KR101006113B1 - Method and apparatus for checking firewall policy - Google Patents

Method and apparatus for checking firewall policy Download PDF

Info

Publication number
KR101006113B1
KR101006113B1 KR1020080089981A KR20080089981A KR101006113B1 KR 101006113 B1 KR101006113 B1 KR 101006113B1 KR 1020080089981 A KR1020080089981 A KR 1020080089981A KR 20080089981 A KR20080089981 A KR 20080089981A KR 101006113 B1 KR101006113 B1 KR 101006113B1
Authority
KR
South Korea
Prior art keywords
intrusion prevention
rule
network intrusion
prevention rule
checking
Prior art date
Application number
KR1020080089981A
Other languages
Korean (ko)
Other versions
KR20090065423A (en
Inventor
이상훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/249,022 priority Critical patent/US20090158386A1/en
Publication of KR20090065423A publication Critical patent/KR20090065423A/en
Application granted granted Critical
Publication of KR101006113B1 publication Critical patent/KR101006113B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Technology Law (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안 기술에 관한 것으로, 침입 차단 시스템에서 사용되는 침입 차단 규칙의 설정 오류를 자동으로 점검하기 위한 장치 및 방법을 제공한다. The present invention relates to network security technology, and provides an apparatus and method for automatically checking for setting errors of an intrusion prevention rule used in an intrusion prevention system.

이를 위하여, 본 발명에 따른 침입 차단 규칙 점검 방법은, 점검 대상 침입 차단 규칙이 운영중인 침입 차단 시스템을 위한 규칙인지 신규 침입 차단 시스템을 위한 규칙인지 판단하는 단계; 상기 점검 대상 침입 차단 규칙이 상기 운영중인 침입 차단 시스템을 위한 규칙인 경우 상기 운영중인 침입 차단 시스템에 적용된 기존 침입 차단 규칙과 비교함으로써 상기 침입 차단 규칙의 오류를 점검하는 단계; 상기 점검 대상 침입 차단 규칙이 상기 신규 침입 차단 시스템을 위한 규칙인 경우 상기 신규 침입 차단 시스템에 상기 침입 차단 규칙이 적용된 상태를 시뮬레이션함으로써 상기 침입 차단 규칙의 오류를 점검하는 단계를 포함한다. To this end, the intrusion prevention rule check method according to the present invention comprises the steps of determining whether the inspection target intrusion prevention rule is a rule for the intrusion prevention system in operation or a rule for the new intrusion prevention system; Checking the error of the intrusion prevention rule by comparing with the existing intrusion prevention rule applied to the operating intrusion prevention system when the inspection target intrusion prevention rule is a rule for the operating intrusion prevention system; And checking the error of the intrusion prevention rule by simulating a state where the intrusion prevention rule is applied to the new intrusion prevention system when the inspection target intrusion prevention rule is a rule for the new intrusion prevention system.

침입 차단 시스템, 침입 차단 규칙, 규칙 점검 Intrusion Prevention System, Intrusion Prevention Rules, Rule Check

Description

침입 차단 규칙 점검 장치 및 방법{METHOD AND APPARATUS FOR CHECKING FIREWALL POLICY}METHOD AND APPARATUS FOR CHECKING FIREWALL POLICY}

본 발명은 네트워크 보안 기술에 관한 것으로, 특히 침입 차단 시스템에서 사용되는 침입 차단 규칙의 취약점을 점검하기 위한 장치 및 방법에 관한 것이다. The present invention relates to network security technology, and more particularly, to an apparatus and method for checking a vulnerability of an intrusion prevention rule used in an intrusion prevention system.

오늘날 초고속 네트워크의 확산 및 인터넷(Internet)의 빠른 보급으로 인해 인터넷을 통해 서비스를 수행하는 웹 서버(web server) 또한 빠르게 발전하고 있다. 이러한 웹의 등장으로 기업의 사업 방법, 정보를 찾는 방법 등의 새로운 기능이 제시되었다. 각 기업들은 자사와 상품의 홍보를 위하여 홈 페이지(home page)를 운영하며, 심지어 인터넷 사용자들까지도 자신들의 홈 페이지를 운영하는 등 인터넷이 대중화 및 일반화되고 있는 것이 현실이다.Today, due to the proliferation of high speed networks and the rapid spread of the Internet, web servers that perform services through the Internet are also rapidly developing. With the advent of the web, new features such as how companies do business and find information are presented. Each company operates a home page to promote its products and products, and even the Internet users have their own home pages.

그러나 인터넷의 대중화 및 일반화와 병행하여 웹 서버의 취약점을 이용하는 해킹의 기술도 점차 고도화되고 있는 실정이다. 즉 웹 서버의 관련 CGI(Common Gateway Interface) 등의 잘못된 구현으로 인한 여러 가지 보안에 대한 취약점이 최근 해커들의 주요 공격 대상이 되고 있다.However, along with the popularization and generalization of the Internet, the technology of hacking that exploits the weakness of the web server is also being advanced. In other words, various security vulnerabilities due to improper implementation of the CGI (Common Gateway Interface) related to the web server have recently been the target of hackers.

한편, 네트워크 기술의 발달로 인해 해킹의 기술도 점차 고도화되고 있으며, 이를 방어하기 위한 기술, 즉 침입 차단 시스템에 관한 기술 또한 날로 발전하고 있다. 상기 침입 차단 시스템에 관한 기술의 발전은 전산 시스템에 대한 보안을 혁신적으로 향상시킬 수 있었다. 뿐만 아니라 관리자는 개별 시스템을 모두 관리해야 하는 어려움에서 벗어나 네트워크 단위로 시스템들을 관리함으로써 업무의 부담이 격감하고, 시스템들의 관리에 따른 실수의 여지도 줄었다.On the other hand, due to the development of network technology, the technology of hacking is gradually advanced, and technology for defending this, that is, technology for intrusion prevention system is also being developed day by day. Advances in technology related to the intrusion prevention system have been able to revolutionize the security of computer systems. In addition, administrators can manage the systems on a network basis to overcome the difficulty of managing all the individual systems, thereby reducing the burden of work and reducing the number of mistakes caused by the management of the systems.

그러나 침입 차단 시스템 역시 네트워크가 대규모화되고 분할됨에 따라 그 설정이 복잡하고 다양해지고 있어, 이를 관리하는 관리자가 침입 차단 시스템에 대한 침입 차단 규칙 설정 시 많은 실수를 야기하고 있다. 뿐만 아니라 최근에는 관리자의 설정 오류에 기인하는 취약점으로 인해 해커들로부터 많은 네트워크가 공격당하고 있다. However, the intrusion prevention system has become complicated and diverse as the network is enlarged and divided, and the administrator who manages it causes many mistakes when setting the intrusion prevention rule for the intrusion prevention system. In addition, recently, many networks have been attacked by hackers due to vulnerabilities caused by administrator misconfiguration.

또한, 침입 차단 시스템 규칙에 대한 점검 수행 시 모든 점검이 수동으로 이루어지고 있기 때문에 점검자의 실수로 인한 취약점을 내포하고 있는 침입 차단 규칙이 존재하는 경우도 있으나, 이를 점검하기 위한 방안이 마련되어 있지 못한 실정이다. In addition, since all the checks are performed manually when performing checks on the intrusion prevention system rules, there are some intrusion prevention rules that contain vulnerabilities due to the error of the inspector. However, there is no method for checking the intrusion prevention system rules. to be.

따라서 침입 차단 시스템에 설정된 침입 차단 규칙을 보다 효율적으로 점검하기 위해서는 침입 차단 시스템에 설정된 침입 차단 규칙에 대한 자동 점검을 수행할 수 있는 방안 마련이 절실히 요구된다. Therefore, in order to more efficiently check the intrusion prevention rules set in the intrusion prevention system, it is urgently required to prepare a method that can automatically check the intrusion prevention rules set in the intrusion prevention system.

따라서, 본 발명의 목적은, 침입 차단 시스템에서 사용되는 침입 차단 규칙의 설정 오류를 자동으로 점검하기 위한 장치 및 방법을 제공하는 데에 있다. Accordingly, it is an object of the present invention to provide an apparatus and method for automatically checking for setting errors of an intrusion prevention rule used in an intrusion prevention system.

또한, 본 발명의 다른 목적은, 현재 운영중이거나 신규 도입될 침입 차단 시스템에서 적용되거나 적용될 침입 차단 규칙에 대한 취약점을 자동 점검하기 위한 장치 및 방법을 제공하는 데에 있다. Another object of the present invention is to provide an apparatus and a method for automatically checking a vulnerability for an intrusion prevention rule applied or applied in an intrusion prevention system currently in operation or newly introduced.

그 외의 본 발명에서 제공하고자 하는 목적은 하기의 설명 및 본 발명의 일실시 예에 의하여 파악될 수 있다.Other objects to be provided by the present invention can be understood by the following description and an embodiment of the present invention.

이를 위하여, 본 발명의 일실시 예에 따른 침입 차단 규칙 점검 방법은, 점검 대상 침입 차단 규칙이 운영중인 침입 차단 시스템을 위한 규칙인지 신규 침입 차단 시스템을 위한 규칙인지 판단하는 단계; 상기 점검 대상 침입 차단 규칙이 상기 운영중인 침입 차단 시스템을 위한 규칙인 경우 상기 운영중인 침입 차단 시스템에 적용된 기존 침입 차단 규칙과 비교함으로써 상기 침입 차단 규칙의 오류를 점검하는 단계; 상기 점검 대상 침입 차단 규칙이 상기 신규 침입 차단 시스템을 위한 규칙인 경우 상기 신규 침입 차단 시스템에 상기 침입 차단 규칙이 적용된 상태를 시뮬레이션함으로써 상기 침입 차단 규칙의 오류를 점검하는 단계를 포함한다. To this end, the intrusion prevention rule check method according to an embodiment of the present invention, determining whether the inspection target intrusion prevention rule is a rule for the operating intrusion prevention system or a rule for the new intrusion prevention system; Checking the error of the intrusion prevention rule by comparing with the existing intrusion prevention rule applied to the operating intrusion prevention system when the inspection target intrusion prevention rule is a rule for the operating intrusion prevention system; And checking the error of the intrusion prevention rule by simulating a state where the intrusion prevention rule is applied to the new intrusion prevention system when the inspection target intrusion prevention rule is a rule for the new intrusion prevention system.

본 발명의 다른 일실시 예에 따른 침입 차단 규칙 점검 장치는, 점검 대상 침입 차단 규칙을 입력 받는 침입 차단 규칙 입력부와, 상기 점검 대상 침입 차단 규칙을 운영중인 침입 차단 시스템에 적용된 기존 침입 차단 규칙과 비교함으로써 상기 침입 차단 규칙의 오류를 점검하는 점검부와, 상기 점검부의 점검 결과를 출력하는 점검 결과 출력부를 포함하는 것을 특징으로 한다.Intrusion prevention rule inspection apparatus according to another embodiment of the present invention, the intrusion prevention rule input unit for receiving the inspection target intrusion prevention rule input unit, and the inspection target intrusion prevention rule is compared with the existing intrusion prevention rule applied to the intrusion prevention system operating; And a check result output unit for checking an error of the intrusion prevention rule and a check result output unit for outputting a check result of the check unit.

본 발명에서 제안하는 침입 차단 규칙 점검 방법 및 장치에 의하면, 현재 운영중이거나 신규 도입될 침입 차단 시스템에서 적용되거나 적용될 침입 차단 규칙의 설정상 오류를 자동으로 점검하여 관리자에게 알림으로써, 침입 차단 시스템의 안전한 운영 환경을 마련할 수 있는 이점이 있다. According to the intrusion prevention rule checking method and apparatus proposed by the present invention, by automatically checking the error in the setting of the intrusion prevention rule applied or applied in the intrusion prevention system that is currently operating or will be introduced to the administrator, This has the advantage of providing a safe operating environment.

또한 침입 차단 시스템에 침입 차단 규칙을 적용하기 전에 상기 침입 차단 시스템과 유사한 환경에서 상기 침입 차단 규칙을 사용했을 경우를 시뮬레이션 수행함으로써, 상기 침입 차단 시스템에 상기 침입 차단 규칙이 적용되었을 때의 취약점을 점검할 수 있다.Also, by applying the intrusion prevention rule in an environment similar to the intrusion prevention system before applying the intrusion prevention rule to the intrusion prevention system, the vulnerability when the intrusion prevention rule is applied to the intrusion prevention system is checked. can do.

하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술 되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, detailed descriptions of well-known functions or configurations will be omitted if it is determined that the detailed description of the present invention may unnecessarily obscure the subject matter of the present invention. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intentions or customs of users or operators. Therefore, the definition should be made based on the contents throughout the specification.

본 발명에서 제안하는 침입 차단 규칙 점검 장치는 현재 운영 중인 침입 차단 시스템에 영향을 미치지 않도록 하기 위해 침입 차단 시스템과 물리적으로 별도의 위치에 설치될 수 있다. 또한, 상기 침입 차단 규칙 점검 장치는 상기 침입 차단 시스템의 침입 차단 규칙을 입력받아 상기 침입 차단 규칙의 취약점을 점검하는 구조를 가질 수 있다. The intrusion prevention rule check apparatus proposed by the present invention may be installed at a physically separate location from the intrusion prevention system so as not to affect the intrusion prevention system currently in operation. In addition, the intrusion prevention rule check apparatus may have a structure for checking the vulnerability of the intrusion prevention rule by receiving an intrusion prevention rule of the intrusion prevention system.

또한 침입 차단 규칙 점검 장치에 침입 차단 규칙을 입력하기 전에 상기 침입 차단 규칙이 상기 침입 차단 규칙 점검 장치에 입력되었을 때의 취약점을 시뮬레이션 수행을 통해 점검하는 구조를 가진다.In addition, before inputting an intrusion prevention rule into the intrusion prevention rule check device, the vulnerability is detected when the intrusion prevention rule is input to the intrusion prevention rule check device through simulation.

즉 본 발명의 일실시 예로써 제안되는 상기 침입 차단 규칙 점검 장치는 관리자로부터 또는 침입 차단 시스템으로부터 침입 차단 규칙을 입력받아 설정 오류로 인한 취약점이 존재하는지를 점검하고, 점검된 결과를 관리자에게 보고하는 역할을 수행한다.That is, the intrusion prevention rule checking apparatus proposed as an embodiment of the present invention receives an intrusion prevention rule from an administrator or an intrusion prevention system and checks whether there is a vulnerability due to a setting error, and reports the checked result to the administrator. Do this.

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시 예에 따른 침입 차단 규칙 점검 장치의 구성도이다. 도 1을 참조하면, 본 발명의 일실시 예에 따른 상기 침입 차단 규칙 점검장치는 침입 차단 규칙 입력부(110), 점검부(120) 및 점검 결과 출력부(130)를 포함한다. 1 is a block diagram of an intrusion prevention rule check apparatus according to an embodiment of the present invention. 1, the intrusion prevention rule checking apparatus according to an embodiment of the present invention includes an intrusion prevention rule input unit 110, an inspection unit 120, and an inspection result output unit 130.

침입 차단 규칙 입력부(110)는, 현재 운영중이거나 신규 도입 예정인 침입 차단 시스템에서 적용되는 침입 차단 규칙을 수신한다. 침입 차단 규칙은 관리자에 의하여 직접 입력될 수 있다. 다른 실시예에서, 침입 차단 규칙 입력부(110)는 현재 운영중인 침입 차단 시스템으로부터 기존 침입 차단 규칙을 주기적으로 수집할 수도 있다. The intrusion prevention rule input unit 110 receives an intrusion prevention rule that is applied in an intrusion prevention system currently in operation or newly introduced. Intrusion prevention rules can be entered directly by the administrator. In another embodiment, the intrusion prevention rule input unit 110 may periodically collect existing intrusion prevention rules from an intrusion prevention system currently in operation.

점검부(120)는 침입 차단 규칙 입력부(110)에 의해 입력된 침입 차단 규칙의 설정 오류를 점검하는 기능을 수행하기 위해, 파싱 모듈(122), 취약점 점검 모듈(124) 및 시뮬레이션 모듈(126)을 포함한다.The checker 120 performs a parsing module 122, a vulnerability check module 124, and a simulation module 126 to perform a function of checking a setting error of an intrusion prevention rule input by the intrusion prevention rule inputter 110. It includes.

파싱 모듈(122)은 침입 차단 규칙 입력부(110)에 의해 입력된 침입 차단 규칙이 기존 침입 차단 시스템에 적용되는 규칙인 경우에 파싱을 수행하여 침입 차단 규칙을 기존 침입 차단 규칙과 비교가능한 형태로 출력한다.The parsing module 122 performs parsing when the intrusion prevention rule input by the intrusion prevention rule input unit 110 is a rule applied to an existing intrusion prevention system and outputs the intrusion prevention rule in a form comparable to the existing intrusion prevention rule. do.

취약점 점검 모듈(124)은 상기 파싱된 침입 차단 규칙과 침입 차단 시스템에 이미 적용된 기존 차단 규칙을 비교함으로써 침입 차단 규칙의 설정 오류를 점검한다. Vulnerability check module 124 checks the setting error of the intrusion prevention rule by comparing the parsed intrusion prevention rule and the existing blocking rule already applied to the intrusion prevention system.

예를 들어, 현재 운영중인 침임 차단 시스템에 차단 규칙 "출발지:10.10.10.*1, 목적지:any100.100.100.1, 프로토콜:any, 정책:deny"이 이미 적용되고 있다고 가정한다. 이후에, 새로운 차단 규칙 "출발지:10.10.10.100, 목적지:2100.100.100.1 *, 프로토콜:any, 정책:allow"규칙이 입력되면, 상기 새로운 규칙은 기존 침입 차단 규칙의 "정책:deny"에 위배되는 "정책:allow"를 포함하므로 설정 오류가 존재하는 것으로 판단한다.For example, suppose that the blocking rule "origin: 10.10.10. * 1, destination: any100.100.100.1, protocol: any, policy: deny" is already applied to the currently operating intrusion prevention system. Subsequently, if a new blocking rule "From: 10.10.10.100, Destination: 2100.100.100.1 *, Protocol: any, Policy: allow" rule is entered, the new rule violates the "Policy: deny" of the existing intrusion blocking rule. Because it contains "policy: allow", it is determined that a configuration error exists.

시뮬레이션 모듈(126)은 상기 침입 차단 규칙이 신규 도입 예정인 침입 차단 시스템에 적용되는 규칙인 경우에 상기 신규 침입 차단 시스템에 상기 침입 차단 규칙이 적용되는 상태에 대한 시뮬레이션을 수행함으로써 상기 신규 침입 차단 규칙에 취약점이 존재하는지를 점검한다. The simulation module 126 simulates a state in which the intrusion prevention rule is applied to the new intrusion prevention system when the intrusion prevention rule is a rule applied to an intrusion prevention system to be newly introduced. Check if the vulnerability exists.

예를 들어, 웹 서버를 방어하기 위해 외부에서 들어오는 패킷에 대하여 80번 포트(http 프로토콜 서비스)만을 허용하는 침입 차단 시스템을 새로 도입한다고 가정하고, 이러한 시스템에 에 신규 침입 차단 규칙 (1)'출발지: any, 목적지: 웹서버존, 프로토콜: http, 포트:80, 정책: allow', (2)'출발지: 웹서버존, 목적지: any, 프로토콜: http, 포트:80, 정책: allow' (3) '출발지: any, 목적지:any, 프로토콜: http, 포트:25, 정책: allow' 를 적용하고자 할 경우에, 시뮬레이션 모듈(126)은 상기 신규 도입 예정 침입 차단 시스템에 위의 상기 (1) 내지 (3) 규칙을 적용하여 시뮬레이션을 수행한다.For example, suppose you want to introduce a new intrusion prevention system that only allows port 80 (http protocol service) for incoming packets to defend your web server. : any, Destination: web server zone, protocol: http, port: 80, policy: allow ', (2)' From: web server zone, destination: any, protocol: http, port: 80, policy: allow '(3 ) In order to apply 'origin: any, destination: any, protocol: http, port: 25, policy: allow', the simulation module 126 applies the above-mentioned (1) to the newly introduced intrusion prevention system. (3) Perform the simulation by applying the rules.

시뮬레이션 수행 결과, 시뮬레이션 모듈(126)은 http 웹 서비스를 이용하기 위해 80번 포트를 허용하기 위한 규칙인 (1), (2) 규칙은 침입 차단 시스템의 목적에 부합한다고 판단하고, (3)번째 규칙은 25번 포트를 침입 차단 시스템에 허용하므로, 침입 차단 시스템의 본래 목적에 위배된다고 판단한다.As a result of the simulation, the simulation module 126 determines that the rules (1) and (2), which are the rules for allowing port 80 to use the http web service, meet the purpose of the intrusion prevention system, and (3) The rule permits port 25 to the intrusion prevention system, which determines that it violates the original purpose of the intrusion prevention system.

점검 결과 출력부(130)는 상기 취약점 점검 모듈(124)과 상기 시뮬레이션 모듈(126)로부터 제공되는 점검 결과를 관리자에게 출력한다. 상기 점검 결과 출력부(130)는 상기 점검 결과를 관리자가 인지하기 쉬운 형태의 그래픽 유져 인터페이스(GUI: Graphic User Interface)를 통해 출력할 수 있다. The check result output unit 130 outputs the check result provided from the vulnerability check module 124 and the simulation module 126 to an administrator. The inspection result output unit 130 may output the inspection result through a Graphic User Interface (GUI) in a form that an administrator can easily recognize.

도 2는 본 발명의 일실시 예에 따른 침입 차단 규칙의 취약점을 점검하기 위한 제어 흐름을 보여주는 흐름도이다. 2 is a flowchart illustrating a control flow for checking a vulnerability of an intrusion prevention rule according to an embodiment of the present invention.

단계(210)에서 침입 차단 규칙이 입력된다. 상기 침입 차단 규칙은 현재 운영중인 침입 차단 시스템에서 사용되거나 사용될 침입 차단 규칙 또는 신규 도입 예정인 침입 차단 시스템에서 사용될 침입 차단 규칙일 수 있다. In step 210, an intrusion prevention rule is entered. The intrusion prevention rule may be an intrusion prevention rule to be used or used in an intrusion prevention system currently in operation or an intrusion prevention rule to be used in an intrusion prevention system to be newly introduced.

침입 차단 규칙은 관리자로부터 입력받을 수 있으며, 특히 기존 침입 차단 규칙은 침입 차단 시스템으로부터 입력받을 수도 있다. 침입 차단 시스템으로부터의 침입 차단 규칙의 입력은 설정된 주기마다 자동으로 이루어질 수도 있다. Intrusion prevention rules can be input from the administrator, in particular, existing intrusion prevention rules can also be input from the intrusion prevention system. The entry of an intrusion prevention rule from the intrusion prevention system may be made automatically every set period.

단계(212)에서 상기 입력된 침입 차단 규칙이 현재 운영중인 침입 차단 시스템에 사용되는 침입 차단 규칙인지 아니면 신규 도입될 침입 차단 시스템에 사용되는 침입 차단 규칙인지를 판단한다. In step 212, it is determined whether the input intrusion prevention rule is an intrusion prevention rule used for a currently operating intrusion prevention system or an intrusion prevention rule used for a newly introduced intrusion prevention system.

만약 상기 입력된 침입 차단 규칙이 신규 도입될 침입 차단 시스템을 위한 것이라 판단되면, 단계(214)로 진행하여 상기 신규 침입 차단 시스템에 상기 입력된 침입 차단 규칙이 적용되는 시뮬레이션을 수행한다. 상기 시뮬레이션은 신규 도입될 침입 차단 시스템의 목적에 부합하도록 상기 시스템을 프로토콜 레벨(예, tcp, udp) 까지 명확히 정의하고 상기 시스템에 상기 신규 침입 차단 규칙을 적용하여 시뮬레이션함으로써 접근불가능한 시스템들에 대한 차단이 적절하게 이루어지는지 점검한다.If it is determined that the input intrusion prevention rule is for a new intrusion prevention system, the flow proceeds to step 214 to perform a simulation in which the input intrusion prevention rule is applied to the new intrusion prevention system. The simulation clearly defines the system up to protocol level (e.g. tcp, udp) to meet the purpose of the intrusion prevention system to be introduced and applies the new intrusion prevention rule to the system to simulate the blocking of inaccessible systems. Check that this is done properly.

그렇지 않고 상기 입력된 침입 차단 규칙이 현재 운영중인 기존 침입 차단 시스템을 위한 규칙이라 판단되면, 단계(216)로 진행하여 상기 기존 침입 차단 규 칙을 취약점 점검이 가능한 형태로 파싱을 수행한다. Otherwise, if it is determined that the input intrusion prevention rule is a rule for an existing intrusion prevention system that is currently in operation, the process proceeds to step 216 to parse the existing intrusion prevention rule in the form of vulnerability checking.

단계(218)에서 상기 파싱 결과를 기반으로 상기 입력된 기존 침입 차단 규칙에 설정 오류로 인한 취약점이 존재하는지를 점검한다. 취약점 점검은 상기 파싱된 규칙을 현재 운영중인 침입 차단 시스템에 이미 적용된 기존 침입 차단 규칙들과 비교함으로써 이루어진다In step 218, it is checked whether there is a vulnerability due to a setting error in the inputted existing intrusion prevention rule based on the parsing result. Vulnerability checking is done by comparing the parsed rule with existing intrusion prevention rules already applied to the current intrusion prevention system.

침입 차단 규칙에 취약점이 존재하지 않는다고 판단되면, 단계(222)에서 점검 내역을 관리자에게 출력한다. If it is determined that the vulnerability does not exist in the intrusion prevention rule, the check history is output to the administrator in step 222.

한편, 침입 차단 규칙에 취약점이 존재한다고 판단되면, 단계(224)에서 점검 내역과 침입 차단 규칙이 가지는 취약점을 관리자에게 출력한다. 이 때, 침입 차단 규칙이 가지는 취약점은 관리자에 의해 용이하게 인지될 수 있는 GUI를 이용하는 것이 바람직하다.On the other hand, if it is determined that a vulnerability exists in the intrusion prevention rule, in step 224, the vulnerability and the vulnerability of the intrusion prevention rule is output to the administrator. At this time, it is desirable to use a GUI that can be easily recognized by the administrator for the vulnerability of the intrusion prevention rule.

전술한 본 발명은 하나 이상의 제조물상에 구현된 하나 이상의 컴퓨터 판독가능 매체로서 제공될 수 있다. 제조물은, 플로피 디스크, 하드 디스크, CD ROM, 플래시 메모리 카드,PROM, RAM, ROM, 또는 자기 테이프를 들 수 있다. 일반적으로, 컴퓨터 판독가능 프로그램은 임의의 프로그래밍 언어로 구현될 수 있다. The invention described above may be provided as one or more computer readable media embodied on one or more articles of manufacture. The article of manufacture may be a floppy disk, a hard disk, a CD ROM, a flash memory card, a PROM, a RAM, a ROM, or a magnetic tape. Generally, computer readable programs can be implemented in any programming language.

한편, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어 져서는 안 될 것이다. On the other hand, while the above has been shown and described with respect to preferred embodiments of the present invention, the present invention is not limited to the specific embodiments described above, the technical field to which the invention belongs without departing from the spirit of the invention claimed in the claims Of course, various modifications can be made by those skilled in the art, and these modifications should not be individually understood from the technical spirit or prospect of the present invention.

도 1은 본 발명의 일실시 예에 따른 침입 차단 규칙 점검 장치의 블록 구성도, 1 is a block diagram of an intrusion prevention rule check apparatus according to an embodiment of the present invention,

도 2는 본 발명의 일실시 예에 따라 침입 차단 규칙 오류 점검 방법을 도시한 흐름도에 대한 취약점을 점검하기 위한 제어 흐름을 보여주는 흐름도. 2 is a flowchart illustrating a control flow for checking a vulnerability for a flowchart illustrating a method for checking an intrusion prevention rule error according to an embodiment of the present invention.

Claims (14)

점검 대상 네트워크 침입 차단 규칙이 운영중인 네트워크 침입 차단 시스템을 위한 규칙인지 신규 네트워크 침입 차단 시스템을 위한 규칙인지 판단하는 단계;Determining whether the inspected network intrusion prevention rule is a rule for an operating network intrusion prevention system or a rule for a new network intrusion prevention system; 상기 점검 대상 네트워크 침입 차단 규칙이 상기 운영중인 네트워크 침입 차단 시스템을 위한 규칙인 경우 상기 운영중인 네트워크 침입 차단 시스템에 적용된 기존 네트워크 침입 차단 규칙과 비교함으로써 상기 네트워크 침입 차단 규칙의 오류를 점검하는 단계; Checking the error of the network intrusion prevention rule by comparing with the existing network intrusion prevention rule applied to the operating network intrusion prevention system when the check target network intrusion prevention rule is a rule for the operating network intrusion prevention system; 상기 점검 대상 네트워크 침입 차단 규칙이 상기 신규 네트워크 침입 차단 시스템을 위한 규칙인 경우 상기 신규 네트워크 침입 차단 시스템에 상기 네트워크 침입 차단 규칙이 적용된 상태를 시뮬레이션함으로써 상기 네트워크 침입 차단 규칙의 오류를 점검하는 단계Checking the error of the network intrusion prevention rule by simulating a state in which the network intrusion prevention rule is applied to the new network intrusion prevention system when the inspected network intrusion prevention rule is a rule for the new network intrusion prevention system. 를 포함하는 네트워크 침입 차단 규칙 점검 방법. Network intrusion prevention rule check method comprising a. 제1 항에 있어서, 상기 운영중인 네트워크 침입 차단 시스템으로부터 상기 점검 대상 네트워크 침입 차단 규칙을 주기적으로 수신하는 단계를 더 포함하는 네트워크 침입 차단 규칙 점검 방법.The network intrusion prevention rule checking method of claim 1, further comprising periodically receiving the inspected network intrusion prevention rule from the operating network intrusion prevention system. 제1 항에 있어서, 사용자로부터 상기 점검 대상 네트워크 침입 차단 규칙을 수신하는 단계를 더 포함하는 네트워크 침입 차단 규칙 점검 방법.The method according to claim 1, further comprising receiving the inspected network intrusion prevention rule from a user. 제1항에 있어서, 상기 점검 대상 네트워크 침입 차단 규칙이 상기 운영중인 네트워크 침입 차단 시스템을 위한 규칙인 경우에, 상기 기존 네트워크 침입 차단 규칙과 비교가능한 형태로 변환하기 위해 상기 점검 대상 네트워크 침입 차단 규칙을 파싱하는 단계를 더 포함하는 네트워크 침입 차단 규칙 점검 방법.2. The network intrusion prevention rule of claim 1, wherein when the network intrusion prevention rule to be checked is a rule for the active network intrusion prevention system, the network intrusion prevention rule to be inspected is converted to a form comparable to the existing network intrusion prevention rule. The network intrusion prevention rule checking method further comprises the step of parsing. 제 1항에 있어서, 상기 점검 대상 네트워크 침입 차단 규칙의 오류 점검 결과를 GUI 인터페이스를 통해 사용자에게 제공하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 침입 차단 규칙 점검 방법.The method of claim 1, further comprising providing an error checking result of the inspected network intrusion prevention rule to a user through a GUI interface. 제 1항에 있어서, 상기 점검 대상 네트워크 침입 차단 규칙은 출발지 주소, 목적지 주소, 프로토콜, 포트 및 정책중 적어도 하나를 포함하는 네트워크 침입 차단 규칙 점검 방법.The method of claim 1, wherein the network intrusion prevention rule to be inspected includes at least one of a source address, a destination address, a protocol, a port, and a policy. 점검 대상 네트워크 침입 차단 규칙을 입력 받는 네트워크 침입 차단 규칙 입력부와,A network intrusion prevention rule input unit for receiving an inspection target network intrusion prevention rule; 상기 점검 대상 네트워크 침입 차단 규칙을 운영중인 네트워크 침입 차단 시스템에 적용된 기존 네트워크 침입 차단 규칙과 비교함으로써 상기 네트워크 침입 차단 규칙의 오류를 점검하는 점검부와,A checker for checking an error of the network intrusion prevention rule by comparing the inspection target network intrusion prevention rule with an existing network intrusion prevention rule applied to an operating network intrusion prevention system; 상기 점검부의 점검 결과를 출력하는 점검 결과 출력부An inspection result output unit for outputting an inspection result of the inspection unit 를 포함하는 것을 특징으로 하는 네트워크 침입 차단 규칙 점검 장치.Network intrusion prevention rule check device comprising a. 제7 항에 있어서, 상기 네트워크 침입 차단 규칙 입력부는 상기 운영중인 네트워크 침입 차단 시스템으로부터 상기 점검 대상 네트워크 침입 차단 규칙을 주기적으로 수신하는 네트워크 침입 차단 규칙 점검 장치.The apparatus of claim 7, wherein the network intrusion prevention rule input unit periodically receives the inspection target network intrusion prevention rule from the operating network intrusion prevention system. 제7 항에 있어서, 상기 네트워크 침입 차단 규칙 입력부는 사용자로부터 상기 점검 대상 네트워크 침입 차단 규칙을 입력받는 네트워크 침입 차단 규칙 점검 장치.The apparatus of claim 7, wherein the network intrusion prevention rule input unit receives the inspection target network intrusion prevention rule from a user. 제7항에 있어서, 상기 점검부는The method of claim 7, wherein the inspection unit 상기 점검 대상 네트워크 침입 차단 규칙이 신규 네트워크 침입 차단 시스템을 위한 규칙인 경우 상기 규칙의 오류를 점검하기 위해 상기 신규 네트워크 침입 차단 시스템에 상기 네트워크 침입 차단 규칙이 적용된 상태를 시뮬레이션하는 시뮬레이션부A simulation unit for simulating a state in which the network intrusion prevention rule is applied to the new network intrusion prevention system in order to check an error of the rule when the inspected network intrusion prevention rule is a rule for a new network intrusion prevention system; 를 더 포함하는 네트워크 침입 차단 규칙 점검 장치. Network intrusion prevention rule check device further comprising. 제7항에 있어서, 상기 점검부는The method of claim 7, wherein the inspection unit 상기 점검 대상 네트워크 침입 차단 규칙이 상기 운영중인 네트워크 침입 차단 시스템을 위한 규칙인 경우에, 상기 기존 네트워크 침입 차단 규칙과 비교가능한 형태로 변환하기 위해 상기 점검 대상 네트워크 침입 차단 규칙을 파싱하는 파싱부를 더 포함하는 네트워크 침입 차단 규칙 점검 장치.In the case where the inspected network intrusion prevention rule is a rule for the operating network intrusion prevention system, the parser further parses the inspected network intrusion prevention rule to convert it into a form comparable to the existing network intrusion prevention rule. Network intrusion prevention rule checking device. 제7 항에 있어서, 상기 점검 결과 출력부는 상기 점검 대상 네트워크 침입 차단 규칙의 오류 점검 결과를 GUI 인터페이스를 통해 사용자에게 제공하는 네트워크 침입 차단 규칙 점검 장치.The network intrusion prevention rule checking apparatus according to claim 7, wherein the inspection result output unit provides an error checking result of the inspection target network intrusion prevention rule to a user through a GUI interface. 제7 항에 있어서, 상기 점검 대상 네트워크 침입 차단 규칙은 출발지 주소, 목적지 주소, 프로토콜, 포트 및 정책중 적어도 하나를 포함하는 네트워크 침입 차단 규칙 점검 장치.The apparatus of claim 7, wherein the inspected network intrusion prevention rule comprises at least one of a source address, a destination address, a protocol, a port, and a policy. 제 7항에 있어서, 상기 네트워크 침입 차단 규칙 점검 장치는 운영중인 네트워크 침입 차단 시스템과 물리적으로 별개 위치에 설치되는 네트워크 침입 차단 규칙 점검 장치.8. The network intrusion prevention rule checking apparatus according to claim 7, wherein the network intrusion prevention rule checking apparatus is installed at a physically separate location from an operating network intrusion prevention system.
KR1020080089981A 2007-12-17 2008-09-11 Method and apparatus for checking firewall policy KR101006113B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/249,022 US20090158386A1 (en) 2007-12-17 2008-10-10 Method and apparatus for checking firewall policy

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070132750 2007-12-17
KR1020070132750 2007-12-17

Publications (2)

Publication Number Publication Date
KR20090065423A KR20090065423A (en) 2009-06-22
KR101006113B1 true KR101006113B1 (en) 2011-01-07

Family

ID=40993771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080089981A KR101006113B1 (en) 2007-12-17 2008-09-11 Method and apparatus for checking firewall policy

Country Status (1)

Country Link
KR (1) KR101006113B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101415850B1 (en) * 2012-11-30 2014-07-09 한국전자통신연구원 Apparatus and method for checking firewall policy

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
US20050125697A1 (en) * 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
KR100543664B1 (en) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 system for protecting of network and operation method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR100543664B1 (en) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 system for protecting of network and operation method thereof
US20050125697A1 (en) * 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy

Also Published As

Publication number Publication date
KR20090065423A (en) 2009-06-22

Similar Documents

Publication Publication Date Title
US9686301B2 (en) Method and system for virtual asset assisted extrusion and intrusion detection and threat scoring in a cloud computing environment
US10129287B2 (en) Automatic detection and mitigation of security weaknesses with a self-configuring firewall
CN104954386B (en) A kind of network anti-hijacking method and device
CN113711561B (en) Intent-based governance service
Parian et al. Fooling the master: Exploiting weaknesses in the modbus protocol
US10673878B2 (en) Computer security apparatus
US9336396B2 (en) Method and system for generating an enforceable security policy based on application sitemap
US8887284B2 (en) Exfiltration testing and extrusion assessment
US10057390B2 (en) Method and system for modifying HTTP request headers without terminating the connection
Basile et al. Inter‐function anomaly analysis for correct SDN/NFV deployment
CN102045309A (en) Method and device for preventing computer from being attacked by virus
Venkata et al. An ontology-driven framework for security and resiliency in cyber physical systems
KR101522139B1 (en) Method for blocking selectively in dns server and change the dns address using proxy
US20210194852A1 (en) System and method for analytics based waf service configuration
Temple et al. Railway system failure scenario analysis
KR101006113B1 (en) Method and apparatus for checking firewall policy
Tripathy et al. Risk based security enforcement in software defined network
US20090158386A1 (en) Method and apparatus for checking firewall policy
Wan et al. Content-based deep communication control for networked control system
US11784996B2 (en) Runtime credential requirement identification for incident response
Andreev et al. Generalized net model of implementation of port knocking on RouterOS
Dudar et al. Research of Ways to Increase the Efficiency of Functioning Between Firewalls in the Protection of Information Web-Portals in Telecommunications Networks
Yu et al. Security: a Killer App for SDN
US20230362066A1 (en) Segmentation Using Infrastructure Policy Feedback
US20210243158A1 (en) Selective enforcement of a segmentation policy

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee