KR100765340B1 - 가상의 인라인 네트워크 보안방법 - Google Patents
가상의 인라인 네트워크 보안방법 Download PDFInfo
- Publication number
- KR100765340B1 KR100765340B1 KR1020060028732A KR20060028732A KR100765340B1 KR 100765340 B1 KR100765340 B1 KR 100765340B1 KR 1020060028732 A KR1020060028732 A KR 1020060028732A KR 20060028732 A KR20060028732 A KR 20060028732A KR 100765340 B1 KR100765340 B1 KR 100765340B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- virtual path
- node
- network
- address
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 패킷을 분석하여 보안 정책의 적합 여부와 침입 여부의 판단하기 위한 시스템으로, 물리적으로 인라인(In-Line) 구조를 설치하지 않으면서도, 네트워크 세그먼트 또는 동일 VLAN 상에 존재하는 단말기 중 통제가 필요한 단말기들의 MAC 주소 요청 응답을 보안장비의 MAC 주소로 변조하여 응답함으로써, 단말기들의 통신 내용이 보안장비를 경유하게 한 후, 보안 정책의 적합 여부를 판단하여 접근 제어를 수행할 수 있도록 하는 가상의 인라인 네트워크 보안 방법에 관한 것이며, 그 구성은, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)과, 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)과, 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)과, 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)과, 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함하여 된 것이다.
가상, 인라인, 네트워크, 보안
Description
도 1은 종래의 네트워크 보안장치의 구성도,
도 2는 본 발명이 적용되는 가상의 인라인 네트워크 보안장치의 구성도,
도 3은 본 발명에 따른 가상의 인라인 네트워크 보안방법의 제어 흐름도,
도 4는 상기 도 3의 제1과정을 상세히 나타낸 제어 흐름도,
도 5는 상기 도 3의 제2과정을 상세히 나타낸 제어 흐름도,
도 6은 상기 도 3의 제3과정을 상세히 나타낸 제어 흐름도,
도 7은 상기 도 3의 제4과정을 상세히 나타낸 제어 흐름도,
도 8은 상기 도 3의 제5과정을 상세히 나타낸 제어 흐름도이다.
< 도면의 주요부분에 대한 부호의 설명 >
100: 제1 내부망 200: 제2 내부망
16,26,35: 인라인 40: 백본스위치
50: 인라인방화벽 60: 라우터
본 발명은 네트워크 내의 침입 차단 시스템(Firewall) 및 침입 방지 시스템(Intrusion Prevention System )과 같이 네트워크 패킷을 분석하여 보안 정책의 적합 여부와 침입 여부의 판단하기 위한 시스템에 관한 것으로, 더욱 상세하게는 물리적으로 인라인(In-Line) 구조를 설치하지 않으면서도, 네트워크 세그먼트 또는 동일 VLAN 상에 존재하는 단말기 중 통제가 필요한 단말기들의 MAC 주소 요청 응답을 보안장비의 MAC 주소로 변조하여 응답함으로써, 단말기들의 통신 내용이 보안장비를 경유하게 한 후, 보안 정책의 적합 여부를 판단하여 접근 제어를 수행할 수 있도록 하는 가상의 인라인 네트워크 보안 방법에 관한 것이다.
주지한 바와 같은 침입 차단 시스템이나 침입 방지 시스템과 같은 네트워크 보안 장비들은 설치 구성의 형태에 따라 라우터 모드(Router mode)와 브리지 모드(Bridge mode)로 나뉜다.
상기 라우터 모드(Router mode)는 패킷이 입력되는 네트워크 인터페이스 카드의 IP 주소 대역과 패킷이 출력되는 네트워크 인터페이스 카드의 IP 주소 대역이 서로 상이하게 설치되는 형태이다.
이러한 방식을 기존에 사용 중인 네트워크에 장비를 설치할 경우 기존 네트워크 IP 주소 형태를 변경해야 하는 작업이 수반된다.
상기 브리지 모드(Bridge mode)는 상기 라우터 모드(Router mode)와는 달리 입력 네트워크 인터페이스의 카드와 출력 네트워크 인터페이스의 카드의 IP 대역이 동일한 네트워크 주소 대역을 사용하기 때문에 설치 시에 라우터 모드(Router mode)와 같이 네트워크 IP 변경 작업이 필요 없고, 단지 네트워크 라인을 물리적으로 절체 하여 장비를 삽입하면 되는 방식이다.
한편, 일반적인 네트워크 보안 장비들은 상기 라우터 모드(Router mode) 또는 브리지 모드(Bridge mode)에 관계없이 기 설치된 네트워크 선을 단절하여 중간에 보안 장비를 설치하는 인라인(In-Line) 구성의 형태로 이루어진다.
이와 같은 종래의 네트워크 보안 장비 설치는 라우터 모드(Router mode)나 브리지 모드(Bridge mode)가 모두 인라인(In-line) 형태로 구성되어지는 관계로, 물리적 인라인(In-line) 구조는 설치 작업 시에 네트워크의 사용 중단, 정상적인 통신흐름이후에는 설치 후 속도 지연 현상, 설치 장비가 장애 시에는 다른 네트워크의 통신이 모두 두절되는 현상이 불가피 하였다.
결국, 이와 같은 인라인(In-Line) 구성은 네트워크를 통과하는 모든 패킷을 볼 수 있게 됨에 따라 보안성이 높아지는 장점은 있으나, 상기 인라인(In-Line) 구성으로 인하여 모든 단말기들에게 동시에 속도 지연 현상 및 장애 시 전체 네트워크의 통신이 두절되는 문제점이 발생하게 되었다.
이와 같은 종래의 시스템을 도 1을 참조하여 설명한다.
도시된 바와 같이 종래의 네트워크 보안장치는 제1내부망(10)의 제1단말기(11)에서 제2내부망(20)의 제4단말기(21)로의 통신을 제한하기 위해서는 제1 L2 스위치(14)과 백본스위치(40) 구간 사이에 제1보안장비(15)를 인라인(In-line)으로 설치하여 통신 트래픽을 제어하게 된다.
상기 제1 L2스위치(14)와 백본스위치(40) 구간에 설치된 제1보안장비(15)는 제1내부망(10)에서 다른 망(네트워크)로 연결되는 모든 트래픽이 보안장비를 반드시 경유하도록 되어 있기 때문에 통신 대상 사이의 전달되는 TCP/IP 패킷의 헤더 정보(출발지 주소, 목적지 주소, 목적지 포트 등)를 이용하여 정책에 부합 여부를 판단하여 통과 및 차단 여부를 결정하게 된다.
이러한 일반적인 인라인(In-line) 네트워크 보안장비 구성은 통신시의 네트워크 속도 지연 현상과 보안장비 장애 시 네트워크가 단절되는 부작용을 유발하게 된다.
또한, 제1내부망(10)에 있는 제1단말기(11)와 제2단말기(12)간의 통신 시에는 두 단말기간의 전달되는 패킷이 제1보안장비(15)를 경유하지 않기 때문에 접속을 제어할 수 없는 한계점을 지닌다.
본 발명은 상기한 문제점을 해결하고자 창안된 것으로, 본 발명의 목적은 가상의 인라인(In-line) 기술로서, 실제 물리적인 구성은 인라인(in-line) 형태가 아니지만, 통신 당사자들이 보안장비를 경유하여 통신하게끔 함으로써 물리적인 인라인(In-line) 구성에서와 같은 보안 동작을 할 수 있도록 한 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.
또한, 본 발명의 다른 목적은 네트워크에 보안장비 설치 시, 네트워크 중단 없이 장비를 설치할 수 있게 하며, 장비 장애 시에 종래에 발생하는 네트워크 장애 확산(Single point of failure)이 발생하지 않으며, 인가된 네트워크 장비는 가상의 인라인(in-line) 구성된 장비를 통하지 않고 통신할 수 있게 함으로써 속도 지연 현상을 배제시킨 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.
또한, 본 발명의 다른 목적은 보안장비를 경유해서 외부로 나가는 트래픽뿐만 아니라 동일 네트워크 내에 있는 단말기 간의 통신 및 트래픽을 제어하는 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.
또한, 본 발명의 또 다른 목적은 다수의 내부 망에 비인가 시스템의 사용통제 및 이상 트래픽을 발생시키는 시스템을 효과적으로 차단하는 용도에 적합하도록 한 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.
이와 같은 목적을 달성하기 위한 본 발명은 복수개의 단말기와 상기 단말기들과 연결되는 L2스위치(허브)로 이루어지는 내부망이 복수개 형성되고, 동시에 DB(데이터 베이스) 서버와, APP(Application) 서버와 연결되는 L2 스위치(허브)가 구성되며, 상기 허브들과 연결되는 백본스위치와, 상기 백본스위치에 연결되는 인라인 방화벽과, 상기 인라인방화벽에 연결되는 라우터 및 인터넷을 포함하는 네트워크 장치에, 상기 각 내부 망의 허브와, DB서버 및 APP서버가 연결되는 L2 스위치(허브)에 각각 인라인(In-line) 시스템을 구축하여 된 인라인 네트워크 장치에 있어서, 상기 단말기(노드)에서 발생되는 MAC 요청 패킷을 모니터링 하는 단계(S110)와, 상기 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 추출하는 단계(S120)와, 상기 추출된 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 MAC주소, IP주소, OS(운영체계), 사용자, 사용시간 및 동작방법을 저장 및 확인할 수 있는 노드 테이블(TABLE)에 추가하는 단계(S130)와, 상기 추출한 노드에 대한 운영체계(OS) 추측(Guessing)하는 단계(S140)로 이루어져 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100); 상기 노드 테이블의 노드에 동작방법을 설정하는 단계(S210)와, 노드 테이블의 노드에 보안정책을 연결하는 단계(S220)와, 상기 동작방법에 의해 설정된 "가상 경로" 노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답하는 단계(S230)로 이루어져 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200); 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출하는 단계(S310)와, 목적지 주소, 목적지 포트, 시간대 및 실행 여부를 저장 및 확인할 수 있는 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)로 이루어져 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300); 패킷의 페이로드(payload)를 추출하는 단계(S410)와, 유해/악성 데이터베이스(DB)를 참조하는 단계(S420)와, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단하는 단계(S430)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 상기 노드 테이블에 동작방법을 변경(차단)하는 단계(S440)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 단계(S450)와, 해당 행위에 대한 검사 기록 로그를 작성하는 단계(S460)로 이루어져 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400); 및 상기 노드 테이블의 동작방법(모드) 참조하여 악성 노드를 구분하는 단계(S510)와, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송하는 단계(S520)와, 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하는 단계(S530)로 이루어져 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함하여 된 가상의 인라인 네트워크 보안방법을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 보다 상세히 설명한다.
도 2는 본 발명이 적용되는 가상의 인라인 네트워크 보안장치의 구성도이다.
도시된 바와 같이, 본 발명이 적용되는 가상의 인라인 네트워크 보안장치는 종래의 구성과 다르게 일반 단말기와 같은 형태로 장비를 네트워크에 연결한 후 동작한다.
즉, 복수개의 단말기와, 상기 단말기들과 연결되는 L2 스위치(허브)로 이루어지는 내부 망이 복수 개 형성되고, 동시에 DB(데이터베이스) 서버(33)와, APP(Application) 서버(34)와 연결되는 L2 스위치(허브)(32)가 구성되며, 상기 허브들과 연결되는 백본스위치(40)와, 상기 백본스위치(40)에 연결되는 인라인방화벽(50)과, 상기 인라인방화벽(50)에 연결되는 라우터(60) 및 인터넷을 포함하는 네트워크장치에 있어서, 상기 각 내부 망의 허브와, DB서버(33) 및 APP서버(34)가 연결되는 L2 스위치(허브)(32)에 각각 인라인(In-line)(16,26,35) 시스템을 구축하여 구성한 것이다.
이와 같이 구성된 가상 인라인 네트워크 보완장치에 적용되는 본 발명에 있어서, 제1내부망(100)의 제1단말기(11)의 네트워크 통제를 실시하고자 하면, 상기 제1단말기(11)가 패킷을 통신 상대자나 전달자(gateway)의 하드웨어 주소(MAC 주소)를 요청하게 되는데, 이러한 주소 요청을 가상의 인라인(16,26,35) 시스템이 감지하여 자신의 MAC주소로 제1단말기(11)에 응답을 한다.
상기 응답 후에는 제1단말기(1)에서 발생하는 패킷이 가상의 인라인 시스템 에 도달하기 때문에 패킷의 정보 및 데이터를 분석하여 접근제어를 수행하게 된다.
또한, 동일 네트워크상에 있는 단말기들, 즉 제2, 또는 제3단말기가 제1단말기(11)와의 직접 패킷을 전달하는 것을 방지하기 위하여, 네트워크상의 단말기 중에 제1단말기(11)에게 직접 패킷을 전달하고자 하는 특정 단말기(12 또는 13)의 MAC 주소에 요청하는 응답에 대해서도 가상의 인라인 시스템이 자신의 MAC주소로 응답함으로써 제어 대상이 되는 제1단말기(11)와의 통신을 위해 입, 출력되는 모든 패킷은 보안센서를 경유하게 되는 것이다.
도 3은 본 발명에 따른 가상의 인라인 네트워크 보안방법의 제어 흐름도이다.
도시된 바와 같이, 본 발명에 따른 가상의 인라인 네트워크 보안방법은, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)과, 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)과, 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)과, 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)과, 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함한다.
상기 제1 과정(S100)에서, 상기 보안 장비는 단말기 장비에서 발생하는 MAC address 요청(Request) 패킷을 분석하여, 출발지 주소와 MAC(Media Access Control) 주소를 추출한다.
상기 출발지 주소와, MAC 주소, 클라이언트의 운영체제(OS) 및 기타 단말기의 상태를 판단하여 가상 경로 대상 시스템인지를 판별한다.
상기 제2 과정(S200)에서, 가상 경로 대상인지가 판별되면 가상 경로를 설정하기 위해 대상 시스템에서 발생하는 MAC 주소 요청에 가상 경로 시스템이 자신의 MAC 주소로 응답한다.
상기 가상 경로 대상이 되는 시스템의 MAC 주소를 다른 단말기가 요청하는 경우에도 가상 경로 시스템이 자신의 MAC 주소로 ARP 패킷을 발송한다.
상기 제3 과정(S300)에서는, 상기 대상 시스템에서 발생되는 패킷의 프로토콜, 목적지 주소, 목적지 포트 등을 검사하여 통과 여부를 판단한다.
상기 제4 과정(S400)에서는, 대상 시스템에서 발생하는 패킷의 데이터 내용을 점검하여 유해 트래픽이 포함되어 있는지를 판별한다.
상기 제5 과정(S500)에서는, 상기 제4 과정(S400)에서 유해 트래픽이 발견된 시스템은 해당 시스템에게 거짓(Fake) MAC 주소 응답 패킷을 주기적으로 발송함으로써 유해 시스템의 통신을 완전히 차단한다.
도 4는 상기 도 3의 제1 과정(S100)을 상세히 나타낸 제어 흐름도이다.
도시된 바와 같이, 상기 제1 과정(S100)은 단말기(이하 '노드'라 함)에서 발생되는 MAC 요청 패킷을 모니터링 하는 단계(S110)와, 상기 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 추출하는 단계(S120)와, 상기 추출된 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 MAC주소, IP주소, OS(운영체계), 사용자, 사용시간 및 동작방법(모드) 등을 저장 및 확인할 수 있는 노드(단말기) 테이블(TABLE)에 추가하는 단계(S130)와, 상기 추출한 노드에 대한 운영체계(OS) 추측(Guessing)하는 단계(S140)로 구성된다.
하기 표 1에는 상기 노드 테이블에 대한 일례가 구성되어 있다.
<표 1>
[노드 테이블]
| MAC 주소 | IP 주소 | OS | 사용자 | 시간 | 동작방법 |
| 00:13:D4:04:BD:C0 | 192.168.1.2 | Linux | 허용 | ||
| 00:0F:EA:6D:71:2A | 192.168.1.1 | Windows XP | Kimpd | 가상경로 | |
| 00:90:FB:09:0F:17 | 192.168.1.3 | Windows XP | ANYTIME | 격리 |
따라서 이를 살펴보면,
특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)은, 네트워크상에서 MAC 요청 패킷을 모니터링 하여, 상기 MAC 요청 패킷의 출발지 주소와, MAC 주소를 추출하게 된다.
또한, 상기 추출된 MAC 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 노드 테이블(TABLE)에 추가하고, 상기 추출한 노드에 대한 운영체계(OS) 인식할 수 있게 된다.
도 5는 상기 도 3의 제2 과정(S200)을 상세히 나타낸 제어 흐름도이다.
도시된 바와 같이, 상기 제2 과정(S200)은, 상기 노드 테이블의 노드에 동작방법을 설정하는 단계(S210)와, 노드 테이블의 노드에 보안정책을 연결하는 단계(S220)와, 상기 동작방법에 의해 설정된 "가상 경로"노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답하는 단계(S230)로 구성된다.
하기 표 2에는 상기 보완정책 테이블에 대한 일례가 구성되어 있다.
<표 2>
| 목적지 주소 | 목적지 port | 시간대 | Action |
| 192.168.2.1 | TCP/80 | ANYTIME | ALLOW |
| 10.10.1.1 | TCP/25 | ANYTIME | ALLOW |
| 10.10.1.1 | UDP/53 | ANYTIME | ALLOW |
따라서 이를 살펴보면,
상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)은, 상기 노드 테이블의 노드에 동작방법을 설정하고, 상기 노드 테이블의 노드에 보안정책을 연결하며, 상기 동작방법에 의해 설정된 "가상 경로"노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답한다.
도 6은 상기 도 3의 제3 과정(S300)을 상세히 나타낸 제어 흐름도이다.
도시된 바와 같이, 상기 제3 과정(S300)은, 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출하는 단계(S310)와, 목적지 주소, 목적지 포트, 시간대 및 실행여부 등을 저장 및 확인할 수 있는 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)로 구성된다.
상기 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)는, 대응 여부를 판단하는 단계(S321)와, 상기 판단단계(S321)에서 허용일 경우에는 해당 패킷을 포워딩(forwarding)하는 단계(S322)와, 상기 판단단계(S321)에서 거부일 경우 에는 해당 패킷을 폐기하는 단계(S323)를 더 포함한다.
따라서 이를 살펴보면,
설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)은, 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출한 후, 상기 보안정책 테이블을 참조하여 대응 여부를 판단한다.
그리고 상기 판단 결과, 허용일 경우에는 해당 패킷을 포워딩(forwarding)하고, 상기 판단 결과, 거부일 경우에는 해당 패킷을 폐기하게 되는 것이다.
도 7은 상기 도 3의 제4 과정(S400)을 상세히 나타낸 제어 흐름도이다.
도시된 바와 같이, 상기 제4 과정(S400)은 패킷의 페이로드(payload)를 추출하는 단계(S410)와, 유해/악성 데이터베이스(DB)를 참조하는 단계(S420)와, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단하는 단계(S430)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 노드 테이블에 동작방법을 변경(차단)하는 단계(S440)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 단계(S450)와, 해당 행위에 대한 감사 기록 로그를 작성하는 단계(S460)로 구성된다.
이의 동작을 살펴보면,
가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)은, 패킷 의 페이로드(payload)를 추출하고, 유해/악성 데이터베이스(DB)를 참조한 후, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단한다.
상기 판단 결과, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 노드 테이블에 동작방법을 변경(차단)하고, 상기 판단 결과, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 것이다. 그리고 이의 해당 행위에 대한 검사 기록 로그를 작성한다.
도 8은 상기 도 3의 제5 과정(S500)을 상세히 나타낸 제어 흐름도이다.
도시된 바와 같이, 제5 과정(S500)은 노드 테이블의 동작방법(모드)을 참조하여 악성 노드를 구분하는 단계(S510)와, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송하는 단계(S520)와, 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하는 단계(S530)로 구성된다.
따라서 이의 동작을 살펴보면,
가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)은, 노드 테이블의 동작방법(모드)을 참조하여 악성 노드를 구분하여, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송한다.
그리고 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하게 되는 것이다.
이상에서와 같이 본 발명은 가상의 인라인(In-line) 기술로서, 실제 물리적인 구성은 인라인(in-line) 형태가 아니지만, 통신 당사자들이 보안장비를 경유하여 통신하게끔 함으로써 물리적인 인라인(In-line) 구성에서와 같은 보안 동작을 할 수 있다.
또한, 본 발명은 네트워크에 보안장비 설치 시, 네트워크 중단 없이 장비를 설치할 수 있게 하며, 장비 장애 시에 종래에 발생하는 네트워크 장애 확산(Single point of failure)이 발생하지 않으며, 인가된 네트워크 장비는 가상의 인라인(in-line) 구성된 장비를 통하지 않고 통신할 수 있게 함으로써 속도 지연 현상을 배제시킨 장점이 있다.
또한, 본 발명은 보안장비를 경유해서 외부로 나가는 트래픽뿐만 아니라 동일 네트워크 내에 있는 단말기 간의 통신 및 트래픽을 제어할 수 있는 이점이 있다.
또한, 본 발명은 다수의 내부 망에 비인가 시스템의 사용통제 및 이상 트래픽을 발생시키는 시스템을 효과적으로 차단할 수 있는 장점이 있다.
Claims (7)
- 복수개의 단말기와 상기 단말기들과 연결되는 L2스위치(허브)로 이루어지는 내부망이 복수개 형성되고, 동시에 DB(데이터 베이스) 서버와, APP(Application) 서버와 연결되는 L2 스위치(허브)가 구성되며, 상기 허브들과 연결되는 백본스위치와, 상기 백본스위치에 연결되는 인라인 방화벽과, 상기 인라인방화벽에 연결되는 라우터 및 인터넷을 포함하는 네트워크 장치에, 상기 각 내부 망의 허브와, DB서버 및 APP서버가 연결되는 L2 스위치(허브)에 각각 인라인(In-line) 시스템을 구축하여 된 인라인 네트워크 장치에 있어서,상기 단말기(노드)에서 발생되는 MAC 요청 패킷을 모니터링 하는 단계(S110)와, 상기 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 추출하는 단계(S120)와, 상기 추출된 MAC 요청 패킷의 출발지 주소 및 MAC 주소를 MAC주소, IP주소, OS(운영체계), 사용자, 사용시간 및 동작방법을 저장 및 확인할 수 있는 노드 테이블(TABLE)에 추가하는 단계(S130)와, 상기 추출한 노드에 대한 운영체계(OS) 추측(Guessing)하는 단계(S140)로 이루어져 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100);상기 노드 테이블의 노드에 동작방법을 설정하는 단계(S210)와, 노드 테이블의 노드에 보안정책을 연결하는 단계(S220)와, 상기 동작방법에 의해 설정된 "가상 경로" 노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답하는 단계(S230)로 이루어져 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200);상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출하는 단계(S310)와, 목적지 주소, 목적지 포트, 시간대 및 실행 여부를 저장 및 확인할 수 있는 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)로 이루어져 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300);패킷의 페이로드(payload)를 추출하는 단계(S410)와, 유해/악성 데이터베이스(DB)를 참조하는 단계(S420)와, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단하는 단계(S430)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 상기 노드 테이블에 동작방법을 변경(차단)하는 단계(S440)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 단계(S450)와, 해당 행위에 대한 검사 기록 로그를 작성하는 단계(S460)로 이루어져 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400); 및상기 노드 테이블의 동작방법(모드) 참조하여 악성 노드를 구분하는 단계(S510)와, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송하는 단계(S520)와, 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하는 단계(S530)로 이루어져 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함하여 된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.
- 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,상기 제3과정(S300)의 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)는, 상기 대응 여부를 판단하는 단계(S321)와, 상기 판단단계(S321)에서 허용일 경우에는 해당 패킷을 포워딩(forwarding)하는 단계(S322)와, 상기 판단단계(S321)에서 거부일 경우에는 해당 패킷을 폐기하는 단계(S323)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060028732A KR100765340B1 (ko) | 2006-03-30 | 2006-03-30 | 가상의 인라인 네트워크 보안방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060028732A KR100765340B1 (ko) | 2006-03-30 | 2006-03-30 | 가상의 인라인 네트워크 보안방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060035680A KR20060035680A (ko) | 2006-04-26 |
| KR100765340B1 true KR100765340B1 (ko) | 2007-10-09 |
Family
ID=37144137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060028732A KR100765340B1 (ko) | 2006-03-30 | 2006-03-30 | 가상의 인라인 네트워크 보안방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100765340B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101551537B1 (ko) * | 2013-10-15 | 2015-09-08 | 에스2정보 주식회사 | 정보유출방지장치 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101122646B1 (ko) | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 |
| KR101502490B1 (ko) | 2013-10-18 | 2015-03-13 | 주식회사 케이티 | 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 |
| KR101619256B1 (ko) * | 2015-11-03 | 2016-05-10 | 한국인터넷진흥원 | Html5 기반의 악성 스크립트 행위 정보 수집 시스템 및 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111732A (ja) | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpnシステム及びvpn設定方法 |
| KR20030047958A (ko) * | 2003-05-28 | 2003-06-18 | 이준엽 | 내부망 차단 시스템 구축 방법 |
-
2006
- 2006-03-30 KR KR1020060028732A patent/KR100765340B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111732A (ja) | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpnシステム及びvpn設定方法 |
| KR20030047958A (ko) * | 2003-05-28 | 2003-06-18 | 이준엽 | 내부망 차단 시스템 구축 방법 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101551537B1 (ko) * | 2013-10-15 | 2015-09-08 | 에스2정보 주식회사 | 정보유출방지장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060035680A (ko) | 2006-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100437169B1 (ko) | 네트워크 트래픽 흐름 제어 시스템 | |
| US9118716B2 (en) | Computer system, controller and network monitoring method | |
| US20150067764A1 (en) | Whitelist-based network switch | |
| US8959197B2 (en) | Intelligent integrated network security device for high-availability applications | |
| US7254833B1 (en) | Electronic security system and scheme for a communications network | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| US20080060067A1 (en) | Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
| US20050207447A1 (en) | IP address duplication monitoring device, IP address duplication monitoring method and IP address duplication monitoring program | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| KR20010079361A (ko) | 네트워크 상태 기반의 방화벽 장치 및 그 방법 | |
| KR100765340B1 (ko) | 가상의 인라인 네트워크 보안방법 | |
| CN112787911A (zh) | 一种物联网设备集成网关及系统 | |
| KR20070050727A (ko) | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 | |
| JP3790486B2 (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| US11159533B2 (en) | Relay apparatus | |
| US20220414211A1 (en) | Method for coordinating the mitigation of a cyber attack, associated device and system | |
| CN108206828A (zh) | 一种双重监测安全控制方法及系统 | |
| EP2893674A1 (en) | A method of operating a switch or access node in a network and a processing apparatus configured to implement the same | |
| FI120226B (fi) | Menetelmä päätelaitteen tunnistamiseksi ja päätelaite | |
| CN110896403A (zh) | 一种应用防火墙架构 | |
| JP4863310B2 (ja) | Ip衛星通信システムおよび不正パケット侵入防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120621 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20131010 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20140721 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20150724 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20180928 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20190930 Year of fee payment: 13 |