KR100893935B1 - Arp를 이용한 호스트의 네트워크 격리방법 - Google Patents
Arp를 이용한 호스트의 네트워크 격리방법 Download PDFInfo
- Publication number
- KR100893935B1 KR100893935B1 KR1020090001821A KR20090001821A KR100893935B1 KR 100893935 B1 KR100893935 B1 KR 100893935B1 KR 1020090001821 A KR1020090001821 A KR 1020090001821A KR 20090001821 A KR20090001821 A KR 20090001821A KR 100893935 B1 KR100893935 B1 KR 100893935B1
- Authority
- KR
- South Korea
- Prior art keywords
- arp
- packet
- network
- quarantine
- agent
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
구분 | 설정 항목 | 설명 |
격리대상 | IP or MAC | 네트워크에서 격리할 대상의 정보 격리대상은 단일 시스템 또는 복수의 시스템이 설정될 수 있다. |
허용대상 | IP or MAC | 각 격리대상에 대한 허용대상의 정보 각 격리대상마다 단일 시스템 또는 복수의 시스템이 설정될 수 있다. |
허용프로토콜 또는 포트 | 프로토콜 또는 포트 | 각 격리대상이 허용대상과 통신할 때 통신 가능한 프로토콜 또는 포트 각 허용대상마다 하나 이상의 프로토콜이나 포트 정보를 포함할 수 있다. |
정책 시작 | 시간 | 정책이 시작되는 시간 각 격리대상마다 시작시간을 설정할 수 있다. |
정책 종료 | 시간 | 정책이 만료되는 시간 각 격리대상마다 종료시간을 설정할 수 있다. |
Claims (10)
- 격리대상, 또는 통신허용대상을 포함하는 네트워크 격리를 위한 정책이 설정되면, 에이전트가 상기 설정된 격리대상을 로컬 네트워크에서 차단하는 단계;상기 에이전트가, 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 주소변환 프로토콜(ARP) 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경함으로써 상기 격리대상을 격리하는 단계; 및상기 에이전트가 상기 격리된 격리대상으로부터 수신된 패킷을 체크하여 상기 패킷을 릴레이하거나 폐기하여 상기 격리된 격리대상과 상기 통신허용대상의 통신을 부분적으로 허용하는 부분적 허용단계를 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1에 있어서,상기 차단단계는, 상기 에이전트가 브로드캐스트 ARP 패킷을 이용하여 상기 로컬 네트워크 내의 모든 대상의 ARP 캐시를 변경하거나, 상기 에이전트가 유니캐스트 ARP 패킷을 이용하여 상기 격리대상의 ARP 캐시를 변경하여 이루어지는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1에 있어서,상기 격리단계에서,상기 에이전트는, 상기 격리대상의 IP 주소와 맥 주소를 포함하는 정상적인 ARP 패킷을 상기 통신허용대상에 전송하여 상기 통신허용대상의 ARP 캐시를 변경하거나, 상기 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 ARP 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1에 있어서,상기 부분적 허용단계에서,상기 에이전트는 상기 격리된 격리대상으로부터 수신된 패킷에 있어서 IP 주소, 맥 주소, 및 포트 정보를 포함하는 근원지 정보와 목적지 정보를 확인하여 상기 패킷의 릴레이 또는 폐기 여부를 결정하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1에 있어서,상기 네트워크 격리를 위한 정책은 허용 프로토콜 또는 포트를 더 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1 또는 청구항 5에 있어서,상기 패킷의 체크는 허용 프로토콜 또는 포트를 이용하여 수행되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1 또는 2에 있어서,상기 네트워크의 격리를 해제하는 단계를 더 포함하며,상기 네트워크 격리해제를 위해서, 상기 에이전트는,브로드캐스트 ARP 패킷을 이용해서 네트워크를 차단한 경우, 상기 격리대상의 정상적인 ARP 패킷을 브로드캐스트 하여 로컬 네트워크의 모든 호스트의 ARP 캐시를 업데이트하고,유니캐스트 ARP 패킷을 이용하여 네트워크를 차단한 경우, 차단하기 위해 상기 격리대상에 보낸 로컬 호스트들의 ARP 패킷을 정상적인 ARP 패킷으로 상기 격리대상에게 전송하여 ARP 캐시를 업데이트하며,상기 격리대상에 상기 통신허용대상의 변조된 ARP 패킷을 정상적인 ARP 패킷으로 전송하여 상기 격리대상의 ARP 캐시를 업데이트하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 1에 있어서,상기 네트워크 격리를 위한 정책은 정책시작 및 종료시간을 더 포함하는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 6에 있어서,상기 격리대상, 통신허용대상, 허용 프로토콜 또는 포트는 하나 이상의 항목 이 추가되며, 리스트로 관리되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
- 청구항 8에 있어서,정책시작 및 종료시간은 하나 이상의 항목이 추가되어 리스트로 관리되는 것을 특징으로 하는 ARP를 이용한 호스트의 네트워크 격리방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090001821A KR100893935B1 (ko) | 2009-01-09 | 2009-01-09 | Arp를 이용한 호스트의 네트워크 격리방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090001821A KR100893935B1 (ko) | 2009-01-09 | 2009-01-09 | Arp를 이용한 호스트의 네트워크 격리방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100893935B1 true KR100893935B1 (ko) | 2009-04-21 |
Family
ID=40757915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090001821A KR100893935B1 (ko) | 2009-01-09 | 2009-01-09 | Arp를 이용한 호스트의 네트워크 격리방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100893935B1 (ko) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101018029B1 (ko) | 2010-10-18 | 2011-03-02 | 스콥정보통신 주식회사 | 네트워크 장비간의 통신 차단 및 해제 방법 |
KR101174305B1 (ko) | 2012-03-09 | 2012-08-16 | (주)넷맨 | IPv6를 지원하는 네트워크 내 호스트 동작 제어 방법 |
CN106888282A (zh) * | 2017-04-28 | 2017-06-23 | 新华三技术有限公司 | 一种地址解析协议arp表更新方法、板卡及分布式设备 |
KR20180015032A (ko) | 2016-08-02 | 2018-02-12 | 주식회사 다산네트웍스 | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 |
KR102445916B1 (ko) * | 2021-09-09 | 2022-09-21 | 스콥정보통신 주식회사 | 네트워크에서의 단말 관리 장치 및 그 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1764955A2 (en) | 1998-10-05 | 2007-03-21 | Hitachi, Ltd. | Packet forwarding apparatus with a flow detection table |
-
2009
- 2009-01-09 KR KR1020090001821A patent/KR100893935B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1764955A2 (en) | 1998-10-05 | 2007-03-21 | Hitachi, Ltd. | Packet forwarding apparatus with a flow detection table |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101018029B1 (ko) | 2010-10-18 | 2011-03-02 | 스콥정보통신 주식회사 | 네트워크 장비간의 통신 차단 및 해제 방법 |
KR101174305B1 (ko) | 2012-03-09 | 2012-08-16 | (주)넷맨 | IPv6를 지원하는 네트워크 내 호스트 동작 제어 방법 |
KR20180015032A (ko) | 2016-08-02 | 2018-02-12 | 주식회사 다산네트웍스 | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 |
CN106888282A (zh) * | 2017-04-28 | 2017-06-23 | 新华三技术有限公司 | 一种地址解析协议arp表更新方法、板卡及分布式设备 |
CN106888282B (zh) * | 2017-04-28 | 2021-01-01 | 新华三技术有限公司 | 一种地址解析协议arp表更新方法、板卡及分布式设备 |
KR102445916B1 (ko) * | 2021-09-09 | 2022-09-21 | 스콥정보통신 주식회사 | 네트워크에서의 단말 관리 장치 및 그 방법 |
WO2023038224A1 (ko) * | 2021-09-09 | 2023-03-16 | 스콥정보통신 주식회사 | 네트워크에서의 단말 관리 장치 및 그 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7474655B2 (en) | Restricting communication service | |
EP1650930B1 (en) | Method, apparatus and network architecture for enforcing security policies using an isolated subnet | |
EP1650633B1 (en) | Method, apparatus and system for enforcing security policies | |
US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
US9225684B2 (en) | Controlling network access | |
JP4746393B2 (ja) | ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置 | |
US9736121B2 (en) | File manifest filter for unidirectional transfer of files | |
US8776254B1 (en) | System and method for the secure unidirectional transfer of software and software updates | |
US9374392B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
US20050267954A1 (en) | System and methods for providing network quarantine | |
KR20170117565A (ko) | 시스템 계층들 간에 데이터 연산 기능을 분할하는 방법 | |
KR100893935B1 (ko) | Arp를 이용한 호스트의 네트워크 격리방법 | |
JP2010533392A (ja) | スイッチベースのネットワークセキュリティ | |
WO2011140795A1 (zh) | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 | |
JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
WO2014180235A1 (zh) | 数据包过滤规则配置方法、装置及系统 | |
KR20050083204A (ko) | 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법 | |
KR200427501Y1 (ko) | 사용자 기반의 네트워크 보안 시스템 | |
JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
JP4290526B2 (ja) | ネットワークシステム | |
KR101618602B1 (ko) | 네트워크 내 트래픽 분산 방법 | |
JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
JP5032246B2 (ja) | システムおよび制御方法 | |
JP2009206579A (ja) | シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130128 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140120 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150210 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160217 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170316 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20180410 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20190409 Year of fee payment: 11 |