DEKIST RN400 제품을 구입하여 주셔서 감사합니다.
모델은 크게 H2, T2 2개로 구성됩니다. H2모델은 PS, EX 2개이며, T2모델은 PS, EX, TS, CS, GS, PM 등 6개로 구분되어 다양한 센서모니터링을 실행합니다.
모든 RN400 모델은 사용자 인증 영역까지 보완을 강화한 WPA2-Enterprise 방식을 지원합니다.
주요 용어 : 사용자 인증, RADIUS, Enterprise 지원 공유기, PEM
1. 엔터프라이즈 보안을 사용하기 위해서 필요한 것이 무엇인가요?
엔터프라이즈 보안은 RADIUS 서버와 ENTERPRISE를 지원하는 공유기 AP가 구성되어 있고, RADIUS 서버에 접근하기 위한 ID와 PASSWORD 그리고 인증서 CA.PEM 파일이 준비되어 있어야 합니다.
RADIUS서버는 사내에 사용자별 인증, 권한 부여를 관리하는 서버입니다. 엔터프라이즈를 지원하는 전용 공유기들은 내부적으로 RADIUS 서버를 지원합니다.
2. RN400에 인증서 CA.PEM 파일을 설치하자.
- 경로설정 – 인증서 ca.pem 파일을 Micro SD 카드의 /cert/ca.pem 경로에 미리 저장합니다. Micro SD카드는 FAT 32 형식의 파일시스템만 지원합니다.
- 삽입하기 – 인증서 파일이 올바른 경로에 저장된 SD카드를 RN400의 SD카드 슬롯에 삽입합니다.
- 전원공급 – 전면부 디스플레이 아래 오른쪽에 위치하는 ‘POWER ON/OFF’ 버튼을 눌러 전원을 공급합니다.
- 설치 – 전면부 ‘W’, ‘S’ 버튼을 이용하여 디스플레이에서 ‘Menu’를 활성화하여 ‘CONFIG MODE(AP)’ 단계에 진입한 후, ‘W’ 버튼을 누르면 설치가 진행됩니다.
RN400은 Enterprise 인증방식으로 PEM 형식의 파일만 인식합니다. 아래 링크를 통해 PEM 형식의 파일로 변환할 수 있습니다.
PEM 파일로 변환하기
3. 엔터프라이즈 보안 공유기에 연결하기 위해 필요한 것
3-1. RADIUS 서버 접속을 위한 인증서 준비
SD 카드에 ‘RADIUS 서버 접속을 위한 인증서’를 저장시에는 파일명을 ‘ca.pem’으로 변경해야 합니다. 만들어진 파일은 /cert 폴더에 저장해 놓습니다.
3-2. RADIU 서버의 ID / PASSWORD
ID와 PASSWORD를 부여 받았다면, 스마트폰으로 공유기를 설정하면서 부여 받은 정보를 함께 입력합니다.
RN400 설치가이드
3-3. 공유기의 SSID 와 KEY 값.
접근하려는 엔터프라이즈 공유기의 SSID와 KEY 값을 입력합니다.
2차인증으로 MSCHAPV2를 주로 많이 사용합니다.
RN400에서는 CISCO의 GTC 방식은 지원하지 않습니다.
주요 용어
- 사용자 인증 : User Authentication. 하나의 세션 동안에 거래 당사자(프로세스, 서버, 장비 등) 간에 상대의 신원주장(identity claim)에 대해 유효성을 성립시키는 것
- RADIUS : Remote Authentication Dial In User Serivce. 리빙스턴 기업에서 1990년 중반 개발한 분산 보안 시스템(인증 프로토콜)
- PEM : Privacy Enhanced Mail Certificate
- 802.1X : Port Based Network Access Control (2001년 6월 표준 인증)
- EAP : Extensible Authentication Protocol. 복수의 인증 프로토콜을 캡슐화할 수 있게 함으로써, 다양한 인증방식을 선택 가능케 하는 범용 인증 프레임워크
WPA-PSK가 기존 WEP의 암·복호화 키 관리 방식을 중점적으로 보완한 방식인데 비해서 WPA2-Enterprise는 사용자 인증 영역까지 보완한 방식이다.
WPA2-EAP로 불리는 WPA2 Enterprise 방식은 인증·암호화를 강화하기 위해서 다양한 보안 표준 및 알고리즘을 채택하였는데, 가장 중요하며 핵심이 되는 사항은 유선 랜 환경에서 포트 기반 인증 표준으로 사용되는 IEEE 802.1X 표준과 이와 함께 다양한 인증 메카니즘을 수용할 수 있도록 IETF의 EAP 인증 프로토콜을 채택한 것이다.
규모가 큰 무선 랜 환경에서 WPA2-EAP 방식을 구현하기 위해서는 클라이언트와 AP뿐만 아니라 사용자 인증을 수행할 인증서버(Authentication Server)가 별도로 추가되는데, 이는 WPA-EAP 구현을 위한 802.1X 표준에서 요구하는 사항을 수용하기 때문이다.