WIPS 와 관련해 좋은 정리.
출처 : http://www.boannews.com/media/view.asp?idx=40960&page=2&kind=1&search=title&find=
[보안뉴스= 더보안] 유선과 달리 물리적 공간에서 혼재하는 무선은 무선 주파수의 특성으로 인해 취약성에 많이 노출되어 있다.
유선 네트워크는 인라인 방식이든 미러링 방식이든 네트워크 보안 시스템들로 트래픽을 수집 분석이 가능하지만, 무선 네트워크 환경에서는 무선의 현황 분석이 쉽지가 않다. 실제로 무선보안 솔루션을 도입해 로그분석을 해보면 사내 무선 네트워크는 취약성에 많이 노출되어 있고, 여러 형태의 위협을 받고 있다.
기존 WIPS의 한계
첫째, 무선기술은 시간이 지날수록 그 속도에 가속도를 붙여 진화하고 있다. 현재 대부분의 무선기기들은 IEEE 802.11 a/b/g/n 프로토콜을 사용하고 있으나, IEEE 802.11 ac의 상용화가 눈앞에 다가왔으며 그 이후에는 또 어떤 프로토콜이 대중화될지는 모르는 일이다.
무선 프로토콜의 발전에 따라 WIPS에서 지원하는 프로토콜도 발전하고 있으나, 현재 무선기술의 발전속도를 토대로 예상해 본다면 이러한 무선기술을 따라가지 못하고 기술의 한계에 직면하게 될 가능성이 크다.
둘째, 하드웨어 방식의 WIPS는 무선 프로토콜의 발전에 따라 기존에 설치된 하드웨어 장비의 물리적인 마이그레이션이 필요하다. 이는 무선 칩셋의 기능을 바탕으로 무선을 탐지하고 차단하기 때문에 새로운 프로토콜이 나올 때마다, 새로운 칩셋이 장착된 WIPS가 필요하게 된다. 따라서 현재의 무선기술 발달속도로 미루어 볼 때, 하드웨어 방식의 WIPS가 가지는 가장 큰 문제점이다.
셋째, 하드웨어 방식의 WIPS는 Wi-Fi 영역에 대해서만 탐지 및 차단이 가능하다. 그러나 현재 국민 대다수가 사용하고 있는 스마트폰은 Wi-Fi 테더링 뿐만 아니라 3G/4G망을 통한 USB 테더링 기능을 통해 단말과 이동통신망을 바로 연결시킬 수도 있다.
이외에도 와이브로, 블루투스 등 무선의 경로는 기존 WIPS가 보안하는 영역인 Wi-Fi 이외에도 다양하다. 결과적으로 이러한 우회방법들을 때문에 무선랜은 WIPS가 구축되어 있다고 하더라도 보안의 구멍은 존재하고 있는 셈이다.
WIPS 한계점에 대한 대응방안
앞서 알아본 것과 같이 무선통신 기술의 발전으로 인해 하드웨어 방식의 WIPS 솔루션은 마이그레이션 이슈를 항상 가지고 있어 보안담당자 입장에서는 예산에 대한 부담을 가질 수밖에 없다.
또한, 2.4Ghz 및 5Ghz 무선 대역을 사용하는 Wi-Fi 통신 방식이 아닌 블루투스 통신, USB 테더링, Wibro 연결 등에 대해서는 탐지 및 차단을 하지 못하는 취약점을 가지고 있다.
이런 취약점 및 문제점이 도출되어 무선보안 업체들은 기존 하드웨어 방식의 무선보안 솔루션이 아닌 소프트웨어 에이전트 방식을 통해 내부 사용자들의 단말 단에서 무선디바이스의 연결을 탐지하고 차단하는 방식의 무선보안 솔루션을 개발하여 시장에 내놓았다. 처음으로 에이전트 방식의 무선보안 솔루션이 등장했을 때는 기존의 하드웨어 방식의 WIPS를 상호 보완하는 측면에서 많이 구축됐다.
예를 들어 WIPS 운영을 위해 내부 사용자 디바이스에 대한 Whitelist 등록을 WIPS를 통해서가 아니라, 에이전트 방식의 무선보안 솔루션과의 연동을 통해 에이전트가 설치 된 사용자의 단말은 자동으로 등록하여 운영상의 편의를 제공했다.
또한, 국산 WIPS가 출시되기 이전인 무선보안시장 초기에는 한글 지원이 되지 않는 외산 WIPS와의 연동을 통해 이벤트에 대한 한글화 리포트 기능을 제공했다.
이렇듯 에이전트 방식의 무선보안 솔루션은 기존 WIPS와 보완적인 솔루션으로 시장에 공급되었다. 그러나 IEEE 802.11n 프로토콜의 등장과 일반화로 기존 WIPS의 마이그레이션 이슈가 발생했고, 보안 담당자들은 무선보안 솔루션의 방향성에 대해 다시 한 번 고민할 수밖에 없는 상황이 발생했다.
또한, 무선보안시장의 팽창으로 공공시장에 대한 기회가 생기면서 예산적인 측면이나 운영방식에 대해 부담이 적은 에이전트 방식의 무선보안 솔루션이 단독 솔루션으로 각광받기 시작했다.
에이전트 방식 무선보안 솔루션 각광
에이전트 방식의 무선보안 솔루션은 중앙관리 서버와 에이전트로 구성이 된다. 구축 시 에이전트의 설치는 이미 구축되어 있는 PMS 솔루션이나 백신 솔루션 등의 배포 기능을 통해 실제 사용자들이 모르게 설치가 되며, 설치 후에는 사용자의 강제 삭제나 프로세스 킬 등을 방지하여 솔루션 운영의 안정성을 제공한다.
구축 시 보안담당자들 입장에서는 기존에 설치되어 있는 에이전트들과의 충돌이나 네트워크 트래픽 유발 등을 많이 우려하게 된다. 그러나 에이전트가 수집하고 전송하는 정보는 무선 디바이스에 대한 간단한 정보와 디바이스에 대한 모니터링 및 차단이기 때문에 구축 시에 큰 이슈가 발생하지는 않는다.
설치된 에이전트는 사용자의 PC나 노트북이 사용했거나 사용하고 있는 이더넷, 무선랜, 애드혹, 와이브로, 3G/4G 모뎀, 블루투스, 테더링, Soft AP 기능 등의 현황 정보를 중앙관리 서버로 전송하여 사용자들의 무선 디바이스 사용현황에 대한 모니터링 기능을 제공한다.
구축 시 정의된 무선보안 정책에 따라 각 디바이스들의 연결에 대해 허용 혹은 차단할 수 있으며, 모든 디바이스 연결시도 및 사용현황에 대해서는 실시간 이벤트를 통해서 확인할 수 있다.
또한, 노트북이나 무선 랜카드를 통해 수집되는 사용자 주변의 AP 정보를 수집하여 관리 서버로 전송하게 되며, 전송된 정보를 통해서 기 등록된 AP에 대한 정보를 바탕으로 인가/불법/외부로 AP를 분류해 나타내 준다. AP에 대해 확인할 수 있는 상세 정보는 SSID, BSSID, AP에 접속한 클라이언트, 신호세기 등이며, 특히 신호세기 및 삼각 측량법을 바탕으로 탐지된 AP의 위치 추적 기능까지 제공하고 있다.
WIPS가 나아가야 할 길
현재 에이전트 방식의 WIPS는 기존 하드웨어 방식의 WIPS 핵심 기능인 불법 AP 탐지 및 차단 그리고 위치 추적기능 구현이 가능하며, 기타 인바운드 위협에 대한 탐지 및 차단을 제외한 아웃바운드 위협에 대해서는 단말 단에서 더욱 강력하게 차단할 수 있는 장점이 있다.
또한, 예산적인 측면에서는 에이전트 방식의 WIPS가 훨씬 부담이 없는 장점을 가지고 있다. 이런 측면에서 하드웨어 방식의 WIPS를 구축한 고객사는 확대 사업에 에이전트 방식의 WIPS를 통하여 구축을 많이 고려하고 있으며, 신규 WIPS 시장이 확대되고 있는 공공시장에서는 담당자들이 에이전트 방식의 WIPS를 많이 고려하고 있는 상황이다.
이렇듯 향후 발전될 WIPS는 Wi-Fi 뿐만 아니라 Non Wi-Fi까지 영역을 확장해 내부에서 허가하지 않은 비인가 불법 AP 탐지 및 차단이 이루어져야 한다. 특히, 행정망 사용자의 외부 불법 무선접속 통제, 외부 사용자의 불법 해킹 방지 등 모든 무선을 모니터링하고 통제할 수 있는 기능은 반드시 제공되어야 한다.
그리고 이러한 기능을 통해 무선을 통한 내부정보유출 방지, 해킹 방지를 구현할 수 있어야 한다. 끊임없는 보완을 통해 WIPS는 보다 완벽한 무선보안의 길을 향해 발전해야 할 것이다.
'old > Network' 카테고리의 다른 글
| [자료] RFC (0) | 2014.08.03 |
|---|---|
| [PACKET] Hack The Packet 11~13년도 문제 (0) | 2014.05.19 |
| [자료] NTP DDoS 동영상 및 분석자료 (0) | 2014.05.08 |
| [자료] 네트워크 공부 시 참고 (0) | 2014.04.16 |
| [자료] XSS를 이용한 DDoS (0) | 2014.04.11 |
