KR101747144B1 - 비인가 ap 차단 방법 및 시스템 - Google Patents

비인가 ap 차단 방법 및 시스템 Download PDF

Info

Publication number
KR101747144B1
KR101747144B1 KR1020160013495A KR20160013495A KR101747144B1 KR 101747144 B1 KR101747144 B1 KR 101747144B1 KR 1020160013495 A KR1020160013495 A KR 1020160013495A KR 20160013495 A KR20160013495 A KR 20160013495A KR 101747144 B1 KR101747144 B1 KR 101747144B1
Authority
KR
South Korea
Prior art keywords
unauthorized
blocking
information
unlicensed
user terminal
Prior art date
Application number
KR1020160013495A
Other languages
English (en)
Inventor
정수환
송왕은
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Application granted granted Critical
Publication of KR101747144B1 publication Critical patent/KR101747144B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 비인가 AP(Access Point) 차단 시스템에 관한 것으로서, 상기 시스템은 할당된 네트워크 내의 비인가 AP를 탐지하고, 상기 탐지된 비인가 AP의 정보를 전송하는 비인가 AP 감지 센서; 및 상기 비인가 AP 감지 센서로부터 전송된 상기 비인가 AP의 정보를 기초로 상기 비인가 AP를 식별하고, 상기 식별된 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결이 차단되도록 상기 식별된 비인가 AP의 서비스 기능을 중단시키기 위한 공격을 수행하는 차단 서버를 포함한다.

Description

비인가 AP 차단 방법 및 시스템{METHOD AND SYSTEM FOR PREVENTING ROGUE ACCESS POINT}
본 발명은 비인가 AP 차단 방법 및 시스템에 관한 것으로서, 보다 상세하게는, IEEE 802.11w 표준 방식 기반의 네트워크를 이용하는 비인가 AP 를 차단하기 위한 방법 및 시스템에 관한 것이다.
각 기업 및 기관들은 자사의 네트워크 보호를 위해 WIPS(Wireless Intrusion Prevention System) 시스템을 많이 활용하고 있다. 기존의 IEEE 802.11 환경의 WIPS 시스템이 비인가 AP (Rogue AP)와 그에 연결된 사용자 단말 간의 연결을 차단하는 방식은 WIPS 센서의 네트워크 센싱을 통해 비인가 AP와 연결된 단말의 MAC 주소, SSID, BSSID, Channel 등과 같은 정보를 수집하고, 수집된 정보 중 비인가 AP와 사용자 단말의 MAC 주소를 이용하여 분리(Disassociation) 정보, 인증해제(Deauthentication) 정보와 같은 관리 프레임(Management Frame)을 생성 및 전송함으로써, 차단 동작을 수행한다. 이때, 차단 프레임을 전송 받은 비인가 AP와 사용자 단말은 차단 프레임을 정상적인 연결 종료 요청으로 인식하고 연결을 종료한다.
하지만 IEEE 802.11w 표준 방식 기반의 네트워크 환경은 MIC(Message Integrity Code)를 통해 차단 프레임의 무결성을 체크하도록 동작한다. 따라서 WIPS 센서가 비인가 AP와 사용자 단말 간의 MIC를 알 수 없다면, 비인가 AP의 존재를 파악하고도 비인가 AP와 사용자 단말의 연결을 차단할 수 없다.
또한 MIC를 획득하기 위해 사용자 단말에 별도의 에이전트(Agent)를 설치 할 경우 개발 비용과 유지 보수 비용이 발생하여 WIPS 시스템의 가격이 상승하게 되는 문제점이 발생한다.
한국 공개특허공보 제10-2006-0011000호 (공개일 : 2006.02.03)
본 발명은 비인가 AP가 IEEE 802.11w 표준 방식 기반의 네트워크 환경에서 동작하는 경우, MIC 를 추출하는 작업을 동반하지 않고, 차단 서버를 통해 간단하게 비인가 AP와 그에 연결된 사용자 단말 간의 연결을 차단시킬 수 있는 비인가 AP 차단 방법 및 시스템을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따르는, 비인가 AP(Access Point) 차단 시스템은 할당된 네트워크 내의 비인가 AP를 탐지하고, 상기 탐지된 비인가 AP의 정보를 전송하는 비인가 AP 감지 센서; 및 상기 비인가 AP 감지 센서로부터 전송된 상기 비인가 AP의 정보를 기초로 상기 비인가 AP를 식별하고, 상기 식별된 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결이 차단되도록 상기 식별된 비인가 AP의 서비스 기능을 중단시키기 위한 공격을 수행하는 차단 서버;를 포함한다.
본 발명의 다른 실시예에 따르는, 비인가 AP(Access Point) 차단 시스템에 의해 수행되는, 비인가 AP 차단 방법은 비인가 AP 감지 센서가 상기 비인가 AP 감지 센서에 할당된 네트워크 내의 비인가 AP를 탐지하고, 상기 탐지된 비인가 AP의 정보를 전송하는 단계; 및 차단 서버가 상기 비인가 AP 감지 센서로부터 전송된 상기 비인가 AP의 정보를 기초로 상기 비인가 AP를 식별하고, 상기 식별된 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결이 차단되도록 상기 식별된 비인가 AP의 서비스 기능을 중단시키기 위한 공격을 수행하는 단계를 포함한다.
본 발명의 또 다른 실시예에 따르는, 비인가 AP(Access Point) 차단 시스템은, 비인가 AP 감지 센서를 포함하며, 상기 비인가 AP 감지 센서는, 네트워크 내에 비인가 AP가 탐지된 경우, 1차적으로 상기 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결을 차단시키기 위한 IEEE 802.11 표준 방식 기반의 차단 프레임을 전송하고, 상기 차단 프레임에 의해 상기 사용자 단말과 상기 비인가 AP 간의 연결이 차단되지 않은 경우, 2차적으로 상기 비인가 AP 의 정보를 차단 서버로 전송하여 상기 비인가 AP에 대한 DoS(Denial of Service) 공격을 요청한다.
본 발명의 일 실시예의 시스템은 간단하게 차단 공격을 수행하는 차단 서버를 별도로 구비해두어 MIC를 획득하지 않고도 IEEE 802.11w 네트워크 환경의 비인가 AP를 차단할 수 있다. 이는 MIC를 획득하기 위해 각 사용자 단말에 MIC 획득을 위한 에이전트를 각각 설치하는 것보다 매우 간편하게 여러 개의 사용자 단말과 비인가 AP 간의 차단을 수행할 수 있으며, 유지 보수 비용이 상대적으로 저렴하기 때문에 WIPS (Wireless Intrusion Prevention System) 시스템의 가격을 높이지 않고도 효율적으로 비인가 AP 차단 기능을 구현할 수 있다.
도 1은 본 발명의 일 실시예에 따르는 비인가 AP 차단 시스템의 구조를 나타내는 구조도이다.
도 2는 본 발명의 일 실시예에 따르는 비인가 AP 차단 시스템의 동작 원리를 나타내는 개념도이다.
도 3은 본 발명의 일 실시예에 따르는 비인가 AP 차단 방법을 설명하기 위한 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이하에서 언급되는 "사용자 단말"은 네트워크를 통해 서버나 타 단말에 접속할 수 있는 컴퓨터나 휴대용 단말기로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, "네트워크"는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선 네트워크나 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 무선 네트워크로 구현될 수 있다.
이하에서, IEEE 802.11 표준방식이란 흔히 무선랜, 와이파이(Wi-Fi)라고 부르는 무선 근거리 통신망(Local Area Network)을 위한 컴퓨터 무선 네트워크에 사용되는 표준기술을 의미한다. 한편 IEEE 802.11은 IEEE의 LAN/MAN 표준 위원회 (IEEE 802)의 11번째 워킹 그룹에서 개발된 표준 기술로서, 802.11과 와이파이라는 용어가 번갈아 사용되기도 하지만 와이파이 얼라이언스는 "와이파이"라는 용어를 다른 집합의 표준으로 정의하고 있기 때문에, 802.11과 와이파이는 동의어가 아니다.
IEEE 802.11w는 관리 프레임(Management Frame)의 보안성을 향상시킨 IEEE 802.11의 수정 버전 기술을 의미한다. 기존IEEE 802.11 방식의 네트워크 하에서 MAC은 보호되지 않은 프레임 안에 관리정보를 송신하였기 때문에 보안에는 취약하였다. 이러한 문제를 해결하고자 하는 IEEE 802.11w는 표준이 도입되었다.
비인가 AP(Rogue AP)란 사용자의 편의를 목적으로 유선 네트워크에 설치된 비인가 AP, 또는 공격자에 의해서 고의로 설치된 AP를 말한다. 이는 상당한 위협요소가 되는데 회사 내의 보안 정책을 거치지 않고 내부 유선망에 침입할 수 있으므로rogue AP를 반드시 제거하여야 한다. 만약 사용자의 부주의로 보안을 신경 쓰지 않은 채 AP를 연결하여 Ad-hoc 네트워크를 구성한다면 더욱 위험하게 되고 비인가자에 의한 네트워크 대역폭 낭비를 불러올 수도 있다.
이하, 도 1을 참조하여, 본 발명의 일 실시예에 대하여 구체적으로 설명한다. 본 발명의 일 실시예에 따르는 시스템은 비인가 AP 감지 센서(100), 관리 서버(200) 및 차단 서버(300)를 포함한다.
본 발명의 일 실시예에 따르는 시스템은 IEEE 802.11w 표준 방식 기반의 네트워크 환경에서 MIC(Message Integrity Code) 를 파악하지 않고도 비인가 AP를 차단하는 것을 특징으로 한다. 비인가 AP (Rogue AP)란 IEEE 802.11w 기반의 네트워크 환경에서 MIC는 관리 프레임의 무결성을 확인하기 위한 수단이 된다. 그렇기 때문에, 비인가 AP와 그에 연결된 사용자 단말 간에 관리 프레임을 전송하더라도 MIC를 알지 못할 경우, 무결성 인증에서 실패하게 되므로, 비인가 AP와 사용자 단말 간의 차단을 수행할 수 없게 된다.
그러나, 본 발명의 일 실시예의 시스템은 비인가 AP 감지 센서(100)가 비인가 AP 를 감지한 경우, MIC를 획득하는 행위를 별도로 수행하지 않는다. 비인가 AP 감지 센서(100)는 관리 서버(200)로 비인가 AP 정보를 전송하며, 관리 서버(200)에서 비인가 AP 여부에 대한 확인이 완료된 경우, 차단 서버(300)로 비인가 AP 정보를 전달하며, 차단 서버(300)는 DoS(Denial of Service) 공격을 통해 비인가 AP가 본래의 기능을 수행할 수 없게 함으로써 비인가 AP와 그에 연결된 사용자 단말 간의 연결을 차단할 수 있다.
즉, 본 발명의 일 실시예의 시스템은 간단하게 차단 공격을 수행하는 차단 서버(300)를 별도로 구비해두어 MIC를 획득하지 않고도 IEEE 802.11w 네트워크 환경의 비인가 AP를 차단할 수 있다. 이는 MIC를 획득하기 위해 각 사용자 단말에 MIC 획득을 위한 에이전트를 각각 설치하는 것보다 매우 간편하게 여러 개의 사용자 단말과 비인가 AP 간의 차단을 수행할 수 있으며, 유지 보수 비용이 상대적으로 저렴하기 때문에 WIPS (Wireless Intrusion Prevention System) 시스템의 가격을 높이지 않고도 효율적으로 비인가 AP 차단 기능을 구현할 수 있다.
이하, 도 2를 참고하여, 본 발명의 일 실시예에 따르는 시스템의 동작 과정을 구체적으로 설명한다.
먼저, 비인가 AP 감지 센서(100)는 자신에게 할당된 네트워크 내에 존재하는 비인가 AP(110)를 탐지한다. 비인가 AP 감지 센서(100)는 관리 서버(200)와 유선으로 연결된 것일 수 있으나, 이는 일 예일 뿐이며 무선으로 연결될 수도 있다.
비인가 AP 감지 센서(100)는 비인가 AP(110)가 탐지된 경우, 비인가 AP(110) 의 정보를 수집한다. 이어서, 비인가 AP 감지 센서(100)는 1차적으로 비인가 AP(110)에 연결된 사용자 단말(120)과 비인가 AP(110) 간의 연결을 차단시키기 위한 차단 프레임을 전송한다. 차단 프레임은 관리 프레임(Management Frame)을 의미하는 것으로서, IEEE 802.11표준방식 기반의 관리 프레임일 수 있다. 구체적으로, 차단 프레임 생성을 위해 비인가 AP 감지 센서(100)는 비인가 AP(110) 및 그에 연결된 사용자 단말(120)의 MAC 주소, SSIC, BSSID, Channel 등의 정보를 수집한다. 이어서, 비인가 AP 감지 센서(100)는 수집된 정보 중 비인가 AP(110)와 사용자 단말(120)의 MAC 주소를 이용하여 분리(Disassociation) 정보와, 인증해제(Deauthentication) 정보를 포함하는 차단 프레임을 생성하고 비인가 AP(110)와 사용자 단말(120)에 차단 프레임을 전송할 수 있다.
만약 비인가 AP(110)가 IEEE 802.11 기반의 네트워크 환경에서 동작하고 있는 경우, 위 1차적인 차단 동작만으로 사용자 단말(120)에 대한 차단이 수행될 수 있다. 그러나, 비인가 AP(110)가 IEEE 802.11w 기반의 네트워크 환경에서 동작하고 있는 경우, 비인가 AP 감지 센서(100)가 MIC 를 알지 못하기 때문에 위 1차적인 차단 동작이 아무런 효과를 가져다 주지 않게 된다.
따라서, 비인가 AP 감지 센서(100)는 차단 프레임에 의해 사용자 단말(120)과 상기 비인가 AP(110) 간의 연결이 차단되지 않은 경우, 2차적으로 비인가 AP(110)의 정보를 포함하는 차단요청을 관리 서버(200)로 전송할 수 있다.
관리 서버(200)는 비인가 AP(110)가 정상 AP인지 확인하고, 정상 AP가 아닌 경우 차단 요청을 차단 서버(300)로 전달하는 기능을 수행한다.
구체적으로, 관리 서버(200)는 기 저장된 정상 AP 정보들의 목록인 정상 AP 리스트(즉, 화이트리스트)와 수신된 비인가 AP(110) 정보를 비교하여, 비인가 AP(110) 정보가 정상 AP 리스트에 포함되어 있지 않은 경우, 차단 서버(300)로 상기 비인가 AP(110) 정보를 포함하는 차단요청을 전송할 수 있다.
차단 서버(300)는 차단 요청을 수신하고, 차단 요청에 포함된 비인가 AP(110)의 정보를 기초로 비인가 AP(110)를 식별한다. 이어서, 차단 서버(300)는 식별된 비인가 AP(110)에 연결된 사용자 단말(120)과 비인가 AP(110) 간의 연결이 차단되도록 식별된 비인가 AP(110)의 서비스 기능을 중단시키기 위한 공격을 수행한다.
차단 서버(300)가 수행하는 공격은 DoS (Denial of Service) 공격을 포함할 수 있다. DoS 공격이란 타겟 시스템(또는 서버)을 악의적으로 공격해 타겟 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 타겟 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 타겟 서버의 TCP 연결을 바닥내는 등의 공격이 DoS 공격의 범위에 포함될 수 있다. DoS 공격은 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해하거나 중단되게 하는 현상을 초래한다.
차단 서버(300)의 DoS 공격의 유형은 비인가 AP(110)의 전산 자원을 소진시키거나, 구성 정보나 상태 정보를 교란 시키거나, 물리적 전산망 요소를 교란시키거나, 사용자 단말(120)과의 통신 매체를 차단하는 방식으로 수행될 수 있다. 또한, 차단 서버(300)의 DoS 공격은 비인가 AP(110)의 프로세서를 바쁘게 하여 아무 작업도 수행못하게 하거나 마이크로코드에 오류를 발생시키거나 순차적 명령어 실행에 오류를 발생시켜 컴퓨터가 불안정한 상태에 빠지게 하는 등의 악성 코드를 사용함으로써, 비인가 AP(110)와 그에 연결된 사용자 단말(120) 간의 연결을 차단할 수 있다.
한편, 차단 서버(300)가 복수 개로 구비되거나 차단 서버(300)가 복수 개의 하위 단말 또는 서버들을 제어하는 경우, 분산 서비스 거부 공격(Distributed DoS) 또는 디디오에스/디도스(DDoS)와 같은 공격을 수행할 수도 있다.
이어서, 차단 서버(300)는 비인가 AP(110)에 대한 공격 후, 공격 결과 정보를 생성하여 관리 서버(200)로 전송한다. 관리 서버(200)는 공격 결과 정보를 비인가 AP 감지 센서(100)에 전송한다.
추가 실시예로서, 비인가 AP 감지 센서(100)는 공격 결과 정보가 공격 성공에 대한 내용을 포함하고 있는 경우, 추후 동일한 정보를 갖는 비인가 AP(110)가 탐지되었을 때, 상술한 1차적인 차단 동작을 수행하지 않고 곧바로 2차적인 차단 동작을 수행할 수도 있다.
이어서, 도 3을 참조하여, 본 발명의 일 실시예에 따르는 비인가 AP(110) 차단 방법에 대하여 구체적으로 설명한다.
이하의 방법은, 비인가 AP(110) 차단 시스템에 의해 수행되는 것이므로, 아래에서 생략된 내용이 있다고 하더라도 상술한 내용을 통해 갈음하도록 한다.
먼저, 비인가 AP 감지 센서(100)는 네트워크 내에 존재하는 비인가 AP(110)를 감지한다(S101).
이후, 비인가 AP(110)에 대하여 IEEE 802.11기반의 차단 동작을 수행한다(S102). 구체적으로, 비인가 AP(110)의 정보와 그에 연결된 사용자 단말(120)의 정보를 획득하여 차단 프레임을 생성하고, 이를 비인가 AP(110)와 사용자 단말(120)에 전송할 수 있다.
비인가 AP 감지 센서(100)는 S102의 차단 동작에 의해 비인가 AP(110)와 사용자 단말(120) 간에 차단이 완료되었는지 확인한다(S103).
만약 차단이 완료되지 않은 경우, 이는 비인가 AP(110)가 IEEE 802.11 네트워크 환경이 아닌 다른 형태의 네트워크 환경을 이용하고 있는 것으로 간주되므로, 관리 서버(200)로 비인가 AP(110) 차단 요청을 전송한다(S104).
관리 서버(200)는 비인가 AP(110) 차단 요청에 포함된 비인가 AP(110) 정보를 참고하여, 정상 AP 리스트와 비교한다(S105).
만약 정상 AP 리스트에 비인가 AP(110) 정보가 포함되어 있지 않은 경우, 차단 서버(300)로 비인가 AP(110) 정보를 포함하는 차단 요청을 전송한다(S106).
차단 서버(300)는 차단 요청된 비인가 AP(110) 에 대하여 DoS 공격을 수행하며(S107), 공격 결과 정보를 생성하여 관리 서버(200)로 전송할 수 있다(S108).
관리 서버(200)는 수신한 공격 결과 정보를 비인가 AP 감지 센서(100)로 전송함으로써 IEEE 802.11w 네트워크 환경 기반에서 동작하는 비인가 AP(110) 차단과정을 완료할 수 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 비인가 AP 감지 센서 110 : 비인가 AP
120 : 사용자 단말 200 : 관리 서버
300 : 차단 서버

Claims (11)

  1. IEEE 802.11w 표준 방식 기반의 네트워크 상에서 동작하는 비인가 AP(Access Point) 차단 시스템에 있어서,
    할당된 네트워크 내의 비인가 AP를 탐지하고, 상기 탐지된 비인가 AP의 정보를 전송하는 비인가 AP 감지 센서; 및
    기 저장된 정상 AP 리스트와 상기 수신된 비인가 AP 정보를 비교하여, 상기 비인가 AP 정보가 상기 정상 AP 리스트에 포함되어 있지 않은 경우, 상기 차단 서버로 상기 비인가 AP 정보를 전송하는 관리 서버; 및
    상기 비인가 AP 감지 센서로부터 전송된 상기 비인가 AP의 정보를 기초로 상기 비인가 AP를 식별하고, 상기 식별된 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결이 차단되도록 상기 식별된 비인가 AP의 서비스 기능을 중단시키기 위한 공격을 수행하는 차단 서버;를 포함하며,
    상기 비인가 AP 감지 센서는,
    상기 비인가 AP가 탐지된 경우, 1차적으로 상기 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결을 차단시키기 위한 차단 프레임을 상기 사용자 단말과 상기 비인가 AP에 전송하고, 상기 차단 프레임에 의해 상기 사용자 단말과 상기 비인가 AP 간의 연결이 차단되지 않은 경우, 2차적으로 상기 비인가 AP의 정보를 포함하는 차단요청을 상기 관리 서버로 전송하며,
    상기 관리 서버는 상기 차단요청에 따라 상기 비인가 AP가 정상 AP가 아닌 경우 상기 차단요청을 상기 차단 서버로 전송하고,
    상기 차단 서버는 DoS (Denial of Service) 공격을 통해 상기 비인가 AP의 서비스 기능을 중단시키는, 비인가 AP 차단 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 차단 프레임은,
    IEEE 802.11표준방식 기반의 프레임인 것인, 비인가 AP 차단 시스템.
  4. 제 1 항에 있어서,
    상기 차단 프레임은,
    상기 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP의 MAC 주소를 기반으로 생성되며, 분리(Disassociation) 정보와, 인증해제(Deauthentication) 정보를 포함하는 프레임인 것인, 비인가 AP 차단 시스템.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 제 1 항에 있어서,
    상기 차단 서버는,
    상기 비인가 AP에 대한 공격 후, 공격 결과 정보를 생성하고, 상기 공격 결과 정보 가 상기 비인가 AP 감지 센서에 수신되도록 전송하는, 비인가 AP 차단 시스템.
  9. 삭제
  10. IEEE 802.11w 표준 방식 기반의 네트워크 상에서 동작하는 비인가 AP(Access Point) 차단 시스템에 의해 수행되는, 비인가 AP 차단 방법에 있어서,
    비인가 AP 감지 센서가 상기 비인가 AP 감지 센서에 할당된 네트워크 내의 비인가 AP를 탐지하고, 1차적으로 상기 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결을 차단시키기 위한 차단 프레임을 상기 사용자 단말과 상기 비인가 AP에 전송하고, 상기 차단 프레임에 의해 상기 사용자 단말과 상기 비인가 AP 간의 연결이 차단되지 않은 경우, 2차적으로 상기 비인가 AP의 정보를 포함하는 차단요청을 관리 서버로 전송하는 단계;
    상기 관리 서버가 상기 차단요청에 따라, 기 저장된 정상 AP 리스트와 상기 수신된 비인가 AP 정보를 비교하여, 상기 비인가 AP 정보가 상기 정상 AP 리스트에 포함되어 있지 않은 경우, 차단 서버로 상기 비인가 AP 정보를 전송하는 단계; 및
    상기 차단 서버가 상기 비인가 AP 감지 센서로부터 전송된 상기 비인가 AP의 정보를 기초로 상기 비인가 AP를 식별하고, 상기 식별된 비인가 AP에 연결된 사용자 단말과 상기 비인가 AP 간의 연결이 차단되도록 상기 식별된 비인가 AP의 서비스 기능을 중단시키기 위한 DoS (Denial of Service) 공격을 수행하는 단계를 포함하는, 비인가 AP 차단 방법.
  11. 삭제
KR1020160013495A 2015-12-09 2016-02-03 비인가 ap 차단 방법 및 시스템 KR101747144B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150174816 2015-12-09
KR20150174816 2015-12-09

Publications (1)

Publication Number Publication Date
KR101747144B1 true KR101747144B1 (ko) 2017-06-14

Family

ID=59217920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160013495A KR101747144B1 (ko) 2015-12-09 2016-02-03 비인가 ap 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101747144B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102102835B1 (ko) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips 센서
KR102321683B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
권혁찬, "차세대 무선랜 보안 기술", http://www.concert.or.kr/suf2015/, 2015.11.30*
노병규 외 3인, ‘차세대 무선랜 보안 기술동향 및 이슈’, PM Issue Report 2013, 제3권 이슈3, 한국방송통신전파진흥원, 2013.*
비특허문헌 - 구글(비인가 Rogue AP disassociation deauthentication 802.11w)
정수환, "사설 무선랜 보안 위협 및 대응 방안", 2007.09.*

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102102835B1 (ko) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips 센서
KR102321683B1 (ko) * 2020-07-10 2021-11-04 (주)노르마 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치
CN113923638A (zh) * 2020-07-10 2022-01-11 诺玛有限公司 能够甄别性阻止非授权蓝牙设备的方法及装置

Similar Documents

Publication Publication Date Title
US8726338B2 (en) Dynamic threat protection in mobile networks
US8997201B2 (en) Integrity monitoring to detect changes at network device for use in secure network access
US9055090B2 (en) Network based device security and controls
KR101501669B1 (ko) 비정상 행위를 탐지하기 위한 행위 탐지 시스템
US10834596B2 (en) Method for blocking connection in wireless intrusion prevention system and device therefor
US9503463B2 (en) Detection of threats to networks, based on geographic location
JP5682083B2 (ja) 疑わしい無線アクセスポイントの検出
US10542020B2 (en) Home network intrusion detection and prevention system and method
US20070005987A1 (en) Wireless detection and/or containment of compromised electronic devices in multiple power states
US9426161B2 (en) Device-based authentication for secure online access
US9124617B2 (en) Social network protection system
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
EP3395102B1 (en) Network management
WO2008001972A1 (en) Method for proactively preventing wireless attacks and apparatus thereof
US20230232230A1 (en) Zero Trust Wireless Monitoring - System and Method for Behavior Based Monitoring of Radio Frequency Environments
JP2010263310A (ja) 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム
US10855704B1 (en) Neutralizing malicious locators
US11336621B2 (en) WiFiwall
KR101747144B1 (ko) 비인가 ap 차단 방법 및 시스템
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
Kim et al. A technical survey on methods for detecting rogue access points
US20230007018A1 (en) Dynamic multi-network security controls
Nair et al. Intrusion detection in Bluetooth enabled mobile phones
KR102366574B1 (ko) 무선 침입 방지 방법
CN118301616A (zh) 无线网络安全防护方法及装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant