Journal of the Korea Institute of Information and Communication Engineering 한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 5 : 1122~1127 May. 2014 박상노 김아용 정회경 * A Study on Signature-based Wireless Intrusion Detection Systems Sang-No Park A-Yong Kim Hoe-Kyung Jung * Department of Computer Engineering, Paichai University, Daejeon 302-735, Korea 요약 무선랜은경제성, 유연성, 설치의용이성, 스마트기기의보급으로인해사용과 AP(Access Point) 구축의단순화로사무실, 매장, 학교에서쉽게접할수있다. 무선랜은공기를전송매체로사용하기때문에전파가도달하는영역에서는보안위협에항상노출이되며불법 AP 설치, 정책위반 AP, 패킷모니터링, AP 불법접속, 외부 AP 및서비스접속, 무선네트워크공유, MAC 주소도용등새로운보안위협을지닌다. 본논문에서는시그니처기반의 Snort 를사용하여무선침입탐지시스템개발방법을제안한다. 공개된해킹툴을사용하여모의해킹을실시하고, Snort 가해킹툴에의한공격을탐지하는지실험을통하여논문의적합성을검증한다. ABSTRACT WLAN is affordability, flexibility, and ease of installation, use the smart device due to the dissemination and the AP (Access Point) to the simplification of the Office building, store, at school. Wi-Fi radio waves because it uses the medium of air transport to reach areas where security threats are always exposed to illegal AP installation, policy violations AP, packet monitoring, AP illegal access, external and service access, wireless network sharing, MAC address, such as a new security threat to steal. In this paper, signature-based of wireless intrusion detection system for Snort to suggest how to develop. The public can use hacking tools and conduct a mock hacking, Snort detects an attack of hacking tools to verify from experimental verification of the suitability of the thesis throughout. 키워드 : 공통평가기준, 백트랙, 스노트, 시그니처, 침입탐지시스템 Key word : Common Criteria, Backtrack, Snort, Signature, Intrusion Detection System 접수일자 : 2013. 12. 22 심사완료일자 : 2014. 01. 14 게재확정일자 : 2014. 01. 29 * Corresponding Author Hoe-Kyung Jung(E-mail:hkjung@pcu.ac.kr, Tel:+82-42-520-5640) Department of Computer Engineering, Paichai University, Daejeon 302-735, Korea Open Access http://dx.doi.org/10.6109/jkiice.2014.18.5.1122 print ISSN: 2234-4772 online ISSN: 2288-4165 This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/li-censes/ by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited. Copyright C The Korea Institute of Information and Communication Engineering.
Ⅰ. 서론무선통신기술발전과노트북, 태블릿 PC, 스마트폰을많이사용하는현대사회는편리하고저렴한초고속인터넷서비스를요구한다. 이러한요구를해결한무선랜은사회모든분야에걸쳐사용되고있으며, 일상생활의필수적인부분이되었다. 무선랜은물리적인연결없이사용할수있다는편리성이최대장점이지만, 대부분의 AP는노출된형태로설치되기때문에악의적인사용자가쉽게접근할수있다. 특히, 무선랜신호는벽, 천장, 건물의창문등건축물의제한없이수신되기때문에전파가닿는영역에서침투를시도할수있어네트워크위협이된다. 네트워크보안은방화벽, 암호화, 인증및 VPN으로개발되었지만방화벽을회피하거나취약점을악용하고무력화하는기술이발달하여침입탐지시스템이개발되었다. 유선기반의침입탐지시스템은무선랜환경의특성에의해무선기반의공격을탐지못한다. 이러한보안취약점을해결하기위해 802.1x, WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access) 등인증, 암호화기법이개발되고있으나, 이러한인증, 암호화기법은무선트래픽분석및인가사용자로의위장등의의도적인외부침입에는취약점을내포하고있다 [1]. 또한, 무선랜사용자가늘어나면서공격시도와패턴이다양해지고있으며, 침투테스트나교육목적을위해사용하는도구들을악용한다. 또한, GUI 기반의해킹툴을제작하고무분별하게배포하여컴퓨터관련지식이없는사람도공격을시도할수있어보안을위협한다. 이러한이유로침입탐지시스템의중요성이부각되고있다. 이에본논문에서는시그니처기반의 Snort를사용하여무선침입탐지시스템개발방법을제안하고해킹툴을사용하여공격한다. 또한, Snort가해킹툴에의한공격을탐지하는지판단하여논문의적합성을검증하였다. 기반을둔콘텐츠패턴매칭을수행한다. 또한, 버퍼오버플로우, 포트스캔, CGI 공격, SMB(Server Message Block) 탐색, OS fingerprint 시도등다양한형태의침입및탐색행위를감지할수있다. Snort는모니터링을할필요없이실시간으로경고시스템을지원하며, 간단한명령어를사용하여패킷검사및규칙을할수있다 [3]. Snort의아키텍처 (Architecture) 는성능, 단순성, 유연성에초점이있으며, 스니퍼 (Sniffer), 전처리기 (Preprocessor), 탐색엔진 (Detection Engine), 출력모듈 (Logging) 로구성되어있다. 스니퍼 : 네트워크에서데이터를수집하며, 수집한네트워크패킷을전처리기로이동한다. 전처리기 : 패킷을탐지엔진에서비교하기전에사전처리작업을하며, 전처리기는플러그인방식으로구성된다. 탐색엔진 : 핵심모듈로서패킷과규칙을비교하며, 경고를발생한다. 규칙문법은프로토콜의종류, 콘텐츠, 길이, 헤더, 기타여러요소를포함하고있으며, 사용환경에맞게커스터마이징하는것이가능하다. 출력모듈 : Snort가발생시킨경고는출력모듈로전송되며, 경고를데이터베이스로보낼수있다. Snort의규칙을사용하면간단하면서도다양한감지를할수있으며, Snort의규칙에는헤더와옵션을가지고있다. 헤더는규칙동작, 프로토콜, 대상목적지주소, 포트로구성되어있다 [4]. 2.2. 무선 Snort 무선 Snort는 802.11 환경에서무선신호를탐지하기위해서새로운탐지규칙을추가하고, Snort 2.0.x와호환되게했다. 또한, 새로운 Wi-Fi 규칙프로토콜뿐만아니라악성 AP, 애드혹네트워크를검출할수있다. 그림 1은 802.11을위해새로추가된규칙이다. Ⅱ. 침입탐지시스템 2.1. Snort 시그니처검출기반 [2] 인 Snort는 libpcap을사용하여패킷스니퍼및로거를사용하며, 로깅 (Logging) 에 그림 1. 무선 Snort 규칙 Fig. 1 Wireless Snort Rules 1123
한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 5 : 1122~1127 May. 2014 Snort 규칙동작에는경고 (Alert), 로그 (Log), 패스 (Pass), 활성화 (Activate), 동적 (Dynamic) 이있다. MAC 주소는원본및대상 MAC 주소의 IP 주소가 Snort 규칙에지정하는것과같은방식으로지정할수있으며, 하나의 MAC 주소는옥텥 (Octets) 의콜론으로구분된목록또는쉼표로구분하고, 중괄호로묶인목록으로지정할수있다. 또한,! 문자로논리적 NOT 연산을수행할수있다. MAC 주소의형식은그림 2와같다 [5]. 야한다. 표 1. 침입탐지요구사항 Table. 1 Intrusion Detection Requirements 침입탐지요구사항 비인가클라이언트탐지비인가 AP 탐지정책위반 AP 탐지서비스거부공격탐지 WEP Cracking 탐지 MAC Spoofing 탐지 Fake AP 탐지다중공격탐지 그림 2. MAC 주소 Fig. 2 MAC Address 방향연산자는트래픽의방향을지정하기위해두개의연산자를포함한다. 규칙옵션은콘텐츠와메시지, 그리고다른정보들로구성되어있으며, 하나의규칙은여러개의콘텐츠영역을가질수있다. 콘텐츠영역내부에는패킷검사에사용되는시그니처가저장되어있다 [6]. 무선탐지에는 802.11 특정규칙옵션인 Wi-Fi 프로토콜을사용하여규칙을만들수있다. Wi-Fi 옵션에는 frame_control, type, stype, more_frags, from_ds, to_ds, retry, pwr_mgmt, more_data, wep, order, duration_id, bssid, seqnum 등이있다 [7]. 2.3. 무선침입탐지시스템요구사항무선랜의보안요소에는사용자인증, 접근제어, 권한검증, 데이터기밀성, 데이터무결성, 부인방지, 안전한핸드오프가있다 [8]. 보안기능요구사항은국제사회내에널리사용되고있는공통평가기준 (Common Criteria) 을충족해야한다. 공통평가기준은모든보안제품에서필요로하는 보안기능 의전체집합을클래스, 패밀리, 컴포넌트, 엘리먼트를통해계층적으로분류한다 [9]. 보안기능요구사항은 11개의클래스로구성되어있으며, 보증요구사항은 9개의클래스로구성되어있다 [10]. 실험해야할침입탐지시스템의보안요구사항은표 1과같고, 알려진공격이나알려지지않은공격을탐지할수있어야하고, 실시간으로경고메시지를전송하여관리자에게알리는모니터링기능이되어 Ⅲ. 실험 3.1. 실험환경실험에사용된침입 PC 사양은표 2와같으며, 사용된해킹툴은백트랙에내장된오픈소스해킹툴과윈도우기반에서동작하는프리웨어해킹툴을사용하여실험을진행하였다. 표 2. 침입 PC 사양 Table. 2 Intrusion PC Specifications CPU i7-3635qm i7-2600 RAM 8GB 4GB 무선랜카드 iptime n100mini iptime 150UA 운영체제 백트랙 5 R3 윈도우 7 탐지에사용된 PC 사양은표 3과같으며, Libpcap을사용하여패킷을수집하였다. 표 3. 탐지 PC 사양 Table. 3 Detection PC Specifications CPU i5-760 RAM 4GM 무선랜카드 iptime n100mini 운영체제 CentOS 6.4 Snort snort-wireless-2.4.3-alpha04 Libpcap Libpcap-1.4.0 Mysql Ver 14.14 실험에사용된구성환경은그림 3과같고, 보안기능이없는 AP 1대와 WPA를지원하는 AP 1대, WPA2를지원하는 AP 1대를사용하여실험을진행하였다. 1124
그림 3. 실험구성도 Fig. 3 Experiment Configuration 그림 5. 주변 AP 모니터링 Fig. 5 AP Around Monitoring 3.2. 실험방법실험은무선랜에서사용되는오픈소스의해킹툴과프리웨어를사전에입수하여침입용도로사용하였다. 일반적인실험순서는그림 4와같은순서로진행하였으며, 본논문에서는서비스거부공격을통해논문의적합성을판단한다. 그림 6. 카인과아벨 Fig. 6 Cain and Abel Airodump-ng를사용하여그림 7과같이 BSSID와채널을고정할수있고, 침입할 AP 정보만을수집할수있다. 그림 7. 목표 AP 모니터링 Fig. 7 Goal AP Monitoring 수집한 AP 정보를통해침입탐지시스템의정보를수집할수있으며, Aireplay-ng를사용하여그림 8과같이서비스거부공격을실행한다. 그림 4. 실험순서도 Fig. 4 Testing Flowchart 주변 AP 정보를수집하기위해그림 5와같이백트랙에내장되어있는 Airmon-ng와 Airodump-ng을사용하였으며, 윈도우기반에서는그림 6과같이카인과아벨을사용하여 AP 정보를수집할수있다. 그림 8. 서비스거부공격 Fig. 8 Denial-of-Service Attacks 1125
한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 5 : 1122~1127 May. 2014 서비스거부공격이실행되면침입탐지시스템에서는그림 9와같이패킷들이수집된다. 그림 12. 침입탐지 Fig. 12 Intrusion Detection 그림 9. 패킷수집 Fig. 9 Packet Collection 수집되는패킷들은로그디렉토리 (/var/log/snort) 에저장된다. 그림 10과같이로그파일은고유의번호가부여되며공격패턴을분석하기위해해당로그파일을열고분석을시작한다. 그림 10. 패킷저장 Fig. 10 Packet Storage Aireplay-ng에의한서비스거부공격패턴을분석하여 Snort 규칙을생성한다. 그림 11은서비스거부공격에관련된규칙이다. Ⅳ. 결론본논문에서는주변 AP 정보와목표로하는 AP의정보들을수집하기위해 Airodump-ng를사용했다. 주변에있는 AP들의정보들을먼저수집하고, 수집되고있는 AP 중에서목표 AP를정한후목표 AP의정보를집중적으로수집했다. 수집된목표 AP의정보를활용하여 Aireplay-ng로서비스거부공격을실시했다. 침입탐지시스템에서는 Libpcap을사용하여패킷들을수집하고 Log 파일로저장하여분석하였다. 분석한자료를기반으로 Snort 규칙을작성하고, 다시서비스거부공격을실시하여탐지여부를확인하여논문의적합성을검증하였다. 제안하는무선침입탐지시스템은기존의상업용무선침입탐지시스템에비해저렴하게구축할수있으며, 사용하는환경에맞게운영할수있다. 하지만, 패킷이증가하면탐지율이저하되는것을문제점을발견했다. 향후과제는탐지율이저하되는원인을보완하기위해분산처리가가능한하둡을도입하고, 수집되는패킷들을분산처리하는방안에대한연구가필요하다. 그림 11. 주소결정프로토콜규칙 Fig. 11 ARP Rules 규칙을적용하고다시서비스거부공격을실행하면그림 12와같이 who-has와 reply log가비정상적으로생성되는것을알수있다. REFERENCES [ 1 ] Reddy, S. Vinjosh, et al. "Wireless hacking-a WiFi hack by cracking WEP," 2010 2nd International Conference on, vol. 1, pp. 189-193, 2010. [ 2 ] Ajita. Mishra and Ashish Kumar Srivastava, "A Modular Approach To Intrusion Detection in Homogenous Wireless Network, IOSR Journal of Computer Engineering, vol. 14, no. 6, pp. 53-59, Oct. 2013. 1126
[ 3 ] Martin. ROESCH, Snort: Lightweight Intrusion Detection for Networks, Proceedings of LISA, pp. 229-238, 1999. [ 4 ] Steven T. Eckmann, "Translating Snort rules to STATL scenarios," Proc. Recent Advances in Intrusion Detection, 2001. [ 5 ] Craig. Valli, "Wireless Snort-A WIDS in progress," Network & Information Forensics Conference, pp. 112-116, 2004. [ 6 ] H. S. Kim, B. J. Kang, J. S. Yang and E. G. Im, An Efficient Signature Detection Method using Growing Prefix Indexing for Intrusion Detection Systems, Journal of Security Engineering, vol. 9, no.1, Feb. 2012. [ 7 ] Andrew. Lockhart, "Snort Wireless Users Guide," 2003. [8] K. S. Kou, G. J. Mun, D. J. Ryu, A Development of AIRTMS V1.0 s Security Functional Requirements based on Common Criteria Version 3.1, Journal of Security Engineering, vol. 8, no. 6, pp. 645-655, Dec. 2011. [9]Y. S. Kim, K. S. Kou, J. I. Sin and Y. H. Bang, "Development of Security Functional Requirement Specification Tool of Information Security Operational System Level," Journal of Security Engineering, vol.7, no.1, Feb. 2010. [10] S. Y. Kang and J. H. Park, The Research about Recent Common Criteria of Information Security Product, Journal of Security Engineering, vol.5, no.4, Aug. 2008. 박상노 (Sang-No Park) 2006 년한밭대학교전자공학과 ( 공학사 ) 2013 년배재대학교컴퓨터공학과 ( 공학석사 ) 2014 년 ~ 현재배재대학교컴퓨터공학과박사과정 관심분야 : 네트워크보안, 클라우드보안, 무선랜, 무선랜보안, 화상회의 김아용 (A-Yong Kim) 2013 년배재대학교컴퓨터공학과 ( 공학사 ) 2013 년 ~ 배재대학교컴퓨터공학과석사과정 관심분야 : 오픈소스, 리눅스, 클라우드, 분산처리 정회경 (Hoe-Kyung Jung) 1985 년광운대학교컴퓨터공학과 ( 공학사 ) 1987 년광운대학교컴퓨터공학과 ( 공학석사 ) 1993 년광운대학교컴퓨터공학과 ( 공학박사 ) 1994 년 ~ 현재배재대학교컴퓨터공학과교수 관심분야 : 멀티미디어문서정보처리, XML, SVG, Web Services, Semantic Web, MPEG-21, Ubiquitous Computing, USN 1127