KR102119317B1 - Apparatus and method for identifying a user terminal and blocking access to a wireless access point - Google Patents
Apparatus and method for identifying a user terminal and blocking access to a wireless access point Download PDFInfo
- Publication number
- KR102119317B1 KR102119317B1 KR1020180117354A KR20180117354A KR102119317B1 KR 102119317 B1 KR102119317 B1 KR 102119317B1 KR 1020180117354 A KR1020180117354 A KR 1020180117354A KR 20180117354 A KR20180117354 A KR 20180117354A KR 102119317 B1 KR102119317 B1 KR 102119317B1
- Authority
- KR
- South Korea
- Prior art keywords
- wireless
- user terminal
- access
- vulnerability
- database
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
일실시예에서, 무선 AP 관리 리스트를 저장하는 무선 AP 데이터베이스; 사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스; 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM 서버를 포함한다.In one embodiment, a wireless AP database storing a wireless AP management list; A vulnerability database that stores vulnerability information for a user terminal; A black list database for storing a list of abnormal user terminals; And a SIEM server that determines whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list. do.
Description
무선 근거리 통신망(Wireless Local Area Network; WLAN)의 AP(Access Point)에 접속 처리를 수행하는 장치 및 방법에 연관되며, 보다 구체적으로는 악성 공유기를 미리 평가 및 판단하여 회피하기 위한 공유기 접속 처리 장치 및 방법에 연관된다.Associated with an apparatus and method for performing access processing to an access point (AP) of a wireless local area network (WLAN), and more specifically, a router access processing device for evaluating and evading a malicious router in advance and How to do it.
기업의 정보보안이 날로 중요해지는 가운데, 공격자들은 다양한 경로를 통하여 사용자의 정보를 탈취하기 위해 공격해오고 있다. 그 중 유선 네트워크에 대한 보안은 각종 소프트웨어를 통하여 해결이 가능하지만 무선 AP에 대한 보안은 해커들의 다양한 공격으로부터 방어하기 매우 어려우며 그 방법 또한 매우 제한적이다.With enterprise information security becoming increasingly important, attackers have been attacking to steal user information through various channels. Among them, security for a wired network can be solved through various software, but security for a wireless AP is very difficult to defend against various attacks from hackers, and the method is also very limited.
특히, 최근 들어 무선 AP에 대한 공격이 더욱 심화되고 있으며, 예를 들어 무선 AP에 대한 공격과 DNS 위/변조를 통하여 무선 AP에 접속된 장치에 저장되어 있는 개인정보를 탈취하는 사례 및 무선 AP를 통하여 IPTV나 CCTV를 해킹하는 사례 등이 발생하고 있다.In particular, recently, attacks on wireless APs have been further intensified, for example, attacks on wireless APs and cases of stealing personal information stored in devices connected to wireless APs through DNS forgery and forgery and wireless APs. Through this, there are cases of hacking IPTV or CCTV.
무선 AP에 대한 공격을 방어하는 방법은 여러 종류로 구분되나, 크게 보아 무선 AP 제조업체에서 제공하는 펌웨어 버전을 항상 최신버전으로 유지하는 방법과 무선 AP에서 제공하는 가장 강력한 보안성과 암호화 방식을 사용하는 방법이 있다.There are several types of methods to defend against attacks on wireless APs, but at a glance, how to keep the firmware version provided by the wireless AP manufacturer always up to date and how to use the strongest security and encryption method provided by the wireless AP. There is this.
그러나, 이러한 방법을 통해 방어하는 경우에도 공격자가 무선 AP에 대한 공격과 접속을 통하여 활동을 시작하는 순간 내부 시스템은 다양한 위험에 노출될 수 있다.However, even in the case of defense through this method, the internal system may be exposed to various risks as soon as an attacker starts an activity through an attack and connection to a wireless AP.
일실시예에 따르면 무선 AP 관리 리스트를 저장하는 무선 AP 데이터베이스; 사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스; 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM (Security Information and Event Management) 서버를 포함하는 무선 AP 접속 차단 장치가 개시된다.According to an embodiment, a wireless AP database storing a wireless AP management list; A vulnerability database that stores vulnerability information for a user terminal; A black list database for storing a list of abnormal user terminals; And a SIEM (Security Information) for determining whether the user terminal is allowed to access the wireless AP using the blacklist database and the vulnerability database in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list. and Event Management) server.
다른 일실시예에 따르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 장치가 개시된다.According to another embodiment, the SIEM server discloses a wireless AP access blocking device that performs vulnerability checking of a user terminal attempting to access the wireless AP and stores the vulnerability in the vulnerability database.
또 다른 일실시예에 다르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는, 무선 AP 접속 차단 장치가 제시된다.According to another embodiment, the SIEM server is provided with a wireless AP access blocking device that notifies the user terminal of attempting to access the wireless AP with a vulnerability.
다른 일실시예에 따르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하고 상기 취약점 점수가 미리 지정되는 값 이하인 경우에만 상기 무선 AP로의 접속을 허용하는, 무선 AP 접속 차단 장치가 가능하다.According to another embodiment, the SIEM server calculates a vulnerability score of the user terminal attempting to access the wireless AP and allows access to the wireless AP only when the vulnerability score is equal to or less than a predetermined value. Blocking devices are possible.
다른 일실시예에 따르면 상기 SIEM 서버는 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하고, 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는, 무선 AP 접속 차단 장치일 수 있다.According to another embodiment, the SIEM server receives IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs, verifies the security of the one or more wireless APs, and transmits information related to the successful wireless APs. It may be a wireless AP access blocking device that is stored in the wireless AP management list.
또 다른 일실시예에 따르면 상기 SIEM 서버는 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하고, 수집된 상기 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는, 무선 AP 접속 차단 장치도 가능하다.According to another embodiment, the SIEM server collects the MAC address of the abnormal user terminal from a malware information provider or uses the malware search tool to collect the MAC address of the abnormal user terminal, and collects the abnormal user terminal's MAC address. A wireless AP access blocking device that stores a MAC address in the abnormal user terminal list is also possible.
일실시예에 따르면 상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고, 상기 SIEM 서버는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는, 무선 AP 접속 차단 장치가 제시된다.According to one embodiment, the user terminal verification request includes the MAC address of the user terminal, and the SIEM server checks whether the MAC address of the user terminal is included in the abnormal user terminal list, blocking wireless AP access The device is presented.
다른 일실시예에 따르면 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우, 상기 SIEM 서버는 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는, 무선 AP 접속 차단 장치가 제시된다.According to another embodiment, when the MAC address of the user terminal is included in the abnormal user terminal list, the SIEM server transmits a connection blocking signal for the user terminal to the wireless AP, the wireless AP access blocking device Is presented.
일측에 따르면 SIEM 서버를 이용하여 무선 AP로의 접속을 차단하는 무선 AP 접속 차단 방법에 있어서, 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계; 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계; 사용자 단말에 대한 취약점 정보를 취약점 데이터베이스에 저장하는 단계; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계를 포함하는 무선 AP 접속 차단 방법이 개시된다.According to one side, a wireless AP access blocking method for blocking access to a wireless AP using a SIEM server, the method comprising: storing a wireless AP management list in a wireless AP database; Storing the abnormal user terminal list in a blacklist database; Storing vulnerability information for the user terminal in a vulnerability database; And in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list, determining whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database. A wireless AP access blocking method is disclosed.
다른 일측에 따르면 상기 취약점 정보를 취약점 데이터베이스에 저장하는 단계는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 방법이 개시된다.According to another side, the step of storing the vulnerability information in the vulnerability database discloses a method of blocking a wireless AP access by performing a vulnerability check of a user terminal attempting to access the wireless AP and storing the vulnerability in the vulnerability database.
또 다른 일측에 따르면 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는 단계를 더 포함하는 무선 AP 접속 차단 방법도 가능하다.According to another aspect, a method of blocking access to a wireless AP, which further comprises the step of reporting a vulnerability to the user terminal attempting to access the wireless AP, is also possible.
다른 일측에 따르면 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하는 단계; 및 상기 취약점 점수가 미리 지정되는 값 이하인 경우에만 상기 무선 AP로의 접속을 허용하는 단계를 더 포함하는 무선 AP 접속 차단 방법도 개시된다.According to another side, calculating a vulnerability score of the user terminal attempting to access the wireless AP; And allowing a connection to the wireless AP only when the vulnerability score is equal to or less than a predetermined value.
다른 일측에 따르면 상기 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계는, 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하는 단계; 및 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는 단계를 포함하는, 무선 AP 접속 차단 방법일 수 있다.According to another side, the step of storing the wireless AP management list in the wireless AP database may include receiving IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs; And verifying the security of the one or more wireless APs and storing information related to the wireless APs that are successfully verified in the wireless AP management list.
또 다른 일측에 따르면 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계는, 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 및 수집된 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는 단계를 포함하는, 무선 AP 접속 차단 방법도 제시된다.According to another aspect, the step of storing the abnormal user terminal list in the blacklist database includes: collecting the MAC address of the abnormal user terminal from a malware information provider; Collecting the MAC address of the abnormal user terminal using a malware search tool; And storing the collected MAC address of the abnormal user terminal in the abnormal user terminal list.
일측에 따르면 상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고, 상기 블랙리스트 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는 단계를 포함하는, 무선 AP 접속 차단 방법이 가능하다.According to one side, the user terminal verification request includes the MAC address of the user terminal, and determining whether to allow the user terminal to access the wireless AP using the black list database includes: A wireless AP access blocking method is possible, including the step of checking whether it is included in the abnormal user terminal list.
다른 일측에 따르면 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는 단계를 더 포함하는, 무선 AP 접속 차단 방법도 개시된다.According to another side, when the MAC address of the user terminal is included in the abnormal user terminal list, further comprising the step of transmitting a connection blocking signal for the user terminal to the wireless AP, a wireless AP access blocking method is also disclosed. .
일실시예에 따르면 상기 무선 AP 접속 차단 방법을 수행하는 프로그램을 수록한 컴퓨터 판독 가능 기록 매체도 제시된다.According to one embodiment, a computer-readable recording medium including a program for performing the wireless AP access blocking method is also provided.
도 1은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다.
도 2는 일실시예에 따른 무선 AP 접속 차단 장치의 동작을 설명하기 위한 도면이다.
도 3은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 4는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 5는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 6은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 7은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다.
도 8은 일실시예에 따른 무선 AP 접속 차단 장치 중 SIEM 서버의 구체적인 구성을 도시한 도면이다.
도 9는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.1 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment.
2 is a view for explaining the operation of the wireless AP access blocking device according to an embodiment.
3 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
4 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
5 is a flowchart for explaining a method of blocking wireless AP access according to an embodiment.
6 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
7 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment.
8 is a diagram illustrating a specific configuration of a SIEM server among wireless AP access blocking devices according to an embodiment.
9 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 권리범위는 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of rights is not limited or limited by these embodiments. The same reference numerals in each drawing denote the same members.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terminology used in the description below has been selected to be general and universal in the related technical field, but may have other terms depending on technology development and/or changes, conventions, and technical preferences. Therefore, the terms used in the following description should not be understood as limiting the technical idea, but should be understood as exemplary terms for describing the embodiments.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.Also, in certain cases, some terms are arbitrarily selected by the applicant, and in this case, the detailed meaning will be described in the corresponding description. Therefore, the terms used in the description below should be understood based on the meaning of the term and the entire contents of the specification, not just the name of the term.
도 1은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다. 일실시예에서, 무선 AP 접속 차단 장치(100)는 보안 정보 및 이벤트 관리(Security Information and Event Management; SIEM) 서버를 이용하여 신원을 알 수 없는 사용자의 단말 또는 모바일 기기 등이 관리 대상인 무선 AP에 접속하지 못하도록 차단하는 프로세스를 처리하는 장치일 수 있다.1 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment. In one embodiment, the wireless AP
일실시예에서, 무선 AP 접속 차단 장치(100)는 SIEM 서버(110), 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)를 포함할 수 있다. 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)는 SIEM 서버(110)와 별개로 구성되는 서버 및/또는 기록 매체를 통해 구현될 수 있으나, SIEM 서버(110)와 전부 또는 일부의 구성요소를 공유하는 형태로 구현될 수도 있다.In one embodiment, the wireless AP
일실시예에서, 무선 AP 데이터베이스(120)에는 SIEM 서버(110)에서 관리 대상 무선 AP를 식별할 수 있도록 관리 대상 무선 AP에 연관된 정보가 저장되는 무선 AP 관리 리스트가 저장될 수 있다. 예를 들어, 무선 AP 관리 리스트는 무선 AP의 IP 주소 및 MAC 주소 등의 정보를 포함할 수 있다.In one embodiment, the
일실시예에서, 무선 AP 관리 리스트는 무선 AP의 보안성 등급에 관한 정보를 추가적으로 포함할 수 있다. 이 경우, 사용자 단말의 무선 AP에 대한 접속이 허용되는 경우에 해당 사용자 단말에게 무선 AP의 보안성 등급에 관한 정보를 전달할 수 있다.In one embodiment, the wireless AP management list may additionally include information regarding the security level of the wireless AP. In this case, when access to the wireless AP of the user terminal is allowed, information regarding the security level of the wireless AP may be transmitted to the user terminal.
이 때, 무선 AP의 보안성 등급은 무선 AP 데이터베이스(120) 구축 과정에서 SIEM 서버(110)에 의해 결정될 수 있고, 또는 보안성 등급을 부여하기 위한 외부 디바이스가 추가적으로 이용될 수 있다. 무선 AP 데이터베이스(120) 구축 또는 업데이트에 관하여는 아래에서 더 자세하게 설명된다.At this time, the security level of the wireless AP may be determined by the
일실시예에서, 블랙리스트 데이터베이스(130)에는 SIEM 서버(110)에서 무선 AP 보호를 위하여 접속을 차단하기 위한 비정상 사용자 단말을 식별할 수 있도록 비정상 사용자 단말에 연관된 정보가 저장되는 비정상 사용자 단말 리스트가 저장될 수 있다. 비정상 사용자 단말은 무선 AP에 대한 해킹 등의 공격을 할 위험성이 높은 단말을 지칭한다. 일실시예에서, 비정상 사용자 단말 리스트는 비정상 사용자 단말의 IP 주소 등의 정보를 포함할 수 있다.In one embodiment, the
일실시예에서, 비정상 사용자 단말 리스트는 멀웨어(malware) 등을 통해 무선 AP를 해킹하거나 마비시킬 수 있는 위험성이 높은 사용자 단말에 대한 정보를 포함할 수 있다.In one embodiment, the abnormal user terminal list may include information on a high-risk user terminal capable of hacking or paralyzing a wireless AP through malware or the like.
일실시예에서, 비정상 사용자 단말 리스트는 악성코드 유포자, 피싱 사이트 및 기타 유해 사이트에 대한 최신 정보를 제공하는 멀웨어 정보 제공자로부터 비정상 사용자 단말에 대한 정보를 입수하여 구축 및 업데이트 될 수 있다. 제한적이지 않은 예로서, Malwaredomainlist 및 HpHosts 등과 같은 정보 제공 서비스로부터 비정상 사용자 단말의 IP 주소를 제공받는 방식이 이용될 수 있다.In one embodiment, the abnormal user terminal list may be constructed and updated by acquiring information about the abnormal user terminal from a malware information provider providing the latest information about the malicious code distributors, phishing sites, and other harmful sites. As a non-limiting example, a method of receiving an IP address of an abnormal user terminal from an information providing service such as Malwaredomainlist and HpHosts may be used.
또한, 비정상 사용자 단말 리스트는 SIEM 서버(110)에서 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집하여 구축 및 업데이트 될 수 있다. 제한적이지 않은 예로서, Yara 툴과 같은 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 IP 주소를 수집하는 방식이 이용될 수 있다.In addition, the abnormal user terminal list may be constructed and updated by collecting information about the abnormal user terminal using a malware search tool in the
한편, 알 수 없는 공격자의 IP 스푸핑(spoofing)에 의해, 업무상 이용되어야 하는 검증된 무선 AP가 비정상 사용자 단말 리스트에 등록되는 경우가 발생할 가능성도 배제할 수 없다. 이러한 방식의 공격에 대응하기 위하여, 특정 IP 또는 특정 IP 대역은 비정상 사용자 단말 리스트에 등록되지 않도록 설정할 수 있다. 예를 들어, 네트워크 내부에서 사용되는 AP 또는 단말기의 IP 대역이 비정상 사용자 단말 리스트에 등록되지 않도록 예외를 설정할 수 있다.On the other hand, by the IP spoofing of an unknown attacker, the possibility that a case where a verified wireless AP that should be used for work is registered in the abnormal user terminal list cannot be excluded. In order to respond to this type of attack, a specific IP or a specific IP band may be set not to be registered in the abnormal user terminal list. For example, an exception may be set so that the IP band of the AP or terminal used in the network is not registered in the abnormal user terminal list.
이상에서 설명된 방식으로 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)가 구축되면, SIEM 서버(110)는 사용자 단말의 접속 요청을 받은 무선 AP로부터 사용자 단말 확인 요청을 수신하고, 사용자 단말 확인 요청에 응답하여 블랙리스트 데이터베이스(130)를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정할 수 있다.When the
예를 들어, SIEM 서버(110)는 무선 AP로부터 접속 요청 중인 사용자 단말의 IP 주소를 수신하고, 이 사용자 단말의 IP 주소가 블랙리스트 데이터베이스(130)에 저장된 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인할 수 있다.For example, the
사용자 단말의 IP주소가 비정상 사용자 단말 리스트에 포함되어 있는 경우, SIEM 서버(110)는 무선 AP에게 사용자 단말에 대한 접속 차단 신호를 전송하여 무선 AP가 해당 사용자 단말의 접속 정보를 메모리에서 삭제하고 해당 사용자 단말의 접속을 차단하도록 할 수 있다.When the IP address of the user terminal is included in the list of abnormal user terminals, the
사용자 단말의 IP주소가 비정상 사용자 단말 리스트에 포함되어 있지 않은 경우, SIEM 서버(110)는 무선 AP에게 사용자 단말에 대한 접속 허용 신호를 전송하여 무선 AP가 해당 사용자 단말의 접속을 허용하도록 할 수 있다.If the IP address of the user terminal is not included in the list of abnormal user terminals, the
이러한 방식으로, SIEM 서버(110)는 네트워크 시스템에 관한 종래의 일반적인 SIEM 서버의 기능에 더하여, 무선 AP 데이터베이스(120)를 이용하여 관리 대상이 되는 무선 AP를 확인하고, 블랙리스트 데이터베이스(130)를 이용하여 관리 대상이 되는 무선 AP에 비정상 사용자 단말이 접속하지 못하도록 차단하는 기능을 수행할 수 있다.In this way, the
도 2는 일실시예에 따른 무선 AP 접속 차단 장치의 동작을 설명하기 위한 도면이다. 이하에서는 도 2를 참조하여 무선 AP 접속 차단에 관한 프로세스를 설명한다.2 is a view for explaining the operation of the wireless AP access blocking device according to an embodiment. Hereinafter, a process for blocking wireless AP access will be described with reference to FIG. 2.
일실시예에서, SIEM 서버(220)는 무선 AP(210)를 관리 대상으로 지정하여 보호하기 위하여 사전에 무선 AP(210)와 서로 연동하는 과정을 수행할 수 있다. 예를 들어, SIEM 서버(220)는 일차적으로 무선 AP(210)와의 정상적인 통신이 가능한지 확인한 후 무선 AP(210)로부터 무선 AP(210)의 IP 주소 및 MAC 주소를 수신하고, 무선 AP(210)의 보안성을 검증하여 검증에 성공한 경우 무선 AP(210)에 연관된 정보를 무선 AP 데이터베이스(230)의 무선 AP 관리 리스트에 저장할 수 있다.In one embodiment, the
무선 AP(210)의 보안성을 검증하기 위하여, SIEM 서버(220)는 무선 AP(210)의 펌웨어 버전이 최신 버전으로 유지되고 있는지를 확인하고, 무선 AP(210)의 DNS 설정이 외부 공격 등에 의해 위조 또는 변조되지 않았는지 여부를 확인할 수 있다. In order to verify the security of the
일실시예에서, SIEM 서버(220)는 보안성을 검증한 무선 AP(210)에 보안성 등급을 부여할 수 있다. 보안성 등급은 단순하게 승인 및 불승인으로 부여될 수도 있으나, 바람직하게는 보안성 정도에 따라 3개 이상의 등급으로 평가될 수 있다.In one embodiment, the
여기서 SIEM 서버(220)에 의해 무선 AP(210)의 보안성 검증 및 보안성 등급 부여가 수행되는 것으로 설명되었으나, 무선 AP(210)의 보안성 검증 및/또는 보안성 등급 부여를 위하여 외부 디바이스가 추가적으로 또는 대안적으로 이용될 수 있다.Here, it has been described that the security verification and security rating of the
일실시예에서, SIEM 서버(220)는 미확인 사용자 단말 중 위험성이 높은 비정상 사용자 단말을 식별하기 위하여 블랙리스트 데이터베이스(250)를 구축 및 업데이트 할 수 있다.In one embodiment, the
블랙리스트 데이터베이스(250)의 구축을 위하여, SIEM 서버(220)는 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집할 수 있다. 비정상 사용자 단말의 식별을 위한 정보는 비정상 사용자 단말의 IP 주소를 포함할 수 있다.For the construction of the
바람직한 실시예에서, SIEM 서버(220)는 주기적으로 블랙리스트 데이터베이스(250)를 업데이트하여 비정상 사용자 단말 리스트에 최신 정보가 유지되도록 할 수 있다.In a preferred embodiment, the
일실시예에서, SIEM 서버(220)는 멀웨어 정보 제공자(240)의 업데이트 주기와 동일한 주기 또는 멀웨어 정보 제공자(240)의 업데이트 주기보다 더 짧은 주기로 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하여 이를 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 반영할 수 있다.In one embodiment, the
또한, 멀웨어 정보 제공자(240) 및 멀웨어 탐색 도구를 모두 이용하여 비정상 사용자 단말 리스트를 구축 및 업데이트 하는 경우, 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집하는 주기는 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하는 주기보다 더 짧게 설정될 수 있다.In addition, when a list of abnormal user terminals is constructed and updated using both the
일실시예에서, 무선 AP 관리 리스트에 포함된 무선 AP(210)에 대한 임의의 사용자 단말(260, 270)의 접속 요청이 있는 경우 무선 AP(210)는 SIEM 서버(220)에 사용자 단말 확인 요청을 전송한다. 예를 들어, 사용자 단말 확인 요청 시 무선 AP(210)는 SIEM 서버(220)에게 사용자 단말의 IP 주소를 함께 전송할 수 있다.In one embodiment, when there is a request to access any
SIEM 서버(220)는 무선 AP(210)로부터 사용자 단말 확인 요청이 수신된 경우, 무선 AP 데이터베이스(230)의 무선 AP 관리 리스트를 참조하여 무선 AP(210)가 관리 대상에 포함된 AP인지를 확인할 수 있다. 무선 AP(210)가 SIEM 서버(220)의 관리 대상인 경우, 무선 AP(210)로부터 수신된 사용자 단말의 IP 주소가 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인할 수 있다.When the user terminal verification request is received from the
즉, SIEM 서버(220)는 블랙리스트 데이터베이스(250)를 참조하여 사용자 단말(260, 270)의 무선 AP(210)에 대한 접속 허용 여부를 결정할 수 있다. 사용자 단말의 IP주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 SIEM 서버(220)는 무선 AP(210)에게 접속 차단 신호를 전송하고, 사용자 단말의 IP주소가 상기 비정상 사용자 단말 리스트에 포함되어 있지 않은 경우 SIEM 서버(220)는 무선 AP(210)에게 접속 허용 신호를 전송할 수 있다.That is, the
무선 AP(210)는 SIEM 서버(220)로부터 수신된 접속 차단 신호 또는 접속 허용 신호에 따라 사용자 단말(260, 270)에 대한 접속을 차단 또는 허용할 수 있다. 예를 들어, 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함되지 않은 사용자 단말(260)에 대하여는 무선 AP(210)로의 접속을 허용하고, 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함된 사용자 단말(270)에 대하여는 무선 AP(210)로의 접속을 차단할 수 있다.The
도 3은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 3에는 SIEM 서버에서 무선 AP 접속 허용 여부를 결정하는 과정이 개략적으로 도시된다.3 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. Specifically, FIG. 3 schematically shows a process of determining whether to allow wireless AP access in the SIEM server.
단계(310)에서, 무선 AP 관리 리스트가 무선 AP 데이터베이스에 저장될 수 있다. 위에서 설명된 바와 같이, 무선 AP 관리 리스트는 SIEM 서버에서 관리 대상으로 지정하여 보호하기 위한 무선 AP와의 사전 연동 과정을 반영한 리스트로서 보안성 검증이 완료된 하나 이상의 무선 AP에 대한 정보를 포함할 수 있다.In
단계(320)에서, 비정상 사용자 단말 리스트가 블랙리스트 데이터베이스에 저장될 수 있다. 위에서 설명된 바와 같이, 비정상 사용자 단말 리스트는 무선 AP에 대한 해킹 등의 공격을 할 위험성이 높은 단말에 대한 정보를 포함할 수 있으며, 멀웨어 정보 제공자 및/또는 멀웨어 탐색 도구를 통해 구축 및 업데이트 될 수 있다.In
단계(330)에서, 블랙리스트 데이터베이스를 이용하여 사용자 단말의 무선 AP로의 접속을 허용할 것인지 여부가 결정될 수 있다. 이를 위하여, 예를 들어 SIEM 서버는 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트에 사용자 단말의 IP 주소가 포함되어 있는지 여부를 확인할 수 있다. 확인 결과에 따라, SIEM 서버는 무선 AP에게 접속 허용 신호 또는 접속 차단 신호를 전송할 수 있다.In
도 4는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 4에는 SIEM 서버에서 무선 AP 관리 리스트와 무선 AP가 연동되는 과정이 개략적으로 도시된다.4 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. Specifically, FIG. 4 schematically shows a process of interworking the wireless AP management list and the wireless AP in the SIEM server.
단계(410)에서, SIEM 서버는 무선 AP로부터 무선 AP의 IP 주소 및 MAC 주소를 수신할 수 있다. 일실시예에서, IP 주소 및 MAC 주소 이외에도 예를 들어 외부 기기에 의해 무선 AP에 대한 보안성 검증이 사전에 진행된 경우 보안성 등급이 이 단계에서 함께 수신될 수 있다.In
단계(420)에서, SIEM 서버는 무선 AP의 IP 주소를 통해 무선 AP와의 통신이 가능한지 여부를 확인할 수 있다. 예를 들어, SIEM 서버는 무선 AP의 공인 IP 주소를 이용한 유선 및/또는 무선 통신으로 해당 AP와의 정상적인 통신이 가능한지를 확인할 수 있다.In
단계(430)에서, SIEM 서버는 무선 AP의 보안성을 검증할 수 있다. 예를 들어, SIEM 서버는 무선 AP의 펌웨어 버전 및 무선 AP의 DNS 설정을 확인하는 등 무선 AP가 외부 공격의 영향을 받은 이력이 있는지를 검증할 수 있다.In
단계(440)에서, SIEM 서버는 보안성 검증에 성공한 무선 AP에 연관된 정보를 무선 AP 데이터베이스에 저장할 수 있다. 예를 들어, SIEM 서버는 검증된 무선 AP를 무선 AP 데이터베이스의 무선 AP 관리 리스트에 저장하고, 이후 임의의 사용자 단말의 해당 무선 AP로의 접속 요청이 있는 경우 접속 허용 여부를 SIEM 서버에서 결정하는 방식으로 무선 AP를 보호할 수 있다.In
도 5 및 도 6은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 5 및 도 6에는 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트가 구축 또는 업데이트 되는 과정이 개략적으로 도시된다.5 and 6 are flowcharts for explaining a method of blocking wireless AP access according to an embodiment. Specifically, FIGS. 5 and 6 schematically illustrate a process in which an abnormal user terminal list of a blacklist database is built or updated.
도 5를 참조하여, 멀웨어 정보 제공자를 통해 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트를 구축 또는 업데이트 하는 실시예가 설명된다.5, an embodiment in which an abnormal user terminal list in a blacklist database is built or updated through a malware information provider will be described.
단계(510)에서, SIEM 서버는 멀웨어 정보 제공자로부터 비정상 사용자 단말의 IP 주소를 수신할 수 있다. 일실시예에서, 멀웨어 정보 제공자는 악성코드 유포자, 피싱 사이트 및 기타 유해 사이트에 대한 최신 정보를 주기적으로 업데이트하여 제공하는 기관 또는 업체일 수 있다.In
단계(520)에서, SIEM 서버는 수신된 비정상 사용자 단말의 IP 주소를 비정상 사용자 단말 리스트에 저장할 수 있다. 바람직한 실시예에서, 비정상 사용자 단말의 IP 주소의 수신 및 저장은 주기적으로 반복 수행되어 최신 정보가 비정상 사용자 단말 리스트에 반영되도록 할 수 있다.In
도 6을 참조하여, 멀웨어 탐색 도구를 통해 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트를 구축 또는 업데이트 하는 실시예가 설명된다.Referring to FIG. 6, an embodiment of constructing or updating an abnormal user terminal list of a blacklist database through a malware search tool will be described.
단계(610)에서, SIEM 서버는 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 IP 주소를 수집할 수 있다. 일실시예에서, 멀웨어 탐색 도구는 Yara 툴 등을 이용하여 문자열이나 바이너리 패턴을 기반으로 악성 코드 등을 탐지할 수 있도록 구현될 수 있다.In
단계(620)에서, SIEM 서버는 수집된 비정상 사용자 단말의 IP 주소를 비정상 사용자 단말 리스트에 저장할 수 있다. 바람직한 실시예에서, 비정상 사용자 단말의 IP 주소의 수집 및 저장은 주기적으로 반복 수행되어 최신 정보가 비정상 사용자 단말 리스트에 반영되도록 할 수 있다.In
도 5 및 도 6에 도시된 실시예는 서로 배타적인 것이 아니며, 두 가지 방식이 병행하여 사용되거나 선택적으로 사용되도록 구성될 수 있다. 특히, 두 가지 방식이 병행하여 사용되는 경우, 각 방식에 따른 업데이트 주기는 서로 상이하게 설정될 수 있다.5 and 6 are not mutually exclusive, and the two methods may be used in parallel or may be configured to be selectively used. Particularly, when two methods are used in parallel, the update period according to each method may be set differently from each other.
도 7은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다. 일실시예에 따른 무선 AP 접속 차단 장치(700)는 SIEM 서버(710), 무선 AP 데이터베이스(720), 블랙리스트 데이터베이스(730) 및 취약점 데이터베이스(740)로 구성될 수 있다.7 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment. The wireless AP
SIEM 서버(710)는, 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정할 수 있다.The
쉽게 말해, 무선 AP로 접속을 수행하려는 사용자 단말에 대하여 블랙리스트 데이터베이스(730)와 취약점 데이터베이스(740)를 조회하여 블랙리스트에 해당하지는지 및 취약점을 어느 정도 갖고 있는지 등을 검토함으로써 상기 무선 AP로의 접속을 허용하거나 차단하도록 할 수 있다.In other words, by searching the
무선 AP 데이터베이스(720)는 무선 AP 관리 리스트를 저장할 수 있다. 상기 SIEM 서버(710)는 복수 개의 무선 AP를 관리할 수 있고, 이에 대응하는 복수 개의 무선 AP 관리 리스트를 저장할 수 있다.The
구체적으로 상기 무선 AP 데이터베이스(720)는 관리하는 무선 AP의 IP 주소와 MAC 주소를 저장할 수 있다. SIEM 서버(710)는 상기 무선 AP 데이터베이스(720)에 등록되는 무선 AP를 관리할 수 있으며, 상기 무선 AP로 접속을 시도하는 사용자 단말에 대한 블랙리스트 여부 판단 및 취약점 판단을 수행할 수 있다.Specifically, the
블랙리스트 데이터베이스(730)는 비정상 사용자 단말 리스트를 저장할 수 있다. 비정상 사용자 단말이란, 무선 AP에 대한 디도스 공격, 해킹 등의 공격을 할 위험성이 높은 단말을 지칭한다. 예를 들어 무선 AP에 대해 해킹을 시도했던 사용자 단말 또는 해당 단말이 무선 AP에 접속하는 경우에 과도한 트래픽을 발생시켰던 단말 등을 비정상 사용자 단말로 분류할 수 있다.The
상기 비정상 단말로 분류되는 단말의 IP 주소 또는 MAC 주소를 상기 블랙리스트 데이터베이스(730)에 저장할 수 있다. 상기 비정상 단말에 대한 정보는 외부 서버로부터 수신하여 저장할 수 있으며, 상기 SIEM 서버가 직접 비정상 단말을 판단하고 해당 단말의 연관 정보를 저장할 수도 있다.The IP address or MAC address of the terminal classified as the abnormal terminal may be stored in the
취약점 데이터베이스(740)는 사용자 단말에 대한 취약점 정보를 저장할 수 있다. 구체적으로, 외부 서버로부터 수신하는 취약점에 관련된 정보를 저장할 수 있다. 또한 SIEM 서버(710)가 무선 AP에 접속하는 사용자 단말에 대하여 취약점 분석을 수행하고, 발견된 취약점 정보를 저장할 수 있다.The
그리고 상기 취약점 데이터베이스(740)는 상세 취약점 사항에 더하여 판단된 취약점 점수나 등급을 저장할 수도 있다. 무선 AP들과 단말들의 취약점에 대한 탐지 결과는 로그 형태로 저장되어 처리된다.In addition, the
결과적으로 상기 SIEM 서버(710)는 무선 AP 데이터베이스(720)에 저장되는 무선 AP 들을 관리할 수 있으며, 상기 무선 AP에 접속을 수행하는 사용자 단말들에 대하여 블랙리스트 데이터베이스(730) 및 취약점 데이터베이스(740)를 통한 검증 과정을 수행하여 상기 무선 AP로의 접속을 허용할지 여부를 결정할 수 있다. SIEM 서버의 구성 및 구체적인 검증 프로세스 등에 관하여는 도 8 및 도 9에서 상세히 설명하도록 한다.As a result, the
도 8은 일실시예에 따른 무선 AP 접속 차단 장치 중 SIEM 서버의 구체적인 구성을 도시한 도면이다. 일실시예에 따른 SIEM 서버(810)는 무선 AP 관리부(811), 취약점 탐지부(813) 및 취약점 처리부(815)로 구성될 수 있다.8 is a diagram illustrating a specific configuration of a SIEM server among wireless AP access blocking devices according to an embodiment. The
상기 SIEM 서버(810)는 무선 AP(850)를 관리할 수 있다. 도 8에서는 예시적으로 하나의 무선 AP(850)만을 예시하였으나, 이에 한정되는 것은 아니며, 복수의 무선 AP에 연결되어 복수의 무선 AP를 관리할 수도 있다.The
상기 무선 AP(850)에는 제1 사용자 단말(860)과 제2 사용자 단말(870)이 접속을 시도할 수 있다. 무선 AP(850)의 경우와 마찬가지로 복수의 단말이 접속을 수행할 수 있으나, 예시적으로 2 대의 단말을 도시하였을 뿐 이에 한정되는 것은 아니다. 즉, 다수의 단말이 접속을 시도하는 경우도 가능하다.A
이하에서는 각 구성에 대하여 구체적으로 설명한다. 무선 AP 관리부(811)는, 각 단말에 취약점 사항 통보할 수 있고, 측정되는 취약점 점수에 따라 사용자 단말에 대한 접속의 허용 여부를 결정할 수 있다.Hereinafter, each configuration will be described in detail. The wireless
취약점 탐지부(813)는 관리하는 무선 AP에 연결을 시도하는 각 사용자 단말들(860, 870)에 대하여 취약점 탐지를 수행할 수 있다. 취약점 탐지에 사용하는 정보들은 취약점 데이터베이스에서 주기적으로 가져올 수 있으며, 외부 서버에 존재하는 별도의 취약점 데이터를 가져올 수도 있다.The
상기 사용자 단말(860, 870)에 대해 탐지된 취약점 결과는 단말 취약점 데이터베이스에 저장될 수 있다. 또한 무선 AP 관리부(811)를 통하여 취약점 탐지 결과를 각 사용자 단말(860, 870)에 전달할 수 있다.The vulnerability results detected for the
무선 AP(850)에 연결을 시도하는 제1 사용자 단말(860)과 제2 사용자 단말(870)의 취약점 정보에 대한 결과는 AP 접속 차단 장치의 취약점 데이터베이스에 저장되고, SIEM 서버(810)의 무선 AP 관리부(811)에서 차단/허용 여부를 판단하게 된다. 판단된 결과는 상기 무선 AP 관리부(811)를 통하여 무선 AP에 통보되고, 상기 제1 및 제2 사용자 단말(860, 870)에 대한 관리를 진행하게 된다.The results of the vulnerability information of the
무선 AP 관리부(811)는 관리하는 무선 AP(850)와 연동되며, 상기 무선 AP(850)에 대한 제어를 수행한다. 상기 무선 AP(850)를 이용하는 제1 사용자 단말(860)과 제2 사용자 단말(870)은 무선 AP를 통해 무선 AP 관리부(811)에 의해 관리될 수 있다.The
예시적으로 그러나 한정되지 않게 상기 제1 사용자 단말(860)은 상기 무선 AP(850)로의 접속이 허용될 수 있고, 상기 제2 사용자 단말(870)은 상기 무선 AP(850)로의 접속이 차단될 수 있다.By way of example, but not limitation, the
상기 무선 AP(850)로의 접속 허용 여부는 무선 AP 관리부(811)에 의해 아래에서 설명할 취약점 최종 점수 및 고위험 개수에 따라 결정될 수 있다.Whether to allow access to the
상기 제1 및 제2 사용자 단말(860, 870)이 상기 무선 AP(850)로 접속을 시도하는 경우에, 취약점 탐지부(813)는 각 사용자 단말에 대한 취약점 탐지를 수행한다. 구체적으로 취약점 탐지부(813)는 접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대하여 알려진 취약점들과 일치하는 항목들이 있는지 검사한다.When the first and
탐지된 결과 알려진 취약점들과 일치하는지 또는 불일치하는지 등에 관한 정보가 취약점 데이터베이스에 저장된다.As a result of detection, information on whether it matches or does not match known vulnerabilities is stored in the vulnerability database.
아래의 표 1에서는 상기 취약점 데이터베이스에 저장되는 사항을 예를 나타낸다.Table 1 below shows an example of the items stored in the vulnerability database.
사용자 단말은 무선 AP에 연결된 각 사용자 단말에 대한 식별자이다. 각 사용자 단말별로 다른 이름이 할당될 수 있다.취약점 내용은 탐지된 취약점에 대한 상세 내용을 의미한다. 상기 취약점 탐지부(813)는 각 상세 내용에 대한 위험도를 각 취약점별 점수화 하여 평가할 수 있다.The user terminal is an identifier for each user terminal connected to the wireless AP. A different name may be assigned to each user terminal. Vulnerability content means details of the detected vulnerability. The
최종 점수는 각 세부 취약점 점수를 통합한 점수 이다. 상기 취약점 점수가 기준 이상일 경우, 무선 AP 관리부(811)는 해당 단말의 무선 AP 접속을 차단한다. 또는 높은 점수를 받은 항목이 기준 개수 이상일 경우에도 무선 AP 접속을 차단한다.The final score is the combined score of each detailed vulnerability. If the vulnerability score is higher than the reference, the wireless
조치는 취약점에 연관되는 최종 점수를 기준으로 무선 AP 관리부(811)에서 수행하는 사항을 나타낸다. 취약점 판단 결과에 따라 위험하다고 판단될 경우, 차단과 해당 취약점 내용에 대한 통보를 수행한다. 취약점 판단 결과 보통인 경우에는 무선 AP로의 접속은 허용하되, 판단된 취약점 내용에 대한 통보를 수행한다. 마지막으로 안전한 경우에는 별다른 통보 조치 없이 무선 AP로의 접속을 허용한다.The action indicates the action performed by the wireless
취약점 탐지부(813)는 취약점 처리부(815)와 연동될 수 있다. 상기 취약점 처리부(815)는 외부 공인 취약점 제공 기관의 데이터베이스와 연동하여 최신의 취약점 정보를 수집하고, 수집된 정보를 취약점 탐지부(813)에 제공할 수 있다.The
예시적으로 그러나 한정되지 않게 취약점 정보는 정보 보안 취약점 표준 코드(Common Vulnerabilities and Exposures, CVE)를 사용할 수 있다. 취약점 처리부(815)는 주기적으로 CVE를 가져와 적용하고, 취약점 탐지부(813)와 연동하여, 사용자 단말에 대한 취약점 탐지를 수행한다.Exemplarily, but not limited to, vulnerability information may use Common Vulnerabilities and Exposures (CVE). The
취약점에 대한 점수는 공동 취약점 점수 시스템(Common Vulnerability Scoring System, CVSS)을 이용할 수 있다. CVSS는 각 CVE에 대해 취약점에 대한 점수를 매기는 시스템으로서, 0에서 10점까지의 점수를 각 위험도별로 점수를 정할 수 있다. CVE의 각 항목은 미리 지정되는 CVSS 점수를 가진다.The score for the vulnerability can use the Common Vulnerability Scoring System (CVSS). CVSS is a system for scoring vulnerabilities for each CVE, and can score points from 0 to 10 for each risk. Each item in the CVE has a predefined CVSS score.
상기 취약점 처리부(815)에서는 각 개별 취약점 점수를 확인하여 하여 합산하고, 고위험도인 8점 이상인 항목의 개수를 파악한다. 상기 합산 점수와 고위험도 항목의 개수 결과는 취약점 데이터베이스에 기록되며 이를 기준으로 무선 AP 관리부(811)에서는 점수합계가 특정 점수 이상, 고위험 항목수가 특정 개수 이상인 경우에 접속을 차단하게 한다.The
아래의 표 2에서는 예시적으로 사용자 단말의 무선 AP 접속 허용 기준에 대한 상세 사항을 표시한다. 이는 예시일뿐 이에 한정되는 것은 아니며, 차단 및 허용에 관한 점수는 통상의 기술자에 의해 변경이 가능하다.Table 2 below shows the details of the wireless AP access permission criteria of the user terminal by way of example. This is only an example, and is not limited thereto, and the scores for blocking and allowing can be changed by a person skilled in the art.
예를 들어 최종 점수가 20점 이상인 경우에는 위험 등급으로 판단할 수 있고, 10점 이상 20점 미만인 경우에는 보통으로, 10점 미만인 경우에는 안전 등급으로 판단할 수 있다.이와 유사하게 8점 이상의 고위험 취약점의 개수가 2개 이상인 경우에는 위험 등급으로, 1개인 경우에는 보통으로, 없는 경우에는 안전 등급으로 판단할 수 있다.For example, if the final score is 20 or more, it can be judged as a risk level, if it is 10 or more and less than 20, it can be judged as normal, and if it is less than 10, it can be judged as a safety level. If the number of vulnerabilities is two or more, it can be judged as a risk level, if one is normal, and if it is not, it can be judged as a safety level.
상기 최종 점수 기준과 고위험 개수 기준을 복합적으로 활용하여 취약점 등급을 판단할 수 있고, 판단되는 등급에 따라 무선 AP로의 접속 허용 여부 또는 취약점 통보 여부를 결정할 수 있다.Vulnerability ratings can be determined by using the final score criteria and high-risk number criteria in combination, and it is possible to determine whether to allow access to the wireless AP or notify the vulnerability according to the determined rating.
도 9는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 일실시예에 따른 무선 AP 접속 차단 방법은 취약점 정보 수집 단계(910), 사용자 단말의 취약점 탐지 단계(920), 취약점 점수 계산 단계(930), 기준 점수 이하인지 판단하는 단계(940), 기준 점수 이상인지 판단하는 단계(960)로 구성될 수 있다.9 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. The wireless AP access blocking method according to an embodiment includes a vulnerability
취약점 정보 수집 단계(910)는 취약점 처리부에 의해 취약점 정보를 수집하는 단계이다. 예를 들어 CVE 등 외부의 서버로부터 취약점에 관한 정보를 수집할 수 있다. 또는 사용자 단말의 취약점 탐지를 통한 취약점 정보를 수집할 수 있다.The vulnerability
사용자 단말의 취약점 탐지 단계(920)는 SIEM 서버가 관리하는 무선 AP로 접속을 시도하는 사용자 단말에 대하여 상기 사용자 단말의 취약점을 탐지하는 단계이다. 구체적으로 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대하여 상세 취약점을 파악하는 단계이다.The
취약점 점수 계산 단계(930)는 상기 사용자 단말의 취약점 탐지 단계(920)에서 탐지된 취약점들의 점수를 계산하는 단계이다. 예시적으로 그러나 한정되지 않게 CVE의 취약점에 대한 CVSS 점수를 이용하여 모두 합산하는 방식으로 취약점 점수를 계산할 수 있다.The vulnerability
기준 점수(X점) 이하인지 판단하는 단계(940)는 계산되는 상기 취약점 점수가 제1 기준 점수 X점 이하인지 여부를 판단하는 단계이다. X는 예시적으로 10으로 설정될 수 있으며, 이는 예시적일뿐 통상의 기술자가 용이하게 변경 가능한 범위로 설정할 수 있다. 즉, 취약점 점수 대역에 따라 조정하여 기준 점수를 위 실시예와 다르게 설정하는 방법도 가능하다.The
기준 점수(Y점) 이상인지 판단하는 단계(960)는 상기 기준 점수(X점) 이하인지 판단하는 단계(940)와 유사하게, 계산되는 상기 취약점 점수가 제2 기준 점수 Y점 이상인지 여부를 판단하는 단계이다. Y는 예시적으로 20으로 설정될 수 있으며, 구체적인 수치는 다르게 설정하는 방법도 가능하다.The
취약점 점수가 10점 이하인지 판단하여, 10점 이하인 경우에는 안전한 것으로 판단하고, 단계 950에 따라 무선 AP로의 접속을 허용하고 별도의 통지를 수행하지 않을 수 있다.It is determined that the vulnerability score is 10 points or less, and if it is 10 points or less, it is determined to be safe, and according to step 950, access to the wireless AP is allowed and a separate notification may not be performed.
반면에 10점 이하가 아닌 경우 즉, 10점을 초과하는 경우에는 다시 20점 이상인지 여부에 따라 판단한다. 20점 이상인 경우에는 위험 등급으로 판단하고 단계 970에 따라 무선 AP로의 접속을 차단하면서 취약점에 대한 내용을 접속 시도한 사용자 단말로 통보할 수 있다.On the other hand, if it is not 10 points or less, that is, if it exceeds 10 points, it is determined according to whether it is 20 points or more. If the score is 20 points or more, it is determined as a risk level and the access to the wireless AP is blocked according to
마지막으로 10점 이하는 아니지만 20점 이상도 아닌 경우에는 보통 등급으로 판단하여 단계 980에 따라 접속은 허용하되, 취약점 사항에 대해서 통보를 수행할 수 있다.Finally, if it is not more than 10 points, but not more than 20 points, it is judged as a normal level, and access is allowed according to
일실시예에 따른 무선 AP 접속 차단 장치 및 방법에 따르면, 접속이 차단되고 취약점 정보에 대한 통보를 받은 사용자 단말에서는 통보 받은 상기 취약점 사항을 수정한 이후에 재접속을 시도할 수 있다. 즉, 취약점 사항 수정 후에 재접속을 시도하면, 취약점 탐지 과정을 다시 수행하여 취약점사항이 통과 되면 정상적으로 접속을 허용할 수도 있다.According to an apparatus and method for blocking access to a wireless AP according to an embodiment, a user terminal that is blocked from accessing and notified of vulnerability information may attempt to reconnect after correcting the above-noted vulnerability. That is, if a reconnection is attempted after the vulnerability is corrected, the vulnerability detection process is performed again, and if the vulnerability is passed, normal access may be allowed.
다른 일실시예에 따르면 취약점 데이터베이스에는 상세 취약점 정보에 더하여, 취약점 수정 방법에 대한 상세한 설명 데이터를 함께 저장할 수 있다. 저장되는 취약점 수정 방법 데이터 중에서, 사용자 단말이 갖고 있는 취약점 정보를 송신하는 경우에 대응하는 수정 방법 데이터를 함께 통지하는 방법도 가능하다. 결과적으로 사용자 단말의 사용자가 단말의 문제를 확인 후에 조치를 취하여 접속을 원활하게 할 수 있도록 한다.According to another embodiment, in addition to detailed vulnerability information, the vulnerability database may store detailed description data of the vulnerability correction method. Among the stored vulnerability correction method data, a method of notifying the correction method data corresponding to a case in which the user terminal transmits vulnerability information is also possible. As a result, the user of the user terminal can check the problem of the terminal and then take action to facilitate the connection.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and/or combinations of hardware components and software components. For example, the devices and components described in the embodiments include, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors (micro signal processors), microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose computers or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. The processing device may run an operating system (OS) and one or more software applications running on the operating system. In addition, the processing device may access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of understanding, a processing device may be described as one being used, but a person having ordinary skill in the art, the processing device may include a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include. For example, the processing device may include a plurality of processors or a processor and a controller. In addition, other processing configurations, such as parallel processors, are possible.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instruction, or a combination of one or more of these, and configure the processing device to operate as desired, or process independently or collectively You can command the device. Software and/or data may be interpreted by a processing device, or to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. , Or may be permanently or temporarily embodied in the transmitted signal wave. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, or the like alone or in combination. The program instructions recorded in the medium may be specially designed and configured for the embodiments or may be known and usable by those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs, DVDs, and magnetic media such as floptical disks. -Hardware devices specifically configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language code that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described by the limited drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques are performed in a different order than the described method, and/or the components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or other components Alternatively, even if replaced or substituted by equivalents, appropriate results can be achieved.
그러므로, 다른 구현들, 다른 실시예들 및 청구범위와 균등한 것들도 후술하는 청구범위 내에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (17)
사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스;
무선 AP에 접속하여 비정상적인 트래픽을 발생시켰던 단말을 포함한 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및
상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM (Security Information and Event Management) 서버
를 포함하고,
상기 SIEM 서버는
접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대한 취약점을 가지는지 여부에 대한 검사로 결정된 상기 사용자 단말의 취약점 정보를 이용하여, 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 무선 AP 접속 차단 장치.A wireless AP database storing a wireless AP management list;
A vulnerability database that stores vulnerability information for a user terminal;
A blacklist database storing a list of abnormal user terminals including terminals that have generated abnormal traffic by accessing the wireless AP; And
In response to the user terminal confirmation request received from the wireless AP included in the wireless AP management list, SIEM (Security Information and Security) determines whether the user terminal is allowed to access the wireless AP using the blacklist database and the vulnerability database. Event Management) server
Including,
The SIEM server
Using the vulnerability information of the user terminal determined by checking whether there is a vulnerability to the operating system of the ports opened to the user terminal attempting to access, installed software, and the software state using each port, the user terminal of the user terminal A wireless AP access blocking device for determining whether to allow access to the wireless AP.
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server performs vulnerability check of the user terminal attempting to access the wireless AP and stores it in the vulnerability database,
Wireless AP access blocking device.
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는,
무선 AP 접속 차단 장치.According to claim 2,
The SIEM server notifies the vulnerability of the user terminal attempting to access the wireless AP,
Wireless AP access blocking device.
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하고, 상기 취약점 점수가 미리 지정되는 제1 값 이하인 경우 상기 무선 AP로의 접속을 허용하고, 상기 취약점 점수가 상기 제1 값 초과 미리 지정되는 제2 값 미만인 경우 상기 무선 AP로의 접속을 허용하면서 상기 사용자 단말로 취약점 사항을 통보하며, 상기 취약점 점수가 상기 제2 값 이상인 경우 상기 무선 AP로의 접속을 차단하고 상기 사용자 단말로 취약점 사항을 통보하는,
무선 AP 접속 차단 장치.According to claim 3,
The SIEM server calculates a vulnerability score of the user terminal attempting to access the wireless AP, and allows the access to the wireless AP when the vulnerability score is equal to or less than a predetermined first value, and the vulnerability score is the first If the value exceeds the predetermined second value, the vulnerability is notified to the user terminal while allowing access to the wireless AP. If the vulnerability score is greater than or equal to the second value, access to the wireless AP is blocked and the user terminal is accessed. To report vulnerabilities,
Wireless AP access blocking device.
상기 SIEM 서버는 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하고, 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server receives IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs, verifies the security of the one or more wireless APs, and transmits information related to the verified wireless APs to the wireless AP management list. Stored,
Wireless AP access blocking device.
상기 SIEM 서버는 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하고, 수집된 상기 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server collects the MAC address of the abnormal user terminal from a malware information provider or uses the malware search tool to collect the MAC address of the abnormal user terminal, and collects the MAC address of the abnormal user terminal from the abnormal user terminal Stored in a list,
Wireless AP access blocking device.
상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고,
상기 SIEM 서버는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는,
무선 AP 접속 차단 장치.According to claim 1,
The user terminal confirmation request includes the MAC address of the user terminal,
The SIEM server checks whether the MAC address of the user terminal is included in the abnormal user terminal list,
Wireless AP access blocking device.
상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우, 상기 SIEM 서버는 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는,
무선 AP 접속 차단 장치.The method of claim 7,
When the MAC address of the user terminal is included in the abnormal user terminal list, the SIEM server transmits a connection blocking signal for the user terminal to the wireless AP,
Wireless AP access blocking device.
무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계;
무선 AP에 접속하여 비정상적인 트래픽을 발생시켰던 단말을 포함한 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계;
사용자 단말에 대한 취약점 정보를 취약점 데이터베이스에 저장하는 단계; 및
상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계
를 포함하고,
상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는
접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대한 취약점을 가지는지 여부에 대한 검사로 결정된 상기 사용자 단말의 취약점 정보를 이용하여, 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 무선 AP 접속 차단 방법.In the wireless AP access blocking method for blocking access to a wireless AP using a SIEM server,
Storing a wireless AP management list in a wireless AP database;
Storing a list of abnormal user terminals including terminals that generated abnormal traffic by accessing the wireless AP in a blacklist database;
Storing vulnerability information for the user terminal in a vulnerability database; And
In response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list, determining whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database.
Including,
The step of determining whether the user terminal is allowed to access the wireless AP is
Using the vulnerability information of the user terminal determined by checking whether there is a vulnerability to the operating system of the ports opened to the user terminal attempting to access, installed software, and the software state using each port, the user terminal of the user terminal A wireless AP access blocking method for determining whether to allow access to the wireless AP.
상기 취약점 정보를 취약점 데이터베이스에 저장하는 단계는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the vulnerability information in the vulnerability database is to perform a vulnerability check of a user terminal attempting to access the wireless AP and store the vulnerability information in the vulnerability database.
상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는 단계
를 더 포함하는 무선 AP 접속 차단 방법.The method of claim 10,
Step of notifying the user terminal attempting to access the wireless AP vulnerability information
Wireless AP access blocking method further comprising a.
상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하는 단계; 및
상기 취약점 점수가 미리 지정되는 제1 값 이하인 경우 상기 무선 AP로의 접속을 허용하고, 상기 취약점 점수가 상기 제1 값 초과 미리 지정되는 제2 값 미만인 경우 상기 무선 AP로의 접속을 허용하면서 상기 사용자 단말로 취약점 사항을 통보하며, 상기 취약점 점수가 상기 제2 값 이상인 경우 상기 무선 AP로의 접속을 차단하고 상기 사용자 단말로 취약점 사항을 통보하는 단계
를 더 포함하는 무선 AP 접속 차단 방법.The method of claim 10,
Calculating a vulnerability score of the user terminal attempting to access the wireless AP; And
When the vulnerability score is less than or equal to a first predetermined value, access to the wireless AP is allowed, and when the vulnerability score is greater than the first value and less than a predetermined second value, access to the wireless AP is allowed, and to the user terminal. Notifying the vulnerability, and if the vulnerability score is greater than or equal to the second value, blocking access to the wireless AP and notifying the user terminal of the vulnerability
Wireless AP access blocking method further comprising a.
상기 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계는,
하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하는 단계; 및
상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는 단계
를 포함하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the wireless AP management list in the wireless AP database,
Receiving an IP address and a MAC address of the one or more wireless APs from one or more wireless APs; And
Verifying the security of the one or more wireless APs and storing information associated with the wireless APs that are successfully verified in the wireless AP management list
Including, wireless AP access blocking method.
비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계는,
멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하는 단계;
멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 및
수집된 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는 단계
를 포함하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the abnormal user terminal list in the black list database,
Collecting the MAC address of the abnormal user terminal from a malware information provider;
Collecting the MAC address of the abnormal user terminal using a malware search tool; And
Storing the collected MAC address of the abnormal user terminal in the abnormal user terminal list
Including, wireless AP access blocking method.
상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고,
상기 블랙리스트 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는 단계를 포함하는,
무선 AP 접속 차단 방법.The method of claim 9,
The user terminal confirmation request includes the MAC address of the user terminal,
Determining whether to allow the user terminal to access the wireless AP using the black list database includes checking whether the MAC address of the user terminal is included in the abnormal user terminal list,
How to block wireless AP access.
상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는 단계
를 더 포함하는, 무선 AP 접속 차단 방법.The method of claim 15,
When the MAC address of the user terminal is included in the list of abnormal user terminals, transmitting a connection blocking signal to the user terminal to the wireless AP.
Further comprising, a wireless AP access blocking method.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170143693 | 2017-10-31 | ||
KR20170143693 | 2017-10-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190049449A KR20190049449A (en) | 2019-05-09 |
KR102119317B1 true KR102119317B1 (en) | 2020-06-04 |
Family
ID=66546683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180117354A KR102119317B1 (en) | 2017-10-31 | 2018-10-02 | Apparatus and method for identifying a user terminal and blocking access to a wireless access point |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102119317B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113645669A (en) * | 2020-05-11 | 2021-11-12 | 杭州萤石软件有限公司 | Network access control method and system for wireless terminal |
WO2022109940A1 (en) * | 2020-11-26 | 2022-06-02 | 华为技术有限公司 | Security authentication method and apparatus applied to wi-fi |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101141101B1 (en) * | 2010-10-28 | 2012-05-02 | 주식회사 안철수연구소 | Access point access approval system and method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140122540A (en) * | 2013-04-10 | 2014-10-20 | 유넷시스템주식회사 | Wireless network system and user terminal connection processing method of wireless network system |
KR101528851B1 (en) * | 2013-11-19 | 2015-06-17 | (주)다보링크 | Apc(access point controller), control method thereof, and recording medium for recording program for executing the control method |
-
2018
- 2018-10-02 KR KR1020180117354A patent/KR102119317B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101141101B1 (en) * | 2010-10-28 | 2012-05-02 | 주식회사 안철수연구소 | Access point access approval system and method |
Also Published As
Publication number | Publication date |
---|---|
KR20190049449A (en) | 2019-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Banerjee et al. | A blockchain future for internet of things security: a position paper | |
US10305926B2 (en) | Application platform security enforcement in cross device and ownership structures | |
US7877795B2 (en) | Methods, systems, and computer program products for automatically configuring firewalls | |
EP2850803B1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
US11140150B2 (en) | System and method for secure online authentication | |
Falco et al. | Neuromesh: Iot security enabled by a blockchain powered botnet vaccine | |
JP5878501B2 (en) | Method and system for protecting a terminal in a dynamically configured network | |
US20060095961A1 (en) | Auto-triage of potentially vulnerable network machines | |
KR100835820B1 (en) | Total internet security system and method the same | |
KR101744631B1 (en) | Network security system and a method thereof | |
CN108337219B (en) | Method for preventing Internet of things from being invaded and storage medium | |
CN109995727B (en) | Active protection method, device, equipment and medium for penetration attack behavior | |
Singh et al. | Security attacks taxonomy on bring your own devices (BYOD) model | |
KR102119317B1 (en) | Apparatus and method for identifying a user terminal and blocking access to a wireless access point | |
Dua et al. | Iisr: A secure router for iot networks | |
Akhtar et al. | A systemic security and privacy review: Attacks and prevention mechanisms over IOT layers | |
KR101499470B1 (en) | Advanced Persistent Threat attack defense system and method using transfer detection of malignant code | |
CN112583841B (en) | Virtual machine safety protection method and system, electronic equipment and storage medium | |
KR101265474B1 (en) | Security service providing method for mobile virtualization service | |
CN107330331B (en) | Method, device and system for identifying system with vulnerability | |
US20160149933A1 (en) | Collaborative network security | |
CN115883170A (en) | Network flow data monitoring and analyzing method and device, electronic equipment and storage medium | |
EP3048830A1 (en) | Method, system and computer program product of wireless user device authentication in a wireless network | |
Zaimy et al. | A review of hacking techniques in IoT systems and future trends of hacking on IoT environment | |
KR101153115B1 (en) | Method, server and device for detecting hacking tools |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |