얼마 전 운이 좋게도(?) WIPS란 놈을 알게되고 관련 문제를 해결했던 경험이 생겨, 잊지 않고자 기록합니다.
WIPS 란
- wireless intrusion prevention system
- 무선랜에 대한 보안 방식으로 많은 기업에서 설치하여 사용 중
- 인가되지 않은 AP 와 STA가 확인하면 MAC주소를 변경한 de-auth packet을 broadcast하여 연결을 block
- LTE등 데이터 네트워크에는 영향 없음
- 간간히 범위를 넓게 설정한 회사놈들 때문에, 다른 구역 wifi까지 안되는 일이 발생하곤 함..
- https://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system
Wireless intrusion prevention system - Wikipedia
In computing, a wireless intrusion prevention system (WIPS) is a network device that monitors the radio spectrum for the presence of unauthorized access points (intrusion detection), and can automatically take countermeasures (intrusion prevention). Purpos
en.wikipedia.org
WIPS 의심하기
제가 겪었던 상황에서는 다음과 같은 증상이어서 wips를 의심했었습니다.
- 특정 구역(외부)에서만 wifi 끊김 현상 발생(이동하면서 wifi를 사용하도록 구성된 환경이었습니다)
- 2.4ghz, 5ghz 주파수에서도 모두 동일하게 wifi네트워크 끊김 발생
- LTE 네트워크는 안끊기고 잘됨..
- 다른 AP(스마트폰 테더링)와 STA(다른 스마트폰)으로 wifi 연결 확인해보니 동일 구역에서 동일증상 발생
WIPS 확인하기
문제가 발생하는 공간에서 wips가 설치되어있다고 확인하기 위해선 해당 구역의 packet을 capture하여 de-auth packet이 있는지 확인하는게 가장 좋습니다.(위에서 언급한거 처럼 wips는 무작위로 de-auth packet을 발생시켜 wifi연결을 막습니다)
다만 특정 네트워크 인터페이스의 packet dump만 떠본 저로썬 어떻게 air에 떠있는 wireless traffic을 capture하나 막막했는데요..
역시 인터넷엔 없는게 없습니다.
Capturing Wireless Traffic from a Client Machine
Wireless packet captures are incredibly useful while troubleshooting specific events on a WLAN. The most common use is to see all communication (data, management and control frames) between a station …
documentation.meraki.com
(참고차 분석방법 page도 함께 올립니다.)
아니나 다를까 이슈가 발생하는 공간에서 de-auth packet이 발견되네요.
WIPS 해결하기
저같은 경우엔 특수한 상황이었기 때문에, 그냥 쉬우면서도 확실하게 네트워크 연결을 무선->유선으로 변경했습니다.
혹 사무실 같은 고정된 공간에서 갑작스레 이런 일이 발생한다면, wips설치사를 찾아가 사용하고 계시는 AP에 대한 인가 등록을 요청하시거나 WIPS범위 축소를 요청하셔야 합니다.(보안 담당자 얼굴도 한번 볼겸 꼭 찾아가세요)
댓글