JP7079994B1 - Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor - Google Patents

Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor Download PDF

Info

Publication number
JP7079994B1
JP7079994B1 JP2021205230A JP2021205230A JP7079994B1 JP 7079994 B1 JP7079994 B1 JP 7079994B1 JP 2021205230 A JP2021205230 A JP 2021205230A JP 2021205230 A JP2021205230 A JP 2021205230A JP 7079994 B1 JP7079994 B1 JP 7079994B1
Authority
JP
Japan
Prior art keywords
wireless terminal
unauthorized
fake
wips
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021205230A
Other languages
Japanese (ja)
Other versions
JP2023000990A (en
Inventor
イ・スンベ
ホ・ホユン
Original Assignee
ネオリジン カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=78500232&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP7079994(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ネオリジン カンパニー リミテッド filed Critical ネオリジン カンパニー リミテッド
Application granted granted Critical
Publication of JP7079994B1 publication Critical patent/JP7079994B1/en
Publication of JP2023000990A publication Critical patent/JP2023000990A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

【課題】WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法及びWIPSセンサ及びWIPSセンサを用いた不正無線端末の侵入遮断方法を提供する。【解決手段】WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(Access Point)からリアルタイムに伝送されるパケットを収集する段階と、APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、少なくとも1つの無線端末から受信したパケットの分析の結果、パケットを伝送した無線端末が不正無線端末であると判定されれば、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成されたフェイクプローブ応答メッセージを転送する段階と、を含む。【選択図】図6PROBLEM TO BE SOLVED: To provide an intrusion blocking method for an unauthorized wireless terminal using a WIPS (Wireless Intrusion Prevention System) sensor and an intrusion blocking method for an unauthorized wireless terminal using a WIPS sensor and a WIPS sensor. SOLUTION: The intrusion blocking method of an unauthorized wireless terminal using a WIPS sensor includes a stage of collecting packets transmitted in real time from an AP (Access Point) and from at least one wireless terminal connected to the AP and wirelessly communicated. If it is determined that the wireless terminal that transmitted the packet is an unauthorized wireless terminal as a result of the stage of collecting the packets transmitted in real time and the analysis of the packets received from at least one wireless terminal, the channel of the unauthorized wireless terminal is changed. A step of generating a fake probe response message for inducing a fake probe response and a step of transferring the generated fake probe response message are included. [Selection diagram] FIG. 6

Description

本発明は、PMF(Protected Managed Frame)が適用された通信において、WIPS(Wireless Intrusion Prevention System)センサを用いた不正無線端末の侵入遮断方法及びWIPSセンサに関する。 The present invention relates to an intrusion blocking method for an unauthorized wireless terminal using a WIPS (Wireless Intrusion Prevention System) sensor and a WIPS sensor in communication to which a PMF (Protected Managed Frame) is applied.

一般にインターネットは、世界中のいかなる場所において、いかなる人が、接続したい対象のコンピュータにTCP/IPという共通のプロトコルを適用し、自由に接続して使用できるように構成されたオープンネットワークであり、基本的な文字情報の伝達の他、圧縮技術の発展とともにマルチメディア情報の配信に利用され、電子メール、ファイル転送、WWW(World Wide Web)などの多様なサービスを利用することができる。 In general, the Internet is an open network that is configured so that anyone can freely connect and use it by applying a common protocol called TCP / IP to the computer to which they want to connect, anywhere in the world. In addition to the transmission of textual information, it is used for the distribution of multimedia information with the development of compression technology, and various services such as e-mail, file transfer, and WWW (World Wide Web) can be used.

このようなインターネットは、国内をはじめ世界的にその使用が急激に増加しており、従来産業の全般にわたって効率性と生産性向上のための戦略的なツールとしてその重要性が急速に増大しており、インターネットを通じた新たなビジネス機会が持続的に創り出されるのはもちろんのこと、その領域も拡大される傾向にあり、インターネットを利用した事業者もますます増えている。 The use of such the Internet is increasing rapidly in Japan and around the world, and its importance is rapidly increasing as a strategic tool for improving efficiency and productivity throughout the conventional industry. In addition to the continuous creation of new business opportunities through the Internet, the area is also expanding, and the number of businesses using the Internet is increasing.

専用ネットワークは、情報セキュリティのためにハッキングなど外部からの様々な侵入(以下、「侵入」という)を遮断するために、外部と閉鎖することが好ましい。また、専用ネットワーク内でも端末の情報へのアクセスを階層化して管理する必要性もある。そのため、各種セキュリティ技術が開発され、補完され、発展し続けている。 The dedicated network is preferably closed to the outside in order to block various intrusions from the outside (hereinafter referred to as "intrusion") such as hacking for information security. There is also a need to manage access to terminal information in a hierarchical manner even within a dedicated network. Therefore, various security technologies have been developed, complemented, and continue to develop.

また、無線技術の発展によって、ネットワークに無線接続できる無線LANが登場した。無線LANによって、無線端末が複雑な回線の接続過程を経なくとも、無線端末は、無線LANアクセスポイント(アクセスポイント:AP、以下、「AP」という)を介して容易にネットワークに接続される。これにより、無線端末のユーザは、非常に簡単にネットワークに接続することができるようになったが、その分ネットワークのセキュリティ性は、格段と低下した。このことは、閉鎖型に運用される専用ネットワークが種々のリスクにさらされる可能性があることを意味する。そこで、無線環境での侵入を遮断するためのシステム(Wireless Intrusion Prevention System:WIPS、以下、「WIPS」という)が開発された。 In addition, with the development of wireless technology, a wireless LAN that can be wirelessly connected to a network has appeared. By wireless LAN, a wireless terminal is easily connected to a network via a wireless LAN access point (access point: AP, hereinafter referred to as "AP") even if the wireless terminal does not go through a complicated line connection process. This has made it possible for wireless terminal users to connect to the network very easily, but the security of the network has been significantly reduced. This means that a dedicated network operated in a closed manner may be exposed to various risks. Therefore, a system for blocking intrusion in a wireless environment (Wireless Intrusion Prevention System: WIPS, hereinafter referred to as "WIPS") has been developed.

なお、IEEE 802.11をベースにした無線LAN技術は、端末を有線に接続することなく、安価かつ迅速にネットワークを利用することができるので、家庭や企業、公衆回線において広く利用されている。特に、無線LANカードが取り付けられているノートパソコンやスマートフォン、タブレットが広く使われており、ユーザは日常生活のいかなる場所や時間においてインターネットを通じてゲーム(game)、ネットサーフィン(web surfing)、ニュース(news)、ソーシャルサービス(social service)などを利用できるようになった。また、ユーザは日常生活のいかなる場所や時間においてインターネットを通じて、容易にメールを送受信するなど、さまざまな形態のインターネットベースのアプリケーションサービスを活用することができるようになった。さらに、802.11n、802.11acなどの高速化技術と、802.11i、802.11wなどといった安全性が強化された無線LAN技術が登場し、より安全で便利な無線LAN技術を利用することができるようになった。 The wireless LAN technology based on IEEE 802.11 is widely used in homes, businesses, and public lines because it can use the network inexpensively and quickly without connecting terminals by wire. In particular, laptops, smartphones, and tablets equipped with wireless LAN cards are widely used, and users can play games, web surfing, and news through the Internet at any place and time in their daily lives. ), Social services, etc. have become available. In addition, users can now take advantage of various forms of Internet-based application services, such as easily sending and receiving email over the Internet at any place and time in their daily lives. Furthermore, high-speed technologies such as 802.1n and 802.11ac and wireless LAN technologies with enhanced safety such as 802.1i and 802.11w will be introduced, and safer and more convenient wireless LAN technologies will be used. Can now be done.

しかしながら、安全性を強化する技術を無線LANに適用しても、無線の特徴による脆弱性は依然として存在する。有線技術とは異なり、無線技術ではネットワークに誰もがアクセスすることができ、ネットワーク接続点の実際の物理的位置を探すことが難しいので、アドレス偽装、盗聴、パケット偽装など、さまざまな形態の攻撃にそのままさらされる。 However, even if the technology for enhancing safety is applied to a wireless LAN, vulnerabilities due to the characteristics of wireless still exist. Unlike wired technology, wireless technology allows anyone to access the network and it is difficult to find the actual physical location of the network connection point, so various forms of attack such as address spoofing, eavesdropping, and packet spoofing. Is exposed to as it is.

このように家庭、企業、公衆回線で提供される無線LANにおいて、様々な攻撃と侵入の可能性があり、例えば、不正AP、サービス拒否(Denial of Service)攻撃、インサイダー攻撃などが代表的と言える。 In this way, there is a possibility of various attacks and intrusions in wireless LANs provided by homes, companies, and public lines. For example, unauthorized APs, denial of service attacks, insider attacks, etc. can be said to be typical. ..

前記のWIPSは、APと無線端末(Station)との間で発生するパケットを検知し、ユーザによって定義されたセキュリティポリシーによって接続の不正を判定し、遮断する役割を果たす。 The WIPS plays a role of detecting a packet generated between an AP and a wireless terminal (Station), determining a connection fraud according to a security policy defined by a user, and blocking the connection.

しかし、近年発表されたWi-Fi6環境におけるWPA3暗号化環境では、802.11wに基づくPMF(Protected Managed Frame)の適用を必須とするので、従来のWIPS製品の認証解除フレーム(Deauthentication frame)及び接続解除フレーム(Disassociation frame)を介したAPと無線端末間の接続制御に限界がある。 However, in the WPA3 encryption environment in the Wi-Fi6 environment announced in recent years, the application of PMF (Protected Managed Frame) based on 802.11w is indispensable, so the deauthentication frame and connection of the conventional WIPS products are required. There is a limit to the connection control between the AP and the wireless terminal via the release frame (Dissociation frame).

そこで、このようなPMFの適用による制御の限界を克服するための技術として特許文献1(発明の名称:WIPSセンサ、以下「従来技術」という)が提案された。前記従来技術は、フェイクビーコン(Fake Beacon)を発生させ、APのチャネル変更を無線端末に認識させる方法である。しかし、前記フェイクビーコンパケットを用いたチャネル変更信号は、ブロードキャスト(Broadcasting)伝送方式であって、周辺の全ての無線端末に受信され、当該APと接続された遮断対象である不正無線端末への接続と正常に接続された許可端末への接続の両方を遮断してしまうという課題が存在する。さらに、このようなPMFを使用するAPを基準にしてすべての接続に対して遮断および制御が起こるので、PMF APに対する別途の格納および管理が必要となる。 Therefore, Patent Document 1 (name of the invention: WIPS sensor, hereinafter referred to as "conventional technique") has been proposed as a technique for overcoming the limitation of control by applying PMF. The prior art is a method of generating a fake beacon to cause a wireless terminal to recognize an AP channel change. However, the channel change signal using the fake beacon packet is a broadcast (Broadcasting) transmission method, is received by all peripheral wireless terminals, and is connected to an unauthorized wireless terminal that is connected to the AP and is a blocking target. There is a problem of blocking both the connection to the permitted terminal and the normally connected terminal. In addition, blocking and control occurs for all connections relative to APs that use such PMFs, requiring separate storage and management for PMF APs.

韓国登録特許第10-2102835号公報Korean Registered Patent No. 10-102835 Gazette

本発明の目的は、PMFに基づいてAPに接続されている不正無線端末への接続と正常に接続された許可端末への接続を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。 An object of the present invention is to separately control the connection to an unauthorized wireless terminal connected to an AP based on the PMF and the connection to a normally connected authorized terminal, and eliminate a separate storage and management point for the PMF AP. Further, it is an object of the present invention to provide a WIPS sensor capable of improving the blocking performance of WIPS and a method for blocking intrusion of an unauthorized wireless terminal using the WIPS sensor.

また、本発明の目的は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断させることにより効率的に不正無線端末を制御することができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供することにある。 Further, an object of the present invention is a WIPS sensor and the WIPS sensor capable of efficiently controlling an unauthorized wireless terminal by blocking the connection only to an unauthorized wireless terminal connected to the AP based on the PMF. The purpose is to provide a method for blocking intrusion of an unauthorized wireless terminal used.

上述のような本発明の目的を達成し、後述する本発明特有の効果を達成するための本発明の特徴的な構成は、以下の通りである。 The characteristic configuration of the present invention for achieving the above-mentioned object of the present invention and the effect peculiar to the present invention described later is as follows.

本発明の一実施形態によれば、WIPSセンサは、AP(Access Point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;前記APおよび無線端末から受信したパケットを格納するメモリ;前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する情報分析部;前記情報分析部の分析結果に基づいて前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;前記判定の結果、不正無線端末であると判定された場合、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び、前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送するように処理する不正端末遮断処理部;を含み、前記メッセージ生成部は、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク認証解除メッセージが前記通信部を通じて前記APに転送されるように処理する。 According to one embodiment of the present invention, the WIPS sensor receives a packet transmitted in real time from an AP (Access Point), is connected to the AP, and is transmitted in real time from at least one wireless terminal that wirelessly communicates with the AP. Communication unit that receives the packet; Memory that stores the packet received from the AP and the wireless terminal; Analyzes the packet received from the at least one wireless terminal and determines whether or not PMF (protruded managed frame) is applied. Information analysis unit; Fraudulent terminal determination unit that determines whether or not the wireless terminal to which the PMF is applied is an unauthorized wireless terminal based on the analysis result of the information analysis unit; If it is determined to be present, a message generation unit that generates a fake probe response message for inducing a channel change of the rogue wireless terminal; and the fake probe response message generated through the communication unit. The message generation unit generates a fake authentication cancellation message for deauthentication for the fraudulent wireless terminal, and the fraudulent terminal blocking processing unit generates the fraudulent terminal blocking processing unit; The fake authentication cancellation message is processed so as to be forwarded to the AP through the communication unit.

好ましくは、前記不正端末判定部は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する。 Preferably, the fraudulent terminal determination unit determines whether or not the fraudulent terminal is a fraudulent wireless terminal with respect to the at least one wireless terminal based on the fraudulent device information and the security policy information received from the WIPS server.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。 Preferably, the fake probe response message includes address information for the rogue radio terminal as destination information.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む。 Preferably, the fake probe response message contains information instructing the rogue radio terminal to switch to a different channel than the one to which it is currently connected.

好ましくは、前記メッセージ生成部は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成し、前記不正端末遮断処理部は、生成された前記フェイク接続解除メッセージが前記通信部を通じて前記不正無線端末に転送されるように処理する。 Preferably, the message generation unit generates a fake connection disconnection message for disconnecting to the unauthorized wireless terminal, and the unauthorized terminal blocking processing unit generates the fake connection disconnection message through the communication unit. Process so that it is transferred to an unauthorized wireless terminal.

本発明のもう一つの実施形態によれば、WIPSセンサを用いた不正無線端末の侵入遮断方法は、AP(access point)からリアルタイムに伝送されるパケットを収集する段階と、前記APと接続して無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階と、前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されるか否かを判定する段階と、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階と、前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階と、生成された前記フェイクプローブ応答メッセージを転送する段階と、前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階と、生成された前記フェイク認証解除メッセージを前記APに転送する段階と、を含む。 According to another embodiment of the present invention, the intrusion blocking method of an unauthorized wireless terminal using a WIPS sensor includes a step of collecting packets transmitted in real time from an AP (access point) and a step of connecting to the AP. Whether or not PMF (protracted managed frame) is applied by analyzing the stage of collecting packets transmitted in real time from at least one wireless terminal for wireless communication and analyzing the packets received from the AP or at least one wireless terminal. A step of determining whether or not the wireless terminal to which the PMF is applied is a step of determining whether or not the wireless terminal to which the PMF is applied is an unauthorized wireless terminal, and as a result of the determination, the wireless terminal to which the PMF is applied is an unauthorized wireless terminal. If it is determined to be present, a step of generating a fake probe response message for inducing a channel change of the rogue wireless terminal, a step of transferring the generated fake probe response message, and the step of forwarding the rogue It includes a step of generating a fake deauthentication message for deauthentication for the wireless terminal and a step of transferring the generated fake deauthentication message to the AP .

好ましくは、前記方法は、WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対する不正無線端末であるか否かを判定する段階をさらに含む。 Preferably, the method further includes a step of determining whether or not the wireless terminal is an unauthorized wireless terminal for the at least one wireless terminal based on the unauthorized device information and the security policy information received from the WIPS server.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に対するアドレス情報を宛先情報として含む。 Preferably, the fake probe response message includes address information for the rogue radio terminal as destination information.

好ましくは、前記フェイクプローブ応答メッセージは、前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するように指示する情報を含む。 Preferably, the fake probe response message contains information instructing the rogue radio terminal to switch to a channel other than the one currently connected.

好ましくは、前記方法は、前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階と、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階と、をさらに含む。 Preferably, the method further includes a step of generating a fake disconnect message for disconnecting to the rogue wireless terminal and a step of transferring the generated fake disconnect message to the rogue wireless terminal. ..

なお、前記WIPSセンサを用いた不正無線端末の侵入遮断方法の提供を受けるための情報は、サーバコンピュータにおいて、読み取り可能な記録媒体に格納することができる。これらの記録媒体は、コンピュータシステムによって読み取り可能になるようにプログラムおよびデータが格納される全種類の記録媒体を含む。一例として、ROM(Read Only Memory)、RAM(Random Access Memory)、CD(Compact Disk)、DVD(Digital Video Disk)-ROM、磁気テープ、フロッピーディスク、光データ格納装置などがある。さらに搬送波(例えば、インターネットを介した伝送)の形態で具現されることも含まれる。また、これらの記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式でコンピュータに読み取り可能なコードが格納され、実行される。 Information for receiving the provision of an intrusion blocking method for an unauthorized wireless terminal using the WIPS sensor can be stored in a readable recording medium in the server computer. These recording media include all types of recording media in which programs and data are stored so that they can be read by computer systems. Examples include ROM (Read Only Memory), RAM (Random Access Memory), CD (Compact Disk), DVD (Digital Video Disk) -ROM, magnetic tape, floppy disk, optical data storage device, and the like. It also includes being embodied in the form of a carrier wave (eg, transmission over the Internet). In addition, these recording media are distributed to computer systems connected by a network, and a computer-readable code is stored and executed in a distributed manner.

上述したように、本発明によれば、不正無線端末に個別的なチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response) メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassociate)メッセージ、APの確認及び接続解除を誘導するフェイク認証解除(Fake Deauthentication)メッセージを転送することにより、PMFを使用するAPに接続された正常な無線端末と不正無線端末とを区別し、個別に制御することができる長所がある。 As described above, according to the present invention, a fake probe response message that induces an individual channel change to an unauthorized wireless terminal, and a fake detect message that prevents reconnection after a channel change. By forwarding a fake deauthentication message that induces confirmation and disconnection of the AP, normal wireless terminals connected to APs that use PMF and unauthorized wireless terminals are distinguished and individually controlled. There are advantages that can be achieved.

また、本発明によれば、PMFの使用有無にかかわらず、すべての接続に使用することができる方法を提供し、PMFの使用有無による負担を除去し、性能向上を図り、無線ネットワークの個別セキュリティ性を向上させる効果がある。 Further, according to the present invention, a method that can be used for all connections regardless of whether or not PMF is used is provided, the burden due to whether or not PMF is used is eliminated, performance is improved, and individual security of a wireless network is achieved. It has the effect of improving sex.

本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。It is a block diagram which shows the structure of the unauthorized wireless terminal cutoff system which concerns on embodiment of this invention. 本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。It is a block diagram which shows the detailed structure of the WIPS sensor which concerns on embodiment of this invention. 本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。It is a flowchart of a signal which shows the connection procedure between an AP and a wireless terminal which concerns on embodiment of this invention. 本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。It is a flowchart of a signal which shows the security connection confirmation procedure between an AP using PMF and a wireless terminal which concerns on embodiment of this invention. APから伝送されるビーコンフレームの例を示す図である。It is a figure which shows the example of the beacon frame transmitted from AP. 本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。It is a flowchart of the signal for blocking an unauthorized wireless terminal using the WIPS sensor which concerns on embodiment of this invention. 本発明の実施形態にかかるビーコンフレームの一例を示す図である。It is a figure which shows an example of the beacon frame which concerns on embodiment of this invention. 本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。It is a figure which shows an example of the fake probe response frame which concerns on embodiment of this invention. 本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。It is a figure which shows the example of the fake authentication cancellation frame for SA query induction and reconnection prevention which concerns on embodiment of this invention. 本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。It is a figure which shows an example of the fake connection disconnection frame for preventing the reconnection according to the embodiment of this invention.

後述する本発明の詳細な説明は、本発明を実施することができる特定の実施形態を例示として示す添付の図面を参照にする。これらの実施形態は、当業者が本発明を実施するのに十分であるように詳細に説明される。本発明の様々な実施形態は互いに異なるが相互に排他的である必要はないことを理解されるべきである。例えば、本明細書に記載されている特定の形状、構造および特性は、一実施形態に関して本発明の目的および範囲から逸脱することなく他の実施形態で実施することができる。さらに、開示された各実施形態における個々の構成要素の位置または配置は、本発明の目的および範囲から逸脱することなく変更され得ることが理解されるべきである。したがって、後述する詳細な説明は限定的な意味で取るべきではなく、本発明の範囲は、適切に説明されている限り、特許請求の範囲が主張するものと同等のすべての範囲に加えて添付の特許請求の範囲によってのみ限定される。図中の同様の参照符号は、いくつかの態様にわたって同一または類似の機能を指す。 For a detailed description of the invention described below, reference will be made to the accompanying drawings illustrating specific embodiments in which the invention can be practiced. These embodiments will be described in detail to be sufficient for those skilled in the art to practice the invention. It should be understood that the various embodiments of the invention are different from each other but need not be mutually exclusive. For example, the particular shapes, structures and properties described herein can be implemented in other embodiments without departing from the object and scope of the invention with respect to one embodiment. Further, it should be understood that the location or placement of the individual components in each disclosed embodiment may be modified without departing from the object and scope of the invention. Therefore, the detailed description described below should not be taken in a limited sense, and the scope of the present invention is attached in addition to all the scope equivalent to what the claims claim, as long as it is properly described. Limited only by the claims of. Similar reference numerals in the figure refer to the same or similar functions in several embodiments.

本発明は、PMFに基づいてAPに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別個に制御し、PMF APに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上させることができるWIPSセンサ及び該WIPSセンサを用いた不正無線端末の侵入遮断方法を提供する。 The present invention separately controls the connection of an unauthorized wireless terminal connected to the AP based on the PMF and the connection of a normally connected authorized terminal, and eliminates a separate storage and management point for the PMF AP. Further, the present invention provides a WIPS sensor capable of improving the blocking performance of WIPS and a method for blocking intrusion of an unauthorized wireless terminal using the WIPS sensor.

さらに、本発明の実施形態は、PMFに基づいてAPに接続されている不正無線端末に対してのみ接続を遮断することによって効率的に不正無線端末を制御できる。 Further, in the embodiment of the present invention, the unauthorized wireless terminal can be efficiently controlled by blocking the connection only to the unauthorized wireless terminal connected to the AP based on the PMF.

後述する本発明の実施形態は、このようなPMF APに接続されている、不正無線端末の接続と、正常に接続された許可端末の接続と、を別途に制御し、PMFに基づいて接続するAPに対する別途の格納及び管理ポイントを除去し、WIPSの遮断性能を向上できる。上記の目的のため、本発明の実施形態は、WIPSセンサにおいて、無線端末に対して個別にチャネル変更を誘導するフェイクプローブ応答(Fake Probe Response)メッセージ、チャネル変更後の再接続を防止するフェイク接続解除(Fake Disassovicate)メッセージ、APの確認および接続解除を誘導するフェイク認証解除メッセージを転送するようにし、PMFを使用するAPに接続された、正常無線端末と、不正無線端末と、を区別し、個別に制御できる。 An embodiment of the present invention, which will be described later, separately controls the connection of an unauthorized wireless terminal connected to such a PMF AP and the connection of a normally connected authorized terminal, and connects based on the PMF. It is possible to improve the blocking performance of WIPS by removing the storage and management points separately for the AP. For the above object, an embodiment of the present invention is a fake probe response (Fake Probe Response) message that individually induces a channel change to a wireless terminal in a WIPS sensor, and a fake connection that prevents reconnection after a channel change. The Fake Dissuspend message, the fake authentication disconnection message that induces the confirmation and disconnection of the AP are forwarded, and the normal wireless terminal and the unauthorized wireless terminal connected to the AP using the PMF are distinguished. Can be controlled individually.

図1は、本発明の実施形態にかかる不正無線端末遮断システムの構成を示すブロック図である。図1を参照すれば、本発明の実施形態にかかるシステムは、WIPSセンサ100、WIPSサーバ110、AP120、複数の無線端末130(例えば、第1無線端末130-1、第2無線端末130-2…、第n無線端末130-n)を含むことができる。 FIG. 1 is a block diagram showing a configuration of an unauthorized wireless terminal blocking system according to an embodiment of the present invention. Referring to FIG. 1, the system according to the embodiment of the present invention includes a WIPS sensor 100, a WIPS server 110, AP120, and a plurality of wireless terminals 130 (for example, first wireless terminal 130-1 and second wireless terminal 130-2). ..., The nth wireless terminal 130-n) can be included.

一実施形態によれば、WIPSセンサ100は、AP120および無線端末130から送受信されるパケットを監視し、WIPSサーバ110から提供される不正無線端末に関する情報またはセキュリティポリシーに関する情報に基づいて、不正無線端末を遮断するための機能を実行できる。WIPSサーバ110は、不正無線端末に関する情報またはセキュリティポリシーが変更されるたびに当該情報をWIPSセンサ100に提供できる。前記WIPSセンサ100は、前記WIPSサーバ110から受信した更新された情報に基づいて不正無線端末を遮断できる。 According to one embodiment, the WIPS sensor 100 monitors packets sent and received from the AP 120 and the wireless terminal 130, and is based on the information about the unauthorized wireless terminal or the information about the security policy provided by the WIPS server 110, the unauthorized wireless terminal. Can perform functions to block. The WIPS server 110 can provide the information about the unauthorized wireless terminal or the information to the WIPS sensor 100 every time the security policy is changed. The WIPS sensor 100 can block unauthorized wireless terminals based on the updated information received from the WIPS server 110.

無線端末130は、無線LANが備えられたノートパソコン、スマートフォンなどのAP120を介してデータのやり取りをすることができる様々な装置を含むことができる。WIPSセンサ100は、AP120を介して無線端末130に無線伝送されるデータパケットを検知できる。WIPSセンサ100とAP120は、有線で接続できる。ここで、AP120は、1つまたは複数個から構成されうる。データパケット(data packet)は、通信回線を通じて一つの装置から別の装置へブロックとして送信される情報の単位を意味しうる。ここで、データパケットは、サービスセット識別子(SSID)、サポート速度、タイムスタンプ、表示間隔、容量情報、チャネルなどの様々な要素フィールドを含める。 The wireless terminal 130 can include various devices capable of exchanging data via the AP 120 such as a laptop computer equipped with a wireless LAN and a smartphone. The WIPS sensor 100 can detect a data packet wirelessly transmitted to the wireless terminal 130 via the AP 120. The WIPS sensor 100 and AP120 can be connected by wire. Here, the AP 120 may be composed of one or a plurality. A data packet can mean a unit of information transmitted as a block from one device to another through a communication line. Here, the data packet includes various element fields such as service set identifier (SSID), support speed, time stamp, display interval, capacity information, channel, and the like.

前記WIPSセンサ100によって検知されたデータパケットは、WIPSサーバ110へ伝送できる。このとき、WIPSセンサ100は、通信部を通じて検知されたデータパケットをWIPSサーバ110へ伝送できる。WIPSセンサ100またはWIPSサーバ110は、前記AP120から送受信されるデータパケットまたは前記少なくとも1つの無線端末130から送受信されるデータパケットを分析し、前記少なくとも1つの無線端末130が不正無線端末であるか否かを判定できる。前記WIPSセンサ100の詳細機能については、図2の説明にて後述する。 The data packet detected by the WIPS sensor 100 can be transmitted to the WIPS server 110. At this time, the WIPS sensor 100 can transmit the data packet detected through the communication unit to the WIPS server 110. The WIPS sensor 100 or the WIPS server 110 analyzes data packets transmitted / received from the AP 120 or data packets transmitted / received from the at least one wireless terminal 130, and whether or not the at least one wireless terminal 130 is an unauthorized wireless terminal. Can be determined. The detailed functions of the WIPS sensor 100 will be described later in the description of FIG.

図2は、本発明の実施形態にかかるWIPSセンサの詳細構成を示すブロック図である。図2を参照すれば、WIPSセンサ100は、通信部210、制御部220、メモリ230を含める。制御部220は、パケット監視部221、情報分析部222、不正端末判定部223、メッセージ生成部224、不正端末遮断処理部225を含める。 FIG. 2 is a block diagram showing a detailed configuration of the WIPS sensor according to the embodiment of the present invention. Referring to FIG. 2, the WIPS sensor 100 includes a communication unit 210, a control unit 220, and a memory 230. The control unit 220 includes a packet monitoring unit 221, an information analysis unit 222, an unauthorized terminal determination unit 223, a message generation unit 224, and an unauthorized terminal blocking processing unit 225.

一実施形態によれば、前記パケット監視部221は、通信部210を通じて無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120へ伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。 According to one embodiment, the packet monitoring unit 221 can collect packets in the wireless network in real time through the communication unit 210. For example, the packet monitoring unit 221 can collect packets transmitted from at least one wireless terminal 130 to AP 120, and can collect packets transmitted to at least one wireless terminal 130 via AP 120.

前記情報分析部222は、前記パケット監視部221を通じて収集された各データパケットを分析手段にて分析できる。前記情報分析部222は、無線ネットワークのパケットを分析し、AP120および無線端末130の情報を取得できる。例えば、前記情報分析部222において取得するAP120の情報は、AP120が持続的に放射するビーコンパケットを介してAPのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを含める。また、前記情報分析部222で取得する無線端末130の情報は、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを含める。 The information analysis unit 222 can analyze each data packet collected through the packet monitoring unit 221 by the analysis means. The information analysis unit 222 can analyze the packets of the wireless network and acquire the information of the AP 120 and the wireless terminal 130. For example, the information of the AP 120 acquired by the information analysis unit 222 includes the use of BSSID (Basic Service Set ID), SSID (Service Set ID), channel, and PMF of the AP via the beacon packet continuously emitted by the AP 120. , Encrypted information, MAC (Medium Access Control) address, etc. are included. Further, the information of the wireless terminal 130 acquired by the information analysis unit 222 includes the BSSID of the wireless terminal, the MAC (Medium Access Control) address, the SSID of the connected AP, the BSSID of the connected AP, and the like.

前記情報分析部222は、分析された情報をメモリ230に格納できる。また、WIPSセンサ100は、前記情報分析部222を介して分析された情報をWIPSサーバ110へ伝送できる。 The information analysis unit 222 can store the analyzed information in the memory 230. Further, the WIPS sensor 100 can transmit the information analyzed via the information analysis unit 222 to the WIPS server 110.

前記不正端末判定部223は、メモリ230に定期的に格納された検知情報、予め格納された不正装置情報、許可装置情報、およびセキュリティポリシー情報を呼び出し、比較することにより、各無線端末に対する不正無線端末の有無を判定できる。前記不正装置情報、許可装置情報、およびセキュリティポリシー情報は、リアルタイムに通信部210を介してWIPSサーバ110から配信され、メモリ230に格納できる。 The fraudulent terminal determination unit 223 calls and compares the detection information periodically stored in the memory 230, the fraudulent device information stored in advance, the permitted device information, and the security policy information, and makes a fraudulent radio for each wireless terminal. The presence or absence of a terminal can be determined. The unauthorized device information, the permitted device information, and the security policy information are distributed from the WIPS server 110 via the communication unit 210 in real time and can be stored in the memory 230.

前記不正端末判定部223の判定の結果、少なくとも1つの無線端末130に対して不正無線端末と判定されれば、当該不正無線端末を遮断するための動作を行える。 As a result of the determination of the fraudulent terminal determination unit 223, if it is determined that at least one wireless terminal 130 is a fraudulent wireless terminal, an operation for blocking the fraudulent wireless terminal can be performed.

前記メッセージ生成部224は、本発明の実施形態にかかる前記不正無線端末を遮断するためのメッセージを生成できる。例えば、前記メッセージ生成部224は、不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(Fake Probe Response)メッセージを生成ができる。また、前記メッセージ生成部224は、再接続を防止するためのフェイク接続解除(Fake Disassociation)メッセージをMACを偽装して、AP120から送信されるものとして生成できる。また、前記メッセージ生成部224は、AP120に対する確認手続き誘導(いわゆる、SA(Security Association) Queryメッセージ送信)及び不正無線端末の再接続を妨げる目的から、無線端末のMACを偽造し、フェイク認証解除(Fake Deauthentication)メッセージを生成できる。 The message generation unit 224 can generate a message for blocking the unauthorized wireless terminal according to the embodiment of the present invention. For example, the message generation unit 224 can generate a fake probe response message for inducing a channel change of an unauthorized wireless terminal. Further, the message generation unit 224 can generate a fake dissociation message for preventing reconnection as being transmitted from the AP 120 by disguising the MAC. Further, the message generation unit 224 forges the MAC of the wireless terminal and cancels the fake authentication (for the purpose of preventing confirmation procedure guidance to AP120 (so-called SA (Security Association) Quality message transmission) and reconnection of the unauthorized wireless terminal (s). Fake Wireless) message can be generated.

前記メッセージ生成部224は、生成された各メッセージまたはパケットのソースアドレス、受信アドレスまたは宛先アドレスを、当該不正無線端末130またはAP120として指定できる。このようにすることにより、遮断対象の無線端末およびAPにのみ当該メッセージが伝送され、周辺無線接続装置に影響がでない。したがって、WIPSセンサ100は、各無線端末またはAP120がPMFを使用する場合やPMFを使用しない一般接続の場合を区別することなくメッセージを伝送できる。 The message generation unit 224 can specify the source address, reception address, or destination address of each generated message or packet as the rogue radio terminal 130 or AP120. By doing so, the message is transmitted only to the wireless terminal and the AP to be blocked, and the peripheral wireless connection device is not affected. Therefore, the WIPS sensor 100 can transmit a message without distinguishing between the case where each wireless terminal or AP120 uses PMF and the case where the general connection does not use PMF.

前記不正端末遮断処理部225は、前記メッセージ生成部224で生成されたメッセージをリアルタイムまたは周期的に通信部210を通じて不正無線端末130またはAP120に伝送するようにし、不正端末を遮断するように処理できる。 The unauthorized terminal blocking processing unit 225 can transmit the message generated by the message generation unit 224 to the unauthorized wireless terminal 130 or AP 120 through the communication unit 210 in real time or periodically, and can process the unauthorized terminal to be blocked. ..

図3は、本発明の実施形態にかかるAPと無線端末との間の接続手続きを示す信号のフローチャートである。図3を参照すると、AP120は、無線端末130にビーコン信号をブロードキャストできる(段階302)。前記ビーコン信号は、宛先が特定されない信号であって、ブロードキャストされる信号である。例えば、前記ビーコン信号のフレームは、図5に示すように構成できる。 FIG. 3 is a flowchart of a signal showing a connection procedure between the AP and the wireless terminal according to the embodiment of the present invention. Referring to FIG. 3, the AP 120 can broadcast the beacon signal to the wireless terminal 130 (step 302). The beacon signal is a signal whose destination is not specified and is broadcast. For example, the frame of the beacon signal can be configured as shown in FIG.

図5は、APから伝送されるビーコンフレームの一例を示す図である。図5を参照すると、図に示すように、受信者アドレス(receiver address)または宛先アドレス(destination address)がブロードキャスト設定され、アドレスが特定されないように設定(例えば、「ff:ff:ff:ff:ff:ff:ff」と設定)できる。これにより、ビーコンフレームは、AP120が位置する領域内のすべての無線端末から受信できる。また、従来技術により不正無線端末を遮断するためにビーコンフレームをフェイクビーコンフレームとして送信する場合、不正無線端末だけでなく、前記ビーコンフレームを受信する全ての正常な無線端末に対しても接続を遮断できる。 FIG. 5 is a diagram showing an example of a beacon frame transmitted from the AP. Referring to FIG. 5, as shown in the figure, the receiver address (receiver address) or the destination address (destination address) is set to be broadcast and the address is not specified (for example, “ff: ff: ff: ff:”. ff: ff: ff "can be set). Thereby, the beacon frame can be received from all the wireless terminals in the area where the AP120 is located. Further, when the beacon frame is transmitted as a fake beacon frame in order to block the unauthorized wireless terminal by the conventional technique, the connection is blocked not only to the unauthorized wireless terminal but also to all normal wireless terminals receiving the beacon frame. can.

一実施形態によれば、前記ビーコン信号を受信した無線端末130は、プローブ要求(probe request)メッセージをAP120に転送し、AP情報を検索できる(段階304)。前記AP120は、前記無線端末130からプローブ要求メッセージを受信し、プローブ応答メッセージを当該無線端末130に転送できる(段階306)。 According to one embodiment, the wireless terminal 130 that has received the beacon signal can forward the probe request message to the AP 120 and retrieve the AP information (step 304). The AP 120 can receive a probe request message from the radio terminal 130 and transfer the probe response message to the radio terminal 130 (step 306).

一実施形態によれば、前記プローブ応答メッセージを正常に受信した無線端末130は、前記当該AP120へ認証(authentication) 要求メッセージを送信できる(段階308)。前記認証要求メッセージを受信したAP120は、当該無線端末130に対する認証を行える。前記認証は、比較的低レベルの認証(例えば、Open、WEPベースの認証)を含み得る。認証が正常に完了されると、AP120は無線端末130に認証結果メッセージを転送できる(段階310)。 According to one embodiment, the wireless terminal 130 that has successfully received the probe response message can send an authentication request message to the AP 120 (step 308). Upon receiving the authentication request message, the AP 120 can authenticate the wireless terminal 130. The certification may include a relatively low level of certification (eg, Open, WEP-based certification). If the authentication is successfully completed, the AP 120 can forward the authentication result message to the wireless terminal 130 (step 310).

一実施形態によれば、前記認証が正常に完了され、認証結果メッセージを受信した無線端末130は、AP120にアソシエーション要求(association request)メッセージを転送できる(段階312)。前記AP120は、前記無線端末130からアソシエーション要求メッセージを受信し、前記無線端末130にアソシエーション応答メッセージを転送できる(段階314)。 According to one embodiment, the wireless terminal 130 that has successfully completed the authentication and received the authentication result message can transfer the association request message to the AP 120 (step 312). The AP 120 can receive the association request message from the wireless terminal 130 and transfer the association response message to the wireless terminal 130 (step 314).

このように、前記無線端末130とAP120との間に接続が完了されると、前記無線端末130とAP120は、それぞれが暗号化キーを交換することにより比較的高いレベルの認証(例えば、WPA/WPA2)、WPA3、または802.1Xに基づく認証)を実行できる(段階316)。 Thus, when the connection between the wireless terminal 130 and the AP 120 is completed, the wireless terminal 130 and the AP 120 each exchange an encryption key to achieve a relatively high level of authentication (eg, WPA /. WPA2), WPA3, or 802.1X-based authentication) can be performed (step 316).

前記高レベルの認証が完了されると、前記無線端末130とAP120は互いにデータを送受信できる(段階318)。例えば、無線端末130は、AP120を介して外部のネットワークへデータを転送でき、AP120を介して外部ネットワークから転送されたデータを受信できる。 Once the high level of authentication is completed, the wireless terminal 130 and AP 120 can send and receive data to and from each other (step 318). For example, the wireless terminal 130 can transfer data to an external network via the AP 120 and can receive data transferred from the external network via the AP 120.

なお、前記高レベルの認証段階において、Wi-Fi6環境におけるWPA 3暗号化がサポートされる場合、802.11wに基づいてPMF(Protected Managed Frame)が必須的に適用されうる。 If WPA 3 encryption in a Wi-Fi 6 environment is supported at the high-level authentication stage, PMF (Protected Managed Frame) may be indispensably applied based on 802.11w.

図4は、本発明の実施形態にかかるPMFを使用するAPと無線端末との間のセキュリティ接続確認手続きを示す信号のフローチャートである。図4を参照すれば、前記図3にて述べたように、無線端末130とAP120との間にPMFを介した接続を設定することができる(段階402)。 FIG. 4 is a flowchart of a signal showing a security connection confirmation procedure between an AP using PMF and a wireless terminal according to an embodiment of the present invention. With reference to FIG. 4, as described in FIG. 3, a connection via the PMF can be set between the wireless terminal 130 and the AP 120 (step 402).

なお、WIPSセンサ100は、不正無線端末に対する遮断のためにAP120に認証解除(Deauthentication)メッセージを転送できる(段階404)。前記AP120に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。また、WIPSセンサ100は、不正無線端末に対する遮断のために当該無線端末130に認証解除メッセージを転送できる(段階406)。前記無線端末130に転送する認証解除メッセージは、PMFに適用されない無線端末に対する認証解除メッセージであってもよい。 The WIPS sensor 100 can transfer a Deauthentication message to the AP 120 in order to block the unauthorized wireless terminal (step 404). The deauthentication message transferred to the AP 120 may be a deauthentication message for a wireless terminal not applied to the PMF. Further, the WIPS sensor 100 can transfer an authentication cancellation message to the wireless terminal 130 in order to block the unauthorized wireless terminal (step 406). The deauthentication message transferred to the wireless terminal 130 may be a deauthentication message for a wireless terminal not applied to the PMF.

前記認証解除メッセージを受信したAP120は、無線端末130に対する認証を解除するか否かを確認するために、無線端末130に暗号化されたSA(Security Association)クエリ(query)を送信できる(段階408)。前記暗号化されたSAクエリ(SA query)を受信した無線端末130は、前記AP120にSAクエリ応答(SA Query Response)メッセージを前記AP120に転送できる(段階410)。すなわち、前記PMFが適用されたAP120および無線端末130は、WIPSセンサ100からPMFが適用されない認証解除メッセージを受信することにより、正常なSAクエリによる確認手続きを実行できる。これにより、前記無線端末130とAP120との間に、前記WIPSセンサ100から認証解除メッセージを受信しても、PMFを介した正常なデータフレームの送受信が行われる(段階412)。 Upon receiving the deauthentication message, the AP 120 can send an encrypted SA (Security Association) query (query) to the wireless terminal 130 in order to confirm whether or not to deauthenticate the wireless terminal 130 (step 408). ). The wireless terminal 130 that has received the encrypted SA query can transfer the SA query response message to the AP 120 (step 410). That is, the AP 120 and the wireless terminal 130 to which the PMF is applied can execute the confirmation procedure by a normal SA query by receiving the authentication cancellation message to which the PMF is not applied from the WIPS sensor 100. As a result, even if the authentication cancellation message is received from the WIPS sensor 100 between the wireless terminal 130 and the AP 120, normal data frames are transmitted and received via the PMF (step 412).

図6は、本発明の実施形態にかかるWIPSセンサを用いた不正無線端末遮断のための信号のフローチャートである。後述する図6の手続きは、上述した図1および図2のWIPSセンサ100、AP120、無線端末130を介して実行できる。図6を参照すれば、AP120は、無線端末130にビーコン信号をブロードキャストできる。前記AP120においてブロードキャストするビーコン信号は、上述した図5の形態で構成できる。 FIG. 6 is a flowchart of a signal for blocking an unauthorized wireless terminal using the WIPS sensor according to the embodiment of the present invention. The procedure of FIG. 6 described later can be executed via the WIPS sensors 100, AP120, and wireless terminal 130 of FIGS. 1 and 2 described above. Referring to FIG. 6, the AP 120 can broadcast the beacon signal to the wireless terminal 130. The beacon signal to be broadcast in the AP 120 can be configured in the form of FIG. 5 described above.

一実施形態によれば、前記ビーコン信号は、特定の無線端末を対象とせずに当該領域内のすべての無線端末にブロードキャストされる。したがって、許可された無線端末だけでなく、不正無線端末130bにも、AP120からブロードキャストされるビーコン信号が受信される。後述する説明において、前記許可された無線端末を許可無線端末130aと称する。許可無線端末130aは、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階604、段階606、段階608)。同様に不正無線端末130bも、図3で述べたように、AP120とプローブ要求、プローブ応答、認証、アソシエーション要求、アソシエーション応答、暗号化キー交換などの手続きを正常に行うことにより、前記AP120とデータを送受信できる(段階610)。説明の便宜上、前記許可無線端末130aおよび不正無線端末130bは、AP120とチャネル116に接続されていると仮定する。 According to one embodiment, the beacon signal is broadcast to all radio terminals in the region without targeting a particular radio terminal. Therefore, the beacon signal broadcast from the AP 120 is received not only by the permitted wireless terminal but also by the unauthorized wireless terminal 130b. In the description described later, the permitted wireless terminal is referred to as a permitted wireless terminal 130a. As described in FIG. 3, the authorized wireless terminal 130a transmits / receives data to / from the AP 120 by normally performing procedures such as probe request, probe response, authentication, association request, association response, and encryption key exchange with the AP 120. Yes (step 604, step 606, step 608). Similarly, as described in FIG. 3, the unauthorized wireless terminal 130b also normally performs procedures such as probe request, probe response, authentication, association request, association response, and encryption key exchange with AP120, thereby performing data with AP120. Can be sent and received (step 610). For convenience of explanation, it is assumed that the permitted radio terminal 130a and the unauthorized radio terminal 130b are connected to the AP 120 and the channel 116.

一実施形態によれば、WIPSセンサ100は、AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを収集し、格納できる。 According to one embodiment, the WIPS sensor 100 can collect and store data packets transmitted and received from the AP 120, the authorized wireless terminal 130a, and the unauthorized wireless terminal 130b.

一実施形態によれば、前記パケット監視部221は、通信部210を介して無線ネットワーク内のパケットをリアルタイムに収集できる。例えば、前記パケット監視部221は、少なくとも1つの無線端末130からAP120に伝送されるパケットを収集でき、AP120を介して少なくとも1つの無線端末130に伝送されるパケットを収集できる。一実施形態によれば、前記WIPSセンサ100は、APが持続的に放射するビーコンパケットを受信し、APのBSSID(Basic Service Set ID)、SSID(Service Set ID)、チャネル、PMFの使用有無、暗号化情報、MAC(Medium Access Control)アドレスなどを確認できる。また、前記WIPSセンサ100は、各無線端末130aおよび130bから送受信されるデータパケットを受信し、無線端末のBSSID、MAC(Medium Access Control)アドレス、接続されたAPのSSID、接続されたAPのBSSIDなどを確認できる。 According to one embodiment, the packet monitoring unit 221 can collect packets in the wireless network in real time via the communication unit 210. For example, the packet monitoring unit 221 can collect packets transmitted from at least one wireless terminal 130 to the AP 120, and can collect packets transmitted to at least one wireless terminal 130 via the AP 120. According to one embodiment, the WIPS sensor 100 receives a beacon packet continuously emitted by the AP, and the BSSID (Basic Service Set ID), SSID (Service Set ID), channel, and PMF of the AP are used. You can check the encrypted information, MAC (Medium Access Control) address, and so on. Further, the WIPS sensor 100 receives data packets transmitted / received from the wireless terminals 130a and 130b, and receives the BSSID of the wireless terminal, the MAC (Media Access Control) address, the SSID of the connected AP, and the BSSID of the connected AP. You can check such things.

一実施形態によれば、WIPSセンサ100は、前記AP120から送信されるビーコンフレームを介してPMF使用有無を確認できる。 According to one embodiment, the WIPS sensor 100 can confirm whether or not PMF is used via the beacon frame transmitted from the AP 120.

図7は、本発明の実施形態にかかるビーコンフレームの一例を示す図である。例えば、図7を参照すれば、ビーコンフレームに含まれたPMF関連情報(例えば、「Management Frame Protection Required」または「Management Frame Protection Capable」)の設定情報(例えば、「True」)を確認し、前記AP120から送信されるビーコンフレームのPMF使用有無を確認できる。 FIG. 7 is a diagram showing an example of a beacon frame according to an embodiment of the present invention. For example, referring to FIG. 7, the setting information (for example, “True”) of the PMF-related information (for example, “Management Frame Protection Liquid” or “Management Frame Protection Cable”) included in the beacon frame is confirmed, and the above-mentioned It is possible to confirm whether or not the PMF of the beacon frame transmitted from the AP120 is used.

一実施形態によれば、前記WIPSセンサ100は、前記チャネル116で発生するパケットを収集し分析し、各無線端末130a、130bの不正または許可可否について判定できる。すなわち、前記WIPSセンサ100は、前記AP120、許可無線端末130a、不正無線端末130bから送受信されるデータパケットを分析し、不正無線端末130bが不正に接続された無線端末であることを検知できる。 According to one embodiment, the WIPS sensor 100 can collect and analyze packets generated on the channel 116 and determine whether or not each of the wireless terminals 130a and 130b is fraudulent or permitted. That is, the WIPS sensor 100 can analyze data packets transmitted / received from the AP 120, the permitted wireless terminal 130a, and the unauthorized wireless terminal 130b, and detect that the unauthorized wireless terminal 130b is an illegally connected wireless terminal.

前記WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末であることを検知した場合、本発明の実施形態により、前記不正無線端末130bの接続を遮断する様々な手続きを実行できる。 When the WIPS sensor 100 detects that the unauthorized wireless terminal 130b is an illegally connected wireless terminal, the embodiment of the present invention can execute various procedures for blocking the connection of the unauthorized wireless terminal 130b. ..

例えば、WIPSセンサ100は、前記不正無線端末130bが不正に接続された無線端末である場合、前記AP120とPMFを使用するか否かを問わず、フェイクプローブ応答メッセージを生成し、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに転送できる(段階612)。フェイクプローブ応答メッセージは、不正無線端末130bに対するチャネル変更を指示するメッセージであってもよい。 For example, the WIPS sensor 100 generates a fake probe response message and generates a fake regardless of whether or not the AP120 and PMF are used when the unauthorized wireless terminal 130b is an illegally connected wireless terminal. The probe response message can be forwarded to the rogue radio terminal 130b (step 612). The fake probe response message may be a message instructing the unauthorized radio terminal 130b to change the channel.

前記WIPSセンサ100は、フェイクプローブ応答メッセージの送信元アドレス(source address)をAP120として設定し、宛先アドレス(destination adress)を不正無線端末130bとして設定することにより、フェイクプローブ応答メッセージが不正無線端末130bにのみ転送するようにできる。例えば、WIPSセンサ100は、AP120のMACアドレスに偽装し、プローブ応答メッセージを生成した後、生成されたフェイクプローブ応答メッセージを前記不正無線端末130bに持続的に転送できる。 The WIPS sensor 100 sets the source address (source address) of the fake probe response message as AP120, and sets the destination address (destination address) as the unauthorized wireless terminal 130b, whereby the fake probe response message is set as the unauthorized wireless terminal 130b. Can only be transferred to. For example, the WIPS sensor 100 can disguise itself as the MAC address of the AP 120, generate a probe response message, and then continuously transfer the generated fake probe response message to the rogue wireless terminal 130b.

図8は、本発明の実施形態にかかるフェイクプローブ応答フレームの一例を示す図である。図8を参照すれば、フェイクプローブ応答メッセージは、受信者アドレス(receiver address)、宛先アドレス(destination address)、送信者アドレス(transmitter address)、ソースアドレス(source address)を設定して送信できる。さらに、フェイクプローブ応答メッセージは、チャネルを変更するように指示する情報をさらに含みうる。例えば、「Channel Switch Announcement Mode」に関する情報を「144」に設定することにより、現在のチャネル116に接続された不正無線端末130bのチャネルをチャネル144に変更するよう指示できる。 FIG. 8 is a diagram showing an example of a fake probe response frame according to an embodiment of the present invention. Referring to FIG. 8, the fake probe response message can be transmitted by setting a receiver address (receiver address), a destination address (destination address), a transmitter address (transmitter address), and a source address (source address). In addition, the fake probe response message may further contain information instructing the channel to change. For example, by setting the information about "Channel Switch Announcation Mode" to "144", it is possible to instruct to change the channel of the rogue radio terminal 130b connected to the current channel 116 to channel 144.

前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイクプローブ応答メッセージを受信し、正常にAP120から転送されたプローブ応答メッセージを認識できる。前記不正無線端末130bは、フェイクプローブ応答メッセージに含まれるチャネル変更関連情報を確認し、自己チャネルをチャネル116からチャネル144に変更した後、一定時間、AP120のチャネルが変更されることに対して待機できる(段階614)。なお、前記不正無線端末130bのチャネルは、フェイクプローブ応答メッセージによってチャネル144に変更されたが、AP120はチャネルが変更されていないので、前記AP120と不正無線端末130b間では正常なデータ通信が行われないことがある。 The fraudulent wireless terminal 130b can receive the fake probe response message transferred from the WIPS sensor 100 and can recognize the probe response message normally transferred from the AP 120. The rogue radio terminal 130b confirms the channel change related information included in the fake probe response message, changes its own channel from channel 116 to channel 144, and then waits for a certain period of time for the channel of AP120 to be changed. Yes (step 614). The channel of the rogue radio terminal 130b was changed to channel 144 by the fake probe response message, but since the channel of the AP 120 has not been changed, normal data communication is performed between the AP 120 and the rogue radio terminal 130b. Sometimes not.

また、本発明の実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのMACアドレスに偽造した認証解除メッセージをフェイク認証解除メッセージとして生成し、AP120に送信できる(段階616)。WIPSセンサ100で生成されたフェイク認証解除メッセージは、持続的にAP120に送信され得る。 Further, according to the embodiment of the present invention, the WIPS sensor 100 can generate a forged authentication cancellation message in the MAC address of the unauthorized wireless terminal 130b as a fake authentication cancellation message and transmit it to the AP 120 (step 616). The fake authentication deauthentication message generated by the WIPS sensor 100 can be continuously transmitted to the AP 120.

図9は、本発明の実施形態にかかるSAクエリ誘導および再接続防止のためのフェイク認証解除フレームの例を示す図である。図9において、フェイク認証解除メッセージは、受信者アドレスをAP120のアドレス(例えば、AP120のMACアドレス)として設定し、送信者アドレスを不正無線端末130bのアドレスとして設定できる。 FIG. 9 is a diagram showing an example of a fake authentication cancellation frame for SA query guidance and reconnection prevention according to the embodiment of the present invention. In FIG. 9, in the fake authentication cancellation message, the receiver address can be set as the address of the AP120 (for example, the MAC address of the AP120), and the sender address can be set as the address of the unauthorized wireless terminal 130b.

前記フェイク認証解除メッセージを受信したAP120が、PMFを使用するAPである場合、前記フェイク認証解除メッセージを受信したAP120は、フェイク認証解除メッセージが前記不正無線端末130bから配信されたメッセージであるか否かを確認するために、不正無線端末130bにSAクエリを送信できる(段階618)。 When the AP 120 that has received the fake authentication cancellation message is an AP that uses PMF, the AP 120 that has received the fake authentication cancellation message is whether or not the fake authentication cancellation message is a message delivered from the unauthorized wireless terminal 130b. An SA query can be sent to the fraudulent wireless terminal 130b to confirm that (step 618).

なお、前記不正無線端末130bは、前記WIPSセンサ1000から転送されたフェイクプローブ応答メッセージによってチャネルがチャネル116からチャネル144に変更された状態であるため、AP120から送信されたSAクエリに対して正常に応答できない(段階620)。 Since the channel of the unauthorized wireless terminal 130b is changed from channel 116 to channel 144 by the fake probe response message transferred from the WIPS sensor 1000, the SA query transmitted from the AP 120 is normally performed. Unable to respond (step 620).

前記AP120は、SAクエリの送信による応答を正常に受信できないので、前記不正無線端末130bとの接続を終了できる(段階622)。すなわち、前記AP120は、前記不正無線端末130bからの応答がないので、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bが再接続(電源オン/オフ)による正常な認証解除のためのメッセージとして認識し、前記不正無線端末130bとの接続を終了できる(段階622)。 Since the AP 120 cannot normally receive the response from the transmission of the SA query, the connection with the unauthorized wireless terminal 130b can be terminated (step 622). That is, since the AP 120 does not receive a response from the unauthorized wireless terminal 130b, the unauthorized wireless terminal 130b reconnects (power on / off) the fake authentication release message transferred from the WIPS sensor 100 to normally release the authentication. It can be recognized as a message for, and the connection with the unauthorized wireless terminal 130b can be terminated (step 622).

もし、前記AP120がPMFを使用しないAPであれば、別途の確認手続き(例えば、前記SAクエリ送信による確認手続き)なしで、前記WIPSセンサ100から転送されたフェイク認証解除メッセージを前記不正無線端末130bから転送された正常な認証解除メッセージとして認識し、接続解除を行うことができる。 If the AP 120 is an AP that does not use PMF, the fake authentication cancellation message transferred from the WIPS sensor 100 is sent to the unauthorized wireless terminal 130b without a separate confirmation procedure (for example, the confirmation procedure by sending the SA query). It can be recognized as a normal deauthentication message transferred from and disconnected.

なお、前記不正無線端末130bは、変更されたチャネル144で一定時間待機した後にも、AP120に接続されず、再接続のための無線チャネルスキャン動作を行い、以前接続されたチャネル116を介してAP120と再接続の試みを行える(段階624)。 The unauthorized wireless terminal 130b is not connected to the AP 120 even after waiting for a certain period of time on the changed channel 144, performs a wireless channel scan operation for reconnection, and performs the wireless channel scan operation for reconnection, and the AP 120 is performed via the previously connected channel 116. And an attempt to reconnect can be made (step 624).

一実施形態によれば、WIPSセンサ100は、前記不正無線端末130bのAP120への再接続の試みを妨げるためにフェイク接続解除(fake diassociate)メッセージを生成し、前記不正無線端末130bに転送できる。例えば、前記接続解除メッセージのソースアドレスをAP120のアドレス(例えば、AP120のMACアドレス)に偽造し、受信者アドレスを前記不正無線端末130bに偽造し、フェイク接続解除メッセージを生成することができる。前記WIPSセンサ100は、チャネル116を介し、生成されたフェイク接続解除メッセージを、前記不正無線端末130bに持続的に転送できる。 According to one embodiment, the WIPS sensor 100 can generate a fake diagnostic message to prevent the rogue radio terminal 130b from attempting to reconnect to the AP 120 and transfer it to the rogue radio terminal 130b. For example, the source address of the disconnection message can be forged to the address of AP120 (for example, the MAC address of AP120), the receiver address can be forged to the unauthorized wireless terminal 130b, and the fake disconnection message can be generated. The WIPS sensor 100 can continuously transfer the generated fake disconnection message to the unauthorized wireless terminal 130b via the channel 116.

図10は、本発明の実施形態にかかる再接続を妨げるためのフェイク接続解除フレームの一例を示す図である。図10を参照すれば、WIPSセンサ100は、送信者アドレスをAP120のアドレスとして設定し、受信者アドレスを前記不正無線端末130bのアドレスとして設定し、フェイク接続解除メッセージを生成できる。 FIG. 10 is a diagram showing an example of a fake disconnection frame for preventing reconnection according to the embodiment of the present invention. Referring to FIG. 10, the WIPS sensor 100 can set the sender address as the address of the AP 120 and the receiver address as the address of the rogue wireless terminal 130b to generate a fake connection disconnect message.

前記不正無線端末130bは、前記WIPSセンサ100から転送されたフェイク接続解除メッセージを、AP120から転送された正常な接続解除メッセージとして認識し、前記チャネル116への接続を持続的に解除できる。 The fraudulent wireless terminal 130b can recognize the fake disconnection message transferred from the WIPS sensor 100 as a normal disconnection message transferred from the AP 120, and can continuously disconnect from the channel 116.

すなわち、図6に示すように、WIPSセンサ100は、不正無線端末130bに対してフェイクプローブ応答メッセージを介して、チャネルを変更させることによって接続を遮断できる。その後、WIPSセンサ100は、AP120へフェイク認証解除メッセージを転送することによって、PMFを使用する場合であっても、AP120と不正無線端末130bとの接続を終了させる。また、不正無線端末130bが再度接続を試みることを遮断するために、当該チャネルに対して不正無線端末130bにフェイク認証解除メッセージを転送することにより、不正無線端末130bの接続を持続的に遮断することができる。 That is, as shown in FIG. 6, the WIPS sensor 100 can cut off the connection by changing the channel to the unauthorized wireless terminal 130b via the fake probe response message. After that, the WIPS sensor 100 terminates the connection between the AP 120 and the unauthorized wireless terminal 130b by transferring the fake authentication cancellation message to the AP 120, even when the PMF is used. Further, in order to block the unauthorized wireless terminal 130b from trying to connect again, the connection of the unauthorized wireless terminal 130b is continuously blocked by transferring a fake authentication cancellation message to the unauthorized wireless terminal 130b for the channel. be able to.

前述の手続きにより、許可無線端末130aの接続には全く影響されず、かつ不正無線端末130bに対しては個別に完全に接続を遮断することができる。 By the above procedure, the connection of the permitted wireless terminal 130a is not affected at all, and the connection to the unauthorized wireless terminal 130b can be completely cut off individually.

一方、本発明による実施形態は、様々なコンピュータ手段を介して実行することができるプログラム命令形態で具現され、コンピュータ可読媒体に記録できる。前記コンピュータ可読媒体は、プログラム命令、データファイル、データ構造などを単独でまたはこれらの組み合わせで含みうる。前記媒体に記録されるプログラム命令は、本発明のために特別に設計され構成されたものであってもよく、コンピュータソフトウェアの当業者に公知されて使用可能なものであってもよい。コンピュータ可読記録媒体の例としては、ハードディスク、フロッピーディスク、磁気テープなどの磁気媒体(magnetic media)、CD-ROM、DVDなどの光記録媒体、光学ディスク、 フロプティカルディスク(Floptical disk)などのような光磁気媒体(megneto-optical media)、およびロム(ROM)、ラム(RAM)、フラッシュメモリなどのプログラム命令を格納し、実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラによって作成されるような機械語コードだけでなく、インタプリタなどを使ってコンピュータによって実行することができる高級言語コードも含まれる。前記のハードウェア装置は、本発明の動作を実行するために1つ以上のソフトウェアモジュールとして動作するように構成でき、その役割も同様である。 On the other hand, the embodiment according to the present invention is embodied in a program instruction form that can be executed via various computer means, and can be recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination thereof. The program instructions recorded on the medium may be those specially designed and configured for the present invention, or may be those known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include hard disks, floppy disks, magnetic media such as magnetic tapes, optical recording media such as CD-ROMs and DVDs, optical disks, and floptic discs. Includes a specific optical media, and a hardware device specifically configured to store and execute program instructions such as ROM, RAM, and flash memory. Examples of program instructions include not only machine language code as created by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, as well as its role.

以上、本発明は、具体的な構成要素等のような特定事項と限定された実施形態及び図面により説明されたが、これは本発明のより全般的な理解を助けるために提供されたものに過ぎず、本発明は、前記の実施形態に限定されるものではない。本発明が属する分野で一般的な知識を有する者であれば、これらの記載から様々な修正および変形が可能である。 As described above, the present invention has been described with reference to specific matters such as specific components and limited embodiments and drawings, which are provided to aid a more general understanding of the present invention. However, the present invention is not limited to the above-described embodiment. Any person with general knowledge in the field to which the present invention belongs can make various modifications and modifications from these descriptions.

したがって、本発明の思想は記載された実施形態に限定されず、後述する特許請求の範囲だけでなく、この特許請求の範囲と均等または等価的な変形がある全ては本発明の思想の範囲に属するといえる。 Therefore, the idea of the present invention is not limited to the described embodiments, and not only the scope of the claims described later but also all the variations equal to or equivalent to the scope of the claims are within the scope of the ideas of the present invention. It can be said that it belongs.

100:WIPSセンサ
110:WIPSサーバ
120:AP
130:無線端末
130a:許可無線端末
130b:不正無線端末
210:通信部
220:制御部
221:パケット監視部
222:情報分析部
223:不正端末判定部
224:メッセージ生成部
225:不正端末遮断処理部
230:メモリ
100: WIPS sensor 110: WIPS server
120: AP
130: Wireless terminal
130a: Allowed wireless terminal 130b: Unauthorized wireless terminal
210: Communication unit 220: Control unit
2221: Packet monitoring unit 222: Information analysis unit
223: Illegal terminal determination unit 224: Message generation unit
225: Unauthorized terminal blocking processing unit 230: Memory

Claims (11)

WIPS(wireless intrusion prevention system)センサを用いた不正無線端末の侵入遮断方法において、
AP(access point)からリアルタイムに伝送されるパケットを収集する段階;
前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを収集する段階;
前記APまたは前記少なくとも1つの無線端末から受信したパケットを分析し、PMF(protected managed frame)が適用されたか否かを判定する段階;
前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する段階;
前記判定の結果、前記PMFが適用された無線端末が不正無線端末であると判断されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成する段階
生成された前記フェイクプローブ応答メッセージを前記不正無線端末に転送する段階;
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成する段階;及び
生成された前記フェイク認証解除メッセージを前記APに転送する段階;。
を含む、WIPSセンサを用いた不正無線端末の侵入遮断方法。
In a method for blocking intrusion of an unauthorized wireless terminal using a WIPS (wireless intrusion prevention system) sensor.
The stage of collecting packets transmitted in real time from an AP (access point);
A step of collecting packets transmitted in real time from at least one wireless terminal connected to the AP and wirelessly communicating;
A step of analyzing a packet received from the AP or the at least one wireless terminal to determine whether or not a PMF (protruded managed frame) has been applied;
The stage of determining whether or not the wireless terminal to which the PMF is applied is an unauthorized wireless terminal;
As a result of the determination, if it is determined that the wireless terminal to which the PMF is applied is an unauthorized wireless terminal, a step of generating a fake probe response message for inducing a channel change of the unauthorized wireless terminal. ;
The step of transferring the generated fake probe response message to the rogue radio terminal;
The stage of generating a fake deauthentication message for deauthentication for the unauthorized wireless terminal; and
The step of forwarding the generated fake authentication cancellation message to the AP ;.
A method for blocking intrusion of an unauthorized wireless terminal using a WIPS sensor.
前記方法が、
WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して、不正無線端末であるか否かを判定する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
The above method
The WIPS according to claim 1, further comprising a step of determining whether or not the at least one wireless terminal is an unauthorized wireless terminal based on the unauthorized device information and the security policy information received from the WIPS server. A method of blocking intrusion of unauthorized wireless terminals using sensors.
前記フェイクプローブ応答メッセージが、
前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
The fake probe response message is
The method for blocking intrusion of an unauthorized wireless terminal using the WIPS sensor according to claim 1, which includes address information for the unauthorized wireless terminal as destination information.
前記フェイクプローブ応答メッセージが、
前記不正無線端末が現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
The fake probe response message is
The method for blocking intrusion of an unauthorized wireless terminal using the WIPS sensor according to claim 1, which includes information instructing the unauthorized wireless terminal to change to a channel different from the channel to which the unauthorized wireless terminal is currently connected.
前記方法が、
前記不正無線端末への接続解除のためのフェイク接続解除メッセージを生成する段階;及び
生成された前記フェイク接続解除メッセージを前記不正無線端末に転送する段階;をさらに含む、請求項1に記載のWIPSセンサを用いた不正無線端末の侵入遮断方法。
The above method
The WIPS according to claim 1, further comprising a step of generating a fake disconnection message for disconnection to the unauthorized wireless terminal; and a step of transferring the generated fake disconnection message to the unauthorized wireless terminal. A method of blocking intrusion of unauthorized wireless terminals using sensors.
請求項1~5のいずれか一項に記載の方法を実行するためのプログラムが記録されていることを特徴とするコンピュータ可読記録媒体。 A computer-readable recording medium, wherein a program for executing the method according to any one of claims 1 to 5 is recorded. WIPSセンサにおいて、
AP(access point)からリアルタイムに伝送されるパケットを受信し、前記APと接続され、無線通信する少なくとも1つの無線端末からリアルタイムに伝送されるパケットを受信する通信部;
前記APおよび無線端末から受信したパケットを格納するメモリ;
前記少なくとも1つの無線端末から受信したパケットを分析し、
PMF(protected managed frame)が適用された否かを判定する情報分析部;
前記情報分析部の分析結果に基づいて、前記PMFが適用された無線端末に対して不正無線端末であるか否かを判定する不正端末判定部;
前記判定の結果、不正無線端末であると判定されれば、前記不正無線端末のチャネル変更を誘導するためのフェイクプローブ応答(fake probe response)メッセージを生成するメッセージ生成部;及び
前記通信部を通じて、生成された前記フェイクプローブ応答メッセージを転送されるように処理する不正端末遮断処理部;を含み、
前記メッセージ生成部が、
前記不正無線端末に対する認証解除のためのフェイク認証解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク認証解除メッセージを前記APに転送するように処理する、WIPSセンサ。
In the WIPS sensor
A communication unit that receives a packet transmitted in real time from an AP (access point), and receives a packet transmitted in real time from at least one wireless terminal that is connected to the AP and wirelessly communicates with the AP;
Memory for storing packets received from the AP and wireless terminal;
Packets received from at least one wireless terminal are analyzed and
Information analysis unit that determines whether or not PMF (producted managed frame) has been applied;
Based on the analysis result of the information analysis unit, the fraudulent terminal determination unit that determines whether or not the wireless terminal to which the PMF is applied is a fraudulent wireless terminal;
As a result of the determination, if it is determined to be a rogue radio terminal, a message generation unit that generates a fake probe response message for inducing a channel change of the rogue radio terminal; and through the communication unit. A rogue terminal blocking processor that processes the generated fake probe response message to be forwarded;
The message generation unit
Generate a fake deauthentication message for deauthentication for the unauthorized wireless terminal,
The unauthorized terminal blocking processing unit
A WIPS sensor that processes the generated fake authentication cancellation message to the AP through the communication unit .
前記不正端末判定部が、
WIPSサーバから受信した不正装置情報およびセキュリティポリシー情報に基づいて、前記少なくとも1つの無線端末に対して不正無線端末であるか否かを判定する、請求項に記載のWIPSセンサ。
The fraudulent terminal determination unit
The WIPS sensor according to claim 7 , wherein it is determined whether or not the at least one wireless terminal is an unauthorized wireless terminal based on the unauthorized device information and the security policy information received from the WIPS server.
前記フェイクプローブ応答メッセージが、
前記不正無線端末に対するアドレス情報を宛先情報として含む、請求項に記載のWIPSセンサ。
The fake probe response message is
The WIPS sensor according to claim 7 , which includes address information for the unauthorized wireless terminal as destination information.
前記フェイクプローブ応答メッセージが、
前記不正無線端末に現在接続されているチャネルとは別のチャネルに変更するよう指示する情報を含む、請求項に記載のWIPSセンサ。
The fake probe response message is
The WIPS sensor according to claim 7 , which includes information instructing the channel to be changed to a channel different from the channel currently connected to the rogue wireless terminal.
前記メッセージ生成部が、
前記不正無線端末に対する接続解除のためのフェイク接続解除メッセージを生成し、
前記不正端末遮断処理部が、
前記通信部を通じて、生成された前記フェイク接続解除メッセージを前記不正無線端末に転送するように処理する、請求項に記載のWIPSセンサ。
The message generation unit
Generate a fake disconnection message for disconnection to the unauthorized wireless terminal,
The unauthorized terminal blocking processing unit
The WIPS sensor according to claim 7 , wherein the fake connection disconnection message generated is processed to be transferred to the unauthorized wireless terminal through the communication unit.
JP2021205230A 2021-06-17 2021-12-17 Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor Active JP7079994B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210078420A KR102323712B1 (en) 2021-06-17 2021-06-17 Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor
KR10-2021-0078420 2021-06-17

Publications (2)

Publication Number Publication Date
JP7079994B1 true JP7079994B1 (en) 2022-06-03
JP2023000990A JP2023000990A (en) 2023-01-04

Family

ID=78500232

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021205230A Active JP7079994B1 (en) 2021-06-17 2021-12-17 Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor

Country Status (2)

Country Link
JP (1) JP7079994B1 (en)
KR (1) KR102323712B1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102366574B1 (en) * 2021-11-29 2022-02-23 주식회사 심플솔루션 Wireless Intrusion Prevention Methods
US20240284180A1 (en) * 2023-02-22 2024-08-22 Arista Networks, Inc. Wireless intrusion prevention using channel switch announcement
KR102596544B1 (en) * 2023-04-17 2023-10-31 주식회사 코닉글로리 Method and apparatus for preventing wireless intrusion
KR102627393B1 (en) * 2023-06-09 2024-01-19 주식회사 코닉글로리 Method and apparatus for preventing wireless intrusion
CN116744287B (en) * 2023-07-10 2024-04-12 上海众网数聚信息科技股份有限公司 Wireless local area network blocking method, device and equipment for WiFi6 and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
JP2014171128A (en) 2013-03-04 2014-09-18 National Institute Of Information & Communication Technology Method for handing over between base stations
KR102102835B1 (en) 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101737893B1 (en) * 2015-03-27 2017-05-22 유넷시스템주식회사 WIPS Sensor and Terminal block Method Using The Same
KR102329493B1 (en) * 2015-11-27 2021-11-22 삼성전자 주식회사 Method and apparatus for preventing connection in wireless intrusion prevention system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014127831A (en) 2012-12-26 2014-07-07 Toshiba Corp Electronic apparatus, radio communication device, and communication control method
JP2014171128A (en) 2013-03-04 2014-09-18 National Institute Of Information & Communication Technology Method for handing over between base stations
KR102102835B1 (en) 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips sensor

Also Published As

Publication number Publication date
JP2023000990A (en) 2023-01-04
KR102323712B1 (en) 2021-11-10
KR102323712B9 (en) 2024-03-29

Similar Documents

Publication Publication Date Title
JP7079994B1 (en) Intrusion blocking method for unauthorized wireless terminals using WIPS sensor and WIPS sensor
US7640585B2 (en) Intrusion detection sensor detecting attacks against wireless network and system and method of detecting wireless network intrusion
EP1834451B1 (en) Network infrastructure validation of network management frames
JP4990608B2 (en) Method and apparatus for transmitting message by wireless device group
EP1891791B1 (en) Protection for wireless devices against false access-point attacks
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
JP7455220B2 (en) Wireless intrusion prevention system, wireless network system including the same, and method of operating the wireless network system
TWI336197B (en) Systems and methods for negotiating security parameters for protecting management frames in wireless networks
US8151351B1 (en) Apparatus, method and computer program product for detection of a security breach in a network
US12047866B2 (en) Protected pre-association device identification
WO2014114099A1 (en) Method and system for preventing rogue access points in wireless local area network
US9794119B2 (en) Method and system for preventing the propagation of ad-hoc networks
Vanhoef et al. Protecting wi-fi beacons from outsider forgeries
US8191143B1 (en) Anti-pharming in wireless computer networks at pre-IP state
OConnor Detecting and responding to data link layer attacks
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
US8122243B1 (en) Shielding in wireless networks
US11350282B2 (en) Method and apparatus for detecting null-ciphering channels
JP2024532793A (en) Sensing device, wireless intrusion prevention system including sensing device and method of operation thereof
KR102627393B1 (en) Method and apparatus for preventing wireless intrusion
Li et al. Wireless network security detection system design based on client
KR102596544B1 (en) Method and apparatus for preventing wireless intrusion
US20230188999A1 (en) Method and device for detecting a security flaw
CN113132993B (en) Data stealing identification system applied to wireless local area network and use method thereof
EP4388764A1 (en) Protected pre-association station identification

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211217

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211217

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20211217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220517

R150 Certificate of patent or registration of utility model

Ref document number: 7079994

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350