KR100893935B1 - Arp를 이용한 호스트의 네트워크 격리방법 - Google Patents

Arp를 이용한 호스트의 네트워크 격리방법 Download PDF

Info

Publication number
KR100893935B1
KR100893935B1 KR1020090001821A KR20090001821A KR100893935B1 KR 100893935 B1 KR100893935 B1 KR 100893935B1 KR 1020090001821 A KR1020090001821 A KR 1020090001821A KR 20090001821 A KR20090001821 A KR 20090001821A KR 100893935 B1 KR100893935 B1 KR 100893935B1
Authority
KR
South Korea
Prior art keywords
arp
packet
network
quarantine
agent
Prior art date
Application number
KR1020090001821A
Other languages
English (en)
Inventor
서승호
문해은
이동호
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020090001821A priority Critical patent/KR100893935B1/ko
Application granted granted Critical
Publication of KR100893935B1 publication Critical patent/KR100893935B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 호스트를 네트워크로부터 격리하고 특정 대상과 통신가능하도록 부분적으로 허용하는 ARP를 이용한 네트워크 격리방법에 관한 것이다.
본 발명의 주요구성은 격리대상, 또는 통신허용대상을 포함하는 네트워크 격리를 위한 정책이 설정되면, 에이전트가 상기 설정된 격리대상을 로컬 네트워크에서 차단하는 단계와; 상기 에이전트가, 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 주소변환 프로토콜(ARP) 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경함으로써 상기 격리대상을 격리하는 단계; 및 상기 에이전트가 상기 격리된 격리대상으로부터 수신된 패킷을 체크하여 상기 패킷을 릴레이하거나 폐기하여 상기 격리된 격리대상과 상기 통신허용대상의 통신을 부분적으로 허용하는 부분적 허용단계를 포함하는 것을 특징으로 한다.
격리, 차단, ARP, 주소변환 프로토콜, ARP 캐시

Description

ARP를 이용한 호스트의 네트워크 격리방법{NETWORK ISOLATING METHOD OF HOST USING ARP}
본 발명은 호스트의 네트워크 격리방법에 관한 것으로, 특히 주소변환 프로토콜(ARP)을 이용하여 네트워크에서 특정 호스트를 격리하는 기술에 관련한다.
네트워크 내의 자원을 바이러스나 웜(worm) 등의 요소로부터 효과적으로 보호하기 위해서 무결성을 만족하는 호스트에 대해서만 접근을 허락하는 개념이 네트워크 접근 제어(Network Access Control; NAC)이다.
여기서, 무결성을 판단하는 조건은 OS 패치, 백신 패치, 또는 특정 프로그램 설치 및 동작 유무 등 다양할 수 있으며, 무결성을 만족하지 않은 호스트에 대해서는 네트워크 접근을 차단하여 자원을 보호한다.
위의 방법처럼 무결성 검증을 거친 후 네트워크 접근에 대한 허용유무를 결정하는 것은 네트워크 자원을 보호하는데 효과적인 방법 중 하나이다. 그러나 이 방법은 무결성을 검증하는 과정에서 조건을 만족하지 못한 호스트에 대한 처리 프로세서가 추가로 필요하게 된다. 여기서, 처리 프로세서란 OS 패치, 백신 패치, 또 는 프로그램 설치 등의 무결성 조건을 만족하기 위해서 관련된 패치 및 설치 작업을 진행하는 것이다.
무결성을 만족하기 위해서는 각종 패치와 특정 프로그램의 설치를 위한 파일이 필요한데 이 파일을 다운받기 위해서는 기존 네트워크에 접근해서 받거나, USB나 기타 저장장치를 이용하여 파일을 복사하거나, 또는 다른 네트워크에서 다운로드 받을 수 있다.
그러나, 기존 네트워크에 접근해서 파일을 다운받는 방법은 사용자가 파일을 다운받는 동안 네트워크 모든 자원에 접근할 수 있다는 문제점이 있어 사용하기 힘들고, USB 등의 저장장치를 이용하는 것은 호스트마다 관리자가 직접 패치 및 설치를 해야 하는 문제와 이동형 저장장치가 바이러스에 노출되는 상황이 발생할 수 있다. 마지막으로 패치 서버를 포함한 새로운 네트워크를 만들고 그 네트워크에서 패치 및 설치를 하도록 하는 방법이 있는데, 이 방법은 새로운 네트워크를 구성하고 서버를 추가하는 등의 금전적인 문제로 인해 바로 적용하기에 한계가 있다.
따라서, 무결성을 만족하지 않은 대상이라도 기존 네트워크에 연결된 패치 및 설치 웹서버에만 접속 가능하도록 제어할 수 있는 방법에 대한 필요성이 제기된다.
본 발명의 목적은 호스트를 네트워크로부터 격리하고 특정 대상과 통신가능하도록 부분적으로 허용하는 ARP를 이용한 네트워크 격리방법을 제공하는 것이다.
상기의 목적은, 격리대상, 통신허용대상, 허용 프로토콜 또는 포트, 선택적으로 정책 시작 및 종료시간을 포함하는 네트워크 격리를 위한 정책이 설정되면, 에이전트가 상기 설정된 격리대상을 로컬 네트워크에서 차단하는 단계; 상기 에이전트가, 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 주소변환 프로토콜(ARP) 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경함으로써 상기 격리대상을 격리하는 단계; 및 상기 에이전트가 상기 격리된 격리대상으로부터 수신된 패킷을 체크하여 상기 패킷을 릴레이하거나 폐기하여 상기 격리된 격리대상과 상기 통신허용대상의 통신을 부분적으로 허용하는 부분적 허용단계를 포함하는 ARP를 이용한 호스트의 네트워크 격리방법에 의해 달성된다.
바람직하게, 상기 차단단계는, 상기 에이전트가 브로드캐스트 ARP 패킷을 이용하여 상기 로컬 네트워크 내의 모든 대상의 ARP 캐시를 변경하거나, 상기 에이전트가 유니캐스트 ARP 패킷을 이용하여 상기 격리대상의 ARP 캐시를 변경하여 이루어질 수 있다.
바람직하게, 상기 격리단계는, 상기 에이전트가, 상기 격리대상의 IP 주소와 맥 주소를 포함하는 정상적인 ARP 패킷을 상기 통신허용대상에 전송하여 상기 통신허용대상의 ARP 캐시를 변경하거나, 상기 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 ARP 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경할 수 있다.
바람직하게, 상기 부분적 허용단계에서, 상기 에이전트는 상기 격리된 격리대상으로부터 수신된 패킷에 있어서 IP 주소, 맥 주소, 및 포트 정보를 포함하는 근원지 정보와 목적지 정보를 확인하여 상기 패킷을 릴레이 또는 폐기 여부를 결정한다.
바람직하게, 상기 패킷의 체크는 허용 프로토콜 또는 포트를 이용하여 수행될 수 있다.
또한, 상기 격리대상, 통신허용대상, 허용 프로토콜 또는 포트는 하나 이상의 항목이 추가되며, 리스트로 관리될 수 있다.
상기한 구성에 의하면, 네트워크에 접근하는 호스트 중 무결성을 만족하지 않은 호스트에 대해서 오직 HTTP만 접근할 수 있도록 한 후, 사용자가 웹페이지 접근시 웹페이지를 패치 및 프로그램 설치 웹서버로 강제 리다이렉션 하여 무결성을 만족하도록 강제할 수 있다. 이 방법을 사용하게 되면 무결성을 만족하지 않은 호스트는 네트워크 내의 다른 자원에 접근하지 못하고, 오직 패치 및 설치파일만 다 운로드 받을 수 있는 상태가 되므로 해당 호스트에 바이러스나 웜 등이 존재한다 하더라도 다른 호스트에게 전염시키지 못한다.
또한, 기존 네트워크에 접근하는 것이기 때문에 추가적인 네트워크를 구성하지 않아도 되며 USB 등의 기타 저장장치를 이용하여 관리자가 수동으로 설치하지 않고 호스트의 사용자가 스스로 패치 및 프로그램 설치를 수행할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명을 상세하게 설명한다.
네트워크 차단이란 일반적으로 특정 시스템과 다른 시스템들의 모든 통신을 막는 것을 말하며, 이와 비슷한 개념으로 네트워크 격리가 있다. 네트워크 격리란 기본적으로 특정 시스템과 다른 시스템과의 모든 통신은 막는다는 부분에서 차단과 비슷하게 보이지만 예외를 설정하여 특정 시스템과의 통신에 대해서는 허용하는 것이다.
본 발명은 주소변환 프로토콜(Address Resolution Protocaol; ARP)를 이용하여 특정 호스트를 네트워크로부터 격리하는 기술에 관련하며, 격리 조건을 시스템의 포트까지 설정하여 허용된 시스템과 설정된 몇몇의 포트로만 통신이 가능하게 하여 격리대상으로 하여금 더욱 제한적인 통신만 가능하도록 할 수 있다.
본 발명은 네트워크 차단단계, 격리단계, 부분적 허용단계, 및 격리해제 단계로 이루어진다. 네트워크 차단단계와 격리단계는 정책이 설정되는 즉시 수행되고 격리대상의 동작, 가령 격리대상정보가 포함된 ARP 패킷이 캡처된 경우에 수시로 수행될 수 있으며, 정책이 해제되면 격리해제 단계가 수행된다. 여기서, 정책 설정시의 설정정보는, 격리대상, 허용대상, 허용 프로토콜 또는 포트, 정책 시작 및 종료시간 등을 포함할 수 있다(표 1 참조). 격리대상, 허용대상, 허용 프로토콜 또는 포트는 하나 이상의 항목이 추가될 수 있으며, 해당 정보는 에이전트에서 리스트로 관리된다.
구분 설정 항목 설명
격리대상 IP or MAC 네트워크에서 격리할 대상의 정보 격리대상은 단일 시스템 또는 복수의 시스템이 설정될 수 있다.
허용대상 IP or MAC 각 격리대상에 대한 허용대상의 정보 각 격리대상마다 단일 시스템 또는 복수의 시스템이 설정될 수 있다.
허용프로토콜 또는 포트 프로토콜 또는 포트 각 격리대상이 허용대상과 통신할 때 통신 가능한 프로토콜 또는 포트 각 허용대상마다 하나 이상의 프로토콜이나 포트 정보를 포함할 수 있다.
정책 시작 시간 정책이 시작되는 시간 각 격리대상마다 시작시간을 설정할 수 있다.
정책 종료 시간 정책이 만료되는 시간 각 격리대상마다 종료시간을 설정할 수 있다.
이하에서, 네트워크상에 정책이 설정된 호스트들을 감시하고 데이터 전송을 제한하기 위해 특정한 동작을 수행하는 호스트를 '에이전트(agent)'라 한다.
네트워크 차단단계
에이전트는 다음의 방법 중 어느 하나를 적용하여 격리대상을 네트워크로부터 차단한다.
먼저, 에이전트는 브로드캐스트(Broadcast) ARP 패킷을 이용하여 주변 호스트들의 ARP 캐시를 변경하여 격리대상을 차단할 수 있다.
구체적으로, 에이전트는 격리대상의 ARP 패킷을 로컬 네트워크에 존재하지 않는 MAC 주소나 에이전트의 MAC 주소로 변조한 후, 로컬 네트워크에 브로드캐스트 하여 로컬 네트워크에 존재하는 호스트들의 ARP 캐시를 업데이트 한다. 즉, 각 호스트의 ARP 캐시를 잘못된 정보로 업데이트 함으로써 로컬 네트워크 모든 호스트와 격리대상과의 통신을 막는다. 특히, 에이전트의 MAC 주소로 변조하여 브로드캐스트 하였을 경우에는 로컬 네트워크 호스트가 격리대상과 통신하기 위해 에이전트로 패킷을 전송하게 되는데, 에이전트는 이를 폐기하여 로컬 네트워크 호스트와 격리대상과의 통신을 막는다.
다음, 에이전트는 유니캐스트(Unicast) ARP 패킷을 이용하여 격리대상의 ARP 캐시를 변경하여 격리대상을 차단할 수 있다.
구체적으로, 격리대상이 ARP 요청을 브로드캐스트 하는 것이 감지될 때마다, 에이전트는 에이전트의 MAC 주소 또는 로컬 네트워크에 존재하지 않는 MAC 주소로 변조된 ARP 패킷을 격리대상에게 전송하여 ARP 캐시를 업데이트 한다. 이후 격리대상이 통신을 하기 위해 에이전트에게 패킷을 전송하면, 에이전트는 이를 폐기하여 통신을 막는다. 특히, 로컬 네트워크에 존재하지 않는 MAC 주소로 변조를 하였을 경우에는 격리대상이 통신하기 위해 존재하지 않는 MAC 주소로 패킷을 보내기 때문에, 격리대상과 로컬 네트워크 호스트와의 통신을 막는다.
상기한 바와 같이, 네트워크의 차단하기 위해서 에이전트는 브로드캐스트(Broadcast) ARP 패킷을 이용하여 주변 호스트들의 ARP 캐시를 변경하여 격리대상을 차단하거나, 유니캐스트(Unicast) ARP 패킷을 이용하여 격리대상의 ARP 캐시를 변경하여 격리대상을 차단할 수 있는데, 이들 양자를 모두 이용하여 격리대상을 차단할 수도 있다. 특히, 후자의 경우, 격리단계에서 정상적인 ARP 패킷을 통신허용대상에 전송하지 않아도 된다.
격리단계
에이전트는 변조된 ARP 패킷을 격리대상에 전송하여 격리대상의 ARP 캐시를 변경함으로써 격리대상을 네트워크에서 격리시킨다.
소스 IP 주소로 통신허용대상의 IP 주소, 소스 MAC 주소로 에이전트의 MAC 주소를 포함하는 변조된 ARP 패킷을 격리대상에 전송하여 격리대상의 ARP 캐시를 변경한다. 그리고 격리대상의 정상적인 ARP 패킷, 즉 소스 IP 주소로 격리대상의 IP 주소와 소스 MAC 주소로 격리대상의 MAC 주소를 통신허용대상에 전송하여 통신허용대상의 ARP 캐시를 변경한다. 이와 달리, 에이전트는 격리대상의 정상적인 ARP 패킷 대신 소스 IP 주소로 격리대상의 IP 주소와 소스 MAC 주소로 에이전트의 MAC 주소를 포함하는 변조된 ARP 패킷을 전송하여 통신허용대상의 ARP 캐시를 변경할 수도 있다.
상기한 두 가지의 방법은 각각 사용되거나 모두 사용될 수 있다.
부분적 허용단계
상기와 같이 격리대상을 네트워크에서 격리한 후 격리대상과 통신허용대상과의 통신을 부분적으로 허용할 수 있다. 통신허용대상이 Gateway가 된다면 격리대상이 외부로 통신하는 것에 대한 설정(허용/차단)을 할 수 있다.
격리대상이 네트워크 격리된 상태에서 통신허용대상과 통신하기 위한 패킷을 에이전트로 전송하면, 에이전트는 이를 수신하여 패킷의 근원지 정보와 목적지 정보를 확인하여 허용해야 할 패킷인지 폐기해야 할 패킷인지 판단한다. 여기서, 근원지와 목적지 정보는 각각 IP 주소, MAC 주소, 및 포트(Port) 정보를 포함한다.
판단결과, 패킷이 허용해야 할 패킷이라면 목적지 정보를 변경하여 해당 패킷의 원 전송지로 릴레이 한다. 반면, 패킷이 허용하지 않아야 할 패킷이라면 해당 패킷을 폐기함으로써 통신을 차단한다.
격리해제 단계
브로드캐스트 ARP 패킷을 이용해서 네트워크를 차단한 경우, 에이전트는 격리대상의 정상적인 ARP 패킷을 브로드캐스트 하여 로컬 네트워크의 모든 호스트의 ARP 캐시를 업데이트 한다. 또한, 유니캐스트 ARP 패킷을 이용하여 네트워크를 차단한 경우, 차단하기 위해 격리대상에 보낸 로컬 호스트들의 ARP 패킷을 정상적인 ARP 패킷으로 격리대상에게 전송하여 ARP 캐시를 업데이트 한다.
또한, 격리대상에 통신허용대상의 변조된 ARP 패킷을 정상적인 ARP 패킷으로 전송하여 격리대상의 ARP 캐시를 업데이트 한다.
(실시 예)
이하, 에이전트가 격리대상으로부터 송신된 패킷을 캡처했을 때 동작을 설명한다. 여기서, 근원지와 목적지 정보는 각각 IP 주소와 MAC 주소를 포함하며, 패킷의 포트 정보는 근원지와 목적지 포트 정보를 포함한다.
에이전트가 패킷을 캡처하면(단계 S11), 패킷에 포함된 근원지 정보가 격리대상 리스트에 존재하는지를 판정한다(단계 S12).
판정 결과, 존재하면, 목적지 정보가 허용대상 리스트에 존재하는지를 판정한다(단계 S13). 존재하는 것으로 판정하면, 캡처한 패킷이 ARP 패킷인지 판정하고(단계 S14), ARP 패킷이 아니면 패킷의 포트 정보가 허용 프로토콜 또는 포트 리스트에 존재하는지를 판정한다(단계 S15). ARP 패킷이면, 격리동작을 수행한다(단계 S21).
단계 S15에서, 존재하는 것으로 판정되면, 패킷의 이더넷 프레임을 릴레이 될 수 있도록 수정하여 전송한다(단계 S16). 반면, 존재하지 않는 것으로 판정되면, 패킷을 폐기하여 차단한다(단계 S17).
한편, 단계 S12에서, 근원지 정보가 격리대상 리스트에 존재하지 않는 것으로 판정되면, 근원지 정보가 허용대상 리스트에 존재하는지 판정하고(단계 S18), 존재하지 않으면 처리를 종료하고, 존재하면 목적지 정보가 격리대상 리스트에 존재하는지를 판정한다(단계 S19). 판정결과, 존재하지 않으면 처리를 종료하고, 존재하면, 단계 S14로 이동하여 상기한 단계 S14 내지 S17, S21을 수행한다.
또한, 단계 S13에서, 목적지 정보가 허용대상 리스트에 존재하지 않는 것으로 판정되면, 네트워크 차단동작을 수행하고(단계 S20), 이어 격리동작을 수행한다(단계 S21).
이상에서는 본 발명의 실시예를 중심으로 설명하였지만, 당업자의 수준에서 다양한 변경을 가할 수 있음은 물론이다. 따라서, 본 발명의 권리범위는 상기한 실시예에 한정되어 해석될 수 없으며, 이하에 기재되는 특허청구범위에 의해 해석되어야 한다.
도 1은 본 발명의 일 예에 따른 네트워크 격리방법을 설명하는 플로차트이다.

Claims (10)

  1. 격리대상, 또는 통신허용대상을 포함하는 네트워크 격리를 위한 정책이 설정되면, 에이전트가 상기 설정된 격리대상을 로컬 네트워크에서 차단하는 단계;
    상기 에이전트가, 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 주소변환 프로토콜(ARP) 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경함으로써 상기 격리대상을 격리하는 단계; 및
    상기 에이전트가 상기 격리된 격리대상으로부터 수신된 패킷을 체크하여 상기 패킷을 릴레이하거나 폐기하여 상기 격리된 격리대상과 상기 통신허용대상의 통신을 부분적으로 허용하는 부분적 허용단계를 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  2. 청구항 1에 있어서,
    상기 차단단계는, 상기 에이전트가 브로드캐스트 ARP 패킷을 이용하여 상기 로컬 네트워크 내의 모든 대상의 ARP 캐시를 변경하거나, 상기 에이전트가 유니캐스트 ARP 패킷을 이용하여 상기 격리대상의 ARP 캐시를 변경하여 이루어지는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  3. 청구항 1에 있어서,
    상기 격리단계에서,
    상기 에이전트는, 상기 격리대상의 IP 주소와 맥 주소를 포함하는 정상적인 ARP 패킷을 상기 통신허용대상에 전송하여 상기 통신허용대상의 ARP 캐시를 변경하거나, 상기 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 ARP 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  4. 청구항 1에 있어서,
    상기 부분적 허용단계에서,
    상기 에이전트는 상기 격리된 격리대상으로부터 수신된 패킷에 있어서 IP 주소, 맥 주소, 및 포트 정보를 포함하는 근원지 정보와 목적지 정보를 확인하여 상기 패킷의 릴레이 또는 폐기 여부를 결정하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  5. 청구항 1에 있어서,
    상기 네트워크 격리를 위한 정책은 허용 프로토콜 또는 포트를 더 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  6. 청구항 1 또는 청구항 5에 있어서,
    상기 패킷의 체크는 허용 프로토콜 또는 포트를 이용하여 수행되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  7. 청구항 1 또는 2에 있어서,
    상기 네트워크의 격리를 해제하는 단계를 더 포함하며,
    상기 네트워크 격리해제를 위해서, 상기 에이전트는,
    브로드캐스트 ARP 패킷을 이용해서 네트워크를 차단한 경우, 상기 격리대상의 정상적인 ARP 패킷을 브로드캐스트 하여 로컬 네트워크의 모든 호스트의 ARP 캐시를 업데이트하고,
    유니캐스트 ARP 패킷을 이용하여 네트워크를 차단한 경우, 차단하기 위해 상기 격리대상에 보낸 로컬 호스트들의 ARP 패킷을 정상적인 ARP 패킷으로 상기 격리대상에게 전송하여 ARP 캐시를 업데이트하며,
    상기 격리대상에 상기 통신허용대상의 변조된 ARP 패킷을 정상적인 ARP 패킷으로 전송하여 상기 격리대상의 ARP 캐시를 업데이트하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  8. 청구항 1에 있어서,
    상기 네트워크 격리를 위한 정책은 정책시작 및 종료시간을 더 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  9. 청구항 6에 있어서,
    상기 격리대상, 통신허용대상, 허용 프로토콜 또는 포트는 하나 이상의 항목 이 추가되며, 리스트로 관리되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
  10. 청구항 8에 있어서,
    정책시작 및 종료시간은 하나 이상의 항목이 추가되어 리스트로 관리되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
KR1020090001821A 2009-01-09 2009-01-09 Arp를 이용한 호스트의 네트워크 격리방법 KR100893935B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090001821A KR100893935B1 (ko) 2009-01-09 2009-01-09 Arp를 이용한 호스트의 네트워크 격리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090001821A KR100893935B1 (ko) 2009-01-09 2009-01-09 Arp를 이용한 호스트의 네트워크 격리방법

Publications (1)

Publication Number Publication Date
KR100893935B1 true KR100893935B1 (ko) 2009-04-21

Family

ID=40757915

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090001821A KR100893935B1 (ko) 2009-01-09 2009-01-09 Arp를 이용한 호스트의 네트워크 격리방법

Country Status (1)

Country Link
KR (1) KR100893935B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018029B1 (ko) 2010-10-18 2011-03-02 스콥정보통신 주식회사 네트워크 장비간의 통신 차단 및 해제 방법
KR101174305B1 (ko) 2012-03-09 2012-08-16 (주)넷맨 IPv6를 지원하는 네트워크 내 호스트 동작 제어 방법
CN106888282A (zh) * 2017-04-28 2017-06-23 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
KR20180015032A (ko) 2016-08-02 2018-02-12 주식회사 다산네트웍스 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1764955A2 (en) 1998-10-05 2007-03-21 Hitachi, Ltd. Packet forwarding apparatus with a flow detection table

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1764955A2 (en) 1998-10-05 2007-03-21 Hitachi, Ltd. Packet forwarding apparatus with a flow detection table

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018029B1 (ko) 2010-10-18 2011-03-02 스콥정보통신 주식회사 네트워크 장비간의 통신 차단 및 해제 방법
KR101174305B1 (ko) 2012-03-09 2012-08-16 (주)넷맨 IPv6를 지원하는 네트워크 내 호스트 동작 제어 방법
KR20180015032A (ko) 2016-08-02 2018-02-12 주식회사 다산네트웍스 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법
CN106888282A (zh) * 2017-04-28 2017-06-23 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
CN106888282B (zh) * 2017-04-28 2021-01-01 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법
WO2023038224A1 (ko) * 2021-09-09 2023-03-16 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법

Similar Documents

Publication Publication Date Title
US7474655B2 (en) Restricting communication service
EP1650930B1 (en) Method, apparatus and network architecture for enforcing security policies using an isolated subnet
EP1650633B1 (en) Method, apparatus and system for enforcing security policies
US8250647B2 (en) Method and apparatus for automatic filter generation and maintenance
US9225684B2 (en) Controlling network access
JP4746393B2 (ja) ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置
US8776254B1 (en) System and method for the secure unidirectional transfer of software and software updates
JP2006262141A (ja) Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
US9374392B2 (en) Method and apparatus for dynamic destination address control in a computer network
US20050267954A1 (en) System and methods for providing network quarantine
KR20170117565A (ko) 시스템 계층들 간에 데이터 연산 기능을 분할하는 방법
KR100893935B1 (ko) Arp를 이용한 호스트의 네트워크 격리방법
JP2010533392A (ja) スイッチベースのネットワークセキュリティ
US10931655B2 (en) Apparatus and method for supporting bidirectional communication using unidirectional communication
WO2011140795A1 (zh) 一种防止介质访问控制地址欺骗攻击的方法和交换设备
WO2014180235A1 (zh) 数据包过滤规则配置方法、装置及系统
KR20050083204A (ko) 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법
JP2010282479A (ja) アクセス制御システム、アクセス制御方法、及びプログラム
KR200427501Y1 (ko) 사용자 기반의 네트워크 보안 시스템
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP4290526B2 (ja) ネットワークシステム
KR101618602B1 (ko) 네트워크 내 트래픽 분산 방법
JP2006165877A (ja) 通信システム、通信方法および通信プログラム
JP5032246B2 (ja) システムおよび制御方法
JP2009206579A (ja) シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130128

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140120

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150210

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160217

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170316

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180410

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190409

Year of fee payment: 11