KR101040543B1 - Detection system and detecting method for the cryptographic data in SSH - Google Patents

Detection system and detecting method for the cryptographic data in SSH Download PDF

Info

Publication number
KR101040543B1
KR101040543B1 KR1020080084480A KR20080084480A KR101040543B1 KR 101040543 B1 KR101040543 B1 KR 101040543B1 KR 1020080084480 A KR1020080084480 A KR 1020080084480A KR 20080084480 A KR20080084480 A KR 20080084480A KR 101040543 B1 KR101040543 B1 KR 101040543B1
Authority
KR
South Korea
Prior art keywords
server
data
clients
communication
module
Prior art date
Application number
KR1020080084480A
Other languages
Korean (ko)
Other versions
KR20100025788A (en
Inventor
박천오
백순용
진선태
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020080084480A priority Critical patent/KR101040543B1/en
Publication of KR20100025788A publication Critical patent/KR20100025788A/en
Application granted granted Critical
Publication of KR101040543B1 publication Critical patent/KR101040543B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 에스에스에이취(SSH)를 기반으로 한 통신환경에서 암호화된 데이터를 탐지하는 탐지시스템과, 이 탐지시스템을 이용해 실시되는 탐지방법에 관한 것으로, SSH와 같이 암호화된 데이터를 클라이언트(11, 12)와 서버(20) 간에 송수신하는 통신환경에서, 클라이언트(11, 12)가 인식하는 서버(20)의 IP와 포트를 하기 프록시모듈(33)의 IP와 포트로 변환하는 주소변환모듈(31); 클라이언트(11, 12)로부터 수신한 암호화된 데이터는 복호화하고, 클라이언트(11, 12)로 전송할 데이터는 암호화하며, 접속한 클라이언트(11, 12)의 인증 확인을 위해 서버(20)와 클라이언트(11, 12) 간의 직접 통신을 매개하는 프록시모듈(33); 서버(20)와 통신하면서, 서버(20)로부터 수신한 암호화된 데이터는 복호화해 프록시모듈(33)로 전송하고, 프록시모듈(33)로부터 수신한 데이터는 암호화해 서버(20)로 전송하는 에이전트모듈(35); 및 프록시모듈(33) 및 에이전트모듈(35) 간에 통신하는 복호화된 데이터를 확인하고, 보안정책DB(36)에 입력된 기준에 따라 프록시모듈(33)과 에이전트모듈(35)의 통신상태를 제어하는 관리모듈(34);을 포함하는 탐지장치(30)가 클라이언트(11, 12)와 서버(20) 간 통신을 중개하는 것이다.The present invention relates to a detection system for detecting encrypted data in a communication environment based on SSH, and a detection method implemented using the detection system. In the communication environment for transmitting and receiving between the server and the server 20, the address translation module 31 for converting the IP and the port of the server 20 recognized by the client (11, 12) to the IP and port of the proxy module 33 ; The encrypted data received from the clients 11 and 12 is decrypted, the data to be transmitted to the clients 11 and 12 is encrypted, and the server 20 and the client 11 are used to confirm authentication of the connected clients 11 and 12. 12) a proxy module 33 for mediating direct communication between; In communication with the server 20, an agent that decrypts the encrypted data received from the server 20 and transmits the decrypted data to the proxy module 33, and encrypts the data received from the proxy module 33 to the server 20. Module 35; And verify the decrypted data communicating between the proxy module 33 and the agent module 35 and control the communication state between the proxy module 33 and the agent module 35 according to the criteria input to the security policy DB 36. The detection device 30 including the management module 34 to mediate the communication between the client (11, 12) and the server 20.

Description

에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법{Detection system and detecting method for the cryptographic data in SSH}Detection system and detecting method for the cryptographic data in SSH

본 발명은 에스에스에이취(SSH)를 기반으로 한 통신환경에서 암호화된 데이터를 탐지하는 탐지시스템과, 이 탐지시스템을 이용해 실시되는 탐지방법에 관한 것이다.The present invention relates to a detection system for detecting encrypted data in a communication environment based on SSH, and a detection method implemented using the detection system.

SSH 또는 Secure Shell로 지칭되는 보안 프로그램(이하 'SSH'라 함)은, 다른 컴퓨터에 접속하고, 원격 시스템을 통해 명령을 실행하며, 다른 시스템으로 파일 등을 복사할 수 있도록 하는 네트워크 기능을 갖는 보안시스템이다.A security program called SSH or Secure Shell (hereinafter referred to as 'SSH') is a security with a network function that allows you to connect to another computer, execute commands through a remote system, copy files, etc. to another system. System.

SSH는 기존 rsh, rlogin, 텔넷 등을 대체하기 위해 설계되었으며, 강력한 인증 방식이 적용되지 못하거나 보안상 취약한 환경을 갖는 네트워크 환경에서 안전한 통신 보안을 보장한다. 이는 SSH 통신 과정에서 전달되는 데이터에 암호화 기법을 적용해서, 통신 경로에서 데이터가 노출되더라도 노출된 데이터가 제3자가 알 수 없는 암호화된 문자로 표현되어 데이터의 해석이 곤란하기 때문이다.SSH is designed to replace existing rsh, rlogin, telnet, etc., and ensures secure communication security in network environments that do not have strong authentication methods or have weak security. This is because the encryption method is applied to the data transmitted during the SSH communication process, and even though the data is exposed in the communication path, the exposed data is expressed as an encrypted character unknown to a third party, making it difficult to interpret the data.

한편, SSH는 안전한 암호화 보안 터미널 세션을 활용한다. 높은 수준의 보안 알고리즘(3DES, Blowfish, Twofish, Arcfour, Cast128-cbc)과 강력한 인증 방 법(DSA, RSA등의 공개키 기반의 인증 방식)을 통해 MITM(Man In The Middle) 공격과 같은 보안 위협에 대응한다. 전술된 암호 알고리즘은 국제적으로 안정성이 검증된 것으로서, 공개키 기반의 인증 방식을 통해 네트워크 중간에서 접속 신분을 속이거나 소통 전문을 평문화해서 데이터를 가로챌 수 없도록 설계되었다. 또한, 통신 트래픽은 여러 개의 채널(256채널)에서 동적으로 선택 및 변경돼 송수신되므로, 보안성을 극대화할 수 있다.SSH, meanwhile, utilizes a secure encrypted secure terminal session. Security threats such as Man In The Middle (MITM) attacks with high security algorithms (3DES, Blowfish, Twofish, Arcfour, Cast128-cbc) and strong authentication methods (public key-based authentication methods such as DSA and RSA) Corresponds to. The above-described cryptographic algorithm is internationally verified, and is designed not to intercept data by deceiving access identity in the middle of a network or by interfacing communication messages through a public key-based authentication scheme. In addition, communication traffic is dynamically selected and changed in multiple channels (256 channels), thereby maximizing security.

한편, 네트워크 중간 단에서 세션이 전송 중에 데이터가 변경되면, SSH는 해당 데이터를 사용하지 않고 즉시 접속을 해제하여 데이터 변조에 대한 안정성을 강화하는데, 이때 데이터 변조 여부를 확인하기 위해서 강력한 해시 알고리즘의 일종인 SHA-1(avalanche 효과를 가지는 알고리즘 1bit만 변경되어도 데이터 전부가 변경되는 해쉬 알고리즘)을 사용한다.On the other hand, if the data is changed during the session transmission in the middle of the network, SSH immediately releases the connection without using the data to enhance the stability of data tampering, which is a kind of powerful hash algorithm to check whether the data has been tampered with. SHA-1 (a hash algorithm that changes all data even if only 1 bit of the algorithm with the effect of avalanche) is used.

그런데, 전술한 SSH의 강력한 보안성은 통신 당사자 간의 데이터 보안에는 유용한데 반해, 데이터의 내용 확인을 통해 전체 네트워크 및 시스템을 보호하고 통신환경을 관리하는데 있어서는 매우 불리하다. 즉, SSH가 적용된 네트워크 통신환경에서는 네트워크 및 시스템 보호를 위한 보안시스템이 SSH로 보호되는 통신 데이터의 구조와 상태를 전혀 확인할 수 없게 하므로, 문제가 있는 데이터의 차단과, 정상적인 데이터에 첨부된 해킹프로그램 또는 각종 바이러스에 대한 확인이 곤란한 것이다.However, the above-mentioned strong security of SSH is useful for data security between communication parties, but it is very disadvantageous in protecting the entire network and system and managing the communication environment through the contents verification. In other words, in the network communication environment where SSH is applied, the security system for network and system protection cannot check the structure and status of the communication data protected by SSH at all, thus blocking the problem data and the hacking program attached to the normal data. Or identification of various viruses is difficult.

따라서, SSH와 같이 암호화된 데이터를 송수신하는 통신환경에서는, 당해 네트워크의 클라이언트 및/또는 단말기에 보안을 위한 별도의 프로그램을 설치해서 보안시스템을 완성해야 했다. 그런데, 이러한 보안시스템은 완전한 SSH의 구성을 부분적으로 변경 또는 개조해야 하는 것이므로, 당해 보안시스템의 제작을 위해 SSH의 구조에 대한 완벽한 이해와 SSH 변경 또는 개조와 보안시스템을 위한 연구가 병행되어야 한다. 결국, 상기 보안시스템의 완성을 위해서는 시간적으로나 금전적으로 적지않은 소비가 이루어져야 하는 것이다.Therefore, in a communication environment that transmits and receives encrypted data such as SSH, a separate program for security should be installed in clients and / or terminals of the network to complete the security system. However, since such a security system must partially change or modify the configuration of a complete SSH, a complete understanding of the structure of the SSH and a study for the SSH change or modification and security system must be performed together in order to manufacture the security system. As a result, a considerable amount of time and money must be consumed to complete the security system.

물론, 일부 시스템의 해킹 기법인 MITM(Men In The Middle) attack 방식을 이용해서 패킷 스니핑(Packet sniffing)으로 SSH 프로토콜-1(암호화 및 키 교환 방식에 취약점이 있는 이전 버젼)은 볼 수 있을 것이나, SSH 프로토콜-1의 문제점을 보완한 SSH 프로토콜-2가 적용된 네트워크에서는 서버와 클라이언트 간의 통신 내역을 전혀 확인할 수 없고, 스니핑 방식으로도 SSH를 통한 명령문을 세션의 끊김 없이 차단하거나 변조할 수 없으므로, 종래 제시된 보안프로그램은 전술한 문제에 대한 완전한 해결책이라 할 수 없었다.Of course, you can see SSH protocol-1 (previous versions that are vulnerable to encryption and key exchange) by packet sniffing using the hacking technique of some systems, the Men In The Middle (MITM) attack. In the network applied with the SSH protocol-2, which supplements the problem of the SSH protocol-1, the communication history between the server and the client cannot be checked at all, and even a sniffing method cannot block or tamper with the session through the SSH without breaking the session. The proposed security program is not a complete solution to the above problem.

결국, SSH가 적용된 서버에 의한 네트워크 환경에서는 별도의 보안시스템을 통해 통신 내역을 감시할 수 없거나, 감시할 수 있더라도 이식성이나 호환성 문제로 인한 불편함과 기술개발에 따른 경제적인 부담으로 인해, 실제 SSH가 적용된 네트워크의 사용자 환경에서는 별도의 보안시스템의 적용이 전혀 이루어지지 못하고 있는 실정이다.After all, in the network environment by SSH applied server, even though it is impossible to monitor communication details through a separate security system, even if it can be monitored, it is inconvenient due to portability or compatibility problems and economic burden due to technology development. The application of a separate security system has not been achieved at all in the user environment of the network.

이에 본 발명은 상기의 문제를 해소하기 위해 안출된 것으로, 서버나 클라이언트에 보안시스템 구성을 위한 별도의 프로그램 설치 없이도 암호화된 SSH의 데이터 확인과 탐지, 변조 및 차단기능을 수행할 수 있도록 하는 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법의 제공을 기술적 과제로 한다.Accordingly, the present invention has been devised to solve the above problems, and to enable the server or client to perform the function of verifying, detecting, tampering, and blocking encrypted SSH data without installing a separate program for configuring a security system. The technical problem is to provide an encrypted data detection system and detection method in a communication environment.

상기의 기술적 과제를 달성하기 위하여 본 발명은,According to an aspect of the present invention,

SSH와 같이 암호화된 데이터를 클라이언트와 서버 간에 송수신하는 통신환경에서, 클라이언트가 인식하는 서버의 IP와 포트를 하기 프록시모듈의 IP와 포트로 변환하는 주소변환모듈;In a communication environment for transmitting and receiving encrypted data between the client and the server, such as SSH, the address translation module for converting the IP and port of the server recognized by the client to the IP and port of the proxy module;

클라이언트로부터 수신한 암호화된 데이터는 복호화하고, 클라이언트로 전송할 데이터는 암호화하며, 접속한 클라이언트의 인증 확인을 위해 서버와 클라이언트 간의 직접 통신을 매개하는 프록시모듈;A proxy module for decrypting the encrypted data received from the client, encrypting the data to be transmitted to the client, and mediating direct communication between the server and the client for authentication of the connected client;

서버와 통신하면서, 서버로부터 수신한 암호화된 데이터는 복호화해 프록시모듈로 전송하고, 프록시모듈로부터 수신한 데이터는 암호화해 서버로 전송하는 에이전트모듈; 및An agent module for communicating with the server, decrypting the encrypted data received from the server and transmitting the decrypted data to the proxy module, and encrypting the data received from the proxy module and transmitting the encrypted data to the server; And

프록시모듈 및 에이전트모듈 간에 통신하는 복호화된 데이터를 확인하고, 보안정책DB에 입력된 기준에 따라 프록시모듈과 에이전트모듈의 통신상태를 제어하는 관리모듈;A management module for checking decrypted data communicating between the proxy module and the agent module and controlling a communication state between the proxy module and the agent module according to a criterion input to the security policy DB;

을 포함하는 탐지장치가 클라이언트와 서버 간 통신을 중개하는 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템이다.The detection device comprising a is an encrypted data detection system of the CS communication environment to mediate communication between the client and the server.

상기의 기술적 과제를 달성하기 위하여 본 발명은The present invention to achieve the above technical problem

클라이언트와 서버의 통신을 중개하는 탐지장치를 포함하는 탐지시스템에서, 클라이언트가 인식하는 서버의 IP와 포트를 탐지장치의 IP와 포트로 변환하는 트랙픽 유도단계;In the detection system including a detection device for mediating the communication between the client and the server, Traffic detection step of converting the IP and port of the server recognized by the client to the IP and port of the detection device;

클라이언트의 인증 확인을 위해 상기 클라이언트와 서버를 직접 연결하고, 인증 결과에 따라 상기 클라이언트와의 통신상태를 제어하는 인증확인단계;An authentication confirmation step of directly connecting the client and the server to confirm the authentication of the client, and controlling a communication state with the client according to the authentication result;

서버에 의한 클라이언트의 인증이 확인되면, 클라이언트로부터 전송된 암호화된 데이터를 복호화하는 데이터 복호화단계;A data decryption step of decrypting the encrypted data transmitted from the client when authentication of the client by the server is confirmed;

복호화된 데이터를 확인하고, 보안정책의 기준에 따라 당해 클라이언트와의 통신상태를 제어하는 데이터 관리단계;A data management step of checking the decrypted data and controlling a communication state with the client according to a security policy standard;

복호화된 데이터가 확인되면, 데이터를 암호화하는 데이터 암호화단계; 및A data encryption step of encrypting the data when the decrypted data is confirmed; And

암호화단계에서 암호화된 데이터를 서버로 전송하는 전송단계;A transmission step of transmitting the data encrypted in the encryption step to the server;

를 포함하는 에스에스에이취 통신환경의 암호화된 데이터 탐지방법이다.The encrypted data detection method of the CS communication environment comprising a.

상기의 본 발명은, SSH를 기반으로 하는 통신환경에서 서버와 클라이언트 간 게이트웨이 구간에 SSH의 통신환경을 그대로 적용한 탐지장치를 둠으로서, 서버와 클라이언트의 번거로운 변경 또는 수정 없이도 암호화된 데이터를 포함한 SSH 트래 픽을 탐지 및 분석할 수 있고, 이를 통해 SSH가 적용된 네트워크 보안을 강화할 수 있는 효과가 있다.The present invention described above, by placing a detection device that applies the SSH communication environment as it is in the gateway section between the server and the client in the SSH-based communication environment, SSH traffic containing encrypted data without cumbersome changes or modifications of the server and client It can detect and analyze picks, which can enhance SSH network security.

또한, OS에 구축된 모든 Inline gateway나 Proxy gateway 환경의 기존 보안시스템과 병행해 적용 가능하고, 암호화된 데이터의 완전한 복호화는 물론 복호화된 데이터의 정보를 변경할 수도 있으므로, 다양한 네트워크 환경에 범용적으로 적용되어서 강화된 보안기능을 구사할 수 있는 효과가 있다.In addition, it can be applied in parallel with the existing security system of all Inline gateway or Proxy gateway environment built in OS, and it can be applied to various network environments as it can change the information of decrypted data as well as complete decryption of encrypted data. It is effective to use enhanced security functions.

이하 본 발명을 첨부된 예시도면에 의거하여 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 탐지시스템의 일실시예를 도시한 블록도이고, 도 2는 본 발명에 따른 탐지방법의 일실시예를 도시한 플로우차트인 바, 이를 참조하여 설명한다.1 is a block diagram showing an embodiment of a detection system according to the present invention, Figure 2 is a flowchart showing an embodiment of a detection method according to the present invention, it will be described with reference to this.

본 발명에 따른 탐지시스템은 데이터의 관리 및 감독을 위해 클라이언트(11, 12)와 서버(20) 간의 통신 데이터를 탐지하고 이를 확인할 수 있도록 클라이언트(11, 12)와 서버(20)의 통신을 매개하는 탐지장치(30)를 포함하고, 탐지장치(30)는 시스템 동작의 제어 및 관리는 물론 클라이언트(11, 12)와 서버(20) 간 통신의 보안정책을 수정 및 갱신하기 위해 관리자가 조작하는 관리단말기(30a)를 포함한다.The detection system according to the present invention mediates communication between the clients 11 and 12 and the server 20 so as to detect and confirm communication data between the clients 11 and 12 and the server 20 for managing and supervising data. Including the detection device 30, the detection device 30 is operated by the administrator to modify and update the security policy of the communication between the client (11, 12) and the server 20 as well as control and management of the system operation The management terminal 30a is included.

상기 탐지장치(30)는 SSH 기반의 네트워크 환경에 적용될 수도 있고, SSH와 더불어 텔넷(telnet) 등과 같은 다양한 통신프로그램이 병행되는 네트워크 통신 환경에 적용될 수도 있다. 이에 대한 설명은 아래에서 좀 더 상세히 하도록 한다.The detection device 30 may be applied to an SSH-based network environment, or may be applied to a network communication environment in which various communication programs such as telnet and the like are combined with SSH. This will be described in more detail below.

본 발명에 따른 탐지시스템은, 클라이언트(11, 12)와 서버(20) 간 통신을 매개하는 탐지장치(30)를 포함하고, 상기 탐지장치(30)는 서버(20)로 흐르는 클라이언트(11, 12)의 전송 트래픽을 탐지장치(30)로 유도하는 주소변환모듈(31)과, 클라이언트(11, 12)가 탐지장치(30)를 서버(20)로 인식하도록 조성하고 데이터를 암복호화하는 프록시모듈(33)과, 복호화된 데이터를 확인하고 처리하는 관리모듈(34)과, 관리모듈(34) 또는 서버(20)로부터 전송된 데이터를 암복호화해서 서버(20)로 전송하는 에이전트모듈(35)을 포함하고, 관리단말기(30a)를 통해 탐지 및 관리기준 등에 대한 보안정책 정보를 저장하며 갱신되는 보안정책DB(36)와, 클라이언트(11, 12)와 서버(20) 간의 통신 상황을 기록하는 감사로그DB(37)를 더 포함할 수 있다.The detection system according to the present invention includes a detection device 30 for mediating communication between the clients 11 and 12 and the server 20, and the detection device 30 includes a client 11 flowing to the server 20. An address translation module 31 for directing the transmission traffic of 12) to the detection device 30, and a proxy for configuring the clients 11 and 12 to recognize the detection device 30 as the server 20 and encrypting and decrypting the data. Module 33, a management module 34 for checking and processing the decrypted data, and an agent module 35 for decrypting and transmitting the data transmitted from the management module 34 or the server 20 to the server 20. And a security policy DB 36 which stores and updates security policy information on detection and management criteria through the management terminal 30a, and records the communication status between the clients 11 and 12 and the server 20. The audit log DB 37 may be further included.

본 발명에 따른 탐지시스템의 보다 상세한 설명을 위해 탐지방법에 대한 실시예를 함께 설명한다.An embodiment of a detection method will be described together for a more detailed description of the detection system according to the present invention.

S10; 트래픽 유도단계S10; Traffic Driven Step

SSH를 기반으로 하는 클라이언트(11, 12)와 서버(20) 간 네트워크 통신에서, 주소변환모듈(31)은 서버(20)로 전송되는 클라이언트(11, 12)의 데이터 트랙픽을 탐지장치(30)로 유도한다. 이를 위해 iptables의 DNAT가 주소변환모듈(31)에 적용될 수 있다.In the network communication between the clients 11 and 12 and the server 20 based on SSH, the address translation module 31 detects the data traffic of the clients 11 and 12 transmitted to the server 20. To guide. For this purpose, DNAT of iptables may be applied to the address translation module 31.

클라이언트(11, 12)가 서버(20)를 타깃(target)으로 전송한 데이터는 주소변환모듈(31)의 트래픽 유도를 통해 서버(20)가 아닌 탐지장치(30)로 전송된다. 그러나, 클라이언트(11, 12)는 주소변환모듈(31)의 동작으로 현재의 접속이 탐지장 치(30)가 아닌 서버(20)로 인지한다. 이를 위해 주소변환모듈(31)은 서버(20)의 IP주소와 SSH 서비스 포트(TCP 22)로 가는 세션을 프록시모듈(33)이 수신대기하고 있는 IP주소 및 서비스 포트로 변환한다.The data transmitted by the clients 11 and 12 to the target 20 is transmitted to the detection device 30 instead of the server 20 through the traffic induction of the address translation module 31. However, the clients 11 and 12 recognize the current connection as the server 20 instead of the detection device 30 by the operation of the address translation module 31. To this end, the address translation module 31 converts the IP address of the server 20 and the session to the SSH service port (TCP 22) into the IP address and service port that the proxy module 33 is waiting to receive.

다음은 주소 변환 스크립트를 예시한 것이다.The following is an example of an address translation script.

- A PREROUTING -d 192.168.1.123 -p tcp -m tcp --dport 22 -j DNAT --to-destination 127.0.0.1:4001-A PREROUTING -d 192.168.1.123 -p tcp -m tcp --dport 22 -j DNAT --to-destination 127.0.0.1:4001

S20; 인증/채널확인단계S20; Authentication / Channel Verification Step

클라이언트(11, 12)로부터 전송된 데이터는 주소변환모듈(31)의 트래픽 유도를 통해 탐지장치(30)의 프록시모듈(33)로 전달되고, 프록시모듈(33)은 당해 클라이언트(11, 12)의 인증을 위해 서버(20)와의 통신을 매개한다.The data transmitted from the clients 11 and 12 is transferred to the proxy module 33 of the detection device 30 through the traffic derivation of the address translation module 31, and the proxy module 33 is the client 11 or 12. Mediates communication with the server 20 for authentication.

이를 좀 더 상세히 설명하면, SSH 기반으로 통신하는 서버(20)는 안정된 통신환경과 보안 유지 등을 위해 인증된 클라이언트(11, 12)와만 통신한다. 따라서, 임의 클라이언트(11, 12)가 서버(20)와의 통신을 위해 데이터를 전송하면, 서버(20)는 당해 데이터의 전송 주체인 클라이언트(11, 12)가 인증된 클라이언트 인지 여부를 확인한다. 그러나, 본 발명에 따른 탐지시스템은 클라이언트(11, 12)의 데이터 전송이 탐지장치(30)를 경유하고, 탐지장치(30)는 클라이언트(11, 12)와 서버(20) 간의 통신을 관리 및 감독하기 위한 것이므로, 탐지장치(30)에서 클라이언트(11, 12)의 인증이 이루어져야 한다.In more detail, the server 20 for communicating based on SSH communicates only with the authenticated clients 11 and 12 for maintaining a stable communication environment and security. Therefore, when any client 11, 12 transmits data for communication with the server 20, the server 20 checks whether the client 11, 12, which is the subject of the data transmission, is an authenticated client. However, in the detection system according to the present invention, the data transmission of the clients 11 and 12 passes through the detection device 30, and the detection device 30 manages the communication between the clients 11 and 12 and the server 20. Since it is for supervision, the authentication of the client (11, 12) must be made in the detection device (30).

그런데, 본 발명에 따른 탐지시스템은 탐지장치(30)의 보강을 위한 초기 부담을 최소화하기 위해, SSH 기반으로 통신하는 클라이언트(11, 12)와 서버(20)로 된 기존 시스템의 개조를 최소화하면서 상기 탐지장치(30)만을 추가하면 정상적인 시스템 구동이 이루어지도록 하는 것이므로, 클라이언트(11, 12)의 인증은 종전대로 서버(20)에서 진행되도록 하고, 본 발명에 따른 탐지장치(30)는 클라이언트(11, 12)의 인증절차에 있어선 프록시모듈(33)이 클라이언트(11, 12)와 서버(20)를 중개하도록 한다.By the way, the detection system according to the present invention, while minimizing the modification of the existing system consisting of the client 11, 12 and server 20 to communicate on the SSH basis in order to minimize the initial burden for the reinforcement of the detection device 30 Since only the detection device 30 is added to allow normal system operation, the authentication of the clients 11 and 12 is performed in the server 20 as before, and the detection device 30 according to the present invention is a client ( In the authentication procedure of 11 and 12, the proxy module 33 mediates the clients 11 and 12 and the server 20.

한편, SSH는 클라이언트(11, 12)와 서버(20) 간 트래픽 채널을 다수(256개의 채널) 구비하고, 보안을 위해 클라이언트(11, 12)와 서버(20) 간의 유효 채널을 수시로 변경한다. 따라서, 서버(20)는 상기 인증절차와 더불어 클라이언트(11, 12)와 서버(20) 간의 채널 동기 여부를 확인해서, 클라이언트(11, 12)와 서버(20) 간의 데이터 통신을 제한한다.Meanwhile, SSH includes a plurality of traffic channels (256 channels) between the clients 11 and 12 and the server 20, and changes the effective channel between the clients 11 and 12 and the server 20 from time to time for security. Therefore, the server 20 checks the channel synchronization between the clients 11 and 12 and the server 20 together with the authentication procedure, thereby limiting data communication between the clients 11 and 12 and the server 20.

전술한 바와 같이 SSH를 기반으로 하는 네트워크에서, 탐지장치(30)를 매개로 서버(20)와 통신하는 클라이언트(11, 12)는 현재의 통신 대상이 탐지장치(30)가 아닌 서버(20)로 인식하고, 서버(20)는 현재의 통신 대상이 탐지장치(30)가 아닌 클라이언트(11, 12)로 인식하므로, 클라이언트(11, 12)와 탐지장치(30) 및 탐지장치(30)와 서버(20) 각각의 트래픽 채널은 동기화 여부 확인은 독립적으로 이루어질 것이다. 즉, 클라이언트(11, 12)와 탐지장치(30)의 트랙픽 채널과, 탐지장치(30)와 서버(20)의 트래픽 채널이 상이할 수 있는 것이다.In the SSH-based network as described above, the client (11, 12) to communicate with the server 20 via the detection device 30, the server 20, the current communication target is not the detection device 30 And the server 20 recognizes the current communication target as the clients 11 and 12 instead of the detection device 30, and thus the client 11 and 12, the detection device 30, and the detection device 30. Each traffic channel of the server 20 will be independently checked for synchronization. That is, the traffic channels of the clients 11 and 12 and the detector 30 and the traffic channels of the detector 30 and the server 20 may be different.

따라서, 서버(20)는 프록시모듈(33)을 중개로 이루어지는 클라이언트(11, 12)의 인증확인과 더불어 채널의 동기 여부를 확인할 수 있고, 이때 서버(20)는 클라이언트(11, 12)로 인식하고 있는 탐지장치(30)와의 채널 동기 여부를 확인한다. 한편, 프록시모듈(33)은 인증과 채널 동기 여부에 대한 서버(20)의 최종 확인을 대기한다.Therefore, the server 20 may check the synchronization of the channel together with the authentication of the clients 11 and 12, which is the intermediary of the proxy module 33, and at this time, the server 20 recognizes the clients 11 and 12. Check whether the channel is synchronized with the detection device (30). On the other hand, the proxy module 33 waits for the final confirmation of the server 20 for authentication and channel synchronization.

S40; 데이터 복호화단계S40; Data decryption step

관리모듈(34)은 서버(20)의 최종 확인에서 서버(20)가 인증 불가 또는 채널 비동기를 이유로 접속을 거부하면, 인증실패 메시지를 당해 클라이언트(11, 12)로 전송하거나 세션 자체를 끊는다.The management module 34 transmits an authentication failure message to the client 11 or 12 or terminates the session itself when the server 20 rejects the connection for the reason of no authentication or channel asynchronous at the final confirmation of the server 20.

한편, 서버(20)의 최종 확인에서 서버(20)가 인증 가 및/또는 채널 동기를 이유로 접속을 승인하면, 가상의 TTY(TeleTYpewriter)를 생성하여, 당해 클라이언트(11, 12)에서 전송한 데이터를 관리모듈(34)을 통해 에이전트모듈(35)로 전송한다.On the other hand, when the server 20 confirms the connection on the basis of the authentication value and / or the channel synchronization at the final confirmation of the server 20, a virtual TTY (TeleTYpewriter) is generated and the data transmitted from the clients 11 and 12 are transmitted. It is transmitted to the agent module 35 through the management module 34.

가상의 TTY를 프록시모듈(33) 및 에이전트모듈(35)에 적용함으로서, 해당 모듈(33. 35)이 표준 입력(stdin)과 표준 출력(stdout)에 제한받지 않고 SSH 세션을 상호 전달해 줄 수 있는 기반을 이룬다.By applying the virtual TTY to the proxy module 33 and the agent module 35, the module 33. 35 can pass SSH sessions to each other without being limited to standard input (stdin) and standard output (stdout). Forms the basis.

계속해서, 클라이언트(11, 12)로부터 전송된 암호화된 데이터는 프록시모듈(33)에서 복호화된다. 전술한 바와 같이, 클라이언트(11, 12)는 서버(20)와 직접 통신하고 서버(20)는 클라이언트(11, 12)와 직접 통신하는 것으로 인지하나, 실제로 클라이언트(11, 12)와 서버(20)는 탐지장치(30)의 중개로 상호 통신하므로, 클라이언트(11, 12)와 탐지장치(30), 탐지장치(30)와 서버(20) 간의 공개키 및 비밀키의 관리는 별도로 이루어진다.Subsequently, the encrypted data transmitted from the clients 11 and 12 is decrypted by the proxy module 33. As described above, the clients 11 and 12 communicate directly with the server 20 and the server 20 recognizes as communicating directly with the clients 11 and 12, but in practice the clients 11 and 12 and the server 20 ) Communicate with each other through the intermediary of the detection device 30, so that the management of the public and private keys between the clients 11 and 12, the detection device 30, the detection device 30 and the server 20 is performed separately.

상기 프록시모듈(33)은 클라이언트(11, 12)로부터 전송된 암호화된 데이터를 약속된 규칙에 따라 복호화하고, 이를 관리모듈(34)로 전송한다.The proxy module 33 decrypts the encrypted data transmitted from the clients 11 and 12 according to the promised rule and transmits the encrypted data to the management module 34.

S50; 데이터 관리단계S50; Data management stage

관리모듈(34)은 프록시모듈(33)로부터 전송된 복호화된 데이터를 수신하여 이를 탐지 및 확인하고, 보안정책에 따른 데이터의 수집, 탐지, 차단, 변조를 수행한다. The management module 34 receives the decrypted data transmitted from the proxy module 33, detects and confirms it, and collects, detects, blocks, and modifies data according to the security policy.

보안정책DB(36)는 관리모듈(34)과 통신하면서, 복호화된 데이터의 내용에 따라 당해 통신의 허용 여부를 결정할 수 있는 기준을 저장하는 것으로, 클라이언트(11, 12)의 IP주소, 접속ID, 프로그램의 정보, 접속시간 등은 물론, 복호화를 통해 평문화된 데이터의 텍스트를 확인해서 금지된 단어의 기재 여부 등에 따라 당해 데이터의 서버(20) 전송 여부를 결정한다.The security policy DB 36 stores a criterion for determining whether to allow the communication according to the contents of the decrypted data while communicating with the management module 34. The IP addresses and connection IDs of the clients 11 and 12 are stored. , The program information, the access time, and the like, as well as the text of the deciphered data through decoding, determine whether to transmit the server 20 according to whether or not the prohibited word is written.

보안정책DB(36)는 관리단말기(40)의 조작을 통해 갱신될 수 있고, 갱신되는 보안정책의 기준은 전술한 예시 이외에 다양할 수 있다.The security policy DB 36 may be updated through the operation of the management terminal 40, and the criteria of the security policy to be updated may be various in addition to the above-described example.

당해 데이터의 서버(20) 전송이 결정되면 데이터는 에이전트모듈(35)로 전송되고, 전송이 거부되면 해당 클라이언트(11, 12)에 거부메시지를 전송하거나 세션을 끊을 수 있다. 또한, 보안정책에 의하여 허용되지 않은 명령어도 관리모듈(34)에 의해 차단될 수 있고, 해당 세션 전체를 끊거나 적절한 차단 메시지를 클라이언트(11, 12)에 전송할 수 있다.When the transmission of the server 20 is determined, the data is transmitted to the agent module 35. If the transmission is rejected, the data may be transmitted to the client 11 or 12, or the session may be terminated. In addition, a command not allowed by the security policy may be blocked by the management module 34, and the corresponding session may be terminated or an appropriate blocking message may be transmitted to the clients 11 and 12.

한편, 관리모듈(34)은 새로 생성된 세션에 대한 정보를 감사로그DB(37)에 기 록 및 저장한다. 이는 명령어 차단이나 세션을 끊은 후에도 당해 이력정보를 감사로그DB(37)에 기록 및 저장해서, 관리자가 이를 확인할 수 있도록 하기 위함이다.Meanwhile, the management module 34 records and stores information on the newly created session in the audit log DB 37. This is to record and store the history information in the audit log DB 37 even after the command is blocked or the session is terminated, so that the administrator can check it.

통상적으로, 네트워크의 통합 콘솔 접속(Telnet, SSH)은 접속 대상 서버의 논리적 장치인 '/dev/pts0X'를 통해 수행하게 된다. 이때 콘솔의 표준 입/출력은 통신구간을 지나 클라이언트의 접속 프로그램의 화면에 입/출력되게 되는 구조인데, 본 발명에 따른 탐지시스템은 '/dev/pts0X'를 대신해서 가상의 '/dev/tty0X'를 사용해 표준 입/출력을 무시하게 하거나 데이터 길이가 '0'인 비어있는 데이터만을 전송하게 한다. 따라서, 인증 및 채널의 동기 여부 확인절차를 수행한 서버(20)는 관리모듈(34)에 의한 차단에도 불구하고, 시스템 에러없이 안정된 동작을 지속할 수 있다.In general, the integrated console connection (Telnet, SSH) of the network is performed through '/ dev / pts0X', which is a logical device of the connection target server. In this case, the standard input / output of the console is a structure that is input / output on the screen of the client access program through the communication interval, and the detection system according to the present invention substitutes the virtual '/ dev / tty0X' for '/ dev / pts0X'. Use 'to ignore standard input / output or transfer only empty data with a data length of' 0 '. Therefore, the server 20 which has performed the authentication and channel synchronization check procedure can continue stable operation without a system error despite the blocking by the management module 34.

S60; 데이터 암호화단계S60; Data encryption step

관리모듈(34)의 전송 허가를 통해 전달된 데이터는 에이전트모듈(35)로 전송된 후 다시 암호화되어 서버(20)로 전송된다. The data transmitted through the transmission permission of the management module 34 is transmitted to the agent module 35 and then encrypted again and transmitted to the server 20.

에이전트모듈(35)은 서버(20) 입장에서는 클라이언트(11, 12)로 인지되며, 프록시모듈(33)로부터 수신한 데이터는 클라이언트(11, 12)의 사용자가 키스트로크한 것처럼 서버(20)에 전송된다. The agent module 35 is recognized as the clients 11 and 12 from the viewpoint of the server 20, and the data received from the proxy module 33 is transmitted to the server 20 as if the user of the clients 11 and 12 keystrokes. Is sent.

한편, 본 발명에 따른 실시예에서는 관리모듈(34)이 복호화된 데이터를 확인하는 경로인 프록시모듈(33)과 에이전트모듈(35) 간의 통신 환경으로서 UDS(Unix Domain Socket)가 적용될 수 있다. 결국, 프록시모듈(33)과 에이전트모듈(35)의 데이터 통신은 pts나 tty의 표준 입/출력 통신구조 대신 UDS로 이루어지고, 데이터를 수신한 에이전트모듈(35)은 이를 암호화해서 pts나 tty의 통신구조를 통해 서버(20)로 전달한다. 이에 대한 설명은 아래에서 상세히 한다.Meanwhile, in the embodiment of the present invention, a Unix Domain Socket (UDS) may be applied as a communication environment between the proxy module 33 and the agent module 35, which is a path through which the management module 34 checks the decrypted data. As a result, the data communication between the proxy module 33 and the agent module 35 is made of UDS instead of the standard input / output communication structure of pts or tty, and the agent module 35 receiving the data encrypts the data of the pts or tty. Transfer to server 20 through a communication structure. Description of this will be described in detail below.

S70; 전송단계S70; Transmission step

에이전트모듈(35)은 데이터를 암호화한 후 서버(20)로 전송하고, 서버(20)는 이를 수신하여 통상적인 클라이언트(11, 12)와 서버(20) 간의 통신절차를 수행한다.The agent module 35 encrypts the data and transmits the data to the server 20, and the server 20 receives the data and performs a communication procedure between the general clients 11 and 12 and the server 20.

전술한 바와 같이, SSH 기반 네트워크 환경에서 클라이언트(11, 12)로부터 전송된 암호화된 데이터는 탐지장치(30)를 거쳐 서버(20)로 전송되고, 구체적으로는 클라이언트(11, 12)로부터 전송된 데이터는 프록시모듈(33), 관리모듈(34) 및 에이전트모듈(35)을 통해 서버(20)로 전송된다. 이때, 프록시모듈(33)은 클라이언트의 암호화된 데이터를 복호화하고, 에이전트모듈(35)은 복호화된 데이터를 암호화해서 서버(20)로 전송한다.As described above, in the SSH-based network environment, the encrypted data transmitted from the clients 11 and 12 is transmitted to the server 20 through the detection device 30, specifically, transmitted from the clients 11 and 12. Data is transmitted to the server 20 through the proxy module 33, the management module 34 and the agent module 35. At this time, the proxy module 33 decrypts the encrypted data of the client, and the agent module 35 encrypts the decrypted data and transmits the encrypted data to the server 20.

반면, 서버(20)로부터 전송된 암호화된 데이터는 에이전트모듈(35)로 전송되고, 에이전트모듈(35)은 암호화된 데이터를 복호화하며, 프록시모듈(33)은 복호화된 데이터를 암호화해서 클라이언트(11, 12)로 전송한다.On the other hand, the encrypted data transmitted from the server 20 is transmitted to the agent module 35, the agent module 35 decrypts the encrypted data, the proxy module 33 encrypts the decrypted data to the client 11 , 12).

후자의 과정은 앞서 설명한 데이터의 흐름과 동일하므로, 여기서는 그 설명을 생략한다.The latter process is the same as the flow of data described above, so the description thereof is omitted here.

도 3은 본 발명에 따른 탐지시스템의 다른 실시예를 도시한 블록도이고, 도 4는 본 발명에 따른 탐지방법의 다른 실시예를 도시한 플로우차트인 바, 이를 참조해 설명한다.3 is a block diagram illustrating another embodiment of a detection system according to the present invention, and FIG. 4 is a flowchart illustrating another embodiment of the detection method according to the present invention.

본 발명에 따른 탐지시스템은 통신형식 확인모듈(32)을 더 포함하면서, SSH를 기반으로 OS에 구축된 모든 Inline gateway나 Proxy gateway 환경의 기존 보안시스템과 병행해 적용 가능하다.The detection system according to the present invention further includes a communication type confirmation module 32, and can be applied in parallel with an existing security system of all Inline gateway or Proxy gateway environments based on SSH.

상기 주소변환모듈(31)에 의해 유도된 클라이언트(11, 12)의 데이터 통신은 통신형식 확인모듈(32)을 통해 어떠한 통신형식이 적용되었는지 확인되고, 통신형식 확인모듈(32)은 확인된 통신형식에 맞게 이를 처리하는 것이다.The data communication of the clients 11 and 12 induced by the address translation module 31 confirms which communication type is applied through the communication type checking module 32, and the communication type checking module 32 confirms the confirmed communication. This is handled according to the format.

따라서, 본 발명에 따른 탐지방법은 트래픽 유도단계(S10) 후, 통신형식 확인단계(S20)가 진행된다. Therefore, in the detection method according to the present invention, after the traffic derivation step (S10), the communication type confirmation step (S20) is performed.

S20; 통신형식 확인단계S20; Communication type check step

본 발명에 따른 탐지시스템이 Telnet과 SSH를 동시에 처리하도록 하기 위해 PTS(Pseudo TTY Slave) 검사 루틴을 통해 세션의 특징에 따라 Inline gateway나 Proxy gateway 환경의 기존 보안시스템으로 동작하거나 아니면 SSH 세션을 처리할 수 있는 방식으로 분기하여 동작하도록 구성한다.In order to allow the detection system according to the present invention to simultaneously handle Telnet and SSH, it operates as an existing security system in an Inline gateway or Proxy gateway environment or processes an SSH session according to the characteristics of the session through a PTS (Pseudo TTY Slave) inspection routine. Configure branching to work in any way you can.

접속하고자 하는 서버(20)의 서비스가 Telnet인지 SSH인지 구분하는 Pseudo code는 다음과 같다.Pseudo code for identifying whether the service of the server 20 to be connected is Telnet or SSH is as follows.

[Pseudo code][Pseudo code]

/**
* @brief
* 입력된 pts_ip와 pts_port를 기반으로 해당 서비스가 Telnet인지 SSH인지 판단하는 함수
* @param pts_ip : PTS 서버의 IP 주소
* @param pts_ip : PTS 서비스 Port
* @return PTS_TYPE_TELNET(telnet), SSH_DEFAULT_PORT(SSH)
* @remark
* 단계별 ssh_server.lst 검사, 실제 접속, 입력 포트 검사 작업을 복합적으로 수행한다.
*/
integer check_pts_type(String *pts_ip, Integer pts_port)
{
integer type;

/* 1단계: 이미 기록된 SSH 서버의 리스트에 해당 서비스가 있다면 SSH 서비스로 판단 */
type = check_server_list(pts_ip, pts_port);
if ( PTS_TYPE_UNKNOWN != type )
return type;

/* 2단계:IP주소와 port를 기반으로 TCP 접속을 하여 응답된 정보를 기준으로 SSH여부 판단 */
type = check_pts_socket(pts_ip, pts_port);
if ( PTS_TYPE_UNKNOWN != type )
return type;

/* 3단계: 기록된 적이 없고 서버의 응답도 없는 경우 port를 기반으로 SSH 여부 판단 */
if ( SSH_DEFAULT_PORT == pts_port )
return PTS_TYPE_SSH;

/* 4단계: 위 모든 검사에서도 SSH인지 Telnet인지 판단할 수 없는 경우, 기존 코드로 유도 */
return PTS_TYPE_TELNET;
}
/ **
* @brief
* Function to determine whether the service is Telnet or SSH based on the input pts_ip and pts_port
* @param pts_ip: IP address of the PTS server
* @param pts_ip: PTS service port
* @return PTS_TYPE_TELNET (telnet), SSH_DEFAULT_PORT (SSH)
* @remark
* Perform ssh_server.lst check, real connection and input port check in combination.
* /
integer check_pts_type (String * pts_ip, Integer pts_port)
{
integer type;

/ * Step 1: If the service is in the list of already recorded SSH server, it is regarded as SSH service * /
type = check_server_list (pts_ip, pts_port);
if (PTS_TYPE_UNKNOWN! = type)
return type;

/ * Step 2: TCP connection based on IP address and port is used to determine SSH based on the information returned * /
type = check_pts_socket (pts_ip, pts_port);
if (PTS_TYPE_UNKNOWN! = type)
return type;

/ * Step 3: Determine SSH based on port if never logged and no response from server * /
if (SSH_DEFAULT_PORT == pts_port)
return PTS_TYPE_SSH;

/ * Step 4: If all of the above checks can't determine whether SSH or Telnet, lead to legacy code * /
return PTS_TYPE_TELNET;
}

이러한 검사 루틴을 통해 접속하려고 하는 서버(20)가 SSH 서버로 확인되면, 프록시모듈(33)과 에이전트모듈(35) 간 평문 통신 구간을 Unix Domain Socket으로 구성한다. 본 발명에 따른 탐지시스템에서 다수의 클라이언트(11, 12)와 다수의 서버(20) 간의 통신 채널을 중복이 없이 구성하기 위해서 Unix Domain Socket의 경로를 다음과 같은 방식으로 자동 생성시킨다.When the server 20 to be connected through the check routine is confirmed as the SSH server, the plain text communication section between the proxy module 33 and the agent module 35 is configured as a Unix Domain Socket. In the detection system according to the present invention, in order to configure a communication channel between a plurality of clients 11 and 12 and a plurality of servers 20 without duplication, a path of a Unix Domain Socket is automatically generated in the following manner.

[Unix Domain Socket의 경로][Path to Unix Domain Socket]

- 출발지IP주소: 192.168.1.69, 출발지포트번호:1234이고 목적지IP주소: 192.168.1.70, 목적지포트번호: 22인 경우
- Unix Domain Socket 경로는/?
ssh_192.168.1.69_1234_192.168.1.70_22. sock으로 생성된다.-Departure IP Address: 192.168.1.69, Departure Port Number: 1234, Destination IP Address: 192.168.1.70, Destination Port Number: 22
-Where is the Unix Domain Socket path?
ssh_192.168.1.69_1234_192.168.1.70_22. generated by sock

결국, Inline gateway나 Proxy gateway 환경으로 통신하는 기존 보안시스템의 경로에 본 발명에 따른 탐지시스템을 적용할 경우에는, 기존 보안 시스템의 TCP/IP Socket으로 송/수신하던 부분을 같은 socket함수인 Unix Domain Socket을 적용해서 IP주소와 포트 정보를 대신한다.As a result, when the detection system according to the present invention is applied to the path of the existing security system that communicates through the Inline gateway or Proxy gateway environment, the same socket function is used for the Unix Domain that transmits / receives the TCP / IP socket of the existing security system. Apply Socket to replace IP address and port information.

따라서, 상기 통신형식 확인모듈(32)은 클라이언트(11, 12)와 서버(20) 간의 통신 경로를 확인해서, SSH로 확인되면 주소변환모듈(31)을 통해 수신한 데이터를 프록시모듈(33), 관리모듈(34) 및 에이전트모듈(35)을 경유해 전송 처리하도록 하고, 그 외 환경으로 확인되면 주소변환모듈(31)을 통해 수신한 데이터를 관리모듈(34)에서 직접 확인한 후 당해 서버(20)로 전송되도록 한다(S80; 데이터 관리단계).Therefore, the communication type checking module 32 checks the communication path between the clients 11 and 12 and the server 20, and if it is confirmed with SSH, the proxy module 33 receives the data received through the address translation module 31. In addition, when the transmission is performed through the management module 34 and the agent module 35, and the other environment is confirmed, the data received through the address conversion module 31 is directly checked by the management module 34 and then the server ( 20) (S80; data management step).

도 1은 본 발명에 따른 탐지시스템의 일실시예를 도시한 블록도이고,1 is a block diagram showing an embodiment of a detection system according to the present invention;

도 2는 본 발명에 따른 탐지방법의 일실시예를 도시한 플로우차트이고,2 is a flowchart showing an embodiment of a detection method according to the present invention;

도 3은 본 발명에 따른 탐지시스템의 다른 실시예를 도시한 블록도이고,3 is a block diagram showing another embodiment of a detection system according to the present invention;

도 4는 본 발명에 따른 탐지방법의 다른 실시예를 도시한 플로우차트이다.4 is a flowchart illustrating another embodiment of a detection method according to the present invention.

Claims (8)

삭제delete 삭제delete 삭제delete 삭제delete 탐지장치(30)를 매개로 클라이언트(11, 12)와 서버(20)의 통신을, SSH를 기반으로 중개하는 시스템에서, 클라이언트(11, 12)가 인식하는 서버(20)의 IP와 포트를 주소변환모듈(31)이 탐지장치(30)의 IP와 포트로 변환하는 트래픽 유도단계;In the system of mediating communication between the clients 11 and 12 and the server 20 through the detection device 30 based on SSH, the IP and port of the server 20 recognized by the clients 11 and 12 are determined. A traffic derivation step of the address conversion module 31 converting the IP and the port of the detection device 30; 프록시모듈(33)은 클라이언트(11, 12)와 서버(20)를 직접 연결해서 서버(20)가 클라이언트(11, 12)의 인증 여부를 확인할 수 있도록 하고, 클라이언트(11, 12)와 탐지장치(30)를 연결하는 다수의 트래픽 채널 중 클라이언트(11, 12)에 설정된 트래픽 채널과 탐지장치(30)에 설정된 트래픽 채널의 일치 여부를 확인해서, 클라이언트(11, 12)와 탐지장치(30) 간의 통신을 제어하는 인증확인단계;The proxy module 33 directly connects the clients 11 and 12 and the server 20 so that the server 20 can check whether the clients 11 and 12 are authenticated, and the clients 11 and 12 and the detection device. Of the plurality of traffic channels connecting 30, the traffic channels set in the clients 11 and 12 and the traffic channels set in the detection device 30 are checked to match each other, and thus the clients 11 and 12 and the detection device 30 are identified. Authentication confirmation step of controlling the communication between; 클라이언트(11, 12)와 탐지장치(30)의 통신이 유지되는 상태에서, 클라이언트(11, 12)로부터 전송된 암호화된 데이터를 프록시모듈(33)이 복호화하는 데이터 복호화단계;A data decryption step of the proxy module 33 decrypting the encrypted data transmitted from the clients 11 and 12 while the communication between the clients 11 and 12 and the detection apparatus 30 is maintained; 관리모듈(34)은 복호화된 데이터를 확인해서, 보안정책DB(36)에 입력된 기준에 따라 클라이언트(11, 12)와의 통신을 제어하는 데이터 관리단계;The management module 34 checks the decrypted data and controls the communication with the clients 11 and 12 according to the criteria input to the security policy DB 36; 복호화된 데이터를 에이전트모듈(35)이 암호화하는 데이터 암호화단계; 및A data encryption step of encrypting the decrypted data by the agent module 35; And 에이전트모듈(35)이 탐지장치(30)와 서버(20)의 트래픽 채널을 통해 암호화된 데이터를 서버(20)로 전송하는 전송단계;The agent module 35 transmitting the encrypted data to the server 20 through the traffic channel of the detection device 30 and the server 20; 를 포함하는 것을 특징으로 하는 에스에스에이취 통신환경의 암호화된 데이터 탐지방법.Encrypted data detection method of the CS communication environment comprising a. 삭제delete 제 5 항에 있어서,The method of claim 5, 상기 탐지장치(30)에서 복호화된 데이터의 통신 구간은 Unix Domain Socket으로 구성된 것을 특징으로 하는 에스에스에이취 통신환경의 암호화된 데이터 탐지방법.The communication section of the data decrypted by the detection device 30 is Unix Domain Socket characterized in that the encrypted data detection method of the HS communication environment. 제 5 항에 있어서,The method of claim 5, 상기 트래픽 유도단계를 통해 탐지장치(30)로 전송된 클라이언트(11, 12)의 데이터를 확인해서, 클라이언트(11, 12)와 서버(20)의 통신 경로가 SSH, Inline gateway 또는 Proxy gateway 중 어느 하나인 것을 확인하고, 데이터 확인을 위한 처리 경로를 선택 결정하는 통신형식 확인단계를 더 포함하는 것을 특징으로 하는 에스에스에이취 통신환경의 암호화된 데이터 탐지방법.By checking the data of the client (11, 12) transmitted to the detection device 30 through the traffic derivation step, the communication path between the client (11, 12) and the server 20 is any of SSH, Inline gateway or Proxy gateway The method of claim 1, further comprising a communication type checking step of selecting and determining a processing path for data confirmation.
KR1020080084480A 2008-08-28 2008-08-28 Detection system and detecting method for the cryptographic data in SSH KR101040543B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080084480A KR101040543B1 (en) 2008-08-28 2008-08-28 Detection system and detecting method for the cryptographic data in SSH

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080084480A KR101040543B1 (en) 2008-08-28 2008-08-28 Detection system and detecting method for the cryptographic data in SSH

Publications (2)

Publication Number Publication Date
KR20100025788A KR20100025788A (en) 2010-03-10
KR101040543B1 true KR101040543B1 (en) 2011-06-16

Family

ID=42177212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080084480A KR101040543B1 (en) 2008-08-28 2008-08-28 Detection system and detecting method for the cryptographic data in SSH

Country Status (1)

Country Link
KR (1) KR101040543B1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395830B1 (en) * 2014-01-13 2014-05-16 주식회사 피앤피시큐어 Session checking system via proxy and checkhing method thereof
CN109547489B (en) * 2018-12-31 2021-08-03 南京理工大学 Detection method for Obfuscated-Openssh protocol traffic
CN110753061A (en) * 2019-10-25 2020-02-04 北京浪潮数据技术有限公司 SSH reinforcing method, device and related components
US11729217B2 (en) * 2021-03-24 2023-08-15 Corelight, Inc. System and method for determining keystrokes in secure shell (SSH) sessions
KR102571612B1 (en) 2023-05-30 2023-08-29 주식회사 피앤피시큐어 Proxy-based security methods and security systems through SSH tunneling

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5444782A (en) 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US20050108524A1 (en) 2003-11-13 2005-05-19 Witchey Nicholas J. Secure data transfer using an embedded system
KR20080068703A (en) * 2005-10-12 2008-07-23 블룸버그 파이낸스 엘.피. System and method for providing secure data transmission

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5444782A (en) 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US20050108524A1 (en) 2003-11-13 2005-05-19 Witchey Nicholas J. Secure data transfer using an embedded system
KR20080068703A (en) * 2005-10-12 2008-07-23 블룸버그 파이낸스 엘.피. System and method for providing secure data transmission

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
인용발명 : Vipul Gupta 외 1명, "KSSL: Experiments in Wireless Internet Security,"Sun Microsystems, INc. SMLI TR-2001-103 (2001.11.)*

Also Published As

Publication number Publication date
KR20100025788A (en) 2010-03-10

Similar Documents

Publication Publication Date Title
US11483143B2 (en) Enhanced monitoring and protection of enterprise data
EP3629181B1 (en) Privileged access auditing
CN101605137B (en) Safe distribution file system
KR101992976B1 (en) A remote access system using the SSH protocol and managing SSH authentication key securely
Iqbal et al. Security issues in software defined networking (SDN): risks, challenges and potential solutions
US20090052675A1 (en) Secure remote support automation process
JP2019526993A (en) Network function virtualization system and verification method
US10735195B2 (en) Host-storage authentication
CN105027493A (en) Secure mobile app connection bus
JP2013516685A (en) System and method for enforcing computer policy
CN113411190B (en) Key deployment, data communication, key exchange and security reinforcement method and system
US10586065B2 (en) Method for secure data management in a computer network
US20230037520A1 (en) Blockchain schema for secure data transmission
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
CN111988289B (en) EPA industrial control network security test system and method
KR101040543B1 (en) Detection system and detecting method for the cryptographic data in SSH
JP2012048576A (en) Data transmission processing device and data transmission program
CN113794563B (en) Communication network security control method and system
Junghanns et al. Engineering of secure multi-cloud storage
KR101858207B1 (en) System for security network
JP6289656B2 (en) Method and computer network infrastructure for communication between secure computer systems
CN109587134B (en) Method, apparatus, device and medium for secure authentication of interface bus
Han et al. Scalable and secure virtualization of HSM with ScaleTrust
Song et al. Name-signature lookup system: A security enhancement to named data networking
CN110661803A (en) Gate encryption control system and method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140530

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150529

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190329

Year of fee payment: 9