무선통신디바이스관리의필요성
목차 1. WIPS 센서탐지기능 2. WIPS 센서차단기능 3. 10대무선취약점탐지원리 4. 무선통신디바이스관리 - 무선통신디바이스관리의필요성 - WLAN 디바이스자동인가방안 - AirSCAN 기능소개 2
1. WIPS 센서 - 탐지원리 3
1. WIPS 센서 - 탐지원리 v WIPS 센서는 802.11 상에서사용되는 2.4GHz, 5GHz 대역의채널을 동시에 Scanning 하여데이터수집 ( 유선사의 Sniffing 과동일한원리 ) 모니터링범위 802.11b/g: 2.4GHz (2.412 ~ 2.484) 802.11a: 5.0GHz (4.92 ~ 5.765) WIPS 에서탐지및차단을위해분석하는데이터범위 4
1. WIPS 센서 - 탐지원리 ü 최우선적으로 Frame Control 데이터내용중 Type 과 Subtype 분석하여해당데이터를계속분석할지 Drop 할지판단 ü Management Type 의데이터가지속적으로발생시 ( 초당 4~6 개이상 ) 공격으로판단 ü 이외 Data Type 의데이터는 Source 와 Destination 정보를분석하여차단여부판단 ü Control Type 의데이터는 DoS 공격방어시사용 5
1. WIPS 센서 - 탐지범위 v AirTight WIPS 는국내에서모니터링및 RF 전송이가능한 802.11a/b/g 채널들을아래와같이자동으로설정및사용 6
2. WIPS 센서 - 차단원리 (Session Containment) ü 무선클라이언트가 AP 에접속시고유의 Layer 2 Session 이생성됨 ü WIPS 센서는차단기능수행시해당클라이언트와 AP 의정보를도용 (Spoofing) 하여 De- Authentication CODE 를전송 ü 클라이언트와 AP 는정상적인데이터로인지한후 De- Authentication CODE(2,3) 에따라자체적으로 Session 을 Kill 하도록유도 DoS 공격을제외한모든위협에대한차단은 De-Authentication Reason Code 사용 7
2. WIPS 센서 - 차단원리 v 802.11 표준으로사용되는 De-Authentication Reason Code 8
3. WIPS - 10 대위협탐지원리 9
3.1 사내불법 (Rouge) AP 무선침입방지시스템 WIPS 사내불법 AP 탐지기능 WIPS 센서는사내네트워크에설치되어 있는불법 (Rouge) AP 를탐지하기위하 여 3 가지기능을지속적으로수행 1. Marker Packet Test 2. Open AP Test 3. MAC Adjacency Test 10
3.1 Marker Packet Test 란? 1. Sensor ID 를가진 L2 ARP 패킷을유선네트워크로전송 2. ARP 패킷은대상 Subnet 에 Broadcast 됨 3. 유선상의불법 AP 는 ARP Broadcast 패킷을무선상으로 Forward 함 4. 무선상에서탐지된 Sensor ID 를기준으로불법 AP 의 BSSID 분석 5. Sensor 는탐지된불법 AP 의 BSSID 를 WIPS 로전송 6. WIPS 상에서 Rouge AP 로표시 (Subnet ID 확인가능 ) SpectraGuard Enterprise 2 Sensor 10.10.10.100 1 Sensor ID = 03:e7 3 4 Sensor ID = 03:e7 BSSID = dlink AP 10.10.10.3 User User User Market Packet Test 10.10.10.x 11
3.1 Marker Packet Test 란? Rouge AP 로추정되는 AP 에서무선상으로전송되는데이터패킷캡쳐 (Marker 패킷확인 ) 12
3.1 Open AP 테스트란? 1. Marker Packet Test 에서테스트를통과하지않은 Open AP 대상으로데이터수집 2. 테스트대상 Open AP 에연결하여사용중인사용자의 IP 분석 3. 사내 SGE 서버 IP 로 UDP 패킷전송 ( 사용자 IP 주소도용 ) 4. SGE 서버에 UDP 패킷이도달한경우사내유선네트워크에연결되었다고판단 5. WIPS 상에서 Rouge AP 로표시 (Subnet ID 확인불가 ) Sensor 1 UDP 패킷 (192.168.0.100 -> 221.148.9.115) SpectraGuard Enterprise 211.148.9.115 4 3 2 OEPN AP Open AP Test 192.168.0.100 User2 192.168.0.x User3 13
3.1 Open AP 테스트 센서가클라이언트의 IP 를도용하여서버의 IP 로보낸 Open AP 테스트용 UDP 패킷 14
3.1 MAC Adjacency Test 란? 1. 각서브넷의센서는수집한유선상의패킷중 ARP, DHCP Broadcast 에서정보를수집하여 Local ARP Table 을작성함. 2. 센서가수집한무선상의 MAC(BSSID) 와유선상의 ARP MAC 주소를비교 3. 무선공유기의 WAN Interface 와 WLAN BSSID MAC 은공통적으로 Sequential (+/- 1) 하게출하됨 무선 MAC 과 WAN MAC 이 Sequential 한것을확인. 15
3.1 MAC Adjacency Test 란? 00:1D:7E:5B:5F:DC (iriver), MAC adjacency test. sserverd.log.10:2008.11.24 05:23:47 CRIT sserverd (AccessPoint.Connectivity.dev_set_net_status) (29611:65541): Network status of AP [00:1D:7E:5B:5F:DC/6] wrt to source [00:11:74:10:94:88] changed from "Tentatively wired" to "Wired" sserverd.log.10:2008.11.24 05:23:49 CRIT sserverd (AccessPoint.Connectivity.det_overall_wired_status) (29611:65541): AP [00:1D:7E:5B:5F:DC/6] is ARP wired by test +-1 MAC. 무선과 WAN MAC 주소가 Sequential 한것을확인하여 Rogue AP 로판명한케이스 (00:11:74:10:94:88) 은센서의유선 MAC 주소 16
3.2 Mis-Configured AP v WIPS 는사전인가된 AP 에대한 Beacon 정보만을추가분석하여보안 Template 과비교후 Mis-Configured 여부판단 v 모든 AP 는기본적으로 1 초당 10 개 Beacon 을 Broadcast 함 17
3.2 Mis-Configured AP 사전설정한 WLAN Template 과정보가일치한경우 Green 색상으로표시 18
3.2 Mis-Configured AP ü 사전설정된 WLAN Template 과정보가일치하지않는경우 Orange 색상으로표시 ü 보안설정에서는 WPA 로설정되어있으나 WEP 을사용하여 Mis-Configured AP 로분류 19
3.3 Client Mis-Association v Data Packet 의 Address 1, 2, 3 을분석하여인가된사용자 MAC 이외부 AP MAC 과접속한경우 Client Mis-Association 으로탐지 외부 AP MAC 사내클라이언트 MAC 20
3.4 Unauthorized Association v Data Packet 의 Address 1, 2, 3 을분석하여외부사용자 MAC 이사내 AP MAC 과접속한경우 Unauthorized Association 으로탐지 사내 AP MAC 외부클라이언트 MAC 21
3.5 Adhoc v Beacon 과 Probe Response 데이터내용중 Capability Information 부분을분석하여 IBSS 값이 1 인경우 Adhoc 으로판단 Adhoc 기능이활성화된클라이언트 정상 AP 인경우 22
3.6 Honeypot v 외부 AP 가사내인가된 AP 와동일한 SSID 전송시 Honeypot 으로판단 (Beacon 데이터중 SSID 만비교 ) 사내인가된 AP 의 SSID 와 BSSID 를비교하여동일한 SSID 사용시 Honeypot 으로판단 23
3.6 Honeypot 공격 & 차단원리 Client mylgnet 00:11:22:33:44:55 mylgnet 00:33:44:55:66:77 Honeypot AP (SSID 만도용 ) WIPS 센서 24
3.7 AP MAC Spoofing v 외부 AP 가사내인가된 AP 와동일한 BSSID 전송시 AP MAC Spoofing 으 로판단 (Beacon 데이터중 SSID 와 BSSID(MAC) 비교 ) 사내인가된 AP 의 SSID 와 BSSID 를비교하여동일한 BSSID 사용시 AP MAC Spoofing 으로판단 25
3.7 AP MAC Spoofing 공격 & 차단원리 Client mylgnet 00:11:22:33:44:55 mylgnet 00:11:22:33:44:55 AP MAC Spoofing (SSID & BSSID 모두도용 ) WIPS 센서 26
3.8 DoS 공격 v Frame Control 내용중 Management Type 에해당되는패킷이초당 4~5 개이상발생되면 DoS 공격으로판단 De-Authentication 공격의경우초당 4 개이상발생시이벤트발생 27
3.8 DoS 공격 - 방어원리 ü 802.11 는 CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) 아키텍쳐사용 ( 이더넷은 CSMA/CD) ü 유선랜과는달리무선랜클라이언트는해당채널상에사용자는없는것을확인하고데이터를전송해야함 ( 유선랜은데이터전송후충돌이발생할경우재전송 ) ü DoS 공격방어시 WIPS 센서는 DoS 공격을받고있는 AP 에접속한클라이언트들에게차례대로 CTS 메시지를전송하여데이터전송이가능토록유도 ü 해당무선클라이언트가데이터전송시 DoS 공격클라이언트는잠시전송을멈추도록유도 28
3.9 WEPGuard v 사내인가 AP 로전송되는 Packet 사이즈를모니터링하여동일한패킷사이즈 가초당 20 개이상전송되는경우 Packet Injection 으로판단 (ARP 패킷 사이즈는평균 40~50 바이트 ) 현재운영중인 AP 의 WEP 암호화의 40 혹은 104bit 키를획득하기위하여 IV (Initial Vector) 수집을위해 Active Injection Tool 사용 40bit 암호화사용시 5 분이내 WEP 키획득가능 104bit 암호화사용시 15 분이내 WEP 키획득가능 WIPS 에서제공하는 WEPGuard 는외부공격자로부터 WEP IV 수집을위한 ARP Injection 혹은 Packet Injection 공격이탐지될경우해당 AP( 공격대상 BSSID) 를보호하기위하여모든통신을차단함 29
3.10 RF Signature Anomaly ü WIPS 는무선랜상에인가클라이언트와동일한 MAC 주소가동시에 1 개이상탐지될경우 Client MAC Spoofing 으로판단 ü 인가클라이언트의무선랜이꺼져있는경우사전에수집한 Probe Request Signature (Probe Request Behavior) 와비교하여틀린경우 RF Signature Anomaly 로판단 (Client MAC Spoofing 과동일 ) ü Signature 분석은클라이언트별최소 8 시간 Learning Time 소요 30
4.1 무선통신디바이스관리의필요성 1. 성공적인무선보안시스템 (WIPS) 구축을위한 WLAN 클라이언트 MAC 정보는필수 2. WIPS에서제공되는 WLAN 클라이언트자동인가프로세스기능은 No-WiFi 환경에서 2% 부족 3. 사내무선통신디바이스사용현황에대한정보수집의어려움 - 802.11 무선랜, HSDPA, WIBRO, 블루투스 4. 무선통신디바이스관리를위한솔루션부재 31
4.2 AirSCAN - 무선통신디바이스자동인가방안 WIPS WLAN 디바이스인가 00:11:22:33:44:55 실시간 WIPS 이벤트 2 AD 802.1x WLAN 정보 User 정보 WLAN 정보 User 정보 AirSCAN WLAN 정보 00:11:22:33:44:55 1 Customization AirSCAN 에이전트 DB 32
4.3 AirSCAN 기능소개 - 통합디바이스관리 33
4.3 AirSCAN 기능소개 - 통합디바이스관리 공유기사용자 WLAN 사용현황 USB 디바이스 34
4.3 AirSCAN 기능소개 - 무선디바이스정보 Client 무선 MAC 정보 ( 내장 WLAN 디바이스 ) 35
4.3 AirSCAN 기능소개 - WLAN 디바이스탐지기능 Client 무선 MAC 정보 ( 외장 WLAN 디바이스 ) 36
4.3 AirSCAN 기능소개 - WIPS 연동자동인가 37
4.3 AirSCAN 기능소개 - WIPS 이벤트한글화 38
4.3 AirSCAN 기능소개 - 디바이스정책관리 기본정책 39
감사합니다 steve.choi@kwise.co.kr 40