JP7430397B2 - Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム - Google Patents
Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム Download PDFInfo
- Publication number
- JP7430397B2 JP7430397B2 JP2021030724A JP2021030724A JP7430397B2 JP 7430397 B2 JP7430397 B2 JP 7430397B2 JP 2021030724 A JP2021030724 A JP 2021030724A JP 2021030724 A JP2021030724 A JP 2021030724A JP 7430397 B2 JP7430397 B2 JP 7430397B2
- Authority
- JP
- Japan
- Prior art keywords
- wireless
- access point
- wireless access
- probe response
- wips sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 77
- 238000000034 method Methods 0.000 title claims description 35
- 230000002265 prevention Effects 0.000 title claims description 10
- 239000000523 sample Substances 0.000 claims description 104
- 230000004044 response Effects 0.000 claims description 84
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 claims description 45
- 238000012544 monitoring process Methods 0.000 claims description 36
- 238000007726 management method Methods 0.000 claims description 28
- 230000006870 function Effects 0.000 claims description 10
- 230000001939 inductive effect Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000009420 retrofitting Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、主として、WIPSセンサに関する。WIPSとは、無線侵入防止システム(Wireless Intrusion Prevention System)の略称である。
無線ネットワークのセキュリティを向上させるために、WIPSセンサが用いられることがある。WIPSセンサは、保安に違反して無線アクセスポイントと通信している端末を検知し、その通信を阻止する。
従来は、WIPSセンサが違反端末に成り代わって、接続終了の要求を意味する通信フレームを無線アクセスポイントへ送信することで、無線アクセスポイントに当該端末に対する接続を遮断させることができた。このような通信フレームとしては、管理フレームと呼ばれる、認証解除フレーム(Deauthentication)又は連動解除フレーム(Disassociation)が用いられる。
しかし、近年新しく登場したIEEE802.11w規格においては、無線アクセスポイントと無線通信端末との通信において、管理フレームが共有キー方式の暗号化によって保護される。従って、認証解除フレーム又は連動解除フレームを送信する従来の方法は、新規格において使用することができない。なお、IEEE802.11w規格は、従来は暗号および認証の対象外であった管理フレームにもセキュリティ(暗号化)を施す通信規格である。
この点は特許文献1も指摘するところであり、これを解決するために以下の構成を提案している。即ち、特許文献1のWIPSセンサは、違反端末が無線アクセスポイントに接続したことを検知すると、違反端末のMACアドレスを自センサに設定した上で、違反端末に成り代わって、無線アクセスポイントに新規接続要求を送信する。無線アクセスポイントは、WIPSセンサからの新規接続要求に応じて、当該MACアドレスに関する既存の接続を切断し、通信フレームの暗号化のための新たな共有キーを割り当てて、WIPSセンサとの通信を開始する。この結果、無線アクセスポイントにおいては実質的に、違反端末のMACアドレスに対して新たな共有キーが設定されることになる。この結果、無線アクセスポイントと違反端末との間で行っている接続を遮断させることができる。
上記特許文献1の構成は、違反端末の通信を阻止するために、正規の無線アクセスポイントが切断処理及び再認証を行わなければならない。従って、正規の無線アクセスポイントの処理負荷を軽減する観点から改善の余地が残されていた。
本発明は以上の事情に鑑みてなされたものであり、その目的は、無線アクセスポイントの処理負荷の増加を抑制しつつ不正端末の侵入を防止することにある。
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
本発明の第1の観点によれば、以下の構成のWIPSセンサが提供される。即ち、このWIPSセンサは、無線監視部と、無線送信部と、を備える。前記無線監視部は、無線通信環境を監視する。前記無線送信部は、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する。前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものである。
これにより、簡単な構成で、無線ネットワークに対する不正端末の侵入を防止することができる。また、無線アクセスポイントとの無線接続の試行を取り止めるように不正端末を誘導する形で無線侵入を防止するので、無線アクセスポイントの処理負荷の増大を抑制することができる。
前記のWIPSセンサにおいては、前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることが好ましい。
これにより、通信に関する重要な情報に関して不正端末に誤認させることができる。従って、無線ネットワークに対する不正端末の侵入を確実に防止できる。
前記の誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDを記述することができる。あるいは、SSIDの情報を実質的に欠落させることができる。
これにより、無線アクセスポイントのSSIDが、不正端末が期待するSSIDに対して不一致であると、不正端末に誤認させることができる。
前記の誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値を記述することができる。あるいは、正規の前記無線アクセスポイントが対応しない認証鍵管理方式を、認証鍵管理方式として記述することができる。また、正規の前記無線アクセスポイントが対応しない暗号化方式を、暗号化方式として記述することができる。
これにより、無線アクセスポイントが対応可能な認証鍵管理方式又は暗号化方式が不正端末にとって未知である、あるいは自身の期待に一致しないと、不正端末に誤認させることができる。
本発明の第2の観点によれば、前記WIPSセンサと、前記無線アクセスポイントと、を備える無線通信システムが提供される。
本発明の第3の観点によれば、以下の無線侵入防止方法が提供される。即ち、この無線侵入防止方法は、監視ステップと、誤認誘導ステップと、を備える。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものである。
本発明の第4の観点によれば、以下の構成の無線通信阻止プログラムが提供される。即ち、この無線通信阻止プログラムは、無線通信部を備えるコンピュータに、監視ステップと、誤認誘導ステップと、を実行させる。前記監視ステップでは、無線通信環境を監視する。前記誤認誘導ステップでは、不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する。前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものである。
次に、図面を参照して本発明の実施の形態を説明する。図1は、無線通信システム100の構成を示す模式図である。
図1に示す無線通信システム100は、無線アクセスポイント50及び複数の無線通信端末60から構成されている。無線アクセスポイント50は、IEEE802.11に規定するインフラストラクチャモードでのアクセスポイントとして機能する。
無線アクセスポイント50は、自身を中心とした無線ネットワークを形成する。無線アクセスポイント50は、無線通信可能エリアに存在する無線通信端末60のそれぞれとの間で、無線信号(電波)による通信を行う。この無線ネットワークは、例えば、無線LANのために用いられる。以下では、アクセスポイントをAPと略称で呼ぶ場合がある。
無線通信端末60は、いわゆる無線通信ステーションである。図1のSTAとは、ステーションの略称である。無線通信端末60は、例えば、スマートフォン、タブレット端末、又はパーソナルコンピュータ等で構成される。無線通信端末60は、例えば、端末に無線通信モジュールを備えることで実現することができる。
無線通信システム100は、WIPSセンサ1を含んで構成される。WIPSセンサ1は、機器情報記憶部11と、AP通信設定記憶部12と、無線監視部13と、無線送信部14と、を備える。無線監視部13及び無線送信部14は、無線通信部として機能する。
具体的に説明すると、WIPSセンサ1には、公知のコンピュータが内蔵されている。このコンピュータは、CPU、ROM、RAM等を備える。ROM及びRAMは、無線通信システム100に関する各種の情報を記憶する記憶部を構成している。記憶部は、不揮発性メモリ及び揮発性メモリからなる。不揮発性メモリには、本発明の無線侵入防止方法を実現するための無線侵入防止プログラム等が記憶されている。上記のハードウェアとソフトウェアの協働により、当該コンピュータを、機器情報記憶部11、AP通信設定記憶部12、無線監視部13、及び無線送信部14として動作させることができる。
上記の不揮発性メモリには、無線アクセスポイント50のSSID、AP識別番号(例えばMACアドレス)等、上記のプログラムを動作させるために必要な情報が記憶される。SSIDとは、Service Set IDentifierの略称である。MACとは、Media Access Controlの略称である。揮発性メモリには、主として、プログラムを動作させるための一時的なデータが記憶される。
機器情報記憶部11は、正規の無線アクセスポイント50及び正規の無線通信端末60を特定するための識別情報を記憶することができる。この識別情報としては、例えばMACアドレスを使用することができるが、これに限定されない。
AP通信設定記憶部12は、無線アクセスポイント50が使用するチャネル及び暗号設定等に関する情報を記憶することができる。この情報は、例えば、後述の誤認誘導プローブ応答の生成のために使用される。
無線監視部13は、所定の無線通信規格に準拠して、周囲の無線環境を監視する。無線通信規格としては、例えばIEEE802.11ac等が考えられるが、これに限定されない。無線監視部13はパケットキャプチャとして構成されており、ネットワーク上で実際に無線通信されるパケットを常時受信している。
無線監視部13は、取得した無線通信パケットを実質的にリアルタイムで解析する。これにより、事前に登録されていない無線通信端末が行う不正な通信を高速で検知することができる。以下では、無線アクセスポイント50及び無線通信端末60のネットワークに対して、事前の許可がなく無線通信しようとする端末を不正端末60xと呼ぶことがある。
無線送信部14は、不正端末60xに対して、誤認誘導プローブ応答を生成して送信する。誤認誘導プローブ応答は特殊なプローブ応答であり、その詳細については後述する。本来、プローブ応答は無線アクセスポイント50が送信すべきものであるが、WIPSセンサ1が誤認誘導プローブ応答を送信して不正端末60xに受信させることにより、不正端末60xが無線アクセスポイント50との通信を取り止めることを促すことができる。通信は、上述の無線通信規格に準拠した方式で行われる。
次に、本実施形態の無線アクセスポイント50と正規の無線通信端末60とが行う無線通信について簡単に説明する。
無線アクセスポイント50及び無線通信端末60は、通常の手順で接続処理を実行した後、互いに電波を送受信して無線通信を行う。接続処理は、周知の無線LAN関連規格であるIEEE802.11に従って行われる。接続の手順の一例について簡単に説明すると、無線通信端末60は、周囲に存在する無線通信機器を知るために、プローブ要求と呼ばれるMACフレームを周囲に無線送信する。これを受信した無線アクセスポイント50は、返信として、プローブ応答と呼ばれるMACフレームを無線送信する。
詳細は後述するが、プローブ応答には、SSID及びセキュリティ方式の情報が記述されている。無線通信端末60は、無線アクセスポイント50から受信したプローブ応答に基づいて、自身が無線アクセスポイントに接続可能か否かを判断する。
その後、無線通信端末60と無線アクセスポイント50との間で、認証及びアソシエーションのためのMACフレームのやり取りが無線によって行われ、接続が確立される。
次に、無線監視部13及び無線送信部14の動作について詳細に説明する。
無線アクセスポイント50及び無線通信端末60との間で無線通信ネットワークが構成されている場合において、不正端末60xが無線アクセスポイント50に対して通信を試みる場合を考える。不正端末60xは外部から持ち込まれる場合もあり、その動作は未知であるが、正規の無線通信端末60と同様に動作することが一応想定される。
正規の無線アクセスポイント50は、不正端末60xが無線アクセスポイント50にプローブ要求を送信した場合、通常どおりのプローブ応答を送信する。
WIPSセンサ1は、不正端末60xが無線アクセスポイント50にプローブ要求を送信したことを検知する。具体的には、WIPSセンサ1において、無線監視部13が取得した無線パケットが、無線アクセスポイント50へのプローブ要求であるか否かが判定される。この判定の結果、当該パケットがプローブ要求である場合には、このパケットに含まれる要求元の識別情報(例えば、MACアドレス)が、正規の無線通信端末60のリストに含まれているか否かを判定する。このリストは、WIPSセンサ1に対する事前の登録作業によって、機器情報記憶部11に記憶される。プローブ要求の要求元の識別情報が登録リストに含まれていない場合、当該プローブ要求が不正端末60xからのものであると判定することができる。
不正端末60xからのプローブ要求の送信が検知された場合、無線送信部14は、不正端末60xが正規の無線アクセスポイント50に対して期待している情報とは異なるプローブ応答を送信する。このプローブ応答は、無線アクセスポイント50の動作及び機能のうち少なくとも何れかがあたかも不正端末60xの要求を満たさないかのように偽装し、不正端末60xに誤認させることを意図して、WIPSセンサ1が生成するものである。以下、このプローブ応答を誤認誘導プローブ応答と呼ぶことがある。
不正端末60xは、無線アクセスポイント50からの通常のプローブ応答と、WIPSセンサ1からのプローブ応答(誤認誘導プローブ応答)と、を受信する。誤認誘導プローブ応答を受信した不正端末60xは、無線アクセスポイント50に対して自身が接続できないと判断し、無線アクセスポイント50への接続を自発的に取り止めることが期待される。以上のようにして、不正端末60xと無線アクセスポイント50との通信を実質的に阻止することができる。
WIPSセンサ1が不正端末60xに送信する誤認誘導プローブ応答については様々に考えられる。以下、複数の例のそれぞれを説明する。
[1]プローブ応答のフレームのうち、SSID elementを、無線アクセスポイント50を一意に示すものでない架空のものに書き換えることによって、誤認誘導プローブ応答を生成することができる。SSIDは周知であるため詳細には説明しないが、無線アクセスポイント50を一意に識別するために予め定められている識別子(可変長の文字列)である。
SSID elementの仕様は、図2のように定義されている。図2に示すように、プローブ応答のフレームは、Timestamp等、各種のフレーム要素から構成される。SSID elementは、フレーム要素の一種である。SSID elementは、「Element ID」フィールド、「Length」フィールド、「SSID」フィールドから構成されている。
「Element ID」には、当該フレーム要素がSSID elementであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続くフィールドである「SSID」フィールドのデータ長が記述される。「SSID」フィールドには、通常、無線アクセスポイント50のSSIDの文字列が記述される。
無線アクセスポイント50が送信する通常のプローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDが記述される。一方、誤認誘導プローブ応答では、「SSID」フィールドに、当該無線アクセスポイント50に設定されているSSIDとは異なる文字列が記述される。誤認誘導プローブ応答のSSIDとしては、例えばWIPSセンサ1が生成したランダムな文字列を使用することができる。
図1には無線アクセスポイント50が1つだけの場合が示されているが、無線アクセスポイント50が複数設置される場合も考えられる。影響の拡大を避けるため、誤認誘導プローブ応答のSSIDとしては、何れの無線アクセスポイント50のSSIDとも一致しないことが好ましい。
[2]プローブ応答のSSID elementにおいて、「Length」に0を設定し、「SSID」フィールドに空文字列を設定しても良い。
[3]プローブ応答からSSID element自体を取り除いても良い。
例として挙げた[1]、[2]、[3]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が接続先候補として記憶しているSSIDと、誤認誘導プローブ応答に含まれるSSIDと、を比較する。SSIDが一致しないので、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。
[4]プローブ応答のフレームのうち、RSNEの認証鍵管理方式リストフィールドを、無線アクセスポイント50の機能を反映しない架空のもの(例えば、「予約値」を意味するゼロ)に書き換えることによって、誤認誘導プローブ応答を生成することができる。RSNEとは、ロバストセキュリティネットワーク要素(Robust Security Network Element)の略称である。
RSNEの仕様は、図3のように定義されている。RSNEは、上述のSSID elementと同様に、フレーム要素の一種である。RSNEは、「Element ID」フィールド、「Length」フィールド、データ暗号化方式リストフィールド、認証鍵管理方式リストフィールド、管理フレーム暗号化方式フィールドを含んで構成されている。
「Element ID」には、当該フレーム要素がRSNEであることを示す固有の値が記述される。「Length」には、当該フィールドの後に続く各フィールドのデータ長の合計値が記述される。データ暗号化方式リストフィールドには、通常、無線アクセスポイント50が対応可能なデータ暗号化方式(Pairwise Cipher Suite)を示す番号のリストが記述される。認証鍵管理方式リストフィールドには、通常、無線アクセスポイント50が対応可能な認証及び鍵管理の方式(Authentication Key Management Suite)を示す番号のリストが記述される。管理フレーム暗号化方式フィールドには、通常、無線アクセスポイント50において行う管理フレームを保護するために使用する暗号化方式(Group Management Cipher Suite)を示す番号が記述される。
無線アクセスポイント50が送信する通常のプローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵管理方式の番号が記述されるが、一方、誤認誘導プローブ応答では、認証鍵管理方式リストフィールドに、当該無線アクセスポイント50が実際に対応可能な認証鍵方式ではない情報が記述される。予約値を意味するゼロを当該フィールドに記述することに代えて、不正端末60xが期待していないと考えられる他の認証鍵管理方式を示す値を記述しても良い。
[5]フレーム本体のRSNEにおいて、データ暗号化方式リストフィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。
[6]フレーム本体のRSNEにおいて、管理フレーム暗号化方式フィールドに、予約値を示すゼロを記述しても良い。予約値(ゼロ)に代えて、不正端末60xが期待していないと考えられる他の暗号化方式を示す値を記述しても良い。
例として挙げた[4]、[5]、[6]の何れの場合でも、この誤認誘導プローブ応答を受信した不正端末60xは、自身が未知である、又は要求と異なる認証鍵管理方式又は暗号化方式を無線アクセスポイント50が採用していると判定する。この結果、不正端末60xは、無線アクセスポイント50に対する接続の試みを中止することになる。
WIPSセンサ1が誤認誘導プローブ応答を不正端末60xに送信するタイミングは、不正端末60xがプローブ要求を送信したタイミングよりも後であれば任意である。本実施形態では、WIPSセンサ1は、不正端末60xからのプローブ要求に対して無線アクセスポイント50が通常のプローブ応答を不正端末60xに送信するのを待機し、その直後に誤認誘導プローブ応答を送信することで、不正端末60xが保持する無線アクセスポイント50に関する接続のための情報は、当該誤認誘導プローブ応答に含まれる情報(例えばSSID等)に確実に更新される。この結果、不正端末60xは、無線アクセスポイント50への接続の試みを中止することになり、不正端末60xの通信を阻止する確実性を高めることができる。なお、WIPSセンサ1は、不正端末60xからのプローブ要求を検知した後に、無線アクセスポイント50からプローブ応答が送信されることを待つことなく、その代わりに即座に複数(例えば10回)の誤認誘導プローブ応答を送信してもよい。これによれば、不正端末60xに対する誤認誘導プローブ応答の到達率を高めることができるとともに、無線アクセスポイント50がプローブ応答を送信する前後両方のタイミングで、不正端末60xに誤認誘導プローブ応答を受信させることができ、不正端末60xの通信を阻止する確実性を高めることができる。
次に、図4のフローチャートを参照して、WIPSセンサ1において行われる処理について説明する。
処理が開始されると、無線監視部13が、周囲の無線パケットをキャプチャして解析する(ステップS101、監視ステップ)。次に、機器情報記憶部11に格納された情報を参照して、取得された無線パケットが、正規の無線通信端末60からのプローブ要求か、不正端末60xからのプローブ要求であるか否かが判定される(ステップS102)。
無線パケットが不正端末60xからのプローブ要求であった場合(ステップS102のYes)、WIPSセンサ1は、このプローブ要求に対して無線アクセスポイント50が送信するプローブ応答を無線監視部13が検知したか否かを判定する(ステップS103)。一方、無線パケットが不正端末60xからのプローブ要求でなかった場合(ステップS102のNo)、ステップS101に戻る。また、WIPSセンサ1は、ステップS103において、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知した場合(ステップS103のYes)、その後直ちに、無線送信部14が誤認誘導プローブ応答を送信する(ステップS104、誤認誘導ステップ)。一方、WIPSセンサ1は、無線アクセスポイント50の送信するプローブ応答を無線監視部13が検知しない場合(ステップS103のNo)、ステップS103に戻り、無線アクセスポイント50のプローブ応答を無線監視部13が検知するまで待機する。
以上の構成により、不正端末60xの通信を、正規の無線アクセスポイント50の処理負荷を従来技術と比較して抑制しながら阻止することができる。また、既存の無線アクセスポイント50及び無線通信端末60において特別なハードウェア及びソフトウェアを必要とすることなく、WIPSセンサ1を後付け的に導入するだけで、不正な通信を防止することができる。
以上に説明したように、本実施形態のWIPSセンサ1は、無線監視部13と、無線送信部14と、を備える。無線監視部13は、無線通信環境を監視する。無線送信部14は、不正端末60xが正規のアクセスポイントに対して無線接続を試みるために送信したプローブ要求を無線監視部13が検知した後に、アクセスポイントとの接続が不能であると不正端末60xに誤認させるための誤認誘導プローブ応答を生成し、これを送信する。
これにより、簡単な構成で、無線ネットワークに対する不正端末60xの侵入を防止することができる。また、無線アクセスポイント50との無線接続の試行を取り止めるように不正端末60xを誘導する形で無線侵入を防止するので、無線アクセスポイント50の処理負荷の増大を抑制できる。
また、本実施形態のWIPSセンサ1において、無線送信部14が送信する誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されている。
これにより、通信に関する重要な情報に関して不正端末60xに誤認させることができるので、無線ネットワークに対する不正端末60xの侵入を確実に防止できる。
また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答において、正規の無線アクセスポイント50のSSIDと異なるSSIDが記述されている。あるいは、誤認誘導プローブ応答において、SSIDの情報が実質的に欠落している。
これにより、無線アクセスポイント50のSSIDが、不正端末60xが期待するSSIDに対して不一致であると、不正端末60xに誤認させることができる。
また、本実施形態では、WIPSセンサ1が送信する誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式又は暗号化方式を示す番号として、予約値が記述されている。あるいは、正規の無線アクセスポイント50が対応しない暗号化方式又は認証鍵管理方式が、RSNEに記述されている。
これにより、無線アクセスポイント50が対応可能な認証鍵管理方式又は暗号化方式が不正端末60xにとって未知である、あるいは自身の期待に一致しないと、不正端末60xに誤認させることができる。
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
上記の実施形態において、誤認誘導プローブ応答は、無線アクセスポイント50が不正端末60xに対して送信する通常のプローブ応答をWIPSセンサ1の無線監視部13が受信し、その内容を参照してその一部を書き換える形で生成されている。これにより、WIPSセンサ1における処理が簡単になる。ただし、通常のプローブ応答の内容を参照せずに、誤認誘導プローブ応答をWIPSセンサ1側で生成することもできる。
WIPSセンサ1が、無線アクセスポイント50と例えば無線により通信する機能を有しても良い。例えば、WIPSセンサ1が、無線アクセスポイント50との通信により、機器情報記憶部11及びAP通信設定記憶部12の内容(特に、正規の無線通信端末60のリスト)を取得するように構成することができる。この場合、WIPSセンサ1への設定作業の手間を軽減することができる。
また、WIPSセンサ1は、誤認誘導プローブ応答を1回だけ送信しても良いし、適宜の時間間隔をあけて複数回送信しても良い。
本発明は、産業上広く普及している、既存の無線アクセスポイント及び無線通信端末に、特別なハードウェア及びソフトウェアを必要とすることなく、不正な通信を防止する無線通信システムに適用できる。例えば、無線侵入防止システム等に有用である。
1 WIPSセンサ
13 無線監視部
14 無線送信部
50 無線アクセスポイント
60 無線通信端末
60x 不正端末
100 無線通信システム
13 無線監視部
14 無線送信部
50 無線アクセスポイント
60 無線通信端末
60x 不正端末
100 無線通信システム
Claims (10)
- 無線通信環境を監視する無線監視部と、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記無線監視部が検知した後に、前記無線アクセスポイントとの接続が不能であると前記不正端末に誤認させるための誤認誘導プローブ応答を送信する無線送信部と、
を備え、
前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものであることを特徴とするWIPSセンサ。 - 請求項1に記載のWIPSセンサであって、
前記無線送信部が送信する前記誤認誘導プローブ応答においては、SSID及びRSNEのうち少なくとも一方について、欠落しているか、又は事実と異なる情報が記述されていることを特徴とするWIPSセンサ。 - 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答において、正規の前記無線アクセスポイントのSSIDと異なるSSIDが記述されていることを特徴とするWIPSセンサ。 - 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答において、SSIDの情報が実質的に欠落していることを特徴とするWIPSセンサ。 - 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、認証鍵管理方式及び暗号化方式のうち少なくとも何れかについて、予約値が記述されていることを特徴とするWIPSセンサ。 - 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない認証鍵管理方式が、認証鍵管理方式として記述されていることを特徴とするWIPSセンサ。 - 請求項2に記載のWIPSセンサであって、
前記誤認誘導プローブ応答のRSNEにおいて、正規の前記無線アクセスポイントが対応しない暗号化方式が、暗号化方式として記述されていることを特徴とするWIPSセンサ。 - 請求項1から7までの何れか一項に記載のWIPSセンサと、
前記無線アクセスポイントと、
を備えることを特徴とする無線通信システム。 - 無線通信環境を監視する監視ステップと、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を備え、
前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものであることを特徴とする無線侵入防止方法。 - 無線通信部を備えるコンピュータに、
無線通信環境を監視する監視ステップと、
不正端末が正規の無線アクセスポイントに対して無線接続を試みるために送信したプローブ要求を前記監視ステップで検知した場合に、前記無線アクセスポイントとの接続が不能であると当該不正端末に誤認させるための誤認誘導プローブ応答を送信する誤認誘導ステップと、
を実行させ、
前記誤認誘導プローブ応答は、前記無線アクセスポイントの動作及び機能のうち少なくとも何れかがあたかも前記不正端末の要求を満たさないかのように偽装したものであることを特徴とする無線侵入防止プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021030724A JP7430397B2 (ja) | 2021-02-26 | 2021-02-26 | Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021030724A JP7430397B2 (ja) | 2021-02-26 | 2021-02-26 | Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022131667A JP2022131667A (ja) | 2022-09-07 |
| JP7430397B2 true JP7430397B2 (ja) | 2024-02-13 |
Family
ID=83152899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021030724A Active JP7430397B2 (ja) | 2021-02-26 | 2021-02-26 | Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7430397B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012222761A (ja) | 2011-04-14 | 2012-11-12 | Fujitsu Semiconductor Ltd | 無線通信装置及び無線通信方法 |
| JP2018511282A (ja) | 2015-03-27 | 2018-04-19 | ユーネット セキュア インコーポレイテッド | Wipsセンサー及びこれを用いた端末遮断方法 |
| US20180324200A1 (en) | 2015-11-27 | 2018-11-08 | Samsung Electronics Co., Ltd. | Method for blocking connection in wireless intrusion prevention system and device therefor |
| KR102102835B1 (ko) | 2019-03-26 | 2020-04-22 | 시큐어레터 주식회사 | Wips 센서 |
-
2021
- 2021-02-26 JP JP2021030724A patent/JP7430397B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012222761A (ja) | 2011-04-14 | 2012-11-12 | Fujitsu Semiconductor Ltd | 無線通信装置及び無線通信方法 |
| JP2018511282A (ja) | 2015-03-27 | 2018-04-19 | ユーネット セキュア インコーポレイテッド | Wipsセンサー及びこれを用いた端末遮断方法 |
| US20180324200A1 (en) | 2015-11-27 | 2018-11-08 | Samsung Electronics Co., Ltd. | Method for blocking connection in wireless intrusion prevention system and device therefor |
| KR102102835B1 (ko) | 2019-03-26 | 2020-04-22 | 시큐어레터 주식회사 | Wips 센서 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022131667A (ja) | 2022-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100628325B1 (ko) | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 | |
| US8151351B1 (en) | Apparatus, method and computer program product for detection of a security breach in a network | |
| CA2495142C (en) | Wireless local or metropolitan area network with intrusion detection features and related methods | |
| US9143528B2 (en) | Method and device for countering fingerprint forgery attacks in a communication system | |
| US10638323B2 (en) | Wireless communication device, wireless communication method, and computer readable storage medium | |
| JP2007531398A (ja) | プロトコル変則分析に基づく無線lan侵入検知方法 | |
| JP7079994B1 (ja) | Wipsセンサ及びwipsセンサを用いた不正無線端末の侵入遮断方法 | |
| KR20000070881A (ko) | 보안패킷 무선통신망 | |
| US7151765B2 (en) | Packets filtering method in a wireless network system | |
| WO2010027121A1 (en) | System and method for preventing wireless lan intrusion | |
| KR101725129B1 (ko) | 무선랜 취약성 분석 장치 | |
| JP7430397B2 (ja) | Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム | |
| US20060058053A1 (en) | Method for logging in a mobile terminal at an access point of a local communication network, and access point and terminal for carrying out the method | |
| JP7127885B2 (ja) | 無線通信装置、及び不正アクセス防止方法 | |
| KR102366574B1 (ko) | 무선 침입 방지 방법 | |
| KR101083727B1 (ko) | 무선 네트워크 보안 장치 및 그 방법 | |
| KR101553827B1 (ko) | 불법 ap 탐지 및 차단 시스템 | |
| JP4002276B2 (ja) | 不正接続検知システム | |
| KR100656519B1 (ko) | 네트워크의 인증 시스템 및 방법 | |
| CN111246412B (zh) | 定位信息的发送、定位信息的发送方的验证方法及装置 | |
| KR100678390B1 (ko) | 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 | |
| KR100840862B1 (ko) | 부정 접속 검지 시스템 및 부정 접속 검지 방법 | |
| JP2006320024A (ja) | 不正接続検知システム | |
| JP2017152767A (ja) | 無線通信システム | |
| JP2005086656A (ja) | 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230802 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230802 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7430397 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |