KR102348630B1 - UDP Service Interlocking Device with network separation - Google Patents

UDP Service Interlocking Device with network separation Download PDF

Info

Publication number
KR102348630B1
KR102348630B1 KR1020200040849A KR20200040849A KR102348630B1 KR 102348630 B1 KR102348630 B1 KR 102348630B1 KR 1020200040849 A KR1020200040849 A KR 1020200040849A KR 20200040849 A KR20200040849 A KR 20200040849A KR 102348630 B1 KR102348630 B1 KR 102348630B1
Authority
KR
South Korea
Prior art keywords
packets
service
cpu
tcp
network
Prior art date
Application number
KR1020200040849A
Other languages
Korean (ko)
Other versions
KR20210123572A (en
Inventor
이혁진
이수관
Original Assignee
(주)쏠그리드
이수관
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)쏠그리드, 이수관 filed Critical (주)쏠그리드
Priority to KR1020200040849A priority Critical patent/KR102348630B1/en
Publication of KR20210123572A publication Critical patent/KR20210123572A/en
Application granted granted Critical
Publication of KR102348630B1 publication Critical patent/KR102348630B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/19Flow control; Congestion control at layers above the network layer
    • H04L47/196Integration of transport layer protocols, e.g. TCP and UDP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1045Proxies, e.g. for session initiation protocol [SIP]
    • H04L65/105
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 망 분리 UDP 서비스 연동장치에 관한 것으로, TCP/IP 네트워크상의 망 분리 UDP 서비스 연동장치에 있어서, 두 개의 망간에 TCP 프로토콜의 TCP 프로토콜의 패킷을 차단하는 필터를 양쪽 네트워크 종단의 FPGA 내에 구성하며, CPU에 의해 TCP를 제외한 UDP, ICMP, IGMP, ARP의 통신 허용 프로토콜 및 서비스 포트를 제어하는 것을 특징으로 한다. The present invention relates to a network separation UDP service interworking device. In the network separation UDP service interworking device on a TCP/IP network, a filter for blocking the TCP protocol packet of the TCP protocol between two networks is configured in the FPGA at both ends of the network It is characterized in that the CPU controls the communication allowable protocols and service ports of UDP, ICMP, IGMP, and ARP except for TCP.

Description

망 분리 UDP 서비스 연동장치{UDP Service Interlocking Device with network separation}UDP Service Interlocking Device with network separation}

본 발명은 망 분리 UDP 서비스 연동장치에 관한 것으로써, 더욱 상세하게는 TCP/IP 네트워크상의 해킹 위험을 차단하고 UDP 서비스를 위한 망 분리 UDP 서비스 연동장치에 관한 것이다.The present invention relates to a network separation UDP service interworking apparatus, and more particularly, to a network separation UDP service interworking apparatus for blocking a hacking risk on a TCP/IP network and for a UDP service.

일반적으로 인터넷 망은 외부의 공격에 쉽게 노출될 수 있어 외부망과 연동을 위해서는 따라 내부 중요 정보에 대한 보안을 위해 방화벽을 설치하여 운용하고 있다. 또한 서버 즉 S/W를 이용한 망 분리 장치도 있다. In general, Internet networks can be easily exposed to external attacks, so a firewall is installed and operated to secure internal important information in order to interwork with external networks. There is also a network separation device using a server, that is, S/W.

방화벽은 방화벽을 우회하여 침투되는 액세스에 대해서는 침투를 방지할 수 없고, 서버 즉 S/W를 이용한 망 분리 장치은 같은 서버에서 S/W적으로 분리되기 때문에 외부의 의도적인 공격으로부터 완벽하게 내부 중요정보를 차단시키지는 못하고 있다.The firewall cannot prevent the intrusion of access that bypasses the firewall, and the server, that is, the network separation device using S/W, is separated from the same server by S/W. cannot be blocked.

그리고, 기존의 네트워크 방화벽 및 망 분리 기법은 TCP 서비스를 포함하여 접근 제어 방식을 이용하여 구성하였으나, TCP 서비스는 연결 지향 서비스 특성에 따른 해킹 등의 방법으로 서로 다른 망의 호스트 간에 특정 서비스에 연결이 된 후에는 다양한 해킹 기법으로 보안의 위험에 노출되는 문제점이 있었다.In addition, the existing network firewall and network separation techniques were configured using the access control method including the TCP service, but the TCP service cannot be connected to a specific service between hosts in different networks by methods such as hacking according to the connection-oriented service characteristics. After that, there was a problem of being exposed to security risks through various hacking techniques.

이에 따라, 최근에는 내부망과 외부망을 분리하여 내부의 중요 정보가 외부망으로부터 공격받는 것을 방지시키고 자하는 망 분리 기술이 도입되고 있는 실정이다.Accordingly, in recent years, a network separation technology has been introduced to separate the internal network from the external network to prevent important internal information from being attacked by the external network.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 TCP 서비스를 배제하여 보안 위험의 노출을 제거하고, UDP 기반 서비스가 가능한 망 분리 UDP 서비스 연동장치를 제공하는 데 있다. An object of the present invention to solve the above problems is to eliminate the exposure of security risks by excluding the TCP service, and to provide a network separation UDP service interworking device capable of providing a UDP-based service.

상기와 같은 목적을 달성하기 위한 본 발명의 망 분리 UDP 서비스 연동장치는 TCP/IP 네트워크상의 망 분리 UDP 서비스 연동장치에 있어서, 두 개의 망간에 TCP 프로토콜의 TCP 프로토콜의 패킷을 차단하는 필터를 양쪽 네트워크 종단의 FPGA 내에 구성하며, CPU에 의해 TCP를 제외한 UDP, ICMP, IGMP, ARP의 통신 허용 프로토콜 및 서비스 포트를 제어하는 것을 특징으로 한다.In order to achieve the above object, the network separation UDP service interworking device of the present invention is a network separation UDP service interworking device on a TCP/IP network. It is configured in the FPGA of the end, and it is characterized by controlling the communication allowable protocol and service port of UDP, ICMP, IGMP, ARP except TCP by the CPU.

상기 필터는 IP 패킷을 프로토콜 별로 분류하여 TCP 패킷은 Discard하고, UDP 패킷은 허용된 포트 번호를 가진 패킷만 패스하는 것을 특징으로 한다.The filter classifies IP packets by protocol, discards TCP packets, and passes only packets with allowed port numbers for UDP packets.

상기 FPGA는 전송 가능한 패킷 프로토콜을 설정하고, SIP 분석을 통해 호처리가 완료된 패킷만 전송하는 것을 특징으로 한다.The FPGA sets a transmittable packet protocol, and transmits only packets that have completed call processing through SIP analysis.

상기 FPGA는 CPU에서 설정한 패킷는 전송하고 나머지 패킷을 드롭하며, DDoS 공격을 방어하기 위한 ICMP 패킷에 대한 대역을 제한하는 것을 특징으로 한다.The FPGA transmits the packets set by the CPU, drops the remaining packets, and limits the bandwidth for ICMP packets to prevent DDoS attacks.

상기 FPGA는 MGMT 포트로 침입을 방지하기 위한 소스 차단 기능과 NAT/NAPT 기능을 수행하는 것을 특징으로 한다.The FPGA is characterized in that it performs a source blocking function and NAT/NAPT function to prevent intrusion into the MGMT port.

상기 CPU는 호처리를 간편하게 하기 위해 SIP 프록시 기능을 수행하는 것을 특징으로 한다.The CPU is characterized in that it performs a SIP proxy function to simplify call processing.

상기 보안적용 UDP 서비스 연동장치는 두 개의 망간에, 투명하게 동작하는 UDP 서비스 모델과 서비스를 중계하는 UDP 서비스 SIP 프록시 모델에 적용하는 것을 특징으로 한다.The security application UDP service interworking device is characterized in that it is applied to a UDP service model that operates transparently and a UDP service SIP proxy model that relays services between two networks.

상기 UDP 서비스 모델은 FPGA는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU에서 제어할 수 없으며, 상기 CPU는 FPGA를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공하며, 상기 FPGA는 CPU의 제어에 의해 Access Control 후 반대편 네트워크에 데이터를 전송하는 것을 특징으로 한다.In the UDP service model, the FPGA drops all TCP packets among TCP/IP packets input from the outside, the TCP packet drop setting cannot be controlled by the CPU, and the CPU controls the FPGA to control the protocol and IP to allow the service; It provides an access control function for a service port, etc., and the FPGA transmits data to the other side network after access control under the control of the CPU.

상기 UDP 서비스 SIP 프록시 모델은 CPU는 NIC 1/2 간의 Network Routing 기능을 Off하여 두개의 네트워크가 완전히 분리되도록 구성되고, 두 망간 직접통신은 불가능하며, CPU가 수신된 데이터를 반대편으로 중계해주는 제어를 수행하며, 상기 CPU는 두 망간 서비스를 중계하는 Proxy Daemon을 실행하여, 두 망간 간의 통신망이 분리된 상태에서 지정된 서비스를 수행하며, FPGA는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU(130)에서 제어할 수 없으며, 상기 CPU는 FPGA를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공하는 것을 특징으로 한다.In the UDP service SIP proxy model, the CPU is configured to completely separate the two networks by turning off the Network Routing function between NIC 1/2, and direct communication between the two networks is impossible, and the CPU relays the received data to the opposite side. The CPU executes a proxy daemon that relays services between the two networks, performs the specified service while the communication network between the two networks is separated, and the FPGA drops all TCP packets among TCP/IP packets input from the outside. , TCP packet drop setting cannot be controlled by the CPU 130, and the CPU controls the FPGA to provide access control functions for protocols, IPs, service ports, etc. to allow services.

이상과 같이, 본 발명에 따르면 TCP를 사용하지 않는 서비스에 대해 보안성이 확보된 상태에서 망간 연결 서비스를 제공하고, VoIP 서비스, NTP 서비스에 응용되며 사용자 정의 UDP 서비스에 대한 적용이 가능한 장점이 있다.As described above, according to the present invention, a network connection service is provided in a state in which security is secured for a service that does not use TCP, and it is applied to a VoIP service and an NTP service, and has the advantage that it can be applied to a user-defined UDP service. .

도 1은 본 발명에 따른 망 분리 UDP 서비스 연동장치를 나타낸 블럭도이다.
도 2는 본 발명의 일실시예에 따른 망 분리 UDP 서비스 연동장치를 적용한 UDP 서비스 모델을 나타낸 블록도이다.
도 3은 본 발명의 다른 실시예에 따른 망 분리 UDP 서비스 연동장치를 적용한 UDP 서비스 SIP 프록시 모델을 나타낸 블록도이다.1 is a block diagram illustrating a network separation UDP service interworking apparatus according to the present invention.
2 is a block diagram illustrating a UDP service model to which a network separation UDP service interworking device is applied according to an embodiment of the present invention.
3 is a block diagram illustrating a UDP service SIP proxy model to which a network separation UDP service interworking device is applied according to another embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. Hereinafter, with reference to the accompanying drawings, embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in several different forms and is not limited to the embodiments described herein.

그러면 본 발명의 망 분리 UDP 서비스 연동장치에 따른 바람직한 실시예에 대하여 상세히 설명하기로 한다.Next, a preferred embodiment according to the network separation UDP service interworking device of the present invention will be described in detail.

도 1은 본 발명에 따른 망 분리 UDP 서비스 연동장치를 나타낸 블록도이다. 1 is a block diagram illustrating a network separation UDP service interworking apparatus according to the present invention.

도 1을 참조하면, 본 발명에 따른 망 분리 UDP 서비스 연동장치(100)는 두 개의 망간에 TCP 프로토콜의 패킷을 차단하는 기능을 수행하는 필터(120)를 양쪽 네트워크 종단의 FPGA(110)내에 구성하고, CPU(130)에 의해 TCP를 제외한 UDP, ICMP, IGMP, ARP 등의 통신 허용 프로토콜 및 서비스 포트를 제어하는 방식을 통해, 망간 해킹 위험을 차단함과 동시에 서비스를 제공할 수 있다. Referring to FIG. 1 , the network separation UDP service interworking device 100 according to the present invention configures a filter 120 that blocks packets of the TCP protocol between two networks in the FPGA 110 at both ends of the network. and, through a method of controlling communication permitted protocols and service ports such as UDP, ICMP, IGMP, and ARP except for TCP by the CPU 130, it is possible to block the risk of hacking between networks and provide services at the same time.

상기 FPGA(110)는 전송 가능한 패킷 프로토콜을 설정하고, SIP(호 처리용 시그러링 프로토콜)을 분석하며, SIP 분석을 통해 호처리가 완료된 패킷만 전송할 수 있도록 제어하며, SIP 프록시(Proxy) 기능을 수행할 수 있도록 CPU(130)와 연동한다. 즉, CPU(130)에서 호처리를 간편하게 하기 위해 SIP 프록시 기능을 수행한다.The FPGA 110 sets a transmittable packet protocol, analyzes SIP (Sirring Protocol for Call Processing), controls to transmit only packets that have completed call processing through SIP analysis, and provides a SIP proxy function. It interworks with the CPU 130 so that it can be performed. That is, the CPU 130 performs a SIP proxy function to simplify call processing.

여기서, 상기 FPGA(110)는 CPU(130)에서 설정한 패킷는 전송하고 나머지 패킷을 드롭(Drop)하며, DDoS 공격을 방어하기 위한 ICMP 패킷에 대한 대역을 제한한다.Here, the FPGA 110 transmits the packet set by the CPU 130 and drops the remaining packets, and limits the bandwidth for ICMP packets for preventing DDoS attacks.

또한, 상기 FPGA(110)는 MGMT 포트로 침입을 방지하기 위한 소스 차단 기능과 NAT/NAPT 기능을 수행한다. 여기서, FPGA(110)는 Ethernet PHY, Ethernet MAC, Packet 처리부, 입출력 FIFO로 구성되며, 이 분야에서 널리 알려진 기술이므로 자세한 설명은 생략하기로 한다.In addition, the FPGA 110 performs a source blocking function and NAT/NAPT function to prevent intrusion into the MGMT port. Here, the FPGA 110 is composed of an Ethernet PHY, an Ethernet MAC, a packet processing unit, and an input/output FIFO, and since it is a widely known technology in this field, a detailed description thereof will be omitted.

상기 필터(120)는 IP 패킷을 프로토콜 별로 분류하여 TCP 패킷은 Discard하고 UDP 패킷은 허용된 포트 번호를 가진 패킷만 패스할 수 있는 기능을 가진다. The filter 120 has a function of classifying IP packets for each protocol, discarding TCP packets, and passing only packets with allowed port numbers for UDP packets.

상기 CPU(130)는 H3 CPU로 ROM, RAM, SD card, Ethernet Trans로 구성되며, 이 분야에서 널리 알려진 기술이므로 자세한 설명은 생략하기로 한다.The CPU 130 is an H3 CPU and is composed of ROM, RAM, SD card, and Ethernet Trans, and since it is a widely known technology in this field, a detailed description thereof will be omitted.

본 발명의 망 분리 UDP 서비스 연동장치(100)는 두 개의 망간에 투명하게 동작하는 UDP 서비스 모델(Transparent UDP Service Model)과, 두 개의 망간에 서비스를 중계하는 SIP 프록시 모델에 제공할 수 있다.The network separation UDP service interworking apparatus 100 of the present invention can provide a UDP service model that transparently operates between two networks and a SIP proxy model that relays a service between two networks.

도 2는 본 발명의 일실시예에 따른 망 분리 UDP 서비스 연동장치(100)를 적용한 UDP 서비스 모델을 나타낸 블록도이다. 2 is a block diagram illustrating a UDP service model to which the network separation UDP service interworking apparatus 100 according to an embodiment of the present invention is applied.

도 2를 참조하면, UDP 서비스 모델에서는 Network A/B(10,20)가 CPU(130)에서 지정된 서비스에 대해, 서로 투명하게 통신이 가능하도록 구성된다.Referring to FIG. 2 , in the UDP service model, Network A/Bs 10 and 20 are configured to transparently communicate with each other for a service designated by the CPU 130 .

FPGA(110)는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU(130)에서 제어할 수 없다.The FPGA 110 drops all TCP packets among TCP/IP packets input from the outside, and the TCP packet drop setting cannot be controlled by the CPU 130 .

여기서, 상기 CPU(130)는 FPGA(110)를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공한다.Here, the CPU 130 controls the FPGA 110 to provide an access control function for a protocol, IP, service port, and the like to allow a service.

또한, 상기 FPGA(110)는 CPU(130)의 제어에 의해 Access Control 후 반대편 네트워크에 데이터를 전송한다.In addition, the FPGA 110 transmits data to the opposite network after access control under the control of the CPU 130 .

도 3은 본 발명의 다른 실시예에 따른 망 분리 UDP 서비스 연동장치(100)를 적용한 UDP 서비스 SIP 프록시 모델을 나타낸 블록도이다.3 is a block diagram illustrating a UDP service SIP proxy model to which the network separation UDP service interworking apparatus 100 according to another embodiment of the present invention is applied.

도 3을 참조하면, UDP 서비스 SIP 프록시 모델에서는 Network A/B(10,20)는 서로 다른 네트워크로 분리되어 있으며, CPU(130)는 NIC(140,141) 1/2 간의 Network Routing 기능을 Off 하여 두개의 네트워크가 완전히 분리되도록 구성한다. 즉, Network A/B(10,20)간 직접통신은 불가능하며, CPU(130)가 수신된 데이터를 반대편으로 중계해주는 제어를 수행한다.Referring to FIG. 3 , in the UDP service SIP proxy model, Network A/B (10, 20) is separated into different networks, and the CPU 130 turns off the Network Routing function between NICs (140, 141) 1/2 to make two The network is configured to be completely separated. That is, direct communication between the Network A/Bs 10 and 20 is impossible, and the CPU 130 performs a control relaying the received data to the opposite side.

여기서, CPU(130)는 Network A/B(10,20)간 서비스를 중계하는 Proxy Daemon을 실행하여, Network A/B(10,20)간의 통신망이 분리된 상태에서도 지정된 서비스가 가능하다.Here, the CPU 130 executes a proxy daemon that relays services between the Network A/Bs 10 and 20 so that a designated service is possible even in a state in which the communication network between the Network A/Bs 10 and 20 is separated.

FPGA(110)는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU(130)에서 제어할 수 없다.The FPGA 110 drops all TCP packets among TCP/IP packets input from the outside, and the TCP packet drop setting cannot be controlled by the CPU 130 .

여기서, CPU(130)는 FPGA(110)를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공한다.Here, the CPU 130 controls the FPGA 110 to provide an access control function for a protocol, IP, service port, and the like to allow a service.

본 발명의 보안적용 UDP 서비스 연동장치는 VoIP 중계시 기존 서비스 장치인 T1/E1 PRI VoIP Gateway를 2대의 VoIP Gateway를 1대로 대체 서비스를 제공할 수 있으며, NTP 중계시 기존 서비스 장치인 NTP 서버를 인터넷망과 사설망 사이 NTP서비스 중계를 제공할 수 있으며, Serial 통신시 기존 서비스 장치인 Serial 터미널 서버를 Serial 통신연동을 UDP 통신 연동으로 대체할 수 있으며, 보안 UDP 통신시 기존 서비스 장치인 네트워크 방화벽을 네트워크 방화벽을 대체하여 연동 구성할 수 있다.The security-applied UDP service interworking device of the present invention can provide a service that replaces the T1/E1 PRI VoIP Gateway, which is an existing service device, and two VoIP Gateways with one, when relaying VoIP. Can provide NTP service relay between network and private network You can configure interlocking by replacing .

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto. is within the scope of the right.

110: FPGA 120: 필터
130: CPU 140,141: NIC110: FPGA 120: filter
130: CPU 140,141: NIC

Claims (9)

TCP/IP 네트워크상의 망 분리 UDP 서비스 연동장치에 있어서,
두 개의 망간에 TCP 프로토콜의 TCP 프로토콜의 패킷을 차단하는 필터를 양쪽 네트워크 종단의 FPGA 내에 구성하며,
CPU에 의해 TCP를 제외한 UDP, ICMP, IGMP, ARP의 통신 허용 프로토콜 및 서비스 포트를 제어하며,,
상기 망 분리 UDP 서비스 연동장치는 두 개의 망간에 투명하게 동작하는 UDP 서비스 모델과 서비스를 중계하는 UDP 서비스 SIP 프록시 모델에 적용하며,
상기 UDP 서비스 SIP 프록시 모델은,
CPU는 NIC 1/2 간의 Network Routing 기능을 Off하여 두개의 네트워크가 완전히 분리되도록 구성되고,
두 망간 직접통신은 불가능하며, CPU가 수신된 데이터를 반대편으로 중계해주는 제어를 수행하며,
상기 CPU는 두 망간 서비스를 중계하는 Proxy Daemon을 실행하여, 두 망간 간의 통신망이 분리된 상태에서 지정된 서비스를 수행하며,
FPGA는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU에서 제어할 수 없으며,
상기 CPU는 FPGA를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.In the network separation UDP service interworking device on a TCP/IP network,
A filter that blocks the TCP protocol packet between the two networks is configured in the FPGA at both ends of the network.
Controls UDP, ICMP, IGMP, ARP communication protocol and service ports except TCP by CPU,
The network separation UDP service interworking device is applied to a UDP service model that transparently operates between two networks and a UDP service SIP proxy model that relays services,
The UDP service SIP proxy model is,
The CPU is configured to completely separate the two networks by turning off the Network Routing function between NIC 1/2.
Direct communication between the two networks is impossible, and the CPU controls to relay the received data to the other side.
The CPU executes a proxy daemon that relays services between two networks to perform a designated service while the communication network between the two networks is separated,
FPGA drops all TCP packets among TCP/IP packets input from the outside, and the TCP packet drop setting cannot be controlled by the CPU.
The CPU controls the FPGA to provide an access control function for a protocol, IP, service port, etc. to allow the service. 제1항에 있어서,
상기 필터는 IP 패킷을 프로토콜 별로 분류하여 TCP 패킷은 Discard하고, UDP 패킷은 허용된 포트 번호를 가진 패킷만 패스하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
The filter classifies IP packets by protocol, discards TCP packets, and passes only packets with allowed port numbers for UDP packets. 제1항에 있어서,
상기 FPGA는 전송 가능한 패킷 프로토콜을 설정하고, SIP 분석을 통해 호처리가 완료된 패킷만 전송하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
The FPGA sets a transmittable packet protocol, and transmits only packets for which call processing is completed through SIP analysis. 제1항에 있어서,
상기 FPGA는 CPU에서 설정한 패킷는 전송하고 나머지 패킷을 드롭하며, DDoS 공격을 방어하기 위한 ICMP 패킷에 대한 대역을 제한하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
The FPGA transmits the packets set by the CPU, drops the remaining packets, and limits the bandwidth for ICMP packets to prevent DDoS attacks. 제1항에 있어서,
상기 FPGA는 MGMT 포트로 침입을 방지하기 위한 소스 차단 기능과 NAT/NAPT 기능을 수행하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
The FPGA is a network separation UDP service interworking device, characterized in that it performs a source blocking function and NAT / NAPT function to prevent intrusion to the MGMT port. 제1항에 있어서,
상기 CPU는 호처리를 간편하게 하기 위해 SIP 프록시 기능을 수행하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
Network separation UDP service interworking device, characterized in that the CPU performs a SIP proxy function to simplify call processing. 삭제delete 제1항에 있어서,
상기 UDP 서비스 모델은,
FPGA는 외부에서 입력되는 TCP/IP 패킷중 모든 TCP 패킷을 Drop 하며, TCP 패킷 Drop 설정은 CPU에서 제어할 수 없으며,
상기 CPU는 FPGA를 제어하여 서비스를 허용할 프로토콜 및 IP, 서비스포트 등에 대한 Access Control 기능을 제공하며,
상기 FPGA는 CPU의 제어에 의해 Access Control 후 반대편 네트워크에 데이터를 전송하는 것을 특징으로 하는 망 분리 UDP 서비스 연동장치.According to claim 1,
The UDP service model is
FPGA drops all TCP packets among TCP/IP packets input from the outside, and the TCP packet drop setting cannot be controlled by the CPU.
The CPU controls the FPGA and provides access control functions for protocols, IPs, service ports, etc. to allow services,
Network separation UDP service interworking device, characterized in that the FPGA transmits data to the opposite network after access control under the control of the CPU. 삭제delete
KR1020200040849A 2020-04-03 2020-04-03 UDP Service Interlocking Device with network separation KR102348630B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200040849A KR102348630B1 (en) 2020-04-03 2020-04-03 UDP Service Interlocking Device with network separation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200040849A KR102348630B1 (en) 2020-04-03 2020-04-03 UDP Service Interlocking Device with network separation

Publications (2)

Publication Number Publication Date
KR20210123572A KR20210123572A (en) 2021-10-14
KR102348630B1 true KR102348630B1 (en) 2022-01-07

Family

ID=78116203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200040849A KR102348630B1 (en) 2020-04-03 2020-04-03 UDP Service Interlocking Device with network separation

Country Status (1)

Country Link
KR (1) KR102348630B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818302B1 (en) * 2006-09-29 2008-04-01 한국전자통신연구원 Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050026624A (en) * 2003-09-09 2005-03-15 이상준 Integration security system and method of pc using secure policy network
KR101206542B1 (en) * 2006-12-18 2012-11-30 주식회사 엘지씨엔에스 Apparatus and method of securing network of supporting detection and interception of dynamic attack based hardware
KR101873974B1 (en) * 2016-04-22 2018-07-03 주식회사 에스티 솔루션 System for exetended physically separating network using diskless solution

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818302B1 (en) * 2006-09-29 2008-04-01 한국전자통신연구원 Correspondence method and apparatus of denial of service(dos) attack in session initiation protocol

Also Published As

Publication number Publication date
KR20210123572A (en) 2021-10-14

Similar Documents

Publication Publication Date Title
US9258323B1 (en) Distributed filtering for networks
CN113132342B (en) Method, network device, tunnel entry point device, and storage medium
US7406709B2 (en) Apparatus and method for allowing peer-to-peer network traffic across enterprise firewalls
US7596806B2 (en) VPN and firewall integrated system
Woodyatt Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service
US7782902B2 (en) Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols
US6674743B1 (en) Method and apparatus for providing policy-based services for internal applications
US8601567B2 (en) Firewall for tunneled IPv6 traffic
US20060253903A1 (en) Real time firewall/data protection systems and methods
US7849503B2 (en) Packet processing using distribution algorithms
US8578149B2 (en) TCP communication scheme
US20100138909A1 (en) Vpn and firewall integrated system
US20060165108A1 (en) Method and system for unidirectional packet processing at data link layer
Othman et al. Implementation and performance analysis of SDN firewall on POX controller
US11949654B2 (en) Distributed offload leveraging different offload devices
GB2583112A (en) Efficient protection for an IKEv2 device
Žagar et al. Security aspects in IPv6 networks–implementation and testing
Mukkamala et al. A survey on the different firewall technologies
US7525921B1 (en) Discard interface for diffusing network attacks
Paolucci et al. P4-based multi-layer traffic engineering encompassing cyber security
US20070027991A1 (en) TCP isolation with semantic processor TCP state machine
JP2004522335A (en) Firewall using index to access rules
KR102348630B1 (en) UDP Service Interlocking Device with network separation
CN102035821A (en) Firewall / virtual private network integrated system and circuit
JP5986044B2 (en) Network system, communication control method, communication control apparatus, and program

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant