Rogue AP 의 탐지와 이에 대한 차단은 서로 접근 방법이 다릅니다.
일단 Rogue AP 를 어떻게 식별할 건지부터 고민을 해보시죠.
snmp scan 은 유선망에 새로운 장비가 연결되었을 때 이를 식별할 수 있는 여러 방법 중의 하나일 뿐입니다.
sniffing 이나 arp scan 으로 할 수도 있습니다.
AP 가 맞는지 판단하려면 무선 패킷도 같이 모니터링 해야 할 겁니다.
차단은 무선 패킷을 모니터링하면서 AP-STA 가 연결되었을 때, deauth 를 날리는게 일반적이긴 하나..
유선망의 F/W 나 router 에서 필터링 하거나, 가짜 arp 를 뿌려서 일시적으로 통신을 방해할 수도 있습니다.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
Rogue AP 를 탐지해서 차단하는 것이 WIPS 의 핵심 기능 중 하나인데, 설마 WIPS 를 직접 만들라는 얘기는 아니겠죠..?
구체적으로 어떤 업무를 수행해야 하는건지 지시하신 분과 다시 확인해 보는게 나을 것 같네요.
어쩌면.. 유선망을 모니터링 해서 새로운 장비가 나타나는 경우 이 장비를 식별하는 모듈을 만들어라..
정도의 업무일 수도 있을 것 같네요. 그 방법 중의 하나로 snmp 를 언급했을 것 같구요.
무선쪽 공부해 보시려면, 802.11 MAC & PHY Spec. 을 좀 보시고..
monitoring mode 가 지원되는 랜카드를 구해서 직접 패킷을 캡쳐해서 분석해 보시는게 좋을 것 같습니다.
aircrack-ng 나 kismet 의 소스를 받아서 분석해 보는 것도 괜찮은 시작일 거 같구요.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
중복된 답변일수도 있는데... 쩝...
==> 1. Rogue AP 검증!!! (이 부분이 key라고 생각을 합니다) 어떻게 불법 AP와 인가 AP를 검증해야할 것인가부터 생각을 해야 할 것 같구요.
ㅁ 인가된 AP MAC 추적되어야 함!!! (사전 등록이 가장 손 쉬운것 같습니다^^)
ㅁ 의심스러운 AP에 대해서 사내의 망에 연결된 여부 검증하면 될것 같습니다. 논문 찾아보면 충분히 나올것 같네요..
==> 2. 차단
--> if 불법 AP ==> 해당 AP에 연결된 STA에 대해서 연결을 끊으면 될것 같습니다. (aireplay-ng에서 --deauth 옵션 사용하면 될 것 같습니다)
이 때 불법 AP에 연결된 STA 관계는 추적을 해야 할것 같구요... 만약에 AP를 무조건 차단하는 방법으로는 유선 네트워크에서 포트 차단하는 방법밖에 없을것 같습니다.
차단 프레임을 보내는 것은 단말에 대한 차단이지 어차피 AP에 대한 직접적인 차단은 아닙니다^^
무선 DEAUTH 프레임임은 매체(AP)에 대한 접근 막는다고 생각하면 될것 같습니다.
**
개발 환경은 linux, MON 모드 지원하는 무선 랜 인터페이스가 있으면 될 것 같습니다.
가장 손쉬운 방법은 backtrack 설치된 host에서 개발하시면 될것 같습니다^^
불법AP가 뭐죠??
불법AP가 뭐죠??
피할 수 있을때 즐겨라! http://melotopia.net/b
gilgil.net
회사가 다음과 같으 구성되어 있을 때
(A) 사내 네트워크(A) : 회사 내부에서 사용되어 지는 네트워크
(B) 인가 AP : (A)와 연결이 되어 있는 무선 공유기
(C) 인가 단말기 : (B)와 연결되어 질 수 있는 단말기(임직원들이 보유하고 있는 스마트폰)
1. 비인가 단말기(C')가 (B)에 붙어서 (A) 네트워크에 접속을 한다.
2. 인가 단말기(C)가 외부에 있는 비인가 AP(B')에 붙어서 네트워크 통신을 한다.
질문하신 분은 2번을 말씀하신 듯.
비인가 AP를 차단하는 방법에는 해당 AP에 deauth message를 보내는 것이 추세입니다.
802.X protocol을 공부해 보시는 것이 좋을 듯 하네요.
www.gilgil.net
질문의 요지가 정확하지 않아서 죄송합니다.
음..일단 저는 사내에서 구성되어 있는 AP를 제외하고 다른 AP가 접속을 할때, 즉 rogue AP 탐지를 하고 싶습니다. SNMP는 MIB기반의 AP정보를 저장해 둘 수 있다고 공부했습니다.
SNMP에서 MIB에 없는 AP가 들어올 때 차단 할 수 있나요?
이게 정확한 질문이네요...;;
음 ..
Rogue AP 의 탐지와 이에 대한 차단은 서로 접근 방법이 다릅니다.
일단 Rogue AP 를 어떻게 식별할 건지부터 고민을 해보시죠.
snmp scan 은 유선망에 새로운 장비가 연결되었을 때 이를 식별할 수 있는 여러 방법 중의 하나일 뿐입니다.
sniffing 이나 arp scan 으로 할 수도 있습니다.
AP 가 맞는지 판단하려면 무선 패킷도 같이 모니터링 해야 할 겁니다.
차단은 무선 패킷을 모니터링하면서 AP-STA 가 연결되었을 때, deauth 를 날리는게 일반적이긴 하나..
유선망의 F/W 나 router 에서 필터링 하거나, 가짜 arp 를 뿌려서 일시적으로 통신을 방해할 수도 있습니다.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
어렵네요 ㅎ
이게 갑자기 저한테 떨어진 일이라 모 알지도 못하면서 하려니 새로운 것들이 계속 나오네요 ㅠㅠ
무선 패킷을 모니터링하면서 deauth 를 날리려면,
제가 구성해야 하는게 무엇들이 있을까요?
음 ..
Rogue AP 를 탐지해서 차단하는 것이 WIPS 의 핵심 기능 중 하나인데, 설마 WIPS 를 직접 만들라는 얘기는 아니겠죠..?
구체적으로 어떤 업무를 수행해야 하는건지 지시하신 분과 다시 확인해 보는게 나을 것 같네요.
어쩌면.. 유선망을 모니터링 해서 새로운 장비가 나타나는 경우 이 장비를 식별하는 모듈을 만들어라..
정도의 업무일 수도 있을 것 같네요. 그 방법 중의 하나로 snmp 를 언급했을 것 같구요.
무선쪽 공부해 보시려면, 802.11 MAC & PHY Spec. 을 좀 보시고..
monitoring mode 가 지원되는 랜카드를 구해서 직접 패킷을 캡쳐해서 분석해 보시는게 좋을 것 같습니다.
aircrack-ng 나 kismet 의 소스를 받아서 분석해 보는 것도 괜찮은 시작일 거 같구요.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
맞아요..
간이 윕스를 만들어 보라는게 회사에서 지시한 내용이네요..
중복된 답변일 수도 있는데...
중복된 답변일수도 있는데... 쩝...
==> 1. Rogue AP 검증!!! (이 부분이 key라고 생각을 합니다) 어떻게 불법 AP와 인가 AP를 검증해야할 것인가부터 생각을 해야 할 것 같구요.
ㅁ 인가된 AP MAC 추적되어야 함!!! (사전 등록이 가장 손 쉬운것 같습니다^^)
ㅁ 의심스러운 AP에 대해서 사내의 망에 연결된 여부 검증하면 될것 같습니다. 논문 찾아보면 충분히 나올것 같네요..
==> 2. 차단
--> if 불법 AP ==> 해당 AP에 연결된 STA에 대해서 연결을 끊으면 될것 같습니다. (aireplay-ng에서 --deauth 옵션 사용하면 될 것 같습니다)
이 때 불법 AP에 연결된 STA 관계는 추적을 해야 할것 같구요... 만약에 AP를 무조건 차단하는 방법으로는 유선 네트워크에서 포트 차단하는 방법밖에 없을것 같습니다.
차단 프레임을 보내는 것은 단말에 대한 차단이지 어차피 AP에 대한 직접적인 차단은 아닙니다^^
무선 DEAUTH 프레임임은 매체(AP)에 대한 접근 막는다고 생각하면 될것 같습니다.
**
개발 환경은 linux, MON 모드 지원하는 무선 랜 인터페이스가 있으면 될 것 같습니다.
가장 손쉬운 방법은 backtrack 설치된 host에서 개발하시면 될것 같습니다^^
참고하세요...
http://linuxwireless.org/
http://www.aircrack-ng.org/
http://openwips-ng.org/index.html (아직 미약한듯!!)
SNMP를 이용한 부분은 명확하게 알지 못하기 때문에 pass 합니다~
댓글 달기