DHCP 스누핑 기반의 비인가 AP 탐지 기법

Abstract

와이파이 환경에서 비인가 AP(rogue AP)의 접속은 스니핑(sniffing), 피싱(phishing), 파밍(pharming) 공격 등 다양한 사이버 공격에 노출될 수 있는 매우 위험한 행위이다. 따라서 비인가 AP를 신속하고 정확하게 탐지하여 와이파이 사용자가 해당 AP에 대한 접속을 회피할 수 있도록 적절하게 경고하는 것은 와이파이 보안의 핵심 요구사항이 되고 있다. 본 논문은 인가된 AP에 대한 설치 정보와 스위치의 DHCP 스누핑 정보를 활용하여 비인가 AP를 정확하고 신속하게 탐지하여, 무선 단말에 실시간으로 통보하는 새로운 비인가 AP 탐지 기법을 제시한다. 제안된 비인가 AP 탐지 기법은 별도의 장비가 불필요하고 간단하여 많은 수의 탐지 센서와 탐지 서버로 구성되는 무선 침입 방지 시스템(wireless intrusion prevention system)에 비해 저가격에 구현가능하다. 그리고 타이밍 정보, 위치 정보, 화이트 리스트 기반 등의 기존 비인가 AP 탐지 기법에 비해 탐지의 정확성이 높고, 신속하며, 개방 환경을 포함하여 다양한 환경에 유연하게 적용가능한 장점이 있다. Accessing unauthorized rogue APs in WiFi environments is a very dangerous behavior which may lead WiFi users to be exposed to the various cyber attacks such as sniffing, phishing, and pharming attacks. Therefore, prompt and precise detection of rogue APs and properly alarming to the corresponding users has become one of most essential requirements for the WiFi security. This paper proposes a new rogue AP detection method which is mainly using the installation information of authorized APs and the DHCP snooping information of the corresponding switches. The proposed method detects rogue APs promptly and precisely, and notify in realtime to the corresponding users. Since the proposed method is simple and does not require any special devices, it is very cost-effective comparing to the wireless intrusion prevention systems which are normally based on a number of detection sensors and servers. And it is highly precise and prompt in rogue AP detection and flexible in deployment comparing to the existing rogue AP detection methods based on the timing information, location information, and white list information.