KR20020039559A - Network Security Method in Layer 2 - Google Patents

Network Security Method in Layer 2 Download PDF

Info

Publication number
KR20020039559A
KR20020039559A KR1020000069458A KR20000069458A KR20020039559A KR 20020039559 A KR20020039559 A KR 20020039559A KR 1020000069458 A KR1020000069458 A KR 1020000069458A KR 20000069458 A KR20000069458 A KR 20000069458A KR 20020039559 A KR20020039559 A KR 20020039559A
Authority
KR
South Korea
Prior art keywords
terminal
mac address
mode
administrator
port
Prior art date
Application number
KR1020000069458A
Other languages
Korean (ko)
Other versions
KR100352126B1 (en
Inventor
이백주
Original Assignee
구자홍
엘지전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구자홍, 엘지전자주식회사 filed Critical 구자홍
Priority to KR1020000069458A priority Critical patent/KR100352126B1/en
Publication of KR20020039559A publication Critical patent/KR20020039559A/en
Application granted granted Critical
Publication of KR100352126B1 publication Critical patent/KR100352126B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: A method for securing a network in a layer 2 is provided to perform various controlling operations for a security and control unauthorized users, who asses a network service, selectively. CONSTITUTION: If a packet is entered to an Ethernet device, it is judged whether an MAC(Medium Access Control) address corresponded to the packet exists in an MAC address table(S401). If the MAC address does not exist in an MAC address table, the MAC address is recorded in the MAC address table(S402). It is judged whether a stable mode of a system is activated or not(S403). If a stable mode of a system is not activated, new MAC address is removed(S404). In case that a stable mode is activated(S405), a manager selects a processing method with respect to a terminal which is not permitted(S407). In case that a limit mode is selected, a threshold capable of being introducing to a port is inputted(S406), the manager selects a processing method with respect to a terminal which is not permitted(S407). In case that a stable mode is activated, it is judged as to a limit mode(S408). In the case of not a limit mode, a service is not provided because a service can be provided to only currently accessed terminal. In case that the manager selects a method for preventing a port(S413), accesses of all terminals are prevented by preventing a port of the Ethernet device(S412).

Description

계층 2에서의 네트워크 보안방법{Network Security Method in Layer 2}Network Security Method in Layer 2

본 발명은 계층 2에서의 네트워크 보안방법에 관한 것으로서, 더욱 상세하게는 오픈 시스템 인터페이스(Open System Interface) 중 미디엄 액세스 콘트롤(Medium Access Control, 이하 "MAC"이라 함) 계층인 계층 2에서 허가되지 않은 단말이 네트워크에 액세스하는 경우 다양한 방법으로 이를 제어하는 네트워크 보안방법에 관한 것이다.The present invention relates to a network security method in Layer 2, and more particularly, is not permitted in Layer 2, which is a medium access control ("MAC") layer of an open system interface. When the terminal accesses the network relates to a network security method for controlling this in a variety of ways.

종래의 네트워크 보안을 위한 기술로는 3COM사에서 제안된 기술과 얼라이드 텔레신(Allied Telesyn)사에서 제안된 기술이 대표적인데 이를 살펴보면 다음과 같다.Conventional technologies for network security include the technology proposed by 3COM and the technology proposed by Allied Telesyn.

먼저 3COM사에서 제안된 기술은 기본적인 액세스 제어방법의 하나로서 액세스 제어방법을 단 한 가지만 제공한다. 3COM의 기술은 관리자가 계층2에서 안전모드를 활성화시키면 네트워크를 허용하는 단말의 리스트인 MAC 어드레스 테이블상에 있는 단말에 한해서만 네트워크 액세스를 보장해준다. MAC 어드레스 테이블 상에 있는 단말이 액세스한 경우에는 여러 단말이 함께 액세스하더라도 이에 대한 서비스를 제공한다. 만약 MAC 어드레스 테이블상에 존재하지 않는 단말이 액세스하는 경우 트래픽(traffic)이 유입되는 소스 포트(port)를 막아버린다. 3COM사의 기술은 허가되지 않은 단말의 네트워크 액세스 시 포트를 막는 방법만을 제공하므로 기존의 허가된 단말 역시 포트가 막혀있는 관계로 서비스를 받을 수 없게 된다.First, the technology proposed by 3COM company provides only one access control method as one of the basic access control methods. 3COM's technology guarantees network access only for terminals on the MAC address table, which is a list of terminals that allow the network when the administrator activates Safe Mode in Layer 2. When a terminal on the MAC address table is accessed, even if several terminals access together, a service for the terminal is provided. If a terminal that does not exist on the MAC address table is accessed, a source port into which traffic is introduced is blocked. 3COM's technology only provides a way to block ports when an unauthorized terminal accesses a network, so existing authorized terminals are also unable to receive services due to blocked ports.

얼라이드 텔레신사의 기술은 3COM사의 기술보다는 진보된 것으로서, 안전 모드와 한계(threshold) 모드 및 비안전 모드의 세 가지 모드가 있다.Allied Telesin's technology is more advanced than 3COM's, and has three modes: safe mode, threshold mode, and unsafe mode.

비안전 모드는 보안을 위한 시스템을 활성화시키지 않은 상태로서 현재 네트워크에 액세스하는 모든 단말에 대해 서비스를 제공하는 모드이다.The unsafe mode is a mode that does not activate a system for security and provides a service for all terminals currently accessing the network.

안전 활성화 모드는 보안을 위한 시스템을 활성화시킨 모드로서, MAC 어드에서 테이블에 있는 사용자에 한해서만 액세스를 허용한다. 또한 MAC 어드레스 테이블에 있는 사용자에 대해 동시에 복수의 억세스를 허용하는 것이 아니라 단 한사람의 사용자의 한해서 액세스를 허용한다. 따라서 어느 한 사용자가 액세스한 이후에 액세스하고자 하는 단말에 대해서는 3COM사와 같은 방법으로 유입되는 소스 포트를 막아 네트워크상의 트래픽 유입을 막는다.Safe activation mode activates the system for security and allows access only to users in the table at MAC Ad. It also allows access to only one user, rather than allowing multiple accesses to users in the MAC address table at the same time. Therefore, for any terminal that wants to access after one user access, the source port is blocked in the same way as 3COM company to prevent traffic inflow on the network.

한계 모드는 상기 안전 모드가 한 사용자의 액세스만을 지원하는 점을 보완하여 관리자의 의사에 의해 특정한 한계치를 두어 한계치 이하의 사용자의 액세스를 허용하는 모드이다. 한계치를 초과하여 유입되는 단말에 대해서는 포트를 막거나, 네트워크 관리 시스템으로 트랩(trap)을 전송하여 관리자로 하여금 한계치를 초과한 상태를 알도록 한다.The limit mode is a mode in which the safe mode supports only one user's access to allow a user to access a user below the limit by setting a specific limit by the administrator. For a terminal that exceeds the limit, the port is blocked, or a trap is sent to the network management system so that the administrator is informed of the condition that the limit is exceeded.

도 1은 종래의 얼라이드 텔레신사의 네트워크 보안 방법에 대한 순서도를 도시한 것이다. 도 1을 참조하여 종래의 네트워크 보안 방법을 정리하면 다음과 같다.1 is a flowchart illustrating a network security method of a conventional Allied Telesyn. Referring to FIG. 1, the conventional network security method is summarized as follows.

이더넷 장치로 패킷이 들어오면, 패킷에 해당하는 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 판단한다(S100). MAC 어드레스 테이블에 존재하지 않는 어드레스라면 이를 MAC 어드레스 테이블에 새로 기록한다(S101). 시스템의 안전 모드가 현재 활성화 되어있는지 여부를 판단하여(S102) 안전 모드가 활성화 되어있지 않다면 새로운 MAC 어드레스에 대해 더 이상 프로세싱할 필요가 없으므로 이를 버린다(S106). 안전 모드를 활성화시킬지 여부는 관리자가 결정하게 된다. 관리자는 안전 활성화 모드(S103)일 경우 허가가 안된 단말에 대한 처리방법을 선택하고(S105), 한계 모드일 경우에는 포트에 유입될 수 있는 한계치를 입력한 후(S104) 허가가 안된 단말에 대한 처리방법을 선택한다(S105). 처리 방법에는 포트를 막는 방법과 트랩을 전송하는 방법 및 아무런 동작을 취하지 않는 경우가 있다.When the packet enters the Ethernet device, it is determined whether the MAC address corresponding to the packet exists in the MAC address table (S100). If the address does not exist in the MAC address table, it is newly recorded in the MAC address table (S101). It is determined whether the safe mode of the system is currently activated (S102), and if the safe mode is not activated, it is no longer necessary to process a new MAC address and thus is discarded (S106). The administrator decides whether to activate the safe mode. In the safety activation mode (S103), the administrator selects a processing method for the unauthorized terminal (S105), and in the limit mode, enters a threshold value that can be introduced into the port (S104) and then for the unauthorized terminal. A processing method is selected (S105). Processing methods include blocking a port, sending a trap, and taking no action.

안전 모드일 경우에는 한계 모드인지 여부를 다시 판단한다. 한계 모드가 아닐 경우에는 단순한 안전 모드이므로 현재 액세스되고 있는 단말에 대해서만 서비스가 제공되므로 서비스를 제공할 수 없고, 상기 관리자가 선택한 처리 방법에 따라서 처리한다. 관리자가 포트를 막는 방법을 선택한 경우(S112)에는 이더넷 장치 포트를 막아버린다(S115). 관리자가 트랩을 전송하는 방법을 선택한 경우(S113)에는 네트워크 관리 시스템으로 트랩을 전송하여 허가가 안된 단말이 유입되었음을 알린다(S116). 관리자가 상기 두 가지 처리 방법 중 어느 것도 선택하지 않았을 경우에는 아무런 동작을 취하지 않는다(S114).In the case of the safe mode, it is determined again whether the limit mode. In the case of the non-limiting mode, since the service is provided only to the terminal that is currently being accessed because it is a simple safe mode, the service cannot be provided. When the administrator selects a method of blocking a port (S112), the Ethernet device port is blocked (S115). When the administrator selects a method of transmitting a trap (S113), the manager sends a trap to the network management system to notify that an unauthorized terminal has been introduced (S116). If the administrator has not selected any of the two processing methods, no action is taken (S114).

한계 모드일 경우에는 유입된 단말의 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 조사한다(S108). MAC 어드레스 테이블에 존재하는 주소라면 그 단말에 대해 서비스를 허가한다(S111). 유입된 단말의 MAC 어드레스가 MAC 어드레스 테이블에 존재하지 않는다면 한계치를 초과했는지 여부를 판단하여(S109) 한계치를 초과한 경우에는 상기 안전 활성화 모드에서와 같은 처리 방법으로 관리자가 선택한 방법에 의해 유입된 단말을 처리하고 한계치를 초과하지 않은 경우에는 유입된 단말의 MAC 어드레스를 테이블에 추가한다(S11).In the limited mode, it is checked whether the MAC address of the introduced UE exists in the MAC address table (S108). If the address exists in the MAC address table, the service is permitted to the terminal (S111). If the MAC address of the introduced terminal does not exist in the MAC address table, it is determined whether the threshold is exceeded (S109). If the threshold is exceeded, the terminal is introduced by the method selected by the administrator in the same processing method as in the safety activation mode. If the process does not exceed the limit and the MAC address of the introduced terminal is added to the table (S11).

상기한 바와 같은 종래의 네트워크 보안방법은 보안을 위한 제어 기술이 다양하지 못하다. 특히 포트를 막아버리는 경우 다른 허가된 단말의 유입까지도 허가하지 않는 문제점이 있으며, 위반한 단말의 로그(log)를 확인할 수 없고, 현재 유입되어 있는 단말들에 대해 선택적으로 제어할 수 없는 단점이 있다.Conventional network security method as described above is not a variety of control techniques for security. In particular, if the port is blocked, there is a problem that does not allow the inflow of other authorized terminals, the log of the violating terminal can not be checked, and there is a disadvantage that it is not possible to selectively control the current flowing terminals. .

본 발명에서는 상기한 바와 같은 종래기술의 문제점을 해결하기 위해 보안을위한 다양한 제어가 가능하고, 유입된 단말에 대해 선택적으로 제어할 수 있는 계층2에서의 네트워크 보안방법을 제안하고자 한다.In the present invention, to solve the problems of the prior art as described above, it is possible to propose a network security method in the layer 2 that can be variously controlled for security, and can selectively control the introduced terminal.

도 1은 종래의 얼라이드 텔레신사의 네트워크 보안 방법에 대한 순서도를 도시한 것,1 is a flowchart illustrating a network security method of a conventional Allied Telesyn.

도 2는 비안전 모드에서 새로운 주소의 처리방법을 블록도로 도시한 것,2 is a block diagram illustrating a method of processing a new address in an unsafe mode;

도 3은 본 발명의 바람직한 실시예에 따른 안전 모드에서의 보안 처리절차를 블록도로 도시한 것,3 is a block diagram showing a security processing procedure in a safe mode according to a preferred embodiment of the present invention,

도 4는 본 발명의 바람직한 실시예에 따른 네트워크 보안방법의 순서도.4 is a flow chart of a network security method according to a preferred embodiment of the present invention.

상기한 바와 같은 목적을 달성하기 위하여, 본 발명에 의한 계층2에서의 네트워크 보안방법은 비안전 모드일 경우, 새로운 MAC 어드레스를 가진 단말이 유입될 때 이를 MAC 어드레스 테이블에 기록하는 단계(a); 안전 모드일 경우 유입된 단말의 MAC 어드레스가 허가된 단말의 MAC 어드레스 리스트인 액세스 리스트 테이블에 존재하는지 여부를 확인하는 단계(b); 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재할 경우, 요구한 서비스를 제공하는 단계(c); 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재하지 않을 경우, 트랩 전송, 필터링, 로그 파일 생성, 포트를 막는 방법, 트랩 전송 및 필터링, 트랩 전송 및 로그파일 생성, 포트 막는 방법 및 로그 파일 생성, 트랩 전송 및 포트를 막는 방법 중 어느 하나를 관리자로 하여금 선택하게 하여 상기 관리자가 선택한 방법에 따라 처리하는 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the network security method in the layer 2 according to the present invention comprises the steps of: (a) recording a terminal with a new MAC address in the MAC address table when it is in an unsafe mode; (B) checking whether the MAC address of the inflow terminal in the secure mode exists in an access list table which is a list of MAC addresses of authorized terminals; (C) providing the requested service when the MAC address of the terminal introduced in the step (b) exists in the access list table; If the MAC address of the terminal introduced in step (b) does not exist in the access list table, trap transmission, filtering, log file generation, blocking method, trap transmission and filtering, trap transmission and log file generation, port Allowing the administrator to select any one of a blocking method, a log file generation method, a trap transmission method, and a method of blocking a port, and processing the method according to the method selected by the administrator.

이하에서 첨부된 도면을 참조하여 본 발명에 의한 계층 2에서의 네트워크 보안방법의 바람직한 실시예를 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of a network security method in layer 2 according to the present invention.

본 발명은 얼라이드 텔레신사의 보안방법과 마찬가지로 비안전 모드와 안전 모드, 한계 모드의 세가지 모드에서 각각 유입되는 단말에 대해 처리를 한다.Like the security method of the Allied Tele Shrine, the present invention processes the incoming terminals in three modes: non-safe mode, safe mode, and limit mode.

도 2는 비안전 모드에서 새로운 주소의 처리방법을 블록도로 도시한 것이다.2 is a block diagram illustrating a method of processing a new address in an unsafe mode.

도 2에서, 새 주소 처리 모듈(21)은 새로이 유입되는 MAC 어드레스를 처리하는 모듈이고, MAC 어드레스 테이블(22)에는 새로이 유입된 MAC 어드레스가 기록된다. 액세스 리스트 테이블(23)에는 안전 모드에 있을 때 유입이 허가되는 단말의 MAC 어드레스가 기록이 되어 있으며, 보안 처리 모듈(24)은 상기 액세스 리스트에 있는 MAC 어드레스를 기반으로 액세스의 허가 또는 위반을 판정하고, 위반된 경우 설정되어 있는 방법에 따라 보안 위반 호스트를 처리한다. 심플(Simple) 네트워크 관리 프로토콜(26)은 보안 처리 모듈에서 검출된 호스트에 대해 네트워크 관리 시스템에게 트랩을 전송하거나 네트워크 관리 시스템(25)으로부터 보안 처리를 제어할 수 있게 하는 프로토콜이고, 네트워크 관리 시스템(25)은 심플 네트워크 관리 프로토콜에 의해 수신된 트랩에 대해 처리하고 보안 처리를 제어하는 역할을 한다.In FIG. 2, the new address processing module 21 is a module for processing a newly introduced MAC address, and the newly introduced MAC address is recorded in the MAC address table 22. In the access list table 23, the MAC address of the terminal which is permitted to enter when in the safe mode is recorded, and the security processing module 24 determines the permission or violation of the access based on the MAC address in the access list. In case of violation, the security breach host is handled according to the set method. The simple network management protocol 26 is a protocol that allows a network management system to send a trap to a network management system or control security processing from the network management system 25 for a host detected by the security processing module. 25) handles traps received by the simple network management protocol and controls security processing.

비안전 모드에서는 유입되는 모든 단말에 대해 서비스를 제공하므로 안전 처리 모듈(24)은 동작하지 않는다. 이더넷 장치(25)로부터 새로운 주소가 유입되면 새 주소 처리 모듈(21)은 수신된 새 주소를 관리할 수 있도록 MAC 어드레스 테이블(22)에 유입된 새 주소를 갱신한다.In the unsafe mode, since the service is provided to all incoming terminals, the safety processing module 24 does not operate. When a new address is introduced from the Ethernet device 25, the new address processing module 21 updates the new address introduced to the MAC address table 22 so as to manage the received new address.

도 3은 본 발명의 바람직한 실시예에 따른 안전 모드에서의 보안 처리절차를 블록도로 도시한 것이다.3 is a block diagram illustrating a security processing procedure in a safe mode according to a preferred embodiment of the present invention.

안전 모드에서는 액세스 리스트 테이블에 허용된 단말에 한해서만 액세스를 허용해준다. 안전 모드로 전환될 경우 비안전 모드에서 MAC 어드레스 테이블(22)에 갱신된 모든 MAC 어드레스는 액세스 리스트 테이블(23)에 기록된다. 기록된 이후에 단말이 이더넷 장치(25)로 유입되면 그 주소를 보안 처리 모듈(24)로 전송한다. 보안 처리 모듈은 수신한 주소가 액세스 리스트 테이블(23)에 존재하는 주소인지를 확인한다. 액세스 리스트 테이블(23) 내에 존재하는 주소일 경우에는 서비스를 제공하나, 액세스 리스트 테이블 (23) 내에 존재하지 않는 주소일 경우에는 관리자가 미리 설정한 액세스 제어 방식에 따라 이를 처리한다.In safe mode, access is allowed only to terminals allowed in the access list table. When switching to the safe mode, all MAC addresses updated in the MAC address table 22 in the unsafe mode are recorded in the access list table 23. After recording, the terminal enters the Ethernet device 25 and transmits the address to the security processing module 24. The security processing module checks whether the received address is an address existing in the access list table 23. If the address exists in the access list table 23, the service is provided. If the address does not exist in the access list table 23, the service is processed according to an access control method set in advance by the administrator.

본 발명에서는 액세스 제어 방식으로 종래의 포트를 막는 방법과 트랩 전송 이외에 여섯 가지의 다양한 액세스 제어 방식을 제안한다.The present invention proposes six different access control schemes in addition to the conventional method of blocking the ports and the trap transmission by the access control scheme.

첫 번째로, 본 발명에서는 액세스 제어 방식으로 로그 파일을 생성하는 방법을 제안한다. 허가되지 않은 MAC 어드레스를 가진 단말이 유입될 경우, 이러한 사실을 로그 파일로 남겨 시스템이 꺼진 이후에도 허가되지 않은 단말의 유입이 있었던 기록을 남기기 위함이다. 본 발명의 바람직한 실시예에 따르면 상기 로그 파일은 비휘발성 메모리(28)에 저장하는 것이 바람직하다.First, the present invention proposes a method for generating a log file in an access control method. When a terminal with an unauthorized MAC address flows in, this fact is left in a log file to leave a record of unauthorized terminal inflow even after the system is turned off. According to a preferred embodiment of the present invention, the log file is preferably stored in the nonvolatile memory 28.

두 번째로, 본 발명에서는 허가되지 않은 패킷에 대해서는 필터링을 통해 제거시키는 방법을 제안한다. 하드웨어에서 필터링을 지원하는 경우에는 하드웨어를 통해 위반한 패킷만을 제거할 수 있으며, 하드웨어에서 지원이 되지 않은 경우에는 소프트웨어적으로 위반한 패킷을 제거할 수 있다. 이와 같이 위반한 패킷에 대해 필터링을 하게 되면 포트를 막는 경우와 같이 허가된 사용자까지 유입이 방지되는 문제점을 개선할 수 있다.Secondly, the present invention proposes a method for removing unauthorized packets through filtering. If the hardware supports filtering, only the violating packets can be removed through the hardware. If the hardware does not support the filtering, the violating packets can be removed. Such filtering of the violated packets can improve the problem of preventing the inflow of authorized users such as blocking the port.

세 번째로, 본 발명은 허가되지 않은 로그 파일 생성과 필터링을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말에서의 패킷은 필터링을 통해 제거되고, 허가되지 않은 단말이 유입을 시도했었다는 기록이 로그파일에 남겨지게 된다.Third, the present invention proposes a method for performing unauthorized log file generation and filtering together. If this is done together, packets from unauthorized terminals are removed through filtering, leaving a record in the log file that unauthorized terminals attempted to enter.

네 번째로, 본 발명은 필터링과 트랩 전송을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말에서의 패킷은 필터링을 통해 제거되고, 보안 처리 모듈은 허가되지 않은 단말의 유입 시도 사실을 트랩 전송을 통해 관리자에게 알린다.Fourthly, the present invention proposes a method for performing filtering and trap transmission together. If this is done together, packets from unauthorized terminals are removed through filtering, and the security processing module notifies the administrator of the attempted inflow of unauthorized terminals through trap transmission.

다섯 번째로, 본 발명은 포트를 막는 방법과 로그 파일의 생성을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말이 유입되면 소스 포트를 막아 모든 단말의 유입을 금지시키고, 로그 파일로 허가되지 않은 단말의 유입이 있었음을 알리는 기록을 남긴다.Fifthly, the present invention proposes a method of blocking ports and generating a log file together. When this is done together, when an unauthorized terminal is introduced, blocking the source port prevents the inflow of all terminals and leaves a record indicating that there is an inflow of unauthorized terminals in a log file.

여섯 번째로, 본 발명은 포트를 막는 방법과 트랩 전송을 함께 수행하는 방법을 제안한다. 이를 함께 수행할 경우, 허가되지 않은 단말의 유입이 되면 네트워크 관리 시스템으로 트랩을 전송하여 관리자로 하여금 허가되지 않은 단말의 유입 사실을 알리고, 포트를 막아 모든 단말의 유입을 금지시킨다.Sixthly, the present invention proposes a method of blocking a port and a method of performing a trap transmission together. If this is done together, when the inflow of unauthorized terminals is transmitted, a trap is sent to the network management system to inform the administrator of the inflow of unauthorized terminals, and the port is prevented from entering all terminals.

본 발명의 바람직한 실시예에 따르면, 상기한 여섯 가지의 액세스 처리 방법은 관리자가 이 중 하나를 선택하여 미리 설정할 수 있도록 한다. 상기한 방법으로 보안을 위반한 단말에 대해서 처리를 한 이후에는 위반한 단말에 대한 MAC 어드레스를 기록하고 위반한 횟수, 위반시간을 기록하여 램에 저장하도록 한다. 관리자는 상기 저장된 정보를 통해 보안을 위반한 단말을 추적할 수 있다.According to a preferred embodiment of the present invention, the six access processing methods described above allow an administrator to select one of them and set it in advance. After processing the terminal violating security by the above method, the MAC address for the violating terminal is recorded, the number of violations, and the violation time are stored in the RAM. The administrator can track the terminal violating security through the stored information.

본 발명은 또한 한계 모드를 설정하여 보안을 처리할 수 있다. 한계 모드상에서는 관리자가 포트에 유입될 수 있는 단말의 한계치를 지정한다. 상기 지정한한계치를 초과하지 않으면 새로 유입되는 MAC 어드레스를 액세스 리스트에 추가하고 네트워크 액세스를 보장한다. 그러나 새로 유입되는 액세스 어드레스가 지정한 한계치를 초과하는 경우에는 상기한 안전 모드에서와 같이 관리자가 선택한 방법에 따라 액세스 제어를 한다.The present invention can also set the limit mode to handle security. In limit mode, the administrator designates the limit of terminals that can enter the port. If the specified limit is not exceeded, the newly introduced MAC address is added to the access list and network access is guaranteed. However, when a newly introduced access address exceeds a specified threshold, access control is performed according to a method selected by an administrator as in the above-described safe mode.

도 4는 본 발명의 바람직한 실시예에 따른 네트워크 보안방법의 순서도를 도시한 것이다. 도 4를 참조하여 본 발명의 의한 네트워크 보안방법을 전체적으로 설명하면 다음과 같다.4 is a flowchart illustrating a network security method according to a preferred embodiment of the present invention. Referring to Figure 4 when the overall network security method of the present invention will be described.

이더넷 장치로 패킷이 들어오면, 패킷에 해당하는 MAC 어드레스가 MAC 어드레스 테이블에 존재하는지 여부를 판단한다(S401). MAC 어드레스 테이블에 존재하지 않는 어드레스라면 이를 MAC 어드레스 테이블에 새로 기록한다(S402). 시스템의 안전 모드가 활성화 되어있는지 여부를 판단하여(S403) 안전 모드가 아니라면 새로운 MAC 어드레스에 대해 더 이상 프로세싱할 필요가 없으므로 이를 버린다(S404). 안전 모드를 활성화시킬지 여부는 종래와 마찬가지로 관리자가 결정하게 된다. 관리자는 안전 모드(S405)를 활성화시킬 경우 허가가 안된 단말에 대한 처리방법을 선택하고(S407), 한계 모드를 선택한 경우에는 포트에 유입될 수 있는 한계치를 입력한 후(S406) 허가가 안된 단말에 대한 처리방법을 선택한다(S407). 처리 방법은 상기한 6가지 방법이 있으며 관리자는 이중에 하나를 선택한다.When the packet enters the Ethernet device, it is determined whether the MAC address corresponding to the packet exists in the MAC address table (S401). If the address does not exist in the MAC address table, it is newly recorded in the MAC address table (S402). It is determined whether the safe mode of the system is activated (S403), and if it is not the safe mode, it is no longer necessary to process the new MAC address and discards it (S404). The administrator decides whether to activate the safe mode as in the prior art. When the administrator activates the safe mode (S405), the administrator selects a method for handling the disallowed terminal (S407). When the limit mode is selected, the administrator inputs a threshold value that can flow into the port (S406). Select a processing method for (S407). There are six methods described above, and the administrator selects one of them.

안전 모드가 활성화되어 있는 경우에는 한계치가 지정된 한계 모드인지 여부를 판단한다. 한계 모드가 아닐 경우에는 포트의 유입되는 단말에 대한 한계치를 지정하지 않은 단순한 안전 모드이므로 현재 액세스되고 있는 단말에 대해서만 서비스가 제공되므로 서비스를 제공할 수 없고, 관리자가 상기 S407에서 선택한 방법에 따라서 처리를 한다. 관리자가 포트를 막는 방법을 선택한 경우(S413)에는 이더넷 장치의 포트를 막아 모든 단말의 유입을 막는다(S421). 관리자가 트랩을 전송하는 방법을 선택한 경우(S414)에는 네트워크 관리 시스템으로 트랩을 전송하여 허가가 안된 단말의 유입이 있었음을 관리자에게 알린다(S422). 관리자가 필터링을 선택한 경우(S415)에는 허가가 안된 패킷을 제거하는 필터링을 수행한다(S423). 로그 파일 생성을 선택한 경우(S416)에는 허가 안된 단말의 유입 사실을 로그 파일에 기록하여 비휘발성 메모리에 저장한다(S424). 트랩 전송과 필터링을 함께 선택한 경우(S417)에는 허가 안된 단말의 유입이 있었음을 관리자에게 알리고, 유입된 패킷을 제거한다(S422,S423). 트랩 전송과 로그 파일 생성을 함께 선택한 경우(S418)에는 허가 안된 단말의 유입이 있었음을 트랩 전송을 통해 관리자에게 알리고, 그 사실을 로그 파일에 기록한다(S422,S424). 포트를 막는 방법과 로그 파일 생성을 함께 선택한 경우(S419)에는 포트를 막아 모든 단말의 유입을 허용하지 않고, 허가 안된 단말의 유입 사실을 로그 파일에 기록한다(S421,S424). 포트를 막는 방법과 트랩 전송을 함께 선택한 경우(S420)에는 포트를 막아 모든 단말의 유입을 허용하지 않고, 허가 안된 단말의 유입이 있었음을 트랩 전송을 통해 관리자에게 알린다.(S421,S422). 상기한 방법에 의해 처리된 보안을 위반한 MAC 어드레스의 위반 사실과 위반한 시간 및 위반한 횟수는 별도의 램에 기록하여(S425) 관리자로 하여금 위반한 단말에 대해 추적을 할 수 있도록 한다.If the safe mode is activated, it is determined whether the limit value is the designated limit mode. In the case of the non-limiting mode, since the service is provided only for the terminal that is currently being accessed because it is a simple safe mode that does not designate a limit value for the inflowing terminal of the port, the service cannot be provided, and the administrator processes according to the method selected in S407. Do If the administrator selects a method of blocking the port (S413), the port of the Ethernet device is blocked to prevent the inflow of all terminals (S421). When the manager selects a method of transmitting a trap (S414), the manager sends a trap to the network management system to inform the manager that there is an inflow of an unauthorized terminal (S422). If the administrator selects filtering (S415), filtering is performed to remove the unauthorized packet (S423). If the log file generation is selected (S416), the inflow of the unauthorized terminal is recorded in the log file and stored in the nonvolatile memory (S424). If the trap transmission and filtering are selected together (S417), the administrator is informed that there is an inflow of an unauthorized terminal, and the inflow packet is removed (S422, S423). When the trap transmission and the log file generation are selected together (S418), the administrator is notified through the trap transmission that there is an inflow of the unauthorized terminal, and the fact is recorded in the log file (S422, S424). When the method of blocking the port and the generation of the log file are selected together (S419), the inflow of the unauthorized terminal is not recorded in the log file without allowing the inflow of all terminals by blocking the port (S421, S424). When a method of blocking a port and a trap transmission are selected together (S420), the terminal is not allowed by blocking the port, and the manager is notified through the trap transmission that there is an inflow of an unauthorized terminal (S421, S422). The fact of violation of the MAC address violating the security processed by the above method, the time of violation and the number of violations are recorded in a separate RAM (S425) so that the administrator can track the violating terminal.

한계치를 지정한 한계 모드에 있을 경우에는 지정한 한계치만큼 단말의 유입이 허용되므로 안전 모드만이 활성화 되어있는 경우와 달리, 유입된 단말의 MAC 어드레스가 액세스 리스트에 존재하는 주소인지 여부를 확인한다(S409). 유입된 단말의 MAC 어드레스가 액세스 리스트에 존재하는 경우에는 서비스를 허가한다(S410). 액세스 리스트에 존재하지 않는 주소를 가진 단말의 경우에는 우선 한계치의 초과 여부를 확인하여(S411) 한계치를 초과한 경우에는 상기한 안전 모드에서의 처리 방법과 마찬가지로 관리자가 선택한 방법에 따라 이를 처리한다. 한계치를 초과하지 않은 경우에는 유입된 단말의 주소를 액세스 리스트에 추가한다(S412).If the limit value is in the specified limit mode, the inflow of the terminal is allowed as much as the specified limit value, unlike in the case where only the safe mode is activated, it is checked whether the MAC address of the inflow terminal is an address present in the access list (S409). . If the MAC address of the introduced terminal exists in the access list, the service is permitted (S410). In the case of a terminal having an address that does not exist in the access list, the terminal first checks whether the threshold is exceeded (S411). If the threshold is exceeded, the terminal processes the same according to the method selected by the administrator in the same manner as the above-described safe mode. If the limit value is not exceeded, the address of the introduced terminal is added to the access list (S412).

이상에서 설명한 바와 같이, 본 발명에 의한 계층2에서의 네트워크 보안방법에 의하면, 네트워크 관리자가 네트워크 서비스에서 허가된 사용자가 아닌 다른 사용자가 네트워크 서비스에 액세스 할 경우 이를 다양한 방법으로 제어할 수 있는 장점이 있다. 또한 액세스를 위반한 단말에 대해 로그 파일로 저장하고, 위반한 단말의 주소, 위반 시간, 위반 횟수를 기록하게 하는 방법을 통해 관리자는 위반한 단말에 대해 추적을 할 수 있다. 아울러 필터링과 같은 제어 방법을 선택할 경우 현재 서비스중인 단말을 보호하면서 위반한 단말을 검출할 수 있는 효과도 있다.As described above, according to the network security method in Layer 2 of the present invention, there is an advantage that the network administrator can control this in various ways when a user other than the authorized user in the network service accesses the network service. have. In addition, the administrator can track the violating terminal by storing the log file for the violating terminal and recording the address, the violating time, and the number of violations of the violating terminal. In addition, if a control method such as filtering is selected, the violating terminal can be detected while protecting the currently serving terminal.

Claims (3)

비안전 모드일 경우, 새로운 MAC 어드레스를 가진 단말이 유입될 때 이를 MAC 어드레스 테이블에 기록하는 단계(a);(A) recording in a MAC address table when a terminal with a new MAC address is introduced, when in an unsafe mode; 안전 모드일 경우 유입된 단말의 MAC 어드레스가 허가된 단말의 MAC 어드레스 리스트인 액세스 리스트 테이블에 존재하는지 여부를 확인하는 단계(b);(B) checking whether the MAC address of the inflow terminal in the secure mode exists in an access list table which is a list of MAC addresses of authorized terminals; 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재할 경우, 요구한 서비스를 제공하는 단계(c);(C) providing the requested service when the MAC address of the terminal introduced in the step (b) exists in the access list table; 상기 단계(b)에서 유입된 단말의 MAC 어드레스가 상기 액세스 리스트 테이블에 존재하지 않을 경우, 트랩 전송, 필터링, 로그 파일 생성, 포트를 막는 방법, 트랩 전송 및 필터링, 트랩 전송 및 로그파일 생성, 포트 막는 방법 및 로그 파일 생성, 트랩 전송 및 포트를 막는 방법 중 어느 하나를 관리자로 하여금 선택하게 하여 상기 관리자가 선택한 방법에 따라 처리하는 단계(d)를 포함하는 것을 특징으로 하는 계층 2에서의 네트워크 보안방법.If the MAC address of the terminal introduced in step (b) does not exist in the access list table, trap transmission, filtering, log file generation, blocking method, trap transmission and filtering, trap transmission and log file generation, port (D) allowing the administrator to select any one of a blocking method and a log file generation, a trap transmission, and a blocking method, and processing according to the method selected by the administrator. Way. 제 1항에 있어서,The method of claim 1, 관리자가 포트에 유입되는 단말에 대해 한계치를 정하는 한계모드에 있을 경우, 한계치를 초과하지 않으면 유입된 단말의 주소를 상기 액세스 리스트 테이블에 추가하고, 한계치를 초과하면 상기 단계(d)의 트랩 전송, 필터링, 로그파일 생성, 포트를 막는 방법, 트랩 전송 및 필터링, 트랩 전송 및 로그파일 생성, 포트 막는방법 및 로그 파일 생성, 트랩 전송 및 포트를 막는 방법 중 어느 하나를 관리자로 하여금 선택하게 하고 상기 관리자가 선택한 방법에 따라 처리하는 단계를 더 포함하는 것을 특징으로 하는 계층 2에서의 네트워크 보안방법.If the administrator is in the limit mode for setting a limit for the terminal entering the port, if the threshold is not exceeded, the address of the terminal is added to the access list table, if the threshold is exceeded, the trap transmission in step (d), Allow the administrator to select one of the following methods: filtering, generating log files, blocking ports, sending and filtering traps, creating trap sending and log files, blocking ports, and creating log files, sending traps, and blocking ports. The method of claim 2, further comprising the step of processing according to the method selected. 제 1항 또는 제 2항에 있어서,The method according to claim 1 or 2, 상기 액세스 리스트 테이블에 존재하지 않는 MAC 어드레스를 가진 단말이 유입되거나 한계치를 초과한 경우, 해당하는 단말의 MAC 어드레스 및 유입된 시간, 유입 횟수를 램에 기록하는 단계를 더 포함하는 것을 특징으로 하는 계층 2에서의 네트워크 보안방법.If the terminal having a MAC address that does not exist in the access list table flows or exceeds the threshold, the step further comprising the step of recording the MAC address of the corresponding terminal, the introduced time, the number of times in the RAM Network security method in 2.
KR1020000069458A 2000-11-22 2000-11-22 Network Security Method in Layer 2 KR100352126B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000069458A KR100352126B1 (en) 2000-11-22 2000-11-22 Network Security Method in Layer 2

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000069458A KR100352126B1 (en) 2000-11-22 2000-11-22 Network Security Method in Layer 2

Publications (2)

Publication Number Publication Date
KR20020039559A true KR20020039559A (en) 2002-05-27
KR100352126B1 KR100352126B1 (en) 2002-09-12

Family

ID=19700462

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000069458A KR100352126B1 (en) 2000-11-22 2000-11-22 Network Security Method in Layer 2

Country Status (1)

Country Link
KR (1) KR100352126B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030016733A (en) * 2001-08-21 2003-03-03 아르파(주) Method of protecting dynamic service in the telecommunication system
CN1323517C (en) * 2003-04-14 2007-06-27 华为技术有限公司 Method of limiting address number of dynamic address table
US7853801B2 (en) 2005-12-05 2010-12-14 Electronics & Telecommunications Research Institute System and method for providing authenticated encryption in GPON network
US7936670B2 (en) 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch
KR101120800B1 (en) * 2004-05-27 2012-03-23 마이크로소프트 코포레이션 Secure federation of data communications networks

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3829794B2 (en) * 2002-11-22 2006-10-04 ソニー株式会社 Information processing apparatus, server client system and method, and computer program
US7797745B2 (en) 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06334671A (en) * 1993-05-19 1994-12-02 Hitachi Ltd Local area network monitoring system
JP3255596B2 (en) * 1997-10-16 2002-02-12 日本電信電話株式会社 MAC bridging device
KR100459563B1 (en) * 1998-02-06 2005-01-17 삼성전자주식회사 Method for implementing security between ibm host and client pc using mac address
KR20000054777A (en) * 2000-06-23 2000-09-05 김상돈 Method of authenticating on the basis of mac address in a network connection

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030016733A (en) * 2001-08-21 2003-03-03 아르파(주) Method of protecting dynamic service in the telecommunication system
CN1323517C (en) * 2003-04-14 2007-06-27 华为技术有限公司 Method of limiting address number of dynamic address table
KR101120800B1 (en) * 2004-05-27 2012-03-23 마이크로소프트 코포레이션 Secure federation of data communications networks
US7853801B2 (en) 2005-12-05 2010-12-14 Electronics & Telecommunications Research Institute System and method for providing authenticated encryption in GPON network
US7936670B2 (en) 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch

Also Published As

Publication number Publication date
KR100352126B1 (en) 2002-09-12

Similar Documents

Publication Publication Date Title
CN101111053B (en) System and method for defending network attack in mobile network
CN1930817B (en) Isolation approach for network users associated with elevated risk
US7343488B2 (en) Method and apparatus for providing discrete data storage security
US8893256B2 (en) System and method for protecting CPU against remote access attacks
US9231911B2 (en) Per-user firewall
US8180874B2 (en) Facilitating defense against MAC table overflow attacks
US20020110123A1 (en) Network connection control apparatus and method
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US9003481B1 (en) Out-of band network security management
JP2005197823A (en) Illegitimate access control apparatus between firewall and router
US7797741B2 (en) System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks
KR100352126B1 (en) Network Security Method in Layer 2
US7796590B1 (en) Secure automatic learning in ethernet bridges
US20110023088A1 (en) Flow-based dynamic access control system and method
CN102316119B (en) Security control method and equipment
CN108737445B (en) Security policy sharing method and security policy sharing system
US20180337950A1 (en) Originator-based network restraint system for identity-oriented networks
KR20110059919A (en) Network access management method and apparatus for access restriction of abnormal station using web redirect
JP2019022118A (en) Relay device
KR101440154B1 (en) Apparatus and method for user authentication of network security system
Cisco Configuring Port-Based Traffic Control
Cisco Configuring IP Permit List
WO2003034688A1 (en) Security in communication networks
Cisco Configuring the IP Permit List
KR101854996B1 (en) SDN for preventing malicious application and Determination apparatus comprising the same

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130716

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20140715

Year of fee payment: 13

LAPS Lapse due to unpaid annual fee