선택할 eap 방법입니다. 인증 체계

인증 프로세스에는 세 가지 주요 참여자가 있습니다.

• Authenticator(영어 인증자) - 인증이 필요한 프로세스의 참여자(WiFi 액세스 포인트, 스위치 등).
• 노드 또는 클라이언트(영어 피어) - 인증될 프로세스의 참가자(컴퓨터, 랩톱, 전화 등).
• 인증 서버(eng. 인증 서버) - 노드의 일부 데이터에 따라 인증할 수 있는 프로세스 참가자.

경우에 따라 인증 서버와 인증자는 EAP-PSK 방식을 사용하는 가정용 기기와 같이 동일한 기기일 수 있습니다. 일반적으로 인증 절차는 다음과 같습니다.

1. 인증자는 클라이언트 인증을 시작하기 위해 EAP 요청을 보냅니다. 유형 필드의 요청에는 사용할 방법(EAP-TLS, EAP-PSK 등)에 대한 정보가 포함됩니다. 인증자가 이 요청을 보낼 필요는 없습니다. 예를 들어 클라이언트가 연결된 포트에 대한 인증이 필요하지 않은 경우 클라이언트는 인증 절차를 시작하기 위해 시작 유형에 해당하는 코드 필드가 포함된 패킷을 보내야 합니다.
2. 인증자로부터 유효한 요청이 있는 경우 클라이언트는 인증자에게 EAP 응답을 보냅니다. 응답에는 요청의 유형 필드에 해당하는 유형 필드가 포함됩니다.
3. 인증자는 사용 중인 인증 방법에 대한 정보를 전달하여 인증 서버에 요청을 보냅니다.
4. 인증 서버는 인증자를 통해 클라이언트에 필요한 정보를 요청하며, 이때 인증자는 실제로 프록시 역할을 합니다.
5. 클라이언트는 요청된 정보로 서버에 응답합니다. 항목 4와 5는 인증 서버가 액세스 허용, 거부 또는 오류를 결정할 때까지 반복됩니다.
6. 인증 서버는 인증 성공 또는 실패를 나타내는 패킷을 인증자에게 보냅니다.
7. 인증자는 인증 서버의 응답(EAP-성공 또는 EAP-실패)에 해당하는 코드와 함께 패킷을 EAP 클라이언트에 보냅니다.

EAP 패키지 코드 요약표:

행동 양식

뛰다

경량 확장 인증 프로토콜(영어) 경량 확장 인증 프로토콜 ), IEEE가 802.11i 보안 표준을 비준하기 전에 Cisco에서 개발한 방법입니다. Cisco는 업계에서 별도의 산업 표준이 없기 때문에 802.1X 프로토콜 및 동적 WEP의 일부로 CCX(Cisco Certified Extensions)를 통해 프로토콜을 배포했습니다. Windows 제품군의 운영 체제에는 LEAP 프로토콜에 대한 지원이 내장되어 있지 않지만 프로토콜 지원은 타사 클라이언트 프로그램(대부분 무선 장비와 함께 제공됨)에서 광범위하게 지원됩니다. Windows의 LEAP 지원은 LEAP 및 EAP-FAST 프로토콜을 지원하는 Cisco 클라이언트 소프트웨어를 설치하여 추가할 수 있습니다. 다른 많은 WLAN 장비 제조업체도 LEAP 프로토콜의 보급률이 높기 때문에 LEAP 프로토콜을 지원합니다.

LEAP는 사용자 및 암호 정보가 쉽게 손상되는 취약한 보안 인증 프로토콜인 MS-CHAP 프로토콜의 수정된 버전을 사용합니다. 2004년 초에 Joshua Wright는 ASLEAP라고 하는 LEAP 프로토콜에 대한 익스플로잇을 작성했습니다. 해킹은 먼저 암호 해시 외에도 요청 및 응답의 모든 요소가 암호화되지 않은 상태로 전송되거나 네트워크를 통해 전송되는 데이터를 기반으로 쉽게 계산된다는 사실에 기반합니다. 이는 메시지 가로채기 공격자가 재인증을 위해 암호 해시를 얻는 것으로 충분하다는 것을 의미합니다. 둘째, 키 생성이 잠재적으로 취약합니다. 5바이트를 0으로 채우는 것은 마지막 키의 키 공간이 2 16 임을 의미합니다. 마지막으로 동일한 일반 텍스트가 두 개의 키로 암호화됩니다(해시를 서버에 보낼 때와 응답할 때). 이는 2 56의 복잡성으로 두 키를 모두 해독할 수 있음을 의미합니다. 공격자가 모든 키를 가지고 있으면 재인증하기에 충분한 암호 해시를 얻습니다(자세한 내용은 MS-CHAP 참조).

이 방법에 대한 기본 제공 지원은 Windows 제품군(Windows 2000 SP4부터 시작), Linux 및 Mac OS X(버전 10.3부터)의 모든 운영 체제에서 사용할 수 있습니다.

HTTPS와 같은 다른 많은 TLS 구현과 달리 대부분의 EAP-TLS 구현에는 클라이언트에 사전 설치된 X.509 인증서가 필요하므로 표준에서 이를 요구하지 않지만 요구 사항을 비활성화할 수 있는 옵션이 없습니다. 이것은 "개방"의 배포를 방지할 수 있지만 암호화된 포인트 무선 액세스. 2012년 8월 hostapd 및 wpa_supplicant는 EAP의 기본 인증 방법인 UNAUTH-TLS에 대한 지원을 추가했으며 2014년 2월 25일에는 서버만 인증하는 인증 방법인 WFA-UNAUTH-TLS에 대한 지원을 추가했습니다. 이렇게 하면 무선 액세스 포인트가 무료 연결을 허용하지만(즉, 클라이언트 인증이 필요하지 않음) HTTPS를 통해와 동일한 방식으로 EAP-TLS를 통해 작업할 수 있지만 트래픽(IEEE 802.11i-2004, 즉, WPA2)이며 필요한 경우 통과 인증을 허용합니다. 또한 표준에는 타사 EAP 방법이 아닌 표준 IETF EAP-TLS 프로토콜을 사용하여 서버만 인증하는 EAP-TLS 방법의 가용성을 알리기 위해 액세스 포인트에서 IEEE 802.11u를 사용하는 제안이 포함되어 있습니다.

클라이언트 측에서 사전 설치된 인증서에 대한 요구 사항은 EAP-TLS 방식의 보안이 높은 이유 중 하나이며 보안을 위해 편의성을 희생한 예입니다. EAP-TLS를 깨기 위해서는 사용자의 비밀번호를 손상시키는 것만으로는 충분하지 않으며, 성공적인 공격을 위해서는 공격자가 사용자에 해당하는 클라이언트 인증서도 소유해야 합니다. 스마트 카드에 클라이언트 인증서를 저장하면 최상의 보안을 얻을 수 있습니다.

EAP-TTLS

터널 전송 계층 보안(터널을 통한 전송 계층 보안), TLS 방법의 기능을 확장하는 EAP 방법. Funk Software와 Certicom에서 개발했으며 대부분의 플랫폼(Windows 8 이상)에서 상당히 잘 지원됩니다. 윈도우 모바일버전 8.1 이후).

클라이언트는 CA에서 서명한 PKI 인증서를 사용하여 서버에서 인증할 수 있지만 필수는 아닙니다. 선택적 클라이언트 인증은 각각에 대해 개별 인증서를 생성하고 설치할 필요가 없기 때문에 설정 절차를 크게 단순화합니다.

CA 및 선택적으로 클라이언트-서버가 서명한 인증서를 사용하여 클라이언트가 서버를 인증한 후 서버는 결과 보안 연결(터널)을 사용하여 클라이언트를 추가로 인증할 수 있습니다. 터널을 통해 MITM 공격 및 "도청"으로부터 보호되는 채널용으로 설계된 인증 프로토콜을 사용할 수 있습니다. EAP-TTLS 방식을 사용할 경우 인증에 사용되는 정보가 모두 투명하게 전송되지 않아 해킹이 더욱 어렵다.

EAP-PSK

사전 공유 키, 상호 인증 및 세션 키 교환을 위해 미리 합의된 키를 사용하는 RFC 4764에 정의된 방법입니다. 이 방법은 IEEE 802.11과 같은 안전하지 않은 네트워크에서 작동하도록 설계되었으며 성공적으로 인증되면 클라이언트와 액세스 포인트 사이에 안전한 양방향 연결을 제공합니다.

EAP-PSK는 실험용 RFC에 문서화되어 있으며 비대칭 암호화를 사용하지 않는 가볍고 확장 가능한 EAP 방법을 제공합니다. 이 방법은 상호 인증을 위해 4개의 메시지(최소 가능한 수)가 필요합니다.

"EAP"기사에 대한 리뷰 작성

메모

EAP를 특징짓는 발췌문

다음날, 단 한 명의 백작에게 작별 인사를하고 숙녀들이 떠날 때까지 기다리지 않고 Andrei 왕자는 집으로 돌아갔습니다.
안드레이 왕자가 집으로 돌아오는 그 자작나무 숲으로 다시 차를 몰고 갔을 때는 이미 6월 초였습니다. 그 자작나무 숲에서 이 오래되고 꼬인 참나무가 그를 그토록 이상하고 기억에 남게 쳤습니다. 종소리는 한 달 반 전보다 숲에서 훨씬 더 작게 울렸다. 모든 것이 가득 차고 그늘지고 빽빽했습니다. 그리고 숲 전체에 흩어져 있는 어린 가문비나무는 전체적인 아름다움을 해치지 않았고, 일반적인 성격을 모방하여 보송보송한 어린 싹으로 부드럽게 녹색으로 변했습니다.
온종일 더웠고, 어디선가 천둥번개가 치고 있었지만, 도로의 먼지와 즙이 많은 잎사귀에는 작은 구름만이 튀었습니다. 숲의 왼쪽은 그림자로 어두웠다. 오른쪽은 축축하고 광택이 나는, 햇빛에 빛나고 바람에 약간 흔들리고 있습니다. 모든 것이 꽃이 피었습니다. 나이팅게일은 짹짹 소리를 내며 이제는 가까이, 이제는 멀리 굴러갔습니다.
"예, 여기이 숲에 우리가 동의 한이 오크가있었습니다."라고 Andrei 왕자는 생각했습니다. "예, 그는 어디에 있습니까?"Andrei 왕자는 길의 왼쪽을보고 그것을 알지 못하고 그를 알아보지 못하고 그가 찾고 있던 오크에 감탄했습니다. 완전히 변형된 오래된 참나무는 즙이 많은 짙은 녹색의 텐트처럼 펼쳐져 있었고 저녁 태양 광선에 살짝 흔들리며 흥분했습니다. 서투른 손가락도, 상처도, 오랜 불신과 슬픔도 없었습니다. 아무것도 보이지 않았습니다. 100년 된 딱딱한 나무 껍질 사이로 즙이 많고 어린 잎사귀가 엉겨붙지 않고 부서져서 이 노인이 생산했다는 것이 믿기지 않을 정도였습니다. "예, 이것은 같은 오크 나무입니다."Andrei 왕자는 생각했고 갑자기 봄의 기쁨과 갱신의 느낌이 갑자기 그를 덮쳤습니다. 그의 인생의 모든 최고의 순간이 갑자기 동시에 그에게 기억되었습니다. 그리고 높은 하늘을 가진 Austerlitz와 그의 아내의 죽고 모욕적인 얼굴, 페리에 탄 피에르, 그리고 밤과 이 밤과 달의 아름다움에 흥분한 소녀, 그리고 이 모든 것이 갑자기 그에게 다가왔습니다. 정신.
"아니요, 인생은 31 세에 끝나지 않았습니다. 갑자기 Andrei 왕자는 변경없이 완전히 결정했습니다. 나는 내 안에있는 모든 것을 알고있을뿐만 아니라 모든 사람이 이것을 알아야합니다. Pierre와 하늘로 날고 싶었던이 소녀 모두가 나를 알아야합니다. 그래서 내 인생이 혼자가되지 않도록 그들이 내 삶과 너무 독립적으로 사는 것이 아니라 그것이 모든 사람에게 반영되고 그들 모두가 나와 함께 산다는 것을!

여행에서 돌아온 안드레이 왕자는 가을에 상트 페테르부르크에 가기로 결정했고이 결정에 대한 다양한 이유를 생각해 냈습니다. 그가 왜 상트페테르부르크에 가서 봉사해야 했는지에 대한 합리적이고 논리적인 일련의 논증은 매 순간 그의 봉사를 위한 준비가 되어 있었습니다. 한 달 전만 해도 그는 마을을 떠나야 한다는 생각이 어떻게 그에게 떠오를 수 있는지 이해하지 못했던 것처럼 지금도 그는 삶에 적극적으로 참여할 필요성을 어떻게 의심할 수 있는지 이해하지 못했습니다. 그에게는 인생의 모든 경험이 헛되이 헛된 것이요 말도 안되는 소리가 되었을 것이 분명해 보였습니다. 그는 똑같은 빈약한 이성적 논증에 기초하여, 인생의 교훈을 얻은 후에 다시 유용할 가능성과 가능성이 있다고 믿게 된다면 굴욕을 당할 것이 분명하다는 것이 이전에는 어떻게 명백했는지조차 이해하지 못했습니다. 행복과 사랑의. 이제 내 마음은 나에게 다른 것을 말하고 있었다. 이 여행 후 Andrei 왕자는 시골에서 지루해지기 시작했고 그의 이전 활동은 그에게 관심이 없었으며 종종 사무실에 혼자 앉아 일어나 거울에 가서 오랫동안 자신의 얼굴을 보았습니다. 그런 다음 그는 몸을 돌려 죽은 리사의 초상화를 바라보았는데, 그는 곱슬머리로 [그리스어로] 푹신한 곱슬머리를 하고 황금 프레임에서 그를 부드럽고 유쾌하게 바라보았습니다. 그녀는 더 이상 남편에게 이전의 끔찍한 말을하지 않았고 호기심으로 그를 간단하고 즐겁게 보았습니다. 그리고 Andrei 왕자는 두 손을 뒤로 접은 채 오랫동안 방을 서성거리며 이제 눈살을 찌푸리며 미소를 지으며 피에르, 명성, 창가의 소녀와 관련된 불합리하고 말로 표현할 수 없는 비밀스러운 생각을 다시 생각합니다. , 참나무와 함께, 그의 인생 전체를 바꾼 여성의 아름다움과 사랑으로. 그리고 누군가가 그에게 올 때 그는 특히 건조하고 단호하고 특히 불쾌하게 논리적이었습니다.
- Mon cher, [My Dear,] - Mary Princess는 그런 순간에 입장한다고 말하곤 했습니다. - Nikolushka는 오늘 산책을 갈 수 없습니다. 매우 춥습니다.
- 따뜻하다면 - 그런 순간에 Andrei 왕자는 여동생에게 특히 건조하게 대답했습니다. - 그러면 그는 한 셔츠를 입을 것이고 춥기 때문에 이것을 위해 발명 된 따뜻한 옷을 입어야합니다. 날씨가 춥고 아이가 공기가 필요할 때 집에만 있는 것이 아니라 "그 안에서 일어난 이 모든 비밀스럽고 비논리적인 내면의 일에 대해 누군가를 처벌하는 것처럼 그는 특별한 논리로 말했다. Marya 공주는 이러한 경우에 이 정신 작업이 인간을 건조하게 만드는 방법에 대해 생각했습니다.

안드레이 왕자는 1809년 8월 상트페테르부르크에 도착했습니다. 젊은 Speransky의 영광과 그가 수행 한 쿠데타의 에너지가 전성기였습니다. 바로 이 8월에 마차를 타고 있던 군주가 쫓겨나 다리를 다쳤고 3주 동안 페테르호프에 머물면서 매일 그리고 독점적으로 스페란스키를 보았습니다. 당시 사회에 경악할 정도로 유명하고 두려운 두 가지 법령이 재판소 계급의 파괴와 대학 평가원 및 국무원 계급 시험에 대해 준비되고 있었을뿐만 아니라 변경되어야 할 국가 헌법 전체에 대해서도 준비되어있었습니다. 러시아 정부의 기존 사법, 행정 및 재정 질서는 국무원에서 volost 이사회까지입니다. 이제 Alexander 황제가 왕위에 올랐고 그가 농담으로 comite du salut publique라고 불렀던 그의 조수인 Czartoryzhsky, Novosiltsev, Kochubey 및 Strogonov의 도움으로 실현하고자 했던 그 모호하고 자유로운 꿈이 이제 실현되고 구체화되었습니다. . [공안위원회.]
이제 민간 부문의 Speransky와 군대의 Arakcheev가 모두를 함께 대체했습니다. 도착한 직후 안드레이 왕자는 체임벌린으로 법원에 나타나 나갔다. 군주는 그를 두 번 만났을 때 한 마디로 그를 존경하지 않았습니다. 안드레이 왕자는 이전에도 항상 군주에게 반감을 갖고 그의 얼굴과 그의 온 존재가 군주에게 불쾌한 것처럼 보였습니다. 군주가 그를 바라보는 건조하고 먼 시선에서 안드레이 왕자는 이전보다 훨씬 더 이 가정에 대한 확인을 발견했습니다. 궁정은 안드레이 왕자에게 볼콘스키가 1805년 이후로 복무하지 않았다는 사실에 대해 폐하가 불만을 품었다는 사실로 군주가 그에게 무관심했다고 설명했습니다.
"나는 우리가 좋아하고 싫어하는 것이 얼마나 무력한지 알고 있습니다."라고 Andrei 왕자는 생각했습니다. 따라서 개인적으로 군주에게 군사 규정에 대한 메모를 제출하는 것에 대해 생각할 것은 없지만 문제는 스스로 말할 것입니다. 그는 아버지의 친구인 늙은 야전 원수에게 메모를 전달했습니다. 야전 원수는 그에게 한 시간을 지정하여 친절하게 그를 맞이하고 군주에게보고하기로 약속했습니다. 며칠 후 Andrei 왕자는 그가 전쟁 장관인 Arakcheev 백작 앞에 나타나야 한다고 발표했습니다.
지정된 날 아침 9시에 Andrei 왕자가 Arakcheev 백작의 응접실에 나타났습니다.
개인적으로 Andrei 왕자는 Arakcheev를 알지 못했고 그를 본 적도 없었지만 그에 대해 아는 모든 것이 이 사람에 대한 존경심을 거의 불러일으키지 않았습니다.
“그는 주권 황제의 측근인 전쟁 장관입니다. 아무도 그의 개인 재산에 관심을 가져서는 안 됩니다. 그는 내 메모를 고려하라는 지시를 받았으므로 혼자서 실행할 수 있습니다. "라고 Andrei 왕자는 Arakcheev 백작의 대기실에서 중요하고 중요하지 않은 많은 사람들 사이에서 기다리고 있다고 생각했습니다.
안드레이 왕자는 주로 부관으로 복무하는 동안 중요한 사람들의 환영을 많이 보았고 이러한 환영의 다양한 성격은 그에게 매우 분명했습니다. Arakcheev 백작은 그의 응접실에서 매우 특별한 캐릭터를 가지고 있었습니다. Arakcheev 백작의 대기실에서 청중을 위해 줄을 서서 기다리고 있는 중요하지 않은 얼굴들에는 수치심과 겸손함이 쓰여 있었습니다. 보다 공식적인 얼굴에는 자신, 자신의 위치 및 예상되는 사람에 대한 허풍과 조롱의 모습으로 숨겨진 한 가지 일반적인 어색함이 표현되었습니다. 일부는 사려 깊게 앞뒤로 걸었고, 다른 일부는 속삭이듯 웃었다. Andrei 왕자는 Sila Andreich의 속담[비웃는 별명]과 아라크체프 백작을 언급하는 "삼촌이 물을 것입니다"라는 말을 들었습니다. 한 장군(중요한 사람)은 너무 오래 기다려야 한다는 사실에 기분이 상한 듯 다리를 꼬고 앉아 자신에게 경멸적인 미소를 지었습니다.
그러나 문이 열리자 모든 얼굴에 단 한 가지, 즉 두려움이 즉시 표현되었습니다. 안드레이 왕자는 장교에게 자신에 대해 한 번 더 보고해 달라고 부탁했지만 조롱의 눈초리로 그를 바라보며 차례가 올 것이라고 말했다. 부관이 장관의 사무실에서 여러 사람을 데려왔다가 내보낸 후, 한 장교가 끔찍한 문을 통해 들어왔고, 안드레이 왕자는 창피하고 겁에 질린 표정으로 공격했습니다. 장교의 청중은 오랫동안 계속되었습니다. 갑자기 문 뒤에서 불쾌한 목소리가 들리고, 입술이 떨리는 창백한 장교가 머리를 움켜쥐고 응접실을 빠져나왔다.
그 후, 안드레이 왕자는 문으로 인도되었고, 의무 장교는 속삭이듯 말했다: "오른쪽, 창으로."
안드레이 왕자는 가난하고 깔끔한 서재에 들어갔고 탁자에는 허리가 길고 머리가 짧고 주름이 굵고 사각형 위에 찡그린 눈썹이 있고 녹색의 둔한 눈과 교수형이 있는 40세의 남자가 있었습니다. 빨간 코. Arakcheev는 그를 쳐다보지도 않고 그를 향해 고개를 돌렸다.
– 무엇을 요구합니까? Arakcheev가 물었다.
"아무것도 묻지 않습니다, 각하." 안드레이 왕자가 조용히 말했다. 아라크체예프의 눈이 그에게로 향했다.
- 앉아 - Arakcheev가 말했다 - Bolkonsky 왕자?
"아무것도 바라지 않지만 황제는 내가 제출한 쪽지를 각하에게 보내기로 작정했습니다...
"당신이 원하신다면, 당신의 쪽지를 읽어 드리겠습니다." 아라크체프는 그의 얼굴을 쳐다보지도 않고 점점 더 투덜거리는 경멸적인 어조로 빠져들지 않고 첫 마디를 다정하게만 말하며 끼어들었다. 새로운 군사법을 제안합니까? 법은 많은데 옛 법을 지킬 사람이 없습니다. 요즈음은 모든 법이 성문으로 되어 있어 쓰는 것보다 쓰는 것이 더 쉽습니다.
- 나는 황제의 명령으로 제출된 쪽지에 어떤 과정을 줄 것인지를 각하에게 묻기 위해 왔습니다. 앤드류 왕자가 정중하게 말했다.
- 네 쪽지에 결의안을 써서 위원회에 보냈다. 나는 승인하지 않습니다. - Arakcheev가 일어나서 책상에서 종이를 가져갔습니다. - 여기! - 그는 안드레이 왕자에게 주었다.
종이에 그는 연필로 대문자없이 철자없이 구두점없이 다음과 같이 작성했습니다. .”
- 그 쪽지는 어느 위원회에 보냈습니까? 앤드류 왕자가 물었다.
-군사법규위원회에 위원으로서 귀족을 증정했습니다. 지불 없이만.
앤드류 왕자는 미소를 지었다.
- 그러고 싶지 않아.
"무급 회원입니다." Arakcheev가 되풀이했습니다. - 영광이 있습니다. 이봐 전화! 그밖에 누가? 그는 안드레이 왕자에게 절하며 소리쳤다.

위원회 위원으로 등록되었다는 통지를 기다리는 동안 안드레이 왕자는 특히 자신이 알고 있는 권력을 잡고 자신이 필요로 하는 사람들과의 오랜 지인들과 재회했습니다. 그는 지금 상트페테르부르크에서 그가 불안한 호기심에 괴로워하고 저항할 수 없이 더 높은 영역, 즉 미래가 준비되고 수백만의 운명이 달려 있는 더 높은 영역으로 이끌리던 전투 직전에 경험했던 것과 유사한 느낌을 경험했습니다. 그는 노인들의 분노에서, 미숙한 사람들의 호기심에서, 입문자들의 억제에서, 모든 사람의 서두름과 관심에서, 그가 매일 다시 배우는 수많은 위원회와 위원회의 수에서 느꼈습니다. , 지금, 1809년에 여기 상트페테르부르크에서 일종의 거대한 내전이 준비되고 있었는데, 그 중 총사령관은 그에게 알려지지 않았고 신비롭고 훌륭한 사람인 Speransky처럼 보였습니다. 가장 모호하게 알려진 변형 문제와 주요 인물인 Speransky 모두 그에게 열렬한 관심을 갖기 시작하여 군사 규정 문제가 곧 그의 마음에서 2차적인 장소로 넘어가기 시작했습니다.

오늘날 많은 사람들이 집이 있습니다. 와이파이 라우터. 실제로 무선으로 인터넷에 연결하는 것이 훨씬 더 쉽습니다. 랩톱, 태블릿 및 스마트 폰에는 사람보다 모든 가정에서 이혼이 더 많습니다. 그리고 그(라우터)는 본질적으로 정보 세계의 관문입니다. 정문을 읽으십시오. 그리고 초대받지 않은 손님이 당신의 허락없이 당신에게 올지 여부는이 문에 달려 있습니다. 따라서 무선 네트워크가 취약하지 않도록 라우터의 올바른 구성에 주의하는 것이 매우 중요합니다.

액세스 포인트의 SSID를 숨기는 것이 당신을 보호하지 못한다는 것을 상기시킬 필요는 없다고 생각합니다. MAC 주소로 접근을 제한하는 것은 효과적이지 않습니다. 따라서 최신 암호화 방법과 복잡한 암호만 있습니다.

왜 암호화합니까? 누가 나를 필요로 합니까? 난 숨길 게 없어

핀 코드가 도난당하더라도 그렇게 무섭지 않습니다. 신용 카드그리고 그녀에게서 모든 돈을 가져갑니다. 특히 누군가가 Wi-Fi 비밀번호를 알고 인터넷에서 귀하의 비용으로 앉아있을 경우. 그리고 그들이 당신이 보기 흉한 회사 파티에서 당신의 사진을 게시해도 그렇게 무섭지 않습니다. 공격자가 컴퓨터에 침입하여 어떻게 병원에서 아들을 데려갔는지, 어떻게 첫 걸음을 떼고 1학년이 되었는지에 대한 사진을 삭제하면 훨씬 더 공격적입니다. 백업은 별도의 주제이며 물론 수행해야합니다 ... 그러나 시간이 지남에 따라 명성을 회복하고 돈을 벌 수 있지만 소중한 사진은 더 이상 없습니다. 누구에게나 잃고 싶지 않은 것이 있다고 생각합니다.
라우터는 사설과 공용 사이의 경계 장치이므로 최대한 보호를 설정하십시오. 게다가 그렇게 어렵지도 않습니다.

암호화 기술 및 알고리즘

나는 이론을 포기한다. 작동 방식은 중요하지 않으며 가장 중요한 것은 사용할 수 있다는 것입니다.
무선 보안 기술은 WEP, WPA, WPA2의 연대순으로 발전해 왔습니다. 암호화 방법 RC4, TKIP, AES도 발전했습니다.
오늘날 보안 측면에서 최고는 WPA2-AES입니다. 이것이 Wi-Fi 설정을 시도하는 방법입니다. 다음과 같이 표시되어야 합니다.

WPA2는 2006년 3월 16일부터 의무화되었습니다. 그러나 때로는 여전히 지원하지 않는 장비를 찾을 수 있습니다. 특히 3차 서비스 팩이 설치되지 않은 컴퓨터에 Windows XP가 설치되어 있으면 WPA2가 작동하지 않습니다. 따라서 호환성을 위해 라우터에서 WPA2-PSK -> AES + TKIP 설정 및 기타 관리 항목을 찾을 수 있습니다.
그러나 장치 집합이 현대적이라면 WPA2(WPA2-PSK) -> AES를 오늘날 가장 안전한 옵션으로 사용하는 것이 좋습니다.

WPA(WPA2)와 WPA-PSK(WPA2-PSK)의 차이점은 무엇입니까?

WPA 표준은 사용자 인증 메커니즘의 기반으로 EAP(확장할 수 있는 인증 프로토콜)를 제공합니다. 인증을 위한 필수 조건은 네트워크 액세스 권한을 확인하는 인증서(티켓이라고도 함) 사용자가 제시하는 것입니다. 이 권한을 위해 사용자는 등록된 사용자의 특수 데이터베이스에 대해 확인됩니다. 인증이 없으면 사용자의 네트워킹이 금지됩니다. 등록된 사용자의 데이터베이스와 대규모 네트워크의 검증 시스템은 일반적으로 특수 서버(대부분 RADIUS)에 있습니다.
단순화된 사전 공유 키(WPA-PSK, WPA2-PSK)를 사용하면 라우터에 직접 저장된 단일 암호를 사용할 수 있습니다. 한편으로는 모든 것이 단순화되고 사용자 기반을 만들고 유지할 필요가 없으며 다른 한편으로는 모든 사람이 하나의 암호로 로그인합니다.
가정에서는 WPA2-PSK, 즉 WPA 표준의 단순화된 모드를 사용하는 것이 더 편리합니다. 와이파이 보안그러한 단순화를 겪지 않습니다.

Wi-Fi 액세스 비밀번호

여기에서는 모든 것이 간단합니다. 무선 액세스 포인트(라우터)의 비밀번호는 8자 이상이어야 하며 대소문자가 다른 문자, 숫자, 구두점을 포함해야 합니다. 그리고 그는 어떤 식 으로든 당신과 관련되어서는 안됩니다. 즉, 생년월일, 이름, 자동차 번호, 전화번호 등을 비밀번호로 사용할 수 없습니다.
WPA2-AES를 정면으로 깨는 것은 거의 불가능하기 때문에(실험실에서 시뮬레이션된 경우는 몇 개뿐) WPA2를 크랙하는 주요 방법은 사전 공격과 무차별 대입(모든 암호 옵션의 연속적인 열거)입니다. 따라서 암호가 복잡할수록 공격자가 가질 가능성이 줄어듭니다.

... 소련에서는 자동 사물함이 기차역에서 널리 사용되었습니다. 자물쇠의 코드 조합으로 문자 1개와 숫자 3개가 사용되었습니다. 그러나 첫 번째 버전의 저장 셀이 코드 조합으로 4자리를 사용했다는 사실을 아는 사람은 거의 없습니다. 차이점은 무엇입니까? 결국 코드 조합의 수는 동일합니다 - 10,000(만). 그러나 실습에서 알 수 있듯이(특히 모스크바 범죄수사국) 한 사람에게 4자리 숫자 조합을 저장실의 비밀번호로 사용하도록 요청받았을 때 많은 사람들이 (잊지 않기 위해) 자신의 생년월일을 사용했습니다. . 공격자가 성공적으로 악용한 것입니다. 결국, 국가 인구의 절대 다수의 생년월일의 처음 두 자리는 19로 알려졌습니다. 수하물을 체크인 한 사람의 대략적인 나이를 눈으로 결정해야하며 우리 중 누구라도 이것을 할 수 있습니다 정확도는 +/- 3년이고 나머지는 (더 정확하게는 공격자) 자동 사물함의 셀에 대한 액세스 코드를 선택하기 위한 10개 미만의 조합을 얻습니다.

가장 많이 사용되는 비밀번호

인간의 게으름과 무책임이 대가를 치릅니다. 다음은 가장 많이 사용되는 비밀번호 목록입니다.

1. 123456
2. 쿼티
3. 111111
4. 123123
5. 1a2b3c
6. 생일
7. 핸드폰 번호

비밀번호 보안 규칙

1. 각자에게. 즉, 라우터 암호는 다른 암호와 일치하지 않아야 합니다. 예를 들어 메일에서. 모든 계정에 고유한 암호가 있고 모두 다르다는 것을 규칙으로 만드십시오.
2. 추측할 수 없는 강력한 암호를 사용하십시오. 예: 2Rk7-kw8Q11vlOp0

~에 와이파이 비밀번호한 가지 큰 장점이 있습니다. 기억할 필요가 없습니다. 종이에 쓰고 라우터 바닥에 붙일 수 있습니다.

Wi-Fi 게스트 존

라우터에서 게스트 영역을 구성할 수 있는 경우. 그럼 꼭 하세요. WPA2와 강력한 암호로 자연스럽게 보호합니다. 그리고 이제 친구가 집에 와서 인터넷을 요청할 때 기본 비밀번호를 알려줄 필요가 없습니다. 또한 라우터의 게스트 영역은 주 네트워크와 격리되어 있습니다. 그리고 게스트 기기의 문제는 홈 네트워크에 영향을 미치지 않습니다.

안드레이 플라토노프

보안 무선 네트워크 구축: WPA-Enterprise, 802.1x EAP-TLS

무선 네트워크의 불안정성에 대한 수백 개의 기사가 있습니다. 더욱이, 많은 사람들이 완전히 동일하고 쓸모가 없습니다. 그들은 WEP가 나쁘고 MAC 주소가 쉽게 스푸핑된다고 말하며 결론적으로 다음과 같이 작성됩니다. WPA를 사용해야 합니다." 그리고 포인트. 이 자료에는 보안이 잘 된 무선 네트워크를 구성하기 위한 실용적인 안내서인 "점" 다음에 듣고 싶은 내용이 정확히 포함되어 있습니다.

안전하지 않은 Wi-Fi 보안

오늘날 보안, 안정성 및 운영 복잡성과 관련된 모든 문제에도 불구하고 802.11a/b/g 제품군의 무선 솔루션이 많은 기업, 가정 및 통신 사업자 네트워크의 인프라의 필수적인 부분이 되었습니다. 이는 부분적으로 이러한 문제의 대부분이 이제 Wi-Fi에서 과거의 일이 되었기 때문입니다. 무선 네트워크는 QoS, 스마트 안테나(MIMO 기술), 실제 속도 40Mbit / s에 도달했습니다(예: SuperG, Atheros의 SuperAG 기술). 또한 무선 네트워크의 보안을 보장하는 일련의 기술에도 큰 변화가 있었습니다. 이에 대해 더 자세히 이야기해 보겠습니다.

Wi-Fi가 엘리트 전용이었던 시절에는 WEP 암호화 및 MAC 필터를 사용하여 무선 네트워크를 보호했습니다. 이 모든 것이 빠르게 부족해졌으며 WEP는 정적 암호화 키와 인증 메커니즘의 부족으로 인해 안전하지 않은 것으로 인식되었으며 MAC 필터도 많은 보안을 제공하지 못했습니다. 모든 긴급한 보안 문제를 해결하기 위해 설계된 새로운 IEEE 802.11i 표준의 개발이 시작되었습니다. 802.11i의 중간에 WPA(Wi-Fi Protected Access)라는 일반 이름으로 일련의 기술이 등장했습니다. 이는 아직 준비되지 않은 802.11i 표준의 일부입니다. WPA에는 사용자 인증 수단, 동적 WEP 키(TKIP/MIC)를 사용한 암호화가 포함됩니다. 그리고 마침내 802.11i가 완성되었고 WPA2가 탄생했습니다. 위의 모든 것에 더 강력한 AES(Advanced Encryption Standard) 암호화에 대한 지원이 추가되었습니다. 이 암호화는 CCMP(Counter with Cipher Block Chaining Message Authentication Code Protocol) 보안 프로토콜과 함께 작동합니다. 이것은 WPA에서 TKIP의 고급 아날로그입니다. . WPA2는 점차 새로운 액세스 포인트 모델(예: D-Link DWL-3200AP)에 나타나기 시작했지만 지금까지는 다소 이국적입니다. 모든 WPA2 지원 제품은 WPA 지원 하드웨어와 역호환됩니다.

WPA와 WPA2에는 IEEE 802.1x 표준을 기반으로 하는 고급 무선 네트워크 액세스 제어가 포함되어 있습니다. 802.1x 아키텍처는 몇 가지 필수 논리적 요소를 사용합니다.

• 고객. 클라이언트는 인증 프로세스를 관리하는 클라이언트 컴퓨터의 프로그램인 요청자입니다.
• 인증자. 이것은 클라이언트와 인증 서버 사이의 중개자 역할을 하는 액세스 포인트입니다. 인증자는 유선 스위치일 수도 있습니다. 802.1x는 다양한 네트워크에서 사용됩니다.
• 인증 서버는 RADIUS 서버입니다.

IEEE 802.1x에서는 다양한 인증 방법과 알고리즘을 사용할 수 있습니다. 이는 특정 인증 방법에 해당하는 속성이 "포함"되는 EAP(확장할 수 있는 인증 프로토콜) 프로토콜 덕분에 가능합니다. 따라서 802.1x EAP에는 EAP-MD5, EAP-PEAP, EAP-LEAP, EAP-SIM 등 다양한 종류가 있습니다. 이 문서에서는 디지털 인증서를 기반으로 하는 무선 네트워크에서 인증 구현 - 802.1x EAP-에 대해 설명합니다. TLS. 이 방법은 기업 무선 네트워크에서 가장 자주 사용되며 보안 수준이 상당히 높습니다. 또한 EAP-TLS는 때때로 무선 공급자 네트워크의 주요 보안 방법 중 하나입니다.

802.1x EAP-TLS 인증

EAP-TLS는 SSL v3.0 프로토콜을 기반으로 하지만 기존 SSL 인증(예: 안전한 http 연결을 구성할 때 - HTTPS)과 달리 EAP-TLS는 클라이언트와 서버를 상호 인증합니다. 클라이언트(신청자)와 RADIUS 서버는 EAP-TLS 인증 방법을 지원해야 합니다. 액세스 포인트는 802.1x/EAP 인증을 지원해야 하며 특정 경우에 어떤 인증 방법이 사용되는지 알 필요가 없습니다. 아래 그림은 EAP-TLS를 사용하는 무선 네트워크에서 인증 과정을 보여줍니다.

여기에서 보안 무선 네트워크의 내부에 무엇이 있는지 대략적인 아이디어를 얻는 데 필요한 작은 서정적이고 이론적인 탈선을 완료하는 것이 적절합니다. 다음으로, 위에서 설명한 개념들의 실제적인 구현을 제안할 것이다. FreeRADIUS 패키지와 함께 FreeBSD 5.3을 실행하는 컴퓨터는 RADIUS 서버로 사용됩니다. OpenSSL 패키지는 PKI(공개 키 인프라) 인프라를 구성하는 데 사용됩니다. 전체 무선 네트워크는 저렴하고 안정적인 D-Link 무선 장비를 기반으로 합니다. Windows XP SP2가 클라이언트 컴퓨터에 설치되어 있다고 가정합니다. 이 운영 체제에는 요청자가 내장되어 있으며 최근 Microsoft 업데이트에는 WPA2에 대한 지원이 추가되었습니다.

OpenSSL 및 FreeRADIUS 설치 및 구성

FreeBSD 5.3 시스템에는 하나의 네트워크 카드가 설치되어 있고 포트 모음이 업데이트되었으며 Midnight Commander가 있고 컴퓨터 자체가 인터넷에 연결되어 있다고 가정합니다. 앞으로는 무선 네트워크가 192.168.0.0/24 마스크를 사용하여 기업 네트워크에 배포된다고 가정합니다.

먼저, 무선 네트워크 설정에 대해 몇 마디 말씀드린 후 RADIUS 서버와 통신하도록 D-Link DWL-2100AP를 구성하는 예를 들어 보겠습니다.

사무실 내 무선 네트워크는 일반적으로 유선 스위치에 연결된 여러 액세스 포인트(모든 범위가 소규모 셀로 분할됨)로 구성됩니다. 종종 WLAN을 구축하기 위해 포트(예: D-Link DES-1316K)에서 PoE(802.3af) 지원 기능이 내장된 스위치가 사용됩니다. 이들의 도움으로 사무실 곳곳에 흩어져 있는 액세스 포인트에 전원을 공급하는 것이 편리합니다. 인접 포인트는 서로 간섭하지 않도록 범위의 겹치지 않는 채널로 조정됩니다. 802.11b/g 장비가 동작하는 2.4GHz 대역에는 11채널 장비에 3개의 비중첩 채널이 있고 13채널 장비에 4가지 비중첩 채널을 선택할 수 있다. 밴드의 채널). 포인트들 D-링크 액세스 DWL-2100AP 및 DWL-2700AP는 13개 채널 중 하나에 튜닝할 수 있으며 또한 기능을 켤 수 있습니다. 오토 튜닝무료 채널에. 그래서 우리는 그것을 할 것입니다.

네트워크에 서비스 지역 전체를 이동하는 모바일 가입자가 있는 경우 동일한 무선 네트워크 이름(SSID)으로 모든 지점을 설정할 수 있습니다. 그러면 이전 지점에서 연결이 끊어지면 가입자가 자동으로 새 지점에 연결합니다. 동시에 그는 재인증을 받게 되며 신청자에 따라 몇 초 또는 그 이상이 소요됩니다. 이것이 네트워크 내에서 가장 단순한 비지능형 로밍이 구현되는 방식입니다. 또 다른 옵션: 각 지점에 자체 SSID가 있는 경우 무선 연결 속성에서 여러 무선 네트워크 프로필을 구성하고 "사용 가능한 모든 네트워크에 연결" 옵션을 선택할 수 있습니다. 따라서 연결이 끊어지면 클라이언트는 새 지점에 연결합니다.

RADIUS와 상호 작용하도록 DWL-2100AP를 구성합니다.

• 액세스 포인트의 웹 인터페이스로 이동합니다(이 작업을 수행하는 방법은 포인트 지침에 나와 있음). 즉시 TOOLS/ADMIN/탭에서 기본 비밀번호를 변경합니다.
• HOME / LAN 탭에서 client.conf에 지정된 IP 주소를 액세스 포인트(192.168.0.220)에 할당합니다.

• HOME/WIRELESS 탭에서 그림과 같이 모든 작업을 수행합니다. 삼; "Radius Secret" 필드에 client.conf의 주어진 지점에 해당하는 암호를 지정하십시오(우리는 "12345"로 지정했습니다).

나머지 액세스 포인트는 동일한 방식으로 구성되며 IP 주소, 채널(수동으로 설정한 경우) 및 "Radius Secret" 필드 값만 다릅니다.

인증서 만들기

먼저 PKI가 무엇인지에 대한 몇 가지 일반적인 단어입니다. 이것은 일종의 기반 시설이며, 각 주체에는 자신의 신원을 증명하는 고유한 디지털 인증서가 있습니다. 다른 것들 사이, 디지털 인증서비밀 키가 들어 있습니다. 그것으로 인코딩된 메시지는 해당 공개 키를 알면 해독할 수 있습니다. 반대로 공개키로 암호화된 메시지는 개인키로만 복호화할 수 있습니다. 각 PKI 주제에는 공개 키와 개인 키가 있습니다.

PKI 주체는 사용자 컴퓨터나 PDA이거나 네트워크 인프라의 다른 요소(라우터, 웹 서버, RADIUS 서버)가 될 수 있습니다. 이 전체 시스템의 머리에는 본체 CA(인증 기관)가 있으며, 모든 사람이 그를 신뢰하고 모든 사람이 그를 알고 있다고 가정합니다. 그는 인증서 서명에 참여하고 있습니다(인증서 소유자가 실제로 그가 주장하는 사람임을 증명함) ). 그는 인증서 요청을 수신하고 발급하기 위한 특별 서비스의 지원을 받습니다. 발행 및 취소된 모든 인증서의 번호는 특수 레지스터에 저장됩니다. 실제로 이 큰 농장은 모두 한 대의 컴퓨터에 들어가며 한 사람이 쉽게 관리할 수 있습니다.

인증서를 생성하기 위해 FreeRADIUS와 함께 제공되는 스크립트를 사용합니다.

• 먼저 자체 CA를 생성해 보겠습니다. 이를 위해 전자 서명, 공개 키뿐만 아니라 발행한 모든 인증서에 의해 서명됩니다.
• 그런 다음 서버 인증서를 만들고 RADIUS로 설정합니다.
• 마지막으로 클라이언트 컴퓨터에 설치할 인증서를 생성해 보겠습니다.

/usr/local/etc/raddb/CA 디렉토리를 만들고 /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ 폴더에서 CA.all 파일과 xpextensions 파일을 복사합니다. CA.all은 CA, 클라이언트 및 서버 인증서를 생성하는 대화형 스크립트입니다. Xpextensions는 EAP-TLS가 Windows 시스템에서 작동하는 데 필요한 Microsoft의 특수 "Extended Key Usage" 키가 포함된 파일입니다.

CA.all 파일을 엽니다.

• 1행에서 경로를 수정하십시오. 다음과 같아야 합니다.

SSL=/usr/local/openssl

• 32행에서 경로를 수정합니다. 다음과 같아야 합니다.

에코 "newreq.pem" | /usr/local/openssl/ssl/misc/CA.pl -newca

CA.all을 CA_users.all 파일에 복사합니다. 그런 다음 마지막 줄을 열고 48-64 줄의 텍스트를 남겨두고 나머지 줄을 삭제합니다. 나머지는 클라이언트 인증서가 생성되는 CA.all 섹션입니다. 여러 번 재사용하게 되므로 별도의 스크립트로 분리하는 것이 편리합니다. CA.all을 열고 48~64행을 삭제하고 별도의 스크립트에서 선택한 모든 것을 저장합니다.

참고: CA.all 및 CA_users.all 파일에는 인증서를 발급하고 해지할 때 추가 보안 수단으로 사용되는 "무엇이든" 비밀 암호가 포함되어 있습니다. 이 문구를 모르는 사람은 인증서에 서명하거나 취소할 수 없습니다. 원칙적으로 CA 운영자를 제외하고는 아무도 그것을 필요로 하지 않을 것입니다. 보안을 강화하려면 CA.all 및 CA_users.all 스크립트의 모든 "whatever"라는 단어를 자신이 발명한 암호로 바꿔야 합니다. 또한 eap.conf의 "private_key_password =what" 줄에 입력해야 합니다. 또한 모든 곳에서 "무엇이든" 암호를 변경하지 않고 그대로 두었다고 가정합니다. 클라이언트 및 서버 인증서를 생성할 때와 해지할 때 소개합니다.

CA 및 서버 인증서 생성

CA.all을 시작합니다. 대화식으로 생성하는 첫 번째 항목은 CA 루트 인증서(cacert.pem), 공개 개인 키 쌍(cakey.pem), PKCS#12 형식의 루트 인증서 공개 키(root.der), 서버 인증서(cert_srv .pem ) RADIUS로 설정할 것입니다. 나열된 모든 파일(목록에 없는 파일도 포함)은 CA 폴더에 나타납니다.

CA를 만듭니다("관리자"라고 함).

RADIUS에 대한 인증서 생성:

/raddb/CA/cert_srv.pem 및 /raddb/CA/demoCA/cacert.pem 파일을 /raddb/certs 폴더에 복사합니다. RADIUS 서버에 인증서를 설치했습니다.

클라이언트 인증서 만들기

CA_users.all 스크립트를 사용하여 클라이언트 인증서를 생성합니다. 예를 들어 user1 사용자에 대한 인증서를 생성해 보겠습니다.

• CA_users.all을 열고 그 안에 있는 모든 cert-clt.* 단어를 user1.*로 바꿉니다(이는 파일 이름으로 어떤 인증서가 어떤 사용자를 위한 것인지 구별하기 위해 필요합니다. 그렇지 않으면 동일한 파일 이름을 가진 인증서가 생성됩니다. ( cert-clt.*) 하지만 user1, user2,3,4,5)에 대해 한 번에 여러 인증서를 생성합니다. 또는 인증서가 포함된 파일의 이름(예: SergeyPetrov, IvanIvanov 등)을 사용할 수 있습니다.
• 비밀번호 - 3, 4행의 "whatever"는 목록과 같이 실제 비밀번호로 대체됩니다.

CA_users.all 파일

1| openssl req -new -keyout newreq.pem -out newreq.pem -days 730 -passin 패스:무엇이든 -passout 패스:무엇이든

2| openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key 무엇이든 -extensions xpclient_ext \

확장 파일 xpextensions -infiles newreq.pem

3| openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out user1.p12 -clcerts -passin 패스:무엇이든 -passout 패스:user1_password

4| openssl pkcs12 -in user1.p12 -out user1.pem -passin pass:user1_password -passout pass:user1_password

5| openssl x509 -inform PEM -outform DER -in user1.pem -out user1.der

예를 들어, "user1_password"를 입력하십시오. 이 암호는 사용자의 컴퓨터에 인증서를 설치할 때 묻는 메시지이므로 기억해야 합니다. 이것은 내가 말했듯이 인증서 발급과 관련된 작업에 대한 추가 인증 수단입니다.

• 스크립트를 저장하고 실행하면 user1.der, user1.pem, user1.p12라는 세 개의 파일이 생성됩니다. 후자는 Windows 클라이언트에 설치하기 위한 PKCS # 12 형식의 인증서입니다.

수정된 CA_users.all을 실행합니다. user1에 대한 인증서 생성:

국가 이름(2자리 코드):RU

이제 user2 사용자의 비밀번호를 생성합니다.

• CA_users.all을 열고 user1.*을 user2.*로 바꿉니다.
• 암호 "user1_password"를 "user2_password"로 바꿉니다(나중에 인증서를 설치할 수 있도록 기억하는 것을 잊지 마십시오).
• 스크립트를 저장하고 실행합니다. user2.p12 파일을 얻습니다.

user2에 대한 인증서 생성:

우리는 각 인증서를 별도의 플로피 디스크에 저장하고, 여기에 설치 암호("userX_password")를 쓰고, 동일한 플로피 디스크에 공개 키 root.der를 쓰고(모두에게 동일함) 사용자에게 발급합니다. 사용자는 자신의 컴퓨터에 인증서를 설치하고(자세한 내용은 나중에) 플로피 디스크를 금고에 넣습니다.

클라이언트 컴퓨터에 인증서 설치

그래서 사용자(우리가 user1이라고 명명한 사람)는 두 개의 파일 root.der와 user1.p12를 포함하는 플로피 디스크를 얻었습니다. 암호 "user1_password"도 디스켓에 기록됩니다.

root.der를 설치하여 시작하겠습니다.

• root.der 파일을 두 번 클릭하십시오.
• "인증서 설치"를 클릭하십시오.
• "다음"을 클릭하십시오.
• "모든 인증서를 다음 저장소에 저장" 옵션을 선택하고 "찾아보기"를 클릭합니다(그림 4).

• "신뢰할 수 있는 루트 인증 기관"을 선택하고 "확인"을 클릭합니다(그림 5).

• "다음"을 클릭한 다음 "마침"을 클릭하십시오.
• 보안 경고가 발행됩니다. "인증서가 "관리자 ...."에 속하는지 확인할 수 없습니다. 이 인증서를 설치하시겠습니까? "예"를 클릭하십시오.
• "가져오기가 성공적으로 완료되었습니다." 메시지가 표시되면 "확인"을 두 번 클릭합니다.

사용자 인증서 user1.p12를 설치합니다.

• user1.p12 파일을 두 번 클릭하고 "다음"을 두 번 클릭합니다.

• 여기에 user1 인증서에 대해 설정한 비밀번호를 입력해야 합니다. 우리의 예에서 이것은 "user1_pass-word"(글쎄, 또는 당신이 생각해낸 모든 것)이며, 인증서가 있는 플로피 디스크에 조건부로 기록됩니다. 입력하고 "다음"을 클릭하십시오.
• "다음"을 클릭한 다음 "마침"을 클릭합니다. "가져오기가 성공적으로 완료되었습니다"라는 메시지가 표시되면 "확인"을 클릭합니다.

참고: 설치한 모든 인증서는 "인증서 -> 현재 사용자(개인 -> 인증서)" 스냅인을 사용하여 MMC를 통해 볼 수 있습니다.

D-Link DWL-G650(DWL-G520/DWL-G120) 무선 어댑터 및 요청자 설정

D-Link DWL-G650은 CardBus 어댑터, DWL-G520은 PCI 어댑터, DWL-G120은 USB 어댑터입니다. 그것들은 정확히 동일하게 설정됩니다. DWL-G650을 예로 사용하는 절차를 고려하십시오.

• 우리는 어댑터를 상자에서 꺼내 옆에 둡니다. 키트와 함께 제공되는 디스크에서 드라이버를 설치합니다. 드라이버를 설치한 후 시작 시 어댑터 구성을 위한 기본 유틸리티를 제거합니다. 이 용도로 Windows XP에 내장된 무선 장비 구성 서비스를 사용하기 때문입니다. 어댑터를 컴퓨터에 삽입합니다.
• 줄이 그어진 무선 연결 아이콘(시스템 트레이)을 마우스 왼쪽 버튼으로 한 번 클릭한 다음 "고급 설정 변경" 항목을 선택합니다(그림 7).

• "무선 네트워크" 탭을 선택하고 무선 네트워크(megacompany_DWL-2100AP)를 선택하고 "속성"으로 이동합니다(그림 8).

• "연결" 탭의 "데이터 암호화" 드롭다운 메뉴에서 TKIP 프로토콜을 선택합니다. "인증" 탭으로 이동합니다(그림 9).

• 여기서 우리는 모든 것을 변경하지 않고 EAP의 "속성"으로 이동합니다(그림 10).

• 그림과 같이 스위치를 설정하십시오. 11, "신뢰할 수 있는 루트 인증 기관" 창에서 CA를 선택합니다. 이 CA를 관리자라고 합니다(모든 것이 "인증서 생성" 섹션에 설명된 대로 정확하게 수행된 경우).

• 만일을 대비하여 "인증서 보기"를 클릭하고 인증서 제공자가 누구인지 알아보십시오. 이것이 우리가 만든 회사 CA "관리자"인지 확인합니다(그림 12).

• 이 설정에서 "확인"을 클릭하십시오. 네트워크 카드그리고 신청자가 완료됩니다.

네트워크에서 WPA-Enterprise 작동 확인

이제 대망의 모든 설정이 작동 중인지 확인할 시간이 되었습니다. "radiusd -X" 명령을 사용하여 디버그 모드에서 FreeRADIUS를 시작하고 화면에서 다음을 확인합니다.

반경# 반경 -X

끝에는 다음과 같은 줄이 있습니다.

음, 또는 최악의 경우 FreeRADIUS가 시작되지 않은 이유가 기록되어 있습니다. 이런 일이 발생하더라도 절망하지 마십시오. 오류 메시지를 주의 깊게 살펴보고 모든 설정을 확인해야 합니다.

무선 네트워크 연결 아이콘을 클릭한 다음 "mega-company_DWL-2100AP"라는 이름의 무선 네트워크를 클릭합니다. 그런 다음 Radiusd가 실행 중인 모니터로 시선을 이동하고 성공적인 인증 프로세스가 표시됩니다(전체 서버 출력을 표시하지 않을 것입니다. 매우 크기 때문에 초기 및 마지막 줄만 표시합니다).

출력 시작:

출력 끝:

인증에 성공했으며 컴퓨터는 DHCP 서버에서 IP 주소를 수신하고 이제 무선 네트워크에서 작동할 수 있습니다. 그런데 컴퓨터에 여러 클라이언트 인증서가 설치된 경우(이 경우에도 발생) 신청자는 특정 인증에 사용할 인증서를 선택하도록 제안합니다.

인증서 해지

모든 것이 이미 명확한 것 같습니다. 보안 무선 네트워크가 이미 구축되었지만 실제로 이제 고려할 중요한 측면이 하나 더 있습니다. 이전에 인증서를 설치한 컴퓨터 중 하나(예: 직원 중 한 명의 개인 랩톱)에 대한 무선 네트워크 액세스를 거부해야 한다고 가정해 보겠습니다. 그 이유는 직원 해고, 감축 등 가장 평범한 것일 수 있습니다. 이 문제를 해결하려면 다음을 저장하는 레지스트리(/usr/local/etc/raddb/CA/demoCA/index.txt)에 표시해야 합니다. 서명된 모든 인증서 목록, 취소된 네트워크 액세스를 거부하려는 사용자의 인증서. 그런 다음 인증서 해지 목록(CRL - 인증서 해지 목록)을 생성(또는 이미 있는 경우 업데이트)해야 합니다. 그런 다음 사용자를 인증할 때 이 목록에 액세스하여 제공된 클라이언트 인증서가 포함되어 있는지 확인하는 방식으로 RADIUS를 구성합니다.

이전 실험에서 user1(Andrey Ivanov)과 user2(Mikhail Ivanov)에 대해 두 개의 인증서를 만들었습니다. 예를 들어 후자에 대한 무선 네트워크 액세스를 거부합시다. 다음 세 단계를 수행해 보겠습니다.

1 단계

레지스트리의 user2 인증서를 취소된 것으로 표시합니다. /usr/local/etc/raddb/CA에서 다음 명령을 실행합니다.

반경# openssl ca - user2.pem 취소

OpenSSL은 맹세하지만 우리가 필요로 하는 일을 합니다. 명령을 실행하는 동안 비밀 암호("무엇이든")를 입력해야 합니다. 동시에 인증서는 /raddb/CA/demoCA/index.txt에서 해지된 것으로 표시되며, 이를 확인하여 확인할 수 있습니다. 주어진 파일. 취소된 인증서에 해당하는 항목의 반대쪽에는 문자 "R"이 있습니다.

2 단계

해지 목록(CRL)을 만듭니다. 이미 존재하는 경우 업데이트됩니다. /usr/local/etc/raddb/CA에 있으므로 다음 명령을 실행합니다.

반경# openssl ca -gencrl -out ca.crl

다시 말하지만, 명령을 실행하는 동안 비밀 암호 "무엇이든"을 입력해야 합니다. 결과적으로 ca.crl 파일이 /raddb/CA/ 디렉토리에 나타납니다. 이것이 해지 목록입니다. 내부적으로는 암호화처럼 보이지만 다음과 같이 볼 수 있습니다.

반경# openssl crl -in ca.crl -text --noout

우리는 하나의 취소 된 인증서를 봅니다. 일련 번호 D734AD0E8047BD8D(user2라고도 함, Mikhail Ivanov라고도 함).

CRL의 중요한 속성은 만료 날짜입니다. 만료 날짜(업데이트: 2005년 6월 26일 23:33:19 GMT) 이전에 업데이트해야 합니다. CRL 유효 기간은 openssl.cnf 파일에서 설정할 수 있습니다(default_crl_days = 30).

3단계

해지 목록을 FreeRADIUS에 연결:

• /raddb/CA/ca.crl 파일을 /raddb/certs/에 복사합니다(이전 ca.crl이 있는 경우 해당 위치에 있음).
• /raddb/certs/로 이동하여 ca.crl을 cacert.pem 파일에 붙여넣습니다.

고양이 cacert.pem ca.crl > ca.pem

• TLS 파일 /raddb/eap.conf 섹션을 약간 변경하십시오.

# 여기서 cacert.pem을 ca.pem으로 변경했습니다.

CA_file = $(raddbdir)/certs/ca.pem

CA_path = $(raddbdir)/certs #이 줄을 추가

check_crl = yes # 그리고 이 줄

네트워크에서 user2 인증서로 컴퓨터를 인증해 보겠습니다. 인증은 통과되지 않고 user1은 증명이 필요한 무선 네트워크에 자유롭게 진입한다.

이제 보안 무선 네트워크가 구축된 것으로 간주할 수 있습니다.

인터넷을 적극적으로 사용하는 사람들의 수는 기업 목적의 직장과 관리, 가정, 공공 장소에서 비약적으로 증가하고 있습니다. 자유롭게 인터넷에 액세스할 수 있는 Wi-Fi 네트워크 및 장비가 널리 보급되고 있습니다.

Wi-Fi 네트워크는 공용 네트워크(카페, 레스토랑, 쇼핑 센터, 거리의 액세스 포인트)를 제외하고 특정 네트워크에 연결하는 것이 거의 불가능할지도 모르는 상태에서 비밀번호 형태로 보호됩니다. "실질적으로"는 문자 그대로 받아들여서는 안 됩니다. 네트워크를 "열고" 라우터 리소스뿐만 아니라 특정 네트워크 내에서 전송되는 데이터에도 액세스할 수 있는 충분한 기술자가 있습니다.

그러나 이 소개에서 우리는 Wi-Fi에 연결하는 것에 대해 이야기했습니다. 입증클라이언트 장치와 액세스 포인트가 서로를 발견하고 서로 통신할 수 있음을 확인할 때 사용자(클라이언트).

인증 옵션:

• 열려 있는 - 개방형 네트워크, 연결된 모든 장치가 한 번에 인증됨
• 공유- 연결된 기기의 진위 여부를 키/비밀번호로 확인해야 합니다.
• EAP- 연결된 장치의 진위 여부는 외부 서버에서 EAP 프로토콜을 통해 확인해야 합니다.

라우터 암호화: 방법 및 특성

암호화- 이것은 스크램블 알고리즘(scramble - 암호화, 혼합) 전송 데이터, 변경 및 암호화 키 생성

Wi-Fi용 장비가 개발되었습니다. 다른 유형암호화를 통해 해킹으로부터 네트워크를 보호하고 공개 액세스로부터 데이터를 보호할 수 있습니다.

현재까지 여러 암호화 옵션이 있습니다. 각각에 대해 더 자세히 살펴 보겠습니다.

다음 유형이 구별되며 가장 일반적입니다.

• 열려 있는;
• WPA, WPA2;

OPEN이라고만 불리는 첫 번째 유형은 이름에 인지에 필요한 모든 정보가 포함되어 있습니다. 이 모드에서는 데이터를 암호화하거나 네트워크 장비를 보호할 수 없습니다. 액세스 포인트가 영구적으로 열려 있고 이 유형을 선택하면 이를 감지할 모든 장치에서 사용할 수 있기 때문입니다. 이러한 유형의 "암호화"의 단점과 취약성은 분명합니다.

네트워크가 열려 있다고 해서 아무나 사용할 수 있는 것은 아닙니다. 이러한 네트워크를 사용하여 데이터를 전송하려면 사용된 암호화 방법과 일치해야 합니다. 그리고 그러한 네트워크를 사용하기 위한 또 다른 조건은 이 네트워크를 사용하는 것이 금지되거나 허용되는 장치를 인식하기 위해 사용자의 MAC 주소를 결정하는 MAC 필터가 없다는 것입니다.

WEP

WEP라고도 하는 두 번째 유형은 지난 세기의 90년대로 거슬러 올라가 모든 후속 유형의 암호화의 조상입니다. 오늘날 웹 암호화는 보호 구성을 위한 모든 기존 옵션 중 가장 취약합니다. 전문가가 만들고 사용자 개인 정보 보호를 고려한 대부분의 최신 라우터는 웹 암호화를 지원하지 않습니다.

단점 중에는 최소한 어떤 종류의 보호 기능이 있음에도 불구하고(OPEN과 비교하여) 비신뢰성이 두드러집니다. 특정 시간 간격 동안 활성화되는 단기 보호 때문입니다. 이 기간이 지나면 네트워크 암호를 쉽게 추측할 수 있으며 최대 1분 안에 wep 키가 해독됩니다. 이는 네트워크 장비의 특성에 따라 40~100비트로 변하는 웹키의 비트심도(Bit Depth) 때문이다.

wep 키의 취약점은 암호의 일부가 데이터 패킷과 함께 전송된다는 사실에 있습니다. 해커나 크래커와 같은 전문가의 패킷 가로채기는 수행하기 쉬운 작업입니다. 최신 소프트웨어 도구가 데이터 패킷을 가로챌 수 있고 이를 위해 특별히 설계되었다는 사실을 이해하는 것도 중요합니다.

따라서 웹 암호화는 네트워크 및 네트워크 장비를 보호하는 가장 신뢰할 수 없는 방법입니다.

WPA, WPA2

이러한 품종은 현재 보호 조직 측면에서 가장 현대적이고 완벽합니다. 그들은 아날로그가 없습니다. 사용자 친화적인 길이와 영숫자 wpa 키 조합을 설정할 수 있는 기능은 특정 네트워크를 무단으로 사용하거나 이 네트워크에서 데이터를 가로채려는 사람들의 삶을 매우 어렵게 만듭니다.

이러한 표준은 TKIP 및 AES 프로토콜의 상호 작용 후에 전송할 수 있는 다양한 암호화 알고리즘을 지원합니다. aes 암호화 유형은 tkip보다 고급 프로토콜이며 대부분의 최신 라우터에서 지원되고 적극적으로 사용됩니다.

wpa 또는 wpa2 암호화는 가정과 회사 모두에서 선호하는 유형입니다. 후자를 사용하면 두 가지 인증 모드를 사용할 수 있습니다. 특정 사용자의 공용 네트워크 액세스에 대한 암호 확인은 지정된 설정에 따라 PSK 또는 엔터프라이즈 모드를 사용하여 수행됩니다.

PSK는 라우터에 연결할 때 입력해야 하는 단일 암호를 사용하여 네트워크 장비 및 인터넷 리소스에 액세스하는 것을 포함합니다. 에 대해 선호되는 옵션입니다. 홈 네트워크, 연결은 작은 영역의 틀 내에서 수행됩니다. 특정 장치, 예: 모바일, 개인용 컴퓨터 및 노트북.

직원 수가 많은 회사의 경우 PSK는 편리한 인증 모드가 아니므로 두 번째 모드인 Enterprise가 개발되었습니다. 이를 사용하면 특별한 전용 서버에 저장될 많은 키를 사용할 수 있습니다.

WPS

정말 현대적이며 버튼 하나만 누르면 무선 네트워크에 연결할 수 있습니다. 암호나 키에 대해 생각하는 것은 무의미하지만 WPS를 사용한 네트워크 액세스와 관련하여 여러 가지 심각한 단점을 강조하고 고려할 가치가 있습니다.

이 기술을 이용한 접속은 8자의 키를 이용하여 이루어진다. 암호화 유형의 취약점은 다음과 같습니다. 크래커나 해커가 8자리 조합 중 4자리 이상을 사용할 수 있는 경우 네트워크에 액세스할 수 있는 심각한 오류가 있습니다. 이 경우 암호를 추측하려는 시도 횟수는 약 수천 번이지만 최신 소프트웨어의 경우 이 숫자는 우스꽝스럽습니다. WPS를 제 시간에 강제하는 프로세스를 측정하면 프로세스가 하루 이상 걸리지 않습니다.

이 취약점은 개선 단계에 있으므로 다음 장비 모델에서 수정할 수 있다는 사실은 주목할 가치가 있습니다. WPS 모드로그인 시도 횟수에 대한 제한이 도입되기 시작하여 이에 관심이 있는 사람들의 무단 액세스 작업이 상당히 복잡해졌습니다.

그럼에도 불구하고 전반적인 보안 수준을 높이기 위해 숙련 된 사용자는 고려 된 기술을 근본적으로 포기할 것을 권장합니다.

합산

네트워크 및 네트워크 내에서 전송되는 데이터의 보호를 구성하는 가장 현대적이고 진정으로 신뢰할 수 있는 방법은 WPA 또는 아날로그 WPA2입니다.

첫 번째 옵션은 특정 수의 장치 및 사용자가 가정에서 사용하는 경우에 선호됩니다.

두 가지 모드의 인증 기능이 있는 두 번째는 대기업에 더 적합합니다. 특정 수의 동적 암호가 회사의 현재 직원만 액세스할 수 있는 전용 서버에 저장되어 있기 때문에 직원이 퇴사할 때 암호와 키를 변경할 필요가 없다는 사실에 의해 사용이 정당화됩니다.

대부분의 고급 사용자는 가정용으로도 WPA2를 선호합니다. 장비 및 데이터 보호를 조직화하는 관점에서 이 암호화 방식은 오늘날 현존하는 암호화 방식 중 가장 발전된 방식입니다.

인기를 얻고 있는 WPS의 경우 이를 포기한다는 것은 이를 통해 전송되는 네트워크 장비와 정보 데이터를 어느 정도 확보한다는 의미다. 기술이 충분히 개발되어 WPA2와 같은 장점이 모두 없을 때까지는 사용하기 쉽고 편리해 보이지만 사용을 자제하는 것이 좋습니다. 결국, 네트워크의 보안과 그 안에서 전송되는 정보 배열은 대부분의 사용자에게 우선 순위입니다.

연락

개방형 인증, PSK 및 EAP와 같은 여러 WLAN 인증 방법을 살펴보겠습니다.

공개 인증

기본적으로 무선 장치 인증은 필요하지 않습니다. 모든 장치는 유형 및 소유권에 관계없이 연결을 설정할 수 있습니다. 그것은이라고 공개 인증. 공개인증은 학교, 인터넷 카페(식당) 등 공중무선망에서만 사용해야 한다. 네트워크에 연결한 후 다른 방법으로 인증을 수행할 네트워크에서 사용할 수 있습니다.

사전 공유 키(PSK)

모드를 사용할 때 PSK액세스 포인트와 클라이언트는 공유 키 또는 암호를 사용해야 합니다. 액세스 포인트는 클라이언트에 임의의 바이트 문자열을 보냅니다. 클라이언트는 이 문자열을 수신하고 키를 사용하여 암호화(또는 스크램블)하고 액세스 포인트로 다시 보냅니다. 액세스 포인트는 암호화된 문자열을 수신하고 해당 키를 사용하여 암호를 해독합니다. 클라이언트에서 수신한 암호 해독된 문자열이 클라이언트로 보낸 원래 문자열과 일치하면 클라이언트에 연결을 설정할 수 있는 권한이 부여됩니다.

이 경우 단방향 인증이 수행됩니다. 액세스 포인트는 연결된 노드의 세부 정보를 확인합니다. PSK는 호스트가 액세스 포인트를 인증할 것을 요구하지 않으며 호스트에 연결하는 사용자를 인증하지도 않습니다.

확장 가능한 인증 프로토콜(EAP)

EAP상호 또는 양방향 인증과 사용자 인증을 제공합니다. EAP 소프트웨어가 클라이언트 측에 설치된 경우 클라이언트는 RADIUS(원격 인증 전화 접속 사용자 서비스)와 같은 내부 인증 서버와 통신합니다. 이 내부 서버는 액세스 포인트와 독립적으로 작동하며 네트워크 액세스 권한이 있는 사용자 데이터베이스를 유지 관리합니다. EAP를 사용하는 경우 호스트뿐만 아니라 사용자가 사용자 이름과 암호를 제공해야 하며, 이는 RADIUS 서버의 데이터베이스에 대해 확인됩니다. 제공된 자격 증명이 유효하면 사용자가 인증된 것으로 간주됩니다.