Rogue AP?
악의적이든 악의적이지 않든 구축 되어있는 인프라의 관리자의 허가 없이 구성된 Access Point를 뜻합니다.
Rogue AP 공격?
대부분의 Rogue AP는 보안 프로토콜에 대해 모르는 사내의 직원에 의한 설치이지만 악의적으로 설치된 Rogue AP는 사내 방화벽 포트등에 설치돼 공격자의 백도어용으로 사용될 수 있습니다. 동일한 보안 기능 없이 모니터링 되지 않는 네트워크이기 때문에 막대한 피해를 입힐 수 있어 악의적이든 악의적이지 않든 중요한 취약점입니다.
Rogue AP는 실제 물리적인 AP 장비일수도 있고 이더넷 포트로 연결된 AP화 된 장비일 수도 있습니다.
대응방안
1. 방화벽같은 장비에 접근할 수 없도록 물리적으로 보호합니다.
EX) 렉에 자물쇠를 채운다든지, 연결된 장비에 라벨을 붙여 관리한다든지
2. 직원 교육 (비인가 AP 설치 금지 교육 등등)
3. IDS/IPS 등 침입탐지시스템 이용
Evil Twin Attack?
아래의 공격 기법에서도 볼 수 있듯이 본 AP와 같은 SSID의 악성 AP를 만들어 수행하는 공격이기 때문에 Evil Twin Attack이라고 불립니다.
공격 기법
특정 AP와 같은 SSID를 가지고 있는 공격자의 가짜 AP를 구축하여 AP에 접속한 접속자를 대상으로 개인정보 탈취등의 악성 행위를 수행하는 공격입니다. 본 AP보다 신호 강도를 높인다던가의 방식으로 이용자의 접속을 유도하여 진행되는 방식입니다.
무선 와이파이를 지원하는 디바이스는 한번 접속한 SSID를 기억하고 있기 때문에 본 AP의 신호보다 강하게 구성하면 auto-connect에 의해 동일한 SSID로 접속하여 공격자의 AP로 접속하게 할 수 있습니다. 또한 ARP spoofing처럼 정상적인 통신에 대해 방해 packet을 보내 접속을 끊게 하고 공격자의 AP로 다시 접속하도록 유도하는 방법도 있습니다.
공격 효과
피해자와 AP 중간에서 트래픽을 가로채기 때문에 중간자 공격을 수행하여 피해자의 개인 정보(금융 정보, 사이트 이용 계정 등등)를 탈취할 수 있습디다.
또한 도메인 주소에 대응되는 IP 주소를 얻기 위해 AP가 제공하는 DNS서버를 이용하므로 공격자가 의도한 피싱 사이트로 피해자를 유도할 수 있습니다. 이때 입력한 로그온 정보나 민감한 정보는 공격자의 손에 넘어갈 수 있습니다.
Evil twin attck VS Rogue AP
둘이 유사한 공격 기법이지만 엄연히 다른 공격 기법입니다. Rogue AP는 외부에서 불법적인 경로로 네트워크에 접근하기 위해 물리적으로 장치에 연결되기 때문에 보안 네트워크에 대한 엑세스 권한을 가질 수 있습니다. 따라서 네트워크에 대한 손상이나 다른 행동을 할 수 있고 적극적 공격에 해당합니다. 하지만 Evil Twin Attack은 네트워크에 대한 직접적인 손상보다는 피해자의 접속으로 인한 정보 탈취가 주된 공격이기 때문에 소극적 공격에 해당합니다.
대응방안
- 공공 와이파이 이용시 자신의 계정으로 로그인하지 않습니다
- 암호통신을 지원하지 않는 AP에 접근하지 않습니다
- 2-Facotr 인증 방식을 사용합니다
- https를 지원하는 사이트만 접속합니다
- vpn 서비스를 이용하여 공공 와이파이에 접속하는 방법도 있습니다
- 보안되지 않는 wifi 핫스팟 이용을 자제합니다
- auto-connect 설정을 비활성화 합니다
'네트워크 > 무선 네트워크' 카테고리의 다른 글
| 무선 랜 기초(AP vs WRouter, 비콘프레임, 로밍, WLC) (0) | 2024.02.11 |
|---|---|
| Evil twin attack 실습 (0) | 2023.05.26 |
