취미로 개발하는 화이트해커

1 분 소요


image-20230102225606579

WIPS

  • WIPS 란
  • WIPS 원리
  • WIPS 구성
  • WIPS 기능



WIPS 란

image-20230102230246566

무선 침임 방지 시스템.

기존의 IPS는 유선상에서 외부의 침입을 막기위한 장비인데 이 IPS를 무선의 개념으로 연장한 시스템이다.

스마트폰이나 무선 인터넷이 많이 보급되면서, 테더링이라는 기능이 제공되었고 테더링으로 인한 해킹이나 자료유출을 방지하기 위해 만들어 졌다.

WIPS는 공격 및 자료유출에 대해 인가되지 않은 무선단말기의 접속을 차단하고 보안에 취약한 AP를 탐지하는 S/W이다.

WIPS는 유선 방화벽과 유사하며 외부 공격으로부터 내부 시스템을 보호하기 위해 무선랜 환경에서의 보안 위협을 탐지하고 대응(차단)하는 시스템이다.

조직에서 운영되는 AP를 지속적으로 모니터링하여 허락되지 않은 사용자의 무선 장비들에 대한 접근을 자동으로 탐지 및 방지하고, AP의 안정성을 높이고 통합관리 할 수 있게 지원하는 시스템이다.



WIPS 원리

image-20230102230158407

[1단계] 무선 네트워크를 이용하는 모든 장비의 트래픽 및 패킷을 실시간 관제

​ 무선 네트워크를 이용하는 핸드폰, 노트북 등의 장비가 어떤 행동을 하고 있는지를 보여주는 트래픽 및 패킷을 실시간으로 감지

[2단계] 관제된 트래픽 및 패킷 중 유해성 여부 판단

​ 관제된 트래픽 및 패킷의 내용을 확인하여, 악성코드 또는 해킹 공격의 의도가 있는 내용이 포함되었는지를 판단하고, 네트워크 과부하를 야기하는 비정상적인 엄청난 양의 접속시도를 포착한다.

[3단계] 유해성이 있다고 판단되는 요소 차단

​ 1, 2단계를 거쳐 유해성이 있다고 판단된 트래픽 및 패킷, 해당 단말기 장비들을 차단하는 역할을 한다.


즉, 위배되는 무선 사용 발견 시 AM에서 해당 Client와 의심가는 AP에게 자신의 MAC 주소를 변조하여 연결을 끊겠다는 패킷을 지속적으로 보내 연결을 끊게 한다.



WIPS 구성

image-20230102231104594

PRI(Prime InfraStructure) : WIPS의 기능을 담당

컨트롤러

AP : 센서 전용 AP이거나 데이터 기능도 겸비한 AP

인증서버 : ACS(Cisco)

MSE(Mobility Service Engine) 서버 : 위치 추적 시 사용하고 여러 공격에 대한 시그니처 포함

Cisco 같은 경우 PRI 서버에서 컨트롤러 하나로 관리한다.



WIPS 기능

image-20230102231812166

WIPS는 주로 회사 내 기밀을 보호하는 용도로 설치되고 운용된다.

  1. 비인가 AP 및 스테이션 탐지 및 차단
    • 사내에서 사용하고 있는 모든 무선 장비에 대한 통제를 수행하며, 정책에 따라 인증해체 패킷을 발송하여 비인가 AP들의 통신을 차단 할 수 있다,
    • WIPS는 비인가 AP와 스테이션 탐지 및 차단은 물론, 3대 이상의 WIPS 탐지 시 위협 요소의 정확한 위치 추적 가능하다.
  2. Ad-Hoc 네트워크 탐지 및 차단
    • Ad-Hoc이란 AP와 같은 중계기 없이, P2P로 이루어지는 무선 LAN 통신이다.
    • 즉, 핸드폰 및 노트북과 같은 기기들로 임의 무선 네트워크를 구성할 수 있다.
    • 이러한 비인가된 Ad-Hoc 네트워크 통신을 탐지하고 차단하는 역할을 수행한다.
  3. 무선 웹 해킹 탐지 및 차단
    • 무선 네트워크 환경에서 일어날 수 있는 Dos 공격, ARP Spoofing 등의 웹 해킹 시도를 탐지하고 차단할 수 있다.
    • 보안이 허술한 가짜 서버로 해커를 유인하여, 해커들을 역추적하는 허니팟 기술도 이용한다.

업데이트:

참고