JP2022131667A - Wips sensor, wireless communication system, wireless intrusion prevention method, and wireless intrusion prevention program - Google Patents
Wips sensor, wireless communication system, wireless intrusion prevention method, and wireless intrusion prevention program Download PDFInfo
- Publication number
- JP2022131667A JP2022131667A JP2021030724A JP2021030724A JP2022131667A JP 2022131667 A JP2022131667 A JP 2022131667A JP 2021030724 A JP2021030724 A JP 2021030724A JP 2021030724 A JP2021030724 A JP 2021030724A JP 2022131667 A JP2022131667 A JP 2022131667A
- Authority
- JP
- Japan
- Prior art keywords
- wireless
- access point
- wireless access
- probe response
- wips sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims description 31
- 230000002265 prevention Effects 0.000 title claims description 10
- 239000000523 sample Substances 0.000 claims abstract description 101
- 230000004044 response Effects 0.000 claims abstract description 80
- 238000012544 monitoring process Methods 0.000 claims abstract description 38
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 230000006698 induction Effects 0.000 claims abstract description 12
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 claims description 45
- 238000007726 management method Methods 0.000 claims description 28
- 238000012545 processing Methods 0.000 abstract description 11
- 230000001939 inductive effect Effects 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009420 retrofitting Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、主として、WIPSセンサに関する。WIPSとは、無線侵入防止システム(Wireless Intrusion Prevention System)の略称である。 The present invention relates primarily to WIPS sensors. WIPS is an abbreviation for Wireless Intrusion Prevention System.
無線ネットワークのセキュリティを向上させるために、WIPSセンサが用いられることがある。WIPSセンサは、保安に違反して無線アクセスポイントと通信している端末を検知し、その通信を阻止する。 WIPS sensors are sometimes used to improve the security of wireless networks. A WIPS sensor detects terminals communicating with a wireless access point in violation of security and blocks the communication.
従来は、WIPSセンサが違反端末に成り代わって、接続終了の要求を意味する通信フレームを無線アクセスポイントへ送信することで、無線アクセスポイントに当該端末に対する接続を遮断させることができた。このような通信フレームとしては、管理フレームと呼ばれる、認証解除フレーム(Deauthentication)又は連動解除フレーム(Disassociation)が用いられる。 Conventionally, a WIPS sensor could act as a violating terminal and transmit a communication frame indicating a connection termination request to the wireless access point, thereby making the wireless access point cut off the connection to the terminal. As such a communication frame, a deauthentication frame (Deauthentication) or an association release frame (Disassociation) called a management frame is used.
しかし、近年新しく登場したIEEE802.11w規格においては、無線アクセスポイントと無線通信端末との通信において、管理フレームが共有キー方式の暗号化によって保護される。従って、認証解除フレーム又は連動解除フレームを送信する従来の方法は、新規格において使用することができない。なお、IEEE802.11w規格は、従来は暗号および認証の対象外であった管理フレームにもセキュリティ(暗号化)を施す通信規格である。 However, in the IEEE 802.11w standard, which has recently emerged, management frames are protected by shared key encryption in communication between wireless access points and wireless communication terminals. Therefore, conventional methods of sending de-authentication or de-association frames cannot be used in the new standard. Note that the IEEE802.11w standard is a communication standard that applies security (encryption) to management frames, which were not subject to encryption and authentication in the past.
この点は特許文献1も指摘するところであり、これを解決するために以下の構成を提案している。即ち、特許文献1のWIPSセンサは、違反端末が無線アクセスポイントに接続したことを検知すると、違反端末のMACアドレスを自センサに設定した上で、違反端末に成り代わって、無線アクセスポイントに新規接続要求を送信する。無線アクセスポイントは、WIPSセンサからの新規接続要求に応じて、当該MACアドレスに関する既存の接続を切断し、通信フレームの暗号化のための新たな共有キーを割り当てて、WIPSセンサとの通信を開始する。この結果、無線アクセスポイントにおいては実質的に、違反端末のMACアドレスに対して新たな共有キーが設定されることになる。この結果、無線アクセスポイントと違反端末との間で行っている接続を遮断させることができる。
This point is also pointed out in
上記特許文献1の構成は、違反端末の通信を阻止するために、正規の無線アクセスポイントが切断処理及び再認証を行わなければならない。従って、正規の無線アクセスポイントの処理負荷を軽減する観点から改善の余地が残されていた。
In the configuration of
本発明は以上の事情に鑑みてなされたものであり、その目的は、無線アクセスポイントの処理負荷の増加を抑制しつつ不正端末の侵入を防止することにある。 SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to prevent an unauthorized terminal from intruding while suppressing an increase in the processing load of a wireless access point.
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。 The problems to be solved by the present invention are as described above. Next, the means for solving the problems and the effects thereof will be described.
本発明の第1の観点によれば、以下の構成のWIPSセンサが提供される。即ち、このWIPSセンサは、無線監視部と、無線送信部と、を備える。前記無線監視部は、無線通信環境を監視する。前記無線送信部は、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する。 A first aspect of the present invention provides a WIPS sensor having the following configuration. That is, the WIPS sensor includes a wireless monitor and a wireless transmitter. The radio monitoring unit monitors a radio communication environment. The wireless transmission unit determines that connection with the wireless access point is impossible after the wireless monitoring unit detects a probe request transmitted by the unauthorized terminal to attempt wireless connection to the authorized wireless access point. Send a misidentification guidance probe response to misidentify an unauthorized terminal.
これにより、簡単な構成で、無線ネットワークに対する不正端末の侵入を防止することができる。また、無線アクセスポイントとの無線接続の試行を取り止めるように不正端末を誘導する形で無線侵入を防止するので、無線アクセスポイントの処理負荷の増大を抑制することができる。 This makes it possible to prevent unauthorized terminals from intruding into the wireless network with a simple configuration. In addition, since wireless intrusion is prevented by guiding an unauthorized terminal to stop attempting wireless connection with the wireless access point, it is possible to suppress an increase in the processing load on the wireless access point.
前記のWIPSセンサにおいては、前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることが好ましい。 In the WIPS sensor, it is preferable that at least one of the SSID and RSNE is missing or false information is described in the misleading probe response transmitted by the wireless transmission unit.
これにより、通信に関する重要な情報に関して不正端末に誤認させることができる。従って、無線ネットワークに対する不正端末の侵入を確実に防止できる。 As a result, an unauthorized terminal can be misidentified as to important information related to communication. Therefore, it is possible to reliably prevent unauthorized terminals from intruding into the wireless network.
前記の誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDを記述することができる。あるいは、SSIDの情報を実質的に欠落させることができる。 An SSID different from the SSID of the legitimate wireless access point can be described in the misidentification induction probe response. Alternatively, the SSID information can be substantially omitted.
これにより、無線アクセスポイントのSSIDが、不正端末が期待するSSIDに対して不一致であると、不正端末に誤認させることができる。 This makes it possible for the unauthorized terminal to misunderstand that the SSID of the wireless access point does not match the SSID expected by the unauthorized terminal.
前記の誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値を記述することができる。あるいは、正規の前記無線アクセスポイントが対応しない認証鍵管理方式を、認証鍵管理方式として記述することができる。また、正規の前記無線アクセスポイントが対応しない暗号化方式を、暗号化方式として記述することができる。 In the RSNE of the misleading probe response, a reserved value can be described for at least one of the authentication key management method and the encryption method. Alternatively, an authentication key management method that the authorized wireless access points do not support can be described as an authentication key management method. Also, an encryption method that is not supported by the authorized wireless access points can be described as an encryption method.
これにより、無線アクセスポイントが対応可能な認証鍵管理方式又は暗号化方式が不正端末にとって未知である、あるいは自身の期待に一致しないと、不正端末に誤認させることができる。 As a result, if the authentication key management method or the encryption method that the wireless access point can support is unknown to the unauthorized terminal or does not meet its own expectations, the unauthorized terminal can be misled.
本発明の第2の観点によれば、前記WIPSセンサと、前記無線アクセスポイントと、を備える無線通信システムが提供される。 A second aspect of the present invention provides a wireless communication system comprising the WIPS sensor and the wireless access point.
本発明の第3の観点によれば、以下の無線侵入防止方法が提供される。即ち、この無線侵入防止方法は、監視ステップと、誤認誘導ステップと、を備える。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。 A third aspect of the present invention provides the following wireless intrusion prevention method. That is, this wireless intrusion prevention method includes a monitoring step and a false recognition induction step. The monitoring step monitors the wireless communication environment. In the misidentification inducing step, if the monitoring step detects a probe request sent by an unauthorized terminal to attempt wireless connection to a legitimate wireless access point, it is determined that connection with the wireless access point is impossible. Send a misidentification guidance probe response to misidentify an unauthorized terminal.
本発明の第4の観点によれば、以下の構成の無線通信阻止プログラムが提供される。即ち、この無線通信阻止プログラムは、無線通信部を備えるコンピュータに、監視ステップと、誤認誘導ステップと、を実行させる。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。 According to a fourth aspect of the present invention, there is provided a wireless communication blocking program having the following configuration. That is, this wireless communication blocking program causes a computer having a wireless communication unit to execute a monitoring step and a misrecognition guiding step. The monitoring step monitors the wireless communication environment. In the misidentification inducing step, if the monitoring step detects a probe request sent by an unauthorized terminal to attempt wireless connection to a legitimate wireless access point, it is determined that connection with the wireless access point is impossible. Send a misidentification guidance probe response to misidentify an unauthorized terminal.
次に、図面を参照して本発明の実施の形態を説明する。図1は、無線通信システム100の構成を示す模式図である。
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a schematic diagram showing the configuration of a
図1に示す無線通信システム100は、無線アクセスポイント50及び複数の無線通信端末60から構成されている。無線アクセスポイント50は、IEEE802.11に規定するインフラストラクチャモードでのアクセスポイントとして機能する。
A
無線アクセスポイント50は、自身を中心とした無線ネットワークを形成する。無線アクセスポイント50は、無線通信可能エリアに存在する無線通信端末60のそれぞれとの間で、無線信号(電波)による通信を行う。この無線ネットワークは、例えば、無線LANのために用いられる。以下では、アクセスポイントをAPと略称で呼ぶ場合がある。
The
無線通信端末60は、いわゆる無線通信ステーションである。図1のSTAとは、ステーションの略称である。無線通信端末60は、例えば、スマートフォン、タブレット端末、又はパーソナルコンピュータ等で構成される。無線通信端末60は、例えば、端末に無線通信モジュールを備えることで実現することができる。
The
無線通信システム100は、WIPSセンサ1を含んで構成される。WIPSセンサ1は、機器情報記憶部11と、AP通信設定記憶部12と、無線監視部13と、無線送信部14と、を備える。無線監視部13及び無線送信部14は、無線通信部として機能する。
A
具体的に説明すると、WIPSセンサ1には、公知のコンピュータが内蔵されている。このコンピュータは、CPU、ROM、RAM等を備える。ROM及びRAMは、無線通信システム100に関する各種の情報を記憶する記憶部を構成している。記憶部は、不揮発性メモリ及び揮発性メモリからなる。不揮発性メモリには、本発明の無線侵入防止方法を実現するための無線侵入防止プログラム等が記憶されている。上記のハードウェアとソフトウェアの協働により、当該コンピュータを、機器情報記憶部11、AP通信設定記憶部12、無線監視部13、及び無線送信部14として動作させることができる。
Specifically, the
上記の不揮発性メモリには、無線アクセスポイント50のSSID、AP識別番号(例えばMACアドレス)等、上記のプログラムを動作させるために必要な情報が記憶される。SSIDとは、Service Set IDentifierの略称である。MACとは、Media Access Controlの略称である。揮発性メモリには、主として、プログラムを動作させるための一時的なデータが記憶される。
The non-volatile memory stores information necessary for operating the above program, such as the SSID of the
機器情報記憶部11は、正規の無線アクセスポイント50及び正規の無線通信端末60を特定するための識別情報を記憶することができる。この識別情報としては、例えばMACアドレスを使用することができるが、これに限定されない。
The device
AP通信設定記憶部12は、無線アクセスポイント50が使用するチャネル及び暗号設定等に関する情報を記憶することができる。この情報は、例えば、後述の誤認誘導プローブ応答の生成のために使用される。
The AP communication
無線監視部13は、所定の無線通信規格に準拠して、周囲の無線環境を監視する。無線通信規格としては、例えばIEEE802.11ac等が考えられるが、これに限定されない。無線監視部13はパケットキャプチャとして構成されており、ネットワーク上で実際に無線通信されるパケットを常時受信している。
The
無線監視部13は、取得した無線通信パケットを実質的にリアルタイムで解析する。これにより、事前に登録されていない無線通信端末が行う不正な通信を高速で検知することができる。以下では、無線アクセスポイント50及び無線通信端末60のネットワークに対して、事前の許可がなく無線通信しようとする端末を不正端末60xと呼ぶことがある。
The
無線送信部14は、不正端末60xに対して、誤認誘導プローブ応答を生成して送信する。誤認誘導プローブ応答は特殊なプローブ応答であり、その詳細については後述する。本来、プローブ応答は無線アクセスポイント50が送信すべきものであるが、WIPSセンサ1が誤認誘導プローブ応答を送信して不正端末60xに受信させることにより、不正端末60xが無線アクセスポイント50との通信を取り止めることを促すことができる。通信は、上述の無線通信規格に準拠した方式で行われる。
The
次に、本実施形態の無線アクセスポイント50と正規の無線通信端末60とが行う無線通信について簡単に説明する。
Next, wireless communication between the
無線アクセスポイント50及び無線通信端末60は、通常の手順で接続処理を実行した後、互いに電波を送受信して無線通信を行う。接続処理は、周知の無線LAN関連規格であるIEEE802.11に従って行われる。接続の手順の一例について簡単に説明すると、無線通信端末60は、周囲に存在する無線通信機器を知るために、プローブ要求と呼ばれるMACフレームを周囲に無線送信する。これを受信した無線アクセスポイント50は、返信として、プローブ応答と呼ばれるMACフレームを無線送信する。
The
詳細は後述するが、プローブ応答には、SSID及びセキュリティ方式の情報が記述されている。無線通信端末60は、無線アクセスポイント50から受信したプローブ応答に基づいて、自身が無線アクセスポイントに接続可能か否かを判断する。
Although the details will be described later, the probe response describes the SSID and security method information. Based on the probe response received from the
その後、無線通信端末60と無線アクセスポイント50との間で、認証及びアソシエーションのためのMACフレームのやり取りが無線によって行われ、接続が確立される。
After that, MAC frames for authentication and association are wirelessly exchanged between the
次に、無線監視部13及び無線送信部14の動作について詳細に説明する。
Next, operations of the
無線アクセスポイント50及び無線通信端末60との間で無線通信ネットワークが構成されている場合において、不正端末60xが無線アクセスポイント50に対して通信を試みる場合を考える。不正端末60xは外部から持ち込まれる場合もあり、その動作は未知であるが、正規の無線通信端末60と同様に動作することが一応想定される。
Consider a case where an
正規の無線アクセスポイント50は、不正端末60xが無線アクセスポイント50にプローブ要求を送信した場合、通常どおりのプローブ応答を送信する。
When the unauthorized terminal 60x transmits a probe request to the
WIPSセンサ1は、不正端末60xが無線アクセスポイント50にプローブ要求を送信したことを検知する。具体的には、WIPSセンサ1において、無線監視部13が取得した無線パケットが、無線アクセスポイント50へのプローブ要求であるか否かが判定される。この判定の結果、当該パケットがプローブ要求である場合には、このパケットに含まれる要求元の識別情報(例えば、MACアドレス)が、正規の無線通信端末60のリストに含まれているか否かを判定する。このリストは、WIPSセンサ1に対する事前の登録作業によって、機器情報記憶部11に記憶される。プローブ要求の要求元の識別情報が登録リストに含まれていない場合、当該プローブ要求が不正端末60xからのものであると判定することができる。
The
不正端末60xからのプローブ要求の送信が検知された場合、無線送信部14は、不正端末60xが正規の無線アクセスポイント50に対して期待している情報とは異なるプローブ応答を送信する。このプローブ応答は、無線アクセスポイント50の動作及び機能のうち少なくとも何れかがあたかも不正端末60xの要求を満たさないかのように偽装し、不正端末60xに誤認させることを意図して、WIPSセンサ1が生成するものである。以下、このプローブ応答を誤認誘導プローブ応答と呼ぶことがある。
When the transmission of the probe request from the
不正端末60xは、無線アクセスポイント50からの通常のプローブ応答と、WIPSセンサ1からのプローブ応答(誤認誘導プローブ応答)と、を受信する。誤認誘導プローブ応答を受信した不正端末60xは、無線アクセスポイント50に対して自身が接続できないと判断し、無線アクセスポイント50への接続を自発的に取り止めることが期待される。以上のようにして、不正端末60xと無線アクセスポイント50との通信を実質的に阻止することができる。
The
WIPSセンサ1が不正端末60xに送信する誤認誘導プローブ応答については様々に考えられる。以下、複数の例のそれぞれを説明する。
Various misidentification guidance probe responses that the
[1]プローブ応答のフレームのうち、SSID elementを、無線アクセスポイント50を一意に示すものでない架空のものに書き換えることによって、誤認誘導プローブ応答を生成することができる。SSIDは周知であるため詳細には説明しないが、無線アクセスポイント50を一意に識別するために予め定められている識別子(可変長の文字列)である。
[1] By rewriting the SSID element in the probe response frame to a fictitious one that does not uniquely indicate the
SSID elementの仕様は、図2のように定義されている。図2に示すように、プローブ応答のフレームは、Timestamp等、各種のフレーム要素から構成される。SSID elementは、フレーム要素の一種である。SSID elementは、「Element ID」フィールド、「Length」フィールド、「SSID」フィールドから構成されている。 The specifications of the SSID element are defined as shown in FIG. As shown in FIG. 2, the probe response frame is composed of various frame elements such as Timestamp. The SSID element is a kind of frame element. The SSID element is composed of an "Element ID" field, a "Length" field, and an "SSID" field.
「Element ID」には、当該フレーム要素がSSID elementであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続くフィールドである「SSID」フィールドのデータ長が記述される。「SSID」フィールドには、通常、無線アクセスポイント50のSSIDの文字列が記述される。
“Element ID” describes a unique value indicating that the frame element is an SSID element. "Length" describes the data length of the "SSID" field, which is the field following the field. In the “SSID” field, a character string of the SSID of the
無線アクセスポイント50が送信する通常のプローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDが記述される。一方、誤認誘導プローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDとは異なる文字列が記述される。誤認誘導プローブ応答のSSIDとしては、例えばWIPSセンサ1が生成したランダムな文字列を使用することができる。
In a normal probe response transmitted by the
図1には無線アクセスポイント50が1つだけの場合が示されているが、無線アクセスポイント50が複数設置される場合も考えられる。影響の拡大を避けるため、誤認誘導プローブ応答のSSIDとしては、何れの無線アクセスポイント50のSSIDとも一致しないことが好ましい。
Although FIG. 1 shows a case where there is only one
[2]プローブ応答のSSID elementにおいて、「Length」に0を設定し、「SSID」フィールドに空文字列を設定しても良い。 [2] In the SSID element of the probe response, "Length" may be set to 0 and the "SSID" field may be set to an empty string.
[3]プローブ応答からSSID element自体を取り除いても良い。 [3] The SSID element itself may be removed from the probe response.
例として挙げた[1]、[2]、[3]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が接続先候補として記憶しているSSIDと、誤認誘導プローブ応答に含まれるSSIDと、を比較する。SSIDが一致しないので、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。
In any of the cases [1], [2], and [3] given as examples, the
[4]プローブ応答のフレームのうち、RSNEの認証鍵管理方式リストフィールドを、無線アクセスポイント50の機能を反映しない架空のもの(例えば、「予約値」を意味するゼロ)に書き換えることによって、誤認誘導プローブ応答を生成することができる。RSNEとは、ロバストセキュリティネットワーク要素(Robust Security Network Element)の略称である。 [4] By rewriting the authentication key management method list field of the RSNE in the frame of the probe response to a fictitious one that does not reflect the function of the wireless access point 50 (for example, zero meaning "reserved value"), misidentification A induced probe response can be generated. RSNE is an abbreviation for Robust Security Network Element.
RSNEの仕様は、図3のように定義されている。RSNEは、上述のSSID elementと同様に、フレーム要素の一種である。RSNEは、「Element ID」フィールド、「Length」フィールド、データ暗号化方式リストフィールド、認証鍵管理方式リストフィールド、管理フレーム暗号化方式フィールドを含んで構成されている。 The specifications of RSNE are defined as shown in FIG. RSNE is a kind of frame element, like the SSID element described above. The RSNE includes an "Element ID" field, a "Length" field, a data encryption method list field, an authentication key management method list field, and a management frame encryption method field.
「Element ID」には、当該フレーム要素がRSNEであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続く各フィールドのデータ長の合計値が記述される。データ暗号化方式リストフィールドには、通常、無線アクセスポイント50が対応可能なデータ暗号化方式(Pairwise Cipher Suite)を示す番号のリストが記述される。認証鍵管理方式リストフィールドには、通常、無線アクセスポイント50が対応可能な認証及び鍵管理の方式(Authentication Key Management Suite)を示す番号のリストが記述される。管理フレーム暗号化方式フィールドには、通常、無線アクセスポイント50において行う管理フレームを保護するために使用する暗号化方式(Group Management Cipher Suite)を示す番号が記述される。
“Element ID” describes a unique value indicating that the frame element is an RSNE. "Length" describes the total value of the data length of each field following the field in question. In the data encryption method list field, a list of numbers indicating data encryption methods (Pairwise Cipher Suite) that the
無線アクセスポイント50が送信する通常のプローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵管理方式の番号が記述されるが、一方、誤認誘導プローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵方式ではない情報が記述される。予約値を意味するゼロを当該フィールドに記述することに代えて、不正端末60xが期待していないと考えられる他の認証鍵管理方式を示す値を記述しても良い。
In a normal probe response transmitted by the
[5]フレーム本体のRSNEにおいて、データ暗号化方式リストフィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。
[5] In the RSNE of the frame body, zero indicating a reserved value may be described in the data encryption method list field. Instead of the reserved value (zero), a value indicating another encryption scheme that is not expected by the
[6]フレーム本体のRSNEにおいて、管理フレーム暗号化方式フィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。
[6] In the RSNE of the frame body, zero indicating a reserved value may be described in the management frame encryption method field. Instead of the reserved value (zero), a value indicating another encryption scheme that is not expected by the
例として挙げた[4]、[5]、[6]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が未知である、又は要求と異なる認証鍵管理方式又は暗号化方式を無線アクセスポイント50が採用していると判定する。この結果、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。
In any of the cases [4], [5], and [6] given as examples, the
WIPSセンサ1が誤認誘導プローブ応答を不正端末60xに送信するタイミングは、不正端末60xがプローブ要求を送信したタイミングよりも後であれば任意である。本実施形態では、WIPSセンサ1は、不正端末60xからのプローブ要求に対して無線アクセスポイント50が通常のプローブ応答を不正端末60xに送信するのを待機し、その直後に誤認誘導プローブ応答を送信することで、不正端末60xが保持する無線アクセスポイント50に関する接続のための情報は、当該誤認誘導プローブ応答に含まれる情報(例えばSSID等)に確実に更新される。この結果、不正端末60xは、無線アクセスポイント50への接続の試みを中止することになり、不正端末60xの通信を阻止する確実性を高めることができる。なお、WIPSセンサ1は、不正端末60xからのプローブ要求を検知した後に、無線アクセスポイント50からプローブ応答が送信されることを待つことなく、その代わりに即座に複数(例えば10回)の誤認誘導プローブ応答を送信してもよい。これによれば、不正端末60xに対する誤認誘導プローブ応答の到達率を高めることができるとともに、無線アクセスポイント50がプローブ応答を送信する前後両方のタイミングで、不正端末60xに誤認誘導プローブ応答を受信させることができ、不正端末60xの通信を阻止する確実性を高めることができる。
The timing at which the
次に、図4のフローチャートを参照して、WIPSセンサ1において行われる処理について説明する。
Next, the processing performed in the
処理が開始されると、無線監視部13が、周囲の無線パケットをキャプチャして解析する(ステップS101、監視ステップ)。次に、機器情報記憶部11に格納された情報を参照して、取得された無線パケットが、正規の無線通信端末60からのプローブ要求か、不正端末60xからのプローブ要求であるか否かが判定される(ステップS102)。
When the process is started, the
無線パケットが不正端末60xからのプローブ要求であった場合(ステップS102のYes)、WIPSセンサ1は、このプローブ要求に対して無線アクセスポイント50が送信するプローブ応答を無線監視部13が検知したか否かを判定する(ステップS103)。一方、無線パケットが不正端末60xからのプローブ要求でなかった場合(ステップS102のNo)、ステップS101に戻る。また、WIPSセンサ1は、ステップS103において、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知した場合(ステップS103のYes)、その後直ちに、無線送信部14が誤認誘導プローブ応答を送信する(ステップS104、誤認誘導ステップ)。一方、WIPSセンサ1は、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知しない場合(ステップS103のNo)、ステップS103に戻り、無線アクセスポイント50のプローブ応答を無線監視部13が検知するまで待機する。
If the wireless packet is a probe request from the
以上の構成により、不正端末60xの通信を、正規の無線アクセスポイント50の処理負荷を従来技術と比較して抑制しながら阻止することができる。また、既存の無線アクセスポイント50及び無線通信端末60において特別なハードウェア及びソフトウェアを必要とすることなく、WIPSセンサ1を後付け的に導入するだけで、不正な通信を防止することができる。
With the above configuration, it is possible to block communication from the unauthorized terminal 60x while suppressing the processing load on the authorized
以上に説明したように、本実施形態のWIPSセンサ1は、無線監視部13と、無線送信部14と、を備える。無線監視部13は、無線通信環境を監視する。無線送信部14は、不正端末60xが正規のアクセスポイントに対して無線接続を試みるために送信したプローブ要求を無線監視部13が検知した後に、アクセスポイントとの接続が不能であると不正端末60xに誤認させるための誤認誘導プローブ応答を生成し、これを送信する。
As described above, the
これにより、簡単な構成で、無線ネットワークに対する不正端末60xの侵入を防止することができる。また、無線アクセスポイント50との無線接続の試行を取り止めるように不正端末60xを誘導する形で無線侵入を防止するので、無線アクセスポイント50の処理負荷の増大を抑制できる。
This makes it possible to prevent the unauthorized terminal 60x from intruding into the wireless network with a simple configuration. In addition, since wireless intrusion is prevented by guiding the unauthorized terminal 60x to stop attempting wireless connection with the
また、本実施形態のWIPSセンサ1において、無線送信部14が送信する誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されている。
In addition, in the
これにより、通信に関する重要な情報に関して不正端末60xに誤認させることができるので、無線ネットワークに対する不正端末60xの侵入を確実に防止できる。
As a result, the
また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答において、正規の無線アクセスポイント50のSSIDと異なるSSIDが記述されている。あるいは、誤認誘導プローブ応答において、SSIDの情報が実質的に欠落している。
Further, in this embodiment, an SSID different from the SSID of the authorized
これにより、無線アクセスポイント50のSSIDが、不正端末60xが期待するSSIDに対して不一致であると、不正端末60xに誤認させることができる。
This makes it possible for the unauthorized terminal 60x to misunderstand that the SSID of the
また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式又は暗号化方式を示す番号として、予約値が記述されている。あるいは、正規の無線アクセスポイント50が対応しない暗号化方式又は認証鍵管理方式が、RSNEに記述されている。
Further, in the present embodiment, in the RSNE of the misleading probe response transmitted by the
これにより、無線アクセスポイント50が対応可能な認証鍵管理方式又は暗号化方式が不正端末60xにとって未知である、あるいは自身の期待に一致しないと、不正端末60xに誤認させることができる。
As a result, if the authentication key management method or encryption method that the
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。 Although the preferred embodiments of the present invention have been described above, the above configuration can be modified, for example, as follows.
上記の実施形態において、誤認誘導プローブ応答は、無線アクセスポイント50が不正端末60xに対して送信する通常のプローブ応答をWIPSセンサ1の無線監視部13が受信し、その内容を参照してその一部を書き換える形で生成されている。これにより、WIPSセンサ1における処理が簡単になる。ただし、通常のプローブ応答の内容を参照せずに、誤認誘導プローブ応答をWIPSセンサ1側で生成することもできる。
In the above-described embodiment, the misidentification-inducing probe response is obtained by the
WIPSセンサ1が、無線アクセスポイント50と例えば無線により通信する機能を有しても良い。例えば、WIPSセンサ1が、無線アクセスポイント50との通信により、機器情報記憶部11及びAP通信設定記憶部12の内容(特に、正規の無線通信端末60のリスト)を取得するように構成することができる。この場合、WIPSセンサ1への設定作業の手間を軽減することができる。
The
また、WIPSセンサ1は、誤認誘導プローブ応答を1回だけ送信しても良いし、適宜の時間間隔をあけて複数回送信しても良い。
Further, the
本発明は、産業上広く普及している、既存の無線アクセスポイント及び無線通信端末に、特別なハードウェア及びソフトウェアを必要とすることなく、不正な通信を防止する無線通信システムに適用できる。例えば、無線侵入防止システム等に有用である。 INDUSTRIAL APPLICABILITY The present invention can be applied to existing wireless access points and wireless communication terminals that are widely used in the industry, and can be applied to wireless communication systems that prevent unauthorized communication without requiring special hardware and software. For example, it is useful for wireless intrusion prevention systems.
1 WIPSセンサ
13 無線監視部
14 無線送信部
50 無線アクセスポイント
60 無線通信端末
60x 不正端末
100 無線通信システム
1
Claims (10)
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する無線送信部と、
を備えることを特徴とするWIPSセンサ。 a wireless monitoring unit that monitors a wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the wireless access point is impossible after the wireless monitoring unit detects a probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point. A wireless transmission unit that transmits a misidentification induction probe response of
A WIPS sensor comprising:
前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 1, comprising:
A WIPS sensor according to claim 1, wherein at least one of an SSID and an RSNE is missing or incorrect information is described in the misidentification induction probe response transmitted by the wireless transmission unit.
前記誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDが記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor according to claim 1, wherein an SSID different from the SSID of the authorized wireless access point is described in the misidentification induction probe response.
前記誤認誘導プローブ応答において、SSIDの情報が実質的に欠落していることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein SSID information is substantially absent in the misleading probe response.
前記誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値が記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein a reserved value is described for at least one of an authentication key management method and an encryption method in the RSNE of the misleading probe response.
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない認証鍵管理方式が、認証鍵管理方式として記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein an authentication key management method not supported by the authorized wireless access point is described as an authentication key management method in the RSNE of the misidentification induction probe response.
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない暗号化方式が、暗号化方式として記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor as claimed in claim 1, wherein an encryption method not supported by the authorized wireless access point is described as an encryption method in the RSNE of the misidentification induction probe response.
前記無線アクセスポイントと、
を備えることを特徴とする無線通信システム。 a WIPS sensor according to any one of claims 1 to 7;
the wireless access point;
A wireless communication system comprising:
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を備えることを特徴とする無線侵入防止方法。 a monitoring step of monitoring the wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the authorized wireless access point is impossible when the probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point is detected in the monitoring step. a misleading step of sending a misleading probe response of
A wireless intrusion prevention method comprising:
無線通信環境を監視する監視ステップと、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を実行させることを特徴とする無線侵入防止プログラム。 A computer equipped with a wireless communication unit,
a monitoring step of monitoring the wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the authorized wireless access point is impossible when the probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point is detected in the monitoring step. a misleading step of sending a misleading probe response of
A wireless intrusion prevention program characterized by executing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021030724A JP7430397B2 (en) | 2021-02-26 | 2021-02-26 | WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021030724A JP7430397B2 (en) | 2021-02-26 | 2021-02-26 | WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022131667A true JP2022131667A (en) | 2022-09-07 |
JP7430397B2 JP7430397B2 (en) | 2024-02-13 |
Family
ID=83152899
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021030724A Active JP7430397B2 (en) | 2021-02-26 | 2021-02-26 | WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7430397B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5708183B2 (en) | 2011-04-14 | 2015-04-30 | 富士通セミコンダクター株式会社 | Wireless communication apparatus and wireless communication method |
JP2018511282A (en) | 2015-03-27 | 2018-04-19 | ユーネット セキュア インコーポレイテッド | WIPS sensor and terminal blocking method using the same |
KR102329493B1 (en) | 2015-11-27 | 2021-11-22 | 삼성전자 주식회사 | Method and apparatus for preventing connection in wireless intrusion prevention system |
KR102102835B1 (en) | 2019-03-26 | 2020-04-22 | 시큐어레터 주식회사 | Wips sensor |
-
2021
- 2021-02-26 JP JP2021030724A patent/JP7430397B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7430397B2 (en) | 2024-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100628325B1 (en) | Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion | |
CA2495142C (en) | Wireless local or metropolitan area network with intrusion detection features and related methods | |
KR102157661B1 (en) | Wireless intrusion prevention system, wireless network system, and operating method for wireless network system | |
US8621071B1 (en) | Method and apparatus for automatically selecting an access point | |
US9143528B2 (en) | Method and device for countering fingerprint forgery attacks in a communication system | |
US10638323B2 (en) | Wireless communication device, wireless communication method, and computer readable storage medium | |
JP7079994B1 (en) | Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor | |
US20150138013A1 (en) | Apparatus and method for positioning wlan terminal | |
WO2010027121A1 (en) | System and method for preventing wireless lan intrusion | |
JP7430397B2 (en) | WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program | |
KR101725129B1 (en) | Apparatus for analyzing vulnerableness of wireless lan | |
WO2019167132A1 (en) | Wireless communication device, wireless lan router, unauthorized access prevention method and wireless communication system | |
EP3820173B1 (en) | Roadside radio device and radio communication system | |
KR101083727B1 (en) | Apparatus and method of wireless network security | |
KR101553827B1 (en) | System for detecting and blocking illegal access point | |
JP5175898B2 (en) | Wireless communication apparatus, connection release method, and program | |
US8117658B2 (en) | Access point, mobile station, and method for detecting attacks thereon | |
CN113132993B (en) | Data stealing identification system applied to wireless local area network and use method thereof | |
KR102366574B1 (en) | Wireless Intrusion Prevention Methods | |
KR20140044528A (en) | Terminal device communicating with wireless access point and method for controlling the same | |
KR100678390B1 (en) | Wireless local or metropolitan area network with intrusion detection features and related methods | |
KR101564001B1 (en) | Device for securely managemnet of wired and wireless communications | |
KR20150120614A (en) | Sensor for wireless intrusion prevention system and its channel monitoring method | |
JP2017055286A (en) | Radio communication device, method, system and program | |
TW201112811A (en) | Service network detecting system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230802 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230802 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230906 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231101 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7430397 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |