PMF(Protected Management Frame)

PMF는 이번에 발표를 준비하면서 알게된 새로운 기능이다.

논외로 일정이 자꾸 생겨서 발표하기까지 너무 오랜기간이 걸렸다.

그럼에도 좋은 자리와 경험을 제공해주신 관계자분들께 너무 감사했다.

( 분위기부터 열정까지 많이 배우고 느낄 수 있어서 너무 좋았습니다!! )

삼성 갤럭시에 존재하는 기능으로 일정 모델 이후에 있다고 한다.

(검색해보니 최소 S8 이상)

해당 기능은 2009년에 등장했으며 IEEE802.11w에서

공격으로부터 관리프레임을 보호하기위해 개정 목표로 정한 기능 중 하나다.

여기서 정한 목표는 크게 "비인증"과 "연결해제" 공격에 대한 해결이다.

즉, 관리 프레임의 위조를 통한 공격과 스푸핑을 방어하는 것이다.

IEEE802.11w 기술의 핵심은 프레임에 대한 출처를 인증하는 것이며

PMF를 통해 수신된 관리 프레임의 출처를 보장할 수 있게됨으로써

(AP에 연결된 다른 Station으로부터) 스푸핑이나 위조 공격행위를 방지할 수가 있는 것이다.

( 밑줄 : 참고로 Monitor 모드를 이용하면 AP에 연결되지 않아도 스푸핑이나 위조 공격이 가능하다 )

< IEEE802.11 Frame >

* 그림 참조 : http://www.ktword.co.kr/abbr_view.php?nav=&m_temp1=3352&id=761 *

이 말의 의미를 이해하기 위해서는 IEEE802.11의 프레임의

형태를 이해할 수 있어야한다. 해당 프레임은 Type과 Subtype에

따라서 기능과 역할이 달라진다. Type에는 3가지가 존재하며

이 중에 관리 프레임을 보호하기위한 기법이 바로 PMF이다.

무선 공부를 조금이라도 해봤다면 한번씩은 만났을 프레임들이

거의 대부분 관리 프레임의 Subtype으로 존재한다.

어쨌든 이러한 관리프레임을 보호해주는 기능이 바로 PMF이다.

조금 더 디테일하게 보자면 PMF에는 AP와 클라이언트간의 3가지 구성이 존재한다.

None / None 

의미 그대로 셋팅 또는 활성화 할 수 없는 경우

Capable / Optional : 

AP가 PMF 기능을 보유 / 클라이언트에 PMF 기능이 지원되며 클라이언트가 사용여부 결정

Required / Mandatory :

AP가 PMF 기능을 보유(필수) / 클라이언트가 반드시 PMF 기능이 지원되어야 연결 가능(필수)

우리는 위의 3가지 형태를 AP가 전송하는 Beacon Frame의

RSN Information Tag에서 어떤식으로 구성되어있는지 확인할 수 있다.

아래 나올 시연 영상을 찍으면서 잡은 패킷의 Beacon Frame이다.

해당 Frame의 RSN(Robust Security Network) Inforamtion Tag의 비트를 확인해보면 

Management Frame Protection Required(MFPR)의 셋팅 비트는 "False" 이고

Capable(MFPC)의 비트는 "True"로 구성되어 있다는 것을 확인할 수 있었다.

RSN capabilities 필드 중 MFPR, MFPC는 Beacon, Probe Frame에 셋팅되어 전송된다.

MFPR의 비트가 1인 경우 : AP 또는 Station은 상대방과 IEEE802.11w일 때만 서로 연결이 가능(필수)

MFPC의 비트가 1인 경우 : AP 또는 Station은 상대방과의 IEEE802.11w의 연결이 선택사항 

또한 아래의 Group Management Cipher Suite를 확인해보면

BIP( Broadcast / Multicast Integrity Protocol)를 확인할 수 있는데

이는 역시 802.11w 즉, PMF와 관련이 있는 프로토콜이며

Broadcast와 Multicast의 관리 프레임을 보호하는데 사용된다.

그래서 이러한 PMF를 이용한 관리프레임을 보호의 장점은 

바로 Deauthentication Attack을 방어할 수가 있다. Deauth Attack은

인증 해제 프레임(Deauthentication)을 이용한 공격으로

공격자가 변조를 통해 마치 AP인척 Station에게 인증해제를

 하도록 하는 공격인데 패킷을 변조해서 보내거나 Aireplay-ng를

이용하면 누구나 손쉽게 간단한 명령어로 공격을 진행할 수 있다. 

( 타인에게 하는 불법적인 공격은 절대 안된다. 안전한 테스트 환경 구축 후 진행하자)

이러한 공격을 방어에 이용하는 대표적인 장비에는

무선 방화벽으로 알려져 있는 WIPS( Wireless intrusion Prevention System)

 무선 침입 방지시스템이 있다. 해당 장비는 Deauth를 이용해서 외부에서의 접속을

차단하는 것으로 알려져있다. 나 또한 이러한 공격으로 진행한 Side Effect를

이전에 블로그에 포스팅한 적이 있으니 참고해주시면 감사하겠습니다^^

< PMF 시연 영상 >

가족들 중에 갤럭시 폰을 사용하는 사람들이 있어서 직접 PMF를 실험해보았다.

영상에서 알 수 있듯 PMF 비활성화 시, Deauth로 인한 인증해제에 성공하였다.

즉, 와이파이 통신을 끊는데 성공하였다. 

하지만 PMF 적용 시, 통신을 끊는데 실패함을 확인할 수 있었다.

아직까지는 이러한 기능이 적용되어있는 기기들이 적은 것으로 알고 있다.

WPA3가 대중화되면 이러한 기능들이 기본적으로 탑재되어

나올 거 같은데 그때가 되면 또 실험을 해봐야겠다.

본인이 갤럭시를 사용한다면 PMF 기능을 꿀팁으로 알아두고 사용하자!!

참고 : https://dot11.exposed/2018/10/13/802-11w-2009-protected-management-frames-pmf-overview-and-lab-tests/

https://www.cleartosend.net/802-11w-management-frame-protection/

https://patents.google.com/patent/WO2017091047A1/ko