KR100722720B1 - 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법 - Google Patents

내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법 Download PDF

Info

Publication number
KR100722720B1
KR100722720B1 KR1020050059370A KR20050059370A KR100722720B1 KR 100722720 B1 KR100722720 B1 KR 100722720B1 KR 1020050059370 A KR1020050059370 A KR 1020050059370A KR 20050059370 A KR20050059370 A KR 20050059370A KR 100722720 B1 KR100722720 B1 KR 100722720B1
Authority
KR
South Korea
Prior art keywords
security
authentication
client
management server
policy
Prior art date
Application number
KR1020050059370A
Other languages
English (en)
Other versions
KR20070003409A (ko
Inventor
이춘재
김성국
김성택
배장보
Original Assignee
남양정보기술(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남양정보기술(주) filed Critical 남양정보기술(주)
Priority to KR1020050059370A priority Critical patent/KR100722720B1/ko
Publication of KR20070003409A publication Critical patent/KR20070003409A/ko
Application granted granted Critical
Publication of KR100722720B1 publication Critical patent/KR100722720B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템 및 운용 방법에 관한 것으로서, 라우터, 침입차단장치, 침입탐지장치, 및 침입방지장치를 포함하고 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템에 있어서, 내부 및 외부 보안정책을 탑재한 정책관리서버와 복수의 클라이언트 PC 및 사용자에 대한 인증을 수행하는 인증관리서버와 상기 정책관리서버 및 인증관리서버와 연결되어 패킷 필터 보안 게이트웨이를 연결하는 스위치와 상기 스위치와 연결되고 복수의 클라이언트 PC와 사용자 정보를 분석하는 패킷 필터 보안 게이트웨이와 상기 패킷 필터 보안 게이트웨이와 연결되어 복수의 클라이언트 PC를 연결하기 위한 허브 및 복수의 클라이언트 PC를 포함하여 구성됨을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템이다.
따라서, 본 발명의 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템 및 운용 방법은 전체 네트워크에 일괄적으로 적용되던 기존 보안정책을 내부 네트워크 내 복수의 최종 클라이언트 PC까지 각각의 보안정책을 적용시킬 수 있으며 문제 발생 클라이언트 PC를 주위 클라이언트 PC와 격리하여 안정적인 망 관리를 할 수 있다. 또한 클라이언트 MAC 주소 및 아이디/패스워드의 동기화를 통한 복수의 클라이언트 PC 사용자의 실명화 및 네트워크 사용이력을 관리하여 보안 사고에 대비할 수 있으며, 패킷 리다이렉션 기능을 이용한 인증 웹페이 지에서 보안패치를 하지 않은 복수의 클라이언트 PC, 불법소프트웨어 사용자, 내부 사용자의 IP 실명사용, IP 주소와 MAC 주소 바인딩 내역 관리로 어플리케이션 레벨에서 내부 사용자가 접근하는 클라이언트 PC를 제어하여 보안에서 문제가 되고 있는 부분들을 원초적으로 해결할 수 있는 효과가 있다.
패킷 필터, 보안 게이트웨이, 패킷 캡쳐, 패킷 리다이렉션

Description

내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템 및 운용 방법{A secure gateway system and method with internal network user authentication and packet control function}
도 1은 종래의 보안관리장치와 복수의 클라이언트 PC의 연결을 나타내고 있는 구성도이다.
도 2는 본 발명에 의한 네트워크 구성도이다.
도 3은 본 발명에 의한 패킷 필터 보안 게이트웨이의 정책관리 구성도이다.
도 4는 본 발명에 의한 패킷 필터 보안 게이트웨이의 운용관리 구성도이다.
도 5는 본 발명에 의한 패킷 필터 보안 게이트웨이의 클라이언트 PC 보안관리 구성도이다.
<도면의 주요 부분에 대한 부호의 설명>
10, 100 : 인터넷 망 15, 105 : 라우터
20, 110 : 침입차단장치 25, 115 : 침입탐지장치
30, 120 : 침입방지장치 35 : DHCP 서버
125 : 정책관리서버 130 : 인증관리서버
140, 142, 144 : 패킷 필터 보안 게이트웨이
본 발명은 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템 및 운용 방법에 관한 것으로, 보다 자세하게는 인터넷에 연결된 내부 네트워크에서 복수의 클라이언트 PC 및 사용자가 요청한 외부 네트워크 연결을 제어하기 위한 패킷 필터 보안 게이트웨이 시스템과 운용 방법에 관한 것이다.
최근 인터넷에 접속하는 사용자 수가 증가하면서 이에 따른 보안 사고 또한 늘어나고 있다. 이러한 네트워크에서의 보안 사고를 방지하기 위한 장치 중 종래의 침입차단장치(Firewall), 침입탐지장치(IDS, Intrusion Detection System), 침입방지장치(IPS, Intrusion Prevention System)가 있으며, 상기 장치들은 인라인(In-Line)이나 주요 서버가 있는 내부 네트워크 앞단에서 침입을 차단하고 탐지하는 장치로서 내부 네트워크의 침입자 또는 웜 바이러스에 감염된 복수의 클라이언트 PC를 차단하기 어렵다.
또한, 종래에 나와 있는 DHCP(Dynamic Host Configration Protocol)를 이용한 IP의 제한적 할당은 네트워크 관리자에 의한 MAC(Media Access Control) 주소 스캐닝 방식 또는 사전 등록된 사용자 정보(IP주소/MAC주소)를 DHCP에서 비교하여 인증하는 방식으로 관리를 위한 정보들을 네트워크 관리자가 직접 또는 사용자의 신청으로 수집을 해야하는 번거로움이 발생하는 단점이 있다.
도 1은 종래의 내부 네트워크를 나타내는 구성도로서 인터넷(10)과 연결된 라우터(15)의 하단에 설치된 침입차단장치(20)나 침입탐지장치(25), 침입방지장치(30)는 외부 보안 공격에 효과적으로 대응하는 보안장치로서 외부의 침입에 대한 효과적인 보안을 제공하고 있으나 내부 공격에는 적절한 대처능력이 없다. 또한 스위치(40)를 통해 복수의 허브(50, 52, 54)에 연결된 복수의 클라이언트 PC(60, 62, 64, 66, 68, 70)가 외부 네트워크 접속을 시도하는 경우 DHCP 서버(35)는 아무런 제약없이 IP 주소를 복수의 클라이언트 PC(60, 62, 64, 66, 68, 70)에게 할당한다.
상기와 같이 종래의 네트워크 구성에서 DHCP 서버(35)가 아무런 제한없이 IP 주소를 할당 할 경우 보안 사고의 위험이 높으며 사고 발생 클라이어트 PC(60, 62, 64, 66, 68, 70)의 사용자를 알 수 없어 보안위협이 발생할 때 적절한 대응 방안이 없다는 문제점이 있었다.
따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 내부 네트워크 모니터링을 통하여 인증받지 않은 클라이언트 PC를 제어하기 위한 패킷 필터 보안 게이트웨이와 보안관리에 정책을 수립한 정책관리서버(PMS, Policy Management Server)와 복수의 클라이언트 PC 및 사용자의 인증을 위한 인증관리서버(AMS, Authentication Management Server)로 구성된 내부 네트워크의 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템을 제공하는데 본 발명의 목적이 있다.
또한, 본 발명은 복수의 클라이언트 PC의 패킷을 캡쳐하여 복수의 클라이언트 PC의 하드웨어 정보와 패킷 리다이렉션을 통한 인증 웹 브라우저에서의 사용자 정보를 보안 정책에 적용시켜 네트워크 사용을 제어하는 방법과 네트워크를 사용함에 있어서 복수의 클라이언트 PC 사용자의 실명화 및 네트워크 사용이력을 관리하는 방법으로 이루어진 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법을 제공하는데 목적이 있으며, 상기 패킷 리다이렉션을 통한 인증 웹브라우저는 복수의 클라이언트 PC의 보안패치 및 불법소프트웨어 설치 여부를 확인하고 사용자에게 결과를 통보하는 방법으로 이루어진 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법을 제공하는데 또 다른 목적이 있다.
본 발명의 상기 목적은 라우터, 침입차단장치, 침입탐지장치, 및 침입방지장치를 포함하고 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템에 있어서, 내부 및 외부 보안정책을 탑재한 정책관리서버; 복수의 클라이언트 PC 및 사용자에 대한 인증을 수행하는 인증관리서버; 상기 정책관리서버 및 인증관리서버와 연결되어 패킷 필터 보안 게이트웨이를 연결하는 스위치; 상기 스위치와 연결되고 복수의 클라이언트 PC와 사용자 정보를 분석하는 패킷 필터 보안 게이트웨이; 상기 패킷 필터 보안 게이트웨이와 연결되어 복수의 클라이언트 PC를 연결하기 위한 허브; 및 복수의 클라이언트 PC를 포함하여 구성하는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템에 의해 달성된다.
본 발명의 다른 목적은 외부 네트워크로의 연결을 시도하는 내부 네트워크 클라이언트 PC들의 하드웨어 MAC 주소와 사용자 아이디/패스워드를 이용하여 인증을 수행하여 인증되지 못한 클라이언트 PC 및 사용자들의 외부 네트워크 접속 제어에 관한 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 있어서, 정책관리서버는 패킷 필터 보안 게이트웨이 및 인증관리서버에게 보안정책을 송신하는 단계; 복수의 클라이언트 PC의 차단 여부를 분석하는 단계; 사전인증된 클라이언트 PC를 분석하는 단계; 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션하는 단계; 상기 복수의 클라이언트 PC 및 사용자의 정보를 통해 인증하는 단계; 상기 패킷 필터 보안 게이트웨이에서 클라이언트 PC에 IP를 할당하는 단계; 상기 패킷 필터 보안 게이트웨이에서 인증관리서버로 인증플래그 갱신을 요청하고 승인정책 목록을 갱신하는 단계; 및 상기 보안정책의 위배 여부를 판단하는 단계로 이루어진 것을 특징으로 하는 내부 네트워크 사용자의 인증과 패킷 필터 기능을 가진 보안 게이트웨이의 운용 방법으로 이루어진 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 의해 달성된다.
본 발명의 또 다른 목적은 인증 웹브라우저에서 클라이언트 PC들의 보안정보 검사에 관한 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 있어서, 정책관리서버는 패킷 필터 보안 게이트웨이 및 인증관리서버에게 보안정책을 송신하는 단계; 복수의 클라이언트 PC의 차단 여부를 분석하는 단계; 사전인증된 클라이언트 PC를 분석하는 단계; 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션하는 단계; 인증 웹브라우저에서 클라이언트 PC의 보안패치 실행 여부를 판단하는 단계; 및 불법소프트웨어 설치 여부를 판단하는 단계로 이루어진 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 의해 달성된다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석 되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 2는 본 발명에 의한 네트워크를 나타내는 구성도이다. 도 2를 참조하면 종래 네트워크의 외부 보안장치인 인터넷(100)에 연결된 라우터(105) 하단에 침입차단장치(110), 침입탐지장치(115), 침입방지장치(120)로 구성되어 있으며 종래기술의 문제점인 내부 네트워크 보안을 위한 정책관리서버(125), 인증관리서버(130), 패킷 필터 보안 게이트웨이(140, 142, 144)로 구성된다. 상기 정책관리서버(125)는 상위 외부 보안장치들의 보안정책을 상속받고, 네트워크 관리자에 의해 수립된 내부 네트워크 보안정책과 함께 보안정책을 수립한다.
상기 정책관리서버(125)의 보안정책은 인증관리서버(130) 및 스위치(135)에 연결된 복수의 패킷 필터 보안 게이트웨이(140, 142, 144)로 전송되어 인증관리 및 보안관리 정책에 적용된다. 상기 인증관리서버(130)에서는 상기 복수의 패킷 필터 보안 게이트웨이(140, 142, 144)로부터 전송된 복수의 클라이언트 PC(160, 162, 164, 166, 168, 170)의 하드웨어 MAC 주소와 사용자의 아이디/패스워드를 수신하여 인증 플래그를 갱신하며, 복수의 클라이언트 PC(160, 162, 164, 166, 168, 170) 및 사용자의 네트워크 사용이력을 저장 및 관리한다.
상기 복수의 패킷 필터 보안 게이트웨이(140, 142, 144)는 스위치(135)에 연결되어 있으며, 정책관리서버(125)로부터 수신한 보안정책을 기반으로 복수의 허브(150, 152, 154)에게 연결된 복수의 클라이언트 PC(160, 162, 164, 166, 168, 170)의 패킷을 캡쳐하여 해당 패킷의 분석을 통해 복수의 클라이언트 PC(160, 162, 164, 166, 168, 170)의 하드웨어 MAC 주소를 추출하여, 사용자가 입력한 아이디/패스워드와 함께 외부 네트워크 사용을 위한 인증 데이터로 사용하게 된다. 상기 복수의 패킷 필터 보안 게이트웨이(140, 142, 144)에서 인증된 패킷은 IP 주소를 할당받아 외부 네트워크 연결 접속이 가능하다.
도 3은 복수의 사용자 및 클라이언트 PC의 인증을 위해 복수의 패킷 필터 보안 게이트웨이에서 보안정책을 수립하는 블록도로서, 복수의 패킷 필터 보안 게이 트웨이는 내부 및 외부 보안정책을 수립한 정책관리서버에게 보안정책을 요청(단계 S100)하고, 정책관리서버는 관리자에 의해 구성된 해당 복수의 패킷 필터 보안 게이트웨이의 보안정책을 송신(단계 S110)하여, 복수의 패킷 필터 보안 게이트웨이는 수신된 보안정책을 반영(단계 S120)한다.
도 4는 클라이언트 PC에서 사용자가 외부 네트워크로 연결을 시도하는 경우에 복수의 패킷 필터 보안 게이트웨이에서 클라이언트 인증관리에 관한 블록도로써, 외부 보안정책을 상속받고 네트워크 관리자에 의해 보안정책을 수립한 정책관리서버에서 패킷 필터 보안 게이트웨이와 인증관리서버에게 보안 정책을 송신(단계 S200)한다. 클라이언트 PC의 사용자가 외부 네트워크에 접속을 시도(단계 S205)하는 경우 패킷 필터 보안 게이트웨이에서 해당 클라이언트 PC의 패킷을 캡쳐하고 분석(단계 S210)하여 MAC 주소를 추출한다. 검출된 MAC 주소의 대상 클라이어트 PC가 차단 대상에 포함되었는지를 판단(단계 S215)하여, 해당 클라이언트 PC가 차단 대상이면 해당 클라이언트 PC의 네트워크를 차단(단계 S220)하고, 차단 대상이 아닐 경우 인증관리서버의 인증테이블에 클라이언트 정보를 저장(단계 S225)한다. 이후 네트워크 사용에 대한 사전 인증된 클라이언트 PC인지를 판단(단계 S230)하여, 사전 인증된 클라이언트 PC이면 아이디/패스워드의 인증 없이 네트워크 사용을 허가(단계 S235)하며, 사전 인증되지 않은 클라이언트 PC이면, 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션(단계 S240)한다. 인증 웹브라우저로 리다이렉션된 후 사용자의 아이디와 패스워드 정보를 입력받고 해당 클라이언트 PC의 패킷에서 추출된 MAC 주소를 통해 클라이언트 PC 및 사용자 인증을 수행(단계 S245)한다. 상기 인증단계를 통해 인증 받지 못하는 경우는 재인증 수행 여부를 확인(단계 S250)을 통해 재인증 요청시 단계 S240을 재수행하고, 재인증을 요청하지 않는 경우 종료하게 된다. 패킷 필터 보안 게이트웨이는 상기 인증단계에서 인증된 클라이언트 PC에게 IP 주소를 할당(단계 S255)하고, 인증관리서버의 인증플래그를 갱신하고 인증된 내용을 통보(단계 S260)받는다. 다음으로 패킷 필터 보안 게이트웨이는 인증관리서버의 통보 내용을 승인정책 목록에 저장(단계 S265)한다. 패킷 필터 보안 게이트웨이는 인증된 복수의 클라이언트 PC의 보안정책 위배 여부를 모니터링(단계 S270)하여 네트워크 보안정책에 위배되는 보안위협이 발생한 클라이언트 PC의 IP 주소를 회수하여 네트워크의 접속을 차단(단계 S275)하고 보안위협이 발생하지 않는 경우는 단계 S270을 반복수행 한다.
도 5는 패킷 필터 보안 게이트웨이에서 클라이언트 PC의 패킷을 인증 웹브라우저로 리다이렉션하여 클라이언트 PC의 보안정보를 분석하는 블록도로서, 단계 S300부터 단계 S335는 도 4의 S200∼S240 단계와 같은 수행을 한다. 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션(단계 S340)된 클라이언트 PC는 보안패치 수행 여부를 확인(단계 S345)하여 보안패치를 실시하지 않은 경우 해당 클라이언트 PC의 사용자에게 보안패치 수행 메시지를 통보(단계 S350)하고 보안패치를 수행한 경우와 함께 불법소프트웨어 설치 여부를 확인하는 단계로 이동하여 불법소프트웨어 설치 여부를 확인(단계 S355)한다. 검사하는 클라이언트 PC상에 불법소프트웨어가 설치된 경우 해당 클라이언트 PC 사용자에게 불법소프트웨어 설치 메시지를 통보(단계 S360)하고 종료하며, 불법소프트웨어를 설치하지 않은 경우는 모든 단계를 정상 종료한다.
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.
따라서, 본 발명의 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템 및 운용 방법은 전체 네트워크에 일괄적으로 적용되던 기존 보안정책을 내부 네트워크 내 복수의 최종 클라이언트 PC까지 각각의 보안정책을 적용시킬 수 있으며 문제 발생 클라이언트 PC를 주위 클라이언트 PC와 격리하여 안정적인 망 관리를 할 수 있다. 또한 클라이언트 MAC 주소 및 아이디/패스워드의 동기화를 통한 복수의 클라이언트 PC 사용자의 실명화 및 네트워크 사용이력을 관리하여 보안 사고에 대비할 수 있으며, 패킷 리다이렉션 기능을 이용한 인증 웹페이지에서 보안패치를 하지 않은 복수의 클라이언트 PC, 불법소프트웨어 사용자, 내부 사용자의 IP 실명사용, IP 주소와 MAC 주소 바인딩 내역 관리로 어플리케이션 레벨에서 내부 사용자가 접근하는 클라이언트 PC를 제어하여 보안에서 문제가 되고 있는 부분들을 원초적으로 해결할 수 있는 효과가 있다.

Claims (14)

  1. 라우터, 침입차단장치, 침입탐지장치 및 침입방지장치를 포함하고 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템에 있어서,
    내부 보안정책 및 상기 라우터, 침입차단장치, 침입탐지장치 및 침입방지장치 중 하나 이상의 외부 보안정책을 탑재한 정책관리서버;
    복수의 클라이언트 PC 및 사용자에 대한 인증을 수행하는 인증관리서버;
    상기 정책관리서버 및 인증관리서버와 연결되어 패킷 필터 보안 게이트웨이를 연결하는 스위치;
    상기 스위치와 연결되고 복수의 클라이언트 PC와 사용자 정보를 분석하기 위해 상기 정책관리서버로부터 수신한 보안정책을 기반으로 복수의 클라이언트 PC의 패킷을 캡쳐 및 분석하여 하드웨어 MAC 주소를 추출하고, 인증관리서버에게 복수의 클라이언트 PC 및 사용자 정보 인증을 요청하는 패킷 필터 보안 게이트웨이;
    상기 패킷 필터 보안 게이트웨이와 연결되어 복수의 클라이언트 PC를 연결하기 위한 허브; 및
    복수의 클라이언트 PC
    를 포함하여 구성됨을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템.
  2. 삭제
  3. 제 1항에 있어서,
    상기 인증관리서버는 패킷 필터 보안 게이트웨이가 요청한 사용자의 아이디/패스워드 및 하드웨어 MAC 주소의 등록 및 인증을 수행하고, 인증 수행 내역과 사용자 정보를 포함한 인증플래그를 갱신하는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 시스템.
  4. 삭제
  5. 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 있어서,
    (a) 정책관리서버는 패킷 필터 보안 게이트웨이 및 인증관리서버에게 보안정책을 송신하는 단계;
    (b) 복수의 클라이언트 PC의 차단 여부를 분석하는 단계;
    (c) 사전인증된 클라이언트 PC를 분석하는 단계;
    (d) 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션하는 단계;
    (e) 상기 복수의 클라이언트 PC 및 사용자의 정보를 통해 인증하는 단계;
    (f) 상기 패킷 필터 보안 게이트웨이에서 클라이언트 PC에 IP를 할당하는 단계;
    (g) 상기 패킷 필터 보안 게이트웨이에서 인증관리서버로 인증플래그 갱신을 요청하고 승인정책 목록을 갱신하는 단계; 및
    (h) 상기 보안정책의 위배 여부를 판단하는 단계
    로 이루어진 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  6. 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법에 있어서,
    (a) 정책관리서버는 패킷 필터 보안 게이트웨이 및 인증관리서버에게 보안정 책을 송신하는 단계;
    (b) 복수의 클라이언트 PC의 차단 여부를 분석하는 단계;
    (c) 사전인증된 클라이언트 PC를 분석하는 단계;
    (d) 패킷 필터 보안 게이트웨이에 의해 인증 웹브라우저로 리다이렉션하는 단계;
    (e) 보안패치 수행 여부를 판단하는 단계; 및
    (f) 불법소프트웨어 설치 여부를 판단하는 단계
    를 포함하여 이루어진 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  7. 제 5항 또는 제 6항에 있어서,
    상기 (a) 단계는 외부 보안관리 장치의 보안정책을 상속받고 네트워크 관리자에 의해 내부 보안정책을 수립한 정책관리서버에서 패킷필터 보안 게이트웨이 및 인증관리서버에게 보안 정책을 송신하는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  8. 제 5항 또는 제 6항에 있어서,
    상기 (b) 단계는 패킷 필터 보안 게이트웨이에서 외부 네트워크로의 연결을 시도하는 복수의 클라이언트 PC의 패킷을 캡쳐하여 분석하여 차단시 네트워크 사용을 차단하고, 차단하지 않을시 인증관리서버의 인증테이블에 클라이언트 정보를 저장하는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  9. 제 5항 또는 제 6항에 있어서,
    상기 (c) 단계는 인증된 클라이언트 PC이면 아이디/패스워드 없이 네트워크 사용을 허가하고, 인증되지 않은 클라이언트 PC이면 (d) 단계로 넘어가는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  10. 제 5항에 있어서,
    상기 (e) 단계는 인증하지 않을 경우에는 종료되고 인증시 (f) 단계로 넘어가는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패키 제어 기능을 가진 보안 게이트웨이 운용 방법.
  11. 제 5항에 있어서,
    상기 (h) 단계는 보안정책 위배시 네트워크 사용을 차단하고 보안정책 위배가 아닐시 상기 (h) 단계를 반복하는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패키 제어 기능을 가진 보안 게이트웨이 운용 방법.
  12. 제 5항에 있어서,
    상기 네트워크 보안정책에 위배되는 보안 위협은 침입차단장치, 침입탐지장치, 침입방지장치에서 적용된 보안정책과 네트워크 관리자가 상기 정책관리서버에 수립한 내부 보안관리정책과 함께 적용된 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  13. 제 6항에 있어서,
    상기 (e) 단계는 보안패치를 수행하지 않은 경우에 클라이언트 PC 사용자에게 통보한 후 (f) 단계로 넘어가고 보안패치를 수행한 경우에는 (f) 단계로 넘어가는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
  14. 제 6항에 있어서,
    상기 (f) 단계는 불법소프트웨어를 설치한 경우에 클라이언트 PC 사용자에게 통보한 후 종료되고 불법소프트웨어를 설치하지 않은 경우에 종료되는 것을 특징으로 하는 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안 게이트웨이 운용 방법.
KR1020050059370A 2005-07-01 2005-07-01 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법 KR100722720B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050059370A KR100722720B1 (ko) 2005-07-01 2005-07-01 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050059370A KR100722720B1 (ko) 2005-07-01 2005-07-01 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법

Publications (2)

Publication Number Publication Date
KR20070003409A KR20070003409A (ko) 2007-01-05
KR100722720B1 true KR100722720B1 (ko) 2007-05-29

Family

ID=37870270

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050059370A KR100722720B1 (ko) 2005-07-01 2005-07-01 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법

Country Status (1)

Country Link
KR (1) KR100722720B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
KR101421086B1 (ko) * 2007-10-05 2014-07-24 에스케이플래닛 주식회사 침입차단시스템 통합 관리 장치 및 방법
KR101455167B1 (ko) 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
KR101859740B1 (ko) * 2017-11-24 2018-05-21 주식회사 나온웍스 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치
CN114268470A (zh) * 2021-12-06 2022-04-01 深圳飞音时代网络通讯技术有限公司 一种报文的传输方法、装置及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템

Also Published As

Publication number Publication date
KR20070003409A (ko) 2007-01-05

Similar Documents

Publication Publication Date Title
US11604861B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
US7607021B2 (en) Isolation approach for network users associated with elevated risk
US8146137B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US20060282893A1 (en) Network information security zone joint defense system
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US20070150934A1 (en) Dynamic Network Identity and Policy management
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
US20070294759A1 (en) Wireless network control and protection system
EP2165286A2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP2006074760A (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US11539695B2 (en) Secure controlled access to protected resources
KR100926456B1 (ko) 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법
WO2018116123A1 (en) Protecting against unauthorized access to iot devices
US20110023088A1 (en) Flow-based dynamic access control system and method
KR100722720B1 (ko) 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법
van Oorschot et al. Intrusion detection and network-based attacks
La Cholter et al. IBAN: intrusion blocker based on active networks
KR200427501Y1 (ko) 사용자 기반의 네트워크 보안 시스템
CN115065548A (zh) 一种增强型网络安全接入区数据管控系统及方法
KR20110006398A (ko) 디도스 공격 감지 및 방어방법
KR102174507B1 (ko) 통신 게이트웨이 방화벽 자동설정장치 및 그 방법
Arkin Bypassing network access control systems
KR20080002214A (ko) 인터넷종단장치를 이용한 보안검색엔진 제어방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130531

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee