/pcgi-bin/tablebuild.pl/aironet-350 에서다운로드하실수있습니다. MIC(Message Integrity Check) 활성화하기 MIC 는비트플립 (bit-flip) 공격이라고불리는암호화된패킷에대한공격을막아줍니다. 비트플립공격에서침입자는암호화된메시지를가로채서이것을조금바꾼후다시전송하는데그러면수신자는재전송된메시지를정당한것으로받아들입니다. 액세스포인트와모든접속클라이언트장치에구현된 MIC 는패킷들을조작할수없게만들기위하여각패킷에몇바이트를추가합니다. 4-13

추가적인 WEP 보안기능의활성화 MIC 가사용되기전에반드시 WEP 를 full encryption 으로설정하고활성화해야합니다. MIC 를사용하기위해서는 AP Radio Advanced 페이지의 Use Aironet Extensions 설정을 yes( 디폴트설정 ) 로해야합니다. MIC 를활성화하기위해서는 AP Radio Advanced 페이지를사용하십시오. 그림 4-7 은 AP Radio Advanced 페이지를보여줍니다. 4-14

추가적인 WEP 보안기능의활성화 그림 4-7: AP Radio Advanced 페이지 AP Radio Advanced 페이지로가려면다음과같은경로를따라가십시오 : 1. Summary Status 페이지에서 Setup 을클릭하십시오. 2. Setup 페이지에서 Network Ports 아래에있는 AP Radio 행의 Advanced 를클릭하십시오. 4-15

추가적인 WEP 보안기능의활성화 MIC 를활성화하기위해서는다음단계들을수행하십시오 : 단계 1 WEP 를설정하고활성화하려면 WEP 설치 절에있는단계들을따라가십시오. MIC 가활성화되기전에 full encryption 으로 WEP 를설정하고활성화해야합니다. 만일 WEP 이활성화되어있지않거나 optional 로설정되어있으면 MIC 는활성화되지않습니다. 단계 2 AP Radio Advanced 페이지로가십시오. 단계 3 Enhanced MIC verification for WEP 풀다운메뉴에서 MMH 를선택하십시오. 단계 4 단계 5 Use Aironet Extensions 설정에서 yes 가선택되어있는지확인하십시오. Use Aironet Extensions 에서 no 가선택되어있으면 MIC 는기능하지않습니다. OK 를클릭하십시오. MIC 가활성화되고 MIC 기능을가진클라이언트장치들만이액세스포인트와통신할수있게됩니다. WEP 키해싱활성화하기 WEP 키해싱은침입자가 IV(initialization vector) 라고불리는암호화된패킷에포함된암호화되지않은부분을사용, WEP 키를계산하여 WEP 를공격하는것을막아줍니다. WEP 키해싱은 IV 를사용하여 WEP 키를도출해낼수있다는침입자들의기대를제거해줍니다. WEP 키해싱은유니캐스트및브로드캐스트 WEP 키모두를보호합니다. WEP 키해싱을활성화할때, 해당액세스포인트와통신하는모든 WEP 사용클라이언트장치들은 WEP 키해싱을지원해야합니다. 키해싱을지원하지않는 WEP 사용장치들은액세스포인트와통신할수없습니다. 4-16

추가적인 WEP 보안기능의활성화 WEP 키해싱을사용하려면 AP Radio Advanced 페이지의 Use Aironet Extensions 설정이 yes ( 디폴트설정 ) 로되어있어야합니다. 힌트 WEP 키해싱을활성화할때, 브로드캐스트키로테이션을활성화할필요는없습니다. 키해싱은침입자들이정적인브로드캐스트키를계산하지못하게하므로브로드캐스트키를교대할필요가없어집니다. WEP 키해싱을활성화하려면다음단계들을따라가십시오 : 단계 1 WEP 를설정하고활성화하려면 WEP 설치 절에있는단계를수행하십시오. WEP 레벨에 optional 또는 full encryption 을선택하십시오. 단계 2 AP Radio Advanced 페이지로가려면다음경로를따라가십시오 : a. Summary Status 페이지에서 Setup을클릭하십시오. b. Setup 페이지에서 Network Ports 아래에있는 AP Radio 행의 Advanced를클릭하십시오. 단계 3 Temporal Key Integrity Protocol 풀다운메뉴에서시스코를선택하십시오. 단계 4 Use Aironet Extensions 설정에서 yes 가선택되어있는지확인하십시오. Use Aironet Extensions 에 no 가선택되어있으면키해싱은기능하지않습니다. 단계 5 OK 를클릭하면 WEP 키해싱이활성화됩니다. 브로드캐스트 WEP 키로테이션활성화하기 EAP 인증은클라이언트장치들을위해서동적인유니캐스트 WEP 키를제공하지만정적인멀티캐스트키를사용합니다. WEP 키로테이션이활성화되어있을때브로드캐스트또는멀티캐스트에서액세스포인트는동적인브로드캐스트 WEP 키를제공하고여러분이선택하는간격으로그것을바꾸어줍니다. 시스코장비가아니거나또는시스코클라이언트장치를위한최신펌웨어로업그레이드할수없는무선클라이언트장치를여러분의무선 LAN 이지원해야할경우브로드캐스트키로테이션은 WEP 키해싱에대한훌륭한대안이됩니다. 4-17

추가적인 WEP 보안기능의활성화 브로드캐스트키로테이션을활성화하면 LEAP 또는 EAP-TLS 인증을사용하는무선클라이언트장치들만이액세스포인트를사용할수있습니다. 정적인 WEP ( 개방형키, 공유키또는 EAP-MD5 인증 ) 를사용하는클라이언트장치들은브로드캐스트키로테이션이활성화된액세스포인트를사용할수없습니다. 힌트 WEP 키해싱을활성화하면브로드캐스트키로테이션을활성화할필요가없습니다. 키로테이션과키해싱양쪽모두를사용할수도있지만이것은중복되는기능입니다. 브로드캐스트키로테이션을활성화하려면다음단계들을따라가십시오 : 단계 1 WEP 를설정하고활성화하려면 WEP 설치 절에있는단계들을수행하십시오. 단계 2 AP Radio Advanced 페이지로가려면다음경로를따라가십시오 : a. Summary Status 페이지에서 Setup 을클릭하십시오. b. Setup 페이지에서 Network Ports 아래에있는 AP Radio 행의 Advanced 를클릭하십시오. 단계 3 AP Radio Advanced 페이지의 Broadcast WEP Key rotation interval 입력필드에로테이션간격을초단위로입력하십시오. 예를들어 900 을입력한다면액세스포인트는매 15 분마다모든연결된클라이언트장치로새로운브로드캐스트 WEP 키를보냅니다. 브로드캐스트 WEP 키로테이션을사용하지않으려면 0 을입력하십시오. 브로드캐스트키로테이션을사용하는모든액세스포인트에로테이션간격을설정하여야합니다. RADIUS 서버에는로테이션간격을입력할수없습니다. 힌트 만일무선네트워크의트래픽에많은브로드캐스트혹은멀티캐스트패킷이포함되어있다면짧은로테이션간격을사용하십시오. 단계 4 OK 를클릭하면브로드캐스트키로테이션이활성화됩니다. 4-18

개방형및공유키인증설치 개방형및공유키인증설치 시스코는공유키인증보다개방형인증을사용할것을권장합니다. 공유키에서사용되는챌린지쿼리와응답은액세스포인트를침입자에게특히취약하게합니다. AP Radio Data Encryption 페이지에서개방형또는공유키인증을선택하십시오. 그림 4-6 은 AP Radio Data Encryption 페이지를보여주고있습니다. 4-19

EAP 인증설치 개방형또는공유키인증을설치하려면다음단계들을따라가십시오 : 단계 1 WEP 를설치하고활성화하려면 WEP 설치 절의지시를따르십시오. 단계 2 단계 3 공유키인증을사용하려면 WEP 를활성화해야하지만개방형인증을사용하려면 WEP 를활성화할필요가없습니다. 그러나시스코는모든무선네트워크에서 WEP 를사용할것을강력히권장합니다. 액세스포인트가인식하는인증을설정하기위하여 Open ( 디폴트 ) 또는 Shared Key 를선택하십시오. 세가지인증유형을모두선택할수있습니다. 모든클라이언트장치들이네트워크에들어오기전에 EAP 인증을수행하도록강제하려면 Open 이나 Shared 아래의 Require EAP 체크박스를선택하십시오. Require EAP 체크박스를선택하면또한 EAP-TLS 및 EAP-MD5 를포함하는다양한형태의 EAP 인증을사용하는클라이언트장치들이액세스포인트를통하여인증할수있게됩니다. LEAP 사용 Cisco Aironet 클라이언트장치들이액세스포인트를통하여인증하도록허락하려면 Network-EAP 도선택해야합니다. Require EAP 와 Network-EAP 설정에관한상세한내용은 EAP 인증설치 절을참조하십시오. 단계 4 OK 를클릭하시면자동적으로 Security Setup 페이지로돌아갑니다. EAP 인증설치 EAP 인증시액세스포인트는네트워크상의 RADIUS 서버와인증을받으려는클라이언트장치사이에서인증메시지들을전달합니다. 본절은다음에대해설명하고있습니다 : 액세스포인트에서 EAP 를활성화하기 Cisco Secure ACS 에서 EAP 활성화하기 리피터액세스포인트를 LEAP 클라이언트로설치하기 4-20

EAP 인증설치 액세스포인트에서 EAP 를활성화하기 EAP 인증을설치하고가동하려면 Authenticator Configuration 페이지와 AP Radio Data Encryption 페이지를사용하십시오. 그림 4-6 은 AP Radio Data Encryption 페이지를보여줍니다. 그림 4-8 은 Authenticator Configuration 페이지를보여줍니다. 그림 4-8: Authenticator Configuration 페이지 Authenticator Configuration 페이지로가려면다음경로를따라가십시오 : 1. Summary Status 페이지에서 Setup을클릭하십시오. 2. Setup 페이지에서 Security를클릭하십시오. 3. Security Setup 페이지에서 Authentication Server를클릭하십시오. 액세스포인트에서 EAP 를활성화하려면다음단계를따라가십시오 : 단계 1 Authenticator Configuration 페이지로의경로를따라가십시오. 4-21

EAP 인증설치 인증서비스를위해 4 개까지의서버를설정할수있으므로백업인증서버도설치할수있습니다. 동일한서비스에대하여하나이상의서버를설정할경우목록의첫번째에있는서버가해당서비스에대한프라이머리서버가되고다른서버들은이전서버의가동이중단될경우목록에있는순서대로사용됩니다. EAP 인증과 MAC 주소인증에같은서버를사용할수있습니다. 단계 2 802.1x Protocol Version (for EAP Authentication) 풀다운메뉴를사용하여액세스포인트의전파가사용할 802.1x 프로토콜의초안 (Draft) 을선택하십시오. EAP 는클라이언트장치의무선펌웨어가액세스포인트의관리펌웨어와동일한 802.1x 프로토콜초안을준수해야만기능합니다. 만일액세스포인트와연결할클라이언트장치의무선펌웨어가예를들어 4.16 이라면 Draft 8 을선택해야합니다. 메뉴옵션에는다음과같은것들이있습니다 : Draft 7- 초안 7 을준수하는무선펌웨어버전가운데 LEAP 기능을가지고있는것은없습니다. 그러므로이설정을선택할필요는없을것입니다. Draft 8- 액세스포인트와접속하는 LEAP 사용클라이언트장치가무선펌웨어버전 4.13, 4.16 또는 4.23 을사용한다면이옵션을선택하십시오. Draft 10- 액세스포인트와접속하는클라이언트장치가 Microsoft Windows XP 인증을사용하거나또는액세스포인트와접속하는 LEAP 사용클라이언트장치가무선펌웨어버전 4.25 이상을사용한다면이옵션을선택하십시오. 표 4-3 은무선펌웨어버전과그것이준수하는초안의목록입니다. 표 4-3: 802.1x 프로토콜초안및이를준수하는클라이언트펌웨어 펌웨어버전 Draft 7 Draft 8 Draft 10 PC/PCI 카드 4.13 X PC/PCI 카드 4.16 X PC/PCI 카드 4.23 X PC/PCI 카드 4.25 이상 X WGB34x/352 8.58 X WGB34x/352 8.61 이상 X - AP34x/35x 11.05 및이전 X 4-22

EAP 인증설치 표 4-3: 802.1x 프로토콜초안및이를준수하는클라이언트펌웨어 펌웨어버전 Draft 7 Draft 8 Draft 10 AP34x/35x 11.06 이상 X X BR352 11.06 이상 1 X X 1. 액세스포인트와브리지펌웨어버전 11.06 이상의디폴트초안설정은 Draft 10 임. 펌웨어버전 11.05 및그이전에는 Draft 표준 8 이디폴트설정이므로여러분이펌웨어를버전 11.6 또는그이상으로업그레이드할때이것이그대로남아있을수있습니다. 여러분의네트워크에가장이상적인초안표준이선택될수있도록관리시스템의 Authenticator Configuration 페이지의설정을확인하십시오. 단계 3 Server Name/IP 입력필드에 RADIUS 서버의이름과 IP 주소를입력하십시오. 단계 4 단계 5 RADIUS 서버가인증에사용할포트번호를입력하십시오. 디폴트설정인 1812 는시스코의 RADIUS 서버, Cisco Secure ACS(Access Control Server) 및다른여러 RADIUS 서버에대한포트설정입니다. 올바른포트설정을하려면서버제품의설명서를확인하십시오. Shared Secret 입력필드에는 RADIUS 서버가사용할공유비밀 (shared secret) 을입력하십시오. 액세스포인트의공유비밀은 RADIUS 서버의공유비밀과일치해야합니다. 단계 6 인증이실패하기전에액세스포인트가기다려야하는시간을초단위로입력하십시오. 서버가이시간안에응답하지않으면액세스포인트는목록에있는다음인증서버 ( 만일있다면 ) 와접촉을시도합니다. 이전서버의장애시다른백업서버들이목록의순서대로사용됩니다. 단계 7 서버아래의 EAP Authentication 을선택하십시오. EAP Authentication 체크박스는이서버를 Cisco Aironet LEAP, EAP-TLS 및 EAP-MD5 를포함하는모든 EAP 유형에대한인증자로지정합니다. 단계 8 OK 를클릭하면자동적으로 Security Setup 페이지로돌아갑니다. 단계 9 AP Radio Data Encryption 페이지로가려면 Security Setup 페이지에서 Radio Data Encryption (WEP) 를클릭하십시오. 단계 10 EAP 를사용하는클라이언트장치가액세스포인트를통하여인증할수있도록하려면 4-23

EAP 인증설치 Windows XP 를통하여 EAP-TLS 또는 EAP-MD5 를사용하는클라이언트장치들이액세스포인트를통하여인증하는것을허용하려면 Open 이나 Shared Key 아래의 Require EAP 를선택하십시오. Require EAP 을선택하지않는다면, Windows XP 를통하여 EAP 를사용하는클라이언트장치들은액세스포인트로인증할수는있으나 RADIUS 서버와상호 EAP 인증을수행하지는못할것입니다. LEAP 을사용하는 Cisco Aironet 클라이언트장치들은 Require EAP 가선택되어있지않더라도액세스포인트를통하여 LEAP 인증을수행합니다. Require EAP 을선택하면 EAP 를사용하지않는클라이언트장치가액세스포인트를통하여인증하는것이금지됩니다. 표 4-4 는다양한클라이언트장치들에게인증을제공하는액세스포인트의구성을보여줍니다. 표 4-4: 여러가지클라이언트구성에대한액세스포인트 EAP 구성 액세스포인트구성 인증하도록허용되는클라이언트장치 네트워크-EAP 인증 LEAP을사용하는 Cisco Aironet 클라이언트장치 LEAP 을사용하는리피터액세스포인트 equire EAP 체크박스가 선택되어진상태의개방형인증 EAP 을사용하는 Non-Cisco Aironet 장치 Windows XP를통하여 EAP-TLS 또는 EAP-MD5 를사용하는 Cisco Aironet 장치 액세스포인트에서 Require EAP를선택하면 EAP 를사용하지않는클라이언트장치가액세스포인트를사용하는것이금지됩니다. 단계 11 키슬롯 1 에 WEP 키가입력되었는지확인하십시오. 슬롯 1 에 WEP 키가설정되었다면단계 15 로넘어가십시오. WEP 키가설정되어있지않다면단계 12 로가십시오. 4-24

EAP 인증설치 WEP 를활성화하지않고도 EAP 를사용할수는있지만이때액세스포인트와클라이언트장치사이에전송되는패킷은암호화되지않을것입니다. 안전한통신을하려면 WEP 을항상사용하십시오. 단계 12 Encryption Key 필드의슬롯 1에 WEP 키를입력하십시오. 액세스포인트는멀티캐스트데이터신호 ( 액세스포인트로부터동시에여러클라이언트장치로전송되는신호 ) 에이키를사용합니다. 클라이언트장치에는이키가설정될필요가없습니다. 단계 13 Key Size 풀다운메뉴에서 128-bit encryption을선택하십시오. 단계 14 만일슬롯 1에있는키가 WEP 키로설정된유일한것이면그것을전송키로선택하십시오. 단계 15 OK를클릭하면자동적으로 Security Setup 페이지로돌아갑니다. Cisco Secure ACS 에서 EAP 활성화하기 Windows NT/2000 서버를위한 Cisco Secure ACS (Cisco Secure Access Control Server) 는액세스서버, PIX 방화벽, 라우터, 무선액세스포인트또는브리지와같은 NAS (network access server) 장치로의접근을제어하여사용자를인증하는것을돕는네트워크보안소프트웨어입니다. Cisco Secure ACS 는 Windows NT 또는 Windows 2000 의서비스로서작동하며네트워크에접근하는사용자들의 AAA (authentication, authorization, and accounting : 인증, 권한부여및과금 ) 를관리합니다. Cisco Secure ACS 는 Windows NT 4.0 Server 와 Windows 2000 Server 에서가동됩니다. ACS 에서액세스포인트를설치하려면 ACS 버전 2.6 이상을사용해야합니다. Cisco Secure ACS 에서액세스포인트를 NAS(Network Access Server) 로등록하려면다음단계를따라가십시오 : 단계 1 ACS 주메뉴에서 Network Configuration 을클릭하십시오. 단계 2 Add New Access Server 를클릭하십시오. 단계 3 Network Access Server Hostname 입력필드에액세스서버로서의액세스포인트에부여하고자하는이름을입력하십시오. 4-25

EAP 인증설치 이미존재하는 NAS 를구성할때에는이필드는보이지않습니다. 단계 4 Network Access Server IP address 박스에액세스포인트의 IP 주소를입력하십시오. 단계 5 Key 박스에 TACACS+ 또는 RADIUS NAS 및 Cisco Secure ACS 가데이터를암호화하기위하여사용하는공유비밀을입력하십시오. 올바른운영을위해서는동일한키 ( 대소문자구별 ) 가액세스포인트의 Authenticator Configuration 페이지와 Cisco Secure ACS 에구성되어야합니다. 단계 6 Authenticate Using 드롭다운메뉴에서 RADIUS (Cisco Aironet) 를선택하십시오. 단계 7 변경사항을저장하고즉시적용하려면 Submit + Restart 버튼을클릭하십시오. 힌트 변경사항을저장하고나중에이를적용하려면 Submit 를클릭하십시오. 변경사항을적용할준비가되면 System Configuration > Service Control 과 Restart 를클릭하십시오. 서비스를재시작하면 Logged-in User Report 가지워지고 Max Sessions 카운터가재생되며일시적으로모든 Cisco Secure ACS 서비스가중단됩니다. 세션기반의 WEP 키타임아웃설정 세션기반의 WEP 키에대해타임아웃값을설정할수있습니다. 타임아웃시간이지나면서버는인증된클라이언트장치들에게새로운동적인 WEP 키를발급합니다. 액세스포인트에서 WEP 키해싱을활성화하면세션기반의 WEP 키타임아웃을설정할팔요가없습니다. 키해싱과세션키타임아웃양쪽을동시에사용할수는있지만, 이것은중복된보호를제공합니다. 4-26

EAP 인증설치 여러분의무선네트워크에가장바람직한세션키타임아웃값을선택하려면몇가지요소들을고려해야합니다. 타임아웃값을선택하는것에관한지침을보려면 Product Bulletin 1515: Cisco Wireless LAN Security Bulletin을참조하십시오. Product Bulletin 1515를보려면다음 URL 을방문하십시오 : http://www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodlit/1515_pp.htm 세션기반의 WEP 키에대한타임아웃값을설정하는단계는다음과같습니다 : 단계 1 ACS 주메뉴에서 Group Setup 을클릭하십시오. 단계 2 Group 드롭다운메뉴에서 WEP 키 / 세션타임아웃을변경하고자하는그룹을선택하십시오. Default 그룹이통상여러분이변경하고자하는그룹일것입니다. 단계 3 Edit Settings 를클릭하십시오. 단계 4 IETF RADIUS Attributes 설정까지스크롤해서내려가십시오. 단계 5 [027] Session-Timeout 에대한체크박스를선택하고 [027] Session-Timeout 입력필드에여러분의타임아웃값을초단위로입력하십시오. 단계 6 Submit + Restart 를클릭하면타임아웃값이활성화됩니다. 리피터액세스포인트를 LEAP 클라이언트로설치하기 액세스포인트를리피터로구성하면 ( 유선 LAN 에연결되어있지않은액세스포인트 ) 다른무선클라이언트장치들처럼리피터액세스포인트도네트워크에인증하도록설치될수있습니다. 리피터액세스포인트에네트워크사용자이름과암호를제공한후에는리피터액세스포인트는시스코의무선인증방법인 LEAP을사용하여네트워크에인증하며동적인 WEP 키를수령하고사용합니다. 리피터액세스포인트를설치하는방법에대해서는 리피터액세스포인트설치 절을참조하십시오. 리피터액세스포인트에서 LEAP 인증을활성화하는단계는다음과같습니다 : 단계 1 새로운사용자에대하여사용자이름과암호를설정하듯이여러분네트워크에대해서사용자이름과암호를설정하십시오. 리피터액세스포인트는인증시이이름과암호를사용합니다. 4-27

EAP 인증설치 단계 2 AP Radio Identification 페이지로가려면다음경로를따라가십시오 : a. Summary Status 페이지에서 Setup 을클릭하십시오. b. Setup 페이지에서 Network Ports 아래에있는 AP Radio 행의 Identification 을클릭하십시오. 그림 4-9 는 AP Radio Identification 페이지를보여줍니다. 그림 4-9: AP Radio Identification 페이지 단계 3 단계 4 단계 1 에서액세스포인트에설정한네트워크사용자이름을 LEAP User Name 입력필드에입력하십시오. 단계 1 에서액세스포인트에설정한네트워크암호를 LEAP Password 입력필드에입력하십시오. 단계 5 OK 를클릭하십시오. 단계 6 리피터액세스포인트에서 Network-EAP 를활성화하려면 액세스포인트에서 EAP 를활성화하기 절의단계들을수행하십시오. 리피터는재부팅하면 LEAP 인증을수행하고루트액세스포인트에접속합니다. 4-28

MAC 기반의인증설치 MAC 기반의인증설치 MAC 기반인증은특정한 MAC 주소를가지고있는클라이언트장치에게만액세스포인트를통한접속과데이터전달을허용합니다. MAC 주소승인목록에포함되어있지않은 MAC 주소를가진클라이언트장치는액세스포인트와접속할수없습니다. MAC 주소승인목록을액세스포인트관리시스템과 MAC 기반인증에사용되는서버에생성할수있습니다. 본절에서는다음에관해설명합니다 : 액세스포인트에서 MAC 기반인증을활성화하기 Cisco Secure ACS에서 MAC 기반인증을활성화하기 액세스포인트에서 MAC 기반인증을활성화하기 액세스포인트에 MAC 기반인증을설치하고활성화하는단계는다음과같습니다 : 단계 1 Address Filters 페이지로가려면다음의경로를따라가십시오 : a. Summary Status 페이지에서 Setup을클릭하십시오. b. Setup 페이지에서 Associations 아래에있는 Address Filters를클릭하십시오. 그림 4-10 은 Address Filters 페이지를보여줍니다. 4-29

MAC 기반의인증설치 그림 4-10: Address Filters 페이지 단계 2 단계 3 단계 2 와단계 3 은액세스포인트관리시스템에 MAC 주소를입력하는것을설명합니다. 인증서버가사용하는목록에만 MAC 주소를입력하려고한다면단계 4 로넘어가십시오. Dest MAC Address 필드에 MAC 주소를입력하십시오. 주소를입력할때숫자한쌍마다콜론으로분리하여입력할수도있고 ( 예를들면 00:40:96:12:34:56), 분리하는문자없이이어서 ( 예를들면004096123456) 입력할수도있습니다. Dest MAC Address 필드아래에있는 Allowed 가선택되어있는지확인하십시오. Add 를클릭하십시오. Existing MAC Address Filters 목록에 MAC 주소가나타납니다. 이 MAC 주소는여러분이삭제할때까지관리시스템에남아있습니다. 목록에서 MAC 주소를제거하려면 MAC 주소를선택한후 Remove 를클릭하십시오. 승인된주소목록에여러분자신의 MAC 주소를입력하는것을잊지마십시오. 4-30

MAC 기반의인증설치 단계 4 인증서버가사용하는 MAC 주소목록를생성할계획이라면 Lookup MAC Address on Authentication Server if not in Existing Filter List 라고불리는옵션에 Yes 를선택하십시오. 이옵션이활성화되면액세스포인트는클라이언트장치가인증을하고자할때인증서버의 MAC 주소목록을체크합니다. 단계 5 액세스포인트관리시스템에 MAC 주소의목록을저장하려면 Apply 를클릭하십시오. 단계 6 Authenticator Configuration 페이지로가려면 Authentication Server 링크를클릭하십시오. 그림 4-11 은 Authenticator Configuration 페이지를보여줍니다. 그림 4-11: Authenticator Configuration 페이지 인증서비스를위해 4 개까지의서버를설정할수있으므로백업인증서버도설치할수있습니다. 동일한서비스에대하여하나이상의서버를설정할경우목록의첫번째에있는서버가해당서비스에대한프라이머리서버가되고다른서버들은이전서버가가동이중단될경우목록에있는순서대로사용됩니다. 단계 7 Server Name/IP 입력필드에인증서버의이름또는 IP 주소를넣으십시오. 4-31

MAC 기반의인증설치 단계 8 단계 9 서버가인증에사용할포트번호를입력하십시오. 디폴트설정인 1812 는시스코의 RADIUS 서버, Cisco Secure ACS(Access Control Server) 및다른여러 RADIUS 서버에대한포트설정입니다, 올바른포트설정을하려면서버제품의설명서를확인하십시오. Shared Secret 입력필드에는서버가사용할공유비밀을입력하십시오. 브리지의공유비밀은서버의공유비밀과일치해야합니다. 단계 10 Timeout 입력필드에액세스포인트가프라이머리인증서버와접속하려고시도해야하는시간을초단위로입력하십시오. 만일프라이머리인증서버가주어진시간내에응답하지않으면액세스포인트는백업인증서버가있는경우그서버와접속을시도합니다. 단계 11 서버아래의 MAC Address Authentication 을선택하십시오. 만일백업인증서버를설치한다면, 백업서버아래의 MAC Address Authentication 도선택하십시오. 단계 12 OK 를클릭하시면자동적으로 Setup 페이지로돌아갑니다. 단계 13 인증서버를위한 MAC 주소승인목록을생성하십시오. 승인된클라이언트의 MAC 주소들을서버의데이터베이스에사용자로서모두입력하십시오. Cisco Secure ACS 에서 MAC 기반인증을활성화하기 절은 RADIUS 서버를위해 MAC 주소목록을생성하는방법을설명합니다. 인증서버의목록에여러분자신의 MAC 주소를포함시키는것을잊지마십시오. 단계 14 Setup 페이지아래쪽에있는 Network Ports 섹션의 AP Radio 행의 Advanced 를클릭하십시오. AP Radio Advanced 페이지가나타납니다. 그림 4-12 는 AP Radio Advanced 페이지를보여줍니다. 4-32

MAC 기반의인증설치 그림 4-12: AP Radio Advanced 페이지 단계 15 MAC 기반의인증을필요로하는모든인증유형에대하여 Default Unicast Address Filter 의풀다운메뉴에서 Disallowed 를선택하십시오. 예를들어액세스포인트가개방형및네트워크 -EAP 인증양쪽모두로구성되면, 개방형에대한 Default Unicast Address Filter 는 Disallowed 로설정하고네트워크 - EAP 에대한 Default Unicast Address Filter 는 Allowed 로설정할수있습니다. 이러한구성에서는개방형인증을사용하는클라이언트장치들은반드시 MAC 주소를사용하여인증하여야되지만 LEAP 사용클라이언트장치는 MAC 주소를사용하여인증하지않아도됩니다. 4-33

MAC 기반의인증설치 모든클라이언트장치가 MAC 주소를사용하여인증하도록강제하려면, 모든활성화된인증유형에대하여 Disallowed 를선택하십시오. Default Unicast Address Filter 를 disallowed 로설정하면, 액세스포인트는인증서버또는액세스포인트의 Address Filters 페이지에허용되는것으로기록된 MAC 주소로가는패킷을제외한모든유니캐스트트래픽을폐기합니다. Default Unicast Address Filter 를 disallowed 로설정할때액세스포인트에접속해있는클라이언트장치들이즉각적으로영향을받지는않습니다. 단계 16 OK 를클릭하면자동적으로 Setup 페이지로돌아갑니다. 액세스포인트에접속한클라이언트장치들은그들의 MAC 주소가허용된주소목록에포함되어있지않는한인증을할수가없게됩니다. Cisco Secure ACS 에서 MAC 기반인증을활성화하기 Windows NT/2000 서버를위한 Cisco Secure ACS (Cisco Secure Access Control Server) 는액세스포인트가보내온 MAC 주소를인증할수있습니다. 액세스포인트는 ACS 와함께 Secure PAP(Secure Password Authentication Protocol) 를사용하여 MAC 주소를인증합니다. 여러분은승인된 MAC 주소목록을, 클라이언트장치의 MAC 주소를사용자이름과암호로하여사용자로서 ACS 에입력합니다. 인증서버의 MAC 주소승인목록은인증서버에있을수도있고서버가접근할수있는다른네트워크위치에있을수도있습니다. Cisco Secure ACS에서 MAC 주소승인목록을생성하는단계는다음과같습니다 : 단계 1 ACS 주메뉴에서 User Setup 을클릭합니다. 단계 2 User 텍스트박스가나타나면목록에추가하려는 MAC 주소를입력합니다. 4-34

백업인증서버설치 액세스포인트는소문자를사용하여서버로 MAC 주소쿼리를보냅니다. 만일서버가사용자이름과암호에대소문자구별을허용한다면서버의데이터베이스에소문자로 MAC 주소를입력해야합니다. 단계 3 단계 4 User Setup 화면이나타나면 Cisco Secure PAP Password 와 Confirm Password 입력필드에 MAC 주소를입력합니다. CHAP/MS-CHAP/ARAP Password 와 Confirm Password 입력필드에 MAC 주소를입력합니다. 단계 5 Separate (CHAP/MS-CHAP/ARAP) 체크박스를선택합니다. 단계 6 Submit 를클릭합니다. MAC 주소승인목록에추가하고자하는모든 MAC 주소에대하여위의단계를되풀이합니다. 인증서버의목록에입력한 MAC 주소는클라이언트장치가액세스포인트에연결되면액세스포인트의주소필터목록에나타납니다. 서버의목록에있는 MAC 주소는클라이언트장치가연결을해제하거나액세스포인트가리셋되면액세스포인트의목록에서사라집니다. 인증서버의목록에여러분자신의 MAC 주소를포함시키는것을잊지마십시오. 백업인증서버설치 Authenticator Configuration 페이지에서인증서비스를위해 4 개까지의서버를설정할수있으므로백업인증서버도설치할수있습니다. 동일한서비스에대하여하나이상의서버를설정할경우목록의첫번째에있는서버가해당서비스에대한프라이머리서버가되고다른서버들은이전서버가가동이중단될경우목록에있는순서대로사용됩니다. 프라이머리서버의장애시백업서버가응답하면액세스포인트는백업서버를사용하여새로운트랜잭션을계속합니다. 4-35

백업인증서버설치 백업인증서버설치단계는다음과같습니다 : 단계 1 단계 2 프라이머리인증서버를설치하려면 EAP 인증설치 절또는 MAC 기반의인증설치 절에있는단계들을수행하십시오. Authenticator Configuration 페이지에서프라이머리서버에대하여이미입력이완료된항목들의아래에있는입력필드묶음들중하나에백업서버에관한정보를입력하십시오 : a. Server Name/IP 입력필드에백업서버의이름또는 IP 주소를넣으십시오. b. 서버가인증에사용할포트번호를입력하십시오. 디폴트설정인 1812 는시스코의 RADIUS 서버, Cisco Secure ACS(Access Control Server) 및다른여러 RADIUS 서버에대한포트설정입니다. 올바른포트설정을위해서버제품의설명서를확인하십시오. c. Shared Secret 입력필드에는서버가사용할공유비밀을입력하십시오. 브리지의공유비밀은서버의공유비밀과일치해야합니다. d. Timeout 입력필드에액세스포인트가백업서버와접속하려고시도해야시간을초단위로입력하십시오. 만일백업서버가주어진시간내에응답하지않으면액세스포인트는목록에있는다음백업서버와접속을시도합니다. 만일설정된백업서버가더이상없으면액세스포인트는원래의프라이머리인증서버와접속을시도합니다. e. 프라이머리서버에서선택된것과동일한인증방법을선택하십시오. 단계 3 OK 를클릭하시면자동적으로 Setup 페이지로돌아갑니다. 그림 4-13 는 Authenticator Configuration 페이지에서프라이머리인증서버와백업서버를구성한모습을보여주고있습니다. 4-36

관리자권한부여설정 그림 4-13: 프라이머리및백업서버와 Authenticator Configuration 페이지 관리자권한부여설정 관리자권한부여는액세스포인트관리시스템을권한이없는접근으로부터보호합니다. 액세스포인트관리시스템을보거나변경할수있도록권한이부여된사용자의목록을생성하려면액세스포인트의사용자관리페이지들을사용하십시오. 사용자관리페이지로가려면 Security Setup 페이지를사용하십시오. 그림 4-14 는 Security Setup 페이지를보여줍니다. 액세스포인트관리시스템을보거나변경할수있도록권한이부여된사용자의목록을생성하는것은클라이언트장치가액세스포인트와접속하는것에영향을미치지않습니다. 4-37

관리자권한부여설정 그림 4-14: Security Setup 페이지 Security Setup 페이지로가려면다음경로를따라가십시오 : 1. Summary Status 페이지에서 Setup 을클릭하십시오. 2. Setup 페이지에서 Security 를클릭하십시오. 권한이있는관리시스템사용자목록생성하기 액세스포인트관리시스템을보거나변경할수있도록권한이부여된사용자의목록을생성하려면다음단계들을수행하십시오 : 단계 1 Security Setup 페이지로가는경로를따라가십시오. 단계 2 Security Setup 페이지에서 User Information 을클릭하십시오. 그림 4-15 는 User Information 페이지를보여주고있습니다. 그림 4-15: User Information 페이지 4-38

관리자권한부여설정 단계 3 Add New User 를클릭하십시오. User Management 윈도우가나타납니다. 그림 4-16 은 User Management 윈도우를보여주고있습니다. 그림 4-16: User Management 윈도우 단계 4 새로운사용자의이름과암호를입력하십시오. 단계 5 새로운사용자에게부여하고자하는권한을선택하십시오. 권한은다음과같습니다 : Write-사용자는시스템설정을변경할수있습니다. 사용자에게 Write 권한을주면그사용자는자동적으로 Admin 권한을갖게됩니다. SNMP-사용자이름을 SNMP 커뮤니티이름으로지정합니다. SNMP 관리스테이션은 SNMP 오퍼레이션을수행하는데이 SNMP 커뮤니티이름을사용합니다. SNMP 커뮤니티가올바르게운영되기위하여 User Manager가활성화될필요는없습니다. SNMP 체크박스를선택하는것이사용자에게 SNMP write 권한을주지는않습니다 ; 그것은단지그사용자이름을 SNMP 커뮤니티이름으로지정하는것뿐입니다. 그사용자이름으로수행되는 SNMP 오퍼레이션은사용자에게부여된다른권한에따라제한을받습니다. Ident- 사용자는액세스포인트의아이덴티티설정 (IP address 및 SSID) 을바꿀수있습니다. 사용자에게 Ident 권한을부여하면그사용자는자동적으로 Write 와 Admin 권한을가지게됩니다. Firmware- 사용자는액세스포인트의펌웨어를업데이트할수있습니다. 4-39

관리자권한부여설정 Firmware 권한을사용자에게부여하면그사용자는자동적으로 Write와 Admin 권한을가지게됩니다. Admin-사용자는대부분의시스템스크린을볼수있습니다. 사용자에게모든시스템스크린을볼수있고시스템을변경할수있는권한을주려면 Write 권한을선택하십시오. 단계 6 Apply를클릭하십시오. User Management 윈도우가사라지고 User Information 페이지의사용자목록에새로운사용자의이름이나타납니다. 단계 7 Security Setup 페이지로돌아가기위해브라우저의 Back 버튼을클릭하십시오. Security Setup 페이지에서 User Manager를클릭하십시오. User Manager Setup 페이지가나타납니다. 그림 4-17 은 User Manager Setup 페이지를보여주고있습니다. 그림 4-17: User Manager Setup 페이지 단계 8 액세스포인트관리시스템의사용을사용자목록에있는사용자들에게로제한하려면 User Manager: Enabled 를선택하십시오. 사용자매니저를가동하기전에 write, identity 및 firmware 권한을가진관리자유저를생성해놓아야합니다. 관리시스템에더많은제한을두려면 User Manager Setup 페이지의다른설정들을사용하십시오 : Allow Read-Only Browsing without Login- 모든사용자가액세스포인트의기본화면들을볼수있게하려면 yes 를선택하십시오. 모든액세스포인트화면에대한접근을사용자목록에있는사용자들에게로제한하려면 no 를선택하십시오. 4-40

관리자권한부여설정 Protect Legal Credit Page- 사용자목록에있는사용자들만 Legal Credits 페이지로접근할수있게하려면 yes 를선택하십시오. 모든사용자가 Legal Credits 페이지를볼수있게하려면 no 를선택하십시오. 단계 9 OK 를클릭하면자동적으로 Security Setup 페이지로돌아가게됩니다. 4-41