와이파이 환경에서 비인가 AP(rogue AP)의 접속은 스니핑(sniffing), 피싱(phishing), 파밍(pharming) 공격 등 다양한 사이버 공격에 노출될 수 있는 매우 위험한 행위이다. 따라서 비인가 AP를 신속하고 정확하게 탐지하여 와이파이 사용자가 해당 AP에 대한 접속을 회피할 수 있도록 적절하게 경고하는 것은 와이파이 보안의 핵심 요구사항이 되고 있다. 본 논문은 인가된 AP에 대한 설치 정보와 스위치의 DHCP 스누핑 정보를 활용하여 비인가 AP를 정확하고 신속하게 탐지하여, 무선 단말에 실시간으로 통보하는 새로운 비인가 AP 탐지 기법을 제시한다. 제안된 비인가 AP 탐지 기법은 별도의 장비가 불필요하고 간단하여 많은 수의 탐지 센서와 탐지 서버로 구성되는 무선 침입 방지 시스템(wireless intrusion prevention system)에 비해 저가격에 구현가능하다. 그리고 타이밍 정보, 위치 정보, 화이트 리스트 기반 등의 기존 비인가 AP 탐지 기법에 비해 탐지의 정확성이 높고, 신속하며, 개방 환경을 포함하여 다양한 환경에 유연하게 적용가능한 장점이 있다.
와이파이 환경에서 비인가 AP(rogue AP)의 접속은 스니핑(sniffing), 피싱(phishing), 파밍(pharming) 공격 등 다양한 사이버 공격에 노출될 수 있는 매우 위험한 행위이다. 따라서 비인가 AP를 신속하고 정확하게 탐지하여 와이파이 사용자가 해당 AP에 대한 접속을 회피할 수 있도록 적절하게 경고하는 것은 와이파이 보안의 핵심 요구사항이 되고 있다. 본 논문은 인가된 AP에 대한 설치 정보와 스위치의 DHCP 스누핑 정보를 활용하여 비인가 AP를 정확하고 신속하게 탐지하여, 무선 단말에 실시간으로 통보하는 새로운 비인가 AP 탐지 기법을 제시한다. 제안된 비인가 AP 탐지 기법은 별도의 장비가 불필요하고 간단하여 많은 수의 탐지 센서와 탐지 서버로 구성되는 무선 침입 방지 시스템(wireless intrusion prevention system)에 비해 저가격에 구현가능하다. 그리고 타이밍 정보, 위치 정보, 화이트 리스트 기반 등의 기존 비인가 AP 탐지 기법에 비해 탐지의 정확성이 높고, 신속하며, 개방 환경을 포함하여 다양한 환경에 유연하게 적용가능한 장점이 있다.
Accessing unauthorized rogue APs in WiFi environments is a very dangerous behavior which may lead WiFi users to be exposed to the various cyber attacks such as sniffing, phishing, and pharming attacks. Therefore, prompt and precise detection of rogue APs and properly alarming to the corresponding us...
Accessing unauthorized rogue APs in WiFi environments is a very dangerous behavior which may lead WiFi users to be exposed to the various cyber attacks such as sniffing, phishing, and pharming attacks. Therefore, prompt and precise detection of rogue APs and properly alarming to the corresponding users has become one of most essential requirements for the WiFi security. This paper proposes a new rogue AP detection method which is mainly using the installation information of authorized APs and the DHCP snooping information of the corresponding switches. The proposed method detects rogue APs promptly and precisely, and notify in realtime to the corresponding users. Since the proposed method is simple and does not require any special devices, it is very cost-effective comparing to the wireless intrusion prevention systems which are normally based on a number of detection sensors and servers. And it is highly precise and prompt in rogue AP detection and flexible in deployment comparing to the existing rogue AP detection methods based on the timing information, location information, and white list information.
Accessing unauthorized rogue APs in WiFi environments is a very dangerous behavior which may lead WiFi users to be exposed to the various cyber attacks such as sniffing, phishing, and pharming attacks. Therefore, prompt and precise detection of rogue APs and properly alarming to the corresponding users has become one of most essential requirements for the WiFi security. This paper proposes a new rogue AP detection method which is mainly using the installation information of authorized APs and the DHCP snooping information of the corresponding switches. The proposed method detects rogue APs promptly and precisely, and notify in realtime to the corresponding users. Since the proposed method is simple and does not require any special devices, it is very cost-effective comparing to the wireless intrusion prevention systems which are normally based on a number of detection sensors and servers. And it is highly precise and prompt in rogue AP detection and flexible in deployment comparing to the existing rogue AP detection methods based on the timing information, location information, and white list information.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문은 특정 기관의 인가 AP 설치 시에 수집되는 AP의 SSID와 MAC 주소, 스위치 ID와 포트 번호 등의 등록 정보와 인가 AP가 연결된 스위치에서 수집되는 스위치 ID, 포트 번호, 그리고 와이파이 단말에 할당되는 IP 주소 등의 DHCP 스누핑(snooping) 정보를 활용하는 간단하고, 정확하며, 신속한 비인가 AP 탐지 기법을 제시한다. 접속한 AP를 통해 IP 주소를 할당받은 와이파이 단말은 기관 네트워크의 특정 위치에 연결된 탐지 서버에 접속한 AP의 MAC 주소와 할당받은 IP 주소를 전송함으로써 비인가 AP 여부를 확인받을 수 있다.
오히려 스마트폰 기반의 비인가 AP 기술의 보급 등으로 인해 비인가 AP에 의한 와이파이 보안 위협은 더욱 증가하고 있는 현실이다. 본 논문은 현재 대부분의 LAN 스위치에서 제공하고 있는 DHCP 스푸핑 기능을 응용하여 간단한 프로토콜을 통해 쉽게 구현할 수 있는 비인가 AP 탐지와 와이파이 사용자에 대한 경고 서비스를 제공하는 알고리즘을 제시하였다. 제안된 알고리즘은 저비용 구현 가능성, 탐지의 정확성과 신속성, 그리고 사용자 편의성 측면에서 기존의 비인가 AP 탐지 기법들과 차별화된다.
가설 설정
특정 와이파이 단말(Mi)이 기관 내부의 인가 AP의 SSID와 MAC 주소로 스푸핑되어 있고, 기관의 LAN의 스위치에 직접 연결되어 있는 비인가 AP를 접속하는 경우를 가정해 보자. 그림 2의 RAP1(S1-RAP)이 여기에 해당된다.
특정 와이파이 단말(Mi)이 기관 내부의 인가 AP의 SSID와 MAC 주소로 스푸핑되어 있고, 기관의 LAN의 스위치에 직접 연결되어 있는 인가 AP에 와이파이로 연결된 비인가 AP를 접속하는 경우를 가정해 보자. 그림 2의 RAP2(S2-RAP)가 여기에 해당된다.
특정 와이파이 단말(Mi)이 기관 내부의 인가 AP의 SSID와 MAC 주소로 스푸핑되어 있으나 기관의 LAN이 아닌 외부의 네트워크에 연결되어 있는 비인가 AP를 접속하는 경우를 가정해 보자. 그림 2의 RAP3과 같이 3G/LTE 네트워크에 연결된 스마트폰으로 구현되고 스푸핑된 비인가 AP(S3-RAP)가 여기에 해당된다.
제안 방법
그 주된 이유는 현재 비인가 AP에 대한 보안 대책으로 제시되고 있는 WIPS(Wireless Intrusion Prevention System)가 복잡하고 고비용 구조이기 때문이다[1,4]. 고비용 WIPS에 대한 대안으로 유선 단말이 연결되어야 할 스위치 포트에 비정상적으로 연결된 비인가 AP, 인가된 AP에 와이파이로 재연결된 비인가 AP, 또는 3G/LTE에 연결된 비인가 AP를 경유할 때 발생하는 트래픽의 타이밍 정보의 차이를 활용하거나, 인가 AP의 위치 정보를 미리 등록하고 등록되지 않은 비인가 AP의 위치 정보를 활용하거나, 또는 기관의 인가 AP에 대한 화이트 리스트(white list)를 활용하는 비인가 AP 탐지 기법들이 제안되었다. 그러나 복잡성, 높은 탐지 오류율, 긴 탐지 시간, 또는 사용자 편의성 결여 등의 이유로 이러한 기법들이 실제 환경에 적용되고 있지 못한 것이 현실이다.
그리고 DS는 DHCP 스누핑 정보로부터 해당 스위치 ID와 포트 ID에 할당된 IP 주소를 추출한다. 마지막으로 DS는 스누핑 정보로부터 추출된 IP 주소와 DC가 할당받은 IP 주소를 비교함으로써 와이파이 단말이 접속한 AP의 비인가 AP 여부를 판단한다. 대부분의 소속 AP가 SSID의 네트워크 이름을 공유하는 엔터프라이즈 LAN 환경에서 DS의 도메인 이름은 DS가 관리하는 AP의 SSID의 네트워크 이름과 연계되어 설정됨으로써 와이파이 단말이 별도의 설정 없이 쉽게 접속할 수 있게 한다.
WIPS는 WiFi 신호를 스캐닝하고, 필요하면 유.무선 구간을 통해 특수한 트래픽(예, marker packet)을 주입하고 관찰하며, 서버의 제어하에 사용자의 비인가 AP 접속을 차단하는 탐지 센서(detection sensor)와, 스캐닝한 정보를 바탕으로 비인가 AP 여부를 판정하고 관리자에게 와이파이 관제 서비스를 제공하는 탐지 서버(detection server)로 구성된다. 일반적으로 탐지 센서는 유선 네트워크에 연결되고 30미터 내외의 탐지 범위를 제공한다.
본 논문에서 제시하는 비인가 AP 탐지 알고리즘은 인가된 AP 설치 시에 수집되는 정보와, 와이파이 단말(M)이 와이파이를 접속하고 DHCP 서버를 통해 IP 주소를 할당받을 때 AP가 연결된 스위치에서 수집되는 DHCP 스누핑 정보를 사용하여, 와이파이 단말이 인가된 AP를 통해 IP 주소를 할당받았는지 여부를 확인함으로써, 현재 접속된 AP가 인가 AP 또는 비인가 AP인지를 판정한다. 만약 와이파이 단말이 인가된 AP를 통해 IP 주소를 할당 받았다면 다음 두 가지 사항이 충족되어야 한다.
본 논문이 제안하는 비인가 AP 탐지 알고리즘은 AP를 접속하는 와이파이 단말(M)의 DC가 접속한 AP의 SSID와 MAC 주소를 DS에게 전달함으로써 개시된다. 알고리즘은 1단계로 SSID 또는 MAC 주소를 스푸핑하지 않은 비인가 AP(NS-RAP, Non-Spoofed RAP)인지를 탐지하고, 두 번째 단계로 스푸핑된 유형 3 비인가 AP(S3-RAP, Spoofed-type3 RAP)를 탐지하고, 세 번째 단계로 스푸핑된 유형 1 비인가 AP(S1-RAP, Spoofed-type3 RAP)를 탐지하고, 네 번째 단계로 스푸핑된 유형 2 비인가 AP(S3-RAP, Spoofed-type2 RAP)를 탐지한다.
본 논문이 제안하는 비인가 AP 탐지 알고리즘은 AP를 접속하는 와이파이 단말(M)의 DC가 접속한 AP의 SSID와 MAC 주소를 DS에게 전달함으로써 개시된다. 알고리즘은 1단계로 SSID 또는 MAC 주소를 스푸핑하지 않은 비인가 AP(NS-RAP, Non-Spoofed RAP)인지를 탐지하고, 두 번째 단계로 스푸핑된 유형 3 비인가 AP(S3-RAP, Spoofed-type3 RAP)를 탐지하고, 세 번째 단계로 스푸핑된 유형 1 비인가 AP(S1-RAP, Spoofed-type3 RAP)를 탐지하고, 네 번째 단계로 스푸핑된 유형 2 비인가 AP(S3-RAP, Spoofed-type2 RAP)를 탐지한다. 4 단계의 비인가 탐지 알고리즘을 무사히 통과하면 해당 AP는 인가 AP로 판정되어 DC에게 통보되고, 해당 사용자에게 알려진다.
제안된 비인가 AP 탐지 알고리즘은 와이파이 단말에 대한 사전 등록 등의 절차 없이 접속하고자 하는 와이파이 네트워크를 운영하는 특정 기관의 탐지 서버를 접속하기만 하면 된다. 그리고 탐지 서버의 도메인 이름을 SSID와 연계시킴으로써 자동으로 탐지 서버를 접근할 수 있다.
본 논문은 현재 대부분의 LAN 스위치에서 제공하고 있는 DHCP 스푸핑 기능을 응용하여 간단한 프로토콜을 통해 쉽게 구현할 수 있는 비인가 AP 탐지와 와이파이 사용자에 대한 경고 서비스를 제공하는 알고리즘을 제시하였다. 제안된 알고리즘은 저비용 구현 가능성, 탐지의 정확성과 신속성, 그리고 사용자 편의성 측면에서 기존의 비인가 AP 탐지 기법들과 차별화된다.
성능/효과
accessed, snooped, 그리고 installed는각각 접근대상의 정보, 스누핑 정보, 그리고 설치 정보를 나타낸다. 결과적으로 본 논문에서 제안한 비인가 AP 탐지 알고리즘을 통해 어떤 유형의 비인가 AP라 할지라도 만약 해당 AP가 스푸핑하지 않은 다순 AP라면 모두 탐지될 수 있음을 알 수 있다.
accessed(IP-addr)]])는 null이 될 수밖에 없다. 결과적으로 본 논문에서 제안한 비인가 AP 탐지 알고리즘을 통해 유형 1의 비인가 AP는 스푸핑된 경우라 할지라도 모두 탐지될 수 있음을 알 수 있다.
따라서 식 7과 같이 와아파이 단말 (Mi)에 IP 주소를 할당한 스위치 ID와 포트 ID에 설치된 AP의 MAC 주소는 와이파이 단말(Mi)이 접속한 AP의 MAC 주소와 같을 수가 없다. 결과적으로 본 논문에서 제안한 비인가 AP 탐지 알고리즘을 통해 유형 2의 비인가 AP는 스푸핑한 경우라 할지라도 모두 탐지될 수 있음을 알 수 있다.
accessed( IP-addr) ])는 null이 될 수밖에 없다. 결과적으로 본 논문에서 제안한 비인가 AP 탐지 알고리즘을 통해 유형 3의 비인가 AP는 스푸핑한 경우라 할지라도 모두 탐지될 수 있음을 알 수 있다.
첫째, 와이파이 단말이 접속한 AP의 MAC 주소는 반드시 AP 설치 정보에 포함되어 있어야 한다. 둘째, 와이파이 단말에 할당된 IP 주소는 와이파이 단말이 접속한 AP가 연결된 스위치 ID와 포트 ID에 대응되는 DHCP 스누핑 정보에 반드시 포함되어 있어야 한다. 만약 둘 중 하나라도 충족되지 않는 경우 와이파이 단말이 접속한 AP는 비인가 AP로 판정된다.
접속한 AP를 통해 IP 주소를 할당받은 와이파이 단말은 기관 네트워크의 특정 위치에 연결된 탐지 서버에 접속한 AP의 MAC 주소와 할당받은 IP 주소를 전송함으로써 비인가 AP 여부를 확인받을 수 있다. 본 기법은 별도의 탐지 센서와 전용 탐지 서버 설치를 요구하지 않기 때문에 저비용으로 구현이 가능하고, 접속한 AP의 비인가 AP 여부를 실시간으로 확인받을 수 있다. 그리고 비인가 AP 탐지 클라이언트 앱(rogue AP detection application)을 설치한 와이파이 단말은 동일한 기법을 지원하는 어떤 기관에서도 별도의 등록 절차 없이 비인가 AP 탐지 서비스를 제공받을 수 있기 때문에 유연한 적용을 보장한다.
본 논문이 제안하는 DHCP 스누핑 기반의 비인가 AP 탐지 솔루션은 별도의 탐지 센서를 요구하지 않고 간단한 탐지 프로토콜을 S/W로 구현할 수 있으므로, 기존의 WIPS와 비교하여 저비용으로 구축이 가능한 장점이 있다. 2015년 말 현재 1대의 탐지 서버와 1대의 탐지 센서로 구성되는 WIPS를 구축하더라도 약 16,000달러 이상의 비용이 소요되고, 만약 100개 이상의 탐지 센서를 필요로 하는 규모가 큰 기관의 경우 약 100,000달러 이상의 비용을 필요로 할 것이다.
만약 와이파이 단말이 인가된 AP를 통해 IP 주소를 할당 받았다면 다음 두 가지 사항이 충족되어야 한다. 첫째, 와이파이 단말이 접속한 AP의 MAC 주소는 반드시 AP 설치 정보에 포함되어 있어야 한다. 둘째, 와이파이 단말에 할당된 IP 주소는 와이파이 단말이 접속한 AP가 연결된 스위치 ID와 포트 ID에 대응되는 DHCP 스누핑 정보에 반드시 포함되어 있어야 한다.
후속연구
본 논문이 제안한 비인가 AP 탐지 알고리즘이 스위치 기반의 모든 LAN 환경에서 보다 용이하게 구현되기 위해서는, 제안된 알고리즘을 기반으로 DHCP 스누핑 기반의 비인가 AP 탐지 프로토콜이 표준화될 필요가 있다. 향후 DHCP 스누핑 기반의 비인가 AP 탐지 프로토콜 개발과 프로토콜의 성능 비교 분석 등에 연구를 집중할 계획이다.
본 알고리즘이 수행되기 위해서는 와이파이 단말이 비인가 AP 탐지 클라이언트(DC-Detection Client)를 가지고, AP가 접속된 스위치는 비인가 AP 탐지 에이전트(DA-Detection Agent), 그리고 기관의 LAN에는 비인가 AP 탐지 서버(DS-Detection Server)가 필요하다. DC는 와이파이 접속 시에 접속된 AP의 정보(SSID, MAC 주소, 보안 정책 등)와 할당받은 IP 주소를 DS에게 전송하고, 접속한 AP가 인가된 AP인지 아니면 비인가 AP인지를 DS로부터 통보받는다.
본 논문이 제안한 비인가 AP 탐지 알고리즘이 스위치 기반의 모든 LAN 환경에서 보다 용이하게 구현되기 위해서는, 제안된 알고리즘을 기반으로 DHCP 스누핑 기반의 비인가 AP 탐지 프로토콜이 표준화될 필요가 있다. 향후 DHCP 스누핑 기반의 비인가 AP 탐지 프로토콜 개발과 프로토콜의 성능 비교 분석 등에 연구를 집중할 계획이다.
질의응답
핵심어
질문
논문에서 추출한 답변
WIPS의 구성은?
기존의 가장 대표적인 비인가 AP 탐지 기술은 AirTight[5], Air Marshal[6]와 같은 WIPS이다. WIPS는 WiFi 신호를 스캐닝하고, 필요하면 유.무선 구간을 통해 특수한 트래픽(예, marker packet)을 주입하고 관찰하며, 서버의 제어하에 사용자의 비인가 AP 접속을 차단하는 탐지 센서(detection sensor)와, 스캐닝한 정보를 바탕으로 비인가 AP 여부를 판정하고 관리자에게 와이파이 관제 서비스를 제공하는 탐지 서버(detection server)로 구성된다. 일반적으로 탐지 센서는 유선 네트워크에 연결되고 30미터 내외의 탐지 범위를 제공한다.
현재까지 대부분의 와이파이 네트 워크 환경에서 비인가 AP 탐지와 사용자에 대한 경고 서비스는 제공되고 있지 않는 주된 이유는?
그럼에도 불구하고 현재까지 대부분의 와이파이 네트 워크 환경에서 비인가 AP 탐지와 사용자에 대한 경고 서비스는 제공되고 있지 않다. 그 주된 이유는 현재 비인가 AP에 대한 보안 대책으로 제시되고 있는 WIPS(Wireless Intrusion Prevention System)가 복잡하고 고비용 구조이기 때문이다[1,4]. 고비용 WIPS에 대한 대안으로 유선 단말이 연결되어야 할 스위치 포트에 비정상적으로 연결된 비인가 AP, 인가된 AP에 와이파이로 재연결된 비인가 AP, 또는 3G/LTE에 연결된 비인가 AP를 경유할 때 발생하는 트래픽의 타이밍 정보의 차이를 활용하거나, 인가 AP의 위치 정보를 미리 등록하고 등록되지 않은 비인가 AP의 위치 정보를 활용하거나, 또는 기관의 인가 AP에 대한 화이트 리스트(white list)를 활용하는 비인가 AP 탐지 기법들이 제안되었다.
기존의 가장 대표적인 비인가 AP 탐지 기술은?
기존의 가장 대표적인 비인가 AP 탐지 기술은 AirTight[5], Air Marshal[6]와 같은 WIPS이다. WIPS는 WiFi 신호를 스캐닝하고, 필요하면 유.
참고문헌 (10)
R. Beyah and A. Venkataraman, "Rogue-Access-Point Detection Challenges, Solutions, and Future Directions," IEEE Security and Privacy, Sept./Oct 2011, pp. 56-61. http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber5963632
Motorola, "Solutions for Detecting and Eliminating Rogue Wireless Networks," White Paper, Oct. 2011. http://www.opticalphusion.com/downloads/products/networks/airdefense/CS.pdf
M. Kim, J. Mun, S. Jung, and Y. Kim, "A Mobile Device-based Mobile AP Detection Scheme using NAT Behavior," Proceedings of 2013 International Conference on IT Convergence and Security, 16-18 Dec. 2013, pp. 1-4. http://ieeexplore.ieee.org/xpl/articleDetails.jsp?reloadtrue&arnumber6717778
L. Watkins, R. Beyah, and C. Corbett, "A Passive Approach to Rogue Access point Detection," Proceedings of IEEE Globecom 2007, 26-30 Nov. 2007, pp. 355-360. http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber4410983
H. Han, B. Sheng, C. C. Tan, Q. Li, and S. Lu, "A Timing-based Scheme for Rogue AP Detection," IEEE Transactions on Parallel and Distributed Systems, Vol. 22, No. 11, Nov. 2011, pp. 1012-1925 http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber6007016
J. Lee, S. Lee, and J. Moon, "Detecting Rogue AP using k-SVM method," Journal of The Korea Institue of Information Security and Cryptology, Vol. 24, No. 1, Feb 2014, pp. 87-95 http://ocean.kisti.re.kr/downfile/volume/kiisc/JBBHCB/2014/v24n1/JBBHCB_2014_v24n1_87.pdf
K. Kao, T. Yeo, W. Yong, and H. Chen, "A Location-aware Rogue Ap Detection System Based on Wireless Packet Sniffing of Sensor APs," Proceedings of The 2011 ACM Symposium on Applied Computing, Mar. 2011, pp. 32-36 http://dl.acm.org/citation.cfm?id1982195
J. Park, M. Park, and S. Jung, "A Whitelist-based Scheme for Detecting and Preventing Unauthorized AP Access Using Mobile Device," Journal of KICS, Vol. 38B, No.8, Aug. 2013, pp. 632-640 http://www.readcube.com/articles/10.7840%2Fkics.2013.38B.8.632
※ AI-Helper는 부적절한 답변을 할 수 있습니다.