JP2023000990A - Wips sensor and method for blocking intrusion of unauthorized wireless terminal using wips sensor - Google Patents

Wips sensor and method for blocking intrusion of unauthorized wireless terminal using wips sensor Download PDF

Info

Publication number
JP2023000990A
JP2023000990A JP2021205230A JP2021205230A JP2023000990A JP 2023000990 A JP2023000990 A JP 2023000990A JP 2021205230 A JP2021205230 A JP 2021205230A JP 2021205230 A JP2021205230 A JP 2021205230A JP 2023000990 A JP2023000990 A JP 2023000990A
Authority
JP
Japan
Prior art keywords
wireless terminal
unauthorized
fake
wips
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021205230A
Other languages
Japanese (ja)
Other versions
JP7079994B1 (en
Inventor
イ・スンベ
Seung Bae Lee
ホ・ホユン
Ho Yun Heo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Neorigin Co Ltd
Original Assignee
Neorigin Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=78500232&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2023000990(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Neorigin Co Ltd filed Critical Neorigin Co Ltd
Application granted granted Critical
Publication of JP7079994B1 publication Critical patent/JP7079994B1/en
Publication of JP2023000990A publication Critical patent/JP2023000990A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

To provide a WIPS (Wireless Intrusion Prevention System) sensor and a method for blocking intrusion of an unauthorized wireless terminal using the WIPS sensor.SOLUTION: A method for blocking intrusion of an unauthorized wireless terminal using a WIPS sensor includes: collecting packets transmitted in real time from an AP (access point); collecting packets transmitted in real time from at least one wireless terminal that is connected to the AP and performing wireless communication; if the wireless terminal that has transmitted the packets is determined to be an unauthorized wireless terminal as a result of analysis of the packets received from the at least one wireless terminal, generating a fake probe response message for inducing channel change of the unauthorized wireless terminal; and transferring the generated fake probe response message.SELECTED DRAWING: Figure 6

Description

本発明は、PMF(Protected Managed Frame)が適用された通信において、WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法及びWIPSセンサに関する。 The present invention relates to a WIPS (Wireless Intrusion Prevention System) sensor and an unauthorized wireless terminal intrusion blocking method using a WIPS (Wireless Intrusion Prevention System) sensor in communications to which a PMF (Protected Managed Frame) is applied.

一般にインターネットは、世界中のいかなる場所において、いかなる人が、接続したい対象のコンピュータにTCP/IPという共通のプロトコルを適用し、自由に接続して使用できるように構成されたオープンネットワークであり、基本的な文字情報の伝達の他、圧縮技術の発展とともにマルチメディア情報の配信に利用され、電子メール、ファイル転送、WWW(World Wide Web)などの多様なサービスを利用することができる。 In general, the Internet is an open network configured so that anyone can freely connect and use it by applying a common protocol called TCP/IP to a computer that they want to connect to anywhere in the world. Along with the development of compression technology, it is also used to distribute multimedia information, and various services such as e-mail, file transfer, and WWW (World Wide Web) can be used.

このようなインターネットは、国内をはじめ世界的にその使用が急激に増加しており、従来産業の全般にわたって効率性と生産性向上のための戦略的なツールとしてその重要性が急速に増大しており、インターネットを通じた新たなビジネス機会が持続的に創り出されるのはもちろんのこと、その領域も拡大される傾向にあり、インターネットを利用した事業者もますます増えている。 The use of the Internet is rapidly increasing not only in Japan but also worldwide, and its importance as a strategic tool for improving efficiency and productivity is rapidly increasing in conventional industries. As a result, not only are new business opportunities continuously created through the Internet, but the scope of these opportunities is also expanding, and the number of business operators using the Internet is increasing.

専用ネットワークは、情報セキュリティのためにハッキングなど外部からの様々な侵入(以下、「侵入」という)を遮断するために、外部と閉鎖することが好ましい。また、専用ネットワーク内でも端末の情報へのアクセスを階層化して管理する必要性もある。そのため、各種セキュリティ技術が開発され、補完され、発展し続けている。 The dedicated network is preferably closed to the outside in order to block various external intrusions such as hacking (hereinafter referred to as "intrusion") for information security. There is also a need to hierarchize and manage access to terminal information even within a dedicated network. Therefore, various security technologies have been developed, supplemented, and continue to evolve.

また、無線技術の発展によって、ネットワークに無線接続できる無線LANが登場した。無線LANによって、無線端末が複雑な回線の接続過程を経なくとも、無線端末は、無線LANアクセスポイント(アクセスポイント:AP、以下、「AP」という)を介して容易にネットワークに接続される。これにより、無線端末のユーザは、非常に簡単にネットワークに接続することができるようになったが、その分ネットワークのセキュリティ性は、格段と低下した。このことは、閉鎖型に運用される専用ネットワークが種々のリスクにさらされる可能性があることを意味する。そこで、無線環境での侵入を遮断するためのシステム(Wireless Intrusion Prevention System:WIPS、以下、「WIPS」という)が開発された。 In addition, with the development of wireless technology, a wireless LAN that allows wireless connection to a network has appeared. A wireless LAN allows a wireless terminal to be easily connected to a network via a wireless LAN access point (AP, hereinafter referred to as "AP") without a complicated line connection process. This has made it possible for wireless terminal users to connect to the network very easily, but the security of the network has been greatly reduced. This means that private networks operated in a closed fashion may be exposed to various risks. Therefore, a system for blocking intrusion in a wireless environment (Wireless Intrusion Prevention System: WIPS, hereinafter referred to as "WIPS") has been developed.

なお、IEEE 802.11をベースにした無線LAN技術は、端末を有線に接続することなく、安価かつ迅速にネットワークを利用することができるので、家庭や企業、公衆回線において広く利用されている。特に、無線LANカードが取り付けられているノートパソコンやスマートフォン、タブレットが広く使われており、ユーザは日常生活のいかなる場所や時間においてインターネットを通じてゲーム(game)、ネットサーフィン(web surfing)、ニュース(news)、ソーシャルサービス(social service)などを利用できるようになった。また、ユーザは日常生活のいかなる場所や時間においてインターネットを通じて、容易にメールを送受信するなど、さまざまな形態のインターネットベースのアプリケーションサービスを活用することができるようになった。さらに、802.11n、802.11acなどの高速化技術と、802.11i、802.11wなどといった安全性が強化された無線LAN技術が登場し、より安全で便利な無線LAN技術を利用することができるようになった。 Wireless LAN technology based on IEEE 802.11 is widely used in homes, businesses, and public lines because it enables inexpensive and rapid use of networks without connecting terminals to wires. In particular, notebook computers, smart phones, and tablets equipped with wireless LAN cards are widely used, and users can enjoy games, web surfing, and news through the Internet at any place and time in their daily lives. ), social services, etc. became available. In addition, users are now able to utilize various forms of Internet-based application services, such as easily sending and receiving e-mails, through the Internet at any place and time in their daily lives. In addition, high-speed technologies such as 802.11n and 802.11ac and wireless LAN technologies with enhanced security such as 802.11i and 802.11w have appeared, making it possible to use safer and more convenient wireless LAN technologies. is now possible.

しかしながら、安全性を強化する技術を無線LANに適用しても、無線の特徴による脆弱性は依然として存在する。有線技術とは異なり、無線技術ではネットワークに誰もがアクセスすることができ、ネットワーク接続点の実際の物理的位置を探すことが難しいので、アドレス偽装、盗聴、パケット偽装など、さまざまな形態の攻撃にそのままさらされる。 However, even with the application of security-enhancing techniques to wireless LANs, vulnerabilities still exist due to their wireless nature. Unlike wired technologies, wireless technologies allow everyone to access the network, and because it is difficult to locate the actual physical location of network attachment points, various forms of attacks such as address spoofing, eavesdropping, and packet spoofing are possible. exposed to the

このように家庭、企業、公衆回線で提供される無線LANにおいて、様々な攻撃と侵入の可能性があり、例えば、不正AP、サービス拒否(Denial of Service)攻撃、インサイダー攻撃などが代表的と言える。 In this way, wireless LANs provided by homes, companies, and public lines are subject to various attacks and intrusions, and representative examples include unauthorized APs, denial of service attacks, and insider attacks. .

前記のWIPSは、APと無線端末(Station)との間で発生するパケットを検知し、ユーザによって定義されたセキュリティポリシーによって接続の不正を判定し、遮断する役割を果たす。 The WIPS functions to detect packets generated between an AP and a wireless station (Station), determine whether the connection is illegal according to a security policy defined by the user, and block the connection.

しかし、近年発表されたWi-Fi6環境におけるWPA3暗号化環境では、802.11wに基づくPMF(Protected Managed Frame)の適用を必須とするので、従来のWIPS製品の認証解除フレーム(Deauthentication frame)及び接続解除フレーム(Disassociation frame)を介したAPと無線端末間の接続制御に限界がある。 However, in the recently announced WPA3 encrypted environment in the Wi-Fi6 environment, it is essential to apply PMF (Protected Managed Frame) based on 802.11w, so the deauthentication frame and connection of conventional WIPS products There is a limit to connection control between an AP and a wireless terminal via a disassociation frame.

そこで、このようなPMFの適用による制御の限界を克服するための技術として特許文献1(発明の名称:WIPSセンサ、以下「従来技術」という)が提案された。前記従来技術は、フェイクビーコン(Fake Beacon)を発生させ、APのチャネル変更を無線端末に認識させる方法である。しかし、前記フェイクビーコンパケットを用いたチャネル変更信号は、ブロードキャスト(Broadcasting)伝送方式であって、周辺の全ての無線端末に受信され、当該APと接続された遮断対象である不正無線端末への接続と正常に接続された許可端末への接続の両方を遮断してしまうという課題が存在する。さらに、このようなPMFを使用するAPを基準にしてすべての接続に対して遮断および制御が起こるので、PMF APに対する別途の格納および管理が必要となる。 Therefore, Patent Document 1 (title of the invention: WIPS sensor, hereinafter referred to as "prior art") has been proposed as a technique for overcoming the limitation of control by applying such PMF. The conventional technique is a method of generating a fake beacon to make the wireless terminal recognize the channel change of the AP. However, since the channel change signal using the fake beacon packet is a broadcasting transmission method, it is received by all the wireless terminals in the vicinity, and the connection to the unauthorized wireless terminal to be blocked connected to the AP is blocked. There is a problem that both the connection to the normally connected permitted terminal and the connection to the permitted terminal are blocked. In addition, separate storage and management for PMF APs is required since all connections are blocked and controlled based on the AP using such PMF.

韓国登録特許第10-2102835号公報Korean Patent No. 10-2102835

本発明の目的は、PMFに基づいてAPに接続されている不正無線端末への接続と正常に接続された許可端末への接続を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。 It is an object of the present invention to separately control connections to unauthorized wireless terminals connected to APs based on PMF and connections to authorized terminals that are normally connected, eliminating separate storage and management points for PMF APs. It is another object of the present invention to provide a WIPS sensor capable of improving the WIPS blocking performance and a method of blocking unauthorized wireless terminals using the WIPS sensor.

また、本発明の目的は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断させることにより効率的に不正無線端末を制御することができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。 Another object of the present invention is to provide a WIPS sensor capable of efficiently controlling unauthorized wireless terminals by blocking connection only to unauthorized wireless terminals connected to an AP based on PMF, and the WIPS sensor. The object is to provide a method for blocking an intrusion of an illegal wireless terminal used.

上述のような本発明の目的を達成し、後述する本発明特有の効果を達成するための本発明の特徴的な構成は、以下の通りである。 The characteristic configuration of the present invention for achieving the object of the present invention as described above and achieving the effects peculiar to the present invention, which will be described later, is as follows.

本発明の一実施形態によれば、WIPSセンサは、AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;前記APおよび無線端末から受信したパケットを格納するメモリ;前記少なくとも1つの無線端末から受信したパケットを分析する情報分析部;前記情報分析部の分析結果に基づいてパケットを伝送した無線端末が不正無線端末であるか否かを判定する不正端末判定部;前記判定の結果、不正無線端末であると判定された場合、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び、前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送するように処理する不正端末遮断処理部;を含む。 According to one embodiment of the present invention, a WIPS sensor receives packets transmitted in real time from an AP (Access Point), and transmitted in real time from at least one wireless terminal connected to the AP and communicating wirelessly. a communication unit that receives packets; a memory that stores packets received from the AP and wireless terminals; an information analysis unit that analyzes packets received from the at least one wireless terminal; an unauthorized terminal determination unit for determining whether or not the transmitted wireless terminal is an unauthorized wireless terminal; a fake terminal for inducing a channel change of the unauthorized wireless terminal when it is determined to be an unauthorized wireless terminal as a result of the determination; a message generating unit for generating a probe response message; and an unauthorized terminal blocking processing unit for processing to transfer the generated fake probe response message through the communication unit.

好ましくは、前記情報分析部は、前記APまたは少なくとも1つの無線端末から受信したパケットを分析し、PMF(Protected Managed Frame)が適用されたか否かを判定し、前記不正端末判定部は、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する。 Preferably, the information analysis unit analyzes a packet received from the AP or at least one wireless terminal and determines whether or not a PMF (Protected Managed Frame) is applied, and the unauthorized terminal determination unit analyzes the PMF It is determined whether or not the wireless terminal to which is applied is an unauthorized wireless terminal.

好ましくは、前記不正端末判定部は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する。 Preferably, the unauthorized terminal determination unit determines whether or not the at least one wireless terminal is an unauthorized wireless terminal based on unauthorized device information and security policy information received from the WIPS server.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。 Preferably, the fake probe response message includes address information for the unauthorized wireless terminal as destination information.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む。 Preferably, the fake probe response message includes information instructing the unauthorized wireless terminal to change to a channel other than the channel currently connected.

好ましくは、前記メッセージ生成部は、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク認証解除メッセージが前記通信部を通じて前記APに転送されるように処理する。 Preferably, the message generation unit generates a fake deauthentication message for deauthentication of the unauthorized wireless terminal, and the unauthorized terminal blocking processing unit sends the generated fake deauthentication message to the AP through the communication unit. processed to be forwarded to

好ましくは、前記メッセージ生成部は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク接続解除メッセージが前記通信部を通じて前記不正無線端末に転送されるように処理する。 Preferably, the message generation unit generates a fake connection cancellation message for disconnection to the unauthorized wireless terminal, and the unauthorized terminal blocking processing unit transmits the generated fake connection cancellation message to the communication unit. Process so that it is forwarded to unauthorized wireless terminals.

本発明のもう一つの実施形態によれば、WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(Access Point)からリアルタイムに伝送されるパケットを収集する段階と、前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、前記少なくとも1つの無線端末から受信したパケットの分析の結果、パケットを伝送した無線端末が不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成された前記フェイクプローブ応答メッセージを転送する段階と、を含む。 According to another embodiment of the present invention, a method for blocking an unauthorized wireless terminal intrusion using a WIPS sensor includes collecting packets transmitted in real time from an access point (AP); Collecting packets transmitted in real time from at least one wireless terminal that wirelessly communicates; and analyzing the packets received from the at least one wireless terminal to determine that the wireless terminal that transmitted the packet is an unauthorized wireless terminal. If so, generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal; and transmitting the generated fake probe response message.

好ましくは、前記方法は、前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されるか否かを判定する段階をさらに含み、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する。 Preferably, the method further includes analyzing packets received from the AP or the at least one wireless terminal and determining whether protected managed frames (PMFs) are applied. It is determined whether or not the wireless terminal detected is an unauthorized wireless terminal.

好ましくは、前記方法は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対する不正無線端末であるか否かを判定する段階をさらに含む。 Preferably, the method further comprises determining whether the at least one wireless terminal is a rogue wireless terminal based on rogue device information and security policy information received from a WIPS server.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。 Preferably, the fake probe response message includes address information for the unauthorized wireless terminal as destination information.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するように指示する情報を含む。 Preferably, the fake probe response message includes information instructing the unauthorized wireless terminal to change to a channel other than the channel currently connected.

好ましくは、前記方法は、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階と、生成された前記フェイク認証解除メッセージを前記APに転送する段階と、をさらに含む。 Preferably, the method further includes generating a fake deauthentication message for deauthentication of the unauthorized wireless terminal, and forwarding the generated fake deauthentication message to the AP.

好ましくは、前記方法は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階と、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階と、をさらに含む。 Preferably, the method further includes generating a fake disconnection message for disconnection to the unauthorized wireless terminal, and forwarding the generated fake disconnection message to the unauthorized wireless terminal. .

なお、前記WIPSセンサを用いた不正無線端末の侵入遮断方法の提供を受けるための情報は、サーバコンピュータにおいて、読み取り可能な記録媒体に格納することができる。これらの記録媒体は、コンピュータシステムによって読み取り可能になるようにプログラムおよびデータが格納される全種類の記録媒体を含む。一例として、ROM(Read Only Memory)、RAM(Random Access Memory)、CD(Compact Disk)、DVD(Digital Video Disk)-ROM、磁気テープ、フロッピーディスク、光データ格納装置などがある。さらに搬送波(例えば、インターネットを介した伝送)の形態で具現されることも含まれる。また、これらの記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式でコンピュータに読み取り可能なコードが格納され、実行される。 The information for receiving the provision of the method of blocking intrusion of unauthorized wireless terminals using the WIPS sensor can be stored in a readable recording medium in the server computer. These recording media include all types of recording media on which programs and data are stored in a manner readable by a computer system. Examples include ROM (Read Only Memory), RAM (Random Access Memory), CD (Compact Disk), DVD (Digital Video Disk)-ROM, magnetic tape, floppy disk, and optical data storage device. It also includes being embodied in the form of a carrier wave (eg transmission over the Internet). These recording media can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

上述したように、本発明によれば、不正無線端末に個別的なチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response) メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassociate)メッセージ、APの確認及び接続解除を誘導するフェイク認証解除(Fake Deauthentication)メッセージを転送することにより、PMFを使用するAPに接続された正常な無線端末と不正無線端末とを区別し、個別に制御することができる長所がある。 As described above, according to the present invention, a fake probe response (Fake Probe Response) message that induces an unauthorized wireless terminal to individually change a channel, and a fake disconnect (Fake Disassociate) message that prevents reconnection after a channel change. , Distinguish and individually control normal wireless terminals and unauthorized wireless terminals connected to an AP using PMF by transferring a fake deauthentication message that induces confirmation and disconnection of the AP. There are advantages that can be

また、本発明によれば、PMFの使用有無にかかわらず、すべての接続に使用することができる方法を提供し、PMFの使用有無による負担を除去し、性能向上を図り、無線ネットワークの個別セキュリティ性を向上させる効果がある。 In addition, according to the present invention, a method is provided that can be used for all connections regardless of whether or not PMF is used. It has the effect of improving sexuality.

本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。1 is a block diagram showing the configuration of an unauthorized wireless terminal blocking system according to an embodiment of the present invention; FIG. 本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。1 is a block diagram showing the detailed configuration of a WIPS sensor according to an embodiment of the present invention; FIG. 本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。FIG. 4 is a signal flow chart illustrating a connection procedure between an AP and a wireless terminal according to an embodiment of the present invention; FIG. 本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。4 is a signal flow chart illustrating a security connection verification procedure between an AP and a wireless terminal using PMF according to an embodiment of the present invention; APから伝送されるビーコンフレームの例を示す図である。FIG. 4 is a diagram showing an example of a beacon frame transmitted from an AP; 本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。4 is a flow chart of signals for blocking unauthorized wireless terminals using a WIPS sensor according to an embodiment of the present invention; 本発明の実施形態にかかるビーコンフレームの一例を示す図である。FIG. 4 is a diagram showing an example of a beacon frame according to an embodiment of the present invention; FIG. 本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。It is a figure which shows an example of the fake probe response frame concerning embodiment of this invention. 本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。FIG. 4 is a diagram showing an example of a fake deauthentication frame for SA query induction and reconnection prevention according to an embodiment of the present invention; 本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。FIG. 10 illustrates an example of a fake disconnection frame for preventing reconnection according to an embodiment of the present invention;

後述する本発明の詳細な説明は、本発明を実施することができる特定の実施形態を例示として示す添付の図面を参照にする。これらの実施形態は、当業者が本発明を実施するのに十分であるように詳細に説明される。本発明の様々な実施形態は互いに異なるが相互に排他的である必要はないことを理解されるべきである。例えば、本明細書に記載されている特定の形状、構造および特性は、一実施形態に関して本発明の目的および範囲から逸脱することなく他の実施形態で実施することができる。さらに、開示された各実施形態における個々の構成要素の位置または配置は、本発明の目的および範囲から逸脱することなく変更され得ることが理解されるべきである。したがって、後述する詳細な説明は限定的な意味で取るべきではなく、本発明の範囲は、適切に説明されている限り、特許請求の範囲が主張するものと同等のすべての範囲に加えて添付の特許請求の範囲によってのみ限定される。図中の同様の参照符号は、いくつかの態様にわたって同一または類似の機能を指す。 DETAILED DESCRIPTION OF THE INVENTION The following detailed description of the invention refers to the accompanying drawings, which show, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that various embodiments of the invention are different from each other and need not be mutually exclusive. For example, specific shapes, structures and features described herein with respect to one embodiment may be implemented in other embodiments without departing from the spirit and scope of the invention. Additionally, it is to be understood that the location or arrangement of individual components in each disclosed embodiment may be changed without departing from the spirit and scope of the invention. Therefore, the detailed description set forth below is not to be taken in a limiting sense, and the scope of the invention, so far as properly described, is defined in addition to the full range of equivalents claimed by the claims. limited only by the claims of: Like reference numbers in the figures refer to the same or similar features throughout some aspects.

本発明は、PMFに基づいてAPに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供する。 The present invention separately controls the connection of rogue wireless terminals connected to APs based on PMF and the connections of authorized terminals that are normally connected, eliminating separate storage and management points for PMF APs. A WIPS sensor capable of improving WIPS blocking performance and an unauthorized wireless terminal intrusion blocking method using the WIPS sensor are provided.

さらに、本発明の実施形態は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断することによって効率的に不正無線端末を制御できる。 Furthermore, the embodiments of the present invention can efficiently control unauthorized wireless terminals by blocking connections only to unauthorized wireless terminals connected to the AP based on the PMF.

後述する本発明の実施形態は、このようなPMF APに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別途に制御し、PMFに基づいて接続するAPに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上できる。上記の目的のため、本発明の実施形態は、WIPSセンサにおいて、無線端末に対して個別にチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response)メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassovicate)メッセージ、APの確認および接続解除を誘導するフェイク認証解除メッセージを転送するようにし、PMFを使用するAPに接続された、正常無線端末と、不正無線端末と、を区別し、個別に制御できる。 The embodiment of the present invention, which will be described later, separately controls the connection of an unauthorized wireless terminal connected to such a PMF AP and the connection of a normally connected authorized terminal, and connects based on the PMF. It eliminates a separate storage and management point for the AP and improves blocking performance of WIPS. For the above purposes, embodiments of the present invention provide a WIPS sensor that generates a Fake Probe Response message that individually induces a channel change for a wireless terminal, a Fake Connection that prevents reconnection after a channel change, Transfer a Fake Disassociate message, a fake deauthentication message that induces confirmation and disconnection of the AP, distinguishes between normal wireless terminals and unauthorized wireless terminals connected to the AP using PMF, Can be controlled individually.

図1は、本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。図1を参照すれば、本発明の実施形態にかかるシステムは、WIPSセンサ100、WIPSサーバ110、AP120、複数の無線端末130(例えば、第1無線端末130-1、第2無線端末130-2…、第n無線端末130-n)を含むことができる。 FIG. 1 is a block diagram showing the configuration of an unauthorized wireless terminal blocking system according to an embodiment of the present invention. Referring to FIG. 1, a system according to an embodiment of the present invention includes a WIPS sensor 100, a WIPS server 110, an AP 120, a plurality of wireless terminals 130 (eg, first wireless terminal 130-1, second wireless terminal 130-2). , n-th wireless terminals 130-n).

一実施形態によれば、WIPSセンサ100は、AP120および無線端末130から送受信されるパケットを監視し、WIPSサーバ110から提供される不正無線端末に関する情報またはセキュリティポリシーに関する情報に基づいて、不正無線端末を遮断するための機能を実行できる。WIPSサーバ110は、不正無線端末に関する情報またはセキュリティポリシーが変更されるたびに当該情報をWIPSセンサ100に提供できる。前記WIPSセンサ100は、前記WIPSサーバ110から受信した更新された情報に基づいて不正無線端末を遮断できる。 According to one embodiment, the WIPS sensor 100 monitors packets transmitted and received from the AP 120 and the wireless terminal 130, and based on the information about the unauthorized wireless terminal or the information about the security policy provided by the WIPS server 110, detects the unauthorized wireless terminal. can perform functions to block WIPS server 110 can provide WIPS sensor 100 with information about rogue wireless terminals or whenever security policies change. The WIPS sensor 100 can block unauthorized wireless terminals based on updated information received from the WIPS server 110 .

無線端末130は、無線LANが備えられたノートパソコン、スマートフォンなどのAP120を介してデータのやり取りをすることができる様々な装置を含むことができる。WIPSセンサ100は、AP120を介して無線端末130に無線伝送されるデータパケットを検知できる。WIPSセンサ100とAP120は、有線で接続できる。ここで、AP120は、1つまたは複数個から構成されうる。データパケット(data packet)は、通信回線を通じて一つの装置から別の装置へブロックとして送信される情報の単位を意味しうる。ここで、データパケットは、サービスセット識別子(SSID)、サポート速度、タイムスタンプ、表示間隔、容量情報、チャネルなどの様々な要素フィールドを含める。 The wireless terminal 130 can include various devices capable of exchanging data via the AP 120, such as a notebook computer equipped with a wireless LAN and a smart phone. WIPS sensor 100 can detect data packets wirelessly transmitted to wireless terminal 130 via AP 120 . The WIPS sensor 100 and AP 120 can be connected by wire. Here, the AP 120 may consist of one or more. A data packet may refer to a unit of information sent as a block from one device to another over a communication line. Here, the data packet contains various element fields such as Service Set Identifier (SSID), supported speed, timestamp, display interval, capacity information, channel, and so on.

前記WIPSセンサ100によって検知されたデータパケットは、WIPSサーバ110へ伝送できる。このとき、WIPSセンサ100は、通信部を通じて検知されたデータパケットをWIPSサーバ110へ伝送できる。WIPSセンサ100またはWIPSサーバ110は、前記AP120から送受信されるデータパケットまたは前記少なくとも1つの無線端末130から送受信されるデータパケットを分析し、前記少なくとも1つの無線端末130が不正無線端末であるか否かを判定できる。前記WIPSセンサ100の詳細機能については、図2の説明にて後述する。 Data packets detected by the WIPS sensor 100 can be transmitted to a WIPS server 110 . At this time, the WIPS sensor 100 can transmit the data packet detected through the communication unit to the WIPS server 110 . The WIPS sensor 100 or WIPS server 110 analyzes data packets transmitted and received from the AP 120 or data packets transmitted and received from the at least one wireless terminal 130 to determine whether the at least one wireless terminal 130 is an unauthorized wireless terminal. can determine whether Detailed functions of the WIPS sensor 100 will be described later with reference to FIG.

図2は、本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。図2を参照すれば、WIPSセンサ100は、通信部210、制御部220、メモリ230を含める。制御部220は、パケット監視部221、情報分析部222、不正端末判定部223、メッセージ生成部224、不正端末遮断処理部225を含める。 FIG. 2 is a block diagram showing the detailed configuration of the WIPS sensor according to the embodiment of the invention. Referring to FIG. 2, the WIPS sensor 100 includes a communication unit 210, a control unit 220, and a memory 230. FIG. The control unit 220 includes a packet monitoring unit 221 , an information analysis unit 222 , an unauthorized terminal determination unit 223 , a message generation unit 224 and an unauthorized terminal blocking processing unit 225 .

一実施形態によれば、前記パケット監視部221は、通信部210を通じて無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120へ伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。 According to one embodiment, the packet monitor 221 can collect packets in the wireless network in real time through the communication unit 210 . For example, the packet monitoring unit 221 can collect packets transmitted from at least one wireless terminal 130 to the AP 120 and can collect packets transmitted to at least one wireless terminal 130 via the AP 120 .

前記情報分析部222は、前記パケット監視部221を通じて収集された各データパケットを分析手段にて分析できる。前記情報分析部222は、無線ネットワークのパケットを分析し、AP120および無線端末130の情報を取得できる。例えば、前記情報分析部222において取得するAP120の情報は、AP120が持続的に放射するビーコンパケットを介してAPのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを含める。また、前記情報分析部222で取得する無線端末130の情報は、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを含める。 The information analysis unit 222 can analyze each data packet collected through the packet monitoring unit 221 by an analysis means. The information analyzer 222 can analyze wireless network packets and obtain information about the AP 120 and the wireless terminal 130 . For example, the information of the AP 120 acquired by the information analysis unit 222 includes the AP's BSSID (Basic Service Set ID), SSID (Service Set ID), channel, and whether or not PMF is used through beacon packets continuously emitted by the AP 120. , encryption information, MAC (Medium Access Control) address, etc. The information of the wireless terminal 130 acquired by the information analysis unit 222 includes the BSSID of the wireless terminal, the MAC (Medium Access Control) address, the SSID of the connected AP, the BSSID of the connected AP, and the like.

前記情報分析部222は、分析された情報をメモリ230に格納できる。また、WIPSセンサ100は、前記情報分析部222を介して分析された情報をWIPSサーバ110へ伝送できる。 The information analysis unit 222 may store the analyzed information in the memory 230 . Also, the WIPS sensor 100 may transmit information analyzed by the information analysis unit 222 to the WIPS server 110 .

前記不正端末判定部223は、メモリ230に定期的に格納された検知情報、予め格納された不正装置情報、許可装置情報、およびセキュリティポリシー情報を呼び出し、比較することにより、各無線端末に対する不正無線端末の有無を判定できる。前記不正装置情報、許可装置情報、およびセキュリティポリシー情報は、リアルタイムに通信部210を介してWIPSサーバ110から配信され、メモリ230に格納できる。 The unauthorized terminal judging unit 223 retrieves detection information periodically stored in the memory 230, pre-stored unauthorized device information, authorized device information, and security policy information, and compares them to determine unauthorized wireless communication for each wireless terminal. The presence or absence of a terminal can be determined. The unauthorized device information, authorized device information, and security policy information can be delivered in real time from the WIPS server 110 via the communication unit 210 and stored in the memory 230 .

前記不正端末判定部223の判定の結果、少なくとも1つの無線端末130に対して不正無線端末と判定されれば、当該不正無線端末を遮断するための動作を行える。 If at least one wireless terminal 130 is determined to be an unauthorized wireless terminal as a result of the determination by the unauthorized terminal determining unit 223, an operation for blocking the unauthorized wireless terminal can be performed.

前記メッセージ生成部224は、本発明の実施形態にかかる前記不正無線端末を遮断するためのメッセージを生成できる。例えば、前記メッセージ生成部224は、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(Fake Probe Response)メッセージを生成ができる。また、前記メッセージ生成部224は、再接続を防止するためのフェイク接続解除(Fake Disassociation)メッセージをMACを偽装して、AP120から送信されるものとして生成できる。また、前記メッセージ生成部224は、AP120に対する確認手続き誘導(いわゆる、SA(Security Association) Queryメッセージ送信)及び不正無線端末の再接続を妨げる目的から、無線端末のMACを偽造し、フェイク認証解除(Fake Deauthentication)メッセージを生成できる。 The message generator 224 can generate a message for blocking the unauthorized wireless terminal according to the embodiment of the present invention. For example, the message generator 224 can generate a Fake Probe Response message to guide an unauthorized wireless terminal to change channels. In addition, the message generation unit 224 can generate a fake disassociation message for preventing reconnection from the AP 120 by camouflaging the MAC. In addition, the message generation unit 224 forges the MAC of the wireless terminal and deauthenticates the fake authentication ( (Fake Deauthentication) messages can be generated.

前記メッセージ生成部224は、生成された各メッセージまたはパケットのソースアドレス、受信アドレスまたは宛先アドレスを、当該不正無線端末130またはAP120として指定できる。このようにすることにより、遮断対象の無線端末およびAPにのみ当該メッセージが伝送され、周辺無線接続装置に影響がでない。したがって、WIPSセンサ100は、各無線端末またはAP120がPMFを使用する場合やPMFを使用しない一般接続の場合を区別することなくメッセージを伝送できる。 The message generator 224 can designate the source address, receiving address or destination address of each generated message or packet as the relevant unauthorized wireless terminal 130 or AP 120 . By doing so, the message is transmitted only to the wireless terminals and APs to be blocked, and peripheral wireless connection devices are not affected. Therefore, the WIPS sensor 100 can transmit messages regardless of whether each wireless terminal or AP 120 uses PMF or a general connection that does not use PMF.

前記不正端末遮断処理部225は、前記メッセージ生成部224で生成されたメッセージをリアルタイムまたは周期的に通信部210を通じて不正無線端末130またはAP120に伝送するようにし、不正端末を遮断するように処理できる。 The unauthorized terminal blocking processing unit 225 transmits the message generated by the message generating unit 224 to the unauthorized wireless terminal 130 or AP 120 through the communication unit 210 in real time or periodically, thereby blocking the unauthorized terminal. .

図3は、本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。図3を参照すると、AP120は、無線端末130にビーコン信号をブロードキャストできる(段階302)。前記ビーコン信号は、宛先が特定されない信号であって、ブロードキャストされる信号である。例えば、前記ビーコン信号のフレームは、図5に示すように構成できる。 FIG. 3 is a signal flow chart illustrating a connection procedure between an AP and a wireless terminal according to an embodiment of the present invention. Referring to FIG. 3, AP 120 may broadcast a beacon signal to wireless terminals 130 (step 302). The beacon signal is a broadcast signal whose destination is not specified. For example, the frame of the beacon signal can be configured as shown in FIG.

図5は、APから伝送されるビーコンフレームの一例を示す図である。図5を参照すると、図に示すように、受信者アドレス(receiver address)または宛先アドレス(destination address)がブロードキャスト設定され、アドレスが特定されないように設定(例えば、「ff:ff:ff:ff:ff:ff:ff」と設定)できる。これにより、ビーコンフレームは、AP120が位置する領域内のすべての無線端末から受信できる。また、従来技術により不正無線端末を遮断するためにビーコンフレームをフェイクビーコンフレームとして送信する場合、不正無線端末だけでなく、前記ビーコンフレームを受信する全ての正常な無線端末に対しても接続を遮断できる。 FIG. 5 is a diagram showing an example of a beacon frame transmitted from an AP. Referring to FIG. 5, as shown in the figure, the receiver address or destination address is set to be broadcast and set so that the address is not specified (for example, "ff:ff:ff:ff: ff:ff:ff"). This allows beacon frames to be received from all wireless terminals within the area where AP 120 is located. In addition, when a beacon frame is transmitted as a fake beacon frame in order to block an unauthorized wireless terminal according to the conventional technology, connection is blocked not only to the unauthorized wireless terminal but also to all normal wireless terminals that receive the beacon frame. can.

一実施形態によれば、前記ビーコン信号を受信した無線端末130は、プローブ要求(probe request)メッセージをAP120に転送し、AP情報を検索できる(段階304)。前記AP120は、前記無線端末130からプローブ要求メッセージを受信し、プローブ応答メッセージを当該無線端末130に転送できる(段階306)。 According to one embodiment, the wireless terminal 130 receiving the beacon signal may forward a probe request message to the AP 120 to retrieve AP information (step 304). The AP 120 may receive a probe request message from the wireless terminal 130 and forward a probe response message to the wireless terminal 130 (step 306).

一実施形態によれば、前記プローブ応答メッセージを正常に受信した無線端末130は、前記当該AP120へ認証(authentication) 要求メッセージを送信できる(段階308)。前記認証要求メッセージを受信したAP120は、当該無線端末130に対する認証を行える。前記認証は、比較的低レベルの認証(例えば、Open、WEPベースの認証)を含み得る。認証が正常に完了されると、AP120は無線端末130に認証結果メッセージを転送できる(段階310)。 According to one embodiment, a wireless terminal 130 that successfully receives the probe response message can send an authentication request message to the AP 120 (step 308). The AP 120 that has received the authentication request message can authenticate the wireless terminal 130 . The authentication may include relatively low-level authentication (eg, Open, WEP-based authentication). Upon successful completion of authentication, AP 120 may forward an authentication result message to wireless terminal 130 (step 310).

一実施形態によれば、前記認証が正常に完了され、認証結果メッセージを受信した無線端末130は、AP120にアソシエーション要求(association request)メッセージを転送できる(段階312)。前記AP120は、前記無線端末130からアソシエーション要求メッセージを受信し、前記無線端末130にアソシエーション応答メッセージを転送できる(段階314)。 According to one embodiment, the wireless terminal 130, having successfully completed the authentication and having received the authentication result message, may forward an association request message to the AP 120 (step 312). The AP 120 may receive an association request message from the wireless terminal 130 and forward an association response message to the wireless terminal 130 (step 314).

このように、前記無線端末130とAP120との間に接続が完了されると、前記無線端末130とAP120は、それぞれが暗号化キーを交換することにより比較的高いレベルの認証(例えば、WPA/WPA2)、WPA3、または802.1Xに基づく認証)を実行できる(段階316)。 Thus, once a connection is established between the wireless terminal 130 and the AP 120, the wireless terminal 130 and the AP 120 each exchange encryption keys to provide a relatively high level of authentication (e.g., WPA/ WPA2), WPA3, or authentication based on 802.1X) can be performed (step 316).

前記高レベルの認証が完了されると、前記無線端末130とAP120は互いにデータを送受信できる(段階318)。例えば、無線端末130は、AP120を介して外部のネットワークへデータを転送でき、AP120を介して外部ネットワークから転送されたデータを受信できる。 Once the high-level authentication is completed, the wireless terminal 130 and AP 120 can transmit data to and receive data from each other (step 318). For example, wireless terminal 130 can transfer data to an external network via AP 120 and receive data transferred from the external network via AP 120 .

なお、前記高レベルの認証段階において、Wi-Fi6環境におけるWPA 3暗号化がサポートされる場合、802.11wに基づいてPMF(Protected Managed Frame)が必須的に適用されうる。 In addition, in the high-level authentication stage, if WPA 3 encryption in Wi-Fi 6 environment is supported, Protected Managed Frame (PMF) based on 802.11w may be mandatory.

図4は、本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。図4を参照すれば、前記図3にて述べたように、無線端末130とAP120との間にPMFを介した接続を設定することができる(段階402)。 FIG. 4 is a signal flow diagram illustrating a security connection verification procedure between an AP and a wireless terminal using PMF according to an embodiment of the present invention. Referring to FIG. 4, a connection can be set up between wireless terminal 130 and AP 120 via PMF (step 402), as described in FIG. 3 above.

なお、WIPSセンサ100は、不正無線端末に対する遮断のためにAP120に認証解除(Deauthentication)メッセージを転送できる(段階404)。前記AP120に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。また、WIPSセンサ100は、不正無線端末に対する遮断のために当該無線端末130に認証解除メッセージを転送できる(段階406)。前記無線端末130に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。 Also, the WIPS sensor 100 may transfer a deauthentication message to the AP 120 to block unauthorized wireless terminals (step 404). The deauthentication message forwarded to the AP 120 may be a deauthentication message for wireless terminals that do not apply to PMF. Also, the WIPS sensor 100 may forward a deauthentication message to the wireless terminal 130 to block unauthorized wireless terminals (step 406). The deauthentication message forwarded to the wireless terminal 130 may be a deauthentication message for wireless terminals that do not apply to PMF.

前記認証解除メッセージを受信したAP120は、無線端末130に対する認証を解除するか否かを確認するために、無線端末130に暗号化されたSA(Security Association)クエリ(query)を送信できる(段階408)。前記暗号化されたSAクエリ(SA query)を受信した無線端末130は、前記AP120にSAクエリ応答(SA Query Response)メッセージを前記AP120に転送できる(段階410)。すなわち、前記PMFが適用されたAP120および無線端末130は、WIPSセンサ100からPMFが適用されない認証解除メッセージを受信することにより、正常なSAクエリによる確認手続きを実行できる。これにより、前記無線端末130とAP120との間に、前記WIPSセンサ100から認証解除メッセージを受信しても、PMFを介した正常なデータフレームの送受信が行われる(段階412)。 Upon receiving the deauthentication message, the AP 120 may send an encrypted Security Association (SA) query to the wireless terminal 130 to confirm whether to deauthenticate the wireless terminal 130 (step 408). ). Upon receiving the encrypted SA query, the wireless terminal 130 may forward an SA Query Response message to the AP 120 (step 410). That is, the AP 120 and the wireless terminal 130 to which the PMF is applied can perform an authentication procedure by a normal SA query by receiving the deauthentication message to which the PMF is not applied from the WIPS sensor 100 . Accordingly, even if a deauthentication message is received from the WIPS sensor 100 between the wireless terminal 130 and the AP 120, a normal data frame is transmitted/received through the PMF (step 412).

図6は、本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。後述する図6の手続きは、上述した図1および図2のWIPSセンサ100、AP120、無線端末130を介して実行できる。図6を参照すれば、AP120は、無線端末130にビーコン信号をブロードキャストできる。前記AP120においてブロードキャストするビーコン信号は、上述した図5の形態で構成できる。 FIG. 6 is a flow chart of signals for blocking unauthorized wireless terminals using a WIPS sensor according to an embodiment of the present invention. The procedure of FIG. 6, described below, can be performed via WIPS sensor 100, AP 120, and wireless terminal 130 of FIGS. 1 and 2 described above. Referring to FIG. 6, AP 120 can broadcast beacon signals to wireless terminals 130 . A beacon signal broadcast in the AP 120 can be configured in the form of FIG. 5 described above.

一実施形態によれば、前記ビーコン信号は、特定の無線端末を対象とせずに当該領域内のすべての無線端末にブロードキャストされる。したがって、許可された無線端末だけでなく、不正無線端末130bにも、AP120からブロードキャストされるビーコン信号が受信される。後述する説明において、前記許可された無線端末を許可無線端末130aと称する。許可無線端末130aは、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階604、段階606、段階608)。同様に不正無線端末130bも、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階610)。説明の便宜上、前記許可無線端末130aおよび不正無線端末130bは、AP120とチャネル116に接続されていると仮定する。 According to one embodiment, the beacon signal is broadcast to all wireless terminals in the area without targeting a specific wireless terminal. Therefore, the beacon signal broadcast from AP 120 is received not only by authorized wireless terminals but also by unauthorized wireless terminals 130b. In the description that will be given later, the wireless terminal that has been authorized will be referred to as an authorized wireless terminal 130a. As described in FIG. 3, the authorized wireless terminal 130a normally performs procedures such as probe request, probe response, authentication, association request, association response, and encryption key exchange with the AP 120 to transmit and receive data with the AP 120. Yes (steps 604, 606, 608). Similarly, the unauthorized wireless terminal 130b normally performs procedures such as probe request, probe response, authentication, association request, association response, and encryption key exchange with AP 120 as described in FIG. can be sent and received (step 610). For convenience of explanation, it is assumed that the authorized wireless terminal 130a and unauthorized wireless terminal 130b are connected to AP 120 and channel .

一実施形態によれば、WIPSセンサ100は、AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを収集し、格納できる。 According to one embodiment, WIPS sensor 100 can collect and store data packets sent and received from AP 120, authorized wireless terminals 130a, and unauthorized wireless terminals 130b.

一実施形態によれば、前記パケット監視部221は、通信部210を介して無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120に伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。一実施形態によれば、前記WIPSセンサ100は、APが持続的に放射するビーコンパケットを受信し、APのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを確認できる。また、前記WIPSセンサ100は、各無線端末130aおよび130bから送受信されるデータパケットを受信し、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを確認できる。 According to one embodiment, the packet monitor 221 can collect packets in the wireless network in real time through the communication unit 210 . For example, the packet monitoring unit 221 can collect packets transmitted from at least one wireless terminal 130 to the AP 120 and can collect packets transmitted to the at least one wireless terminal 130 via the AP 120 . According to one embodiment, the WIPS sensor 100 receives a beacon packet continuously emitted by the AP, and detects the AP's BSSID (Basic Service Set ID), SSID (Service Set ID), channel, whether PMF is used, You can check encryption information, MAC (Medium Access Control) address, etc. Also, the WIPS sensor 100 receives data packets transmitted and received from each of the wireless terminals 130a and 130b, and detects the BSSID of the wireless terminal, the MAC (Medium Access Control) address, the SSID of the connected AP, the BSSID of the connected AP, and the BSSID of the connected AP. etc. can be checked.

一実施形態によれば、WIPSセンサ100は、前記AP120から送信されるビーコンフレームを介してPMF使用有無を確認できる。 According to one embodiment, the WIPS sensor 100 can check whether PMF is used through a beacon frame transmitted from the AP 120 .

図7は、本発明の実施形態にかかるビーコンフレームの一例を示す図である。例えば、図7を参照すれば、ビーコンフレームに含まれたPMF関連情報(例えば、「Management Frame Protection Required」または「Management Frame Protection Capable」)の設定情報(例えば、「True」)を確認し、前記AP120から送信されるビーコンフレームのPMF使用有無を確認できる。 FIG. 7 is a diagram showing an example of a beacon frame according to an embodiment of the invention. For example, referring to FIG. 7, setting information (eg, 'True') of PMF-related information (eg, 'Management Frame Protection Required' or 'Management Frame Protection Capable') included in the beacon frame is checked, and the Whether or not the beacon frame transmitted from the AP 120 uses PMF can be confirmed.

一実施形態によれば、前記WIPSセンサ100は、前記チャネル116で発生するパケットを収集し分析し、各無線端末130a、130bの不正または許可可否について判定できる。すなわち、前記WIPSセンサ100は、前記AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを分析し、不正無線端末130bが不正に接続された無線端末であることを検知できる。 According to one embodiment, the WIPS sensor 100 can collect and analyze packets originating on the channel 116 to determine whether each wireless terminal 130a, 130b is fraudulent or authorized. That is, the WIPS sensor 100 can analyze data packets transmitted and received from the AP 120, the authorized wireless terminal 130a, and the unauthorized wireless terminal 130b, and detect that the unauthorized wireless terminal 130b is an unauthorized wireless terminal.

前記WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末であることを検知した場合、本発明の実施形態により、前記不正無線端末130bの接続を遮断する様々な手続きを実行できる。 When the WIPS sensor 100 detects that the unauthorized wireless terminal 130b is an unauthorized wireless terminal, the WIPS sensor 100 can perform various procedures to disconnect the unauthorized wireless terminal 130b according to the embodiment of the present invention. .

例えば、WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末である場合、前記AP120とPMFを使用するか否かを問わず、フェイクプローブ応答メッセージを生成し、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに転送できる(段階612)。フェイクプローブ応答メッセージは、不正無線端末130bに対するチャネル変更を指示するメッセージであってもよい。 For example, if the unauthorized wireless terminal 130b is an unauthorized wireless terminal, the WIPS sensor 100 generates a fake probe response message regardless of whether PMF is used with the AP 120, and generates a fake probe response message. A probe response message may be forwarded to the rogue wireless terminal 130b (step 612). The fake probe response message may be a message instructing unauthorized wireless terminal 130b to change channels.

前記WIPSセンサ100は、フェイクプローブ応答メッセージの送信元アドレス(source address)をAP120として設定し、宛先アドレス(destination adress)を不正無線端末130bとして設定することにより、フェイクプローブ応答メッセージが不正無線端末130bにのみ転送するようにできる。例えば、WIPSセンサ100は、AP120のMACアドレスに偽装し、プローブ応答メッセージを生成した後、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに持続的に転送できる。 The WIPS sensor 100 sets the source address of the fake probe response message as the AP 120 and sets the destination address as the unauthorized wireless terminal 130b, so that the fake probe response message is sent to the unauthorized wireless terminal 130b. can only be forwarded to For example, the WIPS sensor 100 can impersonate the MAC address of the AP 120, generate a probe response message, and then persistently transfer the generated fake probe response message to the unauthorized wireless terminal 130b.

図8は、本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。図8を参照すれば、フェイクプローブ応答メッセージは、受信者アドレス(receiver address)、宛先アドレス(destination address)、送信者アドレス(transmitter address)、ソースアドレス(source address)を設定して送信できる。さらに、フェイクプローブ応答メッセージは、チャネルを変更するように指示する情報をさらに含みうる。例えば、「Channel Switch Announcement Mode」に関する情報を「144」に設定することにより、現在のチャネル116に接続された不正無線端末130bのチャネルをチャネル144に変更するよう指示できる。 FIG. 8 is a diagram showing an example of a fake probe response frame according to the embodiment of the invention. Referring to FIG. 8, the fake probe response message can be sent by setting a receiver address, a destination address, a transmitter address, and a source address. Additionally, the fake probe response message may further include information instructing to change channels. For example, by setting the information on "Channel Switch Announcement Mode" to "144", it is possible to instruct the unauthorized wireless terminal 130b connected to the current channel 116 to change to channel 144.

前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイクプローブ応答メッセージを受信し、正常にAP120から転送されたプローブ応答メッセージを認識できる。前記不正無線端末130bは、フェイクプローブ応答メッセージに含まれるチャネル変更関連情報を確認し、自己チャネルをチャネル116からチャネル144に変更した後、一定時間、AP120のチャネルが変更されることに対して待機できる(段階614)。なお、前記不正無線端末130bのチャネルは、フェイクプローブ応答メッセージによってチャネル144に変更されたが、AP120はチャネルが変更されていないので、前記AP120と不正無線端末130b間では正常なデータ通信が行われないことがある。 The unauthorized wireless terminal 130b can receive the fake probe response message forwarded from the WIPS sensor 100 and recognize the probe response message forwarded from the AP 120 normally. The unauthorized wireless terminal 130b confirms the channel change-related information included in the fake probe response message, changes its own channel from channel 116 to channel 144, and then waits for the channel change of AP 120 for a certain period of time. Yes (step 614). Although the channel of the unauthorized wireless terminal 130b was changed to the channel 144 by the fake probe response message, the channel of the AP 120 was not changed, so normal data communication was performed between the AP 120 and the unauthorized wireless terminal 130b. sometimes not.

また、本発明の実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのMACアドレスに偽造した認証解除メッセージをフェイク認証解除メッセージとして生成し、AP120に送信できる(段階616)。WIPSセンサ100で生成されたフェイク認証解除メッセージは、持続的にAP120に送信され得る。 Also, according to an embodiment of the present invention, the WIPS sensor 100 can generate a fake deauthentication message with the MAC address of the unauthorized wireless terminal 130b as a fake deauthentication message and send it to the AP 120 (step 616). A fake deauthentication message generated by the WIPS sensor 100 can be persistently sent to the AP 120 .

図9は、本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。図9において、フェイク認証解除メッセージは、受信者アドレスをAP120のアドレス(例えば、AP120のMACアドレス)として設定し、送信者アドレスを不正無線端末130bのアドレスとして設定できる。 FIG. 9 is a diagram showing an example of a fake deauthentication frame for SA query induction and reconnection prevention according to an embodiment of the present invention. In FIG. 9, the fake deauthentication message can set the recipient address as the address of AP 120 (eg, the MAC address of AP 120) and the sender address as the address of unauthorized wireless terminal 130b.

前記フェイク認証解除メッセージを受信したAP120が、PMFを使用するAPである場合、前記フェイク認証解除メッセージを受信したAP120は、フェイク認証解除メッセージが前記不正無線端末130bから配信されたメッセージであるか否かを確認するために、不正無線端末130bにSAクエリを送信できる(段階618)。 When the AP 120 that receives the fake deauthentication message is an AP that uses PMF, the AP 120 that receives the fake deauthentication message determines whether the fake deauthentication message is a message delivered from the unauthorized wireless terminal 130b. An SA query can be sent to the rogue wireless terminal 130b to see if it is (step 618).

なお、前記不正無線端末130bは、前記WIPSセンサ1000から転送されたフェイクプローブ応答メッセージによってチャネルがチャネル116からチャネル144に変更された状態であるため、AP120から送信されたSAクエリに対して正常に応答できない(段階620)。 Note that the unauthorized wireless terminal 130b is in a state where the channel has been changed from the channel 116 to the channel 144 by the fake probe response message transferred from the WIPS sensor 1000. Unable to respond (step 620).

前記AP120は、SAクエリの送信による応答を正常に受信できないので、前記不正無線端末130bとの接続を終了できる(段階622)。すなわち、前記AP120は、前記不正無線端末130bからの応答がないので、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bが再接続(電源オン/オフ)による正常な認証解除のためのメッセージとして認識し、前記不正無線端末130bとの接続を終了できる(段階622)。 Since the AP 120 cannot normally receive a response to the transmission of the SA query, it can terminate the connection with the unauthorized wireless terminal 130b (step 622). That is, since there is no response from the unauthorized wireless terminal 130b, the AP 120 receives the fake deauthentication message transferred from the WIPS sensor 100 so that the unauthorized wireless terminal 130b receives the normal deauthentication by reconnection (power on/off). and terminate the connection with the unauthorized wireless terminal 130b (step 622).

もし、前記AP120がPMFを使用しないAPであれば、別途の確認手続き(例えば、前記SAクエリ送信による確認手続き)なしで、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bから転送された正常な認証解除メッセージとして認識し、接続解除を行うことができる。 If the AP 120 is an AP that does not use PMF, the unauthorized wireless terminal 130b receives the fake deauthentication message transferred from the WIPS sensor 100 without a separate confirmation procedure (for example, a confirmation procedure based on the SA query transmission). be recognized as a normal deauthentication message forwarded from

なお、前記不正無線端末130bは、変更されたチャネル144で一定時間待機した後にも、AP120に接続されず、再接続のための無線チャネルスキャン動作を行い、以前接続されたチャネル116を介してAP120と再接続の試みを行える(段階624)。 In addition, the unauthorized wireless terminal 130b is not connected to the AP 120 even after waiting for a certain period of time on the changed channel 144, performs a wireless channel scanning operation for reconnection, and then accesses the AP 120 via the previously connected channel 116. and a reconnection attempt can be made (step 624).

一実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのAP120への再接続の試みを妨げるためにフェイク接続解除(fake diassociate)メッセージを生成し、前記不正無線端末130bに転送できる。例えば、前記接続解除メッセージのソースアドレスをAP120のアドレス(例えば、AP120のMACアドレス)に偽造し、受信者アドレスを前記不正無線端末130bに偽造し、フェイク接続解除メッセージを生成することができる。前記WIPSセンサ100は、チャネル116を介し、生成されたフェイク接続解除メッセージを、前記不正無線端末130bに持続的に転送できる。 According to one embodiment, the WIPS sensor 100 can generate and forward a fake dissociate message to the rogue wireless terminal 130b to prevent the rogue wireless terminal 130b from attempting to reconnect to the AP 120. FIG. For example, the source address of the disconnect message can be forged to be the address of AP 120 (eg, the MAC address of AP 120) and the recipient address can be forged to be the rogue wireless terminal 130b to generate a fake disconnect message. The WIPS sensor 100 can persistently forward the generated fake disconnect message to the rogue wireless terminal 130b via channel 116. FIG.

図10は、本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。図10を参照すれば、WIPSセンサ100は、送信者アドレスをAP120のアドレスとして設定し、受信者アドレスを前記不正無線端末130bのアドレスとして設定し、フェイク接続解除メッセージを生成できる。 FIG. 10 is a diagram illustrating an example of a fake disconnection frame for preventing reconnection according to an embodiment of the present invention. Referring to FIG. 10, the WIPS sensor 100 can set the sender address as the address of the AP 120 and set the recipient address as the address of the unauthorized wireless terminal 130b to generate a fake disconnection message.

前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイク接続解除メッセージを、AP120から転送された正常な接続解除メッセージとして認識し、前記チャネル116への接続を持続的に解除できる。 The unauthorized wireless terminal 130b can recognize the fake disconnection message forwarded from the WIPS sensor 100 as a normal disconnection message forwarded from the AP 120 and permanently disconnect from the channel 116. FIG.

すなわち、図6に示すように、WIPSセンサ100は、不正無線端末130bに対してフェイクプローブ応答メッセージを介して、チャネルを変更させることによって接続を遮断できる。その後、WIPSセンサ100は、AP120へフェイク認証解除メッセージを転送することによって、PMFを使用する場合であっても、AP120と不正無線端末130bとの接続を終了させる。また、不正無線端末130bが再度接続を試みることを遮断するために、当該チャネルに対して不正無線端末130bにフェイク認証解除メッセージを転送することにより、不正無線端末130bの接続を持続的に遮断することができる。 That is, as shown in FIG. 6, the WIPS sensor 100 can block the connection by causing the unauthorized wireless terminal 130b to change channels via the fake probe response message. The WIPS sensor 100 then forwards a fake de-authentication message to the AP 120 to terminate the connection between the AP 120 and the rogue wireless terminal 130b even when using PMF. In addition, in order to block the unauthorized wireless terminal 130b from attempting to connect again, the connection of the unauthorized wireless terminal 130b is continuously blocked by transferring a fake deauthentication message to the unauthorized wireless terminal 130b over the channel. be able to.

前述の手続きにより、許可無線端末130aの接続には全く影響されず、かつ不正無線端末130bに対しては個別に完全に接続を遮断することができる。 By the above procedure, the connection of the authorized wireless terminal 130a is not affected at all, and the connection to the illegal wireless terminal 130b can be cut off individually and completely.

一方、本発明による実施形態は、様々なコンピュータ手段を介して実行することができるプログラム命令形態で具現され、コンピュータ可読媒体に記録できる。前記コンピュータ可読媒体は、プログラム命令、データファイル、データ構造などを単独でまたはこれらの組み合わせで含みうる。前記媒体に記録されるプログラム命令は、本発明のために特別に設計され構成されたものであってもよく、コンピュータソフトウェアの当業者に公知されて使用可能なものであってもよい。コンピュータ可読記録媒体の例としては、ハードディスク、フロッピーディスク、磁気テープなどの磁気媒体(magnetic media)、CD-ROM、DVDなどの光記録媒体、光学ディスク、 フロプティカルディスク(Floptical disk)などのような光磁気媒体(megneto-optical media)、およびロム(ROM)、ラム(RAM)、フラッシュメモリなどのプログラム命令を格納し、実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラによって作成されるような機械語コードだけでなく、インタプリタなどを使ってコンピュータによって実行することができる高級言語コードも含まれる。前記のハードウェア装置は、本発明の動作を実行するために1つ以上のソフトウェアモジュールとして動作するように構成でき、その役割も同様である。 Meanwhile, embodiments according to the present invention can be embodied in the form of program instructions that can be executed through various computer means and recorded on computer-readable media. The computer-readable media may include program instructions, data files, data structures, etc. singly or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, optical disks, and floptical disks. and magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM (ROM), RAM (RAM), and flash memory. Examples of program instructions include not only machine language code, such as produced by a compiler, but also high-level language code, such as that which can be executed by a computer using an interpreter. The hardware devices described above may be configured to act as one or more software modules, as well as their roles, to carry out the operations of the present invention.

以上、本発明は、具体的な構成要素等のような特定事項と限定された実施形態及び図面により説明されたが、これは本発明のより全般的な理解を助けるために提供されたものに過ぎず、本発明は、前記の実施形態に限定されるものではない。本発明が属する分野で一般的な知識を有する者であれば、これらの記載から様々な修正および変形が可能である。 While the present invention has been described in terms of specifics, such as specific components, etc., and limited embodiments and drawings, this is provided to aid in a more general understanding of the invention. Rather, the invention is not limited to the embodiments described above. Various modifications and variations can be made from these descriptions by those who have general knowledge in the field to which the present invention belongs.

したがって、本発明の思想は記載された実施形態に限定されず、後述する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的な変形がある全ては本発明の思想の範囲に属するといえる。 Therefore, the spirit of the present invention is not limited to the described embodiments, and the scope of the spirit of the present invention covers not only the following claims, but also all modifications equivalent or equivalent to the scope of these claims. It can be said that it belongs to

100:WIPSセンサ
110:WIPSサーバ
120:AP
130:無線端末
130a:許可無線端末
130b:不正無線端末
210:通信部
220:制御部
221:パケット監視部
222:情報分析部
223:不正端末判定部
224:メッセージ生成部
225:不正端末遮断処理部
230:メモリ 100: WIPS sensor 110: WIPS server
120: AP
130: wireless terminal
130a: Authorized wireless terminal 130b: Unauthorized wireless terminal
210: Communication unit 220: Control unit
221: Packet monitoring unit 222: Information analysis unit
223: Unauthorized terminal determination unit 224: Message generation unit
225: Unauthorized terminal blocking processing unit 230: Memory

本発明の一実施形態によれば、WIPSセンサは、AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;前記APおよび無線端末から受信したパケットを格納するメモリ;前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する情報分析部;前記情報分析部の分析結果に基づいて前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;前記判定の結果、不正無線端末であると判定された場合、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び、前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送するように処理する不正端末遮断処理部;を含む。 According to one embodiment of the present invention, a WIPS sensor receives packets transmitted in real time from an AP (Access Point), and transmitted in real time from at least one wireless terminal connected to the AP and communicating wirelessly. a communication unit for receiving packets; a memory for storing packets received from the AP and wireless terminals; analyzing packets received from the at least one wireless terminal and determining whether a protected managed frame (PMF) is applied; an unauthorized terminal determination unit that determines whether or not the wireless terminal to which the PMF is applied is an unauthorized wireless terminal based on the analysis result of the information analysis unit; an unauthorized wireless terminal as a result of the determination; a message generation unit for generating a fake probe response message for inducing channel change of the unauthorized wireless terminal when it is determined that the fake probe response is generated through the communication unit; an unauthorized terminal interception processing unit for processing to forward the message;

本発明のもう一つの実施形態によれば、WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(access point)からリアルタイムに伝送されるパケットを収集する段階と、前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されるか否かを判定する段階と、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階と、前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成された前記フェイクプローブ応答メッセージを転送する段階と、を含む。 According to another embodiment of the present invention, a method for blocking unauthorized wireless terminal intrusion using a WIPS sensor includes collecting packets transmitted in real time from an access point (AP); Collecting packets transmitted in real time from at least one wireless terminal that wirelessly communicates ; analyzing packets received from the AP or the at least one wireless terminal to determine whether a protected managed frame (PMF) is applied; determining whether the wireless terminal to which the PMF is applied is an unauthorized wireless terminal; and as a result of the determination, the wireless terminal to which the PMF is applied is an unauthorized wireless terminal. generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal if determined to be present; and transmitting the generated fake probe response message. .

本発明の一実施形態によれば、WIPSセンサは、AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;前記APおよび無線端末から受信したパケットを格納するメモリ;前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する情報分析部;前記情報分析部の分析結果に基づいて前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;前記判定の結果、不正無線端末であると判定された場合、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び、前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送するように処理する不正端末遮断処理部;を含み、前記メッセージ生成部は、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク認証解除メッセージが前記通信部を通じて前記APに転送されるように処理する。 According to one embodiment of the present invention, a WIPS sensor receives packets transmitted in real time from an AP (Access Point), and transmitted in real time from at least one wireless terminal connected to the AP and communicating wirelessly. a communication unit for receiving packets; a memory for storing packets received from the AP and wireless terminals; analyzing packets received from the at least one wireless terminal and determining whether or not a protected managed frame (PMF) is applied an information analysis unit; an unauthorized terminal determination unit that determines whether or not the wireless terminal to which the PMF is applied is an unauthorized wireless terminal based on the analysis result of the information analysis unit; a message generator for generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal if it is determined to be present; and the fake probe response message generated through the communication unit wherein the message generating unit generates a fake deauthentication message for deauthentication of the unauthorized wireless terminal, and the unauthorized terminal blocking processing unit generates and transferring the fake deauthentication message to the AP through the communication unit.

本発明のもう一つの実施形態によれば、WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(access point)からリアルタイムに伝送されるパケットを収集する段階と、前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されるか否かを判定する段階と、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階と、前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成された前記フェイクプローブ応答メッセージを転送する段階と、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階と、生成された前記フェイク認証解除メッセージを前記APに転送する段階と、を含む。 According to another embodiment of the present invention, a method for blocking unauthorized wireless terminal intrusion using a WIPS sensor includes collecting packets transmitted in real time from an access point (AP); Collecting packets transmitted in real time from at least one wireless terminal that wirelessly communicates; analyzing packets received from the AP or the at least one wireless terminal to determine whether a protected managed frame (PMF) is applied; determining whether the wireless terminal to which the PMF is applied is an unauthorized wireless terminal; and as a result of the determination, the wireless terminal to which the PMF is applied is an unauthorized wireless terminal. If it is determined that there is, generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal; transferring the generated fake probe response message; generating a fake deauthentication message for deauthentication of a wireless terminal; and forwarding the generated fake deauthentication message to the AP .

Claims (15)

WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法において、
AP(Access Point)からリアルタイムに伝送されるパケットを収集する段階;
前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階;
前記少なくとも1つの無線端末から受信したパケットを分析した結果、前記パケットを伝送した無線端末が不正無線端末であると判断されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階;及び
生成された前記フェイクプローブ応答メッセージを転送する段階;を含む、WIPSセンサを用いた不正無線端末の侵入遮断方法。 In a method for blocking unauthorized wireless terminals from intruding using a WIPS (Wireless Intrusion Prevention System) sensor,
Collecting packets transmitted in real time from an AP (Access Point);
collecting packets transmitted in real time from at least one wireless terminal connected to the AP and communicating wirelessly;
As a result of analyzing the packet received from the at least one wireless terminal, if it is determined that the wireless terminal that transmitted the packet is an unauthorized wireless terminal, a fake probe response ( A method of blocking an intrusion of an unauthorized wireless terminal using a WIPS sensor, comprising: generating a fake probe response message; and transmitting the generated fake probe response message. 前記方法が、
前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、
PMF(Protected Managed Frame)が適用されたか否かを判定する段階;をさらに含み、
前記PMFが、適用された無線端末に対して不正無線端末であるか否かを判定する、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 said method comprising:
analyzing packets received from the AP or the at least one wireless terminal;
Determining whether a Protected Managed Frame (PMF) has been applied;
2. The method of blocking an unauthorized wireless terminal intrusion using a WIPS sensor according to claim 1, wherein the wireless terminal to which the PMF is applied determines whether or not the wireless terminal is an unauthorized wireless terminal. 前記方法が、
WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して、不正無線端末であるか否かを判定する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 said method comprising:
2. The WIPS of claim 1, further comprising determining whether the at least one wireless terminal is an unauthorized wireless terminal based on unauthorized device information and security policy information received from a WIPS server. An intrusion blocking method for an unauthorized wireless terminal using a sensor. 前記フェイクプローブ応答メッセージが、
前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 The fake probe response message is
2. The method of blocking an unauthorized wireless terminal intrusion using a WIPS sensor according to claim 1, wherein address information for said unauthorized wireless terminal is included as destination information. 前記フェイクプローブ応答メッセージが、
前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 The fake probe response message is
2. The method of claim 1, further comprising: information instructing to change to a channel different from the channel to which the unauthorized wireless terminal is currently connected, using a WIPS sensor. 前記方法が、
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階;及び
生成された前記フェイク認証解除メッセージを前記APに転送する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 said method comprising:
The WIPS sensor of claim 1, further comprising: generating a fake deauthentication message for deauthentication of the rogue wireless terminal; and forwarding the generated fake deauthentication message to the AP. An intrusion blocking method for unauthorized wireless terminals. 前記方法が、
前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階;及び
生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。 said method comprising:
The WIPS of claim 1, further comprising: generating a fake disconnect message for disconnecting to the unauthorized wireless terminal; and forwarding the generated fake disconnect message to the unauthorized wireless terminal. An intrusion blocking method for an unauthorized wireless terminal using a sensor. 請求項1~7のいずれか一項に記載の方法を実行するためのプログラムが記録されていることを特徴とするコンピュータ可読記録媒体。 A computer-readable recording medium on which a program for executing the method according to any one of claims 1 to 7 is recorded. WIPSセンサにおいて、
AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;
前記APおよび無線端末から受信したパケットを格納するメモリ;
前記少なくとも1つの無線端末から受信したパケットを分析する情報分析部;
前記情報分析部の分析結果に基づいて、前記パケットを伝送した無線端末が不正無線端末であるか否かを判定する不正端末判定部;
前記判定の結果、不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び
前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送されるように処理する不正端末遮断処理部;を含む、WIPSセンサ。 In the WIPS sensor,
A communication unit that receives packets transmitted in real time from an AP (Access Point) and receives packets transmitted in real time from at least one wireless terminal that is connected to the AP and communicates wirelessly;
a memory for storing packets received from the AP and wireless terminals;
an information analyzer that analyzes packets received from the at least one wireless terminal;
an unauthorized terminal determination unit that determines whether or not the wireless terminal that transmitted the packet is an unauthorized wireless terminal based on the analysis result of the information analysis unit;
a message generator for generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal if the wireless terminal is determined to be an unauthorized wireless terminal as a result of the determination; and through the communication unit, A WIPS sensor, comprising: an unauthorized terminal blocking processor for processing the generated fake probe response message to be forwarded. 前記情報分析部が、
前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、
PMF(Protected Managed Frame)が適用された否かを判定し、
前記不正端末判定部が、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する、請求項9に記載のWIPSセンサ。 The information analysis unit
analyzing packets received from the AP or the at least one wireless terminal;
Determining whether PMF (Protected Managed Frame) has been applied,
10. The WIPS sensor according to claim 9, wherein said unauthorized terminal determination unit determines whether or not a wireless terminal to which said PMF is applied is an unauthorized wireless terminal. 前記不正端末判定部が、
WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する、請求項9に記載のWIPSセンサ。 The unauthorized terminal determination unit,
10. The WIPS sensor of claim 9, determining whether the at least one wireless terminal is a rogue wireless terminal based on rogue device information and security policy information received from a WIPS server. 前記フェイクプローブ応答メッセージが、
前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項9に記載のWIPSセンサ。 The fake probe response message is
10. The WIPS sensor according to claim 9, wherein address information for said unauthorized wireless terminal is included as destination information. 前記フェイクプローブ応答メッセージが、
前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項9に記載のWIPSセンサ。 The fake probe response message is
10. The WIPS sensor of claim 9, comprising information instructing the rogue wireless terminal to change to a different channel than the channel currently connected to. 前記メッセージ生成部が、
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク認証解除メッセージを前記APに転送するように処理する、請求項9に記載のWIPSセンサ。 The message generator,
generating a fake deauthentication message for deauthentication of the unauthorized wireless terminal;
The unauthorized terminal blocking processing unit
10. The WIPS sensor of claim 9, configured to forward the generated fake de-authentication message to the AP through the communication unit. 前記メッセージ生成部が、
前記不正無線端末に対する接続解除のためのフェイク接続解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送するように処理する、請求項9に記載のWIPSセンサ。 The message generator,
generating a fake disconnect message for disconnecting the unauthorized wireless terminal;
The unauthorized terminal blocking processing unit
10. The WIPS sensor according to claim 9, wherein the communication unit transfers the generated fake disconnection message to the unauthorized wireless terminal.
JP2021205230A 2021-06-17 2021-12-17 Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor Active JP7079994B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2021-0078420 2021-06-17
KR1020210078420A KR102323712B1 (en) 2021-06-17 2021-06-17 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor

Publications (2)

Publication Number Publication Date
JP7079994B1 JP7079994B1 (en) 2022-06-03
JP2023000990A true JP2023000990A (en) 2023-01-04

Family

ID=78500232

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021205230A Active JP7079994B1 (en) 2021-06-17 2021-12-17 Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor

Country Status (2)

Country Link
JP (1) JP7079994B1 (en)
KR (1) KR102323712B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102366574B1 (en) * 2021-11-29 2022-02-23 주식회사 심플솔루션 Wireless Intrusion Prevention Methods
KR102596544B1 (en) * 2023-04-17 2023-10-31 주식회사 코닉글로리 Method and apparatus for preventing wireless intrusion
KR102627393B1 (en) * 2023-06-09 2024-01-19 주식회사 코닉글로리 Method and apparatus for preventing wireless intrusion
CN116744287B (en) * 2023-07-10 2024-04-12 上海众网数聚信息科技股份有限公司 Wireless local area network blocking method, device and equipment for WiFi6 and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) * 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
JP2014171128A (en) * 2013-03-04 2014-09-18 National Institute Of Information & Communication Technology Method for handing over between base stations
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101737893B1 (en) * 2015-03-27 2017-05-22 유넷시스템주식회사 WIPS Sensor and Terminal block Method Using The Same
KR102329493B1 (en) * 2015-11-27 2021-11-22 삼성전자 주식회사 Method and apparatus for preventing connection in wireless intrusion prevention system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) * 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
JP2014171128A (en) * 2013-03-04 2014-09-18 National Institute Of Information & Communication Technology Method for handing over between base stations
KR102102835B1 (en) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor

Also Published As

Publication number Publication date
KR102323712B9 (en) 2024-03-29
JP7079994B1 (en) 2022-06-03
KR102323712B1 (en) 2021-11-10

Similar Documents

Publication Publication Date Title
JP7079994B1 (en) Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor
US7783756B2 (en) Protection for wireless devices against false access-point attacks
RU2546610C1 (en) Method of determining unsafe wireless access point
US9843579B2 (en) Dynamically generated SSID
JP4990608B2 (en) Method and apparatus for transmitting message by wireless device group
US9603021B2 (en) Rogue access point detection
Waliullah et al. Wireless LAN security threats & vulnerabilities
US20070178881A1 (en) Remotely controlling access to subscriber data over a wireless network for a mobile device
JP2008518566A (en) System and method for providing security for a wireless network
JP2023517107A (en) Wireless intrusion prevention system, wireless network system including same, and method of operating wireless network system
Vanhoef et al. Protecting wi-fi beacons from outsider forgeries
US20210385728A1 (en) Protected pre-association device identification
US20080126455A1 (en) Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs
US11019037B2 (en) Security improvements in a wireless data exchange protocol
Saedy et al. Ad Hoc M2M Communications and security based on 4G cellular system
JP6861285B2 (en) Methods and devices for parameter exchange during emergency access
US8122243B1 (en) Shielding in wireless networks
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
Hadi Types of Attacks in Wireless Communication Networks
KR102627393B1 (en) Method and apparatus for preventing wireless intrusion
Li et al. Wireless network security detection system design based on client
US20230188999A1 (en) Method and device for detecting a security flaw
Caushaj et al. Attacks and countermeasures in wireless cellular networks
CA3229183A1 (en) Unsolicited handling of unique identifiers for stations
EP4388764A1 (en) Protected pre-association station identification

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211217

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211217

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20211217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220517

R150 Certificate of patent or registration of utility model

Ref document number: 7079994

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350