KR101125854B1 - Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 - Google Patents

Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 Download PDF

Info

Publication number
KR101125854B1
KR101125854B1 KR1020110106093A KR20110106093A KR101125854B1 KR 101125854 B1 KR101125854 B1 KR 101125854B1 KR 1020110106093 A KR1020110106093 A KR 1020110106093A KR 20110106093 A KR20110106093 A KR 20110106093A KR 101125854 B1 KR101125854 B1 KR 101125854B1
Authority
KR
South Korea
Prior art keywords
packet
information
private
session
address
Prior art date
Application number
KR1020110106093A
Other languages
English (en)
Inventor
장동호
이경헌
Original Assignee
주식회사 파이오링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파이오링크 filed Critical 주식회사 파이오링크
Priority to KR1020110106093A priority Critical patent/KR101125854B1/ko
Application granted granted Critical
Publication of KR101125854B1 publication Critical patent/KR101125854B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/03Protocol definition or specification 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 일 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 특정 세션의 패킷의 사설 IP 주소가 필요로 될 경우, 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 특정 세션의 패킷의 특정 NAT 장치의 IP 주소, 데스티네이션 IP 주소 및 패킷 ID 정보를 관리 시스템이 수신하는 단계, (b) 관리 시스템이, 자신이 유지하고 있는 NAT 장치의 IP 주소와 사설망 스위치의 IP 주소 사이의 맵핑 테이블을 참조로 하여, 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보를 송신하는 단계, 및 (c) 사설망 스위치가 자신이 유지하고 있는 맵핑 테이블에 포함된 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보와 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 사이의 맵핑 데이터를 참조로 하여 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 특정 세션의 패킷의 사설 IP 주소를 관리 시스템이 획득하는 단계를 포함하는 방법이 제공된다. 본 발명에 의하면, 공인망에 존재하는 보안 장치로 하여금 분석의 대상이 되는 패킷의 사설 IP 주소를 정확하게 파악하여 보안 위협에 효과적으로 대처할 수 있게 하는 효과가 달성된다.

Description

NAT 이전의 사설 IP 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체{METHOD, APPRATUS, SYSTEM AND COMPUTER-READABLE RECORDING MEDIUM FOR ACQUIRING INFORMATION ON PRIVATE IP ADDRESS BEFORE NAT}
본 발명은 NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로, 보다 상세하게는, NAT가 수행되는 네트워크 환경에서 패킷의 헤더 정보와 사설망 스위치, NAT 장치, 공인망 보안 장치, 별개의 관리 시스템 중 적어도 일부에서 유지하고 있는 맵핑 테이블을 이용하여 NAT 이전의 사설망에 위치하는 소스 호스트의 사설 IP 주소 정보를 획득할 수 있도록 하는 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.
네트워크 주소 변환(NAT: Network Address Translation, 이하 "NAT"라고 함)은 IP 패킷(즉, 데이터그램(datagram))의 헤더(header) 내의 IP 주소 정보를 변경하는 것을 의미하는데, 일반적으로 사설망에 존재하는 다수의 사설 IP 주소를 하나의 공인망 IP 주소로 변환하는 기술로서 활용되고 있다. NAT에 의할 경우 사설망에 존재하는 다수의 호스트의 각각의 사설 IP 주소를 하나의 공인 IP 주소로 맵핑시킬 수 있기 때문에, 한정된 IP 주소 자원을 절약할 수 있고 NAT 이전의 사설망에 존재하는 다수의 호스트(host)의 사설 IP 주소에 관한 정보를 NAT 너머의 공인망에 공개하지 않음으로써 공인망으로부터의 보안 위협을 차단할 수 있다는 장점이 있다.
NAT에 관한 종래기술로서 한국공개특허공보 제10-2911-0044585호에 개시된 기술을 예로 들 수 있다. 보다 구체적으로, 상기 종래기술은 라우팅 확장성과 이동성을 지원하기 위해 개선된 LISP(Locator/Identifier Separation Protocol)와 ALT(Alternative Logical Topology)를 결합한 인터넷 구조에 IPv6 기반 네트워크 주소 변환 기법을 적용하기 위한 방법에 관한 것이다.
하지만, 위의 종래기술에서와 같이 NAT를 사용하게 되면, 호스트 내의 프로세스를 지칭해야 하는 포트가 IP 주소에 의하여 지칭되어야 할 호스트를 지칭하게 되는 기형적인 상황이 발생하게 되고, NAT를 수행하기 위하여 네트워크 레이어(network layer, L3)보다 높은 상위 레이어의 데이터까지 처리하는 과정에서 네트워크 성능을 저하시킬 수 있다는 문제점이 발생한다.
특히, 네트워크 상에 존재하는 데스티네이션 호스트(destination host)가 도스(DoS: Denial of Service) 공격과 같이 악의적인 패킷에 의하여 공격을 받는 등의 상황에서는 보안 시스템이 해당 데스티네이션 호스트로 유입되는 패킷의 소스 호스트의 IP 주소를 알아내야 할 필요가 있는데, 만약 도스 공격을 실행한 소스 호스트(source host), 즉, 좀비 PC가 NAT 이전의 사설망에 존재한다면 일반적으로 해당 사설망 너머의 공인망에 위치할 뿐인 보안 시스템으로서는 해당 좀비 PC의 실제 IP 주소, 즉, 사설 IP 주소를 알아내기 어렵다는 중대한 문제점이 발생하게 된다.
따라서, 패킷에 대한 NAT가 수행되는 네트워크 환경에서도 공인망에 존재하는 보안 시스템이 사설망에 존재하는 소스 호스트의 사설 IP 주소에 관한 정보를 획득할 수 있도록 하는 기술이 요구되고 있는 실정이다.
본 발명은 상술한 문제점을 모두 해결하는 것을 그 목적으로 한다.
또한, 본 발명은 NAT가 수행되는 네트워크 환경에서도 NAT 너머의 공인망에 존재하는 보안 장치가 NAT 이전의 사설망에 존재하는 소스 호스트의 사설 IP 주소 정보를 손쉽게 획득할 수 있도록 하는 것을 다른 목적으로 한다.
또한, 본 발명은 NAT 이전의 사설 IP 주소 정보를 획득하기 위하여 네트워크 자원 상에 유지되는 맵핑 테이블 또는 패킷 헤더 정보의 볼륨을 최소화할 수 있는 다양한 알고리즘을 제공하는 것을 또 다른 목적으로 한다.
상기 목적을 달성하기 위한 본 발명의 대표적인 구성은 다음과 같다.
본 발명의 일 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템이 수신하는 단계, (b) 상기 관리 시스템이, 자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 송신하는 단계, 및 (c) 상기 사설망 스위치가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템이 획득하는 단계를 포함하는 방법이 제공된다.
본 발명의 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치에 연동된 미러링 서버가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템이 수신하는 단계, (b) 상기 관리 시스템이, 자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 송신하는 단계, 및 (c) 상기 사설망 스위치에 연동된 미러링 서버가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템이 획득하는 단계를 포함하는 방법이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 사설망 스위치가 수신할 수 있도록 상기 특정 세션의 패킷의 NAT 장치의 IP 주소를 갖는 특정 NAT 장치가 포트 포워딩 룰(port forwarding rule)을 설정하는 단계, 및 (b) 상기 포트 포워딩 룰을 이용하여, 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치가 획득하도록 지원하는 단계를 포함하는 방법이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 패킷이 소스 호스트(source host)로부터 사설망 스위치를 거쳐 NAT 장치로 전달되고, 상기 NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장비가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보로부터 상기 특정 세션에서 상기 소스 호스트의 패킷을 전달한 특정 NAT 장치의 IP 주소를 획득하고, 상기 특정 NAT 장치에 상기 특정 NAT 장치에 접근 가능한 CLI(Command Line Interface)에 접속할 수 있는 계정 정보를 송신하는 단계, (b) 상기 계정 정보가 올바를 경우, 상기 CLI를 통하여 상기 특정 NAT 장치에 상기 특정 세션의 패킷의 소스 호스트의 공인 IP 주소 및 공인 포트 정보를 송신하는 단계, 및 (c) 상기 특정 NAT 장치가 자신이 유지하고 있는 공인 IP 주소 및 공인 포트 정보와 사설 IP 주소 및 사설 포트 정보 사이의 맵핑 테이블을 참조로 하여 판독한 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 단계를 포함하는 방법이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하는 단계 - 상기 맵핑 테이블은 상기 수신되는 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 수신되는 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 포함함 -, (b) NAT가 수행됨에 따라 특정 세션의 패킷의 사설 IP 주소가 공인 IP 주소로 변환된 상태에서, 상기 사설망 스위치가 외부 시스템으로부터 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 단계, 및 (c) 상기 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 외부 시스템에 송신하는 단계를 포함하는 방법이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 시스템에 있어서, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 패킷 헤더 정보 수신부, NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보가 송신될 수 있도록 하는 사설망 스위치 IP 주소 획득부, 및 상기 사설망 스위치가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부를 포함하는 시스템이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치에 연동된 미러링 서버가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 패킷 헤더 정보 수신부, NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보가 송신될 수 있도록 하는 사설망 스위치 IP 주소 획득부, 및 상기 사설망 스위치에 연동된 미러링 서버가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부를 포함하는 시스템이 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하고, 상기 세션의 패킷에 대해 NAT가 수행되며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소를 공인 IP 주소로 변환하는 NAT 수행부, 및 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 공인 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 사설망 스위치가 수신할 수 있도록 포트 포워딩 룰(port forwarding rule)을 설정함으로써, 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치가 획득하도록 지원하는 포트 포워딩 룰 관리부를 포함하는 장치가 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 패킷이 소스 호스트(source host)로부터 사설망 스위치를 거쳐 NAT 장치로 전달되고, 상기 NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사가 수행되는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보로부터 상기 특정 세션에서 상기 소스 호스트의 패킷을 전달한 특정 NAT 장치의 IP 주소를 획득하는 패킷 헤더 정보 유지부, 및 상기 특정 NAT 장치에 상기 특정 NAT 장치에 접근 가능한 CLI(Command Line Interface)에 접속할 수 있는 계정 정보를 송신하고, 상기 계정 정보가 올바를 경우, 상기 CLI를 통하여 상기 특정 NAT 장치에 상기 특정 세션의 패킷의 소스 호스트의 공인 IP 주소 및 공인 포트 정보를 송신하고, 상기 특정 NAT 장치가 자신이 유지하고 있는 공인 IP 주소 및 공인 포트 정보와 사설 IP 주소 및 사설 포트 정보 사이의 맵핑 테이블을 참조로 하여 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부를 포함하는 장치가 제공된다.
본 발명의 또 다른 태양에 따르면, NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 맵핑 테이블(mapping table)을 관리하는 맵핑 테이블 관리부 - 상기 맵핑 테이블은 상기 수신되는 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 수신되는 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 포함함 -, 및 NAT가 수행됨에 따라 특정 세션의 패킷의 사설 IP 주소가 공인 IP 주소로 변환된 상태에서, 외부 시스템으로부터 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하고, 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 외부 시스템에 송신하는 사설 IP 주소 판독부를 포함하는 장치가 제공된다.
본 발명의 또 다른 태양에 따르면, 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT(Network Address Translation) 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, NAT 이전의 사설 IP 주소 정보를 획득하기 위한 시스템에 있어서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 자신이 유지하고 있는 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 참조로 하여 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템으로 송신하는 공인망 보안 장치, 자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 송신하는 관리 시스템, 및 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 판독된 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템으로 송신하는 사설망 스위치를 포함하는 시스템이 제공된다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 장치, 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하기 위한 컴퓨터 판독 가능한 기록 매체가 더 제공된다.
본 발명에 의하면, NAT가 수행되는 네트워크 환경에서도 NAT 다음의 공인망에 존재하는 보안 장치가 NAT 이전의 사설망에 존재하는 소스 호스트의 사설 IP 주소 정보를 효율적으로 획득할 수 있으므로, 공인망에 존재하는 보안 장치로 하여금 분석의 대상이 되는 패킷의 사설 IP 주소 정보를 정확하게 파악하여 보안 위협에 효과적으로 대처할 수 있게 하는 효과가 달성된다.
또한, 본 발명에 의하면, NAT 이전의 사설 IP 주소 정보를 획득하기 위하여 네트워크 자원 상에 유지되는 맵핑 테이블 또는 패킷 헤더 정보를 효율적으로 관리할 수 있으므로, 네트워크 자원이 과도하게 점유되거나 네트워크 자원의 성능이 저하되는 것을 방지할 수 있게 되는 효과가 달성된다.
도 1은 본 발명에 따라 NAT 이전의 사설 IP 주소 정보를 획득하는 전체 시스템의 구성을 개략적으로 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 사설망 스위치(200)의 내부 구성을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 NAT 장치(300)의 내부 구성을 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 공인망 보안 장치(400)의 내부 구성을 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 관리 시스템(600)의 내부 구성을 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따라 사설망 스위치(200)가 생성 및 유지하는 맵핑 테이블(290)을 예시적으로 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따라 NAT 장치(300)가 생성 및 유지하는 맵핑 테이블(390)을 예시적으로 나타내는 도면이다.
도 8은 본 발명의 제1 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 9는 본 발명의 제2 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 10은 본 발명의 제3 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 11은 본 발명의 제4 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
[본 발명의 바람직한 실시예]
전체 시스템의 구성
도 1은 본 발명에 따라 NAT 이전의 사설 IP 주소 정보를 획득하는 전체 시스템의 구성을 개략적으로 나타내는 도면이다.
도 1은 본 발명의 일 실시예에 따른 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 1에 도시되어 있는 바와 같이, 본 발명의 전체 시스템은 사설망(10)과 공인망(20)으로 이루어지는 통신망, 소스 호스트(100), 사설망 스위치(200), NAT 장치(300), 공인망 보안 장치(400), 데스티네이션 호스트(500) 및 관리 시스템(600)을 포함하여 구성될 수 있다. 한편, 도 1에 도시된 바와 같이, 본 발명의 실시 태양에 따라 사설망 스위치(200)와 연동된 미러링 서버(250)가 더 포함될 수도 있다.
먼저, 통신망은 유선 및 무선과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 인터넷(World Wide Web), 공지의 WLAN(Wireless LAN), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access) 또는 GSM(Global System for Mobile communications) 통신망 등을 모두 포함하는 개념인 것으로 이해되어야 한다. 특히, 본 발명의 일 실시예에 따른 통신망은 NAT 장치(300)를 기준으로 하여 NAT 장치(300) 이전의 통신망을 일컫는 사설망(10)과 NAT 장치(300) 너머의 통신망을 일컫는 공인망(20)으로 나뉘어 질 수 있다.
다음으로, 본 발명의 일 실시예에 따르면, 호스트(100, 500)는 통신망에 접속하여 서로 통신할 수 있는 기능을 갖는 기기로서, 개인용 컴퓨터(예를 들어, 데스크탑 컴퓨터, 노트북 컴퓨터 등), 워크스테이션, PDA, 태플릿 컴퓨터, 스마트폰, 이동 전화기, IPTV 수신기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 기기라면 얼마든지 본 발명에 따른 호스트(100, 500)가 될 수 있다. 한편, 도 1에서는, NAT 장치(300) 이전의 사설망(10)에 위치하는 호스트가 소스 호스트(100)이고 NAT 장치(300) 너머의 공인망(20)에 위치하는 호스트가 데스티네이션 호스트(500)인 것으로 도시되어 있지만, 반드시 이에 한정되는 것은 아니며, 호스트(100, 500)가 패킷을 보내는 주체인지 혹은 패킷을 받는 주체인지에 따라 소스 호스트(100)와 데스티네이션 호스트(500) 둘 중 어느 것도 될 수 있을 것이다.
다음으로, 본 발명의 일 실시예에 따르면, 사설망 스위치(200)는 기본적으로 소스 호스트(100)가 송신한 패킷이 데스티네이션 호스트(500)에 수신되도록 하기 위하여 소스 호스트(100)로부터 전달 받은 패킷을 NAT 장치(300)로 전달하는 기능을 수행한다. 특히, 본 발명의 일 실시예에 따른 사설망 스위치는(200)는, 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에서 소스 호스트(100)로부터 수신되는 패킷의 헤더 정보를 참조로 하여 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID(IDentifier) 정보와 해당 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터로 구성되는 맵핑 테이블을 생성하고 이를 유지하는 기능을 수행할 수 있다. 또한, 본 발명의 일 실시예에 따른 사설망 스위치(200)는, 공인망 보안 장치(400) 또는 관리 시스템(600)의 요청에 따라, 자신이 유지하고 있는 맵핑 테이블을 참조로 하여 특정 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 사설 IP 주소 정보를 판독하고 이를 관리 시스템(600)에 송신하는 기능도 수행할 수 있고, 본 발명의 다른 실시예에 따르면 사설망 스위치(200)는 위와 같이 판독된 사설 IP 주소 정보를 공인망 보안 장치(400)에 송신하는 기능을 수행할 수도 있다. 한편, 본 발명의 실시 태양에 따라서는, 사설망 스위치(200)가 수행할 수 있는 상기와 같은 일련의 기능들이 해당 사설망 스위치(200)와 연계된 미러링 서버(mirroring server)(250)에서 수행될 수도 있다. 사설망 스위치(200) 및 미러링 서버(250)의 구성에 대한 보다 자세한 설명은 후술하기로 한다.
다음으로, 본 발명의 일 실시예에 따르면, NAT 장치(300)는 사설망(10)으로부터 전달받은 패킷의 헤더 정보에 포함되어 있는 소스 호스트의 사설 IP 주소를 공인 IP 주소로 변환하는 기능을 수행하고, 사설 IP 주소에 관한 정보와 공인 IP 주소에 관한 정보 사이의 맵핑 데이터로 구성되는 맵핑 테이블을 유지하는 기능을 수행한다. NAT 장치(300)의 구성에 대한 보다 자세한 설명은 후술하기로 한다.
다음으로, 본 발명의 일 실시예에 따르면, 공인망 보안 장치(400)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에서 소스 호스트(100)로부터 수신되는 패킷에 관한 정보, 특히, 해당 패킷의 헤더에 포함되어 있는 5-투플(tuple) 정보 및 패킷 ID(IDentifier)에 관한 정보를 저장해 두는 기능을 수행할 수 있다. 또한, 본 발명의 일 실시예에 따른 공인망 보안 장치(400)는, 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에 대한 보안 검사를 수행하고 그 결과 소스 호스트(100)의 사설 IP 주소에 관한 정보를 알아낼 필요가 있는 세션(예를 들면, 악성 패킷을 전달하는 세션 등)을 판별하는 기능을 수행할 수 있고, 필요한 경우 자신이 저장하고 있는 특정 패킷의 5-투플(tuple) 및 패킷 ID(IDentifier)에 관한 정보를 이용하고 관리 시스템(600)(본 발명의 다른 실시예에 따르면, 사설망 스위치(200), 그리고 본 발명의 또 다른 실시예에 따르면 NAT 장치(300))과 통신함으로써 해당 패킷의 사설 IP 주소 정보를 획득하는 기능을 수행할 수 있다. 공인망 보안 장치(400)의 구성에 대한 보다 자세한 설명은 후술하기로 한다.
다음으로, 본 발명의 일 실시예에 따르면, 관리 시스템(600)은 공인망 보안 장치(400)로부터 사설 IP 주소의 획득이 필요한 패킷 헤더 정보(즉, 5-투플 및 패킷 ID에 관한 정보 중 적어도 일부)를 수신하는 기능을 수행할 수 있다. 또한, 본 발명의 일 실시예에 따른 관리 시스템(600)은, 공인망 보안 장치(400)로부터 수신된 패킷 헤더 정보 및 자신이 유지하고 있는 NAT 장치(300)의 IP 주소 정보와 사설망 스위치(200)의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 해당 패킷의 NAT 장치(300) 이전의 사설망에 존재하는 적어도 하나의 사설망 스위치(200)의 IP 주소에 관한 정보를 획득하는 기능을 수행할 수 있다. 또한, 본 발명의 일 실시예에 따르면, 관리 시스템(600)은 IP 주소가 획득된 적어도 하나의 사설망 스위치(200)로 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소에 관한 정보를 알려줄 것을 요청할 수 있고, 사설망 스위치(200)가 자신이 유지하고 있는 맵핑 테이블을 이용하여 판독해 낸 해당 패킷의 사설 IP 주소에 관한 정보를 획득하는 기능을 수행할 수 있으며, 이렇게 획득된 해당 패킷의 사설 IP 주소에 관한 정보를 공인망 보안 장치(400)로 송신해 주는 기능을 수행할 수도 있다. 관리 시스템(600)의 구성에 대한 보다 자세한 설명은 후술하기로 한다.
사설망 스위치(200)의 구성
이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 사설망 스위치(200)의 내부 구성 및 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 2는 본 발명의 일 실시예에 따른 사설망 스위치(200)의 내부 구성을 나타내는 도면이다.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 사설망 스위치(200)는 패킷 헤더 분석부(210), 맵핑 테이블 관리부(220) 및 사설 IP 주소 판독부(230)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, 패킷 헤더 분석부(210), 맵핑 테이블 관리부(220) 및 사설 IP 주소 판독부(230)는 그 중 적어도 일부가 외부 시스템과 통신하는 프로그램 모듈들일 수 있다. 이러한 프로그램 모듈들은 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 사설망 스위치(200)에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 또한, 이러한 프로그램 모듈 중 적어도 일부는 사설망 스위치(200)와 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
먼저, 본 발명의 일 실시예에 따르면, 패킷 헤더 분석부(210)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에서 소스 호스트(100)로부터 수신되는 패킷의 헤더 정보를 분석하여 해당 패킷의 5-투플 정보, 즉, 소스 IP 주소(즉, 사설 IP 주소), 소스 포트, 데스티네이션 IP 주소, 데스티네이션 포트 및 상위 레이어의 프로토콜 종류에 관한 정보뿐만 아니라 해당 패킷의 패킷 ID에 관한 정보를 획득하는 기능을 수행할 수 있다.
다음으로, 본 발명의 일 실시예에 따르면, 맵핑 테이블 관리부(220)는 패킷 헤더 분석부(210)에 의하여 획득된 정보를 이용하여 해당 패킷에 관한 맵핑 테이블을 생성하고 이를 유지하는 기능을 수행할 수 있다. 보다 구체적으로, 본 발명의 일 실시예에 따른 맵핑 테이블 관리부(220)는 대상이 되는 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보와 해당 패킷의 소스 호스트의 사설 IP 주소에 관한 정보가 서로 대응되어 있는 맵핑 데이터로 구성되는 맵핑 테이블을 생성 및 유지할 수 있다. 또한, 본 발명의 일 실시예에 따른 맵핑 테이블 관리부(220)는 혹시 발생할지 모르는 맵핑 데이터 간의 중복을 방지하기 위하여 맵핑 테이블의 필드(filed)를 더 구체화할 수도 있는데, 예를 들면, 맵핑 테이블은 대상이 되는 패킷의 데스티네이션 IP 주소, 데스티네이션 포트, 상위 레이어의 프로토콜 종류 및 패킷 ID에 관한 정보와 해당 패킷의 소스 호스트의 사설 IP 주소에 관한 정보가 서로 대응되어 있는 맵핑 데이터로 구성될 수도 있다.
도 6은 본 발명의 일 실시예에 따라 사설망 스위치(200)가 생성 및 유지하는 맵핑 테이블(290)을 예시적으로 나타내는 도면이다.
도 6을 참조하면, 맵핑 테이블(290)에는 패킷의 데스티네이션 IP 주소(291), 데스티네이션 포트(292), 상위 레이어의 프로토콜 종류(293, TCP일 경우에 6이고, UDP일 경우에는 16임) 및 패킷 ID(294)에 관한 정보가 입력되는 필드와 해당 패킷의 소스 호스트의 사설 IP 주소(295)에 관한 정보가 입력되는 필드가 서로 대응(즉, 맵핑)되어 있을 수 있다.
한편, 본 발명의 일 실시예에 따르면, 맵핑 테이블 관리부(220)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에서 소스 호스트(100)로부터 최초로 수신되는 패킷에 대한 맵핑 데이터를 맵핑 테이블에 저장할 수 있다. 만약 소스 호스트(100)로부터 수신되는 모든 패킷에 대한 맵핑 데이터를 저장한다면, 맵핑 테이블의 볼륨이 지나치게 거대해지고 이를 저장하기 위하여 많은 네트워크 자원이 소모될 수 있기 때문이다. 예를 들면, 본 발명의 일 실시예에 따른 맵핑 테이블 관리부(220)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 TCP 세션의 최초 패킷인 TCP_SYN에 해당하는 패킷에 대하여만 맵핑 데이터를 생성 및 유지할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 맵핑 테이블 관리부(220)는 맵핑 테이블의 볼륨이 지나치게 커지는 것을 방지하기 위하여 소스 호스트(100)와 데스티네이션 호스트(500) 사이에서 시작되었던 세션이 정상적으로 종료되면 해당 세션의 패킷에 대하여 생성 및 유지되었던 맵핑 데이터를 삭제하는 기능을 수행할 수 있다. 세션이 정상적으로 종료되었다면, 해당 세션에 대한 보안 이슈가 사라지는 것이 일반적이고 보안상의 이유로 인해 해당 세션의 소스 호스트의 사설 IP 주소에 관한 정보가 필요하게 될 가능성이 그다지 높지 않기 때문이다.
다음으로, 본 발명의 일 실시예에 따르면, 사설 IP 주소 판독부(230)는, 사설망 스위치(200) 외부의 공인망 보안 장치(400) 또는 관리 시스템(600)으로부터 수신되는 특정 패킷의 소스 호스트의 사설 IP 주소 정보 요청에 대응하여, 자신이 유지하고 있는 맵핑 테이블을 참조로 하여 특정 패킷의 소스 호스트의 사설 IP 주소 정보를 판독하는 기능을 수행할 수 있다. 보다 구체적으로, 본 발명의 일 실시예에 따른 사설 IP 주소 판독부(230)는 공인망 보안 장치(400) 또는 관리 시스템(600)으로부터 특정 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보를 수신하고, 자신이 유지하고 있는 맵핑 테이블에서 특정 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 사설 IP 주소 정보를 판독해 낼 수 있다. 여기서, 맵핑 테이블을 참조로 하여 사설 IP 주소 정보를 판독하기 위해 필요한 정보가 상기 언급한 데스티네이션 IP 주소 및 패킷 ID 정보에만 한정되는 것은 아니며, 해당 맵핑 테이블의 필드 구성에 따라 다양하게 변경될 수 있을 것이다. 예를 들면, 맵핑 테이블 내에 패킷의 데스티네이션 IP 주소, 데스티네이션 포트, 상위 레이어의 프로토콜 종류 및 패킷 ID에 관한 정보가 입력되는 필드와 해당 패킷의 소스 호스트의 사설 IP 주소에 관한 정보가 입력되는 필드가 서로 대응되어 있을 수 있으며, 이러한 경우 특정 패킷의 사설 IP 주소 정보를 판독하기 위해서 해당 특정 패킷의 데스티네이션 IP 주소, 데스티네이션 포트, 상위 레이어의 프로토콜 종류 및 패킷 ID 정보 중 적어도 일부가 필요할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 앞서 언급한 사설망 스위치(200)의 다양한 기능 중 적어도 일부 기능은 해당 사설망 스위치(200)와 연계된 미러링 서버(250)에서 수행될 수도 있다. 예를 들면, 상당한 저장 공간을 필요로 할 수 있는 맵핑 테이블(290)과 이를 생성 및 유지하는 맵핑 테이블 관리부(220)가 미러링 서버(250)에 상주하고 있는 실시예를 가정할 수 있는데, 이는 사설망 스위치(200)가 본연의 기능만을 정상적으로 수행하는 경우를 상정한 것이다.
NAT 장치(300)의 구성
이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 NAT 장치(300)의 내부 구성 및 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 3은 본 발명의 일 실시예에 따른 NAT 장치(300)의 내부 구성을 나타내는 도면이다.
도 3에 도시된 바와 같이, 본 발명의 일 실시예에 따른 NAT 장치(300)는 NAT 수행부(310), 포트 포워딩 룰(port forwarding rule) 관리부(320) 및 인터페이스부(330)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, NAT 수행부(310), 포트 포워딩 룰 관리부(320) 및 인터페이스부(330)는 그 중 적어도 일부가 외부 시스템과 통신하는 프로그램 모듈들일 수 있다. 이러한 프로그램 모듈들은 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 NAT 장치(300)에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 또한, 이러한 프로그램 모듈 중 적어도 일부는 NAT 장치(300)와 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
먼저, 본 발명의 일 실시예에 따르면, NAT 수행부(310)는 사설망(10)으로부터 전달받은 패킷의 헤더 정보에 포함되어 있는 소스 호스트의 사설 IP 주소를 공인 IP 주소로 변환하는 기능을 수행하고, 사설 IP 주소에 관한 정보와 공인 IP 주소에 관한 정보가 서로 대응되어 있는 맵핑 데이터로 구성되는 맵핑 테이블을 생성 및 유지하는 기능을 수행한다. 나아가, 본 발명의 일 실시예에 따른 NAT 수행부(310)는 사설망(10)으로부터 전달받은 패킷의 헤더 정보에 포함되어 있는 소스 호스트의 사설 IP 주소 및 사설 포트를 공인 IP 주소 및 공인 포트로 변환하는 기능을 수행하고, 사설 IP 주소 및 사설 포트에 관한 정보와 공인 IP 주소 및 공인 포트에 관한 정보가 서로 대응되어 있는 맵핑 데이터로 구성되는 맵핑 테이블을 생성 및 유지할 수도 있음은 물론이라 할 것이다.
도 7은 본 발명의 일 실시예에 따라 NAT 장치(300)가 생성 및 유지하는 맵핑 테이블(390)을 예시적으로 나타내는 도면이다.
도 7을 참조하면, 맵핑 테이블(390)에는 패킷의 소스 호스트의 사설 IP 주소(391) 및 사설 포트(392)에 관한 정보가 입력되는 필드와 해당 패킷의 소스 호스트의 공인 IP 주소(393) 및 공인 포트(394)에 관한 정보가 입력되는 필드가 서로 대응(즉, 맵핑)되어 있을 수 있다.
다음으로, 본 발명의 다른 실시예에 따르면, 포트 포워딩 룰 관리부(320)는 NAT 장치(300)를 기준으로 하여 공인망(20)에 위치하는 공인망 보안 장치(400)가 사설망(10)에 위치하는 사설망 스위치(200)와 직접 통신할 수 있도록 하는 포트 포워딩 룰을 설정하는 기능을 수행할 수 있다. 따라서, 본 발명의 다른 실시예에 따른 포트 포워딩 룰 관리부(320)에 의하면, 공인망 보안 장치(400)가 관리 시스템(600)의 중계 없이 사설망 스위치(200)와 직접 통신하여 사설망 스위치(200)에 특정 패킷의 소스 호스트의 사설 IP 주소 정보를 알려 줄 것을 요청하고 사설망 스위치(200)로부터 해당 특정 패킷의 소스 호스트의 사설 IP 주소를 수신할 수도 있다.
다음으로, 본 발명의 또 다른 실시예에 따르면, 인터페이스부(330)는 NAT 장치(300) 외부에 존재하는 원격의 시스템(예를 들면, 공인망 보안 장치(400) 등)이 NAT 장치(300)에 접속하여 NAT 장치(300)의 기능을 제어하거나 NAT 장치(300)에 저장되어 있는 데이터를 획득할 수 있도록 지원하는 기능을 수행할 수 있다. 보다 구체적으로, 본 발명의 또 다른 실시예에 따른 인터페이스부(330)는 원격의 시스템이 텍스트 형식의 소정의 명령어를 입력할 수 있도록 지원하는 커맨드 라인 인터페이스(CLI: Command Line Interface)를 포함할 수도 있는데, 이러한 경우 원격의 공인망 보안 장치(400)는 CLI를 통하여 NAT 장치(300)에 대한 권한을 얻을 수 있고 나아가 NAT 장치(300)가 유지하고 있는 맵핑 테이블을 참조로 하여 원하는 패킷의 소스 호스트(100)의 사설 IP 주소에 관한 정보를 획득할 수도 있다.
공인망 보안 장치(400)의 구성
이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 공인망 보안 장치(400)의 내부 구성 및 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 4는 본 발명의 일 실시예에 따른 공인망 보안 장치(400)의 내부 구성을 나타내는 도면이다.
도 4에 도시된 바와 같이, 본 발명의 일 실시예에 따른 공인망 보안 장치(400)는 패킷 헤더 정보 유지부(410), 보안 검사 수행부(420) 및 사설 IP 주소 획득부(430)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, 패킷 헤더 정보 유지부(410), 보안 검사 수행부(420) 및 사설 IP 주소 획득부(430)는 그 중 적어도 일부가 외부 시스템과 통신하는 프로그램 모듈들일 수 있다. 이러한 프로그램 모듈들은 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 공인망 보안 장치(400)에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 또한, 이러한 프로그램 모듈 중 적어도 일부는 공인망 보안 장치(400)와 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
먼저, 본 발명의 일 실시예에 따르면, 패킷 헤더 정보 유지부(410)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션에서 소스 호스트(100)로부터 수신되는 패킷의 헤더 정보를 분석하여 해당 특정 패킷의 5-투플 정보, 즉, 소스 IP 주소(즉, 공인 IP 주소), 소스 포트, 데스티네이션 IP 주소, 데스티네이션 포트 및 상위 레이어의 프로토콜 종류에 관한 정보뿐만 아니라 해당 패킷의 패킷 ID에 관한 정보를 획득하고 이를 저장하는 기능을 수행할 수 있다. 보다 구체적으로, 본 발명의 일 실시예에 따른 패킷 헤더 정보 유지부(410)는 패킷의 5-투플 정보와 패킷 ID 정보가 서로 대응되어 있는 맵핑 데이터로 구성된 맵핑 테이블(미도시)을 유지할 수도 있다.
또한, 본 발명의 일 실시예에 따른 패킷 헤더 정보 유지부(410)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 각 세션마다 소스 호스트(100)에 의하여 생성된 최초 패킷에 대하여만 패킷 헤더 정보를 유지할 수 있다. 만약 각 세션에서 소스 호스트(100)로부터 수신되는 모든 패킷에 대한 패킷 헤더 정보를 유지한다면, 저장되는 데이터의 볼륨이 지나치게 거대해지고 이를 저장하기 위하여 공인망 보안 장치(400)의 자원이 필요 이상으로 소모될 수 있기 때문이다. 예를 들면, 본 발명의 일 실시예에 따른 패킷 헤더 정보 유지부(410)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 TCP 세션의 최초 패킷인 TCP_SYN에 해당하는 패킷에 대하여만 패킷 헤더 정보를 유지할 수 있다.
또한, 본 발명의 일 실시예에 따른 패킷 헤더 정보 유지부(410)는 패킷 헤더 정보의 볼륨이 지나치게 커지는 것을 방지하기 위하여 소스 호스트(100)와 데스티네이션 호스트(500) 사이에서 시작되었던 세션이 정상적으로 종료되면 해당 세션의 패킷에 대하여 유지되었던 패킷 헤더 정보를 삭제하는 기능을 수행할 수 있다. 세션이 정상적으로 종료되었다면, 해당 세션에 대한 보안 이슈가 사라지는 것이 일반적이고 보안상의 이유로 인해 해당 세션의 소스 호스트의 사설 IP 주소에 관한 정보를 획득하기 위하여 패킷 헤더 정보를 참조하게 될 가능성이 그다지 높지 않기 때문이다.
다음으로, 본 발명의 일 실시예에 따르면, 보안 검사 수행부(420)는 소스 호스트(100)와 데스티네이션 호스트(500) 사이의 세션 또는 해당 세션에서 소스 호스트(100)로부터 수신되는 패킷에 대한 보안 검사를 수행할 수 있고, 그 결과 소스 호스트(100)의 사설 IP 주소 정보를 알아낼 필요가 있는 세션(예를 들면, 바이러스나 악성코드를 포함하는 패킷이 전달되고 있는 세션, 데스티네이션 호스트(500)에 대한 도스 공격을 수행하는 패킷이 전달되고 있는 세션 등)을 판별하는 기능을 수행한다.
다음으로, 본 발명의 일 실시예에 따르면, 사설 IP 주소 획득부(430)는 보안 검사 수행부(410)가 소스 호스트(100)의 사설 IP 주소 정보를 획득할 필요가 있다고 판별한 특정 세션에 대하여 유지되고 있는 패킷 헤더 정보를 참조로 하여 해당 특정 세션의 소스 호스트(100)의 사설 IP 주소 정보를 획득하는 기능을 수행할 수 있다.
보다 구체적으로, 본 발명의 일 실시예에 따른 사설 IP 주소 획득부(430)는 패킷 헤더 정보 유지부(410)에 의하여 유지되고 있는 특정 세션에 대한 패킷 헤더 정보의 소스 호스트(100)의 IP 주소(즉, NAT 장치(300)에 의하여 변환된 공인 IP 주소)를 참조로 하여 해당 특정 세션 내에서 소스 호스트(100)로부터의 패킷을 보내 온 NAT 장치(300)의 IP 주소를 획득할 수 있다. 또한, 본 발명의 일 실시예에 따른 사설 IP 주소 획득부(430)는 패킷 헤더 정보 유지부(410)에 의하여 유지되고 있는 특정 세션에 대한 패킷 헤더 정보를 참조로 하여 특정 세션에서 소스 호스트(100)로부터 수신된 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 획득할 수 있으며, 나아가, 사설 IP 주소 정보 획득의 정확성을 높이기 위하여 특정 세션에서 소스 호스트(100)로부터 수신된 패킷의 데스티네이션 포트 및 상위 레이어의 프로토콜 종류에 관한 정보를 더 획득할 수도 있다.
계속하여, 본 발명의 일 실시예에 따른 사설 IP 주소 획득부(430)는 위와 같이 획득된 특정 세션의 패킷의 NAT 장치(300)의 IP 주소, 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 관리 시스템(600)에 송신하면서 관리 시스템(600)에게 해당 특정 세션의 패킷의 사설 IP 주소 정보를 획득하여 줄 것을 요청할 수 있다.
한편, 본 발명의 다른 실시예에 따른 사설 IP 주소 획득부(430)는 NAT 장치(300)의 포트 포워딩에 의하여 사설망 스위치(200)에 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 사설망 스위치(200)에게 해당 특정 세션의 패킷의 사설 IP 주소 정보를 획득하여 줄 것을 직접 요청할 수도 있다. 또한, 본 발명의 또 다른 실시예에 따른 사설 IP 주소 획득부(430)는 소정의 계정 정보를 이용하여 NAT 장치(300)의 커맨드 라인 인터페이스에 직접 접근하여 NAT 장치(300)에 특정 세션의 패킷의 공인 IP 주소 및 포트 정보를 송신함으로써 NAT 장치(300)에게 해당 특정 세션의 패킷의 사설 IP 주소 정보를 획득하여 줄 것을 직접 요청할 수도 있다.
관리 시스템의 구성
이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 관리 시스템(600)의 내부 구성 및 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 5는 본 발명의 일 실시예에 따른 관리 시스템(600)의 내부 구성을 나타내는 도면이다.
도 5에 도시된 바와 같이, 본 발명의 일 실시예에 따른 관리 시스템(600)은 패킷 헤더 정보 수신부(610), 사설망 스위치 IP 주소 판독부(620) 및 사설 IP 주소 획득부(630)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, 패킷 헤더 정보 수신부(610), 사설망 스위치 IP 주소 판독부(620) 및 사설 IP 주소 획득부(630)는 그 중 적어도 일부가 외부 시스템과 통신하는 프로그램 모듈들일 수 있다. 이러한 프로그램 모듈들은 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 관리 시스템(600)에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 또한, 이러한 프로그램 모듈 중 적어도 일부는 관리 시스템(600)와 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
먼저, 본 발명의 일 실시예에 따르면, 패킷 헤더 정보 수신부(610)는 공인망 보안 장치(400)로부터 사설 IP 주소 정보 획득의 대상이 되는 패킷의 헤더 정보를 수신하는 기능을 수행할 수 있다. 보다 구체적으로, 본 발명의 일 실시예에 따른 패킷 헤더 정보 수신부(610)는 사설 IP 주소 정보 획득의 대상이 되는 패킷의 NAT 장치 IP 주소, 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 수신할 수 있고, 나아가, 사설 IP 주소 정보 획득의 정확성을 높이기 위하여 해당 패킷의 데스티네이션 포트 및 상위 레이어의 프로토콜 종류에 관한 정보를 더 수신할 수도 있다.
다음으로, 본 발명의 일 실시예에 따르면, 사설망 스위치 IP 주소 판독부(620)는 자신이 유지하고 있는 NAT 장치(300) IP주소 정보와 사설망 스위치(200) IP 주소 정보 사이의 맵핑 테이블과 패킷 헤더 정보 수신부(610)에 의하여 수신된 NAT 장치(300) IP 주소 정보를 이용하여 사설 IP 주소 정보 획득의 대상이 되는 패킷을 보내 온 NAT 장치(300) 이전의 사설망에 존재하는 사설망 스위치의 IP 주소 정보를 판독하는 기능을 수행할 수 있다.
보다 구체적으로, 본 발명의 일 실시예에 따른 사설망 스위치 IP 주소 판독부(620)는 자신이 유지하는 맵핑 테이블에서 패킷 헤더 정보 수신부(610)에 의하여 수신된 NAT 장치(300) IP 주소에 대응되어 있는 적어도 하나의 사설망 스위치(200)의 IP 주소를 판독함으로써, 사설망 스위치의 IP 주소 정보를 알아낼 수 있다.
다음으로, 본 발명의 일 실시예에 따르면, 사설 IP 주소 획득부(630)는 사설망 스위치 IP 주소 판독부(620)에 의하여 IP 주소가 판독된 적어도 하나의 사설망 스위치(200)에게 사설 IP 주소 정보 획득의 대상이 되는 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 알아내 줄 것을 요청할 수 있다. 나아가, 본 발명의 일 실시예에 따른 사설 IP 주소 획득부(630)는 사설 IP 주소 정보 획득의 정확성을 높이기 위하여 사설망 스위치(200)에 해당 패킷의 데스티네이션 포트 및 상위 레이어의 프로토콜 종류에 관한 정보를 더 송신할 수도 있다.
앞서 "사설망 스위치의 구성" 부분에서 이미 설명한 바와 같이, 관리 시스템(600)의 사설 IP 주소 획득부(630)로부터 위와 같은 정보를 건네 받은 적어도 하나의 사설망 스위치(200)는 해당 패킷의 사설 IP 주소를 판독하여 관리 시스템(600)의 사설 IP 주소 획득부(630)로 송신하여 줄 수 있다. 또한, 관리 시스템(600)의 사설 IP 주소 획득부(630)는 해당 패킷의 사설 IP 주소 정보를 계속하여 공인망 보안 장치(400)에 송신해 줄 수도 있을 것이다.
본 발명의 구체적인 실시예
도 8은 본 발명의 제1 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 8에 도시된 본 발명의 제1 실시예에 따르면, (i) 먼저, 공인망 보안 장치(400)는 소스 호스트(100)의 사설 IP 주소 정보를 확인할 필요가 있는 세션을 판별하고, 관리 시스템(600)에게 해당 세션의 패킷의 NAT 장치(300) IP 주소, 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 획득하여 줄 것을 요청할 수 있다(도 8의 810 참조). (ii) 다음으로, 관리 시스템(600)은 자신이 유지하고 있는 맵핑 테이블과 해당 패킷의 NAT 장치(300) IP 주소를 이용하여 해당 패킷을 보내 온 NAT 장치(300) 이전의 사설망에 존재하는 사설망 스위치(200)의 IP 주소를 획득하고, IP 주소가 획득된 사설망 스위치(200)에 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 판독하여 줄 것을 요청할 수 있다(도 8의 820 참조). (iii) 다음으로, 사설망 스위치(200)는 자신이 유지하고 있는 맵핑 테이블(290)과 관리 시스템(600)으로부터 수신된 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 이용하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소를 판독할 수 있고, 이렇게 판독된 사설 IP 주소 정보를 관리 시스템(600)으로 송신할 수 있다(도 8의 830 참조). (iv) 나아가, 관리 시스템(600)은 사설망 스위치(200)로부터 획득한 사설 IP 주소 정보를 공인망 보안 장치(400)에 송신할 수도 있다(도 8의 840 참조). 이로써, 공인망 보안 장치(400) 또는 관리 시스템(600)은 NAT 장치(300) 이전의 사설망에 존재하는 소스 호스트(100)의 사설 IP 정보를 획득할 수 있게 된다.
도 9는 본 발명의 제2 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 9에 도시된 본 발명의 제2 실시예에 따르면, (i) 먼저, 공인망 보안 장치(400)는 소스 호스트(100)의 사설 IP 주소 정보를 확인할 필요가 있는 세션을 판별하고, 관리 시스템(600)에게 해당 세션의 패킷의 NAT 장치(300) IP 주소, 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 획득하여 줄 것을 요청할 수 있다(도 9의 910 참조). (ii) 다음으로, 관리 시스템(600)은 자신이 유지하고 있는 맵핑 테이블과 해당 패킷의 NAT 장치(300) IP 주소를 이용하여 해당 패킷을 보내 온 NAT 장치(300) 이전의 사설망에 존재하는 사설망 스위치(200)의 IP 주소를 획득하고, IP 주소가 획득된 사설망 스위치(200)에 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 판독하여 줄 것을 요청할 수 있다(도 9의 920 참조). (iii) 다음으로, 사설망 스위치(200)는 자신과 연계된 미러링 서버(250)가 유지하고 있는 맵핑 테이블(290)과 관리 시스템(600)으로부터 수신된 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 이용하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소를 판독할 수 있고(도 9의 930 및 940), 이렇게 판독된 사설 IP 주소 정보를 관리 시스템(600)으로 송신할 수 있다(도 9의 950 참조). (iv) 나아가, 관리 시스템(600)은 사설망 스위치(200)로부터 획득한 사설 IP 주소 정보를 공인망 보안 장치(400)에 송신할 수도 있다(도 9의 960 참조). 이로써, 공인망 보안 장치(400) 또는 관리 시스템(600)은 NAT 장치(300) 이전의 사설망에 존재하는 소스 호스트(100)의 사설 IP 정보를 획득할 수 있게 된다.
도 10은 본 발명의 제3 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 10에 도시된 본 발명의 제3 실시예에 따르면, (i) 먼저, 공인망 보안 장치(400)는 소스 호스트(100)의 사설 IP 주소 정보를 확인할 필요가 있는 세션을 판별하고, 해당 세션의 패킷을 보내 온 NAT 장치(300)가 설정해 주는 포트 포워딩 룰에 따라 NAT 장치(300) 이전의 사설망 스위치(200)에게 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 획득하여 줄 것을 요청할 수 있다(도 10의 1010 및 1020 참조). (ii) 다음으로, 사설망 스위치(200)는 자신이 유지하고 있는 맵핑 테이블(290)과 공인망 보안 장치(400)로부터 수신된 해당 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 이용하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소를 판독할 수 있고, 이렇게 판독된 사설 IP 주소 정보를 공인망 보안 장치(400)로 송신할 수 있다(도 10의 1030 및 1040 참조). 이로써, 공인망 보안 장치(400)는 NAT 장치(300) 이전의 사설망에 존재하는 소스 호스트(100)의 사설 IP 정보를 획득할 수 있게 된다.
한편, 도 10에 도시된 본 발명의 제3 실시예에 있어서, 사설망 스위치(200)가 유지하고 있는 맵핑 테이블(290)은 사설망 스위치(200)와 연동된 미러링 서버(250)에 의하여 유지될 수도 있는데, 이러한 경우 패킷의 데스티네이션 IP 주소 및 패킷 ID에 관한 정보를 이용하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소를 판독하는 기능은 미러링 서버(250)에 의하여 수행될 수도 있음은 물론이라 할 것이다.
도 11은 본 발명의 제4 실시예에 따라 사설 IP 주소를 획득하는 과정을 예시적으로 나타내는 도면이다.
도 11에 도시된 본 발명의 제4 실시예에 따르면, (i) 먼저, 공인망 보안 장치(400)는 소스 호스트(100)의 사설 IP 주소 정보를 확인할 필요가 있는 세션을 판별하고, 해당 세션의 패킷을 보내 온 NAT 장치(300)의 CLI에 접속할 수 있도록 NAT 장치(300)에 계정 정보를 송신하며, CLI를 통하여 NAT 장치(300)에게 해당 패킷의 소스 호스트의(100) 공인 IP 주소 및 포트 정보를 송신하면서 해당 패킷의 소스 호스트(100)의 사설 IP 주소 정보를 획득하여 줄 것을 요청할 수 있다(도 11의 1110 참조). (ii) 다음으로, NAT 장치(300)는 자신이 유지하고 있는 맵핑 테이블(390)과 공인망 보안 장치(400)로부터 수신된 소스 호스트(100)의 공인 IP 주소 및 포트 정보를 이용하여 해당 패킷의 소스 호스트(100)의 사설 IP 주소를 판독할 수 있고, 이렇게 판독된 사설 IP 주소 정보를 공인망 보안 장치(400)로 송신할 수 있다(도 11의 1120 참조). 이로써, 공인망 보안 장치(400)는 NAT 장치(300) 이전의 사설망에 존재하는 소스 호스트(100)의 사설 IP 정보를 획득할 수 있게 된다.
이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
10: 사설망
20: 공인망
100: 소스 호스트
200: 사설망 스위치
210: 패킷 헤더 분석부
220: 맵핑 테이블 관리부
230: 사설 IP 주소 판독부
290: 사설망 스위치가 생성 및 유지하는 맵핑 테이블
300: NAT 장치
310: NAT 수행부
320: 포트 포워딩 룰 관리부
330: 인터페이스부
390: NAT 장치가 생성 및 유지하는 맵핑 테이블
400: 공인망 보안 장치
410: 패킷 헤더 정보 유지부
420: 보안 검사 수행부
430: 사설 IP 주소 획득부
500: 데스티네이션 호스트
600: 관리시스템
610: 패킷 헤더 정보 수신부
620: 사설망 스위치 IP 주소 판독부
630: 사설 IP 주소 획득부

Claims (40)

  1. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템이 수신하는 단계,
    (b) 상기 관리 시스템이, 자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 송신하는 단계, 및
    (c) 상기 사설망 스위치가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템이 획득하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 사설망 스위치는 상기 세션의 최초 패킷에 대해 자신의 맵핑 테이블을 유지하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 사설망 스위치는 상기 특정 세션이 종료되면 상기 특정 세션의 패킷에 대한 맵핑 데이터를 삭제하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 사설망 스위치의 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    (d) 상기 획득된 상기 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치에 전달하는 단계
    를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 사설망 스위치는 L2 스위치 및 L3 스위치 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  7. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치에 연동된 미러링 서버가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템이 수신하는 단계,
    (b) 상기 관리 시스템이, 자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 송신하는 단계, 및
    (c) 상기 사설망 스위치에 연동된 미러링 서버가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템이 획득하는 단계
    를 포함하는 방법.
  8. 제7항에 있어서,
    상기 미러링 서버는 상기 세션의 최초 패킷에 대해 자신의 맵핑 테이블을 유지하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 방법.
  9. 제7항에 있어서,
    상기 미러링 서버의 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 방법.
  10. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 사설망 스위치가 수신할 수 있도록 상기 특정 세션의 패킷의 NAT 장치의 IP 주소를 갖는 특정 NAT 장치가 포트 포워딩 룰(port forwarding rule)을 설정하는 단계, 및
    (b) 상기 특정 NAT 장치는, 상기 포트 포워딩 룰을 설정함으로써, 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치가 획득하도록 지원하는 단계
    를 포함하는 방법.
  11. 제10항에 있어서,
    상기 맵핑 테이블은 상기 사설망 스위치에 의하여 유지되거나 상기 사설망 스위치와 연계된 미러링 서버에 의하여 유지되는 것을 특징으로 하는 방법.
  12. 제10항에 있어서,
    상기 사설망 스위치는 상기 세션의 최초 패킷에 대해 맵핑 테이블을 관리하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 방법.
  13. 제10항에 있어서,
    상기 사설망 스위치가 관리하는 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 방법.
  14. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 패킷이 소스 호스트(source host)로부터 사설망 스위치를 거쳐 NAT 장치로 전달되고, 상기 NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장비가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보로부터 상기 특정 세션에서 상기 소스 호스트의 패킷을 전달한 특정 NAT 장치의 IP 주소를 획득하고, 상기 특정 NAT 장치에 상기 특정 NAT 장치에 접근 가능한 CLI(Command Line Interface)에 접속할 수 있는 계정 정보를 송신하는 단계,
    (b) 상기 계정 정보가 올바를 경우, 상기 CLI를 통하여 상기 특정 NAT 장치에 상기 특정 세션의 패킷의 소스 호스트의 공인 IP 주소 및 공인 포트 정보를 송신하는 단계, 및
    (c) 상기 특정 NAT 장치가 자신이 유지하고 있는 공인 IP 주소 및 공인 포트 정보와 사설 IP 주소 및 사설 포트 정보 사이의 맵핑 테이블을 참조로 하여 판독한 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 단계
    를 포함하는 방법.
  15. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    (a) 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하는 단계 - 상기 맵핑 테이블은 상기 수신되는 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 수신되는 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 포함함 -,
    (b) NAT가 수행됨에 따라 특정 세션의 패킷의 사설 IP 주소가 공인 IP 주소로 변환된 상태에서, 상기 사설망 스위치가 외부 시스템으로부터 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 단계, 및
    (c) 상기 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 외부 시스템에 송신하는 단계
    를 포함하는 방법.
  16. 제15항에 있어서,
    상기 맵핑 테이블은 상기 사설망 스위치와 연계된 미러링 서버에 의하여 유지되는 것을 특징으로 하는 방법.
  17. 제15항에 있어서,
    상기 사설망 스위치는 상기 세션의 최초 패킷에 대해 맵핑 테이블을 관리하고, 상기 외부 시스템도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 방법.
  18. 제15항에 있어서,
    상기 사설망 스위치가 관리하는 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 방법.
  19. 제15항에 있어서,
    상기 (a) 단계는,
    상기 소스 호스트로부터 수신되는 패킷의 5 투플(tuple) 정보 및 패킷 ID(IDentifier) 정보 중 적어도 일부를 분석하여 상기 맵핑 테이블을 생성하는 단계를 포함하는 것을 특징으로 하는 방법.
  20. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 시스템에 있어서,
    소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 패킷 헤더 정보 수신부,
    NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보가 송신될 수 있도록 하는 사설망 스위치 IP 주소 획득부, 및
    상기 사설망 스위치가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부
    를 포함하는 시스템.
  21. 제20항에 있어서,
    상기 사설망 스위치는 상기 세션의 최초 패킷에 대해 자신의 맵핑 테이블을 유지하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 시스템.
  22. 제20항에 있어서,
    상기 사설망 스위치는 상기 특정 세션이 종료되면 상기 특정 세션의 패킷에 대한 맵핑 데이터를 삭제하는 것을 특징으로 하는 시스템.
  23. 제20항에 있어서,
    상기 사설망 스위치의 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 시스템.
  24. 제20항에 있어서,
    상기 사설 IP 주소 획득부는, 상기 획득된 상기 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치에 전달하는 것을 특징으로 하는 시스템.
  25. 제20항에 있어서,
    상기 사설망 스위치는 L2 스위치 및 L3 스위치 중 적어도 하나를 포함하는 것을 특징으로 하는 시스템.
  26. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득 방법에 있어서,
    소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치에 연동된 미러링 서버가 맵핑 테이블(mapping table)을 유지하고, NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하는 패킷 헤더 정보 수신부,
    NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여, 상기 특정 NAT 장치 이전에 존재하는 사설망 스위치로 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보가 송신될 수 있도록 하는 사설망 스위치 IP 주소 획득부, 및
    상기 사설망 스위치에 연동된 미러링 서버가 자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부
    를 포함하는 시스템.
  27. 제26항에 있어서,
    상기 미러링 서버는 상기 세션의 최초 패킷에 대해 자신의 맵핑 테이블을 유지하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 시스템.
  28. 제26항에 있어서,
    상기 미러링 서버의 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 시스템.
  29. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서,
    소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 관리하고, 상기 세션의 패킷에 대해 NAT가 수행되며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소를 공인 IP 주소로 변환하는 NAT 수행부, 및
    특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하고 있는 특정 공인망 보안 장치로부터 상기 특정 세션의 패킷의 공인 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 사설망 스위치가 수신할 수 있도록 포트 포워딩 룰(port forwarding rule)을 설정함으로써, 사설망 스위치가 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 것으로서 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 특정 공인망 보안 장치가 획득하도록 지원하는 포트 포워딩 룰 관리부
    를 포함하는 장치.
  30. 제29항에 있어서,
    상기 맵핑 테이블은 상기 사설망 스위치에 의하여 유지되거나 상기 사설망 스위치와 연계된 미러링 서버에 의하여 유지되는 것을 특징으로 하는 장치.
  31. 제29항에 있어서,
    상기 사설망 스위치는 상기 세션의 최초 패킷에 대해 맵핑 테이블을 관리하고, 상기 공인망 보안 장치도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 장치.
  32. 제29항에 있어서,
    상기 사설망 스위치가 관리하는 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 장치.
  33. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서,
    소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 패킷이 소스 호스트(source host)로부터 사설망 스위치를 거쳐 NAT 장치로 전달되고, 상기 NAT 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사가 수행되는 네트워크 환경에서, 특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보로부터 상기 특정 세션에서 상기 소스 호스트의 패킷을 전달한 특정 NAT 장치의 IP 주소를 획득하는 패킷 헤더 정보 유지부, 및
    상기 특정 NAT 장치에 상기 특정 NAT 장치에 접근 가능한 CLI(Command Line Interface)에 접속할 수 있는 계정 정보를 송신하고, 상기 계정 정보가 올바를 경우, 상기 CLI를 통하여 상기 특정 NAT 장치에 상기 특정 세션의 패킷의 소스 호스트의 공인 IP 주소 및 공인 포트 정보를 송신하고, 상기 특정 NAT 장치가 자신이 유지하고 있는 공인 IP 주소 및 공인 포트 정보와 사설 IP 주소 및 사설 포트 정보 사이의 맵핑 테이블을 참조로 하여 판독한, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 획득하는 사설 IP 주소 획득부
    를 포함하는 장치.
  34. NAT(Network Address Translation) 이전의 사설 IP 주소 정보 획득을 지원하는 장치에 있어서,
    소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 맵핑 테이블(mapping table)을 관리하는 맵핑 테이블 관리부 - 상기 맵핑 테이블은 상기 수신되는 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 수신되는 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 포함함 -, 및
    NAT가 수행됨에 따라 특정 세션의 패킷의 사설 IP 주소가 공인 IP 주소로 변환된 상태에서, 외부 시스템으로부터 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 수신하고, 상기 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 외부 시스템에 송신하는 사설 IP 주소 판독부
    를 포함하는 장치.
  35. 제34항에 있어서,
    상기 맵핑 테이블은 상기 맵핑 테이블 관리부와 연계된 미러링 서버에 의하여 유지되는 것을 특징으로 하는 장치.
  36. 제34항에 있어서,
    상기 맵핑 테이블 관리부는, 상기 세션의 최초 패킷에 대해 맵핑 테이블을 관리하고, 상기 외부 시스템도 상기 세션의 최초 패킷에 대해 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 유지하는 것을 특징으로 하는 장치.
  37. 제34항에 있어서,
    상기 맵핑 테이블은 (데스티네이션 IP 주소 정보, 데스티네이션 포트 정보, 프로토콜 정보, 패킷 ID 정보)와 (사설 IP 주소 정보) 사이의 맵핑 데이터를 포함하는 것을 특징으로 하는 장치.
  38. 제34항에 있어서,
    상기 소스 호스트로부터 수신되는 패킷의 5 투플(tuple) 정보 및 패킷 ID(IDentifier) 정보 중 적어도 일부를 분석하여 상기 맵핑 테이블을 생성하는 하는 패킷 헤더 분석부
    를 더 포함하는 장치.
  39. 소스 호스트(source host)와 데스티네이션 호스트(destination host) 사이의 세션(session)에서 상기 소스 호스트로부터 수신되는 패킷의 헤더(header) 정보를 참조로 하여 사설망 스위치가 맵핑 테이블(mapping table)을 유지하고, NAT(Network Address Translation) 장치가 상기 세션의 패킷에 대해 NAT를 수행하며, 공인망 보안 장치가 상기 NAT가 수행된 상기 세션의 패킷에 대한 보안 검사를 실행하는 네트워크 환경에서, NAT 이전의 사설 IP 주소 정보를 획득하기 위한 시스템에 있어서,
    특정 세션의 패킷의 사설 IP 주소 정보가 필요로 될 경우, 자신이 유지하고 있는 상기 특정 세션의 패킷의 5 투플(tuple) 정보와 패킷 ID(IDentifier) 정보를 참조로 하여 상기 특정 세션의 패킷의 특정 NAT 장치의 IP 주소 정보, 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 관리 시스템으로 송신하는 공인망 보안 장치,
    자신이 유지하고 있는 NAT 장치의 IP 주소 정보와 사설망 스위치의 IP 주소 정보 사이의 맵핑 테이블을 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보를 상기 특정 NAT 장치 이전의 사설망에 존재하는 사설망 스위치로 송신하는 관리 시스템, 및
    자신이 유지하고 있는 맵핑 테이블에 포함된 상기 특정 세션의 패킷의 데스티네이션 IP 주소 정보 및 패킷 ID 정보와 상기 특정 세션의 패킷의 소스 호스트의 사설 IP 주소 정보 사이의 맵핑 데이터를 참조로 하여 상기 특정 세션의 패킷의 데스티네이션 IP 주소 및 패킷 ID 정보에 대응되는 상기 특정 세션의 패킷의 사설 IP 주소 정보를 판독하고, 상기 판독된 상기 특정 세션의 패킷의 사설 IP 주소 정보를 상기 관리 시스템으로 송신하는 사설망 스위치
    를 포함하는 시스템.
  40. 제1항 내지 제19항 중 어느 한 항에 따른 방법을 실행하기 위한 컴퓨터 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
KR1020110106093A 2011-10-17 2011-10-17 Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 KR101125854B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110106093A KR101125854B1 (ko) 2011-10-17 2011-10-17 Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110106093A KR101125854B1 (ko) 2011-10-17 2011-10-17 Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체

Publications (1)

Publication Number Publication Date
KR101125854B1 true KR101125854B1 (ko) 2012-03-28

Family

ID=46142154

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110106093A KR101125854B1 (ko) 2011-10-17 2011-10-17 Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체

Country Status (1)

Country Link
KR (1) KR101125854B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000000185A (ko) * 1999-09-29 2000-01-15 최명렬 네트워크 주소 변환(nat) 기능을 이용한 주소 절약형인터넷 접속 및 가상 사설망(vpn) 구성 방법
KR100726185B1 (ko) 2006-04-24 2007-06-11 주식회사 케이티프리텔 서로 다른 ip 주소를 사용하는 ip 네트워크 간 연동제공 시스템, 게이트웨이 장치, 서버 및 연동 제공 방법
KR20100022250A (ko) * 2008-08-19 2010-03-02 주식회사 다산네트웍스 네트워크 단말 장치 및 데이터 처리 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000000185A (ko) * 1999-09-29 2000-01-15 최명렬 네트워크 주소 변환(nat) 기능을 이용한 주소 절약형인터넷 접속 및 가상 사설망(vpn) 구성 방법
KR100726185B1 (ko) 2006-04-24 2007-06-11 주식회사 케이티프리텔 서로 다른 ip 주소를 사용하는 ip 네트워크 간 연동제공 시스템, 게이트웨이 장치, 서버 및 연동 제공 방법
KR20100022250A (ko) * 2008-08-19 2010-03-02 주식회사 다산네트웍스 네트워크 단말 장치 및 데이터 처리 방법

Similar Documents

Publication Publication Date Title
US10630784B2 (en) Facilitating a secure 3 party network session by a network device
US9571523B2 (en) Security actuator for a dynamically programmable computer network
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US10356040B2 (en) System and method for suppressing DNS requests
US8819211B2 (en) Distributed policy service
EP1714434B1 (en) Addressing method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes
US9819513B2 (en) System and method for suppressing DNS requests
US8510548B1 (en) Method and discovery system for discovering encrypted peer-to-peer (EP2P) nodes associated with a particular EP2P network
US9602411B2 (en) System and method for suppressing DNS requests
US10027627B2 (en) Context sharing between endpoint device and network security device using in-band communications
CN104427004A (zh) 一种基于网络设备的arp报文管理方法
CN102970387A (zh) 一种域名解析方法、装置及系统
CN102752266B (zh) 访问控制方法及其设备
US10505892B2 (en) Method for transmitting at least one IP data packet, related system and computer program product
Novo Making constrained things reachable: A secure IP-agnostic NAT traversal approach for IoT
JP2019522416A (ja) Dnsリクエストの抑制のためのシステム及び方法
KR101125854B1 (ko) Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
EP3310015A1 (en) Network filtering using router connection data
KR101445255B1 (ko) 부하 분산 설정을 자동으로 제공하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체
WO2015117380A1 (zh) 一种远程桌面协议网关进行路由交换的方法、设备及系统
EP3253004B1 (en) Communication control device, communication control method, and communication control program
US9264294B2 (en) HAIPE peer discovery using BGP
TWI600298B (zh) 網路位址轉換穿透方法以及使用該方法的系統
Fan et al. Design and implementation of NAT traversal based on SCDMA access gateway

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170303

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200304

Year of fee payment: 9