KR20020039559A - Network Security Method in Layer 2 - Google Patents
Network Security Method in Layer 2 Download PDFInfo
- Publication number
- KR20020039559A KR20020039559A KR1020000069458A KR20000069458A KR20020039559A KR 20020039559 A KR20020039559 A KR 20020039559A KR 1020000069458 A KR1020000069458 A KR 1020000069458A KR 20000069458 A KR20000069458 A KR 20000069458A KR 20020039559 A KR20020039559 A KR 20020039559A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- mac address
- mode
- administrator
- port
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 계층 2에서의 네트워크 보안방법에 관한 것으로서, 더욱 상세하게는 오픈 시스템 인터페이스(Open System Interface) 중 미디엄 액세스 콘트롤(Medium Access Control, 이하 "MAC"이라 함) 계층인 계층 2에서 허가되지 않은 단말이 네트워크에 액세스하는 경우 다양한 방법으로 이를 제어하는 네트워크 보안방법에 관한 것이다.The present invention relates to a network security method in Layer 2, and more particularly, is not permitted in Layer 2, which is a medium access control ("MAC") layer of an open system interface. When the terminal accesses the network relates to a network security method for controlling this in a variety of ways.
종래의 네트워크 보안을 위한 기술로는 3COM사에서 제안된 기술과 얼라이드 텔레신(Allied Telesyn)사에서 제안된 기술이 대표적인데 이를 살펴보면 다음과 같다.Conventional technologies for network security include the technology proposed by 3COM and the technology proposed by Allied Telesyn.
먼저 3COM사에서 제안된 기술은 기본적인 액세스 제어방법의 하나로서 액세스 제어방법을 단 한 가지만 제공한다. 3COM의 기술은 관리자가 계층2에서 안전모드를 활성화시키면 네트워크를 허용하는 단말의 리스트인 MAC 어드레스 테이블상에 있는 단말에 한해서만 네트워크 액세스를 보장해준다. MAC 어드레스 테이블 상에 있는 단말이 액세스한 경우에는 여러 단말이 함께 액세스하더라도 이에 대한 서비스를 제공한다. 만약 MAC 어드레스 테이블상에 존재하지 않는 단말이 액세스하는 경우 트래픽(traffic)이 유입되는 소스 포트(port)를 막아버린다. 3COM사의 기술은 허가되지 않은 단말의 네트워크 액세스 시 포트를 막는 방법만을 제공하므로 기존의 허가된 단말 역시 포트가 막혀있는 관계로 서비스를 받을 수 없게 된다.First, the technology proposed by 3COM company provides only one access control method as one of the basic access control methods. 3COM's technology guarantees network access only for terminals on the MAC address table, which is a list of terminals that allow the network when the administrator activates Safe Mode in Layer 2. When a terminal on the MAC address table is accessed, even if several terminals access together, a service for the terminal is provided. If a terminal that does not exist on the MAC address table is accessed, a source port into which traffic is introduced is blocked. 3COM's technology only provides a way to block ports when an unauthorized terminal accesses a network, so existing authorized terminals are also unable to receive services due to blocked ports.
얼라이드 텔레신사의 기술은 3COM사의 기술보다는 진보된 것으로서, 안전 모드와 한계(threshold) 모드 및 비안전 모드의 세 가지 모드가 있다.Allied Telesin's technology is more advanced than 3COM's, and has three modes: safe mode, threshold mode, and unsafe mode.
비안전 모드는 보안을 위한 시스템을 활성화시키지 않은 상태로서 현재 네트워크에 액세스하는 모든 단말에 대해 서비스를 제공하는 모드이다.The unsafe mode is a mode that does not activate a system for security and provides a service for all terminals currently accessing the network.
안전 활성화 모드는 보안을 위한 시스템을 활성화시킨 모드로서, MAC 어드에서 테이블에 있는 사용자에 한해서만 액세스를 허용한다. 또한 MAC 어드레스 테이블에 있는 사용자에 대해 동시에 복수의 억세스를 허용하는 것이 아니라 단 한사람의 사용자의 한해서 액세스를 허용한다. 따라서 어느 한 사용자가 액세스한 이후에 액세스하고자 하는 단말에 대해서는 3COM사와 같은 방법으로 유입되는 소스 포트를 막아 네트워크상의 트래픽 유입을 막는다.Safe activation mode activates the system for security and allows access only to users in the table at MAC Ad. It also allows access to only one user, rather than allowing multiple accesses to users in the MAC address table at the same time. Therefore, for any terminal that wants to access after one user access, the source port is blocked in the same way as 3COM company to prevent traffic inflow on the network.
한계 모드는 상기 안전 모드가 한 사용자의 액세스만을 지원하는 점을 보완하여 관리자의 의사에 의해 특정한 한계치를 두어 한계치 이하의 사용자의 액세스를 허용하는 모드이다. 한계치를 초과하여 유입되는 단말에 대해서는 포트를 막거나, 네트워크 관리 시스템으로 트랩(trap)을 전송하여 관리자로 하여금 한계치를 초과한 상태를 알도록 한다.The limit mode is a mode in which the safe mode supports only one user's access to allow a user to access a user below the limit by setting a specific limit by the administrator. For a terminal that exceeds the limit, the port is blocked, or a trap is sent to the network management system so that the administrator is informed of the condition that the limit is exceeded.
도 1은 종래의 얼라이드 텔레신사의 네트워크 보안 방법에 대한 순서도를 도시한 것이다. 도 1을 참조하여 종래의 네트워크 보안 방법을 정리하면 다음과 같다.1 is a flowchart illustrating a network security method of a conventional Allied Telesyn. Referring to FIG. 1, the conventional network security method is summarized as follows.
이더넷 장치로 패킷이 들어오면, 패킷에 해당하는 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 판단한다(S100). MAC 어드레스 테이블에 존재하지 않는 어드레스라면 이를 MAC 어드레스 테이블에 새로 기록한다(S101). 시스템의 안전 모드가 현재 활성화 되어있는지 여부를 판단하여(S102) 안전 모드가 활성화 되어있지 않다면 새로운 MAC 어드레스에 대해 더 이상 프로세싱할 필요가 없으므로 이를 버린다(S106). 안전 모드를 활성화시킬지 여부는 관리자가 결정하게 된다. 관리자는 안전 활성화 모드(S103)일 경우 허가가 안된 단말에 대한 처리방법을 선택하고(S105), 한계 모드일 경우에는 포트에 유입될 수 있는 한계치를 입력한 후(S104) 허가가 안된 단말에 대한 처리방법을 선택한다(S105). 처리 방법에는 포트를 막는 방법과 트랩을 전송하는 방법 및 아무런 동작을 취하지 않는 경우가 있다.When the packet enters the Ethernet device, it is determined whether the MAC address corresponding to the packet exists in the MAC address table (S100). If the address does not exist in the MAC address table, it is newly recorded in the MAC address table (S101). It is determined whether the safe mode of the system is currently activated (S102), and if the safe mode is not activated, it is no longer necessary to process a new MAC address and thus is discarded (S106). The administrator decides whether to activate the safe mode. In the safety activation mode (S103), the administrator selects a processing method for the unauthorized terminal (S105), and in the limit mode, enters a threshold value that can be introduced into the port (S104) and then for the unauthorized terminal. A processing method is selected (S105). Processing methods include blocking a port, sending a trap, and taking no action.
안전 모드일 경우에는 한계 모드인지 여부를 다시 판단한다. 한계 모드가 아닐 경우에는 단순한 안전 모드이므로 현재 액세스되고 있는 단말에 대해서만 서비스가 제공되므로 서비스를 제공할 수 없고, 상기 관리자가 선택한 처리 방법에 따라서 처리한다. 관리자가 포트를 막는 방법을 선택한 경우(S112)에는 이더넷 장치 포트를 막아버린다(S115). 관리자가 트랩을 전송하는 방법을 선택한 경우(S113)에는 네트워크 관리 시스템으로 트랩을 전송하여 허가가 안된 단말이 유입되었음을 알린다(S116). 관리자가 상기 두 가지 처리 방법 중 어느 것도 선택하지 않았을 경우에는 아무런 동작을 취하지 않는다(S114).In the case of the safe mode, it is determined again whether the limit mode. In the case of the non-limiting mode, since the service is provided only to the terminal that is currently being accessed because it is a simple safe mode, the service cannot be provided. When the administrator selects a method of blocking a port (S112), the Ethernet device port is blocked (S115). When the administrator selects a method of transmitting a trap (S113), the manager sends a trap to the network management system to notify that an unauthorized terminal has been introduced (S116). If the administrator has not selected any of the two processing methods, no action is taken (S114).
한계 모드일 경우에는 유입된 단말의 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 조사한다(S108). MAC 어드레스 테이블에 존재하는 주소라면 그 단말에 대해 서비스를 허가한다(S111). 유입된 단말의 MAC 어드레스가 MAC 어드레스 테이블에 존재하지 않는다면 한계치를 초과했는지 여부를 판단하여(S109) 한계치를 초과한 경우에는 상기 안전 활성화 모드에서와 같은 처리 방법으로 관리자가 선택한 방법에 의해 유입된 단말을 처리하고 한계치를 초과하지 않은 경우에는 유입된 단말의 MAC 어드레스를 테이블에 추가한다(S11).In the limited mode, it is checked whether the MAC address of the introduced UE exists in the MAC address table (S108). If the address exists in the MAC address table, the service is permitted to the terminal (S111). If the MAC address of the introduced terminal does not exist in the MAC address table, it is determined whether the threshold is exceeded (S109). If the threshold is exceeded, the terminal is introduced by the method selected by the administrator in the same processing method as in the safety activation mode. If the process does not exceed the limit and the MAC address of the introduced terminal is added to the table (S11).
상기한 바와 같은 종래의 네트워크 보안방법은 보안을 위한 제어 기술이 다양하지 못하다. 특히 포트를 막아버리는 경우 다른 허가된 단말의 유입까지도 허가하지 않는 문제점이 있으며, 위반한 단말의 로그(log)를 확인할 수 없고, 현재 유입되어 있는 단말들에 대해 선택적으로 제어할 수 없는 단점이 있다.Conventional network security method as described above is not a variety of control techniques for security. In particular, if the port is blocked, there is a problem that does not allow the inflow of other authorized terminals, the log of the violating terminal can not be checked, and there is a disadvantage that it is not possible to selectively control the current flowing terminals. .
본 발명에서는 상기한 바와 같은 종래기술의 문제점을 해결하기 위해 보안을위한 다양한 제어가 가능하고, 유입된 단말에 대해 선택적으로 제어할 수 있는 계층2에서의 네트워크 보안방법을 제안하고자 한다.In the present invention, to solve the problems of the prior art as described above, it is possible to propose a network security method in the layer 2 that can be variously controlled for security, and can selectively control the introduced terminal.
도 1은 종래의 얼라이드 텔레신사의 네트워크 보안 방법에 대한 순서도를 도시한 것,1 is a flowchart illustrating a network security method of a conventional Allied Telesyn.
도 2는 비안전 모드에서 새로운 주소의 처리방법을 블록도로 도시한 것,2 is a block diagram illustrating a method of processing a new address in an unsafe mode;
도 3은 본 발명의 바람직한 실시예에 따른 안전 모드에서의 보안 처리절차를 블록도로 도시한 것,3 is a block diagram showing a security processing procedure in a safe mode according to a preferred embodiment of the present invention,
도 4는 본 발명의 바람직한 실시예에 따른 네트워크 보안방법의 순서도.4 is a flow chart of a network security method according to a preferred embodiment of the present invention.
상기한 바와 같은 목적을 달성하기 위하여, 본 발명에 의한 계층2에서의 네트워크 보안방법은 비안전 모드일 경우, 새로운 MAC 어드레스를 가진 단말이 유입될 때 이를 MAC 어드레스 테이블에 기록하는 단계(a); 안전 모드일 경우 유입된 단말의 MAC 어드레스가 허가된 단말의 MAC 어드레스 리스트인 액세스 리스트 테이블에 존재하는지 여부를 확인하는 단계(b); 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재할 경우, 요구한 서비스를 제공하는 단계(c); 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재하지 않을 경우, 트랩 전송, 필터링, 로그 파일 생성, 포트를 막는 방법, 트랩 전송 및 필터링, 트랩 전송 및 로그파일 생성, 포트 막는 방법 및 로그 파일 생성, 트랩 전송 및 포트를 막는 방법 중 어느 하나를 관리자로 하여금 선택하게 하여 상기 관리자가 선택한 방법에 따라 처리하는 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the network security method in the layer 2 according to the present invention comprises the steps of: (a) recording a terminal with a new MAC address in the MAC address table when it is in an unsafe mode; (B) checking whether the MAC address of the inflow terminal in the secure mode exists in an access list table which is a list of MAC addresses of authorized terminals; (C) providing the requested service when the MAC address of the terminal introduced in the step (b) exists in the access list table; If the MAC address of the terminal introduced in step (b) does not exist in the access list table, trap transmission, filtering, log file generation, blocking method, trap transmission and filtering, trap transmission and log file generation, port Allowing the administrator to select any one of a blocking method, a log file generation method, a trap transmission method, and a method of blocking a port, and processing the method according to the method selected by the administrator.
이하에서 첨부된 도면을 참조하여 본 발명에 의한 계층 2에서의 네트워크 보안방법의 바람직한 실시예를 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of a network security method in layer 2 according to the present invention.
본 발명은 얼라이드 텔레신사의 보안방법과 마찬가지로 비안전 모드와 안전 모드, 한계 모드의 세가지 모드에서 각각 유입되는 단말에 대해 처리를 한다.Like the security method of the Allied Tele Shrine, the present invention processes the incoming terminals in three modes: non-safe mode, safe mode, and limit mode.
도 2는 비안전 모드에서 새로운 주소의 처리방법을 블록도로 도시한 것이다.2 is a block diagram illustrating a method of processing a new address in an unsafe mode.
도 2에서, 새 주소 처리 모듈(21)은 새로이 유입되는 MAC 어드레스를 처리하는 모듈이고, MAC 어드레스 테이블(22)에는 새로이 유입된 MAC 어드레스가 기록된다. 액세스 리스트 테이블(23)에는 안전 모드에 있을 때 유입이 허가되는 단말의 MAC 어드레스가 기록이 되어 있으며, 보안 처리 모듈(24)은 상기 액세스 리스트에 있는 MAC 어드레스를 기반으로 액세스의 허가 또는 위반을 판정하고, 위반된 경우 설정되어 있는 방법에 따라 보안 위반 호스트를 처리한다. 심플(Simple) 네트워크 관리 프로토콜(26)은 보안 처리 모듈에서 검출된 호스트에 대해 네트워크 관리 시스템에게 트랩을 전송하거나 네트워크 관리 시스템(25)으로부터 보안 처리를 제어할 수 있게 하는 프로토콜이고, 네트워크 관리 시스템(25)은 심플 네트워크 관리 프로토콜에 의해 수신된 트랩에 대해 처리하고 보안 처리를 제어하는 역할을 한다.In FIG. 2, the new address processing module 21 is a module for processing a newly introduced MAC address, and the newly introduced MAC address is recorded in the MAC address table 22. In the access list table 23, the MAC address of the terminal which is permitted to enter when in the safe mode is recorded, and the security processing module 24 determines the permission or violation of the access based on the MAC address in the access list. In case of violation, the security breach host is handled according to the set method. The simple network management protocol 26 is a protocol that allows a network management system to send a trap to a network management system or control security processing from the network management system 25 for a host detected by the security processing module. 25) handles traps received by the simple network management protocol and controls security processing.
비안전 모드에서는 유입되는 모든 단말에 대해 서비스를 제공하므로 안전 처리 모듈(24)은 동작하지 않는다. 이더넷 장치(25)로부터 새로운 주소가 유입되면 새 주소 처리 모듈(21)은 수신된 새 주소를 관리할 수 있도록 MAC 어드레스 테이블(22)에 유입된 새 주소를 갱신한다.In the unsafe mode, since the service is provided to all incoming terminals, the safety processing module 24 does not operate. When a new address is introduced from the Ethernet device 25, the new address processing module 21 updates the new address introduced to the MAC address table 22 so as to manage the received new address.
도 3은 본 발명의 바람직한 실시예에 따른 안전 모드에서의 보안 처리절차를 블록도로 도시한 것이다.3 is a block diagram illustrating a security processing procedure in a safe mode according to a preferred embodiment of the present invention.
안전 모드에서는 액세스 리스트 테이블에 허용된 단말에 한해서만 액세스를 허용해준다. 안전 모드로 전환될 경우 비안전 모드에서 MAC 어드레스 테이블(22)에 갱신된 모든 MAC 어드레스는 액세스 리스트 테이블(23)에 기록된다. 기록된 이후에 단말이 이더넷 장치(25)로 유입되면 그 주소를 보안 처리 모듈(24)로 전송한다. 보안 처리 모듈은 수신한 주소가 액세스 리스트 테이블(23)에 존재하는 주소인지를 확인한다. 액세스 리스트 테이블(23) 내에 존재하는 주소일 경우에는 서비스를 제공하나, 액세스 리스트 테이블 (23) 내에 존재하지 않는 주소일 경우에는 관리자가 미리 설정한 액세스 제어 방식에 따라 이를 처리한다.In safe mode, access is allowed only to terminals allowed in the access list table. When switching to the safe mode, all MAC addresses updated in the MAC address table 22 in the unsafe mode are recorded in the access list table 23. After recording, the terminal enters the Ethernet device 25 and transmits the address to the security processing module 24. The security processing module checks whether the received address is an address existing in the access list table 23. If the address exists in the access list table 23, the service is provided. If the address does not exist in the access list table 23, the service is processed according to an access control method set in advance by the administrator.
본 발명에서는 액세스 제어 방식으로 종래의 포트를 막는 방법과 트랩 전송 이외에 여섯 가지의 다양한 액세스 제어 방식을 제안한다.The present invention proposes six different access control schemes in addition to the conventional method of blocking the ports and the trap transmission by the access control scheme.
첫 번째로, 본 발명에서는 액세스 제어 방식으로 로그 파일을 생성하는 방법을 제안한다. 허가되지 않은 MAC 어드레스를 가진 단말이 유입될 경우, 이러한 사실을 로그 파일로 남겨 시스템이 꺼진 이후에도 허가되지 않은 단말의 유입이 있었던 기록을 남기기 위함이다. 본 발명의 바람직한 실시예에 따르면 상기 로그 파일은 비휘발성 메모리(28)에 저장하는 것이 바람직하다.First, the present invention proposes a method for generating a log file in an access control method. When a terminal with an unauthorized MAC address flows in, this fact is left in a log file to leave a record of unauthorized terminal inflow even after the system is turned off. According to a preferred embodiment of the present invention, the log file is preferably stored in the nonvolatile memory 28.
두 번째로, 본 발명에서는 허가되지 않은 패킷에 대해서는 필터링을 통해 제거시키는 방법을 제안한다. 하드웨어에서 필터링을 지원하는 경우에는 하드웨어를 통해 위반한 패킷만을 제거할 수 있으며, 하드웨어에서 지원이 되지 않은 경우에는 소프트웨어적으로 위반한 패킷을 제거할 수 있다. 이와 같이 위반한 패킷에 대해 필터링을 하게 되면 포트를 막는 경우와 같이 허가된 사용자까지 유입이 방지되는 문제점을 개선할 수 있다.Secondly, the present invention proposes a method for removing unauthorized packets through filtering. If the hardware supports filtering, only the violating packets can be removed through the hardware. If the hardware does not support the filtering, the violating packets can be removed. Such filtering of the violated packets can improve the problem of preventing the inflow of authorized users such as blocking the port.
세 번째로, 본 발명은 허가되지 않은 로그 파일 생성과 필터링을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말에서의 패킷은 필터링을 통해 제거되고, 허가되지 않은 단말이 유입을 시도했었다는 기록이 로그파일에 남겨지게 된다.Third, the present invention proposes a method for performing unauthorized log file generation and filtering together. If this is done together, packets from unauthorized terminals are removed through filtering, leaving a record in the log file that unauthorized terminals attempted to enter.
네 번째로, 본 발명은 필터링과 트랩 전송을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말에서의 패킷은 필터링을 통해 제거되고, 보안 처리 모듈은 허가되지 않은 단말의 유입 시도 사실을 트랩 전송을 통해 관리자에게 알린다.Fourthly, the present invention proposes a method for performing filtering and trap transmission together. If this is done together, packets from unauthorized terminals are removed through filtering, and the security processing module notifies the administrator of the attempted inflow of unauthorized terminals through trap transmission.
다섯 번째로, 본 발명은 포트를 막는 방법과 로그 파일의 생성을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말이 유입되면 소스 포트를 막아 모든 단말의 유입을 금지시키고, 로그 파일로 허가되지 않은 단말의 유입이 있었음을 알리는 기록을 남긴다.Fifthly, the present invention proposes a method of blocking ports and generating a log file together. When this is done together, when an unauthorized terminal is introduced, blocking the source port prevents the inflow of all terminals and leaves a record indicating that there is an inflow of unauthorized terminals in a log file.
여섯 번째로, 본 발명은 포트를 막는 방법과 트랩 전송을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말의 유입이 되면 네트워크 관리 시스템으로 트랩을 전송하여 관리자로 하여금 허가되지 않은 단말의 유입 사실을 알리고, 포트를 막아 모든 단말의 유입을 금지시킨다.Sixthly, the present invention proposes a method of blocking a port and a method of performing a trap transmission together. If this is done together, when the inflow of unauthorized terminals is transmitted, a trap is sent to the network management system to inform the administrator of the inflow of unauthorized terminals, and the port is prevented from entering all terminals.
본 발명의 바람직한 실시예에 따르면, 상기한 여섯 가지의 액세스 처리 방법은 관리자가 이 중 하나를 선택하여 미리 설정할 수 있도록 한다. 상기한 방법으로 보안을 위반한 단말에 대해서 처리를 한 이후에는 위반한 단말에 대한 MAC 어드레스를 기록하고 위반한 횟수, 위반시간을 기록하여 램에 저장하도록 한다. 관리자는 상기 저장된 정보를 통해 보안을 위반한 단말을 추적할 수 있다.According to a preferred embodiment of the present invention, the six access processing methods described above allow an administrator to select one of them and set it in advance. After processing the terminal violating security by the above method, the MAC address for the violating terminal is recorded, the number of violations, and the violation time are stored in the RAM. The administrator can track the terminal violating security through the stored information.
본 발명은 또한 한계 모드를 설정하여 보안을 처리할 수 있다. 한계 모드상에서는 관리자가 포트에 유입될 수 있는 단말의 한계치를 지정한다. 상기 지정한한계치를 초과하지 않으면 새로 유입되는 MAC 어드레스를 액세스 리스트에 추가하고 네트워크 액세스를 보장한다. 그러나 새로 유입되는 액세스 어드레스가 지정한 한계치를 초과하는 경우에는 상기한 안전 모드에서와 같이 관리자가 선택한 방법에 따라 액세스 제어를 한다.The present invention can also set the limit mode to handle security. In limit mode, the administrator designates the limit of terminals that can enter the port. If the specified limit is not exceeded, the newly introduced MAC address is added to the access list and network access is guaranteed. However, when a newly introduced access address exceeds a specified threshold, access control is performed according to a method selected by an administrator as in the above-described safe mode.
도 4는 본 발명의 바람직한 실시예에 따른 네트워크 보안방법의 순서도를 도시한 것이다. 도 4를 참조하여 본 발명의 의한 네트워크 보안방법을 전체적으로 설명하면 다음과 같다.4 is a flowchart illustrating a network security method according to a preferred embodiment of the present invention. Referring to Figure 4 when the overall network security method of the present invention will be described.
이더넷 장치로 패킷이 들어오면, 패킷에 해당하는 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 판단한다(S401). MAC 어드레스 테이블에 존재하지 않는 어드레스라면 이를 MAC 어드레스 테이블에 새로 기록한다(S402). 시스템의 안전 모드가 활성화 되어있는지 여부를 판단하여(S403) 안전 모드가 아니라면 새로운 MAC 어드레스에 대해 더 이상 프로세싱할 필요가 없으므로 이를 버린다(S404). 안전 모드를 활성화시킬지 여부는 종래와 마찬가지로 관리자가 결정하게 된다. 관리자는 안전 모드(S405)를 활성화시킬 경우 허가가 안된 단말에 대한 처리방법을 선택하고(S407), 한계 모드를 선택한 경우에는 포트에 유입될 수 있는 한계치를 입력한 후(S406) 허가가 안된 단말에 대한 처리방법을 선택한다(S407). 처리 방법은 상기한 6가지 방법이 있으며 관리자는 이중에 하나를 선택한다.When the packet enters the Ethernet device, it is determined whether the MAC address corresponding to the packet exists in the MAC address table (S401). If the address does not exist in the MAC address table, it is newly recorded in the MAC address table (S402). It is determined whether the safe mode of the system is activated (S403), and if it is not the safe mode, it is no longer necessary to process the new MAC address and discards it (S404). The administrator decides whether to activate the safe mode as in the prior art. When the administrator activates the safe mode (S405), the administrator selects a method for handling the disallowed terminal (S407). When the limit mode is selected, the administrator inputs a threshold value that can flow into the port (S406). Select a processing method for (S407). There are six methods described above, and the administrator selects one of them.
안전 모드가 활성화되어 있는 경우에는 한계치가 지정된 한계 모드인지 여부를 판단한다. 한계 모드가 아닐 경우에는 포트의 유입되는 단말에 대한 한계치를 지정하지 않은 단순한 안전 모드이므로 현재 액세스되고 있는 단말에 대해서만 서비스가 제공되므로 서비스를 제공할 수 없고, 관리자가 상기 S407에서 선택한 방법에 따라서 처리를 한다. 관리자가 포트를 막는 방법을 선택한 경우(S413)에는 이더넷 장치의 포트를 막아 모든 단말의 유입을 막는다(S421). 관리자가 트랩을 전송하는 방법을 선택한 경우(S414)에는 네트워크 관리 시스템으로 트랩을 전송하여 허가가 안된 단말의 유입이 있었음을 관리자에게 알린다(S422). 관리자가 필터링을 선택한 경우(S415)에는 허가가 안된 패킷을 제거하는 필터링을 수행한다(S423). 로그 파일 생성을 선택한 경우(S416)에는 허가 안된 단말의 유입 사실을 로그 파일에 기록하여 비휘발성 메모리에 저장한다(S424). 트랩 전송과 필터링을 함께 선택한 경우(S417)에는 허가 안된 단말의 유입이 있었음을 관리자에게 알리고, 유입된 패킷을 제거한다(S422,S423). 트랩 전송과 로그 파일 생성을 함께 선택한 경우(S418)에는 허가 안된 단말의 유입이 있었음을 트랩 전송을 통해 관리자에게 알리고, 그 사실을 로그 파일에 기록한다(S422,S424). 포트를 막는 방법과 로그 파일 생성을 함께 선택한 경우(S419)에는 포트를 막아 모든 단말의 유입을 허용하지 않고, 허가 안된 단말의 유입 사실을 로그 파일에 기록한다(S421,S424). 포트를 막는 방법과 트랩 전송을 함께 선택한 경우(S420)에는 포트를 막아 모든 단말의 유입을 허용하지 않고, 허가 안된 단말의 유입이 있었음을 트랩 전송을 통해 관리자에게 알린다.(S421,S422). 상기한 방법에 의해 처리된 보안을 위반한 MAC 어드레스의 위반 사실과 위반한 시간 및 위반한 횟수는 별도의 램에 기록하여(S425) 관리자로 하여금 위반한 단말에 대해 추적을 할 수 있도록 한다.If the safe mode is activated, it is determined whether the limit value is the designated limit mode. In the case of the non-limiting mode, since the service is provided only for the terminal that is currently being accessed because it is a simple safe mode that does not designate a limit value for the inflowing terminal of the port, the service cannot be provided, and the administrator processes according to the method selected in S407. Do If the administrator selects a method of blocking the port (S413), the port of the Ethernet device is blocked to prevent the inflow of all terminals (S421). When the manager selects a method of transmitting a trap (S414), the manager sends a trap to the network management system to inform the manager that there is an inflow of an unauthorized terminal (S422). If the administrator selects filtering (S415), filtering is performed to remove the unauthorized packet (S423). If the log file generation is selected (S416), the inflow of the unauthorized terminal is recorded in the log file and stored in the nonvolatile memory (S424). If the trap transmission and filtering are selected together (S417), the administrator is informed that there is an inflow of an unauthorized terminal, and the inflow packet is removed (S422, S423). When the trap transmission and the log file generation are selected together (S418), the administrator is notified through the trap transmission that there is an inflow of the unauthorized terminal, and the fact is recorded in the log file (S422, S424). When the method of blocking the port and the generation of the log file are selected together (S419), the inflow of the unauthorized terminal is not recorded in the log file without allowing the inflow of all terminals by blocking the port (S421, S424). When a method of blocking a port and a trap transmission are selected together (S420), the terminal is not allowed by blocking the port, and the manager is notified through the trap transmission that there is an inflow of an unauthorized terminal (S421, S422). The fact of violation of the MAC address violating the security processed by the above method, the time of violation and the number of violations are recorded in a separate RAM (S425) so that the administrator can track the violating terminal.
한계치를 지정한 한계 모드에 있을 경우에는 지정한 한계치만큼 단말의 유입이 허용되므로 안전 모드만이 활성화 되어있는 경우와 달리, 유입된 단말의 MAC 어드레스가 액세스 리스트에 존재하는 주소인지 여부를 확인한다(S409). 유입된 단말의 MAC 어드레스가 액세스 리스트에 존재하는 경우에는 서비스를 허가한다(S410). 액세스 리스트에 존재하지 않는 주소를 가진 단말의 경우에는 우선 한계치의 초과 여부를 확인하여(S411) 한계치를 초과한 경우에는 상기한 안전 모드에서의 처리 방법과 마찬가지로 관리자가 선택한 방법에 따라 이를 처리한다. 한계치를 초과하지 않은 경우에는 유입된 단말의 주소를 액세스 리스트에 추가한다(S412).If the limit value is in the specified limit mode, the inflow of the terminal is allowed as much as the specified limit value, unlike in the case where only the safe mode is activated, it is checked whether the MAC address of the inflow terminal is an address present in the access list (S409). . If the MAC address of the introduced terminal exists in the access list, the service is permitted (S410). In the case of a terminal having an address that does not exist in the access list, the terminal first checks whether the threshold is exceeded (S411). If the threshold is exceeded, the terminal processes the same according to the method selected by the administrator in the same manner as the above-described safe mode. If the limit value is not exceeded, the address of the introduced terminal is added to the access list (S412).
이상에서 설명한 바와 같이, 본 발명에 의한 계층2에서의 네트워크 보안방법에 의하면, 네트워크 관리자가 네트워크 서비스에서 허가된 사용자가 아닌 다른 사용자가 네트워크 서비스에 액세스 할 경우 이를 다양한 방법으로 제어할 수 있는 장점이 있다. 또한 액세스를 위반한 단말에 대해 로그 파일로 저장하고, 위반한 단말의 주소, 위반 시간, 위반 횟수를 기록하게 하는 방법을 통해 관리자는 위반한 단말에 대해 추적을 할 수 있다. 아울러 필터링과 같은 제어 방법을 선택할 경우 현재 서비스중인 단말을 보호하면서 위반한 단말을 검출할 수 있는 효과도 있다.As described above, according to the network security method in Layer 2 of the present invention, there is an advantage that the network administrator can control this in various ways when a user other than the authorized user in the network service accesses the network service. have. In addition, the administrator can track the violating terminal by storing the log file for the violating terminal and recording the address, the violating time, and the number of violations of the violating terminal. In addition, if a control method such as filtering is selected, the violating terminal can be detected while protecting the currently serving terminal.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020000069458A KR100352126B1 (en) | 2000-11-22 | 2000-11-22 | Network Security Method in Layer 2 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020000069458A KR100352126B1 (en) | 2000-11-22 | 2000-11-22 | Network Security Method in Layer 2 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20020039559A true KR20020039559A (en) | 2002-05-27 |
KR100352126B1 KR100352126B1 (en) | 2002-09-12 |
Family
ID=19700462
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020000069458A KR100352126B1 (en) | 2000-11-22 | 2000-11-22 | Network Security Method in Layer 2 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100352126B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030016733A (en) * | 2001-08-21 | 2003-03-03 | 아르파(주) | Method of protecting dynamic service in the telecommunication system |
CN1323517C (en) * | 2003-04-14 | 2007-06-27 | 华为技术有限公司 | Method of limiting address number of dynamic address table |
US7853801B2 (en) | 2005-12-05 | 2010-12-14 | Electronics & Telecommunications Research Institute | System and method for providing authenticated encryption in GPON network |
US7936670B2 (en) | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
KR101120800B1 (en) * | 2004-05-27 | 2012-03-23 | 마이크로소프트 코포레이션 | Secure federation of data communications networks |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3829794B2 (en) * | 2002-11-22 | 2006-10-04 | ソニー株式会社 | Information processing apparatus, server client system and method, and computer program |
US7797745B2 (en) | 2004-12-22 | 2010-09-14 | Electronics And Telecommunications Research Institute | MAC security entity for link security entity and transmitting and receiving method therefor |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06334671A (en) * | 1993-05-19 | 1994-12-02 | Hitachi Ltd | Local area network monitoring system |
JP3255596B2 (en) * | 1997-10-16 | 2002-02-12 | 日本電信電話株式会社 | MAC bridging device |
KR100459563B1 (en) * | 1998-02-06 | 2005-01-17 | 삼성전자주식회사 | Method for implementing security between ibm host and client pc using mac address |
KR20000054777A (en) * | 2000-06-23 | 2000-09-05 | 김상돈 | Method of authenticating on the basis of mac address in a network connection |
-
2000
- 2000-11-22 KR KR1020000069458A patent/KR100352126B1/en not_active IP Right Cessation
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030016733A (en) * | 2001-08-21 | 2003-03-03 | 아르파(주) | Method of protecting dynamic service in the telecommunication system |
CN1323517C (en) * | 2003-04-14 | 2007-06-27 | 华为技术有限公司 | Method of limiting address number of dynamic address table |
KR101120800B1 (en) * | 2004-05-27 | 2012-03-23 | 마이크로소프트 코포레이션 | Secure federation of data communications networks |
US7853801B2 (en) | 2005-12-05 | 2010-12-14 | Electronics & Telecommunications Research Institute | System and method for providing authenticated encryption in GPON network |
US7936670B2 (en) | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
Also Published As
Publication number | Publication date |
---|---|
KR100352126B1 (en) | 2002-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101111053B (en) | System and method for defending network attack in mobile network | |
CN1930817B (en) | Isolation approach for network users associated with elevated risk | |
US7343488B2 (en) | Method and apparatus for providing discrete data storage security | |
US8893256B2 (en) | System and method for protecting CPU against remote access attacks | |
US9231911B2 (en) | Per-user firewall | |
US8180874B2 (en) | Facilitating defense against MAC table overflow attacks | |
US20020110123A1 (en) | Network connection control apparatus and method | |
US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
US9003481B1 (en) | Out-of band network security management | |
JP2005197823A (en) | Illegitimate access control apparatus between firewall and router | |
US7797741B2 (en) | System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks | |
KR100352126B1 (en) | Network Security Method in Layer 2 | |
US7796590B1 (en) | Secure automatic learning in ethernet bridges | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
CN102316119B (en) | Security control method and equipment | |
CN108737445B (en) | Security policy sharing method and security policy sharing system | |
US20180337950A1 (en) | Originator-based network restraint system for identity-oriented networks | |
KR20110059919A (en) | Network access management method and apparatus for access restriction of abnormal station using web redirect | |
JP2019022118A (en) | Relay device | |
KR101440154B1 (en) | Apparatus and method for user authentication of network security system | |
Cisco | Configuring Port-Based Traffic Control | |
Cisco | Configuring IP Permit List | |
WO2003034688A1 (en) | Security in communication networks | |
Cisco | Configuring the IP Permit List | |
KR101854996B1 (en) | SDN for preventing malicious application and Determination apparatus comprising the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130716 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20140715 Year of fee payment: 13 |
|
LAPS | Lapse due to unpaid annual fee |