애플리케이션 가치 추가로 ‘경쟁력 향상’ … 높은 가격이 최대 걸림돌
무선 IDS/IPS 오버레이는 규정순수 보고, 사이트 플래닝, 로케이션 및 액세스 제어를 제공하면서 무선랜을 많은 문제들로부터 보호해 준다. 하지만 과연 보통의 조직에서 그 비용을 정당화할 수 있을까? 이제부터 알아보기로 하자.
무선 보안 업체들은 기업 IT의 마음을 편안하게 하기 위해 고군분투 하고 있다. 문제는 이들이 두 가지 무선랜 보안 문제를 해결해야 한다는 것인데, 그것은 바로 인증, 암호화를 이용한 프라이버시, 그리고 무결성을 다루는 인프라와 무선 클라이언트 및 불량 액세스 포인트를 사용하는 공격자로부터 뿐만 아니라, 무선 네트워크 성능을 떨어뜨리는 내부 요소들로부터의 탐지 및 보호를 요하는 모니터링이다.
WIDPS, 성숙한 모습
아루바네트웍스(Aruba Networks), 시스코시스템즈, 메루네트웍스(Meru Networks), 심볼테크놀로지스(Symbol Technologies) 및 트라페즈네트웍스(Trapeze Networks) 등과 같은 주류 무선 인프라 업체들은 802.11i를 잘 이행하고 있다.
많은 업체들이 802.1x 기반 인증, CBC-MAC(Cipher Block Chaining Message Authentication Code) 무결성 점검 및 AES-CCMP(AES-Counter Mode CBC-MAC Protocol) 암호화 등과 같은 802.11i 기능이 클라이언트에서 AP나 중앙 컨트롤러로, 그런 다음에는 유선 인프라로의 무선 트래픽 이동을 안전하게 지켜준다는 보장을 하기 위해 WPA2 인증을 확보하고 있다. 하지만 주류 업체 제품들은 공격 식별, 불량 무선 장비 로케이팅 및 저지, 비정상적 성능을 내는 공간 모니터링, 그리고 트래픽 이용량 트렌딩 수행, 원격 장애관리 및 무선 인프라의 대역외 감사 등 부문에서 그다지 뛰어나지 못하다. 이 정도의 이행을 위해서는 전문 모니터링 툴이 필요할 것이다.
2년 전 이렇듯 빠르게 발전하는 모니터링 제품들을 처음 우리가 분석했을 때만 해도 우리는 이들을 분산형 무선 보안 모니터라고 불렀다. 그리고 지난 해에는 이들을 무선 침입탐지 시스템이라고 불렀다. 올해 이런 제품들은 WIDPS(Wire Intrusio Detection and Prevention System)라고 불리기 충분할 만큼 성숙한 모습을 보여줬다.
이번 WIDPS 시장 분석 및 리뷰 기사를 위해 우리는 전통적인 무선 IDS/IPS 업체들뿐만 아니라 자체적인 WIDPS 기능성을 개발하거나 파트너 관계를 맺은 무선랜 인프라 업체들, 그리고 무선 인프라 관리 및 패킷 분석 업체들까지 초대를 했다. 또한 서로 다른 규모의 환경에서 가격차를 비교하기 위해 세 가지 시나리오를 만들었다. 결과적으로 테스트에는 에어디펜스(AirDefense), 에어마그넷(Air Magnet), 하이월테크놀로지스(Highwall Technologies) 및 네트워크케미스트리(Network Chemistry)가 참가했다. 에어마그넷의 경우 2년 연속으로 이 부문에서 정상을 차지한 바 있다.
작은 것이 아름답다?
가트너는 무선랜 IPS 시장을 태동 단계로 보고 있다. 너무 회의적인 시각이라고 생각할지 모르지만 순수 WIDPS 업체들이 전체 엔터프라이즈 Wi-Fi 시장에서 한 자리 수 이상의 보급률만 보인다고 해도 우리는 깜짝 놀랄 것이다.
이렇듯 부진한 보급률에는 그럴 만한 이유가 있는데 그것은 바로 이런 시스템들이 저렴하지 않기 때문이다. 각각 5개의 AP와 권장되는 네 개의 센서가 있는 15개의 1~3층 건물로 이뤄진 캠퍼스 배치인 중간급 테스트 시나리오에서의 가격이 6만5천665달러에서 11만3천99달러 수준이었다.
보안에 민감하고 규정을 염두에 둔 회사들은 이러한 자원에의 투자의 대부분을 오버레이를 배치하는 데 할애하고 있다. 노 와이어리스(no-wireless) 정책을 고수하고 활동적으로 이행하는 조직들의 경우는 정교한 성능 및 보안 정책 모니터링에 대한 필요를 거의 느끼지 못하고 있다. 이들은 불량 및 무선 클라이언트를 식별하고 로케이팅하는 보다 단순한 포인트 제품으로 만족하며, 이 시장을 타깃으로 하는 회사로 하이월테크놀로지스나 와이메트릭스(WiMetrics) 같은 곳들이 있다.
엔터프라이즈 무선 인프라 제품이 성숙함에 따라 이들은 기본적인 WIDPS 능력과 같은 기능과 사양을 추가하고 있다. 그렇다면 굳이 정교한 오버레이에 투자를 할 이유가 없다. 그리고 마지막으로 일부 인프라 업체들은 자신들의 무선 IDS 기능을 모듈화하고, 이들을 독립된 애드온으로 제공하고 있다. 예를 들어 메루네트웍스는 자사의 시큐리티 서비시즈 모듈(Security Services Module)에서 이렇게 하고 있으며, 아루바는 와이어리스 인트루전 프로텍션(Wireless Intr usion Protection) 모듈을 제공하고 있다.
우리는 이런 WIDPS 장비의 강점에 대해 열광하고 있으며, 그런 장비 하나를 갖고 싶어 숨이 막힐 지경이다. 영업 사원들로서는 다행스럽게도 WIDPS 제조업체들은 무선을 모니터링하기 위해 독립된 센서 시스템을 배치한다는 게 쉽지 않은 결정이라는 사실을 깨달았다. 이에 대처하기 위해 이들은 이러한 센서들 위에 애플리케이션을 만들어 넣음으로써 가치를 다양화하고 추가시키고 있다. 이러한 애플리케이션들은 규정준수 보고, 사이트 플래닝/서베이/검증(site planning/survey/verification), 위치 추적, 그리고 위치 기반 액세스 제어 등 네 가지로 크게 나눌 수 있다.
그램 리치 블리레이 법안(GLBA), 의료정보보호법 (HIPAA), 사베인스 옥슬리법(SOX) 및 기타 규정의 영향권 아래 있으면서, 자신들의 무선랜이 규정을 준수하고 있다는 사실을 감사자에게 입증할 수 있는 자동화된 방안을 찾고 있는 IT 그룹이 주목해야 할 것은 오늘날의 WIDPS 제품들은 자동으로 생성 및 이메일링될 수 있는 기술형 규정 보고서(descriptive regulatory reports)를 제공하고 있다는 사실이다. WIDPS는 또한 사이트 플래닝과 서베이도 해결해 준다.
두 가지 추가적인 부가 가치
에어마그네트 엔터프라이즈의 애드온인 에어마그네트의 서베이 제품은 샘플링된 읽기를 기반으로 예상 커버리지와 링크 속도를 보여주는 정적 ‘히트(heat)’ 맵을 만들 뿐만 아니라, 최상의 커버리지나 모니터링, 혹은 불량장비 경감을 위해 센서가 어디에 배치돼야 하는지를 각자의 우선순위에 맞게 추천해줄 수 있다. 에어타이트의 스펙트라가드 플래너(SpectraGuard Planner)는 커버리지와 보안을 위해 무선랜 플래닝을 수행하며, 에어마그네트 서베이와 상당 부분 같은 기능을 제공하지만 센서 배치 플래닝에서는 더 뛰어난 성능을 보여준다.
에어디펜스는 최근 모토로라에서 와이어리스밸리(Wireless Valley) 인수를 통해 확보한 랜플래너(LAN Planner)를 기반으로 한 신제품인 아키텍트(Architect)를 발표했다. 에어디펜스의 다른 제품인 서베이(Survey)는 센서로부터 라이브 히트 맵을 만들 수 있다.
우리가 평가한 모든 WIDPS 제품은 위치 추적 기능을 제공하지만, 어떤 것도 시스코의 로케이션 어플라이언스(Location Appliance)가 제공하는 것처럼 항목이나 사람을 매일같이 추적할 정도로 전문화된 제품은 없었다.
위치 추적 시스템에는 범용 액세스용으로 만들어진 GUI와 인증 시스템, 인벤토리나 기타 백엔드 애플리케이션으로의 API, 그리고 수백, 수천 개의 객체까지 내부적으로 확장될 수 있는 능력 등이 요구된다.
이번 리뷰에 참가를 거부한 뉴베리네트웍스(Newbury Networks)는 최근 자사의 무선 IDS 제품인 WiFi 와치독(Watchdog)의 중요성을 덜 강조하고 있으며, 지금은 이것을 뉴베리의 프레즌스(Presence) 플랫폼 최상단을 차지하는 위치 기반 애플리케이션의 보다 확장된 라인으로 선전하고 있다.
마지막으로 위치 기반 액세스 제어는 오랫동안 뉴베리에서 제공해 온 기술이지만, 다른 업체들도 또한 이와 유사한 능력을 고려하고 있다. 정교한 액세스 제어는 외부 장비가 내부 무선 네트워크로 접속하지 못하게 하고, 공중 영역으로부터 민감한 네트워크 자원으로의 액세스를 제한할 수 있는 확실한 방편이지만, 필요한 센서의 수와 복잡한 이행으로 인해 지금은 이들의 기능성이 가장 보안에 민감한 환경에만 한정적으로 이용되고 있다.
WIDPS 업체들에게는 두 가지 추가적인 부가 가치가 있는데 각각 스탠드얼론 툴과 클라이언트측 보호다. 스탠드얼론은 툴에는 예를 들어 에어디펜스, 에어마그넷 및 네트워크 케미스트리 등이 제공하는 랩톱 기반의 블루투스 스캐너가 포함이 된다. 대부분의 업체들은 블루투스 툴을 버리거나 보다 큰 시스템에 이들을 번들링하고 있다.
또 다른 스탠드얼론 제품들로는 엔터프라이즈나 분산형 제품의 랩톱 버전이 있다. 에어마그넷은 자사의 랩톱 애널라이저에 무선 보안 공간을 집어넣었지만, 에어디펜스와 네트워크 케미스트리는 분산형 제품을 발표할 때까지 이런 제품을 추가하지 않았다.
그리고 클라이언트 측의 평화가 있다. 랩톱의 보급과 WiFi 핫스팟 및 2.5/3G 셀룰러 데이터 서비스가 늘어나면서 과거 그 어느 때보다도 원격 네트워크 액세스를 향유하는 전문가들이 많아졌다. 포레스터에서는 2005년에는 기업의 52%가 네 명 엔드유저 가운데 한 명에게 랩톱을 제공했다고 보고했는데, 이는 전년대비 44%나 성장한 수치다.
기업의 IT 부서에서는 안티바이러스, 팝업 블로커(pop-up blocker), 그리고 호스트 기반 방화벽 등을 잘 요구해 왔지만, 무선 정책 이행은 그다지 일관성이 없다.
하지만 상황은 얼마든지 달라질 수 있다. 에어마그넷을 제외한 모든 WIDPS 시장 주도업체들이 클라이언트가 어떤 AP에 속할 수 있는지에 대한 중앙 제어 정책을 시행하고, 애드혹 클라이언트의 사용을 제한하며, 브리징(bridging)을 막아줄 클라이언트 측 소프트웨어를 제공하고 있기 때문이다.
모두 한번, 그리고 여러번 협력
무선 인프라 업체들은 WIDPS에 있어서는 독자적으로 가고 있다고 공식적으로 주장하고 있지만 사실 이들은 모두 한번, 혹은 여러 번씩 협력을 한다. 에어디펜스는 심볼 및 트라페즈와 관계를 맺고 있으며, 아루바와 싸이러스(Xirr us)는 에어마그넷과 팀을 이루고 있다(싸이러스는 또한 네트워크 캐미스트리와도 관계가 있다). 콜루브리스(Colubris)와 지멘스는 에어타이트와 협력하며, 블루소켓(BlueSocket)은 하이월과 네트워크 케미스트리와 연결돼 있다.
시스코까지도 유일한 스탠드얼론 AP를 갖고 있었던 초창기 시절에는 여러 WIDPS 업체들과 협력관계를 맺었다. 사실 지난 해 에어이스페이스(Airespace)를 인수하기 전까지는 거의 모든 WIDPS 업체가 시스코의 WLSE 분산형 AP 관리 어플라이언스로부터 데이터를 푸싱 및 풀링하기 위해 노력했다. 허가받은 AP와 클라이언트에 있는 정보는 풀링돼 WIDPS에서 상태를 적절히 설정하는 데 사용되며, 불량 AP에 대한 데이터는 유선 측 견제를 위해 WLSE로 푸싱됐다.
시스코 AP 쪽에서는 무선 데이터의 지속적 스트림이 다시 WIDPS 관리 시스템으로 가서 점검 및 평가되게 하는 특수 모드가 만들어져 있었다. 시스코 AP로 표준화된 대기업들의 경우 필드에서 하나의 업체를 이용하면서 데이터 센터에서 유연성을 유지하기가 어렵지 않은 일이었다.
하지만 그땐 그때고 지금은 지금이다. 인수받은 에어이스페이스 제품은 시스코 WLSE에 있던 수준을 능가하는 꽤 뛰어난 무선 IDS 기능을 갖고 있었으며, 써드파티 WIDPS 업체와의 시스코 관계도 시들해 갔다. CTDP(Cisco Techno logy Developer Program)에서 유일하게 남은 WIDPS 제조업체는 에어타이트뿐이다.
최근 시스코는 원래의 제품 라인과 자율(autonomous) AP, 그리고 에어이스페이스에서 인수한 분산형 장비를 공급하고 있다. 보다 정교한 WIDPS 기능을 원하는 시스코 고객이라면 시스코에서 개선을 약속한 유니파이드 와이어리스(Unified Wireless) 장비로 업그레이드를 해야 할 것이다.
시스코, 독자 노선 고집
우리로서는 시스코가 입장을 바꿔 다시 WIDPS 파트너를 이용했으면 하는 바람이다. 인터뷰에서 시스코측 대리인들은 이 회사가 유무선 인프라를 아우르는 보다 전체적인 통합 방안을 제공할 계획이라고 말했다. 이들은 또한 이러한 무선 보안 영역에서의 발전과 WFP(Wireless Frame Protec tion)를 통해 관리 프레임을 보안해 줄 IEEE의 TGw(Task Group w) 작업이 걱정을 잠재워 줄 것이라고 주장했다. 나아가 이들은 대부분의 공격은 온 채널(on-channel)이며 그 본성상 짧고 버스티하다고 주장하면서, 위치 기반 서비스는 ‘단순히 호기심에 불과하다’고 덧붙였다.
공격이 온 채널이라는 주장은 우리도 공감한다. 인프라에 대한 공격은 사실 채널에서 발생해야 하기 때문이다. 하지만 이것은 불량 AP는 말할 것도 없고 다른 채널에서 형성될 수 있는 애드혹 네트워크와 클라이언트 연합오류(misassociation)를 고려하지 않은 것이다. 시스코 AP는 서비스를 제공하는 동안 채널을 정기적으로 순회하지만, 지속적인 스캐닝을 위해 센서를 할당하는 시스템만큼 신속하게 문제를 발견하지 못하며, 무선 클라이언트를 지원할 필요없이 위협 완화(mitigation)를 수행할 수 있는 전파만큼 효과적이지도 못하다. 시스코 AP가 두 가지를 모두 잘 할 수 있다면 국방부 고객이 WIDPS 시스템을 구입할 일은 없을 것이다.
무선 및 유선 제품들간에 IDS/IPS의 전체적 접근방식을 택하겠다는 시스코의 모호한 주장은 그러나 앞으로의 계획에 몇 가지 가능성을 제시하고 있다. 즉 시스코는 유선에서 불량 IP 식별 작업을 해서 네트워크에 있거나 없는 것들을 소팅할 수도 있겠다. 또 한 가지, 무선 공격자가 이미 침입 경로를 발견한 유선쪽 공격을 식별해 낼 수도 있다.
알람/경보 관리·정책 구성에 중점
결론적으로 말하자면 대부분의 기업들은 별도의 WIDPS 인프라에 기꺼이 돈을 지불하려 하지 않을 것이기 때문에, 시스코 솔루션은 자사 설치 기반의 대다수를 만족시킬 수 있을 만큼만 충분히 좋으면 그만이다. 하지만 시스코는 WIDPS 시장에서 독자 노선을 고집함으로써 보다 보안에 민감한 고객들을 잃고 있는 듯하다.
다양한 무선 보안 시스템이 다양한 공격을 정확히 식별해 내는 능력에 구애를 받을 필요는 없다. 이번 리뷰에서 우리는 벡터 X가 공격 Y를 식별할 수 있는지 여부보다는 알람/경보(alarm/alert) 관리, 정책 구성, 견제 및 로케이션 능력에 더욱 역점을 뒀다.
여러분이 구매 결정을 내릴 때도 우리와 같은 입장이기를 권하는데, 그 이유는 전자가 WIDPS에서 비교적 성숙한 면이기 때문이다. 통계는 논외로 하더라도 우리 경험상 시그니처 기반 식별은 업체측의 공격 툴이 좋은 만큼만 좋기 마련이다. WIDPS 업계는 스노트(Snort)의 선례를 따라 서명을 투명하게 만들고 알람 관리, 프리젠테이션 및 응답에 주안점을 둬야 한다.
오픈소스 공격은 참가 제품 모두가 쉽게 식별했지만, 한 업체에서 내부적으로 개발한 공격 서명을 다른 업체 시스템에서 집어낼 수 있는지 여부는 완전히 동전 던지기였다. 자체 제품을 테스트하는 용도로 개발된 공격 툴 벡터 A는 벡터 B 장비에서 식별되지 않을지도 모른다. 이는 벡터 B가 공격을 식별하는 알람이나 규정을 만들지 않아서가 아니라, 시그니처가 포괄적이지 못하기 때문이다.
아루바가 모든 것을 할 수 있을까?
본지 설문에 참여한 독자들이 크고 분명하게 외치는 소리가 있는데, 그것은 바로 보안 무선 접속성을 제공하고, 이것을 보호도 해주는 하나의 인프라를 원한다는 것이다. 이전에 본지에서 실시한 엔터프라이즈 무선랜 테스트에서는 아루바 네트웍스가 무리들 중 가장 두드러진 모습을 보인 바 있다. 아루바는 집중식 암호화에서부터 통합 스테이트풀 방화벽(integrated stateful firewall), 그리고 와이어리스 인트루전 프로텍션(Wireless Intrusion Protection) 모듈에 이르기까지, 자사 제품에서 보안을 가장 핵심 영역으로 고려했다.
하지만 클라이언트 지원과 무선 모니터링 제공 모두에 무선 통신(radio)을 사용한다는 것은 결코 쉬운 일이 아니다. 무선 통신은 한 번에 51개의 무선 채널들 가운데 단 하나에만 있을 수 있으며, 가장 흔히 사용되는 10여 개의 채널로 스캔을 줄인다고 해도 바쁜 무선 네트워크로 인해 불량 장비 탐색에 걸리는 시간의 양이 결코 만만치 않을 것이다.
불량 AP, 클라이언트, 혹은 우발적 연합들에 대한 적절한 견제는 자원을 소모시키며 기업 AP에서 연합된 클라이언트를 적절히 지원하지 못하게 한다. 이런 이유로 아루바는 에어 모니터(Air Monitor) 설치를 권장하는데, 이들은 원래 센서의 AP다(모드만). 이들은 일반 AP에 일 대 일로 설치될 필요는 없지만 오버레이(overlay) 센서와 유사한 방식으로 설치돼야 한다. 아루바 고객은 한 세트의 무선 하드웨어와 하나의 관리 콘솔만 유지보수하면 되며, 그래도 여전히 전체적인 네트워크 보안 상태를 보다 잘 통찰할 수 있는데, 그 이유는 아루바 인프라가 AP에서 유선 네트워크로 들어오는 암호해독된 패킷을 보기 때문이다.
아루바는 불량 AP 방지, DoS(denial-of-service) 및 MITM(man-in-the-middle) 공격 탐지, 견제, 그리고 구성 정책 모니터링 등 오버레이 사업자와 같은 모든 기능이 가능하다고 주장하고 있다. 물론 로케이션 기능이 무선 인프라 시스템의 기본 요소가 되어가고 있기 때문에, 불량 AP 식별에서도 같은 기능이 제공될 수 있을 것이다.
아루바는 유선쪽 포트 추적 및 종료, 세부적인 포렌직 히스토리(detailed forensic history), 그리고 규정 준수 보고서 등에서 약간 부족한 모습을 보였다. 하지만 이러한 한계점 때문에 연방 정부와 군사시설 설치 기반에서 아루바의 와이어리스 인트루전 프로텍션 모듈을 사용하지 않는 것은 아니다. 아루바 측에 따르면 몇 건의 계약이 진행 중이라고 하며, 마이크로소프트도 또한 WIDPS 기능을 위해 아루바 제품을 배치했다.
불량 AP 탐지 기술
무선 서비스를 보안으로 배치하는 데 자신이 없는 기업들은 엄격한 ‘노 와이어리스(no wireless)’ 정책을 내걸기를 좋아한다. 하지만 생산 무선랜이 있는 회사라 하더라도 네트워크에 액세스하는 AP는 계속 지켜볼 필요가 있다. 이 기사를 위한 설문조사에서 독자의 68%는 무선랜 정책이 마련돼 있거나, 만들고 있는 중이라고 답했다. 문제는 정책만 있으면 오히려 프로세스를 느리게 할 뿐이라는 사실이다. 언제든 직원은 가까운 전자대리점으로 가서 보안에 자유로운 소호 AP를 구입해서 회사에 설치할 것이기 때문이다.
노 와이어리스 정책에 반항하는 일은 쉬운 일이 아니다. 금융 서비스 및 정부 기관이라면 센서 기반의 오버레이 설치를 정당화할 수 있겠지만, 무선랜 배치를 위한 비즈니스 케이스를 만들지 못하는 회사들로서는 무선 네트워크 비용의 25~50%를 불량 장비로부터의 보호에 쓴다는 게 엄두가 나지 않을 것이다.
여기서 바로 불량 AP 탐지 기술이 효과를 발휘한다. 와이메트릭스(WiMetrics)의 와이센트리(WiSentry) AP 대행자는 네트워크 세그먼트당 한 대의 PC에서 하나의 서비스로 돌아가며, 혹은 가상랜이 많을 경우 다중 가상랜으로 연결된 802.1Q 트렁크 포트에서 에이전트가 탐지를 할 수도 있다. 와이센트리는 AP를 탐지한 다음 이런 장비의 추가 탐색 기능을 구행한다. 불량 가능성을 발견할 경우 대행자는 장비의 MAC 및 IP 어드레스를 컨트롤 서버로 보고한다. 그리고 와이센트리 어드미니스트레이터 콘솔(WiSentry Administrator Console)은 IT가 보다 깊이 들어갈 수 있게 해준다.
네트워크케미스트리는 최근 유선 전용 블량 스캐너인 RF프로텍트 스캐너(RFprotect Scanner)를 발표했다. 이것은 네트워크 케미스트리가 이들의 엔드포인트(Endpoint) 클라이언트 제품에서 수집했던 데이터가 뿌려진 장비 지문(fingerprint)의 중앙 데이터베이스를 기반으로 한다. 로그스캐너(RogueScanner)에는 두 가지 버전이 있는데, 하나는 공급업체측에서 데이터베이스 구축 용로로 쓰일 것으로 희망하는 풀 스캐닝(full scanning) 능력을 갖춘 오픈 소스 툴이고, 다른 하나는 스캐닝 결과물을 저장할 수 있고, 포괄적 보고서와 자동 치료 기능을 추가해 주는 구매용 어플라이언스다.
버전에 관계없이 이 제품은 전체 네트워크의 핑 스윕(ping sweep)을 수행함으로써 기존 장비를 식별하며, 그런 다음 타깃 포트/서비스 스캔을 수행한다. 여기서 MAC 어드레스, SNMP, HTTP 및 텔넷 질의 결과 등과 같은 세부 사항들이 수집되어 분석을 위해 네트워크 케미스트리의 데이터베이스로 전송된다. 이러한 입력물을 기반으로, 장비의 종류와 모델이 고객에게 전달된다.
물론 이런 제품들이 무선 애드혹 클라이언트를 식별해 주거나, 회사의 무선 클라이언트와 이웃 AP와의 우발적 연합을 밝혀내 주지는 못하겠지만, 이들은 불량 장비를 네트워크에 들어오지 못하게 지켜줄 것이다.
‘모두가 같은 불량은 아니다’
모든 불량 장비가 똑같이 만들어지는 것은 아니다. 초창기 WIDS가 불량 장비를 발견했을 때 무선 관리자는 마녀 사냥을 하는 사람들처럼 정책 위반자를 기둥에 묶고 태우는 게 목적이었다. 하지만 장비가 사라지면 어쩔 수 없이 시어즈 서비스 트럭도 사라지며, 혹은 돌아다니는 소리때문에 아래층 사람이 올라올지도 모른다.
여기서 교훈은, 알려지지 않은 모든 액세스 포인트가 불량은 아니라는 것이다. 이 중에는 클라이언트가 이들과 연합되지 않는 한 아무런 해도 끼치지 않는, 지나가는 사람이거나 이웃이 있을 수도 있다. 진정한 불량(네트워크나 주변경계 안으로의 접속이 허용되지 않은 장비)은 나아가 능동적, 수동적, 그리고 온 로케이션(on-location)의 세 가지 위협 단계로 나뉜다. 능동적 불량은 유선 네트워크와 커뮤니케이팅을 하는 연합 클라이언트를 갖고 있다. 예를 들어 직원이 소호 AP를 자신의 네트워크 잭에 연결하고, 랩톱에 내장된 무선 카드를 그 AP로 연합시킬 수 있다.
수동적 불량은 연합된 클라이언트는 없지만 어느 순간에든 클라이언트를 수용할 수 있다. 이런 예로는 직원이 랩톱을 가진 손님을 위해 회의실에서 접속하는 AP가 될 수 있다. 온 로케이션 불량은 어느 때든 네트워크에 꽂힐 수 있고 여기에 연합된 장비가 있을 수 있는 조직 경계 내의 미확인 AP다. 이러한 것들로는 테스트용으로 사용됐다가 테스트가 끝난 후 네트워크에 꽂히지 않은 무고한 AP가 있을 수도 있다.
우리가 분석한 WIDPS 제품들은 온 로케이션이나 이웃의 액세스 포인트를 차별화하지 못했지만, 이러한 능력을 약속한 에어디펜스의 서베이의 프리뷰가 곧 준비될 것이다. 네트워크 케미스트리의 RF프로텍트는 네트워크에 접속되지 않은 불량 장비를 무시하도록 구성될 수 있다.
업체들이 허가받지 않은 AP가 유선 네트워크에 있는지 여부를 확인하는 한 가지 방법은 유선 쪽에서 레이어 2 브로드캐스트 메시지를 보냄으로써 AP가 트래픽을 무선으로 보내고 있는지 여부를 확인하는 것이다. AP가 그렇게 할 경우 무선 센서가 트래픽을 잡아서 불량의 레이어 2 네트워크를 식별한다.
에어디펜스, 에어마그네트 및 네트워크 케미스트리는 SNMP를 통해 네트워크 스위치를 폴링(polling) 함으로써 스위치에 있는 각각의 포트와 연관된 MAC 어드레스를 파악한다. 무선 브리지의 경우 무선 클라이언트의 MAC 어드레스가 인터페이스에서 발견될 것이기 때문에 이것을 상호연관시키기는 아무 일도 아니다. 와이어리스 클라이언트 A의 MAC 어드레스가 스위치 포트 10에 있고 AP X로 연합될 경우 AP X는 스위치 포트 10에 있을 것이다. 무선 라우터가 있으면 WAN 포트의 MAC 어드레스는 보통 무선 통신당 하나인 무선 MAC 어드레스나 BSSID와 불과 몇 비트밖에 떨어져 있지 않을 것이다(즉 00:00:E0:15:44: 90 대 00:00:E0:15:44:88). 역시 상호연관되기 쉽다.
AP가 암호화되지 않았다면 WIDPS 센서는 불량과 연합을 하여 IP 어드레스를 확보하고, WIDPS 서버로 특수 패킷을 보낼 것이다. 그러면 서버는 불량 AP가 네트워크에 있다는 사실을 안다. 같은 레이어 2 네트워크에 있을 경우 서버는 스위치 포트를 식별할 수 있을 것이다.
불량이 한 두 호프(hop) 떨어져 있을 경우 이것은 라우터의 ARP 테이블을 거두어 들여 장비의 MAC 어드레스를 찾거나, 원격 네트워크 세그먼트에 있는 대행자를 이용해 이것을 할 수 있다. 보안 무선 라우터에 서로 다른 왠과 MAC 어드레스가 있는 최악의 경우라면 어떻겠는가? 테스트에서 우리는 정확히 이 역할을 하도록 링크시스 WRT55AG를 구성했다. 어떠한 WIDPS도 특정 포트를 식별할 수 없었으며, 단 놀랍게도 세 제품은 불량이 유선 네트워크 어딘가에 있다는 말은 해줬다.
다행히도 대부분의 WIDPS 업체들은 불량 장비의 위치파악은 제대로 해냈으며(최소 400 평방피트 영역 이내), 이런 업체들은 보통 마지막 몇 피트에서의 제로잉(zeroing)을 위한 모바일 시스템을 제공하고 있다.
