KR101196366B1 - 서버보안을 위한 랜카드 시스템 - Google Patents

서버보안을 위한 랜카드 시스템 Download PDF

Info

Publication number
KR101196366B1
KR101196366B1 KR1020090004480A KR20090004480A KR101196366B1 KR 101196366 B1 KR101196366 B1 KR 101196366B1 KR 1020090004480 A KR1020090004480 A KR 1020090004480A KR 20090004480 A KR20090004480 A KR 20090004480A KR 101196366 B1 KR101196366 B1 KR 101196366B1
Authority
KR
South Korea
Prior art keywords
server
security
network
function
lan card
Prior art date
Application number
KR1020090004480A
Other languages
English (en)
Other versions
KR20100085290A (ko
Inventor
승철 한
Original Assignee
주식회사 엔피코어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔피코어 filed Critical 주식회사 엔피코어
Priority to KR1020090004480A priority Critical patent/KR101196366B1/ko
Publication of KR20100085290A publication Critical patent/KR20100085290A/ko
Application granted granted Critical
Publication of KR101196366B1 publication Critical patent/KR101196366B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크상에서 다양한 접속자에게 서비스를 행하고 있는 서버의 외부 침입으로부터 가장 효과적이고 효율적으로 차단하기 위하여, 랜카드에 차단을 위한 하드웨어 및 소프트웨어를 탑재하는 보안용 랜카드 시스템에 관한 것이다.
본 발명의 보안 랜카드는 네트워크로부터 패킷의 송수신 기능, 수신된 패킷 의 필터를 수행하는 필터기능, 접근 제어기능 및 TCP 연결관리 기능, 호스트의 동작 상태를 확인하는 모니터 기능등을 수행하도록 최적화된 하드웨어이다.
서버보안, 임베디드 하드웨어, 보안 랜카드, 가속 랜카드

Description

서버보안을 위한 랜카드 시스템 {Security NIC system}
본 발명은 네트워크상에서 다수에게 패킷을 이용하여 정보의 입출력을 통한 서비스를 하는 범용 서버의 보안을 위해 설치되는 서버 보안 시스템에 관한 것이다.
서버보안이란 네트워크상에서 허가되지 않는 외부의 침입으로부터 서버를 보호하기 위한 것으로 서버시스템의 내부 또는 외부에 설치되게 되고 네트웍을 통해 유입되는 모든 트래픽에 대한 연결을 제어하고 감시하며 서비스를 위해 최적의 서버상태를 유지시키기 위한 역할을 수행한다.
이러한 종래의 서버 보안 시스템은 두가지의 형태로 구분해 볼 수 있다
제 1 의 종래의 서버보안 시스템은 소프트웨어 형태로서 구현된다. 즉 소프트웨어형태로서 서버 시스템의 범용 OS에 서비스를 위한 소프트웨어와 같이 설치되어 서버 내부의 CPU,메모리 및 하드디스크를 공유하여 사용하는 소프트웨어인 것이다.
이에 반해 제 2 의 종래의 서버 보안 시스템은 전용 하드웨어 시스템의 형태로 구현된다. 즉 보안 기능만을 수행하기 위해 설계된 CPU와 메모리, 네트워크 인 터페이스를 구비하는 전용 하드웨어인 것이다.
이러한 제 1 및 제 2 의 종래의 서버보안 시스템은 각각의 문제점을 지니고 있다.
소프트웨어 형태로 구현된 제 1 의 종래의 서버보안 시스템은 서버 내부에 설치되어 동작함으로서 비록 서버를 보호하기 위한 외부 침입으로부터의 차단 및 서버 내부의 시스템 상태 확인 등 서버 내부에 대한 보안성 및 모니터링이 가능하다는 장점은 있으나, 소프트웨어이기 때문에 서버 내부의 리소스를 사용함으로 인해 서버의 성능에 저하를 가져오며 최근 증가하고 있는 DDOS공격 등 외부로부터의 서버 자원에 대한 공격형태에 대해 전혀 대비할 수 없는 단점을 가지고있다.
전용하드웨어 형태로 구현된 제2의 종래의 서버보안 시스템은 외부에 보안을 위한 자체 하드웨어를 보유하고 있어 외부로부터의 공격에 대한 차단 및 DDOS공격 등 서버 자원에 대한 공격에 대한 방어가 가능하다는 장점은 있으나, 외부의 하드웨어 형태로 설치되어 서버의 상태에 대한 모니터가 되지 않기 때문에 서버 내부에 대한 보안 및 가용성 확보가 불가능하고 전용하드웨어로서 높은 도입비용 및 설치와 운영상의 어려움으로 도입이 어렵다는 단점을 가지고있다.
본 발명은 상술한 바와 같은 종래의 기술의 문제점을 극복하기 위한 것으로,서버의 통신을 위해 필수로 설치되는 랜카드에 보안을 위한 소프트웨어 및 하드웨어를 구성한 임베디드 하드웨어 시스템을 제공한다. 즉, 서버에 설치되어 서버 의 상태의 모니터링이 가능함으로 서버내부에 대한 자원 관리 및 내부 보안 상태의 확인이 가능하고 패킷의 입출력 단에 보안을 위한 하드웨어가 존재함으로 서버 내부의 리소스를 사용하지 않고도 카드에서의 우선 처리를 통해 외부의 다양한 공격을 처리할 수 있으며 불필요한 트래픽의 서버로의 접근을 사전에 차단함으로서 기존 서버의 성능도 증가시킨다.
상술한 바와 같이 본 발명에 따르면, 서버보안 제품으로서 필수적인 보안 기능들을 랜카드에 포함 시킴으로서 서버 내부의 보안성을 높일 수 있고 서버 외부로 부터의 공격 및 불필요 트래픽의 유입을 사전에 차단하는 효과가 있다.
또한 보안 제품의 도입 및 설치,운영등에 필요한 비용 및 관리 인력을 최소화하고 서버의 성능 향상을 통해 최소한의 서버 운영이 가능토록 하는 효과가 있다.
상기한 목적을 달성하기 위하여, 본 발명은 네트워크를 통해 서버로의 허가되지 않은 네트워크 침입을 막기 위한 서버보안 시스템에 있어서, 네트워크로부터 패킷을 수신하여 선택적으로 서버로 상기 패킷을 전달하거나 차단하는 패킷 필터 기능, 특정 IP나 ID값에 따라 서버가 지정한 IP 주소로 전달하는 주소 변환기능, 패킷의 접근을 제한하는 접근 제어 기능, TCP 프로토콜의 세션 연결에 대해 우선 연결하고 검사 후 차단 또는 정상 세션을 연결하는 프록시기능, TCP 연결을 유지시켜주는 TCP 연결 관리 기능, PCI버스등을 통해 서버의 통신 상태 및 프로그램 동작 상태를 확인하는 모니터링 기능을 포함한다.
여기서 서버보안 랜카드의 고유 기능을 위해 외부와의 연결은 이더넷을 사용하며 서버와의 연결은 PCI 인터페이스에 의한 연결이 바람직하다.
이하, 첨부된 도면을 참조로 하여 본 발명의 바람직한 실시예에 대하여 상세 하게 설명한다.
도 2 는 본 발명의 실시예에 따르는 보안 랜카드의 임베디드 하드웨어 구성을 나타내는 불록도이다. 여기에서, 임베디드 하드웨어란 서버보안을 위한 특정기능을 고속으로 수행하기 위하여 최적으로 설계된 전용 하드웨어를 뜻한다.
임베디드 하드웨어(100)는 CPU (102), RAM (104), ROM (106), 메모리 관리기(108), LED 제어기 (110), 전력 관리기 (112), 통신 프로토콜 인터페이스 (114), NIC (120), 이더넷 수신 인터페이스(130) 및 이더넷 송신 인터페이스(132)를 구비한다.
CPU (102) 는 서버보안 시스템에서의 보안 기능뿐만 아니라 임베디드 하드웨어 (100) 의 모든 작업을 제어하는 일을 한다. 이렇게 모든 작업을 임베디드 하드웨어 (100) 에서 처리하여 전체 하드웨어 시스템의 리소스에는 영향을 미치지 않게 한다.
ROM (106) 에는 서버보안 시스템의 필수적인 알고리즘을 저장하고, 운영자가 설정한 환경값과 차체적으로 생성한 목록을 저장한다. 이러한 알고리즘, 환경값 및 목록은 CPU (102)에 빠르게 접근하여 처리하는데 사용된다.
NIC (120) 는 범용서버 (140) 의 PCI 슬롯에 장착되어, 동작시 임베디드 하 드웨어 (100) 와 범용서버(140) 의 인터페이스 역할을 맡아 양자간 패킷의 전달 및 환경값의 전달등을 위해 사용된다. 이러한 NIC (120) 는 기존의 시스템에 쉽게 설치하여 사용할 수 있으므로, 하드웨어의 구성의 변경 없이 사용 가능하다.
이더넷 송수신 인터페이스 (130 및 132)는 도 1 의 네트워크(10)와의 인터페이스로서, 스위치 (000) 와 패킷이 전송될 수 있게 한다.
통신 프로토콜 인터페이스 (114) 는 범용서버 (120) 의 운영체제의 응용 프로그램과 임베디드 하드웨어 (100) 의 운영 체제 사이에서 서로 통신을 하는 역할을 하며, 사용자가 응용프로그램을 이용하여 환경 값을 변경하였을 경우나 임베디드 하드웨어 (100) 응용프로그램에 값을 전달하여야 하는 경우에 통신을 하여 두 시스템이 유기적으로 연동하게 한다.
이상과 같이, 임베디드 하드웨어 (100) 는 서버보안 제품에서 수행하는 기능을 수행하도록 최적의 설계를 하여 고성능과 다양한 기능을 제공한다. 또한, 이러한 기능을 수행하는 임베디드 하드웨어 (100) 는 반드시 도 2 화 같은 구성으로 이루어질 필요는 없으며, 예를 들어 하나의 집적화된 칩으로 구현한다든지 하는 다양한 구현 수단이 가능하다는 것은 당업자에 있어 명백한 것이다.
도 3 은 본 발명의 실시예에 따르는 서버보안 시스템의 구성을 나타내는 블록도 이다.
본 발명의 실시예에 따르는 서버보안 랜카드 시스템 (210) 은 네트워크 (230) 로 부터 패킷을 송수신하여 PCI 인터페이스 (212) 를 통해 범용서버 하드웨어 (220)에 전달하고 범용서버 하드웨어 (220) 로 부터 패킷을 송 수신하여 네트워 크 (230) 로 전달하는 역할을 하며 범용서버 (240) 내부에 포함되어 범용서버 (240) 와 하나의 시스템으로 구성되어 진다. 여기서 서버보안 랜카드 (210) 은 네트워크와 이더넷 송수신 인터페이스를 통하여 연결되고, 범용서버 하드웨어 (220)와 네트워크는 직접 연결되지 않는다. 서버보안 랜카드 (210) 와 범용서버 하드웨어 (220) 와의 연결은 PCI 인터페이스 (212) 뿐만 아니라, AGP 또는 USB 인터페이스등을 사용할 수도 있다.
이하에서, 본 발명의 실시예에 따르는 서버보안 랜카드 (210)로서 수행하는 기능을 구분하여 설명해보겠다.
먼저 서버 보안 장비로 수행하는 보안 기능으로는 네트워크에서 전달되는 패킷을 받아서 필요한 정보를 얻어내어 선택적으로 범용서버 하드웨어로 패킷을 전달하거나 차단하는 패킷 필터 기능, 네트워크와 범용서버 하드웨어 사이에서 패킷의 접근 통제 리스트에 기반한 규칙에 의하여 접근을 제한하는 접근 제어 기능, TCP 프로토콜을 이용하여 접속을 맺었을때 연결을 유지시키는 TCP 연결 관리 기능 및 TCP 프로토콜을 이용하여 접속 시도시 먼저 연결을 맺고 선택적으로 범용서버와 연결을 해주는 프록시 기능 등이 있다.
이러한 서버보안 랜카드 (210) 에서 수행되는 상기 기능은 서버보안제품으로 꼭 처리해야 하는 기능으로 빈번하게 발생되어 서버의 성능에 가장 영향을 미치는 기능이다. 이러한 빈번하고 필수적인 기능을 최적화된 전용 하드웨어로 처리함으로써 서버의 성능저하가 없을 뿐만 아니라 오히려 불필요한 트래픽의 감소로 인해 성능 향상의 효과를 갖게 되는 것이다.
다음으로 서버보안으로 수행하는 관리 기능으로 여러 가지가 있을 수 있는데 예를 들어 범용서버 하드웨어 (22O) 의 CPU, 메모리등의 하드웨어 상태 확인기능, 범용서버 소프트웨어의 정상 동작 유무 확인, 범용서버의 데이터들에 대해 인가되지 않은 사용자의 불법적인 변경이 발생하였을 경우 이를 감지하여 관리자에게 알리는 데이터 무결성 기능, 보안이벤트에 대해 지정된 관리자에게 전송할 수 있는 이벤트 전송기능이 있다. 여기서 예를 들어 제시한 서버보안 기능들은 반드시 필수적인 것은 아니며 운영자의 다양한 요구에 맞게 부합할 수 있는 것이다.
본 발명은 상기의 실시예를 참조하여 특별히 도시되고 기술되었지만, 이는 예시를 위하여 사용된 것이며 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 첨부된 청구범위에서 정의된 것처럼 발명의 정신 및 범위를 벗어남이 없이 다양한 수정을 할 수 있다.
현재 서버보안 시장은 위에서 기술한 두 가지 형태의 제품으로 되어 있다.
이러한 제품의 형태는 보안을 위한 어쩔 수 없는 선택을 강요하고 있으며 소프트 웨어의 제품을 도입하기 위해서는 성능 저하로 인해 서버의 증설이 불가피 하고 전용 하드웨어 제품의 경우 서버 내부의 보안을 위해 또 다른 제품을 구입하여야 하기 때문에 관리 포인트의 증가에 따른 관리의 어려움 및 도입 비용의 부담으로 대형 업체나 금융권 공공기관등 소수의 시장에 국한되고 있는 실정이다.
상술한 바와 같이 본 발명은 기존 제품이 가지고 있는 문제를 해결하고 두 가지 제 품이 가지는 장점을 제공하여 도입으로 인한 비용의 절감 및 관리의 편리성, 외부및 내부 보안에 대한 장점과 서버 성능 향상 효과 등을 통해 특수 업체에 국한되어 있는 서버보안 제품의 시장 확대에 기여할 수 있을 것이다.
도 1는 일반적인 범용서버의 네트워크 설치 구성도
도 2는 본 발명의 실시예에 따르는 서버보안 랜카드의 임베디드 하드웨어의 구성을 나타내는 블록도.
도 2는 본 발명의 실시예에 따르는 서버보안 시스템의 구성을 나타내는 블록도
*도면의 주요 부분에 대한 부호의 설명*
240 :범용서버 210: 보안 랜카드
212: PCI 인터페이스 150: 네트워크
270: 패킷 140: 범용서버 하드웨어

Claims (4)

  1. 서버 내부에 장착되는 랜카드에 있어서,
    서버 보안 기능을 수행하는 프로세서;
    서버 보안을 위한 처리 방법이 저장되는 ROM;
    PCI, AGP 및 USB 중 어느 하나로 구성되어, 상기 서버와 인터페이싱을 수행하는 네트워크 인터페이스;
    상기 프로세서의 제어에 따라 네트워크와 패킷을 송수신하는 송수신 인터페이스; 및
    상기 서버에 설치된 운영체제와 상기 랜카드 사이의 통신을 수행하는 통신 프로토콜 인터페이스를 포함하되,
    상기 프로세서는 상기 송수신 인터페이스를 통해 네트워크로부터 전송된 패킷을 상기 네트워크 인터페이스를 통해 상기 서버에 제공하거나 차단하는 패킷 필터링, 미리 설정된 접근 통제 규칙에 기초하여 네트워크로부터 서버로의 접근을 제한하는 접근 제한, TCP 프로토콜에 따라 접속된 연결을 유지시키는 TCP 연결관리 및 프록시 기능을 수행하고, 상기 서버의 하드웨어 자원의 상태를 확인하고, 상기 서버에 설치된 소프트웨어의 정상 동작 여부를 확인하는 모니터링 기능을 수행하는 것을 특징으로 하는 서버 보안을 위한 랜카드.
  2. 삭제
  3. 제 1 항에 있어서, 상기 프로세서는
    상기 서버에 저장된 데이터의 불법 변경 여부를 감지하고, 보안 관련 이벤트의 발생시 미리 지정된 관리자에게 전송하는 것을 특징으로 하는 서버 보안을 위한 랜카드.
  4. 삭제
KR1020090004480A 2009-01-20 2009-01-20 서버보안을 위한 랜카드 시스템 KR101196366B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090004480A KR101196366B1 (ko) 2009-01-20 2009-01-20 서버보안을 위한 랜카드 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090004480A KR101196366B1 (ko) 2009-01-20 2009-01-20 서버보안을 위한 랜카드 시스템

Publications (2)

Publication Number Publication Date
KR20100085290A KR20100085290A (ko) 2010-07-29
KR101196366B1 true KR101196366B1 (ko) 2012-11-01

Family

ID=42644229

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090004480A KR101196366B1 (ko) 2009-01-20 2009-01-20 서버보안을 위한 랜카드 시스템

Country Status (1)

Country Link
KR (1) KR101196366B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101382569B1 (ko) * 2012-09-24 2014-04-09 주식회사 시큐아이 패킷 처리 시스템 및 패킷 처리 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법

Also Published As

Publication number Publication date
KR20100085290A (ko) 2010-07-29

Similar Documents

Publication Publication Date Title
US7797436B2 (en) Network intrusion prevention by disabling a network interface
US8154987B2 (en) Self-isolating and self-healing networked devices
EP1895738B1 (en) Intelligent network interface controller
KR100358518B1 (ko) 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
CA3021285C (en) Methods and systems for network security
US20070005987A1 (en) Wireless detection and/or containment of compromised electronic devices in multiple power states
US20090044270A1 (en) Network element and an infrastructure for a network risk management system
WO2019198137A1 (ja) セキュリティ装置及び組込み機器
US9444845B2 (en) Network security apparatus and method
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
KR101196366B1 (ko) 서버보안을 위한 랜카드 시스템
KR20200098181A (ko) 통합보안네트워크카드에의한네트워크보안시스템
US20210099525A1 (en) System, method, and computer program product for managing a connection between a device and a network
KR101747144B1 (ko) 비인가 ap 차단 방법 및 시스템
KR101639428B1 (ko) 보드기반 단방향 통신제어 시스템
US20080282346A1 (en) Data Type Management Unit
KR100728446B1 (ko) 하드웨어 기반의 침입방지장치, 시스템 및 방법
KR20160143086A (ko) Sdn을 이용한 사이버 검역 시스템 및 방법
KR20040079515A (ko) 침입탐지시스템용 임베디드 보드 및 이를 포함하는침입탐지시스템
WO2017082918A1 (en) Redirecting flow control packets
KR20160052978A (ko) 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템
KR100994404B1 (ko) 네트워크 보안 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B601 Maintenance of original decision after re-examination before a trial
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181025

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191010

Year of fee payment: 8