KR101083727B1 - 무선 네트워크 보안 장치 및 그 방법 - Google Patents
무선 네트워크 보안 장치 및 그 방법 Download PDFInfo
- Publication number
- KR101083727B1 KR101083727B1 KR1020090077776A KR20090077776A KR101083727B1 KR 101083727 B1 KR101083727 B1 KR 101083727B1 KR 1020090077776 A KR1020090077776 A KR 1020090077776A KR 20090077776 A KR20090077776 A KR 20090077776A KR 101083727 B1 KR101083727 B1 KR 101083727B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- authorized
- unauthorized
- user terminal
- wireless network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
무선 네트워크 보안 장치 및 그 방법이 개시된다. 본 발명의 일 측면에 따르면, 복수의 AP에 연결되는 무선 네트워크의 보안 장치에 있어서, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 저장부, 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 AP 정보 추출부, 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 AP 정보 비교부, 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 송신부를 포함하되, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 장치는 비인가 AP에 대한 통합적 감시 및 통제를 구현할 수 있고, 별도의 감시 장비를 설치하지 않고, 무선 네트워크 환경에서 허가된 사용자 단말기를 이용하여 비인가 AP를 검출하고 차단하는 효과가 있다.
무선, 네트워크, AP, 보안.
Description
본 발명은 보안 장치에 관한 것으로, 특히 무선 네트워크 보안 장치 및 그 방법에 관한 것이다.
급속히 확장되고 있는 무선 네트워크, 특히, 무선 랜(Wireless LAN)은 IEEE802.11의 표준에 따라 무선으로 사용자 단말기가 네트워크에 연결되어 데이터 교환이 가능하도록 지원한다. 무선 네트워크 환경은 사용자가 편리하게 이동하면서 네트워크 접속을 통한 데이터 교환이 가능하도록 지원하기 때문에 편리한 반면, 접속 사용자 단말기가 네트워크 장비에 물리적으로 떨어져 있고 전송 데이터 역시 공기중에 노출되므로 악의적인 접근 및 데이터 훼손의 가능성이 유선 네트워크, 특히, 유선 랜(Wired LAN)에 비해 크다고 할 수 있다.
도 1은 종래 기술에 따른 무선 네트워크 시스템에 대한 블록 구성도이다. 도 1을 참조하면, 무선 네트워크(110), AP(120), 사용자 단말기(130), 비인가 AP(140), 불법 단말기(150)가 도시된다.
종래 기술에 따른 무선 랜 환경은 다음과 같은 다양한 유형의 공격에 노출될 수 있는 보안 취약점이 있다. 침투자는 무선 랜 안테나 탑재 차량으로 이동하며 약한 AP(weak AP)(120)를 탐색하거나(War Driving), 걸어 다니며 약한 AP(120)를 탐색(War walking)함으로써, 악의적인 접근이 가능하다. 또한, 침투자는 불법 단말기(150) 등을 이용하여 무선 데이터를 수집하고 WEP key 등을 크랙(crack)하여 무선 네트워크(110)에 침투한다(Sniffing & WEP crack). 또한, 침투자는 정상적으로 인가된 사용자 단말기(130)의 MAC을 알아낸 후 불법 단말기(150)의 MAC으로 위장하여 무선 네트워크(110)에 침투한다(MAC spoofing). 또한, 침투자는 중간 세션을 이용하여 정상적인 사용자 단말기(130)로 위장함으로써 무선 네트워크(110)에 접속한다(Man in the middle & Session High-jacking). 또한, 침투자는 비인가 AP(140)를 설치한 후 접속을 시도하는 사용자 단말기(130)로부터 사용자의 정보를 취득한다. 또한, 침투자는 프레임의 IV및 WEP Key의 취약성을 이용하여 손상된 프레임으로 변경한 프레임을 발생시켜 무선 네트워크(110)에 부하를 준다(IV공격 & Bit-Flipping & DoS). 따라서 무선 네트워크(110) 사용시 상술한 보안 취약점에 대비한 보안 관리 솔루션이 반드시 필요하다.
전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
본 발명은 비인가 AP에 대한 통합적 감시 및 통제를 구현할 수 있는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다.
또한, 본 발명은 별도의 감시 장비를 설치하지 않고, 무선 네트워크 환경에서 허가된 사용자 단말기를 이용하여 비인가 AP를 검출하고 차단하는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다.
또한, 본 발명은 별도의 보안 장비 설치 없이 무선 네트워크에 대한 감시 및 제어 체계를 제공하므로 최소의 비용으로 보안 환경이 구축되며, 보호되어야할 실 대상자인 사용자 단말기의 정보를 이용하여 제어되므로 무선 네트워크 취약성의 노출을 최소화 할 수 있는 무선 네트워크 보안 장치 및 그 방법을 제공하기 위한 것이다.
본 발명이 제시하는 이외의 기술적 과제들은 하기의 설명을 통해 쉽게 이해될 수 있을 것이다.
본 발명의 일 측면에 따르면, 복수의 AP에 연결되는 무선 네트워크의 보안 장치에 있어서, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 저장부, 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 AP 정보 추출부, 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 AP 정 보 비교부, 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 송신부를 포함하되, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 장치가 제공된다.
상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함할 수 있으며, 상기 AP 정보 추출부는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출할 수 있다.
또한, 본 실시예는 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 AP 정보 수신부를 더 포함할 수 있다.
여기서, 상기 AP 정보 비교부는 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출할 수 있으며, 상기 AP 정보 비교부는, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정할 수 있다.
또한, 본 실시예는 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 인증 서버를 더 포함할 수 있고, 상기 송신부로부터 상기 비인가 AP 정보를 수신하는 관리자 서버를 더 포함할 수 있다.
본 발명의 다른 측면에 따르면, 복수의 AP에 연결되는 무선 네트워크의 보안 방법에 있어서, 미리 인가된 AP에 관한 인가 AP 정보를 저장하는 단계, 상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 단계, 상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 비인가 AP 정보를 추출하는 단계, 상기 인가 AP 정보 및 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 단계를 포함하되, 상기 사용자 단말기는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 방법이 제공된다.
여기서, 상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함할 수 있으며, 상기 복수의 AP에 관한 정보 추출 단계는, 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출할 수 있다.
또한, 본 실시예는 상기 사용자 단말기로부터 상기 사용자 단말기와 연결되는 탐지 AP 정보를 수신하는 단계를 더 포함할 수 있으며, 여기서, 상기 비인가 AP 정보 추출 단계는, 수신한 상기 탐지 AP 정보와 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출할 수 있다.
또한, 상기 비인가 AP 정보 추출 단계는, 상기 탐지 AP 정보에 포함되며 상기 추출한 AP 정보에 포함되지 않은 AP 정보는 외부 AP 정보로 설정할 수 있다.
또한, 본 실시예는 상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 단계를 더 포함할 수 있으며, 상기 비인가 AP 정보를 수신하는 관리자 서버로 전송하는 단계를 더 포함할 수 있다.
전술한 것 외의 다른 측면, 특징, 잇점이 이하의 도면, 특허청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.
본 발명에 따른 무선 네트워크 보안 장치 및 그 방법은 비인가 AP에 대한 통합적 감시 및 통제를 구현할 수 있고, 별도의 감시 장비를 설치하지 않고, 무선 네트워크 환경에서 허가된 사용자 단말기를 이용하여 비인가 AP를 검출하고 차단하는 효과가 있다.
또한, 본 발명에 따른 무선 네트워크 보안 장치 및 그 방법은 별도의 추가 보안 장비 설치 없이 무선 네트워크에 대한 감시 및 제어 체계를 제공하므로 최소의 비용으로 보안 환경이 구축되며, 보호되어야할 실 대상자인 사용자 단말기의 정보를 이용하여 제어되므로 무선 네트워크 취약성의 노출을 최소화 할 수 있는 효과가 있다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용 된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 2는 본 발명의 실시예에 따른 무선 네트워크 시스템에 대한 블록 구성도이다. 도 2를 참조하면, 무선 네트워크 보안 장치(210), 인증 서버(220), 무선 네트워크(230), 인가 AP(241), 비인가 AP(242), 외부 AP(243), 제1 사용자 단말 기(251), 제2 사용자 단말기(252)가 도시된다.
본 실시예는 AP(access point) 단에 결합한 별도의 장치를 이용하지 않고, 무선 네트워크(230)에 결합한 무선 네트워크 보안 장치(210)가 비인가 AP(242) 및 외부 AP(243)를 인식하고, 해당 정보를 사용자 단말기 단에 전송함으로써, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 인가 AP(241)에만 접속할 수 있도록 하는 보안 환경을 제시한다.
여기서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 무선 네트워크(230)에 접속하여 이를 통한 데이터 교환을 수행하고자 하는 사용자의 단말기로 일반적인 형태는 PC이다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 무선 네트워크(230)에 접속할 수 있는 장치, 예를 들면, 무선 랜 네트워크 카드가 장착될 수 있다.
또한, 본 실시예에서 설명되는 AP는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)를 무선 네트워크(230)로 연결시켜주는 무선 네트워크(230) 장비이다. 일반적으로 AP는 두개의 네트워크 인터페이스(Wireless, Wired)를 가진다. 무선(Wireless) 인터페이스는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 통신하고, 유선(Wired) 인터페이스는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)의 데이터를 유선 네트워크에 존재하는 네트워크 장비, 상대편 단말기 등으로 전송시 사용한다.
무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 결합한다. 본 실시예에 따른 무선 네트워크(230)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252) 가 무선으로 접근 가능하도록 구현된 네트워크를 의미하며, 예를 들면, LAN, MAN, WAN, WLAN, WPAN, 이동 통신 망 등 다양한 네트워크를 포함할 수 있다.
무선 네트워크 보안 장치(210)는 미리 인가된 AP(241)에 관한 인가 AP 정보를 저장한다. 본 실시예에 따른 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함한다. 설치 위치 정보는 네트워크 장비(예를 들면, 라우터, 스위치, 허브 등)의 어느 포트(Port)에 연결되어 있는지에 대한 정보가 될 수 있다.
인가 AP(241)는 관리자에 의해 미리 지정되거나, 실시간으로 관리자에 의해 감시 및 통제됨으로써 지정될 수 있다. 또한, 인가 AP(241)는 무선 네트워크(230) 구축 시 설치된 AP로만 한정하여 지정될 수 있다. 이를 위해 무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 연결된 AP에 접속하여 접속한 AP에 관한 정보를 추출할 수 있다. 무선 네트워크 보안 장치(210)는 추출된 AP 정보를 저장하거나 별도의 관리자 서버로 전송하며, 관리자는 추출된 AP 정보를 참조하여, 인가 여부를 결정할 수 있다. 관리자에 의해 인가된 AP로 인정되는 AP 정보는 상술한 인가 AP 정보와 함께 별도로 저장될 수 있다.
무선 네트워크 보안 장치(210)는 또한, 추출된 AP 정보를 미리 저장된 인가 AP 정보와 비교하고, 추출된 AP 정보 중에서 인가 AP 정보에 없는 비인가 AP 정보를 추출한다. 추출된 비인가 AP 정보는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송되며, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 비인가 AP 정보를 참조하여, 탐지된 AP 중 인가된 AP에만 접속한다.
비인가 AP(242)는 관리자에게 허가되지 않고 설치된 AP이며, 해당 AP의 IP address 및 설치위치 정보로 구별될 수 있다. 외부 AP(243)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 접속할 수 있도록 탐지되는 AP이지만 내부 네트워크에 접속되어 있지 않아서 해당 AP의 IP 및 설치위치 정보를 확인할 수 없는 AP가 될 수 있다.
이를 위해 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에는 무선 네트워크(230)에 인가 AP를 통해서만 접속하기 위한 프로그램이 설치될 수 있다. 즉, 무선 네트워크(230)에 접속하려면 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 접속을 위한 프로그램이 설치된다. 해당 프로그램은 주변에서 탐색된 AP 목록 중에서 사용자가 설정한 SSID를 가진 AP들로 접속하되 일반적으로 가장 접속 성능(신호세기)이 우수한 AP로 접속한다. 이러한 결합(Association) 과정 수행시 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 AP의 BSSID를 받는다. BSSID는 AP의 MAC address를 포함하는 정보이다. 즉, 무선 네트워크 보안 장치(210)는 네트워크 장비들로부터 AP의 정보를 수집하여 위치 정보와 해당 AP의 MAC address(BSSID) 정보를 저장한다. 이후 무선 네트워크 보안 장치(210)는 인가 AP 정보와 비인가/외부 AP 정보로 구분될 수 있는 AP 정보를 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송한다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 AP 정보를 참조하여, 탐지 AP 정보가 인가 AP의 BSSID가 아닌 경우 결합(Association) 과정을 수행하지 않는다.
또한, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 단말단에서 탐지되는 AP에 대한 정보를 수신할 수 있다. 사 용자 단말기의 탐지 AP 정보는 단말단에서 실제로 탐지되는 AP 정보이다. 무선 네트워크 보안 장치(210)는 탐지 AP 정보와 상술한 인가 AP 정보를 비교하여 비인가 AP 정보 및 외부 AP 정보를 추출할 수 있다. 여기서, 외부 AP(243)의 외부 AP 정보는 탐지 AP 정보에 포함되며 추출한 AP 정보에 포함되지 않은 AP 정보가 될 수 있다. 즉, 무선 네트워크 보안 장치(210)는 특정 라우터, 스위치, 허브별로 AP 정보를 추출 및 인가 AP 정보를 설정할 수 있으며, 이 경우 특정 AP에 연결되는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대하여 인가 AP 정보, 외부 AP 정보가 서로 다르게 설정될 수 있다. 따라서 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대한 내부 네트워크는 라우터, 스위치, 허브별로 설정될 수 있다.
인증 서버(220)는 무선 네트워크(230)에 연결하는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에 대해 접속 여부를 판단해 주는 기능을 수행한다. 인증 서버(220)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 무선(Wireless) 인터페이스를 통해 접속하려고 할 때, 해당 사용자가 허가된 사용자인지 인증한다. 본 실시예에 따른 무선 네트워크 보안 장치(210)는 인증된 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 상술한 탐지 AP 정보를 수신하므로, 인가 AP 정보를 보다 신뢰성 있게 정할 수 있는 장점이 있다. 도 1을 참조하면, 인증 서버(220)는 무선 네트워크 보안 장치(210)와 물리적으로 서로 다른 유형의 장치로 구현된 경우가 도시되어 있으나, 본 실시예는 이에 한정되지 않으며, 동일한 장치로 구현되거나 소프트웨어적으로 다른 방식으로 구현된 경우를 포함할 수 있다.
도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 장치의 블록 구성도이다. 도 3을 참조하면, 무선 네트워크 보안 장치(210)는 저장부(211), AP 정보 추출부(212), AP 정보 비교부(213), AP 정보 수신부(214), 송신부(215)를 포함할 수 있다.
저장부(211)는 미리 인가된 AP에 관한 인가 AP 정보를 저장한다. 또한, 저장부(211)는 상술한 바와 같은 비인가 AP 정보 및 외부 AP 정보를 추가적으로 더 저장할 수 있다.
AP 정보 추출부(212)는 복수의 AP에 접속하여 접속한 복수의 AP에 관한 정보를 추출한다. AP 정보 추출부(212)는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 무선 네트워크(230)에 연결되는 복수의 AP에 접속하고, 접속한 복수의 AP로부터 AP 정보를 추출할 수 있다.
에스엔엠피는 네트워크 관리에 사용되는 프로토콜이다. 에스엔엠피는 TCP/IP 네트워크에만 한정되지는 않으며, IETF의 RFC에 나타낸 바와 같이 다양한 네트워크에 사용될 수 있다. 또한, 텔넷은 호스트 컴퓨터를 원격지에서 액세스할 수 있도록 해주는 방식으로서, 원격지 컴퓨터를 액세스하기 위한 사용자 명령들과 TCP/IP 기반의 프로토콜로 구성된다. 본 실시예는 이러한 프로토콜을 이용하여 AP 정보를 추출할 수 있다.
AP 정보 비교부(213)는 추출된 AP 정보를 저장부(211)에 저장된 인가 AP 정보와 비교하여 비인가 AP 정보를 추출한다. 송신부(215)는 인가 AP 정보 및 비인가 AP 정보를 무선 네트워크(230)에 연결된 제1 사용자 단말기(251) 및 제2 사용자 단 말기(252)로 전송한다. 이후, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속한다.
AP 정보 수신부(214)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 연결되어 탐지되는 AP에 관한 탐지 AP 정보를 수신한다. 본 실시예에 따르면, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 수집된 AP의 BSSID(무선 인터페이스의 MAC 어드레스 포함) 및 신호세기(RSSI)값을 이용하여 내부 네트워크에서 추출한 AP 정보와 상관분석을 통해 해당 AP가 내부 네트워크의 어느 위치에 접속되어 있는지를 확인하고, 이때 확인되지 않는 AP는 외부 AP로 설정한다.
예를 들면, 무선 네트워크 보안 장치(210)가 내부 네트워크에서 수집된 정보는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지된 AP가 내부 네트워크에 물리적으로 연결되어 있는 AP인지를 판단하는데 이용된다. 내부 네트워크의 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되는 모든 AP는 내부 네트워크에 접속가능한 모든 사용자 단말기가 접속할 수 있기 때문에 무선 네트워크(230) 접속에 따라 해당 사용자 단말 및 사용자의 개인 정보가 네트워크상에 노출될 수 있다. 내부 사용자는 의도적으로 회사 내부 정보를 해당 외부 AP에 접속하여 외부로 유출할 수 있다. 외부 AP는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되는 AP중 내부 네트워크를 통해 확인되지 않는 AP입니다. 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지하는 것은 무선신호를 탐지 하여 수집된 정보이며, 내부 네트워크를 통해 무선 네트워크 보안 장치(210)에서 확인하는 것은 상술한 바와 같이 네트워크의 에스엔엠피나 텔넷을 통해 내부의 네트워크 장비에서 발견되는 해당 AP의 정보가 될 수 있다. 이 두 방향에서 수집된 정보를 맵핑하여 양쪽 모두에서 발견되는 AP는 인가AP 또는 비인가AP이며, 탐지 AP 정보에만 포함되는 AP는 외부 AP이다. 또한, 만약 무선 네트워크 보안 장치(210)에서만 수집되고 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)에서 탐지되지 않는 AP는 음영지역에 설치되어 어떤 단말도 근처에 없는 AP가 될 수 있다.
도 4는 본 발명의 실시예에 따른 무선 네트워크 보안 방법의 흐름도이다.
단계 S410에서, 무선 네트워크 보안 장치(210)는 미리 인가된 AP에 관한 인가 AP 정보를 저장한다.
단계 S420에서, 무선 네트워크 보안 장치(210)는 무선 네트워크(230)에 연결된 복수의 AP에 접속하여 접속한 복수의 AP에 관한 정보를 추출한다.
단계 S430에서, 무선 네트워크 보안 장치(210)는 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로부터 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)와 연결되어 탐지되는 AP에 관한 탐지 AP 정보를 수신한다. 여기서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 상술한 바와 같이 인증 서버(220)에 의해 미리 인증된 단말기들이다.
단계 S440에서, 무선 네트워크 보안 장치(210)는 추출된 AP 정보 또는 수신한 탐지 AP 정보를 저장된 인가 AP 정보와 비교하여 비인가 AP 정보를 추출한다.
단계 S450에서, 무선 네트워크 보안 장치(210)는 인가 AP 정보 및 비인가 AP 정보를 무선 네트워크(230)에 연결된 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)로 전송하며, 이후 단계 S460에서, 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)는 수신한 인가 AP 정보 및 비인가 AP 정보를 이용하여 인가 AP에만 접속한다.
단계 S470에서, 무선 네트워크 보안 장치(210)는 인가 AP 정보와 비인가 AP 정보를 별도의 관리자 서버로 전송할 수 있으며, 관리자 서버는 이러한 AP 정보를 저장 및 출력하여 관리자가 이를 통제할 수 있도록 한다. 예를 들면, 관리자는 비인가 AP 정보를 참조하여, 비인가 AP가 설치된 위치, IP 어드레스를 추출하고, 이를 추적할 수 있다.
관리자 서버는 무선 네트워크 보안 장치(210)와 통신 가능한 위치에 결합할 수 있으며, 관리자는 인가되지 않은 새로운 AP가 통보되면 해당 AP의 정보를 확인하여 인가 여부를 결정한다. 통보된 AP가 인가된 AP로 판단되면 인가 AP로 등록하여 제1 사용자 단말기(251) 및 제2 사용자 단말기(252)가 무선 네트워크(230)에 접속할 때 해당 AP를 통하여 접속할 수 있도록 한다.
상술한 바와 같이 기존의 무선 네트워크(230) 접속을 위한 사용자 단말기가 단순히 사용자의 계정정보를 인증서버(220)로 전송함으로서 해당 무선 네트워크(230)의 접속 절차만을 수행하는 것과 달리, 본 실시예에서는 무선 네트워크 보안 장치(210)에서 제공된 인가 AP 목록으로만 접속을 수행함으로서 비인가/불법 AP에 접속하여 발생할 수 있는 보안 위협에 대응 할 수 있는 장점이 있다.
그 외 본 발명의 실시예에 따른 무선 네트워크 보안 장치 및 그 방법에 대한 구체적인 연결 방식, 임베디드 시스템, O/S 등의 공통 플랫폼 기술과 통신 프로토콜, I/O 인터페이스 등 인터페이스 표준화 기술 등에 대한 구체적인 설명은 본 발명이 속하는 기술 분야의 통상의 지식을 가진자에게 자명한 사항이므로 생략하기로 한다.
해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 종래 기술에 따른 무선 네트워크 시스템에 대한 블록 구성도.
도 2는 본 발명의 실시예에 따른 무선 네트워크 시스템에 대한 블록 구성도.
도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 장치의 블록 구성도.
도 4는 본 발명의 실시예에 따른 무선 네트워크 보안 방법의 흐름도.
<도면의 주요부분에 대한 부호의 설명>
210 : 무선 네트워크 보안 장치 220 : 인증 서버
230 : 무선 네트워크 241 : 인가 AP
242 : 비인가 AP 243 : 외부 AP
251 : 제1 사용자 단말기 252 : 제2 사용자 단말기
Claims (16)
- 복수의 AP에 연결되는 무선 네트워크의 보안 장치에 있어서,미리 인가된 AP에 관한 인가 AP 정보, 비인가 AP 정보 및 외부 AP 정보를 저장하는 저장부;상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 AP 정보 추출부;상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출하는 AP 정보 비교부; 및상기 인가 AP 정보 및 상기 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 송신부상기 사용자 단말기로부터 상기 사용자 단말기와 연결되어 탐지된 AP에 관한 탐지 AP 정보를 수신하는 AP 정보 수신부를 포함하되,상기 AP 정보 비교부는 상기 탐지 AP 정보와 상기 인가 AP 정보를 비교하여 상기 비인가 AP 정보를 추출하고, 상기 탐지된 AP의 BSSID(무선 인터페이스의 MAC 어드레스 포함) 및 신호세기(RSSI)값을 이용하여 내부 네트워크에서 추출한 AP 정보와 상관 분석을 통해 해당 AP가 내부 네트워크의 어느 위치에 접속되어 있는지를 확인하여, 확인되지 않는 AP를 외부 AP로 설정하고, 상기 탐지 AP 정보에 포함되지만 상기 추출한 AP 정보에는 포함되지 않는 AP 정보를 상기 외부 AP에 관한 외부 AP 정보로 설정하며,상기 사용자 단말기는 상기 인가 AP 정보와 상기 비인가 AP 정보를 이용하여 상기 복수의 AP 중 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 장치.
- 제1항에 있어서,상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함하는 무선 네트워크 보안 장치.
- 제1항에 있어서,상기 AP 정보 추출부는 에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출하는 것을 특징으로 하는 무선 네트워크 보안 장치.
- 삭제
- 삭제
- 삭제
- 제1항에 있어서,상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 인증 서버를 더 포함하는 무선 네트워크 보안 장치.
- 제1항에 있어서,상기 송신부로부터 상기 비인가 AP 정보를 수신하는 관리자 서버를 더 포함하는 무선 네트워크 보안 장치.
- 복수의 AP에 연결되는 무선 네트워크의 보안 방법에 있어서,미리 인가된 AP에 관한 인가 AP 정보, 비인가 AP 정보 및 외부 AP 정보를 저장하는 단계;상기 복수의 AP에 접속하여 상기 복수의 AP에 관한 정보를 추출하는 단계;상기 추출된 AP 정보를 상기 인가 AP 정보와 비교하여 상기 비인가 AP 정보를 추출하는 단계;상기 인가 AP 정보 및 상기 비인가 AP 정보를 상기 무선 네트워크에 연결된 사용자 단말기로 전송하는 단계;상기 사용자 단말기로부터 상기 사용자 단말기와 연결되어 탐지된 AP에 관한 탐지 AP 정보를 수신하는 단계;상기 탐지된 AP의 BSSID(무선 인터페이스의 MAC 어드레스 포함) 및 신호세기(RSSI)값을 이용하여 내부 네트워크에서 추출한 AP 정보와 상관 분석을 통해 해당 AP가 내부 네트워크의 어느 위치에 접속되어 있는지를 확인하여, 확인되지 않는 AP를 외부 AP로 설정하는 단계; 및상기 탐지 AP 정보에 포함되지만 상기 추출한 AP 정보에는 포함되지 않는 AP 정보를 상기 외부 AP에 관한 외부 AP 정보로 설정하는 단계를 포함하되,상기 비인가 AP 정보를 추출하는 단계는, 상기 탐지 AP 정보와 상기 인가 AP 정보를 비교하여 상기 비인가 AP 정보를 추출하는 단계를 포함하고,상기 사용자 단말기는 상기 인가 AP 정보 및 상기 비인가 AP 정보를 이용하여 상기 복수의 AP 중 인가 AP에만 접속하는 것을 특징으로 하는 무선 네트워크 보안 방법.
- 제9항에 있어서,상기 인가 AP 정보 및 상기 비인가 AP 정보는 IP 어드레스 및 설치 위치 정보를 포함하는 무선 네트워크 보안 방법.
- 제9항에 있어서,상기 복수의 AP에 관한 정보 추출 단계는,에스엔엠피(SNMP) 또는 텔넷(TELNET)을 이용하여 상기 복수의 AP에 관한 정보를 추출하는 것을 특징으로 하는 무선 네트워크 보안 방법.
- 삭제
- 삭제
- 삭제
- 제9항에 있어서,상기 탐지 AP 정보를 전송하는 상기 사용자 단말기의 AP 접속을 인증하는 단계를 더 포함하는 무선 네트워크 보안 방법.
- 제9항에 있어서,상기 비인가 AP 정보를 수신하는 관리자 서버로 전송하는 단계를 더 포함하는 무선 네트워크 보안 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090077776A KR101083727B1 (ko) | 2009-08-21 | 2009-08-21 | 무선 네트워크 보안 장치 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090077776A KR101083727B1 (ko) | 2009-08-21 | 2009-08-21 | 무선 네트워크 보안 장치 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110020072A KR20110020072A (ko) | 2011-03-02 |
KR101083727B1 true KR101083727B1 (ko) | 2011-11-15 |
Family
ID=43929472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090077776A KR101083727B1 (ko) | 2009-08-21 | 2009-08-21 | 무선 네트워크 보안 장치 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101083727B1 (ko) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101395835B1 (ko) * | 2012-04-30 | 2014-05-16 | 에스케이텔레콤 주식회사 | 단말장치 및 인증관리장치와, 그 장치의 동작 방법 |
KR101410274B1 (ko) * | 2013-06-11 | 2014-06-20 | 국방과학연구소 | 광범위적 비인가 무선장비 탐지 방법 및 장치 |
KR101534476B1 (ko) * | 2013-10-29 | 2015-07-07 | 삼성에스디에스 주식회사 | 비인가 액세스 포인트 탐지 방법 및 장치 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050171720A1 (en) * | 2003-07-28 | 2005-08-04 | Olson Timothy S. | Method, apparatus, and software product for detecting rogue access points in a wireless network |
-
2009
- 2009-08-21 KR KR1020090077776A patent/KR101083727B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050171720A1 (en) * | 2003-07-28 | 2005-08-04 | Olson Timothy S. | Method, apparatus, and software product for detecting rogue access points in a wireless network |
Also Published As
Publication number | Publication date |
---|---|
KR20110020072A (ko) | 2011-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
KR101953547B1 (ko) | 보안 이벤트를 이용한 모바일 단말의 관리 제어 방법 및 그 장치 | |
US8789191B2 (en) | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access | |
US7316031B2 (en) | System and method for remotely monitoring wireless networks | |
US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
US20090016529A1 (en) | Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols | |
CN107197456B (zh) | 一种基于客户端的识别伪ap的检测方法及检测装置 | |
CN104486765A (zh) | 一种无线入侵检测系统及其检测方法 | |
EP2023571A1 (en) | Method and system for wireless communications characterized by IEEE 802.11W and related protocols | |
KR20060070309A (ko) | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 | |
JP2007531398A (ja) | プロトコル変則分析に基づく無線lan侵入検知方法 | |
EP3422665A1 (en) | Sensor-based wireless network vulnerability detection | |
CN104852894A (zh) | 一种无线报文侦听检测方法、系统及中控服务器 | |
CN105681272A (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
WO2014080170A1 (en) | Intrusion prevention and detection in a wireless network | |
CN106878992B (zh) | 无线网络安全检测方法和系统 | |
WO2010027121A1 (en) | System and method for preventing wireless lan intrusion | |
KR101083727B1 (ko) | 무선 네트워크 보안 장치 및 그 방법 | |
KR100874015B1 (ko) | 무선랜 침입 방지 시스템 및 방법 | |
US20160164889A1 (en) | Rogue access point detection | |
CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
Anmulwar et al. | Rogue access point detection methods: A review | |
US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
KR20150041407A (ko) | 신뢰 액세스포인트 접속 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141107 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20181031 Year of fee payment: 8 |