802.11 frame auditing tools 제작 802.11 을이용한 WFP, WIPS, SMTM 프로그램개발 TE4M G0Host 박강민, 김건용
I N D E X 프로젝트소개 TE4M G0Host 소개 Monitor Mode 소개프로젝트결과물소개 프로젝트결과 Wireless Footprint G0host WIPS Show Me The MAC
1. 프로젝트소개 1.1. TE4M G0HOST 소개 TE4M G0HOST 소개 Monitor Mode 소개프로젝트결과물소개 멘토 멘토 PL PL 이경문 심기욱 김형철 이원용 PM 특기병 취약점 컨설팅 포렌식 컨설팅 박강민 오동현 유명성 정재완 김건용 2 / 14
1. 프로젝트소개 1.2. What is Monitor Mode? TE4M G0HOST 소개 Monitor Mode 소개프로젝트결과물소개 3 / 14
1. 프로젝트소개 1.2. What is Monitor Mode? TE4M G0HOST 소개 Monitor Mode 소개 프로젝트결과물소개 DESNIFFER 를이용한시연을통해 Monitor Mode 에대한부가설명 혹은 EBS 영상을통한부가설명 4 / 14
1. 프로젝트소개 1.3. 프로젝트결과물소개 TE4M G0HOST 소개 Monitor Mode 소개프로젝트결과물소개 Wireless Footprint WIPS Show Me The Mac 802.11 Packet Sniffing : Beacon, Probe Request Frame Mac Randomize 해결 Sniff QoS Data, Data, Association Frame 대규모인원추산범죄수사보조도구근태관리 Wireless Footprint 무선보안강화를통한보안취약점해결 서버에패킷전송 허가된 MAC 인지확인 Device GUI 제공 WIPS 패킷데이터 DB 에저장 시간별 MAC 통계분석 키생성혹은차단 AP 와디바이스연결 MAC 주소감지 MAC 주소식별, 시각화 모바일디바이스연구소의 WIPS 이용편의성증진 웹 GUI 를통한결과제공차단, 허용디바이스관리세부옵션조정 Show Me The Mac 5 / 14
2. 프로젝트결과 2.1. Wireless Footprint Wireless Footprint WIPS Show Me The Mac 프로그램개발환경 WFP Client WFP Server WFP Usecase OS : Ubuntu 16.04 LTS IDE : Qt Creator (Using C++11) Capture Beacon Frame & Probe Request Frame Mac, Timestamp Data DB 에저장 (MAC 비식별화 ) 집회등대규모인원추산통계 IDE[Web] : Eclipse LIB : libpcap, libtins Sniffing 한패킷에서 Src Mac, Timestamp 파싱 Timestamp 기준 MAC 분류및시각화 회사의근태관리 DB : Oracle XE 프로젝트 OUTPUT Json 형식에맞게 Serialization MAC Address 검색및사용자동의하에식별화 범죄수사보조도구 PoC Conference 2017 Event Booth 한국정보보호학회논문게재 직렬화된정보를특정주기마다서버에전송 Data 를실시간으로받아처리하여관제가능 알리바이증명보조도구 Wireless Footprint Main Routine 6 / 14
2. 프로젝트결과 2.1. Wireless Footprint Wireless Footprint WIPS Show Me The Mac WFP 시연영상삽입 7 / 14
2. 프로젝트결과 2.2. WIPS Wireless Footprint WIPS Show Me The Mac WIPS 프로그램개발환경 OS : Ubuntu 16.04 LTS Capture Beacon, Data, Probe, Association Frame 만약 WhiteList 에등록되지않았다면 BlackList 에등록 지정된시간동안지속적으로 Deauth Packet 송신 IDE : Qt Creator (Using C++11) Sniffing 한패킷에서 Src Mac 파싱 Key 가생성되어있다면 Using Table 에 Mac 삽입 Using Table 에있는 Mac 의 AP 연결허용 LIB : libpcap, libtins 프로그램 Usecase 해당 Mac 이 Whitelist 에등록되어있는지확인 Key 가생성되지않았다면 Non-Key Table 에삽입 WhiteList 에서허용한디바이스만이 Wi-FI 사용 White List 방식기반외부침입차단 차단옵션을통한다양한차단방식제공 WhiteList 에등록되었다면해당 Mac 에대한 Key 확인 Key 를생성하여해당 Mac 의상태 Update WIPS Main Routine 8 / 14
2. 프로젝트결과 2.2. WIPS Wireless Footprint WIPS Show Me The Mac 9 / 14
2. 프로젝트결과 2.3. Show Me The Mac Wireless Footprint WIPS Show Me The Mac SMTM Effect of SMTM 프로그램개발환경 GUI 를통해사용자가옵션 ( 신호세기등 ) 을지정 사용자가옵션을지정하게하여보다편리하게이용 OS : Ubuntu 16.04 LTS IDE : Qt Creator (Using C++11) Capture Beacon, Data, QoS Data, Probe, Association Frame Device 에 GUI 를제공하여간단한조작 WIPS 와사용시편의성극대화 LIB : libpcap, libtins Release : Raspberry Py 3.0 B MAC Randomize 에대한예외처리동작 MAC 을볼수없는 IoT 장비역시쉽게 Capture 가능 무선네트워크의이용절차간소화 Display : Raspberry 7in LCD 디바이스의 Mac Address Parsing 노트북에올려서사용하거나전용디바이스이용 SMTM Main Routine 10 / 14
2. 프로젝트결과 2.3. Show Me The Mac Wireless Footprint WIPS Show Me The Mac SMTM 시연 11 / 14
2. 프로젝트결과 2.4. 프로젝트결론 Wireless Footprint WIPS Show Me The Mac Wireless Footprint WIPS Show Me The Mac 대규모집회등에서의인원추산통계제공 회사, 연구소등에서의출 / 퇴근관리 범죄수사의보조도구로활용가능허용하지않은무선접속을차단하고, 보안취약점을야기할수있는부적절한접속방지 MAC Address를쉽게찾아 WIPS에적용해, WIPS 중단의필요를없애고무선보안향상 802.11 네트워크는연구할가치가충분하고, 잠재력이있는분야라고판단됨 G0host Library 를 Open Source 로공개 G0host 에서제작한 WFP 를 Open Source 로공개 G0host 에서제작한 WIPS 을 Open Source 로공개 추후오픈소스공개및 Tins 라이브러리번역을통해국내 802.11 연구에기여하고자함 12 / 14
훌륭한프로그램을만들기위한가장좋은방법은직접작성해보는것이고, 그다음은이미작성되어있는프로그램을연구하는것이다. - Bill Gates
Q & A
#. APPENDIX #.1. Solving iphone MAC Randomize ios Wi-Fi scanning(8.0+) Randomized probe-req Normal probe-req Vendor tag 를통해식별가능 조작된 probe-resp 를통해실제 MAC 유도가능 15 / 14
#. APPENDIX #.2. 5GHZ 16 / 14
#. APPENDIX #.3. Packet Loss 1 WIPS 를구성하고자하는방에다각형으로수신장치를설치 2 각각의수신장치는중앙처리장치와네트워크로연결 3 시그니처검사등을통해블랙리스트에추가할주소가검출되면중앙처리장치에해당주소전송 4 중앙처리장치는다섯개의수신기로부터전달받은주소로블랙리스트를업데이트하며 Deauth 전송 5 어떤수신기에서패킷유실로탐지를못했더라도다른수신기쪽에서탐지해서블랙리스트에추가해주므로미탐방지가능. 만약양측모두잡았을경우는중앙처리장치가알아서중복검사. 17 / 14
#. APPENDIX #.3. Packet Loss 18 / 14