[ 붙임 1] 유무선공유기보안가이드 2018 년 5 월
< 목차 > I. 공유기보안 2 1. 유무선공유기란? 2 2. 공유기보안의필요성 2 3. 공유기환경에서의해킹유형 3 II. 유무선공유기보안관리방법 5 1. 보안항목 5 2. 보안항목별조치방법 5 III. 제조사별공유기보안설정 10 1. iptime 10 2. D-Link 12 3. ZIO 15 4. NetTop 16 [ 붙임 1] 용어정리 18
I. 공유기보안 유무선공유기란? - PC, 스마트폰등다양한기기를인터넷에접속할수있도록연결해주는중간매개체 - 유무선공유기를통해선없이인터넷에접속할수있는무선랜환경구축이가능하여널리사용됨 [ 그림 1] 유무선공유기사용환경 공유기보안의필요성 - 보안을설정하지않은경우, 외부인이공유기를무단으로사용가능 - 해커가접속하여해킹, 개인정보유출등다양한보안사고발생가능 [ 그림 2] 공유기보안의필요성 - 2 -
공유기환경에서의해킹유형 (1) 이용자의중요한정보유출 - 보안이설정되지않은무선랜으로인터넷을이용할경우악의적인목적의사용자가접속하여비밀번호등개인의중요한정보를유출 [ 그림 3] 무선랜을통한개인정보유출 (2) 인터넷전화도청위험 - 보안이설정되어있지않거나취약한유무선공유기에접속하여인터넷전화를이용 할경우통화내용이도청이가능 [ 그림 4] 무선랜을통한통화내용도청 - 3 -
(3) 자신의유무선공유기가악의적으로이용될위험 - 보안이설정되지않은유무선공유기는해킹, 불법다운로드등에악용되거나, 바이러스, 악성코드등을유포하는경유지로활용 [ 그림 5] 무선랜을통한불법다운로드, 악성코드유포 (4) 악의적으로설치된무선랜에접속되어개인정보탈취 - 해커가개인정보탈취등의목적으로구축한무선랜에접속할경우사용자의개인정보가 유출될수있음 [ 그림 6] 불법무선랜이용에따른개인정보유출 - 4 -
II. 공유기보안관리방법 보안항목 번호내용비고 1 공유기물리적보호하기권고 2 공유기관리자모드접속암호변경하기필수 3 SSID 이름변경및숨김기능설정하기 SSID(Service Set IDentification) 권고 4 유무선공유기전파출력조정하기 권고 5 유무선공유기암호화설정하기 필수 6 주기적인공유기펌웨어업그레이드 권고 7 외부접속포트, Telnet, upnp, 등의불필요서비스는비활성화 권고 보안항목별조치방법 (1) 공유기물리적보호하기 - 유무선공유기의경우무선서비스를위해서장비가외부에노출될수밖에없음 - 공유기의설정을초기화하는 Reset 스위치가노출되어, 무단설정변경위함발생 - 별도의수납공간형태의분리공간에설치및추가잠금장치권고 - 사용하지않는무선공유기를켜놓을경우외부인이불법다운로드, 해킹등에악용 - 전원케이블을분리하거나, 스위치를 Off [ 그림 7] 유무선공유기의물리적보호 - 5 -
(2) 공유기관리자모드접속암호변경하기 - 유무선공유기에설치된초기비밀번호는공개되어있어타인이쉽게접속할수있음 - 인터넷의검색엔진에서쉽게제조사별초기비밀번호확인가능 - 암호설정기준 1 9자리이상사용 2 숫자및영문자, 특수문자혼용하여사용 3 일반단어가아닌한글-영타암호 ( 예 : 암호-dkagh) 의사용 4 주기적인암호변경 (3) SSID(Service Set IDentification) 이름변경및숨김기능설정하기 - SSID(Service Set IDentification) 은무선랜을구분하기위한이름 - SSID 이름을외부인이쉽게추측하기어렵게변경하여사용 - SSID 숨김은 SSID 보안설정과함께보안성을높이는기능 - SSID를숨김으로서외부인이자신의공유기를사용하지못하도록방어 [ 그림 8] 무선공유기 SSID 보안설정 (4) 공유기전파출력조정하기 - 무선공유기의전파출력을조정하지않아서사용범위밖에서쉽게접속하는위험 - 강의실또는연구실밖에서무단접속의위험 ( 복도또는건물밖에서접속 ) - 무선공유기를개인적으로사용할경우무선전파의출력을조정하여사용 - 6 -
(5) 공유기암호화설정하기 - 무선공유기사용시암호화 / 인증등보안기능미설정시외부인이무단사용가능 - 피해사항은인터넷이느려지거나, 개인정보유출등의해킹사고발생 - 무선공유기의인증 / 암호종류 : WPA2 필수사용 구분 WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access2) 인증 사전공유된비밀키사용 (64 비트, 128 비트 ) 사전에공유된비밀키를사용하거나별도의인증서버사용 사전에공유된비밀키를사용하거나별도의인증서버사용 암호방법 고정암호키사용 RC4 알고리즘사용 암호키동적변경 (TKIP) RC4 알고리즘사용 암호키동적변경 AES 등강력한아호알고리즘사용 보안성가장취약하여널리사용되지않음 WEP 방식보다안전하나불안전한 RC4 알고리즘사용 가장강력한보안기능제공 제조사별암호 / 인증설정방법은 Ⅲ. 제조사별공유기보안설정참고 1 OS 별공유기보안설정상태확인방법 : 보안종류확인 [ 그림 9] 무선네트워크공유기보안설정상태확인 [ 그림 10] 무선공유기연결방법 - 7 -
2 공유기관리화면접속 - 제조사별접속 IP 를확인 관리자접속 3 공유기의인증 / 암호설정 [ 그림 11] 무선공유기관리화면접속 - 무선보안설정 암호를통한보안설정선택 암호방법선택 [ 그림 12] 무선공유기관리화면접속 - 8 -
(6) 주기적인무선공유기펌웨어업그레이드 - 지속적으로발생하는해킹에대응하기위해서무선공유기펌웨어업그레이드필요 - 제조사홈페이지에서최신펌웨어를다운로드후무선공유기에설치 [ 그림 13] 무선공유기펌웨어업그레이드화면 (iptime) (7) 외부접속포트, Telnet, upnp, 등의불필요서비스는비활성화 - 외부원격지에서공유기설정관리를위한원격접속포트로직접불법접근이가능 - upnp, Telnet, FTP 등서비스사용시다수의취약점으로인한공격이발생가능 [ 그림 14] 무선공유기불필요서비스설정화면 - 9 -
III. 제조사별공유기보안설정 1. iptime 1) 보안설정방법 (1) Internet Explorer를실행한후주소창에 http://192.168.0.1를입력한후다음과같이무선공유기설정초기화면에접속합니다. 관리도구아이콘을클릭하여설정을진행합니다. (2) 다음과같이무선공유기설정초기화면에접속합니다. 1 관리도구아이콘을클릭하여설 정을진행합니다. (3) 2인증방법은 WPA2PSK를선택합니다. (*WPA2PSK : 가장안전한보안을제공 ) 3암호화방법은 AES를선택합니다. 4네트워크키를입력합니다. (* 영어, 숫자, 특수기호로조합된암호 8자리이상 ) 5적용버튼을클릭합니다. - 10 -
(4) 6 화면우측상단의저장버튼클릭후메시지창의확인버튼을클릭합니다. - 11 -
2. D-Link 1) 보안설정방법 (1) Internet Explorer를실행한후주소창에 http://192.168.0.1를입력한후다음과같이무선공유기설정초기화면에접속합니다. (2) 다음과같이무선공유기에서제공하는보안기능을설정합니다. 1 좌측메뉴부분의무선설 정메뉴를클릭합니다. 2 무선네트워크설정마법사버튼을클릭합니다. - 12 -
(3) 3" 수동으로 5GHz 대역네트워크이름설정 (SSID)" 을체크합니다. 4" 네트워크키를직접할당하십시오." 를선택합니다. 5다음버튼을클릭합니다. 6비밀번호를입력합니다. (* 영어, 숫자, 특수기호로조합된암호 8자리이상 ) 7다음버튼을클릭합니다. (4) 설정이완료되었으면입력하신정보를확인합니다. 1 입력하신정보와동일한지 SSID 와 Key 를확인합니다. - 13 -
2 다음버튼을클릭합니다. - 14 -
3. ZIO 1) 보안설정방법 (1) Internet Explorer를실행한후주소창에 http://192.168.0.1를입력한후다음과같이무선공유기설정초기화면에접속합니다. (2) 다음과같이무선공유기에서제공하는보안기능을설정합니다. 1좌측메뉴부분의무선설정메뉴클릭후상단의암호화탭을클릭합니다. 2암호화종류는 WPA2PSK를선택합니다. (WPA2PSK : 가장안전한보안을제공 ) 3WPA는 AES를선택합니다. 4WPA 암호 KEY를입력합니다. (* 영어, 숫자, 특수기호로조합된암호 8자리이상 ) 5적용버튼을클릭합니다. - 15 -
4. NetTop 1) 보안설정방법 (1) Internet Explorer를실행한후주소창에 http://192.168.0.1를입력한후다음과같이무선공유기설정초기화면에접속합니다. (2) 다음과같이무선공유기에서제공하는보안기능을설정합니다. 1좌측메뉴부분의무선설정의보안설정메뉴를클릭합니다. 2무선보안모드는 WPA2-PSK를선택합니다. (WPA2PSK : 가장안전한보안을제공 ) 3WPA는 AES를선택합니다. 4암호문자열에암호를입력합니다. (* 영어, 숫자, 특수기호로조합된암호 8자리이상 ) 5적용버튼을클릭합니다. - 16 -
- 17 -
[ 붙임 #1] 용어설명 구분중간자공격 (MITM, MIMA) AES (Advanced Encryption Standard) 설명 Man In The Middle attack 또는 Man In the Middle Attack 의약어로통신하고있는두당사자사이에들키지않게끼어들어당사자들이교환하는통신내용을바꾸거나도청하는공격기법이다. 미국국립표준기술연구소 (NIST) 가데이터암호화표준 (DES) 의차세대국제표준암호로대체하는순서공개형의대칭키암호방식이다. IEEE 802.11i 에서 AES 의 CCM 모드를이용한데이터암호화방식을정의하고있으며, 이는하드웨어암호기법을사용하여 TKIP 보다안전하다. EAP (Extensible Authentication Protocol) IEEE 802.1x 에서사용자인증을위해사용하는프로토콜이다. EAP 자체는실제인증프로토콜이아니지만확장성을지원하여내부적으로 MD5, 1 회용패스워드 (One-Time Password), 스마트카드, 전송계층보안 (EAP-TLS), 터널방식으로개량된 TLS(EAP- TTLS) 와같은인증방식을사용할수있게되어있다. 기업용또는공중무선랜환경등에서인증서버를이용한인증에사용된다. SSID (Service Set IDentifier) 무선랜을통해전송되는패킷헤더에붙는고유식별자로, 무선장치들이 BSS(Basic Service Set) 에접속할때사용하는텍스트데이터로무선랜이름에해당한다. SSID 는하나의무선랜을다른무선랜으로부터구분해주므로, 특정무선랜에접속하려는모든 AP 나무선장치들은반드시일정한 SSID 를사용해야만하며 SSID 가변경되면해당 BSS 에접속할수없다. TKIP (Temporal Key Integrity Protocol) UTP (Unshielded Twisted Pair wire, 비차폐연선 ) VLAN (Virtual LAN) WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2(Wi-Fi Protected Access 2 WEP 알고리즘의취약성을보완하기위해연구된기술이다. 패킷당키할당, 키값재설정등기존 WEP 방식에소프트웨어패치만으로안전성을개선한보안기술이다. 차폐연선과는달리외부의전계, 자계또는다른전송선에서유도되는전계, 자계로부터의영향을차단하기위해도전성물질이많은피복 (sheath) 을둘러싸지않은연선. 보통의구내전화선이나구내정보통신망 (LAN) 의전송매체로사용된다. 전송가능대역에따라카테고리 1~5 의 5 종류로분류되는데, LAN 에서널리사용되는것은카테고리 3, 4, 5 이다. 카테고리 3 은 10Mbps, 카테고리 4 는 16Mbps, 카테고리 5 는 100Mbps 의전송속도를보증한다. 비차폐연선을카테고리에따라흔히 UTP 3, UTP 4, UTP 5 등으로부른다. 가상의기능을가진근거리통신망 (LAN) 스위치혹은비동기전송방식의스위치를사용해서물리적인배선에구애받지않고동보패킷이전달되는범위를임의로나눈가상의근거리통신망이다. 초기무선랜보안설정방법으로유선랜과동등한수준의보안성제공의목적으로만들어진보안기술이다. 대칭키기반암호화기법으로, 현재는암호알고리즘자체의취약성이많이알려져있어사용이권고되지않는다. WEP 의취약성에대한대안으로발표한무선랜보안기술규격으로 IEEE802.11i 표준이완성되기전에단기간보안해결책으로 Wi-Fi alliance 에서제시한표준이다. TKIP 을통한암호화향상, EAP 를통한사용자인증등이포함된다. IEEE802.11i 규격의완성에따라, IEEE802.11i 규격을완전히수용하는표준으로서 WPA 와구분하기위해 WPA2 로불린다. AES-CCMP 를통한암호화기능향상, EAP 사용자인증강화등이포함된다. - 18 -