KR100591554B1 - 네트워크 자원 관리 정책에 따른 통신 제어 방법 - Google Patents

네트워크 자원 관리 정책에 따른 통신 제어 방법 Download PDF

Info

Publication number
KR100591554B1
KR100591554B1 KR1020050010432A KR20050010432A KR100591554B1 KR 100591554 B1 KR100591554 B1 KR 100591554B1 KR 1020050010432 A KR1020050010432 A KR 1020050010432A KR 20050010432 A KR20050010432 A KR 20050010432A KR 100591554 B1 KR100591554 B1 KR 100591554B1
Authority
KR
South Korea
Prior art keywords
address
computer
network
management
policy
Prior art date
Application number
KR1020050010432A
Other languages
English (en)
Inventor
서승호
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020050010432A priority Critical patent/KR100591554B1/ko
Application granted granted Critical
Publication of KR100591554B1 publication Critical patent/KR100591554B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 IP주소, 컴퓨터이름, MAC주소 등과 같은 네트워크 자원을 관리하기 위하여 수립된 정책에 따라서 이미 IP주소를 할당받은 로컬 네트워크 상의 컴퓨터 혹은 지정 컴퓨터이름을 가진 컴퓨터가 해당 로컬 네트워크 상의 다른 컴퓨터 혹은 외부 네트워크와 통신하지 못하도록 제한하거나, 보호 IP주소에 대하여 특정 MAC주소를 가진 컴퓨터만 사용을 허용하여 해당 IP주소를 보호하거나, 특정 MAC주소를 가진 컴퓨터가 사용 가능한 IP주소를 특정 IP주소로 고정하거나, 특정 MAC주소를 가진 컴퓨터의 IP주소 사용을 차단 및 허용하거나, 비관리 대상으로 지정된 특정 IP주소를 가진 컴퓨터의 IP주소 사용을 허용하는 네트워크 자원 관리 정책에 따른 통신 제어 방법에 관한 것이다.
본 발명에 의하면, 부정 사용자들의 IP주소 할당을 원천적으로 봉쇄할 수 있으며, 악의적인 ARP 스푸핑 공격으로부터 주요 컴퓨터의 IP주소를 보호하고, 컴퓨터 사용자로 하여금 IP주소를 허가 없이 함부로 바꿀 수 없도록 하며, 특정한 MAC주소를 가진 컴퓨터의 네트워크 진입 금지 및 허용이 가능하며, 지정 컴퓨터이름을 사용하도록 강제하여 네크워크 자원을 효율적으로 관리할 수 있다.
ARP, GARP, IP, MAC, 정책, 네트워크, VLAN, 스푸핑

Description

네트워크 자원 관리 정책에 따른 통신 제어 방법{Method for controlling communication with network resources mamagement policy}
도 1은 일반적인 GARP 패킷의 구조도.
도 2는 특정 컴퓨터가 일반적인 GARP 패킷을 사용하여 IP주소를 확보하는 과정을 나타낸 구성도.
도 3은 본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 시스템을 나타낸 구성도.
도 4는 도 3의 VLAN 관리객체를 나타낸 구성도.
도 5는 본 발명에 따른 GARP 충돌 응답 패킷의 구성도.
도 6은 본 발명에 따른 GARP 보호 패킷의 구성도.
도 7은 도 3의 관리 에이전트 시스템 관리자가 정책적용 스케줄링 정보를 설정하는 사용자 인터페이스(UI)를 나타낸 화면.
도 8은 본 발명에 따른 네트워크 자원 관리 정책 적용을 위한 IP주소 할당 정보 수집 과정을 나타낸 플로차트.
도 9는 IP차단 및 해제를 위하여 수립된 본 발명에 따른 네트워크 자원 관리 정책의 수행 과정을 나타낸 플로차트.
도 10은 본 발명에 따른 네트워크 자원 관리 정책에 포함된 정책적용 스케줄링 정보 비교 과정을 나타낸 플로차트.
도 11은 본 발명에 따른 IP차단 정책의 적용 실시예를 나타낸 구성도.
도 12는 도 11의 실시예에 사용되는 IP차단 GARP 패킷의 구성도.
도 13은 본 발명에 따른 IP해제 정책의 적용 실시예를 나타낸 구성도.
도 14는 도 13의 실시예에 사용되는 IP해제 GARP 패킷의 구성도.
도 15는 본 발명에 따른 IP차단 정책의 다른 적용 실시예를 나타낸 구성도.
도 16은 도 15의 실시예에 사용되는 네트워크 차단 ARP 패킷의 구성도.
도 17은 본 발명에 따른 IP해제 정책의 다른 적용 실시예를 나타낸 구성도.
도 18은 도 17의 실시예에 사용되는 네트워크 해제 ARP 패킷의 구성도.
도 19는 컴퓨터이름 고정 및 해제를 위하여 수립된 본 발명에 따른 네트워크 자원 관리 정책의 수행 과정을 나타낸 플로차트.
도 20은 본 발명에 따른 GARP 캡처 과정을 나타낸 플로차트.
도 21은 허용모드에서의 관리 정책 적용 모듈의 작동 상태를 나타낸 플로차트.
도 22는 차단모드에서의 관리 정책 적용 모듈의 작동 상태를 나타낸 플로차트.
도 23은 악의적인 ARP 스푸핑 공격의 실시예를 나타낸 구성도.
도 24는 본 발명에 따른 악의적인 ARP 스푸핑 공격에 대한 IP 보호 정책의 적용 실시예를 나타낸 구성도.
도 25는 본 발명에 따른 장애 정보 전송 과정을 나타낸 플로차트.
<도면의 주요 부분에 대한 부호의 설명>
100: DB 200: 관리 에이전트 시스템
210: VLAN 관리객체 211: 관리객체 DB
212: IP주소 할당 정보 수집 모듈 213: IP차단 해제 모듈
214: 컴퓨터이름 수집 모듈 215: GARP 캡처 모듈
216: 관리 정책 적용 모듈 217: 장애 정보 송신 모듈
300: 관리 매니저 시스템
본 발명은 컴퓨터 네트워크 통신 제어 방법에 관한 것이며, 보다 상세히는 네트워크 자원 관리 정책에 따른 통신 제어 방법에 관한 것이다.
일반적으로, 컴퓨터 네트워크 통신 시스템을 구비한 기업들에서 있어서 컴퓨터의 IP(Internet Protocol)주소 충돌로 인한 네트워크 단절은 막대한 네트워크 보수 비용의 낭비를 초래하므로 IP주소 도용이나 IP주소 충돌에 대한 효율적인 관리 방법이 절실이 요구된다.
또한, IP주소 도용이나 IP주소 충돌을 유발하는 비인가 사용자의 네트워크 접속 시도를 자동으로 탐지하고 차단하거나 그 사실을 통보하는 방법이 요구되고 있다.
이와 같은 요구를 충족시키기 위하여, 시스템 관리자는 직접 수작업으로 대량의 IP주소와 MAC(Media Access Control)주소를 관리하면서 다수의 컴퓨터 각각에 IP주소를 할당한다.
하지만, 상기와 같이 대량의 IP주소와 MAC주소를 수작업으로 관리하는 경우에는 시스템 관리자가 네트워크 상의 다수의 컴퓨터에 대한 IP주소 할당 정보를 충분히 파악하기 어려운 한계가 있으므로 효율적인 IP주소 관리를 위한 정책 수립이 곤란하며, 그 결과로 최근들어 이들 대량의 IP주소와 MAC주소의 자동관리에 대한 요구가 증가하고 있는 추세이다.
특히, 상기 IP주소 관리를 위한 정책 수립의 곤란함은 추가적으로 IP주소 부정 사용자들의 IP주소 할당을 봉쇄하지 못하는 문제를 야기할 뿐만 아니라, 악의적인 ARP(주소 결정 프로토콜; Address Resolution Protocol) 스푸핑(spoofing) 공격으로부터 주요 컴퓨터의 IP주소를 보호하지 못하는 문제를 야기한다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 특정 컴퓨터가 IP주소를 확보하기 위하여 다른 컴퓨터에게 로컬 네트워크에 있는 자신의 존재를 알리는 목적으로 사용되는 GARP(무상 주소 결정 프로토콜; Gratuitous ARP)나 특정 컴퓨터가 다른 로컬 네트워크 상의 통신 장비에 대해 하드 웨어 주소(MAC주소)를 파악하는 메커니즘을 제공하는 ARP 혹은 NetBios(Network Basic input/output system) 프로토콜를 기반으로 IP주소, 컴퓨터이름, MAC주소 등과 같은 네트워크 자원을 관리하기 위하여 수립된 정책에 따라서 컴퓨터 네트워크 통신을 제어하는 방법을 제공하는데 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 자신이 관리하는 로컬 네트워크 개수에 따라서 다수의 VLAN 관리객체를 생성하는 관리 에이전트 시스템에 의해 수행되고, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 임의의 MAC주소를 송신지 하드웨어 주소로 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 차단 대상 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키거나, 상기 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 차단 대상 MAC주소를 송신지 하드웨어 주소로 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 이미 IP주소를 할당받은 상태에서 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용하는 과정을 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터에게 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 잘못된 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 차단 ARP 패킷을 유니캐스트함으로써 상기 차단 대상 컴퓨터가 외부 네트워크와 통신하지 못하도록 고립시키거나, 상기 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 올바른 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 해제 ARP 패킷을 유니캐스트함으로써 이미 IP주소를 할당받은 상태에서 외부 네트워크와 통신이 차단된 컴퓨터가 상기 특정 게이트웨이를 통하여 외부 네트워크와 통신을 재개하도록 허용하는 과정을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 수집된 컴퓨터이름 변경 정보를 근거로 각각 컴퓨터이름 고정 및 해제를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 관리 정책에 따른 지정 컴퓨터이름을 가진 컴퓨터의 이름이 변경되면 해당 컴퓨터의 IP주소와 임의의 MAC주소를 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 컴퓨터이름이 변경된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키거나, 상기 컴퓨터이름이 변경된 컴퓨터의 IP주소와 차단 대상 MAC주소를 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 컴 퓨터이름이 변경되어 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 해당 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용하는 과정을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP보호를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터만 사용이 허용된 보호 IP주소에 대한 다른 컴퓨터의 사용 시도가 있으면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 사용을 차단하여 해당 IP주소를 보호하거나, 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격이 있으면 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 IP주소로 등록된 IP주소를 송신지 IP주소와 수신지 IP주소로 포함하고 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 MAC주소로 등록된 MAC주소를 송신지 하드웨어 주소로 포함하는 GARP 보호 패킷을 브로드캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격을 차단하여 해당 IP주소를 보호하는 과정을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP 고정을 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 사용 가능한 IP주소가 고정되어 있는 특정 MAC주소를 가진 컴퓨터가 다른 IP주소 사용을 시도하면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 고정 IP주소를 쓰는 컴퓨터의 다른 IP주소 사용을 차단하는 과정을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 MAC 차단 및 허용을 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 차단하거나, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 허용하는 과정을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법의 바람직한 실시예는, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP비관리를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 비관리 대상으로 지정된 특정 IP주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 비관리 IP주소를 가진 컴퓨터의 IP주소 사용을 허용하는 과정을 더 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 보다 상세하게 설명한다.
본 발명에 있어서, IP주소, 컴퓨터이름, MAC주소 등과 같은 네트워크 자원을 관리하기 위한 정책은 특정 컴퓨터가 IP주소를 확보하기 위하여 다른 컴퓨터에게 로컬 네트워크에 있는 자신의 존재를 알리는 목적으로 사용되는 GARP(무상 주소 결정 프로토콜; Gratuitous ARP)나 특정 컴퓨터가 다른 로컬 네트워크 상의 통신 장비에 대해 하드웨어 주소(MAC주소)를 파악하는 메커니즘을 제공하는 ARP 혹은 NetBIOS(Network Basic input/output system) 프로토콜를 기반으로 수립된다.
참고로, 특정 컴퓨터가 IP주소를 확보하기 위하여 다른 컴퓨터에게 로컬 네트워크에 있는 자신의 존재를 알리는 목적으로 사용되는 일반적인 GARP 패킷 포맷은 도 1에 나타낸 바와 같이, 송신지 IP주소와 수신지IP 주소가 같다는 특징이 있다. 이 GARP 패킷은 주로 컴퓨터의 부팅 타임에 해당 컴퓨터의 네트워크 인터페이스 카드가 설정된 IP를 확보하기 위해 사용된다. 실제로, 도 1에 나타낸 GARP 패킷을 이용하여 특정 컴퓨터가 IP주소를 확보하는 과정은 도 2에 나타낸 바와 같다.
도 2에 나타낸 바와 같이, 만약 컴퓨터 S1이 192.168.1.10 이라는 IP주소를 사용하려고 할 경우, 먼저 상기 컴퓨터 S1은 이 IP주소를 사용하고 있는 컴퓨터 (A1,A2,A3)가 로컬 네트워크 상에 있는지 물어 보게 되는데, 이때 사용되는 패킷이 GARP 패킷이다.
상기 GARP 패킷을 수신한 로컬 네트워크 상의 컴퓨터(A1,A2,A3)는 상기 컴퓨터 S1에 대한 엔트리를 갖고 있는 경우, 각각 자신의 ARP 캐시를 갱신하여 상기 컴퓨터 S1의 엔트리가 만료되지 않도록 한다. 그런데, 만약 컴퓨터 A3처럼 컴퓨터 S1이 사용하려는 IP주소가 자신의 IP주소라면 상기 컴퓨터 A3은 컴퓨터 S1에게 ARP 응답 메시지를 보내게 된다. 컴퓨터 A3의 응답을 받은 컴퓨터 S1은 해당 IP주소를 네트워크 인터페이스 카드에 할당하지 못하게 된다. 반면에, 만약 컴퓨터 S1이 쓰려는 IP주소를 로컬 네트워크에서 아무도 사용하고 있지 않다면, 컴퓨터 S1은 일정시간동안 응답을 기다리다가 정상적으로 네트워크 인터페이스 카드에 해당 IP주소를 할당하고 네트워크를 사용하게 된다.
본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법은 도 3에 나타낸 바와 같이 로컬 네트워크의 개수 설정정보를 저장하고 있는 DB(100)와; 네트워크 관리 정책에 따른 명령을 수행하는 관리 에이전트 시스템(200); 및 전체 네트워크를 총괄하여 관리하며, 상기 관리 에이전트 시스템(200)과 통신하여 IP차단 및 해제 정보와, 컴퓨터이름 고정 및 해제 정보, IP보호 정보, IP고정, MAC 차단 및 허용 정보, IP비관리 정보, 및 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책을 전송하는 관리 매니저 시스템(300)으로 구성되는 네트워크 자원 관리 정책에 따른 통신 제어 시스템에 의해 수행된다.
여기서, 상기 MAC 차단 및 허용을 위한 네트워크 관리 정책은 특히, IP주소 사용 상황이 수시로 변화하는 DHCP (Dynamic Host Configuration Protocol) 기반의 네트워크에 효과적인 정책이다.
상기 IP차단 및 해제 정보 포맷의 바람직한 실시예는 아래의 표 1과 같다.
이름 설명
IP 차단 IP
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 컴퓨터이름 고정 및 해제 정보 포맷의 바람직한 실시예는 아래의 표 2와 같다.
이름 설명
IP 차단 IP
Name 컴퓨터이름
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 IP보호 정보 포맷의 바람직한 실시예는 아래의 표 3과 같다.
이름 설명
IP 보호 IP
MAC1 적용 대상 MAC
MAC2 적용 대상 MAC
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 IP고정 정보 포맷의 바람직한 실시예는 아래의 표 4와 같다.
이름 설명
IP 고정 IP
MAC 적용 대상 MAC
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 MAC 차단 정보 포맷의 바람직한 실시예는 아래의 표 5와 같다.
이름 설명
MAC 차단 MAC
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 MAC 허용 정보 포맷의 바람직한 실시예는 아래의 표 6과 같다.
이름 설명
MAC 허용 MAC
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 IP비관리 정보 포맷의 바람직한 실시예는 아래의 표 7과 같다.
이름 설명
IP 비관리 IP
StartTime 정책적용 시작시간
EndTime 정책적용 종료시간
Weekend SC 요일 스케줄링
Time SC 시간 스케줄링
상기 관리 에이전트 시스템(200)은 상기 로컬 네트워크 개수 설정정보를 판독한 결과에 따라서 다수의 VLAN 관리객체(210)를 생성하고, 각각의 VLAN 관리객체(210)가 IP주소, 컴퓨터이름, MAC주소 등과 같은 네트워크 자원을 관리하기 위하여 수립한 네트워크 관리 정책을 관리객체 DB에 저장 및 갱신한다.
상기 관리 에이전트 시스템(200)은 상기 네트워크 관리 정책에 따른 명령을 수행하여 이미 IP주소를 할당받은 로컬 네트워크 상의 컴퓨터 혹은 지정 컴퓨터이름을 가진 컴퓨터가 해당 로컬 네트워크 상의 다른 컴퓨터 혹은 외부 네트워크와 통신하지 못하도록 제한하거나, 보호 IP주소에 대하여 특정 MAC주소를 가진 컴퓨터만 사용을 허용하여 해당 IP주소를 보호하거나, 특정 MAC주소를 가진 컴퓨터가 사용 가능한 IP주소를 특정 IP주소로 고정하거나, 특정 MAC주소를 가진 컴퓨터의 IP주소 사용을 차단 및 허용하거나, 비관리 대상으로 지정된 특정 IP주소를 가진 컴퓨터의 IP주소 사용을 허용한다.
상기 관리 에이전트 시스템(200)은 상기 명령 수행에 따른 장애정보를 출력하여 상기 관리 매니저 시스템(300)으로 전송한다.
도 4를 참조하면, 상기 VLAN 관리객체(210)의 관리객체 DB(211)는 상기 네트워크 자원 관리 정책과 IP주소 할당 및 컴퓨터이름 변경 정보를 저장 및 갱신한다.
상기 VLAN 관리객쳬(210)의 IP주소 할당 정보 수집 모듈(212)은 현재 IP주소 할당 정보를 수집하여 상기 관리객체 DB(211)로 전달한다.
상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)은 현재 수집된 IP주소 할당 정보를 근거로 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 임의의 MAC주소를 송신지 하드웨어 주소로 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 차단 대상 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키거나, 상기 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 차단 대상 MAC주소를 송신지 하드웨어 주소로 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 이미 IP주소를 할당받은 상태에서 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용한다.
상기 IP차단 해제 모듈(213)은 현재 수집된 IP주소 할당 정보를 근거로 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터에게 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 잘못된 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 차단 ARP 패킷을 유니캐스트함으로써 상기 차단 대상 컴퓨터가 외부 네트워크와 통신하지 못하도록 고립시키거나, 상기 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 올바른 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 해제 ARP 패킷을 유니캐스트함으로써 이미 IP주소를 할 당받은 상태에서 외부 네트워크와 통신이 차단된 컴퓨터가 상기 특정 게이트웨이를 통하여 외부 네트워크와 통신을 재개하도록 허용한다.
상기 VLAN 관리객체(210)의 컴퓨터이름 수집 모듈(214)은 현재 수집된 컴퓨터이름 변경 정보를 근거로 컴퓨터이름 고정 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 관리 정책에 따른 지정 컴퓨터이름을 가진 컴퓨터의 이름이 변경되면 해당 컴퓨터의 IP주소와 임의의 MAC주소를 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 컴퓨터이름이 변경된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키거나, 상기 컴퓨터이름이 변경된 컴퓨터의 IP주소와 차단 대상 MAC주소를 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 컴퓨터이름이 변경되어 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 해당 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용한다.
상기 VLAN 관리객체(210)의 GARP 캡처 모듈(215)은 네트워크 상의 컴퓨터가 보내는 GARP 패킷을 캡쳐한다.
상기 VLAN 관리객체(210)의 관리 정책 적용 모듈(216)은 현재 캡쳐한 GARP 패킷을 근거로 IP보호를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터만 사용이 허용된 보호 IP주소에 대한 다른 컴퓨터의 사용 시도가 있으면, 도 5에 나타낸 바와 같이 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 사용을 차단하여 해당 IP주소를 보호한다.
상기 관리 정책 적용 모듈(216)은 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격이 있으면, 도 6에 나타낸 바와 같이 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 IP주소로 등록된 IP주소를 송신지 IP주소와 수신지 IP주소로 포함하고 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 MAC주소로 등록된 MAC주소를 송신지 하드웨어 주소로 포함하는 GARP 보호 패킷을 브로드캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격을 차단하여 해당 IP주소를 보호한다.
상기 관리 정책 적용 모듈(216)은 현재 캡쳐한 GARP 패킷을 근거로 IP고정을 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 사용 가능한 IP주소가 고정되어 있는 특정 MAC주소를 가진 컴퓨터가 다른 IP주소 사용을 시도하면, 도 5에 나타낸 바와 같이 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 고정 IP주소를 쓰는 컴퓨터의 다른 IP주소 사용을 차단한다.
상기 관리 정책 적용 모듈(216)은 현재 캡쳐한 GARP 패킷을 근거로 MAC 차단 및 허용을 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면, 도 5에 나타낸 바와 같이 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 차단하거나, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 허용한다.
상기 관리 정책 적용 모듈(216)은 현재 캡쳐한 GARP 패킷을 근거로 IP비관리를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 비관리 대상으로 지정된 특정 IP주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 비관리 IP주소를 가진 컴퓨터의 IP주소 사용을 허용한다.
상기 VLAN 관리객체(210)의 장애 정보 송신 모듈(217)은 자신에게 전달되는 장애정보를 상기 관리 매니저 시스템(300)으로 전달하는 역할을 한다.
상기 관리 매니저 시스템(300)은 상기 관리 에이전트 시스템(200)과 통신하여 각각의 VLAN 관리객체(210)에 대응하고, IP차단 및 해제 정보와, 컴퓨터이름 고정 및 해제 정보, IP보호 정보, IP고정, MAC 차단 및 허용 정보, IP비관리 정보, 및 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책을 전송하고, 상기 장애정보를 수신하여 네트워크 관리자가 확인할 수 있도록 디스플레이한다.
상기 관리 매니저 시스템(300)은 기간을 설정하여 날짜에 따라 정책적용 여부를 결정하는 기능과, 현재 요일을 확인하여 요일에 따라 정책적용 여부를 결정하는 기능, 및 현재 시간을 확인하여 시간에 따라 정책적용 여부를 결정하는 기능을 구비한 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책을 상기 관리 에이전트 시스템(200)으로 전송한다. 이때, 관리자는 도 7에 나타낸 바와 같은 사용자 인터페이스(UI)를 통하여 정책적용 스케줄링 정보를 설정한다.
상기와 같이 구성되는 본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 시스템에 의해 본 발명에 따른 네트워크 통신 제어 방법은 다음과 같이 수행된다.
먼저, 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)이 IP차단 및 해제 정보와 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책에 따른 명령을 수행하도록 상기 IP주소 할당 정보 수집 모듈(212)이 IP주소 할당 정보를 수집하는 과정은 도 8에 나타낸 바와 같다.
도 8을 참조하면, 상기 IP주소 할당 정보 수집 모듈(212)은 미리 설정된 특정 탐색시간 주기를 판별하여(S100), 해당 탐색시간 주기가 지나지 않으면 슬립(Sleep) 상태(S101)를 유지하고, 해당 탐색시간 주기가 지나면 상기 관리객체 DB(211)에서 모든 관리 대상 IP주소를 읽은 다음(S102), 상기 모든 관리 대상 IP주소에 대하여 로컬 네트워크 상의 컴퓨터들에게 ARP 요청 메시지를 브로드캐스트한다(S103).
이에 따라서 해당 컴퓨터들은 상기 ARP 요청 메시지를 받고 응답한다.
일단, 로컬 네트워크 상의 컴퓨터들로부터 ARP 응답 메시지를 수신하면, 상기 IP차단 해제 모듈(213)은 이전의 로컬 네트워크 상의 컴퓨터들로부터 수신한 ARP 응답 메시지 상태와 비교하여 현재 수신한 ARP 응답 메시지 상태가 변경되었는 지 판별하여(S104), 그 상태가 변경되었으면 상태변경시간을 관리객체 DB(211)에 기록한다(S105). 이 경우, 예컨대 이전에 ARP 응답 메시지를 보낸 컴퓨터가 현재 ARP 응답 메시지를 보내지 않으면 상태 변경(예컨대, 네트워크 상에서 로그 오프됨)으로 간주한다.
반면에, ARP 응답 메시지 상태가 변경되지 않았거나 상태변경시간을 상기 관리객체 DB(211)에 기록하고 나면, 상기 IP차단 해제 모듈(213)은 수신된 ARP 응답 메시지로부터 기존의 IP주소에 대응하는 MAC주소가 변경되었는가를 판별하고(S106), 그 판별 결과, 기존의 IP주소에 대응하는 MAC주소가 변경되지 않았으면 초기 단계로 리턴하고, 변경되었으면 현재 네트워크 상의 IP주소 할당 상황이 변경되었음을 나타내는 장애정보를 출력하여 상기 장애정보 송신 모듈(217)로 전달한 다음(S107), 새로운 IP주소 할당 정보를 상기 관리객체 DB(211)에 저장한다(S108).
이때, 상기 관리객체 DB(211)에 저장되는 새로운 IP주소 할당 정보는 아래의 표 8에 나타낸 바와 같은 IP주소 할당 및 컴퓨터이름 변경 정보 포맷의 바람직한 실시예를 따른다.
이름 설명
SCTime 상태변경시간
IP IP 주소
MAC MAC 주소
Name 탐색된 NetBios 이름 (컴퓨터 이름)
Group 탐색된 NetBios 그룹 (작업그룹 이름)
MUserName 관리자가 입력 사용자 이름
Description 기타 설명
Flag 신규IP 여부
State 현재 상태
GroupID IP 그룹 ID
상기와 같이 IP주소 할당 정보 수집 모듈(212)에 의해 IP주소 할당 정보가 수집되면, 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)은 도 9에 나타낸 바와 같이 IP차단 및 해제 정보와 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책에 따른 명령을 수행한다.
도 9를 참조하면, 상기 IP차단 해제 모듈(213)은 관리객체 DB(211)를 통하여 IP 차단 및 해제를 위한 새로운 정책 정보를 수신하거나(S200), 미리 설정된 차단 주기가 지나면 IP차단 및 해제 정책에 따른 명령 수행 동작을 시작하며(S201), 그렇지 않으면 슬립 상태를 유지한다(S202).
만약, 상기 관리객체 DB(211)를 통하여 IP 차단 및 해제를 위한 새로운 정책 정보를 수신하거나(S200), 미리 설정된 차단 주기가 지나면(S201), 상기 IP차단 해제 모듈(213)은 상기 관리객체 DB(211)에서 차단 대상과 해제 대상 IP주소 정보를 읽은 후(S203), 먼저 해제 대상 IP주소에 대한 사용 차단을 해제한다(S204).
그런 다음, 상기 네트워크 자원 관리 정책에 포함된 정책적용 스케줄링 정보에 따른 날짜 적용, 요일 적용, 시간 적용 정보를 비교하여 일치하는 경우에는 차단 대상 IP주소에 대한 사용을 모두 차단하고(S205), 일치하지 않는 경우에는 해당 차단 대상 IP주소에 대한 사용 차단을 모두 해제한 후(S206), 관리객체 DB(211)의 IP차단 및 해제 정보를 갱신한다(S207).
이때, 상기 IP차단 해제 모듈(213)은 도 10에 나타낸 바와 같이 정책적용 스케줄링 정보 비교 과정을 수행한다.
도 10을 참조하면, 상기 IP차단 해제 모듈(213)은 날짜 적용 시작 날짜가 현 재 날짜보다 큰지(S300), 날짜 적용 종료 날짜가 현재 날짜 보다 작은지(S301), 현재 요일이 요일 적용 정보의 요일과 일치하는지(S302), 현재 시간이 시간 적용 정보의 시간내에 있는지(S303) 등의 조건을 순차적으로 비교하여, 이들 조건을 모두 만족하면 실제 IP차단 및 해제 정책을 적용하고(S304), 이들 조건 중 어느 하나라도 만족하지 못하면 IP차단 및 해제 정책을 미적용한다(S305).
도 11은 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)을 포함하는 본 발명에 따른 관리 에이전트 시스템(AG)이 이미 IP주소(예컨대, 192.168.1.10)를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터 S1이 로컬 네트워크 상의 다른 컴퓨터(A1,A2)와 통신하지 못하도록 고립시키는 과정을 나타낸 실시예이다.
도 11에 나타낸 바와 같이, 관리 에이전트 시스템(AG)에서 차단 대상 컴퓨터 S1에게 도 12에 나타낸 바와 같이 송신지 IP 주소와 수신지 IP 주소를 모두 차단 대상 컴퓨터 S1의 IP주소인 192.168.1.10으로 설정하고 임의의 MAC주소인 'EEEEEE'를 포함하는 IP차단 GARP 패킷을 네트워크 상으로 브로드캐스트하면, 이 패킷을 수신한 로컬 네트워크 상의 모든 컴퓨터(A1,A2)는 자신의 ARP 테이블을 도 11에서 나타낸 바와 같이 갱신한다. 이에 따라서, 차단 대상 컴퓨터 S1은 네크워크 상의 모든 컴퓨터(A1,A2)와 통신할 수 없으며, 네트워크에서 고립된다.
도 13은 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)을 포함하는 본 발명에 따른 관리 에이전트 시스템(AG)이 이미 IP주소(예컨대, 192.168.1.10)를 할당받은 상태에서 로컬 네트워크 상의 다른 컴퓨터(A1,A2)와 통신이 차단된 컴퓨터 S1이 로컬 네트워크 상의 다른 컴퓨터(A1,A2)와 통신을 재개하도록 허용하는 과정 을 나타낸 실시예이다.
도 13에 나타낸 바와 같이, 관리 에이전트 시스템(AG)에서 차단 해제 대상 컴퓨터 S1에게 도 14에 나타낸 바와 같이 관리객체 DB(211)에서 유지하고 있던 정상적인 송신지 정보를 가진 IP해제 GARP 패킷, 즉 송신지 IP주소와 수신지 IP주소가 모두 차단 해제 대상 컴퓨터 S1의 IP주소인 192.168.1.10이며 송신지 MAC주소가 실제 192.168.1.10의 MAC주소인 'AAAAAA'를 가진 IP해제 GARP 패킷을 네트워크 상으로 브로드캐스트하면, 이 패킷을 수신한 로컬 네트워크 상의 컴퓨터들(A1,A2)은 도 13에 나타낸 바와 같이 자신의 ARP 테이블을 복구한다. 이때부터 192.168.1.10을 IP주소로 쓰는 컴퓨터 S1은 네크워크 상의 다른 컴퓨터(A1,A2)와 통신을 재개할 수 있으며, 네트워크 사용이 허용된다.
도 15는 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)을 포함하는 본 발명에 따른 관리 에이전트 시스템(AG)이 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터 S1이 외부 네트워크(예컨대, 특정 게이트웨이의 IP주소; 192.168.1.1)와 통신하지 못하도록 고립시키는 과정을 나타낸 실시예이다.
도 15에 나타낸 바와 같이, 관리 에이전트 시스템(AG)에서 차단 대상 컴퓨터 S1에게 도 16에 나타낸 바와 같이 게이트웨이 IP주소와 해당 게이트웨이 MAC주소가 아닌 임의의 잘못된 MAC주소인 'EEEEEE'를 송신지 MAC주소로 하는 네트워크 차단 ARP 패킷을 차단 대상 컴퓨터 S1에게만 유니캐스트하면, 이 패킷을 수신한 차단 대상 컴퓨터 S1은 도 15에 나타낸 바와 같이 자신의 ARP 캐쉬의 게이트웨이의 MAC주소를 갱신한다. 이에 따라서 차단 대상 컴퓨터 S1과 해당 게이트웨이 장비와의 통 신은 불가능하게 되고, 외부 네트워크와의 통신이 차단된다.
도 17은 상기 VLAN 관리객체(210)의 IP차단 해제 모듈(213)을 포함하는 본 발명에 따른 관리 에이전트 시스템(AG)이 이미 IP주소를 할당받은 상태에서 외부 네트워크(예컨대, 특정 게이트웨이의 IP주소; 192.168.1.1)와 통신이 차단된 컴퓨터 S1이 상기 특정 게이트웨이를 통하여 외부 네트워크와 통신을 재개하도록 허용하는 과정을 나타낸 실시예이다.
도 17에 나타낸 바와 같이, 관리 에이전트 시스템(AG)에서 차단 해제 대상 컴퓨터 S1에게 도 18에 나타낸 바와 같이 관리객체 DB(211)에서 유지하고 있던 정상적인 송신지 정보를 가진 네트워크 해제 ARP 패킷, 즉 게이트웨이 IP주소와 올바른 게이트웨이 MAC주소인 'GGGGGG'를 송신지 MAC주소로 하는 네트워크 해제 ARP 패킷을 유니캐스트하면, 이 패킷을 수신한 차단 해제 대상 컴퓨터는 도 17에 나타낸 바와 같이 자신의 ARP 테이블을 복구한다. 이때부터 192.168.1.1을 게이트웨이 IP주소로 쓰는 컴퓨터 S1은 외부 네크워크와 통신을 재개할 수 있으며, 외부 네트워크와의 통신 차단이 해제된다.
다음으로, 상기 VLAN 관리객체(210)의 컴퓨터이름 수집 모듈(214)은 도 19에 나타낸 바와 같이 컴퓨터이름 변경 정보를 수집하면서 그 수집 정보를 근거로 컴퓨터이름 고정 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행한다.
도 19를 참조하면, 상기 컴퓨터이름 수집 모듈(214)은 미리 설정된 특정 탐 색시간 주기를 판별하여(S400), 해당 탐색시간 주기가 지나지 않으면 슬립(Sleep) 상태(S401)를 유지하고, 해당 탐색시간 주기가 지나면 상기 관리객체 DB(211)에서 모든 관리 대상 IP주소와 해덩 정책 정보를 읽은 다음(S402), 상기 모든 관리 대상 IP주소에 대하여 로컬 네트워크 상의 컴퓨터들에게 NetBios 요청 메시지를 브로드캐스트한다(S403).
이에 따라서 해당 컴퓨터들은 상기 NetBios 요청 메시지를 받고 응답한다.
일단, 로컬 네트워크 상의 컴퓨터들로부터 NetBios 응답 메시지를 수신하면, 상기 컴퓨터이름 수집 모듈(214)은 이전의 로컬 네트워크 상의 컴퓨터들로부터 수신한 NetBios 응답 메시지 상태와 비교하여 현재 수신한 NetBios 응답 메시지 상태가 변경되었는지 판별하여(S404), 그 상태가 변경되었으면 상태변경시간을 상기 관리객체 DB(211)에 기록한다(S405). 이 경우, 예컨대 이전에 NetBios 응답 메시지를 보낸 컴퓨터가 현재 NetBios 응답 메시지를 보내지 않으면 상태 변경(예컨대, 네트워크 상에서 로그 오프됨)으로 간주한다.
반면에, NetBios 응답 메시지 상태가 변경되지 않았거나 상태변경시간을 상기 관리객체 DB(211)에 기록하고 나면, 상기 컴퓨터이름 수집 모듈(214)은 수신된 NetBios 응답 메시지가 나타내는 대상 컴퓨터이름이 관리자의 정책에 따라서 지정된 컴퓨터이름과 일치하는가를 판별하고(S406), 그 판별 결과, 지정 컴퓨터이름과 일치하면 초기 단계로 리턴하고, 일치하지 않으면 도 11과 도 12의 실시예와 유사하게, IP주소와 임의의 MAC주소를 포함하는 IP차단 GARP 패킷을 네트워크 상으로 브로드캐스트함으로써 상기 컴퓨터이름이 변경된 컴퓨터가 로컬 네트워크 상의 다 른 컴퓨터와 통신하지 못하도록 고립시키면서 현재 해당 컴퓨터의 이름이 사용자에 의해 임의로 변경되었음을 나타내는 장애정보를 출력하여 상기 장애정보 송신 모듈(217)로 전달한 다음(S407), 새로운 컴퓨터이름 변경 정보를 관리객체 DB(211)에 저장한다(S408).
이때, 상기 관리객체 DB(211)에 저장되는 새로운 컴퓨터이름 변경 정보는 상기한 표 8에 나타낸 바와 같은 IP주소 할당 및 컴퓨터이름 변경 정보 포맷의 바람직한 실시예를 따른다.
또한, 상기 컴퓨터이름 수집 모듈(214)은 관리객체 DB(211)를 통하여 컴퓨터이름 고정 해제를 위한 새로운 정책 정보를 수신하거나, 미리 설정된 차단 주기가 지나면 해제 대상 IP주소 정보를 읽은 후 해제 대상 IP주소에 대한 사용 차단을 해제한다. 이때, 상기 컴퓨터이름 수집 모듈(214)은 도 13과 도 14의 실시예와 유사하게, 상기 컴퓨터이름이 변경된 컴퓨터의 IP주소와 차단 대상 MAC주소를 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 컴퓨터이름이 변경되어 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 해당 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용한다.
다음으로, 상기 VLAN 관리객체(210)의 관리 정책 적용 모듈(216)이 IP보호 정보와, IP고정, MAC 차단 및 허용 정보, IP비관리 정보, 및 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책에 따른 명령을 수행하도록 상기 GARP 캡처 모듈(215)이 네트워크 상의 컴퓨터로부터 GARP 패킷을 캡처하는 과정은 도 20에 나 타낸 바와 같다.
도 20을 참조하면, 상기 GARP 캡처 모듈(215)은 네트워크 상의 컴퓨터들이 전송하는 패킷 신호를 캡처하기 위하여 설정한 어댑터(S500)를 통하여 각각의 컴퓨터들이 네트워크로 보내는 패킷을 캡처한 다음(S501), 캡처된 패킷들 중에서 ARP 패킷을 선별한 후(S502), 이들 중 송신지 IP주소와 수신지IP 주소가 같은 GARP 패킷을 선별하여(S503) 이 GARP 패킷을 상기 관리 정책 적용 모듈(216)로 전달한다(S504).
참고로, 상기와 같이 관리 정책 적용을 위하여 상기 GARP 패킷을 캡처하면 많은 양의 ARP 패킷을 캡처하여 분석할 필요가 없기 때문에 관리 에이전트 시스템(300)의 부하를 현격히 줄일 수 있다. 실제로, GARP 패킷은 컴퓨터의 IP주소 변경 혹은 부팅 시에만 발생하기 때문에 네트워크 상에서 ARP 패킷의 양에 비해 GARP 패킷의 양은 상대적으로 극히 적게 나타난다.
상기와 같이 GARP 캡처 모듈(215)이 네트워크 상의 컴퓨터로부터 GARP 패킷을 캡처하면, 상기 VLAN 관리객체(210)의 관리 정책 적용 모듈(216)은 도 21과 도 22에 나타낸 바와 같이 IP보호 정보와, IP고정, MAC 차단 및 허용 정보, IP비관리 정보, 및 정책적용 스케줄링 정보를 포함하는 네트워크 자원 관리 정책에 따른 명령을 수행한다.
특히, 상기 관리 정책 적용 모듈(216)은 관리 매니저 시스템(300)으로부터 관리 에이전트 시스템(200)으로 전송되는 관리정책모드에 의해 GARP 패킷을 보내는 컴퓨터에 대해 아무런 정책도 설정되어 있지 않은 경우, 해당 컴퓨터의 IP 자원(예컨대, IP주소, MAC주소 등) 사용을 허가하는 허용모드와 해당 컴퓨터의 IP 자원 사용을 차단하는 차단모드로 작동 제어할 수 있다.
본 발명에 있어서, 상기 관리 정책 적용 모듈(216)을 허용모드로 제어하면 정책이 설정되지 않은 호스트 컴퓨터에 대해 IP 자원 사용을 허가한 뒤 데이터베이스만 갱신하므로 관리자가 로그를 통해 정보를 확인하고 이후에 용이하게 정책 결정에 반영할 수 있다. 또한, 차단모드로 제어하면 관리자가 미리 파악하고 있지 않은 IP주소와 MAC주소에 대해 우선적으로 IP 자원 사용을 금지하기 때문에 관리자의 네트워크 자원에 대한 통제력이 커진다. 실제로, 상기 두 가지 작동모드를 사용하는 바람직한 실시예는, 먼저 본 발명에 따른 통신 제어 시스템이 네트워크에서 IP 자원 상황을 충분히 수집할 때까지 일정기간 동안 상기 관리 정책 적용 모듈(216)을 허용모드로 관리하다가 충분히 자원을 수집한 뒤에 차단모드로 바꾸면 효율적인 관리가 가능하다.
도 21을 참조하면, 허용모드에서 상기 관리 정책 적용 모듈(216)은 상기 GARP 캡처 모듈(215)로부터 GARP 패킷을 전달 받았는가를 판별하여(S600), GARP 패킷을 전달받지 않았으면 슬립 상태를 유지하고(S601), GARP 패킷을 전달받았으면 먼저 ARP 송신지 IP 주소를 관리객체 DB(211)의 차단 IP와 비교한다(S610).
만약, 일치하는 차단 IP가 있다면 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지 IP로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈 (217)로 전달한다(S611,S612).
만약, 차단 IP와 일치하지 않는다면 송신지 MAC 주소와 관리객체 DB(211)의 차단 MAC주소와 비교한다(S620).
일치하는 차단 MAC주소가 있다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S621,S622).
차단 MAC주소가 일치하지 않는다면, ARP 송신지 IP와 관리객체 DB(211)의 IP 보호 정보의 보호 IP주소와 비교한다(S630).
만약에 일치한다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 다시 ARP 송신지 MAC주소와 상기 IP 보호 정보의 MAC주소와 비교한다(S631,632). 만약 일치한다면, 이것은 IP 보호 대상 컴퓨터가 보낸 패킷이므로 다음 단계로 넘어가고, 만약 일치하지 않는다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보냄과 동시에 도 6에 나타낸 GARP 보호 패킷도 함께 전송하면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S633).
만약, 상기 IP 보호 정보의 보호 IP주소와도 일치하지 않는다면 ARP 송신지 IP주소와 관리객체 DB(211)의 IP 고정 정보의 고정 IP와 비교한다(S640).
만약에 일치한다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 다시 ARP 송신지 MAC주소와 상기 IP 고정 정보의 MAC주소 와 비교한다(S641,642). 만약 일치한다면, 이것은 IP 고정 대상 컴퓨터가 보낸 패킷이므로 다음 단계로 넘어 가고, 만약 일치 하지 않는다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S643).
만약, 일치하는 IP 고정 정보의 고정 IP가 없다면, 마지막으로 ARP 송신지 IP주소와 관리객체 DB(211)의 IP주소 할당 상황 정보에 있는지 확인한 뒤(S650), 없다면 새로운 IP자원으로 등록하여 허용모드 작동을 종료한다(S660). 이에 따라서 정책이 설정되지 않은 IP자원에 대해서는 IP자원(예컨대, IP주소, MAC주소 등) 사용이 허용된다.
도 22를 참조하면, 차단모드에서 상기 관리 정책 적용 모듈(216)은 상기 GARP 캡처 모듈(215)로부터 GARP 패킷을 전달 받았는가를 판별하여(S700), GARP 패킷을 전달받지 않았으면 슬립 상태를 유지하고(S701), GARP 패킷을 전달받았으면 먼저 ARP 송신지 IP 주소를 관리객체 DB(211)의 차단 IP와 비교한다(S710).
만약, 일치하는 차단 IP가 있다면 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지 IP로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S711,S712).
만약, 차단 IP와 일치하지 않는다면 송신지 IP주소와 관리객체 DB(211)의 비관리 IP주소와 비교한다(S720).
일치하는 비관리 IP주소가 있다면 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 IP주소 사용을 허가한다(S721).
일치하는 비관리 IP주소가 없다면, ARP 송신지 IP와 관리객체 DB(211)의 IP 보호 정보의 보호 IP주소와 비교한다(S730).
만약에 일치한다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 다시 ARP 송신지 MAC주소와 관리객체 DB(211)의 IP 보호 정보의 MAC주소와 비교한다(S731,732). 만약 일치한다면, 이것은 IP 보호 대상 컴퓨터가 보낸 패킷이므로 다음 단계로 넘어가고, 만약 일치하지 않는다면 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보냄과 동시에 도 6에 나타낸 GARP 보호 패킷도 함께 전송하면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S733).
만약, IP 보호 정보의 보호 IP주소와도 일치하지 않는다면, ARP 송신지 IP주소와 관리객체 DB(211)의 IP 고정 정보의 고정 IP주소와 비교한다(S740).
만약에 일치한다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 다시 ARP 송신지 MAC주소와 관리객체 DB(211)의 IP 고정 정보의 MAC주소와 비교한다(S741,S742). 만약 일치한다면 이것은 IP 고정 대상 장비가 보낸 패킷이므로 다음 단계로 넘어 간다. 만약 일치 하지 않는다면, 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한다(S743).
만약 일치하는 IP 고정 정보의 고정 IP주소가 없다면, ARP 송신지의 MAC주소 와 관리객체 DB(211)의 MAC 허용 정보의 MAC주소와 비교한다(S750).
일치하는 MAC주소가 있다면, 도 10에 나타낸 정책적용 스케줄링 정보 비교 과정을 거쳐 모든 것이 일치한다면 IP주소 사용을 허가한다(S751).
만약 일치하는 MAC주소가 없다면, 정책에 해당되지 않는 IP주소이므로 도 5에 나타낸 GARP 충돌 응답 패킷을 해당 송신지로 보내면서 이 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달한 다음(S760), 마지막으로 ARP 송신지 IP주소와 관리객체 DB(211)의 IP주소 할당 상황 정보에 있는지 확인한 뒤(S770), 없다면 새로운 IP자원으로 등록하여 차단모드 작동을 종료한다(S780). 이에 따라서 정책이 설정되지 않은 IP자원에 대해서는 IP자원(예컨대, IP주소, MAC주소 등) 사용이 차단된다.
상기 도 21과 도 22에 나타낸 바와 같이, 상기 관리 정책 적용 모듈(216)의 작동모드를 허용모드 혹은 차단모드로 제어하는 동안, 도 6에 나타낸 GARP 보호 패킷을 전송하는 경우(S633,S733)는 네트워크 상의 주요 컴퓨터의 IP주소를 보호하는 실시예이다.
예컨대, 도 23에 나타낸 바와 같이 네트워크 상의 특정 컴퓨터 S1이 조작된 GARP 패킷을 브로드캐스트하여 악의적인 ARP 스푸핑(Spoofing) 공격을 감행하면 로컬 네트워크의 다른 컴퓨터(A1,A2)와 본 발명에 따른 관리 에이전트 시스템(AG)이 IP 충돌을 일으키고 네트워크 사용이 중단될 수 있다.
이때, 만약 로컬 네트워크의 컴퓨터들에 대한 IP 보호 정책이 설정되어 있다 면, 도 24에 나타낸 바와 같이 본 발명에 따른 관리 에이전트 시스템(AG)은 네트워크 상으로 GARP 보호 패킷을 브로트캐스트함으로써 IP 보호 정책이 적용된 컴퓨터(A1,A2)의 IP 자원을 보호할 수 있다.
또한, 도 21과 도 22에 나타낸 바와 같이, 상기 관리 정책 적용 모듈(216)의 작동모드를 허용모드 혹은 차단모드로 제어하는 동안, 상기 관리 정책 적용 모듈(216)이 특정 사실을 알리는 장애정보를 상기 장애 정보 송신 모듈(217)로 전달하면, 그때마다 상기 장애 정보 송신 모듈(217)은 도 25에 나타낸 바와 같이 작동하여 자신에게 전달되는 장애정보를 상기 관리 매니저 시스템(300)으로 전달한다.
도 25를 참조하면, 상기 장애 정보 송신 모듈(217)은 특정 장애정보를 전달 받았는가를 판별하여(S800), 장애정보를 전달받지 않았으면 슬립 상태를 유지하고(S801), 장애정보를 전달받았으면 해당 장애정보를 실제 장애정보로 설정한 다음 상기 관리 매니저 시스템(300)으로 전달한다(S802,S803). 이에 따라서 상기 관리 매니저 시스템(300)은 네트워크 관리자가 확인할 수 있도록 해당 장애정보를 디스플레이한다.
상술한 바와 같은 본 발명에 의하면 부정 사용자들의 IP주소 할당을 원천적으로 봉쇄할 수 있으며, 악의적인 ARP 스푸핑 공격으로부터 주요 컴퓨터의 IP주소를 보호하고, 컴퓨터 사용자로 하여금 IP주소를 허가 없이 함부로 바꿀 수 없도록 하며, 특정한 MAC주소를 가진 컴퓨터의 네트워크 진입 금지 및 허용이 가능하며, 지정 컴퓨터이름을 사용하도록 강제하여 네크워크 자원을 효율적으로 관리할 수 있다.
이상에서 설명한 것은 본 발명에 따른 네트워크 자원 관리 정책에 따른 통신 제어 방법을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.

Claims (15)

  1. 자신이 관리하는 로컬 네트워크 개수에 따라서 다수의 VLAN 관리객체를 생성하는 관리 에이전트 시스템에 의해 수행되고, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 임의의 MAC주소를 송신지 하드웨어 주소로 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 차단 대상 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키는 과정을 포함하고,
    상기 다수의 VLAN 관리객체가 현재 수집된 컴퓨터이름 변경 정보를 근거로 각각 컴퓨터이름 고정 및 해제를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 관리 정책에 따른 지정 컴퓨터이름을 가진 컴퓨터의 이름이 변경되면 해당 컴퓨터의 IP주소와 임의의 MAC주소를 포함하는 IP차단 GARP 패킷을 브로드캐스트함으로써 상기 컴퓨터이름이 변경된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신하지 못하도록 고립시키는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  2. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 상기 차단 대상 컴퓨터의 IP주소를 송신지와 수신지 IP주소로 포함하고 차단 대상 MAC주소를 송신지 하드웨어 주소로 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 이미 IP주소를 할당받은 상태에서 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책 에 따른 통신 제어 방법.
  3. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 이미 IP주소를 할당받은 로컬 네트워크 상의 차단 대상 컴퓨터에게 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 잘못된 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 차단 ARP 패킷을 유니캐스트함으로써 상기 차단 대상 컴퓨터가 외부 네트워크와 통신하지 못하도록 고립시키는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  4. 제 3 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 수집된 IP주소 할당 정보를 근거로 각각 IP차단 및 해제를 위하여 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 상기 특정 게이트웨이 IP주소를 송신지 IP주소로 포함하고 올바른 게이트웨이 MAC주소를 송신지 하드웨어 주소로 포함하는 네트워크 해제 ARP 패킷을 유니캐스트함으로써 이미 IP주소를 할당받은 상태에서 외부 네트워크와 통신이 차단된 컴퓨터가 상기 특정 게이트웨이를 통하여 외부 네트워크와 통신을 재개하도록 허용하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책 에 따른 통신 제어 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서, 상기 각각의 VLAN 관리객체에 의해 수행되는 IP주소 할당 정보 수집 과정은
    관리객체 DB에서 모든 관리 대상 IP주소를 읽는 단계와;
    상기 모든 관리 대상 IP주소에 대하여 로컬 네트워크 상의 컴퓨터들에게 ARP 요청 메시지를 브로드캐스트하는 단계;
    이전의 로컬 네트워크 상의 컴퓨터들로부터 수신한 ARP 응답 메시지 상태와 비교하여 현재 수신한 ARP 응답 메시지 상태가 변경되었으면 상태변경시간을 관리객체 DB에 기록하는 단계;
    ARP 응답 메시지 상태가 변경되지 않았거나 상태변경시간을 관리객체 DB에 기록한 다음, 수신된 ARP 응답 메시지로부터 기존의 IP주소에 대응하는 MAC주소가 변경되었는가를 판별하는 단계; 및
    판별 결과, 기존의 IP주소에 대응하는 MAC주소가 변경되지 않았으면 초기 단계로 리턴하고, 변경되었으면 현재 네트워크 상의 IP주소 할당 상황이 변경되었음을 나타내는 장애정보를 출력한 다음, 새로운 IP주소 할당 정보를 관리객체 DB에 저장하는 단계
    로 이루어지는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  6. 삭제
  7. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 수집된 컴퓨터이름 변경 정보를 근거로 각각 컴퓨터이름 고정 및 해제를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 상기 컴퓨터이름이 변경된 컴퓨터의 IP주소와 차단 대상 MAC주소를 포함하는 IP해제 GARP 패킷을 브로드캐스트함으로써 컴퓨터이름이 변경되어 로컬 네트워크 상의 다른 컴퓨터와 통신이 차단된 해당 컴퓨터가 로컬 네트워크 상의 다른 컴퓨터와 통신을 재개하도록 허용하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  8. 제 1 항 또는 제 7 항에 있어서, 상기 각각의 VLAN 관리객체에 의해 수행되는 컴퓨터 이름 변경 정보 수집 과정은
    관리객체 DB에서 모든 관리 대상 IP주소와 컴퓨터이름 고정 및 해제 정책정보를 읽는 단계와;
    상기 모든 관리 대상 IP주소에 대하여 로컬 네트워크 상의 컴퓨터들에게 NetBios 요청 메시지를 브로드캐스트하는 단계;
    이전의 로컬 네트워크 상의 컴퓨터들로부터 수신한 NetBios 요청 메시지 상태와 비교하여 현재 수신한 NetBios 요청 메시지 상태가 변경되었으면 상태변경시간을 관리객체 DB에 기록하는 단계;
    NetBios 요청 메시지 상태가 변경되지 않았거나 상태변경시간을 관리객체 DB에 기록한 다음, 수신된 NetBios 요청 메시지로부터 수집한 현재 컴퓨터이름이 정책에 따른 기존의 지정 컴퓨터이름과 일치하는가를 판별하는 단계; 및
    판별 결과, 현재 컴퓨터이름이 정책에 따른 기존의 지정 컴퓨터이름과 일치하면 초기 단계로 리턴하고, 일치하지 않으면 해당 컴퓨터의 IP주소 사용을 차단한 다음, 새로운 컴퓨터이름 변경 정보를 관리객체 DB에 저장하는 단계
    로 이루어지는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  9. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP보호를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터만 사용이 허용된 보호 IP주소에 대한 다른 컴퓨터의 사용 시도가 있으면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 사용을 차단하여 해당 IP주소를 보호하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  10. 제 9 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP보호를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격이 있으면 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 IP주소로 등록된 IP주소를 송신지 IP주소와 수신지 IP주소로 포함하고 상기 IP보호 정책에 따라서 상기 각각의 관리객체 DB에 보호 MAC주소로 등록된 MAC주소를 송신지 하드웨어 주소로 포함하는 GARP 보호 패킷을 브로드캐스트함으로써 상기 보호 IP주소에 대한 다른 컴퓨터의 악의적인 ARP 스푸핑 공격을 차단하여 해당 IP주소를 보호하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  11. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP고정을 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 사용 가능한 IP주소가 고정되어 있는 특정 MAC주소를 가진 컴퓨터가 다른 IP주소 사용을 시도하면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 고정 IP주소를 쓰는 컴퓨터의 다른 IP주소 사용을 차단하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  12. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 MAC 차단 및 허용을 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면 임의의 IP주소와 임의의 MAC주소를 각각 송신지 IP주소와 송신지 하드웨어 주소로 포함하고 IP주소 사용을 허가하지 않을 IP주소와 MAC주소를 각각 수신지 IP와 수신지 하드웨어 주소로 포함하는 GARP 충돌 응답 패킷을 유니캐스트함으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 차단하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  13. 제 12 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 MAC 차단 및 허용을 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 특정 MAC주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 해당 MAC주소를 가진 컴퓨터의 IP주소 사용을 허용하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  14. 제 1 항에 있어서, 상기 다수의 VLAN 관리객체가 현재 캡쳐한 GARP 패킷을 근거로 각각 IP비관리를 위하여 더 수립된 네트워크 관리 정책에 따른 명령을 수행하여, 비관리 대상으로 지정된 특정 IP주소를 가진 컴퓨터가 IP주소 사용을 시도하면 아무런 응답을 하지 않음으로써 비관리 IP주소를 가진 컴퓨터의 IP주소 사용을 허용하는 과정을 더 포함하는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
  15. 제 1 항 내지 제 4 항, 제 7 항, 제 9 항 내지 제 14 항 중 어느 한 항에 있어서, 상기 다수의 VLAN 관리객체가 각각 상기 네트워크 관리 정책에 따른 명령을 수행하는 과정은, 기간을 설정하여 날짜에 따라 정책적용 여부를 결정하는 기능과, 현재 요일을 확인하여 요일에 따라 정책적용 여부를 결정하는 기능, 및 현재 시간을 확인하여 시간에 따라 정책적용 여부를 결정하는 기능을 구비한 정책적용 스케줄링 정보에 따라서 수행되는 것을 특징으로 하는 네트워크 자원 관리 정책에 따른 통신 제어 방법.
KR1020050010432A 2005-02-04 2005-02-04 네트워크 자원 관리 정책에 따른 통신 제어 방법 KR100591554B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050010432A KR100591554B1 (ko) 2005-02-04 2005-02-04 네트워크 자원 관리 정책에 따른 통신 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050010432A KR100591554B1 (ko) 2005-02-04 2005-02-04 네트워크 자원 관리 정책에 따른 통신 제어 방법

Publications (1)

Publication Number Publication Date
KR100591554B1 true KR100591554B1 (ko) 2006-06-20

Family

ID=37182979

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050010432A KR100591554B1 (ko) 2005-02-04 2005-02-04 네트워크 자원 관리 정책에 따른 통신 제어 방법

Country Status (1)

Country Link
KR (1) KR100591554B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101039092B1 (ko) 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
KR101312074B1 (ko) 2012-12-06 2013-09-25 (주)넷맨 Mac주소 정보를 감시하면서 복구하는 방법
KR101358962B1 (ko) 2013-08-14 2014-02-07 (주)넷맨 비인가 장치의 네트워크 접근 제어 방법
KR101606327B1 (ko) 2015-10-05 2016-03-25 군인공제회 실시간 사이버지식정보방 원격 관리 시스템
CN107294989A (zh) * 2017-07-04 2017-10-24 杭州迪普科技股份有限公司 一种防arp网关欺骗的方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101039092B1 (ko) 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
KR101312074B1 (ko) 2012-12-06 2013-09-25 (주)넷맨 Mac주소 정보를 감시하면서 복구하는 방법
KR101358962B1 (ko) 2013-08-14 2014-02-07 (주)넷맨 비인가 장치의 네트워크 접근 제어 방법
KR101606327B1 (ko) 2015-10-05 2016-03-25 군인공제회 실시간 사이버지식정보방 원격 관리 시스템
CN107294989A (zh) * 2017-07-04 2017-10-24 杭州迪普科技股份有限公司 一种防arp网关欺骗的方法及装置
CN107294989B (zh) * 2017-07-04 2020-02-11 杭州迪普科技股份有限公司 一种防arp网关欺骗的方法及装置

Similar Documents

Publication Publication Date Title
CN100490377C (zh) 防止非法使用ip地址的方法和装置
US7188366B2 (en) Distributed denial of service attack defense method and device
CN101827134B (zh) 自动释放为宽带接入网内的用户设备保留的资源
JP4127315B2 (ja) デバイス管理システム
US7346924B2 (en) Storage area network system using internet protocol, security system, security management program and storage device
US6981036B1 (en) Network device managing apparatus and method
CN101247396B (zh) 一种分配ip地址的方法、装置及系统
US9374392B2 (en) Method and apparatus for dynamic destination address control in a computer network
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
US20050190909A1 (en) Communications apparatus, communications controller, and communications system
CN1682516A (zh) 用于防止网络地址盗用的方法和装置
KR100591554B1 (ko) 네트워크 자원 관리 정책에 따른 통신 제어 방법
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
JP4720959B2 (ja) デバイス管理システム
JP2011129968A (ja) 通信端末装置
JP2008004110A (ja) デバイス管理システム
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
JP4922620B2 (ja) ネットワークシステム
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JP5509999B2 (ja) 不正接続防止装置及びプログラム
KR100478910B1 (ko) 아이피 충돌 검출 및 차단 시스템과 그 방법
KR101099083B1 (ko) 네트워크 자원 관리 시스템 및 그 관리 방법
JP4081042B2 (ja) 不正通信監視装置、及び不正通信監視プログラム
JP2004064204A (ja) ネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラム

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130405

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140409

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160412

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170608

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180614

Year of fee payment: 13