JP2022131667A - Wips sensor, wireless communication system, wireless intrusion prevention method, and wireless intrusion prevention program - Google Patents

Wips sensor, wireless communication system, wireless intrusion prevention method, and wireless intrusion prevention program Download PDF

Info

Publication number
JP2022131667A
JP2022131667A JP2021030724A JP2021030724A JP2022131667A JP 2022131667 A JP2022131667 A JP 2022131667A JP 2021030724 A JP2021030724 A JP 2021030724A JP 2021030724 A JP2021030724 A JP 2021030724A JP 2022131667 A JP2022131667 A JP 2022131667A
Authority
JP
Japan
Prior art keywords
wireless
access point
wireless access
probe response
wips sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021030724A
Other languages
Japanese (ja)
Other versions
JP7430397B2 (en
Inventor
丞 遠藤
Jo Endo
雅央 川嵜
Masao Kawasaki
和輝 辻
Kazuteru Tsuji
忠與 香川
Tadayoshi Kagawa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Silex Technology Inc
Original Assignee
Silex Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Silex Technology Inc filed Critical Silex Technology Inc
Priority to JP2021030724A priority Critical patent/JP7430397B2/en
Publication of JP2022131667A publication Critical patent/JP2022131667A/en
Application granted granted Critical
Publication of JP7430397B2 publication Critical patent/JP7430397B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

To prevent the intrusion of an unauthorized terminal while suppressing an increase in the processing load of a wireless access point.SOLUTION: A WIPS sensor 1 includes a wireless monitoring unit 13 and a wireless transmission unit 14. The wireless monitoring unit 13 monitors a wireless communication environment. After the wireless monitoring unit 13 detects a probe request transmitted by an unauthorized terminal 60x to attempt wireless connection to a normal wireless access point 50, the wireless transmission unit 14 transmits a false recognition induction probe response for making the unauthorized terminal 60x falsely recognize that connection with the wireless access point 50 is impossible.SELECTED DRAWING: Figure 1

Description

本発明は、主として、WIPSセンサに関する。WIPSとは、無線侵入防止システム(Wireless Intrusion Prevention System)の略称である。 The present invention relates primarily to WIPS sensors. WIPS is an abbreviation for Wireless Intrusion Prevention System.

無線ネットワークのセキュリティを向上させるために、WIPSセンサが用いられることがある。WIPSセンサは、保安に違反して無線アクセスポイントと通信している端末を検知し、その通信を阻止する。 WIPS sensors are sometimes used to improve the security of wireless networks. A WIPS sensor detects terminals communicating with a wireless access point in violation of security and blocks the communication.

従来は、WIPSセンサが違反端末に成り代わって、接続終了の要求を意味する通信フレームを無線アクセスポイントへ送信することで、無線アクセスポイントに当該端末に対する接続を遮断させることができた。このような通信フレームとしては、管理フレームと呼ばれる、認証解除フレーム(Deauthentication)又は連動解除フレーム(Disassociation)が用いられる。 Conventionally, a WIPS sensor could act as a violating terminal and transmit a communication frame indicating a connection termination request to the wireless access point, thereby making the wireless access point cut off the connection to the terminal. As such a communication frame, a deauthentication frame (Deauthentication) or an association release frame (Disassociation) called a management frame is used.

しかし、近年新しく登場したIEEE802.11w規格においては、無線アクセスポイントと無線通信端末との通信において、管理フレームが共有キー方式の暗号化によって保護される。従って、認証解除フレーム又は連動解除フレームを送信する従来の方法は、新規格において使用することができない。なお、IEEE802.11w規格は、従来は暗号および認証の対象外であった管理フレームにもセキュリティ(暗号化)を施す通信規格である。 However, in the IEEE 802.11w standard, which has recently emerged, management frames are protected by shared key encryption in communication between wireless access points and wireless communication terminals. Therefore, conventional methods of sending de-authentication or de-association frames cannot be used in the new standard. Note that the IEEE802.11w standard is a communication standard that applies security (encryption) to management frames, which were not subject to encryption and authentication in the past.

この点は特許文献1も指摘するところであり、これを解決するために以下の構成を提案している。即ち、特許文献1のWIPSセンサは、違反端末が無線アクセスポイントに接続したことを検知すると、違反端末のMACアドレスを自センサに設定した上で、違反端末に成り代わって、無線アクセスポイントに新規接続要求を送信する。無線アクセスポイントは、WIPSセンサからの新規接続要求に応じて、当該MACアドレスに関する既存の接続を切断し、通信フレームの暗号化のための新たな共有キーを割り当てて、WIPSセンサとの通信を開始する。この結果、無線アクセスポイントにおいては実質的に、違反端末のMACアドレスに対して新たな共有キーが設定されることになる。この結果、無線アクセスポイントと違反端末との間で行っている接続を遮断させることができる。 This point is also pointed out in Patent Document 1, and the following configuration is proposed to solve this. That is, when the WIPS sensor of Patent Document 1 detects that a violating terminal has connected to a wireless access point, the WIPS sensor sets the MAC address of the violating terminal to its own sensor. Send a connection request. In response to a new connection request from the WIPS sensor, the wireless access point disconnects the existing connection for the MAC address, allocates a new shared key for encrypting communication frames, and starts communication with the WIPS sensor. do. As a result, in the wireless access point, a new shared key is substantially set for the MAC address of the offending terminal. As a result, the connection between the wireless access point and the violating terminal can be cut off.

特表2018-511282号公報Japanese Patent Publication No. 2018-511282

上記特許文献1の構成は、違反端末の通信を阻止するために、正規の無線アクセスポイントが切断処理及び再認証を行わなければならない。従って、正規の無線アクセスポイントの処理負荷を軽減する観点から改善の余地が残されていた。 In the configuration of Patent Literature 1, a legitimate wireless access point must perform disconnection processing and re-authentication in order to block communication of a violating terminal. Therefore, there is still room for improvement from the viewpoint of reducing the processing load of authorized wireless access points.

本発明は以上の事情に鑑みてなされたものであり、その目的は、無線アクセスポイントの処理負荷の増加を抑制しつつ不正端末の侵入を防止することにある。 SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to prevent an unauthorized terminal from intruding while suppressing an increase in the processing load of a wireless access point.

課題を解決するための手段及び効果Means and Effects for Solving Problems

本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。 The problems to be solved by the present invention are as described above. Next, the means for solving the problems and the effects thereof will be described.

本発明の第1の観点によれば、以下の構成のWIPSセンサが提供される。即ち、このWIPSセンサは、無線監視部と、無線送信部と、を備える。前記無線監視部は、無線通信環境を監視する。前記無線送信部は、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する。 A first aspect of the present invention provides a WIPS sensor having the following configuration. That is, the WIPS sensor includes a wireless monitor and a wireless transmitter. The radio monitoring unit monitors a radio communication environment. The wireless transmission unit determines that connection with the wireless access point is impossible after the wireless monitoring unit detects a probe request transmitted by the unauthorized terminal to attempt wireless connection to the authorized wireless access point. Send a misidentification guidance probe response to misidentify an unauthorized terminal.

これにより、簡単な構成で、無線ネットワークに対する不正端末の侵入を防止することができる。また、無線アクセスポイントとの無線接続の試行を取り止めるように不正端末を誘導する形で無線侵入を防止するので、無線アクセスポイントの処理負荷の増大を抑制することができる。 This makes it possible to prevent unauthorized terminals from intruding into the wireless network with a simple configuration. In addition, since wireless intrusion is prevented by guiding an unauthorized terminal to stop attempting wireless connection with the wireless access point, it is possible to suppress an increase in the processing load on the wireless access point.

前記のWIPSセンサにおいては、前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることが好ましい。 In the WIPS sensor, it is preferable that at least one of the SSID and RSNE is missing or false information is described in the misleading probe response transmitted by the wireless transmission unit.

これにより、通信に関する重要な情報に関して不正端末に誤認させることができる。従って、無線ネットワークに対する不正端末の侵入を確実に防止できる。 As a result, an unauthorized terminal can be misidentified as to important information related to communication. Therefore, it is possible to reliably prevent unauthorized terminals from intruding into the wireless network.

前記の誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDを記述することができる。あるいは、SSIDの情報を実質的に欠落させることができる。 An SSID different from the SSID of the legitimate wireless access point can be described in the misidentification induction probe response. Alternatively, the SSID information can be substantially omitted.

これにより、無線アクセスポイントのSSIDが、不正端末が期待するSSIDに対して不一致であると、不正端末に誤認させることができる。 This makes it possible for the unauthorized terminal to misunderstand that the SSID of the wireless access point does not match the SSID expected by the unauthorized terminal.

前記の誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値を記述することができる。あるいは、正規の前記無線アクセスポイントが対応しない認証鍵管理方式を、認証鍵管理方式として記述することができる。また、正規の前記無線アクセスポイントが対応しない暗号化方式を、暗号化方式として記述することができる。 In the RSNE of the misleading probe response, a reserved value can be described for at least one of the authentication key management method and the encryption method. Alternatively, an authentication key management method that the authorized wireless access points do not support can be described as an authentication key management method. Also, an encryption method that is not supported by the authorized wireless access points can be described as an encryption method.

これにより、無線アクセスポイントが対応可能な認証鍵管理方式又は暗号化方式が不正端末にとって未知である、あるいは自身の期待に一致しないと、不正端末に誤認させることができる。 As a result, if the authentication key management method or the encryption method that the wireless access point can support is unknown to the unauthorized terminal or does not meet its own expectations, the unauthorized terminal can be misled.

本発明の第2の観点によれば、前記WIPSセンサと、前記無線アクセスポイントと、を備える無線通信システムが提供される。 A second aspect of the present invention provides a wireless communication system comprising the WIPS sensor and the wireless access point.

本発明の第3の観点によれば、以下の無線侵入防止方法が提供される。即ち、この無線侵入防止方法は、監視ステップと、誤認誘導ステップと、を備える。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。 A third aspect of the present invention provides the following wireless intrusion prevention method. That is, this wireless intrusion prevention method includes a monitoring step and a false recognition induction step. The monitoring step monitors the wireless communication environment. In the misidentification inducing step, if the monitoring step detects a probe request sent by an unauthorized terminal to attempt wireless connection to a legitimate wireless access point, it is determined that connection with the wireless access point is impossible. Send a misidentification guidance probe response to misidentify an unauthorized terminal.

本発明の第4の観点によれば、以下の構成の無線通信阻止プログラムが提供される。即ち、この無線通信阻止プログラムは、無線通信部を備えるコンピュータに、監視ステップと、誤認誘導ステップと、を実行させる。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。 According to a fourth aspect of the present invention, there is provided a wireless communication blocking program having the following configuration. That is, this wireless communication blocking program causes a computer having a wireless communication unit to execute a monitoring step and a misrecognition guiding step. The monitoring step monitors the wireless communication environment. In the misidentification inducing step, if the monitoring step detects a probe request sent by an unauthorized terminal to attempt wireless connection to a legitimate wireless access point, it is determined that connection with the wireless access point is impossible. Send a misidentification guidance probe response to misidentify an unauthorized terminal.

本発明の一実施形態に係る無線通信システムの構成を示す模式図。1 is a schematic diagram showing the configuration of a wireless communication system according to an embodiment of the present invention; FIG. プローブ応答のフレームのうち、SSID elementを説明する図。FIG. 5 is a diagram for explaining an SSID element in a probe response frame; プローブ応答のフレームのうち、RSNEを説明する図。FIG. 10 is a diagram for explaining RSNE in a probe response frame; WIPSセンサにおいて行われる処理を示すフローチャート。4 is a flow chart showing the processing performed in the WIPS sensor.

次に、図面を参照して本発明の実施の形態を説明する。図1は、無線通信システム100の構成を示す模式図である。 Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a schematic diagram showing the configuration of a radio communication system 100. As shown in FIG.

図1に示す無線通信システム100は、無線アクセスポイント50及び複数の無線通信端末60から構成されている。無線アクセスポイント50は、IEEE802.11に規定するインフラストラクチャモードでのアクセスポイントとして機能する。 A wireless communication system 100 shown in FIG. 1 includes a wireless access point 50 and a plurality of wireless communication terminals 60 . The wireless access point 50 functions as an access point in infrastructure mode defined in IEEE802.11.

無線アクセスポイント50は、自身を中心とした無線ネットワークを形成する。無線アクセスポイント50は、無線通信可能エリアに存在する無線通信端末60のそれぞれとの間で、無線信号(電波)による通信を行う。この無線ネットワークは、例えば、無線LANのために用いられる。以下では、アクセスポイントをAPと略称で呼ぶ場合がある。 The wireless access point 50 forms a wireless network around itself. The wireless access point 50 performs communication using wireless signals (radio waves) with each of the wireless communication terminals 60 existing in the wireless communicable area. This wireless network is used, for example, for wireless LANs. Below, the access point may be abbreviated as AP.

無線通信端末60は、いわゆる無線通信ステーションである。図1のSTAとは、ステーションの略称である。無線通信端末60は、例えば、スマートフォン、タブレット端末、又はパーソナルコンピュータ等で構成される。無線通信端末60は、例えば、端末に無線通信モジュールを備えることで実現することができる。 The radio communication terminal 60 is a so-called radio communication station. STA in FIG. 1 is an abbreviation for a station. The wireless communication terminal 60 is configured by, for example, a smart phone, a tablet terminal, or a personal computer. The wireless communication terminal 60 can be realized, for example, by equipping the terminal with a wireless communication module.

無線通信システム100は、WIPSセンサ1を含んで構成される。WIPSセンサ1は、機器情報記憶部11と、AP通信設定記憶部12と、無線監視部13と、無線送信部14と、を備える。無線監視部13及び無線送信部14は、無線通信部として機能する。 A wireless communication system 100 includes a WIPS sensor 1 . The WIPS sensor 1 includes a device information storage section 11 , an AP communication setting storage section 12 , a wireless monitoring section 13 and a wireless transmission section 14 . The wireless monitoring unit 13 and wireless transmission unit 14 function as a wireless communication unit.

具体的に説明すると、WIPSセンサ1には、公知のコンピュータが内蔵されている。このコンピュータは、CPU、ROM、RAM等を備える。ROM及びRAMは、無線通信システム100に関する各種の情報を記憶する記憶部を構成している。記憶部は、不揮発性メモリ及び揮発性メモリからなる。不揮発性メモリには、本発明の無線侵入防止方法を実現するための無線侵入防止プログラム等が記憶されている。上記のハードウェアとソフトウェアの協働により、当該コンピュータを、機器情報記憶部11、AP通信設定記憶部12、無線監視部13、及び無線送信部14として動作させることができる。 Specifically, the WIPS sensor 1 incorporates a known computer. This computer includes a CPU, ROM, RAM, and the like. The ROM and RAM constitute a storage unit that stores various information regarding the wireless communication system 100 . The storage unit consists of a non-volatile memory and a volatile memory. The nonvolatile memory stores a wireless intrusion prevention program and the like for realizing the wireless intrusion prevention method of the present invention. The computer can be operated as the device information storage unit 11, the AP communication setting storage unit 12, the wireless monitoring unit 13, and the wireless transmission unit 14 by cooperation of the above hardware and software.

上記の不揮発性メモリには、無線アクセスポイント50のSSID、AP識別番号(例えばMACアドレス)等、上記のプログラムを動作させるために必要な情報が記憶される。SSIDとは、Service Set IDentifierの略称である。MACとは、Media Access Controlの略称である。揮発性メモリには、主として、プログラムを動作させるための一時的なデータが記憶される。 The non-volatile memory stores information necessary for operating the above program, such as the SSID of the wireless access point 50 and the AP identification number (for example, MAC address). SSID is an abbreviation for Service Set Identifier. MAC is an abbreviation for Media Access Control. Volatile memory mainly stores temporary data for operating programs.

機器情報記憶部11は、正規の無線アクセスポイント50及び正規の無線通信端末60を特定するための識別情報を記憶することができる。この識別情報としては、例えばMACアドレスを使用することができるが、これに限定されない。 The device information storage unit 11 can store identification information for specifying the authorized wireless access point 50 and the authorized wireless communication terminal 60 . For example, a MAC address can be used as this identification information, but it is not limited to this.

AP通信設定記憶部12は、無線アクセスポイント50が使用するチャネル及び暗号設定等に関する情報を記憶することができる。この情報は、例えば、後述の誤認誘導プローブ応答の生成のために使用される。 The AP communication setting storage unit 12 can store information related to channels and encryption settings used by the wireless access point 50 . This information is used, for example, to generate a misleading probe response, which will be described later.

無線監視部13は、所定の無線通信規格に準拠して、周囲の無線環境を監視する。無線通信規格としては、例えばIEEE802.11ac等が考えられるが、これに限定されない。無線監視部13はパケットキャプチャとして構成されており、ネットワーク上で実際に無線通信されるパケットを常時受信している。 The wireless monitoring unit 13 monitors the surrounding wireless environment in compliance with a predetermined wireless communication standard. For example, IEEE802.11ac can be considered as the wireless communication standard, but it is not limited to this. The wireless monitoring unit 13 is configured as a packet capture, and constantly receives packets that are actually wirelessly communicated on the network.

無線監視部13は、取得した無線通信パケットを実質的にリアルタイムで解析する。これにより、事前に登録されていない無線通信端末が行う不正な通信を高速で検知することができる。以下では、無線アクセスポイント50及び無線通信端末60のネットワークに対して、事前の許可がなく無線通信しようとする端末を不正端末60xと呼ぶことがある。 The wireless monitoring unit 13 analyzes the acquired wireless communication packets substantially in real time. This makes it possible to quickly detect unauthorized communication performed by wireless communication terminals that have not been registered in advance. Hereinafter, a terminal that attempts wireless communication with the network of the wireless access point 50 and the wireless communication terminal 60 without prior permission may be referred to as an unauthorized terminal 60x.

無線送信部14は、不正端末60xに対して、誤認誘導プローブ応答を生成して送信する。誤認誘導プローブ応答は特殊なプローブ応答であり、その詳細については後述する。本来、プローブ応答は無線アクセスポイント50が送信すべきものであるが、WIPSセンサ1が誤認誘導プローブ応答を送信して不正端末60xに受信させることにより、不正端末60xが無線アクセスポイント50との通信を取り止めることを促すことができる。通信は、上述の無線通信規格に準拠した方式で行われる。 The wireless transmission unit 14 generates and transmits a misleading probe response to the unauthorized terminal 60x. A misleading probe response is a special probe response, the details of which will be described later. Originally, the probe response should be transmitted by the wireless access point 50, but the WIPS sensor 1 transmits a misidentification-inducing probe response and causes the unauthorized terminal 60x to receive it. You can encourage them to stop. Communication is performed in a manner conforming to the wireless communication standards described above.

次に、本実施形態の無線アクセスポイント50と正規の無線通信端末60とが行う無線通信について簡単に説明する。 Next, wireless communication between the wireless access point 50 of this embodiment and the authorized wireless communication terminal 60 will be briefly described.

無線アクセスポイント50及び無線通信端末60は、通常の手順で接続処理を実行した後、互いに電波を送受信して無線通信を行う。接続処理は、周知の無線LAN関連規格であるIEEE802.11に従って行われる。接続の手順の一例について簡単に説明すると、無線通信端末60は、周囲に存在する無線通信機器を知るために、プローブ要求と呼ばれるMACフレームを周囲に無線送信する。これを受信した無線アクセスポイント50は、返信として、プローブ応答と呼ばれるMACフレームを無線送信する。 The wireless access point 50 and the wireless communication terminal 60 perform wireless communication by transmitting and receiving radio waves to and from each other after performing connection processing according to normal procedures. The connection process is performed according to IEEE802.11, which is a well-known wireless LAN-related standard. Briefly describing an example of the connection procedure, the wireless communication terminal 60 wirelessly transmits a MAC frame called a probe request to its surroundings in order to learn about wireless communication devices existing in the surroundings. The wireless access point 50 that has received this wirelessly transmits a MAC frame called a probe response as a reply.

詳細は後述するが、プローブ応答には、SSID及びセキュリティ方式の情報が記述されている。無線通信端末60は、無線アクセスポイント50から受信したプローブ応答に基づいて、自身が無線アクセスポイントに接続可能か否かを判断する。 Although the details will be described later, the probe response describes the SSID and security method information. Based on the probe response received from the wireless access point 50, the wireless communication terminal 60 determines whether it can connect to the wireless access point.

その後、無線通信端末60と無線アクセスポイント50との間で、認証及びアソシエーションのためのMACフレームのやり取りが無線によって行われ、接続が確立される。 After that, MAC frames for authentication and association are wirelessly exchanged between the wireless communication terminal 60 and the wireless access point 50 to establish a connection.

次に、無線監視部13及び無線送信部14の動作について詳細に説明する。 Next, operations of the radio monitoring unit 13 and the radio transmitting unit 14 will be described in detail.

無線アクセスポイント50及び無線通信端末60との間で無線通信ネットワークが構成されている場合において、不正端末60xが無線アクセスポイント50に対して通信を試みる場合を考える。不正端末60xは外部から持ち込まれる場合もあり、その動作は未知であるが、正規の無線通信端末60と同様に動作することが一応想定される。 Consider a case where an unauthorized terminal 60x attempts to communicate with the wireless access point 50 when a wireless communication network is configured between the wireless access point 50 and the wireless communication terminal 60. FIG. The unauthorized terminal 60x may be brought in from the outside, and its operation is unknown, but it is assumed to operate in the same manner as the authorized wireless communication terminal 60. FIG.

正規の無線アクセスポイント50は、不正端末60xが無線アクセスポイント50にプローブ要求を送信した場合、通常どおりのプローブ応答を送信する。 When the unauthorized terminal 60x transmits a probe request to the wireless access point 50, the authorized wireless access point 50 transmits a normal probe response.

WIPSセンサ1は、不正端末60xが無線アクセスポイント50にプローブ要求を送信したことを検知する。具体的には、WIPSセンサ1において、無線監視部13が取得した無線パケットが、無線アクセスポイント50へのプローブ要求であるか否かが判定される。この判定の結果、当該パケットがプローブ要求である場合には、このパケットに含まれる要求元の識別情報(例えば、MACアドレス)が、正規の無線通信端末60のリストに含まれているか否かを判定する。このリストは、WIPSセンサ1に対する事前の登録作業によって、機器情報記憶部11に記憶される。プローブ要求の要求元の識別情報が登録リストに含まれていない場合、当該プローブ要求が不正端末60xからのものであると判定することができる。 The WIPS sensor 1 detects that the unauthorized terminal 60 x has sent a probe request to the wireless access point 50 . Specifically, the WIPS sensor 1 determines whether or not the wireless packet acquired by the wireless monitoring unit 13 is a probe request to the wireless access point 50 . As a result of this determination, if the packet is a probe request, it is determined whether or not the identification information (for example, MAC address) of the requester included in this packet is included in the list of authorized wireless communication terminals 60. judge. This list is stored in the device information storage unit 11 by pre-registering the WIPS sensor 1 . If the identification information of the requesting source of the probe request is not included in the registration list, it can be determined that the probe request is from the unauthorized terminal 60x.

不正端末60xからのプローブ要求の送信が検知された場合、無線送信部14は、不正端末60xが正規の無線アクセスポイント50に対して期待している情報とは異なるプローブ応答を送信する。このプローブ応答は、無線アクセスポイント50の動作及び機能のうち少なくとも何れかがあたかも不正端末60xの要求を満たさないかのように偽装し、不正端末60xに誤認させることを意図して、WIPSセンサ1が生成するものである。以下、このプローブ応答を誤認誘導プローブ応答と呼ぶことがある。 When the transmission of the probe request from the unauthorized terminal 60x is detected, the wireless transmission unit 14 transmits a probe response different from the information expected by the unauthorized terminal 60x to the authorized wireless access point 50. FIG. This probe response is disguised as if at least one of the operations and functions of the wireless access point 50 does not meet the requirements of the unauthorized terminal 60x, and is intended to mislead the unauthorized terminal 60x. is generated by Hereinafter, this probe response may be referred to as a misidentification induction probe response.

不正端末60xは、無線アクセスポイント50からの通常のプローブ応答と、WIPSセンサ1からのプローブ応答(誤認誘導プローブ応答)と、を受信する。誤認誘導プローブ応答を受信した不正端末60xは、無線アクセスポイント50に対して自身が接続できないと判断し、無線アクセスポイント50への接続を自発的に取り止めることが期待される。以上のようにして、不正端末60xと無線アクセスポイント50との通信を実質的に阻止することができる。 The unauthorized terminal 60x receives a normal probe response from the wireless access point 50 and a probe response from the WIPS sensor 1 (misidentification guidance probe response). It is expected that the unauthorized terminal 60x that receives the misleading probe response determines that it cannot connect to the wireless access point 50 and voluntarily cancels the connection to the wireless access point 50. FIG. As described above, communication between the unauthorized terminal 60x and the wireless access point 50 can be substantially blocked.

WIPSセンサ1が不正端末60xに送信する誤認誘導プローブ応答については様々に考えられる。以下、複数の例のそれぞれを説明する。 Various misidentification guidance probe responses that the WIPS sensor 1 transmits to the unauthorized terminal 60x are conceivable. Each of the multiple examples is described below.

[1]プローブ応答のフレームのうち、SSID elementを、無線アクセスポイント50を一意に示すものでない架空のものに書き換えることによって、誤認誘導プローブ応答を生成することができる。SSIDは周知であるため詳細には説明しないが、無線アクセスポイント50を一意に識別するために予め定められている識別子(可変長の文字列)である。 [1] By rewriting the SSID element in the probe response frame to a fictitious one that does not uniquely indicate the wireless access point 50, a misidentification-inducing probe response can be generated. The SSID is a well-known identifier (variable-length character string) that is predetermined to uniquely identify the wireless access point 50, although not described in detail.

SSID elementの仕様は、図2のように定義されている。図2に示すように、プローブ応答のフレームは、Timestamp等、各種のフレーム要素から構成される。SSID elementは、フレーム要素の一種である。SSID elementは、「Element ID」フィールド、「Length」フィールド、「SSID」フィールドから構成されている。 The specifications of the SSID element are defined as shown in FIG. As shown in FIG. 2, the probe response frame is composed of various frame elements such as Timestamp. The SSID element is a kind of frame element. The SSID element is composed of an "Element ID" field, a "Length" field, and an "SSID" field.

「Element ID」には、当該フレーム要素がSSID elementであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続くフィールドである「SSID」フィールドのデータ長が記述される。「SSID」フィールドには、通常、無線アクセスポイント50のSSIDの文字列が記述される。 “Element ID” describes a unique value indicating that the frame element is an SSID element. "Length" describes the data length of the "SSID" field, which is the field following the field. In the “SSID” field, a character string of the SSID of the wireless access point 50 is normally written.

無線アクセスポイント50が送信する通常のプローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDが記述される。一方、誤認誘導プローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDとは異なる文字列が記述される。誤認誘導プローブ応答のSSIDとしては、例えばWIPSセンサ1が生成したランダムな文字列を使用することができる。 In a normal probe response transmitted by the wireless access point 50, the SSID set in the wireless access point 50 is described in the "SSID" field. On the other hand, in the misidentification guidance probe response, a character string different from the SSID set in the wireless access point 50 is described in the "SSID" field. A random character string generated by the WIPS sensor 1, for example, can be used as the SSID of the misleading probe response.

図1には無線アクセスポイント50が1つだけの場合が示されているが、無線アクセスポイント50が複数設置される場合も考えられる。影響の拡大を避けるため、誤認誘導プローブ応答のSSIDとしては、何れの無線アクセスポイント50のSSIDとも一致しないことが好ましい。 Although FIG. 1 shows a case where there is only one wireless access point 50, a case where a plurality of wireless access points 50 are installed is also conceivable. In order to avoid spreading the influence, it is preferable that the SSID of the misleading probe response does not match the SSID of any wireless access point 50 .

[2]プローブ応答のSSID elementにおいて、「Length」に0を設定し、「SSID」フィールドに空文字列を設定しても良い。 [2] In the SSID element of the probe response, "Length" may be set to 0 and the "SSID" field may be set to an empty string.

[3]プローブ応答からSSID element自体を取り除いても良い。 [3] The SSID element itself may be removed from the probe response.

例として挙げた[1]、[2]、[3]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が接続先候補として記憶しているSSIDと、誤認誘導プローブ応答に含まれるSSIDと、を比較する。SSIDが一致しないので、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。 In any of the cases [1], [2], and [3] given as examples, the unauthorized terminal 60x that has received this misidentification guidance probe response uses the SSID stored as a connection destination candidate and the misidentification guidance probe and the SSID included in the response. Since the SSIDs do not match, unauthorized terminal 60x will stop trying to connect to wireless access point 50. FIG.

[4]プローブ応答のフレームのうち、RSNEの認証鍵管理方式リストフィールドを、無線アクセスポイント50の機能を反映しない架空のもの(例えば、「予約値」を意味するゼロ)に書き換えることによって、誤認誘導プローブ応答を生成することができる。RSNEとは、ロバストセキュリティネットワーク要素(Robust Security Network Element)の略称である。 [4] By rewriting the authentication key management method list field of the RSNE in the frame of the probe response to a fictitious one that does not reflect the function of the wireless access point 50 (for example, zero meaning "reserved value"), misidentification A induced probe response can be generated. RSNE is an abbreviation for Robust Security Network Element.

RSNEの仕様は、図3のように定義されている。RSNEは、上述のSSID elementと同様に、フレーム要素の一種である。RSNEは、「Element ID」フィールド、「Length」フィールド、データ暗号化方式リストフィールド、認証鍵管理方式リストフィールド、管理フレーム暗号化方式フィールドを含んで構成されている。 The specifications of RSNE are defined as shown in FIG. RSNE is a kind of frame element, like the SSID element described above. The RSNE includes an "Element ID" field, a "Length" field, a data encryption method list field, an authentication key management method list field, and a management frame encryption method field.

「Element ID」には、当該フレーム要素がRSNEであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続く各フィールドのデータ長の合計値が記述される。データ暗号化方式リストフィールドには、通常、無線アクセスポイント50が対応可能なデータ暗号化方式(Pairwise Cipher Suite)を示す番号のリストが記述される。認証鍵管理方式リストフィールドには、通常、無線アクセスポイント50が対応可能な認証及び鍵管理の方式(Authentication Key Management Suite)を示す番号のリストが記述される。管理フレーム暗号化方式フィールドには、通常、無線アクセスポイント50において行う管理フレームを保護するために使用する暗号化方式(Group Management Cipher Suite)を示す番号が記述される。 “Element ID” describes a unique value indicating that the frame element is an RSNE. "Length" describes the total value of the data length of each field following the field in question. In the data encryption method list field, a list of numbers indicating data encryption methods (Pairwise Cipher Suite) that the wireless access point 50 is compatible with is normally described. In the authentication key management method list field, a list of numbers indicating authentication and key management methods (Authentication Key Management Suite) that the wireless access point 50 is compatible with is normally described. In the management frame encryption method field, a number indicating the encryption method (Group Management Cipher Suite) used to protect the management frame performed in the wireless access point 50 is normally described.

無線アクセスポイント50が送信する通常のプローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵管理方式の番号が記述されるが、一方、誤認誘導プローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵方式ではない情報が記述される。予約値を意味するゼロを当該フィールドに記述することに代えて、不正端末60xが期待していないと考えられる他の認証鍵管理方式を示す値を記述しても良い。 In a normal probe response transmitted by the wireless access point 50, the authentication key management method list field describes the number of the authentication key management method that the wireless access point 50 can actually support. Then, in the authentication key management method list field, information that is not an authentication key method that the wireless access point 50 can actually support is described. Instead of writing zero, which means a reserved value, in this field, a value indicating another authentication key management method that is not expected by the unauthorized terminal 60x may be written.

[5]フレーム本体のRSNEにおいて、データ暗号化方式リストフィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。 [5] In the RSNE of the frame body, zero indicating a reserved value may be described in the data encryption method list field. Instead of the reserved value (zero), a value indicating another encryption scheme that is not expected by the unauthorized terminal 60x may be described.

[6]フレーム本体のRSNEにおいて、管理フレーム暗号化方式フィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。 [6] In the RSNE of the frame body, zero indicating a reserved value may be described in the management frame encryption method field. Instead of the reserved value (zero), a value indicating another encryption scheme that is not expected by the unauthorized terminal 60x may be described.

例として挙げた[4]、[5]、[6]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が未知である、又は要求と異なる認証鍵管理方式又は暗号化方式を無線アクセスポイント50が採用していると判定する。この結果、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。 In any of the cases [4], [5], and [6] given as examples, the unauthorized terminal 60x that has received this misidentification-inducing probe response is unknown to itself, or uses a different authentication key management method or encryption from the request. It is determined that the wireless access point 50 adopts the encryption method. As a result, the unauthorized terminal 60x stops trying to connect to the wireless access point 50. FIG.

WIPSセンサ1が誤認誘導プローブ応答を不正端末60xに送信するタイミングは、不正端末60xがプローブ要求を送信したタイミングよりも後であれば任意である。本実施形態では、WIPSセンサ1は、不正端末60xからのプローブ要求に対して無線アクセスポイント50が通常のプローブ応答を不正端末60xに送信するのを待機し、その直後に誤認誘導プローブ応答を送信することで、不正端末60xが保持する無線アクセスポイント50に関する接続のための情報は、当該誤認誘導プローブ応答に含まれる情報(例えばSSID等)に確実に更新される。この結果、不正端末60xは、無線アクセスポイント50への接続の試みを中止することになり、不正端末60xの通信を阻止する確実性を高めることができる。なお、WIPSセンサ1は、不正端末60xからのプローブ要求を検知した後に、無線アクセスポイント50からプローブ応答が送信されることを待つことなく、その代わりに即座に複数(例えば10回)の誤認誘導プローブ応答を送信してもよい。これによれば、不正端末60xに対する誤認誘導プローブ応答の到達率を高めることができるとともに、無線アクセスポイント50がプローブ応答を送信する前後両方のタイミングで、不正端末60xに誤認誘導プローブ応答を受信させることができ、不正端末60xの通信を阻止する確実性を高めることができる。 The timing at which the WIPS sensor 1 transmits the misidentification guidance probe response to the unauthorized terminal 60x is arbitrary as long as it is after the timing at which the unauthorized terminal 60x transmits the probe request. In this embodiment, the WIPS sensor 1 waits for the wireless access point 50 to send a normal probe response to the unauthorized terminal 60x in response to the probe request from the unauthorized terminal 60x, and immediately after that, sends a misleading probe response. By doing so, the information for connecting to the wireless access point 50 held by the unauthorized terminal 60x is reliably updated to the information (for example, SSID, etc.) included in the misidentification guidance probe response. As a result, the unauthorized terminal 60x will stop trying to connect to the wireless access point 50, and the certainty of blocking the communication of the unauthorized terminal 60x can be increased. After detecting the probe request from the unauthorized terminal 60x, the WIPS sensor 1 does not wait for the probe response to be transmitted from the wireless access point 50, but instead immediately performs multiple (for example, 10) misidentification inductions. A probe response may be sent. According to this, it is possible to increase the arrival rate of the misidentification-inducing probe response to the unauthorized terminal 60x, and to cause the unauthorized terminal 60x to receive the misidentification-inducing probe response both before and after the wireless access point 50 transmits the probe response. It is possible to increase the certainty of blocking the communication of the unauthorized terminal 60x.

次に、図4のフローチャートを参照して、WIPSセンサ1において行われる処理について説明する。 Next, the processing performed in the WIPS sensor 1 will be described with reference to the flowchart of FIG.

処理が開始されると、無線監視部13が、周囲の無線パケットをキャプチャして解析する(ステップS101、監視ステップ)。次に、機器情報記憶部11に格納された情報を参照して、取得された無線パケットが、正規の無線通信端末60からのプローブ要求か、不正端末60xからのプローブ要求であるか否かが判定される(ステップS102)。 When the process is started, the wireless monitoring unit 13 captures and analyzes surrounding wireless packets (step S101, monitoring step). Next, referring to the information stored in the device information storage unit 11, it is determined whether the acquired wireless packet is a probe request from the authorized wireless communication terminal 60 or a probe request from the unauthorized terminal 60x. is determined (step S102).

無線パケットが不正端末60xからのプローブ要求であった場合(ステップS102のYes)、WIPSセンサ1は、このプローブ要求に対して無線アクセスポイント50が送信するプローブ応答を無線監視部13が検知したか否かを判定する(ステップS103)。一方、無線パケットが不正端末60xからのプローブ要求でなかった場合(ステップS102のNo)、ステップS101に戻る。また、WIPSセンサ1は、ステップS103において、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知した場合(ステップS103のYes)、その後直ちに、無線送信部14が誤認誘導プローブ応答を送信する(ステップS104、誤認誘導ステップ)。一方、WIPSセンサ1は、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知しない場合(ステップS103のNo)、ステップS103に戻り、無線アクセスポイント50のプローブ応答を無線監視部13が検知するまで待機する。 If the wireless packet is a probe request from the unauthorized terminal 60x (Yes in step S102), the WIPS sensor 1 determines whether the wireless monitoring unit 13 has detected a probe response transmitted by the wireless access point 50 in response to this probe request. It is determined whether or not (step S103). On the other hand, if the wireless packet is not a probe request from the unauthorized terminal 60x (No in step S102), the process returns to step S101. Further, in the WIPS sensor 1, when the wireless monitoring unit 13 detects a probe response transmitted by the wireless access point 50 in step S103 (Yes in step S103), the wireless transmission unit 14 immediately transmits a misidentification guidance probe response. (step S104, misrecognition guidance step). On the other hand, when the wireless monitoring unit 13 does not detect the probe response transmitted by the wireless access point 50 (No in step S103), the WIPS sensor 1 returns to step S103, and the wireless monitoring unit 13 detects the probe response from the wireless access point 50. Wait until detected.

以上の構成により、不正端末60xの通信を、正規の無線アクセスポイント50の処理負荷を従来技術と比較して抑制しながら阻止することができる。また、既存の無線アクセスポイント50及び無線通信端末60において特別なハードウェア及びソフトウェアを必要とすることなく、WIPSセンサ1を後付け的に導入するだけで、不正な通信を防止することができる。 With the above configuration, it is possible to block communication from the unauthorized terminal 60x while suppressing the processing load on the authorized wireless access point 50 compared to the conventional technology. Moreover, unauthorized communication can be prevented simply by retrofitting the WIPS sensor 1 without requiring special hardware and software in the existing wireless access point 50 and wireless communication terminal 60 .

以上に説明したように、本実施形態のWIPSセンサ1は、無線監視部13と、無線送信部14と、を備える。無線監視部13は、無線通信環境を監視する。無線送信部14は、不正端末60xが正規のアクセスポイントに対して無線接続を試みるために送信したプローブ要求を無線監視部13が検知した後に、アクセスポイントとの接続が不能であると不正端末60xに誤認させるための誤認誘導プローブ応答を生成し、これを送信する。 As described above, the WIPS sensor 1 of this embodiment includes the wireless monitoring section 13 and the wireless transmission section 14 . The radio monitoring unit 13 monitors the radio communication environment. After the wireless monitoring unit 13 detects a probe request transmitted by the unauthorized terminal 60x to attempt wireless connection to the authorized access point, the wireless transmission unit 14 detects that the unauthorized terminal 60x cannot connect to the access point. generate and send a deceptive probe response to misidentify the

これにより、簡単な構成で、無線ネットワークに対する不正端末60xの侵入を防止することができる。また、無線アクセスポイント50との無線接続の試行を取り止めるように不正端末60xを誘導する形で無線侵入を防止するので、無線アクセスポイント50の処理負荷の増大を抑制できる。 This makes it possible to prevent the unauthorized terminal 60x from intruding into the wireless network with a simple configuration. In addition, since wireless intrusion is prevented by guiding the unauthorized terminal 60x to stop attempting wireless connection with the wireless access point 50, an increase in the processing load on the wireless access point 50 can be suppressed.

また、本実施形態のWIPSセンサ1において、無線送信部14が送信する誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されている。 In addition, in the WIPS sensor 1 of the present embodiment, at least one of the SSID and RSNE is missing or incorrect information is described in the misidentification induction probe response transmitted by the wireless transmission unit 14 .

これにより、通信に関する重要な情報に関して不正端末60xに誤認させることができるので、無線ネットワークに対する不正端末60xの侵入を確実に防止できる。 As a result, the unauthorized terminal 60x can be misidentified as to important information related to communication, so that the intrusion of the unauthorized terminal 60x into the wireless network can be reliably prevented.

また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答において、正規の無線アクセスポイント50のSSIDと異なるSSIDが記述されている。あるいは、誤認誘導プローブ応答において、SSIDの情報が実質的に欠落している。 Further, in this embodiment, an SSID different from the SSID of the authorized wireless access point 50 is described in the misidentification induction probe response transmitted by the WIPS sensor 1 . Alternatively, the SSID information is substantially missing in the misleading probe response.

これにより、無線アクセスポイント50のSSIDが、不正端末60xが期待するSSIDに対して不一致であると、不正端末60xに誤認させることができる。 This makes it possible for the unauthorized terminal 60x to misunderstand that the SSID of the wireless access point 50 does not match the SSID expected by the unauthorized terminal 60x.

また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式又は暗号化方式を示す番号として、予約値が記述されている。あるいは、正規の無線アクセスポイント50が対応しない暗号化方式又は認証鍵管理方式が、RSNEに記述されている。 Further, in the present embodiment, in the RSNE of the misleading probe response transmitted by the WIPS sensor 1, a reserved value is described as a number indicating the authentication key management method or the encryption method. Alternatively, the RSNE describes an encryption method or an authentication key management method that the authorized wireless access point 50 does not support.

これにより、無線アクセスポイント50が対応可能な認証鍵管理方式又は暗号化方式が不正端末60xにとって未知である、あるいは自身の期待に一致しないと、不正端末60xに誤認させることができる。 As a result, if the authentication key management method or encryption method that the wireless access point 50 is compatible with is unknown to the unauthorized terminal 60x or does not meet its own expectations, the unauthorized terminal 60x can be misidentified.

以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。 Although the preferred embodiments of the present invention have been described above, the above configuration can be modified, for example, as follows.

上記の実施形態において、誤認誘導プローブ応答は、無線アクセスポイント50が不正端末60xに対して送信する通常のプローブ応答をWIPSセンサ1の無線監視部13が受信し、その内容を参照してその一部を書き換える形で生成されている。これにより、WIPSセンサ1における処理が簡単になる。ただし、通常のプローブ応答の内容を参照せずに、誤認誘導プローブ応答をWIPSセンサ1側で生成することもできる。 In the above-described embodiment, the misidentification-inducing probe response is obtained by the wireless monitoring unit 13 of the WIPS sensor 1 receiving a normal probe response sent by the wireless access point 50 to the unauthorized terminal 60x, and referring to the content of the normal probe response. It is generated by rewriting the part. This simplifies the processing in the WIPS sensor 1 . However, the WIPS sensor 1 side can also generate a misleading probe response without referring to the contents of a normal probe response.

WIPSセンサ1が、無線アクセスポイント50と例えば無線により通信する機能を有しても良い。例えば、WIPSセンサ1が、無線アクセスポイント50との通信により、機器情報記憶部11及びAP通信設定記憶部12の内容(特に、正規の無線通信端末60のリスト)を取得するように構成することができる。この場合、WIPSセンサ1への設定作業の手間を軽減することができる。 The WIPS sensor 1 may have the ability to communicate with the wireless access point 50, for example wirelessly. For example, the WIPS sensor 1 may acquire the contents of the device information storage unit 11 and the AP communication setting storage unit 12 (in particular, a list of authorized wireless communication terminals 60) through communication with the wireless access point 50. can be done. In this case, it is possible to reduce the trouble of setting the WIPS sensor 1 .

また、WIPSセンサ1は、誤認誘導プローブ応答を1回だけ送信しても良いし、適宜の時間間隔をあけて複数回送信しても良い。 Further, the WIPS sensor 1 may transmit the misidentification guidance probe response only once, or may transmit it multiple times at appropriate time intervals.

本発明は、産業上広く普及している、既存の無線アクセスポイント及び無線通信端末に、特別なハードウェア及びソフトウェアを必要とすることなく、不正な通信を防止する無線通信システムに適用できる。例えば、無線侵入防止システム等に有用である。 INDUSTRIAL APPLICABILITY The present invention can be applied to existing wireless access points and wireless communication terminals that are widely used in the industry, and can be applied to wireless communication systems that prevent unauthorized communication without requiring special hardware and software. For example, it is useful for wireless intrusion prevention systems.

1 WIPSセンサ
13 無線監視部
14 無線送信部
50 無線アクセスポイント
60 無線通信端末
60x 不正端末
100 無線通信システム 1 WIPS sensor 13 wireless monitoring unit 14 wireless transmission unit 50 wireless access point 60 wireless communication terminal 60x unauthorized terminal 100 wireless communication system

Claims (10)

無線通信環境を監視する無線監視部と、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する無線送信部と、
を備えることを特徴とするWIPSセンサ。 a wireless monitoring unit that monitors a wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the wireless access point is impossible after the wireless monitoring unit detects a probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point. A wireless transmission unit that transmits a misidentification induction probe response of
A WIPS sensor comprising: 請求項1に記載のWIPSセンサであって、
前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 1, comprising:
A WIPS sensor according to claim 1, wherein at least one of an SSID and an RSNE is missing or incorrect information is described in the misidentification induction probe response transmitted by the wireless transmission unit. 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDが記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor according to claim 1, wherein an SSID different from the SSID of the authorized wireless access point is described in the misidentification induction probe response. 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答において、SSIDの情報が実質的に欠落していることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein SSID information is substantially absent in the misleading probe response. 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値が記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein a reserved value is described for at least one of an authentication key management method and an encryption method in the RSNE of the misleading probe response. 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない認証鍵管理方式が、認証鍵管理方式として記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor, wherein an authentication key management method not supported by the authorized wireless access point is described as an authentication key management method in the RSNE of the misidentification induction probe response. 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない暗号化方式が、暗号化方式として記述されていることを特徴とするWIPSセンサ。 A WIPS sensor according to claim 2, wherein
A WIPS sensor as claimed in claim 1, wherein an encryption method not supported by the authorized wireless access point is described as an encryption method in the RSNE of the misidentification induction probe response. 請求項1から7までの何れか一項に記載のWIPSセンサと、
前記無線アクセスポイントと、
を備えることを特徴とする無線通信システム。 a WIPS sensor according to any one of claims 1 to 7;
the wireless access point;
A wireless communication system comprising: 無線通信環境を監視する監視ステップと、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を備えることを特徴とする無線侵入防止方法。 a monitoring step of monitoring the wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the authorized wireless access point is impossible when the probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point is detected in the monitoring step. a misleading step of sending a misleading probe response of
A wireless intrusion prevention method comprising: 無線通信部を備えるコンピュータに、
無線通信環境を監視する監視ステップと、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を実行させることを特徴とする無線侵入防止プログラム。 A computer equipped with a wireless communication unit,
a monitoring step of monitoring the wireless communication environment;
To cause the unauthorized terminal to misunderstand that connection with the authorized wireless access point is impossible when the probe request sent by the unauthorized terminal to attempt wireless connection to the authorized wireless access point is detected in the monitoring step. a misleading step of sending a misleading probe response of
A wireless intrusion prevention program characterized by executing
JP2021030724A 2021-02-26 2021-02-26 WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program Active JP7430397B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021030724A JP7430397B2 (en) 2021-02-26 2021-02-26 WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021030724A JP7430397B2 (en) 2021-02-26 2021-02-26 WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program

Publications (2)

Publication Number Publication Date
JP2022131667A true JP2022131667A (en) 2022-09-07
JP7430397B2 JP7430397B2 (en) 2024-02-13

Family

ID=83152899

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021030724A Active JP7430397B2 (en) 2021-02-26 2021-02-26 WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program

Country Status (1)

Country Link
JP (1) JP7430397B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5708183B2 (en) 2011-04-14 2015-04-30 富士通セミコンダクター株式会社 Wireless communication apparatus and wireless communication method
JP2018511282A (en) 2015-03-27 2018-04-19 ユーネット セキュア インコーポレイテッド WIPS sensor and terminal blocking method using the same
KR102329493B1 (en) 2015-11-27 2021-11-22 삼성전자 주식회사 Method and apparatus for preventing connection in wireless intrusion prevention system
KR102102835B1 (en) 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor

Also Published As

Publication number Publication date
JP7430397B2 (en) 2024-02-13

Similar Documents

Publication Publication Date Title
KR100628325B1 (en) Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion
CA2495142C (en) Wireless local or metropolitan area network with intrusion detection features and related methods
KR102157661B1 (en) Wireless intrusion prevention system, wireless network system, and operating method for wireless network system
US8621071B1 (en) Method and apparatus for automatically selecting an access point
US9143528B2 (en) Method and device for countering fingerprint forgery attacks in a communication system
US10638323B2 (en) Wireless communication device, wireless communication method, and computer readable storage medium
JP7079994B1 (en) Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor
US20150138013A1 (en) Apparatus and method for positioning wlan terminal
WO2010027121A1 (en) System and method for preventing wireless lan intrusion
JP7430397B2 (en) WIPS sensor, wireless communication system, wireless intrusion prevention method and wireless intrusion prevention program
KR101725129B1 (en) Apparatus for analyzing vulnerableness of wireless lan
WO2019167132A1 (en) Wireless communication device, wireless lan router, unauthorized access prevention method and wireless communication system
EP3820173B1 (en) Roadside radio device and radio communication system
KR101083727B1 (en) Apparatus and method of wireless network security
KR101553827B1 (en) System for detecting and blocking illegal access point
JP5175898B2 (en) Wireless communication apparatus, connection release method, and program
US8117658B2 (en) Access point, mobile station, and method for detecting attacks thereon
CN113132993B (en) Data stealing identification system applied to wireless local area network and use method thereof
KR102366574B1 (en) Wireless Intrusion Prevention Methods
KR20140044528A (en) Terminal device communicating with wireless access point and method for controlling the same
KR100678390B1 (en) Wireless local or metropolitan area network with intrusion detection features and related methods
KR101564001B1 (en) Device for securely managemnet of wired and wireless communications
KR20150120614A (en) Sensor for wireless intrusion prevention system and its channel monitoring method
JP2017055286A (en) Radio communication device, method, system and program
TW201112811A (en) Service network detecting system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230802

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231101

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240124

R150 Certificate of patent or registration of utility model

Ref document number: 7430397

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150