무선 네트워크는 지금까지 유선 네트워크에 비해 보안이 취약하다는 편견에서 벗어나지 못하고 있다. 비즈니스에서 BYOD(Bring Your Own Device)의 도입은 일상화 됐고, IoT(Internet of Things) 트랜드는 걷잡을 수 없는 조류가 됐다. 이러한 환경에서 무선 네트워크 보안의 중요성은 더욱 커지고 있다. 풍부한 네트워크 미 정보보안 실무 경험을 바탕으로 집필된 이 책은 보안에 취약하다고 인식돼온 무선 네트워크에 대한 새로운 인식을 제공한다. 저자는 IEEE 802.1X를 기반으로한 무선 네트워크 리모델링을 통해 지금까지 경험하지 못했던 새로운 네트워크 설계와 구축 기준을 제시한다. 4개의 장을 통해 현재 무선 네트워크가 갖고 있는 문제점과 관리자의 요구 사항, 이를 해결하기 위한 동적 네트워크라는 새로운 개념과 802.1X에 대해 소개하고, 모든 네트워크 및 정보보안 담당자들이 필요로 하는 사용자 프로파일링 방법을 실제로 구현한다. 아울러 프로파일링 정보를 응용해 전통적인 공격 기법 중 하나인 ARP 스푸핑 차단 방법을 소개한다. 마지막 장에서는 실제 사례에 기반한 리모델링 방법을 소개한다. 특히 오픈소스 활용에 중점을 둔 내용 구성은 학습한 내용을 실무에 적용하는 데 큰 도움이 될 것이다.

[목 차]

1장. 무선 네트워크 리모델링

__1.1 비즈니스와 무선 네트워크
__1.2 무선 네트워크의 문제점과 요구사항
__1.3 무선 네트워크 리모델링

2장. 동적 네트워크와 802.1X

__2.1 동적 네트워크
__2.2 802.1X

3장. 핵심 기능 구현 55

__3.1 준비 작업
__3.2 DHCP 핑거프린팅
____3.2.1 DHCP 핑거프린팅 개념
____3.2.2 핑거데몬 구현 및 테스트
__3.3 사용자 프로파일링
____3.3.1 사용자 프로파일링 절차
____3.3.2 테스트 환경 구성 및 인증 테스트
____3.3.3 사용자 프로파일링 구현 및 테스트
__3.4 ARP 스푸핑 차단
____3.4.1 IP 주소 할당과 ARP 스푸핑 차단
____3.4.2 ARP 모니터를 위한 환경 설정
____3.4.3 ARP 모니터 구현
__3.5 캡티브 포털
____3.5.1 캡티브 포털 개념
____3.5.2 시나리오와 캡티브 포털 구성
____3.5.3 캡티브 포털 페이지 등록


4장. 무선 네트워크 리모델링 적용

__4.1 리모델링 시나리오
__4.2 네트워크 환경 구성
__4.3 네트워크 할당 절차 변경
__4.4 접근 미허용 단말기 메시지 출력
__4.5 무선 네트워크 리모델링의 장점


부록 1. Windows 10 802.1X 인증 환경 설정
부록 2. 애플 단말기 802.1X 인증 환경 설정
부록 3. 무선 랜 컨트롤러 802.1X 인증 환경 설정
부록 4. 유선 네트워크 스위치 802.1X 인증 환경 설정
[본 문]

기본의 중요성은 아무리 강조해도 지나치지 않다. 우리 사회의 다양한 영역에서 발생하는 대부분의 사고는 기본이 부족하기 때문이다. 전국을 떠들썩하게 했던 정보보안 사고들 또한 기본에 충실했더라면 발생하지 않았을 것이다. 최근에 발생한 I 인터넷 쇼핑몰의 고객 정보 유출 사고, K 통신사의 개인정보 유출 사고, 인터넷 대란, 언론사 전산망 마비, 홈페이지를 통한 악성코드 유포와 같은 헤아릴 수 없이 많은 사고를 통해 기본의 중요성을 충분히 학습했음에도 불구하고 여전히 정보보안 사고는 계속 발생하고 있다. 물론 정보보안 사고는 다양한 원인에 의해 발생하지만 만약 시스템 구축 초기 단계에서부터 기본을 지켰다면 사고 발생 가능성을 낮출 수 있었을 것이다.
이 책에서 제시하는 내용은 새로운 것들이 아니다. 이미 오래전에 발표됐을 뿐만 아니라 대부분의 독자가 단편적으로나마 알고 있는 내용이다. 또한 북미와 유럽 등의 지역에서는 이미 오래전부터 비즈니스 네트워크에 적용하고 있다. 아직 우리나라에만 기술에 대한 소개와 적용이 안 되고 있을 뿐이다. 이웃 나라인 중국만 하더라도 802.1X에 대한 연구가 활발히 진행되고 있다. 이 책을 통해 조금이나마 802.1X에 대한 이해가 확산되고, 이를 네트워크에 적용해 더욱 안전한 네트워크 환경을 구축하는 계기가 되기를 바란다.

-머리말 중에서

★ 이 책에서 다루는 내용 ★

■ 전통적인 무선 네트워크 환경의 문제점과 개선 방안
■ 동적 네트워크 설계 및 적용 방법
■ 오픈소스를 활용한 IEEE 802.1X 무선 네트워크 구성 방법
■ DHCP 핑거프린팅 소개 및 구현 방법
■ 사용자 프로파일링 소개 및 구현 방법
■ ARP 스푸핑 차단 방법
■ 캡티브 포털에 대한 이해와 구현 방법
■ 전통적인 무선 네트워크 환경 리모델링 절차 및 사례

★ 이 책의 대상 독자 ★

네트워크와 정보보안 업무를 수행하는 중급 이상의 엔지니어를 대상으로 한다. 특히, 유연한 네트워크를 설계하고 싶거나, 효과적인 접근통제 방안을 고민하고 있거나, 차별화된 네트워크 또는 정보보안 시스템을 구현하고자 하는 엔지니어를 대상으로 한다. 이 밖에 정보보안 또는 네트워크 전문가를 꿈꾸는 학습자에게도 도움이 될 것이다. 이 책을 이해하려면 네트워크와 정보보안 관련 지식과 함께 약간의 데이터베이스 운용 역량, PHP, 파이썬(Python), C 언어를 이용한 프로그래밍 역량을 갖추고 있어야 한다. 물론, 깊이 있는 지식이나 전문적인 개발자 정도의 역량이 아니라 개념을 이해하고 기본적인 문법을 이해할 수 있는 수준이면 무리 없이 진행할 수 있다.

★ 이 책의 구성 ★

1장, *무선 네트워크 리모델링*에서는 무선 네트워크 리모델링의 필요성에 대해 살펴본다. 무선 네트워크는 생활에서 없어서는 안 될 필수 구성 요소로 자리 잡았다. 개인뿐만 아니라 기업 비즈니스에서도 무선 네트워크는 스마트폰을 필두로 하는 BYOD와 함께 비즈니스 생산성과 효율성을 견인하는 하나의 축을 이루고 있다. 또한 IoT 산업의 발전으로 무선 네트워크의 중요성이 확대되고 있다. 그러나 전통적인 무선 네트워크 환경은 유선 네트워크 환경에 비해 여러 가지 취약점과 문제점이 존재한다. 이 장에서는 무선 네트워크가 비즈니스에 미친 영향들을 살펴본 다음 전통적인 무선 네트워크가 갖는 문제들과 문제 해결에 필요한 관리자 관점의 요구 사항을 도출한다. 마지막으로 무선 네트워크 리모델링을 통해 당면하고 있는 문제들의 해결 방안을 제시한다.
2장, *동적 네트워크와 802.1X*에서는 동적 네트워크와 802.1X를 소개한다. 전통적인 네트워크 환경이 갖는 공통점은 무엇일까? 물리적으로는 서로 다른 형태로 구축된 네트워크라 하더라도 네트워크를 분할(segmentation)하고, IP 주소를 할당하는 방식은 대동소이하다. 업무용 네트워크의 경우 물리적 공간을 기준으로 네트워크를 구분하고, 네트워크에 따라 고정 IP 주소를 할당한다. 이러한 네트워크 환경은 비즈니스 전략 변화에 따라 수시로 변화하는 네트워크 요구에 효과적으로 대응하기 어렵게 한다. 특히, BYOD의 도입이 확대됨에 따라 단말기의 이동성(mobility)과 보안의 중요성은 더욱 커지고 있다. 동적 네트워크는 기업 내 유연한 네트워크 환경을 제공해 단말기 이동성뿐만 아니라 유연한 보안 정책 수립을 위한 효과적인 대안을 제시할 수 있다. 이번 장에서는 동적 네트워크에 대해 살펴보고, 이를 구현하기 위한 최적의 기술 표준인 IEEE 802.1X에 대해 구체적으로 알아본다.
3장, *핵심 기능 구현*에서는 동적 네트워크 구현과 네트워크 보안성 향상을 위해 필요한 몇 가지 핵심 기능을 구현한다. 제일 먼저 3.1절에서는 핵심 기능 구현에 필요한 인증 서버를 구성 한다. 인증 서버는 우분투(Ubuntu) 리눅스를 기반으로 구성되며, 인증 서버, 웹 서버, 데이터베이스, DNS 서버, DHCP 서버 같은 다양한 패키지를 설치한다. 인증 서버를 구성한 후 3.2절에서는 네트워크에 연결하는 단말기를 식별하기 위한 DHCP 핑거 프린팅(DHCP Fingerprinting)에 대해 알아보고 핑거데몬(fingerdaemon)을 구현하고 테스트한다. 3.3절에서는 사용자 프로파일링에 대해 알아본다. 네트워크 및 정보보안에 있어서 가장 중요한 요소는 네트워크를 사용하고 있는 단말기와 사용자의 정보 파악이라고 할 수 있다 현재까지는 정보 자산 관리 (ITAM, IT Asset Management) 시스템 또는 네트워크 접근통제 (NAC, Network Access Control) 등을 이용해 제한된 범위의 프로파일링을 수행했다. 3.3절에서는 네트워크에 접속하는 모든 단말기에 대한 프로파일링을 위해 802.1X 가 적용된 네트워크를 구축하고, 이를 기반으로 프로파일링을 수행하는 방법을 구체적으로 알아본다. 3.4절에서는 3.3절에서 획득한 프로파일을 활용하는 예제로 ARP 스푸핑을 차단하는 방법에 대해 알아본다. 마지막으로 3.5절에서는 캡티브 포털 구현 방법에 대해 알아본다. 802.1X를 네트워크에 적용할 때 발생하는 문제점 중 하나가 사용자 단말에 대한 802.1X 환경 설정이다. 사용자가 네트워크 접속을 시도할 때 802.1X 네트워크 접속에 필요한 환경 설정 방법을 안내받지 못한다면, 802.1X 적용은 실패로 귀결될 것이다. 캡티브 포털은 802.1X 환경 설정 방법을 안내하는 효과적인 도구로 사용될 수 있다. 따라서 마지막 절에서는 802.1X 환경 설정 지원을 위한 캡 티브 포털 구현과 단말기 유형별 802.1X 환경 설정 방법에 대해 알아본다.
4장, *무선 네트워크 리모델링 적용*에서는 3장에서 학습한 내용을 기반으로 무선 네트워크 리모델링의 실제 방법을 소개한다. 4.1절에서는 현재 근무 중인 베데스다 선교병원의 무선 네트워크를 대상으로 리모델링 시나리오를 제시한다. 시나리오는 사용자의 역할(직위)과 단말기 유형에 따라 접근 가능한 네트워크를 차별화한다. 또한 접근이 허용되지 않는 단말기로 네트워크 접속을 시도하는 경우에는 단말기를 격리하고 인터넷 접속 시 네트워크 접속 제한 사유를 알린다. 4.2절에서는 기존의 무선 네트워크 환경을 동적 네트워크 환경으로 전환하기 위한 기본적인 네트워크 환경 설정을 진행한다. 4.3절에서는 802.1X를 이용해 네트워크를 동적으로 할당하기 위해 인증 서버로 사용하는 FreeRadius의 네트워크 할당 절차를 변경해 동적 네트워크 구성을 마무리한다. 마지막으로 4.4절에서는 접근이 허가되지 않은 단말기를 격리하고, 네트워크 접속 차단 사유를 알리기 위핸 캡티브 포털을 구현한다.
부록에서는 MS 윈도우 10과 애플의 OS X와 iOS가 설치된 단말기에 대한 802.1X 인증 환경 설정 방법을 제공한다. 그리고 무선 랜 컨트롤러(WLC, Wireless LAN Controller) 기반의 무선 네트워크 환경과 유선 네트워크 환경에서 802.1X 인증 환경을 구성하는 방법을 제공한다

이민철
극지연구소 선임기술원으로 근무했다. 네트워크 및 정보보안, 극지 과학 데이터 관리 업무를 수행했으며, 남극자료관리상임위원회(SCADM) 한국 대표, 과학기술사이버안전센터(SnT-SEC) 및 과학기술연구망(KREONET) 실무협의회 운영위원으로 활동했다. 현재는 아프리카 우간다 베데스다 선교병원에서 IT 매니저로 근무하고 있다. 동아프리카에서 활동하는 NGO, 선교단체, 기업 등에 대한 IT 컨설팅을 제공하고 있으며, 한국의 IT 기술을 아프리카에 소개하는 일뿐만 아니라 실무 중심의 IT 엔지니어 양성을 계획하고 있다. 저서로는 『네트워크 접근통제 시스템 구축』(에이콘, 2015)이 있다.