무선랜 설계시
고려사항
최근 스마트 폰의 열기를 타고
무선랜이 이슈화 되고 있습니다.
이에 이동성, 확장성, 편리성 등의
장점을 갖는 무선랜의 보급이 많은 분야에 걸쳐 빠르게 이루어 지고 있습니다.
초기의 무선랜은 주로 기업용 네트워크
솔루션으로 사용되어 왔지만, 공공장소에서 노트북, PDA, 스마트 폰을 이용하여 인터넷에 접속할 수 있는 공중 무선랜 서비스 용도로도 많이
활용되고 있습니다.
그러나, 무선랜의 사용이 늘어난
반면에, 관리자 및 사용자의 무관심과 정보보호의 마인드 부족으로 기본적인 설치 및 운영에 대한 사항은 전혀 고려하지 않고 마구잡이로 설치되어
무선랜 사용에 장애 및 보안 사고가 다발적으로 발생하고 있어, 이에 기본적인 설계에 대해 나열해 보고자 합니다.
1. 무선네트워크 셀
설계
2. 무선네트워크 보안
3. 무선네트워크 구축 방안
2. 무선네트워크 보안
3. 무선네트워크 구축 방안
1. 무선네트워크 셀
설계
기본 적인 무선랜의 셀 설계는 전문적인 무선랜 업체와 협의를 하는 것이
가장 최선의 방법 입니다.
그러나, 무선랜 업체의 도움을 받을 수 없을 경우, 기본 적인 몇가지
사항만 숙지 한다면, 어느정도 안전한 셀 설계가 가능합니다.
고려사항
A. 사용자 : 한 개의 AP 당 사용할 최대 Client 수
보통의 한 개의 AP 사용자는 802.11n(300Mbps)기준 10~15명을 수용하는 것으로 합니다.
단, 802.11b/g/n 사용자와 802.11a/n 사용자를 별개로 분리할 수 있다면, 사용자는 한 개의 AP당 최대 30명을 수용하는 것으로 기준을 잡을 수 있습니다.
보통의 한 개의 AP 사용자는 802.11n(300Mbps)기준 10~15명을 수용하는 것으로 합니다.
단, 802.11b/g/n 사용자와 802.11a/n 사용자를 별개로 분리할 수 있다면, 사용자는 한 개의 AP당 최대 30명을 수용하는 것으로 기준을 잡을 수 있습니다.
B. RF 출력 : 국내 전파 규격에 802.11a/b/g/n은 1MHz 당 10mW 이하로 규정되어 있으나, 일반적으로 100mW로 보시며 됩니다.
출력에
대한 설계는 실제 AP를 설치하여 Coverage를 확인하는 방법이 가장 좋으며, 최대 Coverage의 60%를 기준으로 설계하는 것이 가장
안정적인 설계 기준 입니다.(서비스를 open할 시에는 출력은 줄여서 약 10%의 중첩지역을 설계하여 주는 것이 좋습니다.
C.
채널 : 802.11b/g/n(2.4GHz~2.4835GHz 13채널),
802.11a/n(5GHz~5.825GHz, A,B,C,D대역 19개 채널) 802.11b/g/n의 13개 채널 중 중첩되지 않는 채널은 보통
1,6,11 번 채널을 사용합니다. 802.11a/n의 19개 채널은 모두 중첩되지 않는 채널이므로 셀 설계시 같은 채널만 사용하지 않으면
됩니다. 두 RF의 채널은 주파수 변조 방식이 다르기 때문에 중첩채널이 다르기 때문입니다.
D. 감쇄 원인 파악 : 무선랜 신호세기의 장애 원인으로 철큰 콘크리트, 유리, 경량칸막이 등 가장
큰 무선랜의 감쇄 원인은 위에 나열된 구조물 보다는 사람입니다.
AP가 설치되어 있는 주변에 Client와 많은 사람이 있다면, 분명히
위 장애 원인보다 더 큰 장애원인이 될 수 있습니다.
사람은 항상 움직이기 때문에 RF출력이 일정하지 않기에 접속 속도가 많이
불안할 수 있습니다.
철근 콘크리트(철문) 구조물 등을 사이에 두고 통신 하는 경우는 거의
접속이 되지 않는 다고 보시면 됩니다.
그 밖에 유리나, 파티션으로 사용하는 경량 칸막이의 경우도 약
0.5dBi~1dBi까지 감쇄가 있다고 보면 되고, 철판 또는 철판과 유리가 혼합되어 있는 상황에서는 반사파가 심하므로, 전문 업체와 꼭 협의를
하셔야 안정적인 무선랜 사용이 가능합니다.
기본 적인 무선네트워크 보안은 공중에 보이지 않는 Packet들에 의해 발생할 수 있는 사고에 대비하기 위해 꼭 필요 합니다.
A. 인증 및 데이터 보안 :
가장 기본이 되는 보안으로 인증된 사용자 만이 네트워크를 사용 가능하게 해야 하며, 암호화를 통해 보안을 사용해야 합니다.
인증 : 다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.
1) 요청자 – 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
2)인증자 – 무선 액세스 포인트
3)인증 서버 – 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS* 또는 Microsoft* IAS*와 같은 Radius 서버)
데이터 보안 : 데이터를 전송하기 전에 암호화한 다음 수신 종단에서 암호를 해독(일반 데이터 복구)하는 자격 증명 키를 사용하여 구현됩니다.
WEP(Wired Equivalent Privacy)는 상대적으로 보안 기능이 취약합니다. 따라서 무선 데이터의 보호 효과를 높이기 위해 WPA, WPA2 등과 같은 다른 방법을 사용합니다.
권장사항 : WPA, WPA2를 이용하여 인증 및 데이터 보안을 구현합니다.
참고사항 :
– WPA*(Wi-Fi* Protected Access) Wi-Fi Alliance는 802.11i 수정 사항을 충족하는 보다 강력한 무선 LAN 보안 솔루션을 개발하려는 노력의 일환으로 이 표준 기반 솔루션을 2003년 후반에 도입하였습니다.
WPA에는 802.1x 인증 및 TKIP 암호화가 포함됩니다(WEP 암호화보다 강화된 보안 방식).
– WPA2*(Wi-Fi* Protected Access 2) Wi-Fi Alliance는 2004년 말 차세대 WPA 보안 솔루션을 발표했습니다.
WPA와 같이 WPA2에도 802.1x 인증이 포함됩니다.
802.11i 개정에 따라 WPA2는 AES(Advanced Encryption Standard)를 사용하여 데이터 개인 정보를 보호합니다.
– WPA Personal 및 WPA2 Personal인증 서버가 없는 소규모 사무실이나 가정에서는 PSK(Pre-Shared Key)의 사용을 통해 액세스에 대한 인증이 결정됩니다.
사전 공유 키는 16진수 문자열이거나 암호문으로, 액세스 포인트와 모든 클라이언트 간에 일치해야 합니다.
WPA 개인 또는 WPA2 개인 방법을 사용할 때는 802.1x 보안을 사용할 수 없습니다
B. 외부 침입 및 위치 추적 :
외부의 침입, 공격 및 원인을 찾는 위치 추적할 수 있는 솔루션으로 보안을 강화 합니다.
기업의 무선랜은 공격 대상이 되기 가장 쉬운 취약 지역입니다.
무선랜을 이용한 공격으로 장애발생 및 심할 경우에는 AP가 Down 되는 현상까지 발생할 수 있습니다.
이를 방지하기 위해 보안을 중요시 하는 기업에서는 외부 침입 탐지 및 위치를 추적할 수 있는 솔루션을 추천합니다.
일반적으로 현재 나와 있는 WIPS 솔루션이 있지만, 기본적인 Controller 기반의 무선랜 도입 만으로도 침입 탐지 및 위치추적은 가능합니다.
3. 무선네트워크 구축 방안
무선네트워크 구축 방안은 크게 두 가지로 볼 수 있습니다.
A. 단독형 AP를 이용한 무선네트워크 구축– 2000년대 초반 부터 약 2005년까지 주를 이루었던 구축방식으로 현재는 SOHO 사업장 용으로 약 AP 20대 미만의 사업장에 구축을 권장합니다.
– 인증 및 데이터 보안은 위에서 설명한 내용과 동일 하며, 단 주위의 RF 환경을 잘 이해하고 조사해서 셀설계 및 채널 설계를 해야 합니다.
B. 중앙 집중식 무선네트워크 구축– 2005년 부터 활성화 되어, 기본적인 무선네트워크 및 보안을 동시에 만족하는 솔루션으로 AP 20대 이상을 사용하는 사업장에 적합한 솔루션으로 인증 및 데이터 보안은 위에서 설명한 내용과 동일하며, 주위의 RF 환경 및 출력을 자동으로 업데이트 해주기 때문에 이 문제에 대한 장애의 대처는 굉장히 유연해 지며, 추가 솔루션 도입으로 WIPS도 함께 운용할 수 있어, 현 수준의 무선랜에서는 가장 신뢰할 수 있는 솔루션입니다.
마치면서 마지막으로
무선랜 환경을 구축하실 경우 고민을 덜어드리기 위해 말씀 드리자면, 도입의 최대 문제점은 우리기업의 네트워크 환경에 맞는 솔루션(Vendor)을 찾는 일입니다.
무선랜은 가장 기본이 중요합니다.
기본 적인 무선 통신이 안정되어야 하고, 기본적인 데이터 보안이 되어야 합니다.
그리고, 하나를 더 하자면 보안/관제까지 동시에 되어야 합니다.
그러나, 많은 솔루션들이 이 기본에 충실하지 않고 있습니다.
VPN이 된다, Firewall이 된다, NMS가 Controller에서 구현된다, 등………
이는 고객을 현혹하는 말들이며, 기본에 충실하고 위 내용들이 된다면, 너무나도 훌륭한 솔루션이겠지만, 속을 들어다 보면, 이것은 마치 Pentium 3 500MHz 의 컴퓨터에 Windows XP를 설치했다고 자랑하는 꼴과 같다고 보시면 됩니다.
모쪼록 안전하고, 효율적인 무선네트워크 구축을 하시기 바랍니다.
작성자: 장혁민
댓글 없음:
댓글 쓰기