자동 액세스 포인트의 WEP 구성 예

소개

이 문서에서는 Cisco AP(Autonomous Access Point)에서 WEP(Wired Equivalent Privacy)를 사용하고 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에서는 WLAN 디바이스에 대한 관리 연결을 설정할 수 있으며, 디바이스는 암호화되지 않은 환경에서 정상적으로 작동한다고 가정합니다.표준 40비트 WEP를 구성하려면 서로 통신하는 두 개 이상의 무선 장치가 있어야 합니다.

사용되는 구성 요소

이 문서의 정보는 Cisco IOS® Release15.2JB를 실행하는 1140 AP를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

WEP는 802.11(Wi-Fi) 표준에 내장된 암호화 알고리즘입니다.WEP는 스트림 암호 RC4를 기밀성으로 사용하고 무결성을 위해 CRC-32(Cyclic Redundancy Check-32) 체크섬을 사용합니다.

표준 64비트 WEP는 40비트 키(WEP-40이라고도 함)를 사용하며, 이는 RC4 키를 구성하기 위해 24비트 초기화 벡터(IV)와 연결되어 있습니다.64비트 WEP 키는 일반적으로 10개의 16진수(기본 16) 문자(0~9 및 A-F)로 입력됩니다. 각 문자는 4비트를, 4비트의 10자리는 각각 40비트를 나타냅니다.24비트 IV를 추가하면 완전한 64비트 WEP 키가 생성됩니다.

128비트 WEP 키는 일반적으로 26자의 16진수 문자열로 입력됩니다.각각 4비트의 26자리 숫자는 104비트와 같습니다.24비트 IV를 추가하면 완전한 128비트 WEP 키가 생성됩니다.대부분의 디바이스에서는 사용자가 키를 13자의 ASCII 문자로 입력할 수 있습니다.

인증 방법

WEP에는 다음과 같은 두 가지 인증 방법을 사용할 수 있습니다.시스템 인증 및 공유 키 인증을 엽니다.

Open System Authentication(오픈 시스템 인증)을 사용하면 WLAN 클라이언트가 인증을 위해 AP에 자격 증명을 제공할 필요가 없습니다.모든 클라이언트는 AP로 인증한 다음 연결을 시도할 수 있습니다.실제로 인증이 발생하지 않습니다.이후에 WEP 키를 사용하여 데이터 프레임을 암호화할 수 있습니다.이때 클라이언트에 올바른 키가 있어야 합니다.

공유 키 인증을 사용하면 WEP 키가 4단계 챌린지 응답 핸드셰이크의 인증에 사용됩니다.

1. 클라이언트가 AP에 인증 요청을 보냅니다.
2. AP는 일반 텍스트 챌린지로 응답합니다.
3. 클라이언트는 구성된 WEP 키로 챌린지 텍스트를 암호화하고 다른 인증 요청에 응답합니다.
4. AP는 응답을 해독합니다.응답이 challenge-text와 일치하면 AP는 긍정적인 응답을 보냅니다.

인증 및 연결 후에는 RC4로 데이터 프레임을 암호화하기 위해 사전 공유 WEP 키도 사용됩니다.

첫 번째 보기에는 공유 키 인증이 개방형 시스템 인증보다 안전한 것처럼 보일 수 있습니다. 공유 키 인증은 실제 인증을 제공하지 않기 때문입니다.그러나 그 반대는 사실이다.공유 키 인증에서 챌린지 프레임을 캡처하는 경우 핸드셰이크에 사용되는 키 스트림을 파생시킬 수 있습니다.따라서 공유 키 인증보다는 WEP 인증에 개방 시스템 인증을 사용하는 것이 좋습니다.

이러한 WEP 문제를 해결하기 위해 TKIP(임시 키 무결성 프로토콜)가 생성되었습니다.WEP와 마찬가지로 TKIP에서는 RC4 암호화를 사용합니다.그러나 TKIP는 알려진 WEP 취약성을 해결하기 위해 패킷별 키 해싱, MIC(Message Integrity Check), 브로드캐스트 키 회전 등의 조치를 추가하여 WEP를 개선합니다.TKIP는 암호화에 128비트 키가 있는 RC4 스트림 암호를 사용하고 인증에 64비트 키를 사용합니다.

구성

이 섹션에서는 WEP에 대한 GUI 및 CLI 컨피그레이션을 제공합니다.

GUI 컨피그레이션

GUI를 사용하여 WEP를 구성하려면 다음 단계를 완료합니다.

1. GUI를 통해 AP에 연결합니다.
2. 창 왼쪽의 보안 메뉴에서 고정 WEP 키를 구성할 무선 인터페이스에 대해 암호화 관리자를 선택합니다.
3. 암호화 모드에서 WEP 암호화를 클릭하고 클라이언트의 드롭다운 메뉴에서 필수를 선택합니다.
   
   스테이션에서 사용하는 암호화 모드는 다음과 같습니다.
   
   • Default(No Encryption) - 클라이언트가 데이터 암호화 없이 AP와 통신해야 합니다.이 설정은 권장되지 않습니다.
   • 선택 사항 - 클라이언트가 데이터 암호화를 사용하거나 사용하지 않고 AP와 통신할 수 있습니다.일반적으로 128비트 WEP 환경에서 비 Cisco 클라이언트와 같이 WEP 연결을 만들 수 없는 클라이언트 장치가 있는 경우 이 옵션을 사용합니다.
   • 필수(전체 암호화) - 클라이언트가 AP와 통신할 때 데이터 암호화를 사용해야 합니다.데이터 암호화를 사용하지 않는 클라이언트는 통신할 수 없습니다.WLAN의 보안을 최대화하려는 경우 이 옵션을 사용하는 것이 좋습니다.
4. Encryption Keys(암호화 키)에서 Transmit Key(전송 키) 라디오 버튼을 선택하고 10자리 16진수 키를 입력합니다.Key Size(키 크기)가 40비트로 설정되어 있는지 확인합니다.
   
   40비트 WEP 키의 경우 10개의 16진수 숫자, 128비트 WEP 키의 경우 26개의 16진수 숫자를 입력합니다.키는 다음 자릿수의 임의의 조합일 수 있습니다.
   
   • 0 ~ 9
   • 0:00
   • A ~ F

    

5. 두 무선 모두에 컨피그레이션을 적용하려면 Apply-All을 클릭합니다.
   

   

6. 개방 인증을 사용하여 SSID(Service Set Identifier)를 생성하고 Apply(적용)를 클릭하여 두 무선 장치에서 모두 활성화합니다.
   

   

   
   

   

7. 네트워크를 탐색하고 2.4GHz 및 5GHz용 무선 장치를 활성화하여 해당 무선 장치를 실행합니다.

CLI 컨피그레이션

CLI로 WEP를 구성하려면 이 섹션을 사용합니다.

ap#show run
Building configuration...

Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
  dot11 ssid wep-config
  authentication open
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1

 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 no keepalive
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end

다음을 확인합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 다음 명령을 입력합니다.

ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address    IP address      Device        Name           Parent         State
1cb0.94a2.f64c 10.106.127.251  unknown       -              self           Assoc

문제 해결

컨피그레이션 문제를 해결하려면 이 섹션을 사용합니다.

참고:debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

이러한 debug 명령은 컨피그레이션을 트러블슈팅하는 데 유용합니다.

• debug dot11 events - 모든 dot1x 이벤트에 대한 디버그를 활성화합니다.
• debug dot11 packets - 모든 dot1x 패킷에 대한 디버그를 활성화합니다.

다음은 클라이언트가 WLAN에 성공적으로 연결되었을 때 표시되는 로그의 예입니다.

*Mar  1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  
1cb0.94a2.f64c Associated KEY_MGMT[NONE]

클라이언트가 잘못된 키를 입력하면 다음 오류가 표시됩니다.

*Mar  1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key 
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar  1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating 
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar  1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c