무선 AP와 동일한 네트워크 대역의 모든 호스트는 무선 AP가 동적으로 할당해주는 아이피 주소를 받아 내부 및 외부와 통신한다.
공격자가 회사에서 사용하는 무선 AP의 SSID, 네트워크 이름을 확인 후 네트워크 키를 획득하여 접속하면 내부 네트워크 대역의 모든 호스트의 정보를 훔쳐보거나 악성코드를 설치해 중요 정보를 획득할 수 있다. 또한, 허가 받지 않는 다른 팀의 내부 직원, 외부 업체 직원이 무선 AP에 접속할 수 있다.
이는 무선AP가 기본적으로 자신의 네트워크 이름, 네트워크 키만 알고 있다면 쉽게 외부와 통신할 수 있는 특성이 존재한다.
내부 직원이라도 직원 호스트의 MAC 주소를 확인하여 MAC 주소에 대응되는 아이피 주소만 외부와 통신할 수 있도록 설정해야 한다.
만약, 외부 업체에서 인터넷을 사용할 필요가 있을 경우, 해당 MAC 주소에 대응되는 아이피 주소를 무선 AP 설정에 등록하고, 작업이 모두 완료되면 해당 MAC 주소를 삭제한다.
※ MAC(Media Access Control) 주소
TCP/IP 4 Layer의 1계층(Network Access Layer)에 해당되며, 실질적으로 내부 네트워크 대역의 모든 호스트는 아이피 주소가 아닌 MAC 주소를 가지고 통신한다. MAC 주소는 호스트를 식별하는 고유한 값으로 16진수 12자리(AA-BB-CC-DD-EE-FF)로 구성된다.
※ MAC 주소 확인 방법
1. 윈도우키 > cmd 입력
2. cmd 창 > ipconfig /all 입력
3. 물리적 주소가 자신의 MAC 주소
무선으로 연결되어 있으면 상단에 "무선 LAN 어댑터 Wi-Fi"를 확인하면 되고, 유선으로 연결되어 있으면 상단에 "로컬 영역 연결"을 확인하면 된다.
※ MAC 주소 기반 접근 통제 무력화
무선 AP에서 MAC 주소 기반 접근 통제를 하면 해당 MAC 주소만 아이피를 할당한다. 이는 공격자 관점에서 볼 때, 너무 쉽게 우회를 할 수 있다.
공격자는 무선 AP에 접속되어 있는 호스트의 MAC 주소를 확인한다. 이후 공격자 자신의 MAC 주소를 해당 호스트의 MAC 주소로 변조하면 해당 무선 AP에 접속할 수 있다. 이것이 무선 AP가 취약하다는 이유 중 하나이다.
유선 및 무선 단말기 접근 통제
내부 네트워크 대역의 모든 호스트(유선, 무선) 중 허용된 호스트만 무선 AP를 통해 외부와 통신하도록 설정한다. 이 설정은 허용할 호스트의 MAC 주소를 확인하여 해당 MAC 주소에 대응되는 아이피 주소를 할당하는 방식이다.
해당 호스트에서 외부와 통신하려면 수동으로 아이피 설정을 해야 한다.
▼ 설정 순서
1. 관리자 페이지 접속 > 고급 설정 > 내부 네트워크 설정
2. 수동 IP 할당 설정 > 설정된 IP와 다른 IP를 가진 MAC주소 통신 차단(v), 설정된 MAC 주소 통신만 허용(v) > 적용
3. 외부와 통신을 허용할 호스트에서 MAC 주소 확인(ipconfig /all) > 검색된 IP/MAC 주소에서 해당 MAC 적어주고, 할당할 아이피 주소 기입 > 추가
※ 할당할 아이피 대역
DHCP 서버 상태/설정 메뉴의 동적 IP 주소 범위가 192.168.0.2 ~ 192.168.0.254이다.
192.168.0.1은 게이트웨이 주소, 192.168.0.255는 브로드케스트 주소로 예약되어 있으므로 두 개의 주소는 할당하면 안 된다. 192.168.0.2 ~ 192.168.0.254 범위 내에 있는 주소로 허용할 호스트에게 할당해야 한다.
1. 허용할 MAC 주소에 대응되는 아이피 주소를 추가하면 설정된 IP/MAC 주소에 등록됨 > 적용
허용할 MAC 주소에 대응되는 아이피 주소를 추가하면 설정된 IP/MAC 주소 목록에 확인된다. 해당 MAC 주소를 가진 아이피 주소만 외부와 통신할 수 있게 된다.
무선AP 설정은 끝났고, 실제 호스트에서 외부와 통신하려면 수동으로 네트워크 설정을 해줘야 외부와 통신이 된다.
▼ 설정 순서
1. 시작 > 제어판 > 네트워크 및 공유 센터 > 어댑터 설정 변경
2. 이더넷(또는, Wi-Fi) 우측 클릭 > 속성 > 인터넷 프로토콜 버전 4(TCP/IPv4) 더블 클릭
3. 다음 IP 주소 사용, 다음 DNS 서버 주소 사용을 다음과 같이 설정
※ 설정할 네트워크 정보 확인
1. 아이피 주소는 무선 AP에서 허용할 MAC 주소에 대응되는 아이피 주소를 적어주면 된다.
2. 게이트웨이 주소와 서브넷 마스트는 관리자 페이지 접속 > 고급 설정 > 네트워크 관리 > 내부 네트워크 정보에서 확인할 수 있다.
3. DNS 서버 주소는 관리자 페이지 접속 > 고급 설정 > 네트워크 관리 > 인터넷 연결 설정에서 확인할 수 있다.
무선 단말기 접근 통제
방금 전 설정한 "유선 및 무선 단말기 접근 통제" 영역은 몇 가지 문제점이 존재한다.
1. 무선 단말기(스마트폰, 노트북 등)가 부팅하면 자동으로 무선 AP가 아이피 주소를 할당한다. (허용하지 않는 무선 단말기에도)
아이피 주소를 할당하는 것은 내부 네트워크 대역의 모든 호스트와 통신이 가능하다는 것이다. 단, 내부 네트워크 대역의 모든 호스트와 통신이 되지만 외부와 통신이 되지 않는다.
2. 무선 AP 관리자 페이지에 접속이 가능하다.
3. 무선 단말기를 한번 허용 후 다시 삭제(차단)하더라도 무선 AP는 무선 단말기의 MAC 주소, 아이피 주소를 기억하고 있으므로 무선 단말기는 외부와 통신이 된다.
이런 문제점을 해결하기 위해 허용되지 않는 무선 단말기에게 아이피 주소조차 할당하지 않도록 설정한다.
▼ 설정 순서
1. 관리자 페이지 접속 > 고급 설정 > 2.4 GHz 무선랜 관리 > MAC 주소 인증
2. 허용할 무선 단말기의 MAC 주소 확인 후 MAC주소 수동 입력(설명은 직원 이름 입력) > 수동 등록
3. 등록된 MAC 주소를 보면 허용할 무선 단말기의 MAC 주소가 보임
4. MAC 주소 인증 : 무선 연결 허용(v) > 적용
※ 무선AP 대역
무선AP 기종에 따라 2.4 GHz, 5 GHz 모두 지원하는 기종도 있고, 5 GHz를 지원하지 않는 기종이 있다.
2.4 GHz는 무선 주파수 범위는 5 GHz보다 짧고, 무선 채널 수가 적지만, 장애물(벽, 문 등)에 상관없이 연결이 가능하다는 장점이 있다.
5 GHz는 2.4 GHz보다 무선 주파수 범위는 짧지만, 장애물에 구애받지 않는 장점이 있다. 또한, 예전에 출시된 노트북, 스마트폰은 5 GHz를 지원하지 않는다.
회사에서 2.4 GHz, 5 GHz 모두 사용한다면 모든 채널에 MAC 주소 필터링을 해야 한다. 만약, 5GHz를 사용하지 않는다면 "관리자 페이지 접속 > 고급 설정 > 5 GHz 무선랜 관리 > 무선 설정/보안 > 동작 설정 : 중단 > 적용"을 하면 된다.
추가 사항
※ 무선 AP 백업
무선 AP 설정을 변경하기 전 항상 무선AP 설정 파일을 백업하고 설정을 변경해야 한다.
※ 외부 업체에게 무선 AP 접근 통제
외부 업체에서 인터넷을 사용할 필요가 있을 경우, 방금 전 설정한 것과 동일하게 해당 호스트의 MAC 주소를 확인 후 MAC 주소에 대응되는 아이피 주소를 할당한다.
아이피 주소, 서브넷 마스트, 게이트웨이 주소, DNS 서버 주소, 네트워크 이름, 네트워크 키 정보를 외부 업체에게 알려 주고 수동으로 네트워크 설정을 하도록 한다. 만약, 내부에서 할 일이 모두 종료되면 등록된 MAC 주소를 삭제한다.
※ 관리 대장
허용할 내부 네트워크 대역의 모든 호스트의 MAC 주소, 아이피 주소 내역을 관리 대장에 작성해야 한다.
관리 대장을 작성하면 무선 AP 관리자 페이지에서 확인하는 것보다 가독성이 높아지고, 아이피 주소가 중복되었는지, 할당 가능한 아이피 주소는 몇 개인지, 외부 업체에게 할당한 MAC 주소 및 아이피 주소를 삭제했는지 확인할 수 있다.
▶ ipTIME 공유기 설정 파일 백업 복원과 초기화 방법
▶ ipTIME 공유기 MAC 주소 인증 (유무선 공유기 보안)