KR101725129B1 - 무선랜 취약성 분석 장치 - Google Patents

무선랜 취약성 분석 장치 Download PDF

Info

Publication number
KR101725129B1
KR101725129B1 KR1020130019325A KR20130019325A KR101725129B1 KR 101725129 B1 KR101725129 B1 KR 101725129B1 KR 1020130019325 A KR1020130019325 A KR 1020130019325A KR 20130019325 A KR20130019325 A KR 20130019325A KR 101725129 B1 KR101725129 B1 KR 101725129B1
Authority
KR
South Korea
Prior art keywords
attack
unit
information
terminal
normal
Prior art date
Application number
KR1020130019325A
Other languages
English (en)
Other versions
KR20140105280A (ko
Inventor
이석준
권혁찬
안개일
정병호
김신효
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130019325A priority Critical patent/KR101725129B1/ko
Priority to US14/033,654 priority patent/US9100429B2/en
Publication of KR20140105280A publication Critical patent/KR20140105280A/ko
Application granted granted Critical
Publication of KR101725129B1 publication Critical patent/KR101725129B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

무선랜 취약성 분석 장치가 개시된다. 본 발명에 따른 무선랜 취약성 분석 장치는, 무선랜 서비스에서 송수신되는 패킷을 수집하는 수집부, 상기 수집된 패킷을 이용하여 네트워크의 상태를 분석하는 분석부 및 상기 네트워크 상태를 이용하여 공격 대상을 상대로 무선 공격을 수행하고, 동작 모드에 따라 디바이스 드라이버의 모드 변경을 제어하는 공격부를 포함한다.

Description

무선랜 취약성 분석 장치{APPARATUS FOR ANALYZING VULNERABLENESS OF WIRELESS LAN}
본 발명은 무선랜 취약성 분석 장치에 관한 것으로, 상세하게는 IEEE 802.11 기반의 무선랜 관리자가 휴대용 단말기를 이용하여 무선랜의 상태를 모니터링하고, 이 망에 직접 무선상의 공격을 가해봄으로써 관리 중인 무선랜의 취약점을 분석하는 방법을 제공하는 기술에 관한 것이다.
IEEE 802.11 기반의 무선랜 기술은 단말기가 유선 연결 없이 저렴하고 빠르게 네트워크를 이용할 수 있어, 가정 및 기업 및 공중망에서 널리 이용되고 있다.
특히, 무선랜 카드가 설치되어 있는 노트북과 스마트폰, 태블릿이 널리 사용되면서, 사용자들은 일상 생활에서 언제 어디서나 인터넷을 통하여 게임, 웹 서핑, 뉴스, 소셜 서비스 등을 이용하고, 손쉽게 메일을 주고받는 등 다양한 형태의 인터넷 기반 응용 서비스를 활용할 수 있게 되었다.
특히, 802.11n, 802.11ac 등의 고속화 기술과 802.11i, 802.11w 등 안전성이 강화된 무선랜 기술이 등장하면서 더욱더 안전하고 편리한 무선랜 기술을 이용할 수 있게 되었다.
그러나, 안전성을 강화하는 기술을 무선랜에 적용하더라도, 여전히 무선의 특징으로 인한 취약점은 여전히 존재하게 된다.
유선 기술과는 달리 무선 기술에서는 네트워크에 누구나 접근할 수 있으며, 네트워크 접속점의 실제 물리적 위치를 찾기가 어려워 주소 변조, 도청, 패킷 위변조 등 다양한 형태의 공격에 그대로 노출될 수 밖에 없다.
이러한 다양한 공격들이 가능한 무선랜 망을 안전하게 관리하기 위해서 종래에 여러 가지 기술들이 존재해 왔다.
첫 번째, 침입을 탐지하고 대응하기 위하여 WIDS/WIPS 센서를 이용하는 방법이 있다. 이 센서들은 고정된 위치에서 지속적으로 무선랜 패킷을 수집하여 위의 공격을 탐지하고 대응하는 역할을 수행한다.
두 번째, 휴대용 단말을 이용하여 네트워크를 분석 관리하는 방법이 있다. 이러한 단말은 관리자가 손쉽게 휴대할 수 있는 형태로, 관리자가 원하는 위치에서 무선랜 패킷을 수집하여 네트워크의 상태를 확인하여 네트워크의 품질에 이상이 없는지를 확인하는 역할을 수행하며, 일부 제품들은 여기에 위에서 설명한 센서의 기능을 일부 포함하고 있기도 한다.
세 번째, 두 번째 기술에 공격 기능을 포함하여 취약성을 시험할 수 있는 방법이다. 이와 관련하여 한국등록특허 제0520103호는 SSID 변형 공격과 802.1x 기반의 서비스 거부 공격 기능을 포함하는 취약성 분석 시스템을 보이고 있다.
첫 번째와 두 번째 방법들은, 취약성 분석 시스템이 능동적으로 공격을 수행하면서 시스템과 네트워크의 상태를 확인하지 않으므로, 현재 구축되어 있는 시스템이 어떠한 공격에 취약한지를 알 수가 없다.
또한, 세 번째 방법은 관리자가 능동적으로 시스템의 취약점을 분석할 수 있는 장점을 가지고 있으나, 공격의 수가 적고 다른 시스템(AP, 침입탐지센서 및 서버)과의 연동 기능이 없다.
이에 따라, 다양한 공격들이 가능한 무선랜 망을 보다 안정적으로 관리할 수 있는 기술의 개발이 요구되는 실정이다.
본 발명은 전술한 종래 기술의 문제점을 해결하기 위하여 휴대가 가능한 사용자 단말에 무선 네트워크의 상태 분석, 다양한 종류의 공격 및 침입 탐지, AP 및 서버 연동 보고 등의 기능을 포함시켜, 네트워크 관리자가 관리 중인 무선랜의 취약점을 손쉽게 분석하고 안전한 무선랜 환경을 만들 수 있는 기술을 제공하는데 그 목적이 있다.
상기한 목적을 달성하기 위한 무선랜 취약성 분석 장치는, 무선랜 서비스에서 송수신되는 패킷을 수집하는 수집부, 상기 수집된 패킷을 이용하여 네트워크의 상태를 분석하는 분석부 및 상기 네트워크 상태를 이용하여 공격 대상을 상대로 무선 공격을 수행하고, 동작 모드에 따라 디바이스 드라이버의 모드 변경을 제어하는 공격부를 포함할 수 있다.
이 때, 상기 디바이스 드라이버의 모드는 특정 무선 채널의 패킷을 확인하는 모니터링 모드, 불법 AP로 동작하기 위한 불법 AP 모드, 단말로서 AP와의 접속 혹은 애드혹(Adhoc) 연결을 위한 단말 모드 및 공격을 위해 패킷을 위조하는 공격 모드 중 어느 하나의 모드로 동작할 수 있다.
이 때, 상기 디바이스 드라이버가 공격 모드로 동작하는 경우, 상기 공격부는 연결을 끊기를 원하는 AP와 단말의 MAC 주소를 송수신 주소로 위조한 비인증 패킷을 송신하도록 디바이스 드라이버에 명령을 전달할 수 있다.
이 때, 수집 채널 스케줄링 정보, 수집 프레임 종류, 수집 시간 정보를 포함하는 수집 정책 정보를 수신하고, 상기 수집 정책 정보에 기반하여 무선상의 패킷을 수신 한 후, 정책을 내려준부에게 수집된 정보를 전달할 수 있다.
이 때, 상기 분석부는, 유저 인터페이스를 통하여 사용자가 정한 정책을 저장하고, 상기 정책에 기반하여 상기 수집부에게 수집 정책을 내려준 후, 상기 수집부로부터 전달받은 정보를 가공하여 사용자에게 분석 결과를 유저 인터페이스를 통해 출력할 수 있다.
이 때, 상기 분석 결과는 무선 채널별 채널의 상태, AP 정보, 단말 정보, 연결 상태, 무선 프레임 종류와 에러 비율 정보를 포함할 수 있다.
이 때, 무선랜 취약성 분석 장치는 상기 패킷을 이용하여 공격 상황을 탐지하는 탐지부, 탐지 결과를 기반으로 공격자의 접속을 방해하는 대응부, 상기 공격 상황을 평가하고, 향상된 공격을 지원하는 정상 단말부 및 보안 관련 서버와 보안 정보를 송수신하는 서버 연결부를 더 포함할 수 있다.
이 때, 상기 탐지부는, 유저 인터페이스를 통하여 사용자가 정한 정책을 저장하고, 상기 정책에 맞추어 상기 수집부에게 수집 정책을 내려준 후, 상기 수집부로부터 전달받은 정보를 이용하여 공격 패턴을 탐지할 수 있다.
이 때, 상기 공격 패턴은 무선상의 불법 AP, 서비스 거부 공격 및 WEP/WPA 키 패턴을 포함할 수 있다.
이 때, 상기 대응부는, 상기 공격 패턴에 따라 상기 디바이스 드라이버를 상기 공격 패턴과 동일한 동작 모드로 변경 제어할 수 있다.
이 때, 상기 정상 단말부가 정상 단말로서 무선 공격을 수용하는 희생자 모드로 동작하는 경우, 상기 공격부는 정상 AP처럼 복제한 불법 AP가 되어 접속을 유도하거나, 정상 AP와 정상적으로 무선 연결을 맺은 정상 단말부에게 서비스 거부 공격 또는 키 해킹을 시도할 수 있다.
이 때, 상기 정상 단말부는 정상적인 단말로 정상 AP에 접속을 한 후, 접근 권한을 공격부에 전송하고, 상기 공격부는 상기 접근 권한을 이용하여 정상 AP에 그대로 접속을 유지한 채로 내부자 공격을 시도할 수 있다.
이 때, 상기 내부자 공격은 802.11i MIC Failure 공격, 무선랜 계층 공격 또는 인터넷 계층의 공격 방식을 포함할 수 있다.
이 때, 상기 접근권한은 공유된 키 정보, 연결된 무선랜 카드의 MAC 주소를 포함할 수 있다.
이 때, 상기 서버 연결부는 인증 서버와 사용자 및 단말에 관한 인증 정보를 송수신할 수 있다.
이 때, 상기 서버 연결부는 보안 관제 서버로부터 정상 AP 리스트, 탐지 및 대응에 관한 정책 등을 전달받거나, 공격 탐지 및 대응 결과를 보고할 수 있다.
이 때, 상기 서버 연결부는 보안 관제 서버로부터 설치된 AP 및 센서 등의 실제 위치와 설치 장소의 도면 정보를 전달받아 상기 분석부에 전달하고, 상기 분석부는 특정 위치에서의 무선랜 품질에 관한 정보를 분석하여 분석 결과를 상기 보안 관제 서버에 전달할 수 있다.
이 때, 상기 탐지부는 상기 분석 결과를 분석하여 정상 AP에 대한 화이트 리스트를 생성하고, 상기 화이트 리스트를 이용하여 불법 AP를 탐지할 수 있다.
본 발명에 따르면, 무선랜 관리자가 손쉽게 휴대하여 자신이 관리하는 무선랜의 상태를 편리하게 분석하고 관리할 수 있다.
또한, 무선랜을 상대로 직접 공격을 시도해봄으로써 능동적으로 무선랜의 취약성을 확인할 수 있는 장점이 있다.
또한, 침입 탐지 및 대응 기능 혹은 정상 단말 기능과 결합하거나 외부 서버와 연결함으로써 취약성 대응 수준을 더욱 높일 수 있는 이점을 포함한다.
도 1은 본 발명의 실시예에 따른 불법 AP를 통한 무선랜 공격 과정을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 서비스 공격 거부 방식을 통한 무선랜 공격 과정을 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 무선랜 취약성 분석 장치의 구성을 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 무선랜 취약성 분석 장치의 구성을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 불법 AP를 통한 무선랜 공격 과정을 나타낸 도면이다.
불법 AP는 말 그대로 허가 받지 않고 불법적으로 설치하여 사용하는 AP를 통칭하는 것으로, 크게 2가지 종류의 불법 AP로 분류할 수 있다.
첫 번째, 기업의 사내 망에 유선으로 연결되어 무선랜 서비스를 제공하는 불법 AP로, 이러한 불법 AP는 공격자들이 방화벽, 유선IDS/IPS 등을 우회하여 사내 망에 손쉽게 접근할 수 있는 수단이 된다.
불법 AP 1(200)은 사내 망에 유선으로 연결되어 있어서 공격자(300)가 손쉽게 무선으로 사내 망에 접근할 수 있는 불법적인 통로를 제공하게 된다.
이 경우, 공격자는 사내 망에 접속할 수 있는 권한이 없음에도 불구하고, 회사의 중요한 정보를 저장하고 있는 서버(400)나 PC 등에 손쉽게 접근할 수 있다.
두 번째, 인터넷에 다양한 방식으로 연결(테더링, Soft AP 등)한 AP로, 마치 정상적인 AP인 것처럼 무선랜 서비스를 제공하지만 연결된 단말이 주고 받는 데이터를 도청 혹은 위변조 함으로써 정보를 유출하는 등의 공격을 시도할 수 있는 수단이 된다.
정상 단말(110)이 정상AP(100)를 통해 접속하지 않고, 테더링 서비스를 하고 있는 스마트폰(210)에 접속을 하여 이동통신기지국(600)을 통하여 인터넷 서비스를 제공받을 수 있다.
원칙적으로 회사 내의 단말들은 내부 게이트웨이(500)를 통해 외부 망에 접근하여야 하며, 이렇게 해야 관리자가 자료의 불법 유출 등을 방지할 수 있는 시스템 구축이 가능하나, 이러한 테더링 스마트폰을 이용한 불법AP 2(210)를 통할 경우, 관리자는 내부 단말의 자료 유출을 방지할 수 있는 수단을 잃게 된다.
도 2는 본 발명의 실시예에 따른 서비스 공격 거부 방식을 통한 무선랜 공격 과정을 나타낸 도면이다.
무선랜에서는 서로 데이터를 보내려고 할 때, 충돌을 회피하고 단말과 AP 사이에 가상의 연결을 유지하기 위하여, 다양한 종류의 무선 패킷을 정의하여 사용하고 있다.
그러나, 이러한 패킷들이 정당하게 생성되어 사용될 때에는 상기 목적을 달성하는데 매우 효과적이나 이러한 패킷을 위조하여 부당하게 사용할 경우 정상적인 단말과 AP가 접속을 유지하기 어렵게 될 수 있는데 이러한 공격을 Denial of Service(서비스 거부) 공격이라고 한다.
무선랜에서는 다양한 방식으로 Denial of Service 공격이 가능하다.
공격자(300)가 접속을 해제하기 위한 비인증 프레임(Deauthentication Frame) 메시지의 송수신 주소를 위조하여 연결중인 단말(110)과 정상 AP(100)에 보냄으로써 이 연결이 끊어지도록 만들 수 있다.
또한, 송신 주소를 각기 다르게 위조한 결합(Association) 메시지를 다량 생성하여, 정상 AP(100)의 접속 정보 관리 기능을 마비시킴으로써 정상 AP(100)가 정상적으로 무선랜 서비스를 제공할 수 없도록 만들 수도 있다.
이 외에도 다른 방식으로 관리 프레임을 위조하거나, 802.1x 기반의 사용자 인증을 받는 무선랜 서비스에서 필수적인 EAPOL 메시지를 위조(EAPOL-Start, EAPOL-Logoff, EAPOL/EAP-Failure, EAPOL/EAP-Success 등), 또는 무선랜의 충돌 회피를 위해 만들어놓은 제어(Control) 패킷을 위조하여(RTS/CTS, NAV 등) 서비스 거부 공격을 시도할 수 있다.
한편, 또 다른 무선 랜 공격 방식으로 WEP/WPA 키 해킹 공격 방식과 정상적으로 접속한 단말의 내부자 공격 방식을 들 수 있다.
WEP/WPA 키 해킹 공격 방식의 경우, 무선랜에서는 도청 방지를 위하여 Shared Key 혹은 802.1x를 통하여 AP와 동적으로 합의된 키를 이용하여 데이터 패킷을 암호화하는 기술이 포함되어 있는데, 여기에는 WEP와 WPA, WPA2 기술을 포함한다.
이 중 WEP는 키 해킹 공격에 매우 취약하며, WPA와 WPA2에서도 키를 해킹하기 위한 공격이 존재한다.
정상적으로 접속한 단말의 내부자 공격 방식의 경우, 정상적으로 인증을 받고 무선랜에 안전하게 연결된 정상 단말이 내부자 공격을 시도할 수도 있다.
이러한 공격들은 무선랜 규격의 취약점을 이용한 공격과 무선랜 계층보다 상위에서 이루어지는 공격으로 분류할 수 있다.
무선랜 규격의 취약점을 이용한 공격의 예를 들면, 동일한 AP에 WPA/WPA2로 안전하게 연결된 단말들은 모두 동일한 브로드캐스트 키(broadcast key)를 공유하게 된다.
이 브로드캐스트 키는 AP의 broadcast 메시지를 암호화하게 되는데, 이렇게 암호화된 메시지의 MIC(무결성 검증용 코드) 값에 에러가 있는 경우 AP는 키 공유를 새로 시도하거나 연결을 종료시키게 된다.
따라서 정상 단말이 의도적으로 MIC Failure를 유발하는 프레임을 조작하여 보낼 경우 서비스 거부 공격의 효과가 있게 되는 것이다. 이러한 공격은 관리 프레임 보호를 위한 표준인 802.11w에서도 유사하게 가능하다.
무선랜 계층보다 상위에서 이루어지는 공격의 예를 들면, AP에 연결된 단말이 동일한 AP에 연결된 단말에게 ARP 메시지를 위조함으로써 가능한 ARP Poisoning 공격이 있을 수 있다. 예를 들어, 정상적으로 접속한 공격자가 다른 단말에게 자신이 Gateway라고 주장하는 위조된 ARP 메시지를 보내면, 그 단말은 외부에 전송하고자 하는 모든 인터넷 패킷을 모두 공격자에게 보내게 될 것이다. 이러한 공격은 인터넷 이상의 계층에서 이루어짐에도 불구하고 망 외부로 통하는 유선 IDS/IPS 장비에 위조된 패킷이 도착하지 않으므로, 효과적으로 대응하는 것이 매우 어렵다.
도 3은 본 발명의 실시예에 따른 무선랜 취약성 분석 장치의 구성을 나타낸 도면이다.
도 3을 참고하면, 본 발명의 실시예에 따른 무선랜 취약성 분석 장치는 제 1 디바이스 드라이버(100), 수집부(21), 분석부(22), 공격부(23) 및 유저 인터페이스(30)를 포함하여 구성된다.
무선랜 취약성 분석 장치는 노트북이나 스마트폰을 포함하는 휴대용 단말에 내장되는 형태로 휴대용 단말과 결합하여 일반적인 무선랜 서비스가 이루어지는 곳에서 무선랜의 취약성을 분석 할 수 있다.
제 1 디바이스 드라이버(100)는 무선랜 카드 제조 회사 혹은 무선랜 칩셋 제조 회사에서 제공하는 것으로, 무선 패킷을 캡쳐하거나 전송, 접속하기 위하여 다양한 모드를 지원한다.
이 모드에는 특정 무선 채널의 모든 패킷을 확인할 수 있는 모니터링 모드, AP로 동작하기 위한 AP 모드, 단말로서 AP와의 접속 혹은 애드혹(Adhoc) 연결을 위한 단말 모드 외에 공격을 위해 패킷을 위조하는 공격 모드 등이 존재할 수 있다.
수집부(21)은 무선랜 서비스에서 주고 받는 패킷을 수집한다.
수집부(21)은 제 1 디바이스 드라이버(100)를 모니터링 모드로 바꾼 후 원하는 무선 채널을 설정할 수 있다.
이 때, 수집부(21)은 특정한 무선 채널상에서 전송되는 모든 패킷을 수신할 수 있다. 수집부(21)은 분석부(22) 및 공격부(23)을 포함하는 다른 구성으로부터 수집 채널 스케줄링 정보, 수집 프레임 종류, 수집 시간 등의 수집에 관한 정책을 내려 받아 이에 기반하여 무선상의 패킷을 수신 한 후, 정책을 내려준부에게 수집된 정보를 전달할 수 있다.
분석부(22)은 수집부(21)에서 수집된 정보를 이용하여 무선랜 네트워크의 상태를 분석하고, 분석된 결과를 관리자에게 보고한다.
분석부(22)는 유저 인터페이스(30)를 통하여 사용자가 정한 정책을 저장하고, 이에 맞추어 수집부(21)에게 수집 정책을 내려준 후 수집부(21)로부터 전달받은 정보를 가공하여 사용자에게 분석된 결과를 다양한 형식으로 유저 인터페이스(30)를 통해 출력할 수 있다.
분석된 결과는 무선 채널 별로 채널의 상태, AP 정보, 단말 정보, 연결 상태, 무선 프레임 종류와 에러 비율 등 다양한 정보를 포함할 수 있다.
이 때, 채널의 상태 정보는 채널 정보, 신호세기, 스루풋(Throughput), 노이즈 비율, 간섭 상황 등을 포함할 수 있다.
이 때, AP 정보는 MAC 주소, SSID, 보안 상태, 송수신 패킷 정보, 연결된 단말 정보 등을 포함할 수 있다.
이 때, 단말 정보는 MAC 주소, 연결된 AP 정보, 송수신 시간 등을 포함할 수 있다.
이 때, 분석부(22)에서 분석된 결과는 유저 인터페이스(30)를 통하여 사용자가 공격부를 통한 공격 명령을 시도할 때의 기초 정보로 활용할 수 있다.
예를 들어, 분석부(22)에서 보이는 AP 정보를 통하여, 공격부(23)에게 그 AP와 동일한 내용으로 서비스하는 불법 AP 공격을 할 것을 명령 내릴 수 있다.
공격부(23)은 단독으로 혹은 분석된 네트워크 상태를 이용하여 주변 무선네트워크 전체, 특정한 AP 또는 특정한 단말을 대상으로 무선 공격을 시도할 수 있다.
공격부(23)은 유저 인터페이스(30)를 통하여 사용자가 공격 명령을 시도할 경우 그 공격 명령을 수행하는 역할을 한다.
불법 AP로 동작할 경우 제 1 디바이스 드라이버(10)는 AP 모드로 동작하여야 하며, 네트워크 또는 AP에 공격을 시도할 경우 공격 모드로 동작할 수 있어야 한다.
이 때, 공격 모드로 설정된 경우. 공격부(23)은 사용자가 원하는 공격 종류에 따라 패킷을 자유자재로 위조할 수 있어야 한다.
즉, 비인증 프레임(Deauthentication Frame)을 이용한 서비스 거부 공격의 경우, 연결을 끊기를 원하는 AP와 단말의 MAC 주소를 송수신 주소로 위조한 비인증 패킷을 송신하도록 제 1 디바이스 드라이버(100)에 명령을 내릴 수 있다.
도 4는 본 발명의 실시예에 따른 무선랜 취약성 분석 장치의 구성을 나타낸 도면이다.
도 4를 참고하면, 본 발명의 실시예에 따른 무선랜 취약성 분석 장치는 도 3에서 상세히 설명한 제 1 디바이스 드라이버(100), 수집부(21), 분석부(22), 공격부(23) 및 유저 인터페이스(30)을 포함하며, 제 2 디바이스 드라이버(11), 정상 단말부(24), 서버 연결부(25), 탐지부(26) 및 대응부(27)을 추가적으로 포함하여 구성된다.
제 1 디바이스 드라이버(100), 수집부(21), 분석부(22), 공격부(23) 및 유저 인터페이스(30)에 대하여 이미 도 3을 통해 상세하게 설명한 바가 있으며, 도 3을 통해 설명된 내용과 중복되는 내용에 대하여는 그 상세한 설명을 생략한다.
탐지부(26)은 수집부(21)로부터 수집된 정보를 이용하여 주변의 공격 상황을 탐지한다.
탐지부(26)은 분석부(22)과 유사하게 유저 인터페이스(30)를 통하여 사용자가 정한 정책을 저장하고, 이에 맞추어 수집부(21)에게 수집 정책을 내려준 후 수집부(21)로부터 전달받은 정보를 이용하여 무선상의 불법 AP, 서비스 거부 공격, WEP/WPA 키 해킹 등의 공격에 대한 것을 탐지할 수 있다.
이러한 탐지 정책은 서버 연결부(25)로부터 다운로드 받거나 유저 인터페이스(30)를 통해 사용자가 직접 저장할 수 있어야 한다.
대응부(27)은 탐지부(26)을 통해 탐지된 탐지 결과를 기반으로 하여 공격자의 접속을 방해한다.
대응부(27)은 탐지부(26)을 통해서 공격이 탐지가 될 경우, 특정한 공격들은 더 이상 공격이 이루어지지 않도록 대응할 수 있다.
무선 공격에 대한 대응은 공격자에게 역으로 공격을 취하는 것이므로, 공격부(23)과 동일하게 제 1 디바이스 드라이버(10)가 공격 모드로 동작하여야 한다.
예를 들어, 불법 AP가 존재하는 것으로 탐지가 된 경우, 대응 정책에 따라 불법 AP에 연결된 모든 단말 및 불법 AP에게 접속을 끊을 것을 요청하는 비인증 프레임(Deauthentication Frame) 혹은 해제 프레임(Disassociation Frame)을 전송할 수 있다.
정상 단말부(24)은 공격의 효과를 직접 확인하거나 보다 발전된 형태의 공격을 시도한다.
이 때, 정상 단말부(24)은 크게 두 가지 역할을 할 수 있다.
첫 번째, 정상 단말로서 무선 공격에 대한 희생자 역할을 할 수 있다.
이 때, 공격부(23)는 정상 AP처럼 복제한 불법 AP가 되어 접속을 유도한다거나, 정상 AP와 정상적으로 무선 연결을 맺은 정상 단말부에게 서비스 거부 공격, 키 해킹 등을 시도하는 것이다.
이 때, 공격의 용이도를 분석하여 일정한 기준보다 쉽게 공격이 이루어질 경우, 보안 문제가 발생할 수 있다고 보고할 수 있다.
두 번째, 정상적인 단말로 정상 AP에 접속을 한 후, 이 접속에 대한 접근 권한을 공격부(23)에게 넘겨주는 역할을 할 수 있다.
이 때, 접근 권한은 공유된 키 정보, 연결된 무선랜 카드의 MAC 주소 등을 포함할 수 있다.
공격부(23)은 접근 권한에 관한 정보를 이용할 경우 정상 AP에 그대로 접속을 유지한 채 내부자 공격을 시도할 수 있다.
위에서 언급한 바와 같이 802.11i MIC Failure 혹은 이와 유사한 무선랜 계층(Layer 2) 공격을 시도할 수도 있고, ARP Poisoning 공격, 악성 코드 전송과 같이 인터넷 계층(Layer 3) 이상의 공격을 시도할 수도 있다.
정상 단말부(24)은 수집부(21)등이 사용하는 무선랜 카드와 별도의 카드를 이용한다.
따라서 별도의 디바이스 드라이버를 이용하며, 이는 도 4의 제 2 디바이스 드라이버(11)에 해당한다. 제 2 디바이스 드라이버(11)는 단말 모드로 동작하게 된다.
서버 연결부(25)은 기타 인증 서버, 관제 서버 등 외부 서버와 연결하여 취약성 대응 정책 등 다양한 정보를 송수신하여 취약성 대응 수준을 높일 수 있다.
서버 연결부(25)은 다양한 종류의 내부 보안 관련 서버와 연결을 하여 정보를 송수신하는 기능을 포함할 수 있다.
예를 들어, 인증 서버와 사용자 및 단말에 관한 인증 정보를 전달할 수도 있고, 보안 관제 서버로부터 정상 AP 리스트, 탐지 및 대응에 관한 정책 등을 전달받을 수 있다. 역으로 공격 탐지 및 대응 결과를 보고할 수도 있다.
또한, 설치된 AP 및 센서 등의 실제 위치와 설치 장소의 도면 정보를 전달받아서 분석부(22)을 통해 특정 위치에서의 무선랜 품질에 관한 정보를 분석하여 그 결과를 다시 서버로 전달할 수 있다.
이 때, 탐지부(26)은 분석부(22)의 분석 결과를 정상 AP에 대한 White List로 활용하여 불법 AP를 탐지하는데 활용할 수 있다.
또한, 서버 연결부(25)은 유저 인터페이스(30)로부터 접속 정보를 제공받고, 정상 단말부(24)과 무선 제 2 디바이스 드라이버(11)를 통하거나 혹은 별도의 네트워크 인터페이스를 이용하여 외부 서버와 연결할 수 있다.
이상, 본 발명의 구성에 대하여 바람직한 실시예을 참조하여 상세히 설명하였으나, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 예를 들어 본 발명의 무선랜 취약성 분석 방법을 실현하기 위한 프로그램이 기록된 기록매체의 형태 등 다양한 형태로 구현될 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100, 101: 디바이스 드라이버 200: 수집부
201: 분석부 203: 공격부
230: 정상 단말부 240: 서버 연결부
300: 유저 인터페이스

Claims (18)

  1. 무선랜 서비스에서 송수신되는 패킷을 수집하는 수집부;
    사용자로부터 유저 인터페이스를 통해 입력받은 정책에 기반하여 상기 수집부의 수집 정책을 설정하고, 상기 수집된 패킷을 이용하여 네트워크의 상태를 분석하며, 상기 분석 결과를 상기 유저 인터페이스를 통해 출력하는 분석부; 및
    상기 네트워크 상태를 이용하여 공격 대상을 상대로 무선 공격을 수행하고, 동작 모드에 따라 디바이스 드라이버의 모드 변경을 제어하는 공격부를 포함하며,
    상기 디바이스 드라이버의 모드는,
    특정 무선 채널의 패킷을 확인하는 모니터링 모드, 불법 AP로 동작하기 위한 불법 AP 모드, 단말로서 AP와의 접속 또는 애드혹(Adhoc) 연결을 위한 단말 모드 및 공격을 위해 패킷을 위조하는 공격 모드 중 적어도 어느 하나의 모드를 포함하고,
    상기 공격부는,
    상기 공격 모드로 설정된 경우, 상기 유저 인터페이스를 통하여 상기 사용자로부터 입력받은 공격 명령에 상응하도록 상기 무선 공격을 수행하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 디바이스 드라이버가 공격 모드로 동작하는 경우, 상기 공격부는 연결을 끊기를 원하는 AP와 단말의 MAC 주소를 송수신 주소로 위조한 비인증 패킷을 송신하도록 디바이스 드라이버에 명령을 전달하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  4. 청구항 1에 있어서,
    상기 수집부는,
    수집 채널 스케줄링 정보, 수집 프레임 종류, 수집 시간 정보를 포함하는 수집 정책 정보를 수신하고, 상기 수집 정책 정보에 기반하여 무선상의 패킷을 수신 한 후, 정책을 내려준부에게 수집된 정보를 전달하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 분석 결과는 무선 채널별 채널의 상태, AP 정보, 단말 정보, 연결 상태, 무선 프레임 종류와 에러 비율 정보를 포함하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  7. 청구항 1에 있어서,
    상기 패킷을 이용하여 공격 상황을 탐지하는 탐지부;
    탐지 결과를 기반으로 공격자의 접속을 방해하는 대응부;
    상기 공격 상황을 평가하고, 향상된 공격을 지원하는 정상 단말부; 및
    보안 관련 서버와 보안 정보를 송수신하는 서버 연결부를 더 포함하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  8. 청구항 7에 있어서,
    상기 탐지부는,
    상기 유저 인터페이스를 통하여 사용자가 정한 정책을 저장하고, 상기 정책에 맞추어 상기 수집부에게 수집 정책을 내려준 후, 상기 수집부로부터 전달받은 정보를 이용하여 공격 패턴을 탐지하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  9. 청구항 8에 있어서,
    상기 공격 패턴은 무선상의 불법 AP, 서비스 거부 공격 및 WEP/WPA 키 패턴인 것을 특징으로 하는 무선랜 취약성 분석 장치.
  10. 청구항 8에 있어서,
    상기 대응부는,
    상기 공격 패턴에 따라 상기 디바이스 드라이버를 상기 공격 패턴과 동일한 동작 모드로 변경 제어하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  11. 청구항 7에 있어서,
    상기 정상 단말부가 정상 단말로서 무선 공격을 수용하는 희생자 모드로 동작하는 경우,
    상기 공격부는 정상 AP처럼 복제한 불법 AP가 되어 접속을 유도하거나, 정상 AP와 정상적으로 무선 연결을 맺은 정상 단말부에게 서비스 거부 공격 또는 키 해킹을 시도하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  12. 청구항 7에 있어서,
    상기 정상 단말부는 정상적인 단말로 정상 AP에 접속을 한 후, 접근 권한을 공격부에 전송하고,
    상기 공격부는 상기 접근 권한을 이용하여 정상 AP에 그대로 접속을 유지한 채로 내부자 공격을 시도하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  13. 청구항 12에 있어서,
    상기 내부자 공격은 802.11i MIC Failure 공격, 무선랜 계층 공격 또는 인터넷 계층의 공격 방식을 포함하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  14. 청구항 12에 있어서,
    상기 접근권한은 공유된 키 정보, 연결된 무선랜 카드의 MAC 주소를 포함하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  15. 청구항 7에 있어서,
    상기 서버 연결부는 인증 서버와 사용자 및 단말에 관한 인증 정보를 송수신하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  16. 청구항 7에 있어서,
    상기 서버 연결부는
    보안 관제 서버로부터 정상 AP 리스트, 탐지 및 대응에 관한 정책 등을 전달받거나, 공격 탐지 및 대응 결과를 보고하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  17. 청구항 7에 있어서,
    상기 서버 연결부는 보안 관제 서버로부터 설치된 AP 및 센서 등의 실제 위치와 설치 장소의 도면 정보를 전달받아 상기 분석부에 전달하고,
    상기 분석부는 특정 위치에서의 무선랜 품질에 관한 정보를 분석하여 분석 결과를 상기 보안 관제 서버에 전달하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
  18. 청구항 17에 있어서,
    상기 탐지부는 상기 분석 결과를 분석하여 정상 AP에 대한 화이트 리스트를 생성하고, 상기 화이트 리스트를 이용하여 불법 AP를 탐지하는 것을 특징으로 하는 무선랜 취약성 분석 장치.
KR1020130019325A 2013-02-22 2013-02-22 무선랜 취약성 분석 장치 KR101725129B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130019325A KR101725129B1 (ko) 2013-02-22 2013-02-22 무선랜 취약성 분석 장치
US14/033,654 US9100429B2 (en) 2013-02-22 2013-09-23 Apparatus for analyzing vulnerability of wireless local area network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130019325A KR101725129B1 (ko) 2013-02-22 2013-02-22 무선랜 취약성 분석 장치

Publications (2)

Publication Number Publication Date
KR20140105280A KR20140105280A (ko) 2014-09-01
KR101725129B1 true KR101725129B1 (ko) 2017-04-10

Family

ID=51389705

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130019325A KR101725129B1 (ko) 2013-02-22 2013-02-22 무선랜 취약성 분석 장치

Country Status (2)

Country Link
US (1) US9100429B2 (ko)
KR (1) KR101725129B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112017006854T5 (de) * 2017-01-18 2019-10-02 Panasonic Intellectual Property Management Co., Ltd. Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
CN110012471A (zh) * 2019-03-04 2019-07-12 武汉纺织大学 一种基于伪热点的无线网络数据包解析方法
CN111479271B (zh) * 2020-04-03 2023-07-25 北京锐云通信息技术有限公司 基于资产属性标记分组的无线安全检测与防护方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007266869A (ja) 2006-03-28 2007-10-11 Ntt Docomo Inc 無線lan端末装置及び無線lan端末の保守・点検方法
US20080043686A1 (en) 2004-12-30 2008-02-21 Telecom Italia S.P.A. Method and System for Detecting Attacks in Wireless Data Communications Networks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
KR100520103B1 (ko) * 2003-05-02 2005-10-11 한국전자통신연구원 무선랜 취약성 분석 시스템 및 방법
US20060230450A1 (en) * 2005-03-31 2006-10-12 Tian Bu Methods and devices for defending a 3G wireless network against a signaling attack
US8139521B2 (en) * 2005-10-28 2012-03-20 Interdigital Technology Corporation Wireless nodes with active authentication and associated methods
US7577424B2 (en) * 2005-12-19 2009-08-18 Airdefense, Inc. Systems and methods for wireless vulnerability analysis
EP2068525B1 (en) * 2007-11-06 2014-04-09 Airtight Networks, Inc. Method and system for providing wireless vulnerability management for local area computer networks
KR101048510B1 (ko) * 2009-05-06 2011-07-11 부산대학교 산학협력단 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080043686A1 (en) 2004-12-30 2008-02-21 Telecom Italia S.P.A. Method and System for Detecting Attacks in Wireless Data Communications Networks
JP2007266869A (ja) 2006-03-28 2007-10-11 Ntt Docomo Inc 無線lan端末装置及び無線lan端末の保守・点検方法

Also Published As

Publication number Publication date
KR20140105280A (ko) 2014-09-01
US20140245441A1 (en) 2014-08-28
US9100429B2 (en) 2015-08-04

Similar Documents

Publication Publication Date Title
Lounis et al. Attacks and defenses in short-range wireless technologies for IoT
Barua et al. Security and privacy threats for bluetooth low energy in iot and wearable devices: A comprehensive survey
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
Hongsong et al. Security and trust research in M2M system
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
Plósz et al. Security vulnerabilities and risks in industrial usage of wireless communication
US20150138013A1 (en) Apparatus and method for positioning wlan terminal
Jang et al. Catch me if you can: Rogue access point detection using intentional channel interference
CN106878992B (zh) 无线网络安全检测方法和系统
Yaseen et al. Marc: A novel framework for detecting mitm attacks in ehealthcare ble systems
Jain et al. ETGuard: Detecting D2D attacks using wireless evil twins
KR101725129B1 (ko) 무선랜 취약성 분석 장치
WO2010027121A1 (en) System and method for preventing wireless lan intrusion
Badr et al. Security and privacy in the Internet of Things: threats and challenges
KR101429179B1 (ko) 무선 네트워크 통합 보안 시스템
Lovinger et al. Detection of wireless fake access points
Hall Detection of rogue devices in wireless networks
KR101186876B1 (ko) 유무선 통합시스템에서 실시간 침입차단 방법
Fuster et al. Analysis of security and privacy issues in wearables for minors
Scarfone et al. Guide to securing legacy IEEE 802.11 wireless networks
Shourbaji et al. Wireless intrusion detection systems (WIDS)
An et al. MAC Spoofing Attack Detection based on EVM in 802.11 WLAN
Li et al. Wireless network security detection system design based on client
Yevdokymenko et al. Overview of the Course in “Wireless and Mobile Security”

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant