KR101358962B1 - Method for controlling access in network of unauthorized apparatus - Google Patents

Method for controlling access in network of unauthorized apparatus Download PDF

Info

Publication number
KR101358962B1
KR101358962B1 KR1020130096360A KR20130096360A KR101358962B1 KR 101358962 B1 KR101358962 B1 KR 101358962B1 KR 1020130096360 A KR1020130096360 A KR 1020130096360A KR 20130096360 A KR20130096360 A KR 20130096360A KR 101358962 B1 KR101358962 B1 KR 101358962B1
Authority
KR
South Korea
Prior art keywords
vlan
isolation
information
unauthorized
network
Prior art date
Application number
KR1020130096360A
Other languages
Korean (ko)
Other versions
KR20140008271A (en
Inventor
서승호
문해은
나연경
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020130096360A priority Critical patent/KR101358962B1/en
Publication of KR20140008271A publication Critical patent/KR20140008271A/en
Application granted granted Critical
Publication of KR101358962B1 publication Critical patent/KR101358962B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]

Abstract

본 발명은 VLAN 고립/격리/해제 명령 전달부에 의해 네트워크에 연결된 자원이 비인가된 자원으로 판단된 경우, 비인가된 자원이 속한 물리적인 위치 정보를 SNMP을 이용하여 획득하는 비인가된 자원 위치 정보 획득 단계, VLAN 고립/격리/해제 명령 전달부에 의해 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 SNMP을 이용하여 획득하는 비인가된 자원 VLAN 정보 획득 단계 및 VLAN 제어부의 제어하에 VLAN 고립/격리/해제 명령 수신부를 통해 VLAN 고립/격리/해제 명령 전달부로부터 전달받은 비인가된 자원이 네트워크에 연결된 자원에 접속을 막도록 비인가된 자원의 VLAN을 고립시키는 과정과 네트워크에 특정 자원에만 접속하도록 비인가된 자원의 VLAN을 격리시키는 과정중 적어도 하나의 과정을 수행시키는 비인가된 자원 VLAN 고립/격리 단계를 포함하며, 비인가된 자원 위치 정보 획득 단계는, 네트워크에 연결된 스위치의 벤더 정보중 스위치의 벤더별 특성에 따라 VLAN 변경 방법이 상이한 것에 대해 벤더 정보를 획득하는 단계를 포함한다.According to the present invention, when the resource connected to the network is determined to be an unauthorized resource by the VLAN isolation / isolation / release command transfer unit, an unauthorized resource location information acquiring step of acquiring physical location information to which an unauthorized resource belongs is obtained using SNMP. , VLAN isolation / isolation / release under the control of VLAN control and VLAN resource acquisition step for acquiring VLAN information of the physical location information belonging to the unauthorized resource by the VLAN isolation / isolation / release command transmission unit using SNMP Isolation / Isolation / Release of VLANs through the Command Receipt The process of isolating VLANs of unauthorized resources so that unauthorized resources received from the command delivery block prevent access to resources connected to the network. An unauthorized resource VLAN isolation / isolation step that performs at least one of the VLAN isolation procedures. The obtaining of the unauthorized resource location information may include obtaining vendor information regarding a different VLAN changing method according to vendor-specific characteristics of a switch among vendor information of a switch connected to a network.

Description

비인가 장치의 네트워크 접근 제어 방법{Method for controlling access in network of unauthorized apparatus}Method for controlling access in network of unauthorized apparatus

본 발명은 비인가 장치의 네트워크 접근 제어 방법에 관한 것이다.
The present invention relates to a network access control method of an unauthorized device.

일반적으로, 기존에 이용되는 네트워크 접근 제어에서 네트워크에 접근하는 모든 자원에 대해 자원의 무결성과 보안 정책 점검을 통해 접속 여부를 결정하여 네트워크 접속을 허용 혹은 거부할지를 결정하는 방법은 내부 네트워크의 모든 트래픽을 감시하는 방법, 장비마다 에이전트를 설치하여 에이전트를 통해 단말의 상태를 점검 및 차단하는 방법, 네트워크 접근 제어를 포함하는 네트워크 장비를 이용하는 방법 등이 있다.In general, the method of determining whether to allow or deny network access by determining the access through the resource integrity and security policy check for all resources accessing the network in the existing network access control is to control all traffic of the internal network. There is a method of monitoring, a method for installing an agent for each device to check and block the state of the terminal through the agent, and a method of using a network device including network access control.

일예로, 네트워크 내의 트래픽을 감시하는 방법은 트래픽 탐지 등 트래픽 모니터링의 강점을 가지고 있으나, 차단/해제 기능 포함을 위해 기존에 없는 트래픽을 발생하여 네트워크의 트래픽 부하를 줄 수가 있었다.For example, the method of monitoring the traffic in the network has the strengths of traffic monitoring such as traffic detection, but it was possible to reduce the traffic load of the network by generating the existing traffic to include the blocking / release function.

또한, 장비마다 에이전트를 설치하여 에이전트를 통해 단말의 상태를 점검 및 차단하는 방법은 해당 에이전트를 통해 단말의 상태를 점검할 수 있는 장점을 가지고 해당 에이전트가 설치된 장비에 대해서는 에이전트를 통해 차단/해제 기능을 지원할 수 있지만, 설치되지 않은 장비에 대해 별도의 장비와 연동으로 차단 및 해제 기능을 지원해야 하는 문제점이 있었다.In addition, the method of checking and blocking the state of the terminal through the agent by installing the agent for each device has the advantage of checking the state of the terminal through the agent, and the blocking / release function through the agent for the equipment where the agent is installed. Although it can support, there was a problem that should support the block and release function in conjunction with a separate device for the equipment that is not installed.

또한, 네트워크 접근 제어를 포함하는 네트워크 장비를 이용하는 방법은 해당 네트워크 장비들 간에 NAC(Network Admission Control) 기능을 수행할 수 있도록 하나의 벤더에 해당하는 네트워크 장비들로 구성되고, 클라이언트에서도 해당 네트워크 장비와 관리 기능을 수행할 수 있는 프로토콜을 지원해야 하는 문제점이 있었다.In addition, a method of using a network device including network access control is composed of network devices corresponding to one vendor so as to perform a network admission control (NAC) function between the corresponding network devices. There was a problem in supporting a protocol capable of performing management functions.

이러한, 네트워크 접근 제어를 포함하는 네트워크 장비를 이용하는 방법은 다양한 벤더들로 구성된 망에서는 네트워크 장비간의 연동이 되지않아 네트워크 접근 제어 기능을 수행하는데에 어려운 문제점이 있었다.Such a method using a network device including network access control has a difficult problem in performing a network access control function because network devices are not interworked in a network composed of various vendors.

최근에는, 종래의 기술들의 단점들을 보완하여 네트워크의 구성에 변경이 없고, 네트워크 부하를 줄이며, 인가되지 않은 자원에 대한 자동화된 대처 방안에 대한 요구가 제기되고 있다.
In recent years, there has been a demand for an automatic countermeasure against uncommitted resources without any change in the configuration of the network to compensate for the shortcomings of the conventional techniques.

본 발명의 목적은, 고립/격리/해제 대상에 대한 정보를 SNMP를 이용한 정보 가공을 통하여 관리 대상의 위치 정보를 일일이 관리자가 물리적인 위치 확인을 하지 않고도, 해당 자원의 MAC 주소 정보만 전달하면 해당 자원의 위치 정보를 확인할 수 있고, 해제시 해제 대상 자원의 IP 주소 정보만으로 해당 자원에 할당할 VLAN 정보를 자동으로 찾을 수 있어 관리 및 재사용에 유연한 대응이 가능한 비인가 장치의 네트워크 접근 제어 방법을 제공하는 데에 있다.An object of the present invention, if the information on the isolation / isolation / release target using SNMP through the processing of the location information of the management target, without the administrator to check the physical location, only the MAC address information of the corresponding resource, It can check the location information of resources and automatically find the VLAN information to be allocated to the resource only by the IP address information of the resource to be released, providing a network access control method for unauthorized devices that can respond flexibly to management and reuse. There is.

본 발명의 다른 목적은, 네트워크 자원의 연결 위치 확인을 위해 관리자가 네트워크 자원의 물리적인 위치를 직접 찾아야 하는 불편함을 줄이고, 해당 자원이 연결된 물리적인 위치를 자동으로 찾아주어 비인가된 자원의 위치를 신속하게 파악하여 네트워크를 이용하지 못하도록 신속하게 고립 혹은 제한된 기능만 이용할 수 있도록 격리를 가능하게 할 수가 있는 비인가 장치의 네트워크 접근 제어 방법을 제공하는 데에 있다.Another object of the present invention is to reduce the inconvenience that the administrator must directly find the physical location of the network resources to determine the connection location of the network resources, and automatically finds the physical location to which the resource is connected to determine the location of unauthorized resources The present invention provides a method for controlling network access of an unauthorized device that can be quickly identified and isolated so that only a limited function can be used.

본 발명의 또 다른 목적은, 네트워크 고립/격리/해제를 위해 네트워크 장비를 교체함 없이 기존에 구성된 네트워크를 기반으로 네트워크 장비의 벤더에 종속되지 않고 고립/격리/해제 기능을 자동화시킬 수가 있는 비인가 장치의 네트워크 접근 제어 방법을 제공하는 데에 있다.Still another object of the present invention is to provide an unauthorized device capable of automating isolation / isolation / release without having to rely on a vendor of network equipment based on an existing network without replacing network equipment for network isolation / isolation / release. To provide a network access control method of the.

본 발명의 또 다른 목적은, 차단 및 해제 유지를 위해 발생한 관리 트래픽 발생을 제거할 수가 있으므로, 네트워크의 부하에 영향을 주지 않고, 네트워크의 속도 저하 요소를 관리할 수 있으며, 네트워크의 보안 및 비인가된 자원의 네트워크 점유 제한을 통한 질 높은 네트워크 자원 이용을 향상시킬 수가 있는 비인가 장치의 네트워크 접근 제어 방법을 제공하는 데에 있다.
Another object of the present invention is to eliminate the management traffic generated to maintain the block and release, it is possible to manage the network slowdown factors without affecting the load of the network, secure and unauthorized An object of the present invention is to provide a network access control method for an unauthorized device that can improve the quality of network resource utilization through the restriction of network occupation of resources.

이러한 목적을 달성하기 위하여 본 발명은 VLAN 고립/격리/해제 명령 전달부에 의해 네트워크에 연결된 자원이 비인가된 자원으로 판단된 경우, 비인가된 자원이 속한 물리적인 위치 정보를 SNMP을 이용하여 획득하는 비인가된 자원 위치 정보 획득 단계, VLAN 고립/격리/해제 명령 전달부에 의해 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 SNMP을 이용하여 획득하는 비인가된 자원 VLAN 정보 획득 단계 및 VLAN 제어부의 제어하에 VLAN 고립/격리/해제 명령 수신부를 통해 VLAN 고립/격리/해제 명령 전달부로부터 전달받은 비인가된 자원이 네트워크에 연결된 자원에 접속을 막도록 비인가된 자원의 VLAN을 고립시키는 과정과 네트워크에 특정 자원에만 접속하도록 비인가된 자원의 VLAN을 격리시키는 과정중 적어도 하나의 과정을 수행시키는 비인가된 자원 VLAN 고립/격리 단계를 포함하며, 비인가된 자원 위치 정보 획득 단계는, 네트워크에 연결된 스위치의 벤더 정보중 스위치의 벤더별 특성에 따라 VLAN 변경 방법이 상이한 것에 대해 벤더 정보를 획득하는 단계를 포함한다.In order to achieve the above object, the present invention provides a non-licensed device that obtains physical location information to which an unauthorized resource belongs by using SNMP when a resource connected to a network is determined to be an unauthorized resource by a VLAN isolation / isolation / release command transfer unit. Resource location information acquisition step, unauthorized resource VLAN information acquisition step of acquiring VLAN information of physical location information to which unauthorized resource belongs by the VLAN isolation / isolation / release command transmission unit using SNMP, and under control of VLAN control unit The process of isolating VLANs of unauthorized resources so that unauthorized resources received from VLAN isolation / isolation / release command transmitters prevent access to resources connected to the network, and only those resources specific to the network. Unauthorized to perform at least one of the steps of isolating VLANs of unauthorized resources to access Source comprises a VLAN isolated / isolation step, to obtain an unauthorized resource location information comprises: a step for obtaining vendor information about the VLAN change how different depending on vendor-specific attributes of the switch of vendor information of the switch is connected to the network.

본 발명의 다른 특징에 따르면, VLAN 제어부의 제어하에 VLAN 고립/격리/해제 명령 수신부를 통해 VLAN 고립/격리/해제 명령 전달부로부터 전달받은 비인가된 자원의 VLAN을 고립 해제 및 격리 해제중 적어도 하나를 수행시키는 비인가된 자원 VLAN 고립/격리 해제 단계를 더 포함한다.According to another feature of the present invention, at least one of de-isolating and de-isolating a VLAN of an unauthorized resource received from a VLAN isolation / isolation / release command transmission unit through a VLAN isolation / isolation / release command receiver under control of a VLAN controller. The method further includes performing unauthorized resource VLAN isolation / release.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 위치 정보 획득 단계는 네트워크에 구성된 스위치에 각 포트별로 연결된 네트워크 자원의 MAC 주소 정보를 획득하여 네트워크 자원들의 물리적인 구성 정보를 획득하고, 네트워크에 연결된 비인가 자원의 MAC 주소 정보를 기반으로 비인가 자원이 연결된 스위치 정보와 스위치의 포트 정보를 획득하는 단계를 포함한다.According to another feature of the present invention, the step of acquiring unauthorized resource location information acquires physical address information of network resources by acquiring MAC address information of network resources connected to each port to a switch configured in the network, and unauthorized access to the network. Acquiring switch information to which unauthorized resources are connected and port information of the switch based on the MAC address information of the resource.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 위치 정보 획득 단계는 네트워크에 연결된 스위치의 정보를 이용하여 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 sysDescr 정보와 sysObjectID 정보중 적어도 하나를 확인하는 단계를 포함한다.According to another feature of the present invention, the step of acquiring unauthorized resource location information automatically obtains vendor information of a switch connected to a network when acquiring physical location information to which an unauthorized resource belongs by using information of a switch connected to the network. Verifying at least one of the sysDescr information and the sysObjectID information.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 위치 정보 획득 단계는 sysObjectID 정보의 확인을 통해 네트워크에 연결된 스위치의 벤더 정보에 해당하는 Enterprise subtree 정보를 획득하여 어떤 벤더에 속하였는지를 획득하는 단계를 포함한다.According to another aspect of the present invention, the step of acquiring unauthorized resource location information includes obtaining enterprise subtree information corresponding to vendor information of a switch connected to a network through acquiring sysObjectID information and acquiring which vendor it belongs to. .

본 발명의 또 다른 특징에 따르면, 비인가된 자원 위치 정보 획득 단계는 네트워크에 연결된 스위치의 정보를 이용하여 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 enterprises root MO에서 SNMP GetNext 명령을 전달하고 응답 MO에서 기업 OID 정보를 획득하여 벤더 정보를 획득하는 단계를 포함한다.According to another feature of the present invention, the step of acquiring unauthorized resource location information automatically obtains vendor information of a switch connected to a network when acquiring physical location information to which an unauthorized resource belongs by using information of a switch connected to the network. In order to verify the information, the enterprise root MO includes an SNMP GetNext command and obtains enterprise OID information from the response MO to obtain vendor information.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 VLAN 정보 획득 단계는 네트워크에 스위치의 포트별로 할당된 VLAN ID 정보와 네트워크에 연결된 특정 스위치의 포트가 속한 VLAN 정보중 적어도 하나를 이용하여 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 자동으로 획득하는 단계를 포함한다.According to another aspect of the present invention, the step of acquiring unauthorized resource VLAN information may include obtaining an unauthorized resource using at least one of VLAN ID information allocated for each port of a switch and VLAN information to which a port of a specific switch connected to the network belongs. And automatically obtaining VLAN information of belonging physical location information.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 VLAN 고립/격리 단계는 비인가된 자원 위치 정보 획득 단계와 비인가된 자원 VLAN 정보 획득 단계를 통해 획득한 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 미부여된 VLAN ID를 비인가된 자원이 연결된 스위치의 포트에 할당하여 비인가된 자원이 네트워크에 연결된 자원에 접속을 막도록 비인가된 자원의 VLAN을 고립시키는 단계를 포함한다.According to another feature of the present invention, the unauthorized resource VLAN isolation / isolation step includes VLAN information of the physical location information to which the unauthorized resource acquired through the unauthorized resource location information acquisition step and the unauthorized resource VLAN information acquisition step belongs. And assigning an unlicensed VLAN ID to a port of a switch to which an unauthorized resource is connected to isolate the VLAN of the unauthorized resource so that the unauthorized resource prevents access to a resource connected to the network.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 VLAN 고립/격리 단계는 비인가된 자원 위치 정보 획득 단계와 비인가된 자원 VLAN 정보 획득 단계를 통해 획득한 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 비인가된 자원이 연결된 스위치의 포트에 Guest VLAN ID를 할당하여 비인가된 자원이 네트워크에 연결된 특정 자원에만 접속하도록 비인가된 자원의 VLAN을 격리시키는 단계를 포함한다.According to another feature of the present invention, the unauthorized resource VLAN isolation / isolation step includes VLAN information of the physical location information to which the unauthorized resource acquired through the unauthorized resource location information acquisition step and the unauthorized resource VLAN information acquisition step belongs. And assigning a Guest VLAN ID to a port of a switch to which an unauthorized resource is connected based on to isolate the VLAN of the unauthorized resource so that the unauthorized resource accesses only a specific resource connected to the network.

본 발명의 또 다른 특징에 따르면, 비인가된 자원 VLAN 고립/격리 해제 단계는 네트워크에 스위치의 포트별로 연결된 고립/격리 대상의 IP 주소 정보를 기반으로, 네트워크의 위치 정보에 해당하는 연결 스위치 및 연결 스위치에 연결된 포트 정보의 확인을 통해 해당 연결 스위치에 할당된 VLAN 정보와 VLAN별 IP 주소 정보 및 NetMask 정보중 적어도 하나의 정보를 획득하여, Subnet 주소를 계산하고 동일 subnet에 속하는 VLAN ID를 해당 고립/격리 대상이 연결된 포트로 할당하여 고립/격리 해제시에 VLAN을 자동으로 할당하도록 VLAN을 자동으로 고립 해제시키는 과정과 격리 해제시키는 과정중 적어도 하나의 과정을 수행시키는 단계를 포함한다.
According to another feature of the invention, the unauthorized resource VLAN isolation / release step is based on the IP address information of the isolation / isolation target connected to each network port of the switch, connection switch and connection switch corresponding to the location information of the network Obtain the VLAN information assigned to the connection switch, at least one of the VLAN-specific IP address information, and the NetMask information by checking the port information connected to the connected switch, calculate the subnet address, and isolate / isolate the VLAN ID belonging to the same subnet. And performing at least one of automatically deisolating the VLAN and de-isolating to assign the target port to the connected port to automatically allocate the VLAN at the time of isolation / isolation.

상기한 바와 같이 이루어진 본 발명의 비인가 장치의 네트워크 접근 제어 방법에 따르면, 다음과 같은 효과를 얻을 수 있다.According to the network access control method of the unauthorized device of the present invention made as described above, the following effects can be obtained.

첫째, 고립/격리/해제 대상에 대한 정보를 SNMP를 이용한 정보 가공을 통하여 관리 대상의 위치 정보를 일일이 관리자가 물리적인 위치 확인을 하지 않고도, 해당 자원의 MAC 주소 정보만 전달하면 해당 자원의 위치 정보를 확인할 수 있고, 해제시 해제 대상 자원의 IP 주소 정보만으로 해당 자원에 할당할 VLAN 정보를 자동으로 찾을 수 있어 관리 및 재사용에 유연한 대응이 가능한 효과가 있다.First, the location information of the resource can be transferred when only the MAC address of the resource is delivered without the administrator checking the physical location of the managed object by processing the information on the isolated / isolated / released object using SNMP. It is possible to check the information and to automatically find the VLAN information to be allocated to the resource using only the IP address information of the resource to be released, thereby enabling a flexible response to management and reuse.

둘째, 네트워크 자원의 연결 위치 확인을 위해 관리자가 네트워크 자원의 물리적인 위치를 직접 찾아야 하는 불편함을 줄이고, 해당 자원이 연결된 물리적인 위치를 자동으로 찾아주어 비인가된 자원의 위치를 신속하게 파악하여 네트워크를 이용하지 못하도록 신속하게 고립 혹은 제한된 기능만 이용할 수 있도록 격리를 가능하게 할 수가 있는 다른 효과가 있다.Second, to reduce the inconvenience of the administrator having to find the physical location of the network resources directly to confirm the connection location of the network resources, and automatically find the physical location to which the resource is connected to quickly identify the location of unauthorized resources There are other effects that can be used to quickly isolate the user from using it or to allow isolation to use only limited functionality.

셋째, 네트워크 고립/격리/해제를 위해 네트워크 장비를 교체함 없이 기존에 구성된 네트워크를 기반으로 네트워크 장비의 벤더에 종속되지 않고 고립/격리/해제 기능을 자동화시킬 수가 있는 또 다른 효과가 있다.Third, there is another effect that can automate the isolation / isolation / release function without depending on the vendor of the network equipment based on the existing network without replacing the network equipment for network isolation / isolation / release.

넷째, 차단 및 해제 유지를 위해 발생한 관리 트래픽 발생을 제거할 수가 있으므로, 네트워크의 부하에 영향을 주지 않고, 네트워크의 속도 저하 요소를 관리할 수 있으며, 네트워크의 보안 및 비인가된 자원의 네트워크 점유 제한을 통한 질 높은 네트워크 자원 이용을 향상시킬 수 있는 또 다른 효과가 있다.
Fourth, the management traffic generated to maintain the blocking and release can be eliminated, so that the network slowdown can be managed without affecting the network load, and the network security and unauthorized resource limit of network There is another effect of improving the quality of network resource usage.

도 1은 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법을 구현하기 위한 비인가 장치의 네트워크 접근 제어 시스템을 나타낸 블럭 구성도.
도 2 및 도 3은 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 시스템을 이용하여 비인가 장치의 네트워크 접근을 제어하는 비인가 장치의 네트워크 접근 제어 방법을 나타낸 순서도.1 is a block diagram illustrating a network access control system of an unauthorized device for implementing a network access control method of an unauthorized device according to an embodiment of the present invention.
2 and 3 are flowcharts illustrating a network access control method of an unauthorized device for controlling network access of an unauthorized device by using the network access control system of the unauthorized device according to an embodiment of the present invention.

이하에서는 첨부된 도면을 참고로 하여 본 발명의 바람직한 실시예를 보다 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법을 구현하기 위한 비인가 장치의 네트워크 접근 제어 시스템을 나타낸 블럭 구성도이다.1 is a block diagram illustrating a network access control system of an unauthorized device for implementing a network access control method of an unauthorized device according to an embodiment of the present invention.

먼저, 도 1에 도시된 바와 같이 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법은 비인가 장치의 네트워크 접근 제어 시스템(100)을 통해 구현된다.First, as shown in FIG. 1, the network access control method of an unauthorized device according to an embodiment of the present invention is implemented through the network access control system 100 of the unauthorized device.

이때, 비인가 장치의 네트워크 접근 제어 시스템(100)은 VLAN 고립/격리/해제 명령 전달부(102), VLAN 제어부(104), VLAN 고립/격리/해제 명령 수신부(106)를 포함한다.In this case, the network access control system 100 of the unauthorized device includes a VLAN isolation / isolation / release command transfer unit 102, a VLAN control unit 104, and a VLAN isolation / isolation / release command reception unit 106.

여기서, VLAN 고립/격리/해제 명령 수신부(106)는 도시하지는 않았지만, VLAN 고립/해제 명령 수신모듈(미도시)과 VLAN 격리/해제 명령 수신모듈(미도시)로 분리되어 제공되거나, VLAN 고립/격리/해제 명령 수신모듈(미도시)로 일체되어 제공될 수가 있다.Here, the VLAN isolation / isolation / release command receiving unit 106 is not shown, but is provided separately from the VLAN isolation / release command receiving module (not shown) and VLAN isolation / release command receiving module (not shown), or VLAN isolation / It may be provided integrally to the isolation / release command receiving module (not shown).

이때, VLAN 고립/격리/해제 명령 수신부(106)는 도시하지는 않았지만, 네트워크 장비용 스위치(미도시)를 포함하여 제공될 수가 있다.In this case, the VLAN isolation / isolation / release command receiver 106 may be provided including a switch (not shown) for network equipment although not shown.

이러한, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 시스템(100)을 이용하여 비인가 장치의 네트워크 접근을 제어하는 비인가 장치의 네트워크 접근 제어 방법을 살펴보면 다음 도 2와 같다.Such a network access control method of an unauthorized device for controlling network access of an unauthorized device using the network access control system 100 of an unauthorized device according to an embodiment of the present invention will be described with reference to FIG. 2.

도 2 및 도 3은 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 시스템을 이용하여 비인가 장치의 네트워크 접근을 제어하는 비인가 장치의 네트워크 접근 제어 방법을 나타낸 순서도이다.2 and 3 are flowcharts illustrating a network access control method of an unauthorized device for controlling network access of an unauthorized device by using a network access control system of an unauthorized device according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(200)은 비인가된 자원 위치 정보 획득 단계(S201), 비인가된 자원 VLAN 정보 획득 단계(S203), 비인가된 자원 VLAN 고립/격리 단계(S205, S207)를 포함한다.As shown in FIG. 2, in the network access control method 200 of an unauthorized device according to an embodiment of the present invention, an unauthorized resource location information acquisition step (S201), an unauthorized resource VLAN information acquisition step (S203), and an unauthorized application Resource VLAN isolation / isolation steps (S205, S207).

비인가된 자원 위치 정보 획득 단계(S201)는 VLAN 고립/격리/해제 명령 전달부(도1의 102)에 의해 네트워크에 연결된 자원이 비인가된 자원으로 판단된 경우, 비인가된 자원이 속한 물리적인 위치 정보를 자동으로 획득하는 단계를 수행한다.In step S201 of obtaining unauthorized resource location information, when the resource connected to the network is determined to be an unauthorized resource by the VLAN isolation / isolation / release command transfer unit (102 of FIG. 1), physical location information to which the unauthorized resource belongs. Perform the step of automatically obtaining.

이때, 비인가된 자원 위치 정보 획득 단계(S201)는 네트워크에 구성된 스위치에 각 포트별로 연결된 네트워크 자원의 MAC 주소 정보를 획득하여 네트워크 자원들의 물리적인 구성 정보를 획득하고, 네트워크에 연결된 비인가 자원의 MAC 주소 정보를 기반으로 비인가 자원이 연결된 스위치 정보와 스위치의 포트 정보를 자동으로 획득하는 단계를 수행할 수가 있다.At this time, the step of obtaining unauthorized resource location information (S201) obtains the MAC address information of network resources connected to each port to the switch configured in the network to obtain physical configuration information of network resources, and the MAC address of unauthorized resources connected to the network. Based on the information, the step of automatically obtaining switch information to which unauthorized resources are connected and port information of the switch may be performed.

또한, 비인가된 자원 위치 정보 획득 단계(S201)는 네트워크에 연결된 스위치의 벤더 정보중 스위치의 벤더별 특성에 따라 VLAN 변경 방법이 상이한 것에 대해 자동화 처리를 포함하여 벤더 정보를 획득하는 단계를 수행할 수가 있다.In addition, the unauthorized resource location information acquisition step S201 may perform a step of acquiring vendor information, including an automated process, for a VLAN change method that differs according to vendor-specific characteristics of a switch among vendor information of a switch connected to a network. .

또한, 비인가된 자원 위치 정보 획득 단계(S201)는 네트워크에 연결된 스위치의 정보를 이용하여 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 sysDescr 정보와 sysObjectID 정보중 적어도 하나를 확인하는 단계를 수행할 수가 있다.In addition, in step S201 of acquiring unauthorized resource location information, when acquiring physical location information to which an unauthorized resource belongs by using information of a switch connected to a network, sysDescr And checking at least one of the information and the sysObjectID information.

이때, 비인가된 자원 위치 정보 획득 단계(S201)는 sysObjectID 정보의 확인을 통해 네트워크에 연결된 스위치의 벤더 정보에 해당하는 Enterprise subtree 정보를 획득하여 어떤 벤더에 속하였는지를 획득하는 단계를 수행할 수가 있다.At this time, the step of acquiring unauthorized resource location information (S201) may perform the step of acquiring which vendor belongs to the enterprise subtree information corresponding to the vendor information of the switch connected to the network by checking the sysObjectID information.

또한, 비인가된 자원 위치 정보 획득 단계(S201)는 네트워크에 연결된 스위치의 정보를 이용하여 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 enterprises root MO에서 SNMP GetNext 명령을 전달하고 응답 MO에서 기업 OID 정보를 획득하여 벤더 정보를 획득하는 단계를 수행할 수가 있다.In addition, in step S201 of acquiring unauthorized resource location information, when acquiring physical location information to which an unauthorized resource belongs by using information of a switch connected to a network, enterprises to automatically verify vendor information of a switch connected to the network. The step of obtaining vendor information may be performed by transmitting an SNMP GetNext command from the root MO and obtaining enterprise OID information from the response MO.

이 후, 비인가된 자원 VLAN 정보 획득 단계(S203)는 VLAN 고립/격리/해제 명령 전달부(도1의 102)에 의해 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 자동으로 획득하는 단계를 수행한다.Thereafter, the unauthorized resource VLAN information acquisition step (S203) is a step of automatically obtaining VLAN information of the physical location information belonging to the unauthorized resource by the VLAN isolation / isolation / release command delivery unit (102 of FIG. 1). To perform.

이때, 비인가된 자원 VLAN 정보 획득 단계(S203)는 네트워크에 스위치의 포트별로 할당된 VLAN ID 정보와 네트워크에 연결된 특정 스위치의 포트가 속한 VLAN 정보중 적어도 하나를 이용하여 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 자동으로 획득하는 단계를 수행할 수가 있다.At this time, the step of obtaining unauthorized resource VLAN information (S203) is a physical location to which the unauthorized resources belong using at least one of the VLAN ID information assigned to each port of the switch and VLAN information to which the port of a specific switch connected to the network belongs. Obtaining VLAN information of the information can be performed automatically.

이 후, 비인가된 자원 VLAN 고립/격리 단계(S205, S207)는 VLAN 제어부(도1의 104)의 제어하에 VLAN 고립/격리/해제 명령 수신부(도1의 106)를 통해 VLAN 고립/격리/해제 명령 전달부(도1의 102)로부터 전달받은 비인가된 자원이 네트워크에 연결된 자원에 접속을 막도록 비인가된 자원의 VLAN을 고립시키는 과정과 네트워크에 특정 자원에만 접속하도록 비인가된 자원의 VLAN을 격리시키는 과정중 적어도 하나의 과정을 수행시키는 단계를 수행할 수가 있다.Subsequently, unauthorized resource VLAN isolation / isolation steps S205 and S207 are performed through VLAN isolation / isolation / release command receiver 106 of FIG. 1 under the control of the VLAN control unit 104 (FIG. 1). The process of isolating the VLAN of the unauthorized resource so that the unauthorized resource received from the command delivery unit (102 of FIG. 1) prevents access to the resource connected to the network, and isolating the VLAN of the unauthorized resource to access only a specific resource in the network. A step of performing at least one of the processes may be performed.

이때, 비인가된 자원 VLAN 고립 단계(S205)는 비인가된 자원 위치 정보 획득 단계(S201)와 비인가된 자원 VLAN 정보 획득 단계(S203)를 통해 획득한 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 미부여된 VLAN ID를 비인가된 자원이 연결된 스위치의 포트에 할당하여 비인가된 자원이 네트워크에 연결된 자원에 접속을 막도록 비인가된 자원의 VLAN을 고립시키는 단계를 수행할 수가 있다.At this time, the unauthorized resource VLAN isolation step (S205) is to obtain the VLAN information of the physical location information to which the unauthorized resources obtained through the unauthorized resource location information acquisition step (S201) and the unauthorized resource VLAN information acquisition step (S203). By assigning an unlicensed VLAN ID to a port of a switch to which an unauthorized resource is connected, the VLAN of an unauthorized resource may be isolated to prevent unauthorized resources from accessing a resource connected to the network.

반면에, 비인가된 자원 VLAN 고립 단계(S205)는 비인가된 자원 위치 정보 획득 단계(S201)와 비인가된 자원 VLAN 정보 획득 단계(S203)를 통해 비인가된 자원이 속한 물리적인 위치 정보를 획득하지 못할 경우, 고립 전의 VLAN ID로 복귀시키는 단계를 수행할 수가 있다.On the other hand, if the unauthorized resource VLAN isolation step (S205) fails to acquire the physical location information to which the unauthorized resources belong through the unauthorized resource location information acquisition step (S201) and the unauthorized resource VLAN information acquisition step (S203). It may be possible to perform the step of returning to the VLAN ID before isolation.

또한, 비인가된 자원 VLAN 고립 단계(S205)는 VLAN ID를 변경하는 명령에 있어서 표준 MIB로 Q-BRIDGE-MIB를 지원하는 장비에 대해 SNMP Set 명령을 이용하여 VLAN ID를 변경하는 단계를 수행할 수가 있다.In addition, the unauthorized resource VLAN isolation step (S205) may be performed to change the VLAN ID using the SNMP Set command for the equipment supporting the Q-BRIDGE-MIB as the standard MIB in the command for changing the VLAN ID. have.

또한, 비인가된 자원 VLAN 고립 단계(S205)는 네트워크에 연결된 스위치의 벤더 정보중 스위치의 벤더별 특성에 따라 벤더 정보를 획득하여 벤더별 private MIB 정보를 기반으로 VLAN ID 변경 명령을 전달하는 단계를 수행할 수가 있다.In addition, the unauthorized resource VLAN isolation step (S205) may perform the step of acquiring the vendor information according to the vendor-specific characteristics of the switch among the vendor information of the switch connected to the network and delivering a VLAN ID change command based on the vendor-specific private MIB information. have.

즉, 비인가된 자원 VLAN 고립 단계(S205)는 CISCO-VLAN-MEMBERSHIP-MIB의 vmVlan 관리 객체의 값을 변경하여 VLAN 정보를 변경하는 단계를 수행할 수가 있다.That is, the unauthorized resource VLAN isolation step (S205) may be performed to change the VLAN information by changing the value of the vmVlan management object of the CISCO-VLAN-MEMBERSHIP-MIB.

일예로, 비인가된 자원 VLAN 고립 단계(S205)는 sysObjectID에 벤더 정보를 획득하여 enterprise 정보를 이용하는 단계를 수행하거나, sysDescr에 벤더 정보가 있는지 확인한 후 sysDescr에 'CISCO'라고 명확히 벤더 명이 명시된 경우 해당 정보를 이용하는 단계를 수행할 수가 있다.For example, the unauthorized resource VLAN isolation step (S205) may be performed by obtaining vendor information in sysObjectID and using enterprise information, or confirming that sysDescr includes vendor information, and if the vendor name is clearly specified as 'CISCO' in sysDescr. Can be performed.

반면에, 비인가된 자원 VLAN 고립 단계(S205)는 sysObjectID나 sysDescr을 통해 벤더 정보가 확인되지 않은 경우, 각 벤더 별로 서로 다른 private MIB를 가지므로 벤더의 private MIB의 최상위 OID (1.3.6.1.4.1)에 대해 SNMP GetNext 명령을 전달하는 단계를 수행할 수가 있다.On the other hand, in the unauthorized resource VLAN isolation step (S205), if vendor information is not confirmed through sysObjectID or sysDescr, since each vendor has a different private MIB, the highest OID of the vendor's private MIB (1.3.6.1.4.1) You can perform the steps of passing an SNMP GetNext command for.

이때, 비인가된 자원 VLAN 고립 단계(S205)는 해당 요청에 대한 응답 binding에서 MO는 자신이 속한 enterprise의 MIB 번호와 함께 최상위 MO에 대한 응답 Value를 담아서 전달하면, 응답 binding의 MO 정보를 기반으로 해당 장비의 벤더 정보를 획득하는 단계를 수행할 수가 있다.At this time, in the unauthorized resource VLAN isolation step (S205), in response binding to the request, if the MO transmits the response value for the highest MO along with the MIB number of the enterprise to which it belongs, the corresponding MO is based on the MO information of the response binding. Acquiring vendor information of the equipment may be performed.

또한, 비인가된 자원 VLAN 격리 단계(S207)는 비인가된 자원 위치 정보 획득 단계(S201)와 비인가된 자원 VLAN 정보 획득 단계(S203)를 통해 획득한 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 비인가된 자원이 연결된 스위치의 포트에 Guest VLAN ID를 할당하여 비인가된 자원이 네트워크에 연결된 특정 자원에만 접속하도록 비인가된 자원의 VLAN을 격리시키는 단계를 수행할 수가 있다.In addition, the unauthorized resource VLAN isolation step (S207) is to obtain the VLAN information of the physical location information to which the unauthorized resources obtained through the unauthorized resource location information acquisition step (S201) and the unauthorized resource VLAN information acquisition step (S203). By assigning Guest VLAN ID to the port of the switch to which unauthorized resources are connected based on this, it is possible to isolate the VLAN of unauthorized resources so that unauthorized resources access only specific resources connected to the network.

한편, 비인가된 자원 VLAN 격리 단계(S207)는 비인가된 자원 위치 정보 획득 단계(S201)와 비인가된 자원 VLAN 정보 획득 단계(S203)를 통해 비인가된 자원이 속한 물리적인 위치 정보를 획득하지 못할 경우, 격리 전의 VLAN ID로 복귀시키는 단계를 수행할 수가 있다.On the other hand, if the unauthorized resource VLAN isolation step (S207) is unable to obtain the physical location information belonging to the unauthorized resources through the unauthorized resource location information acquisition step (S201) and unauthorized resource VLAN information acquisition step (S203), The step of returning to the VLAN ID before isolation can be performed.

또한, 비인가된 자원 VLAN 격리 단계(S207)는 VLAN ID를 변경하는 명령에 있어서 표준 MIB로 Q-BRIDGE-MIB를 지원하는 장비에 대해 SNMP Set 명령을 이용하여 VLAN ID를 변경하는 단계를 수행할 수가 있다.In addition, the unauthorized resource VLAN isolation step (S207) may be performed to change the VLAN ID using the SNMP Set command for the device that supports the Q-BRIDGE-MIB as the standard MIB in the command for changing the VLAN ID. have.

또한, 비인가된 자원 VLAN 격리 단계(S207)는 네트워크에 연결된 스위치의 벤더 정보중 스위치의 벤더별 특성에 따라 벤더 정보를 획득하여 벤더별 private MIB 정보를 기반으로 VLAN ID 변경 명령을 전달하는 단계를 수행할 수가 있다.In addition, the unauthorized resource VLAN isolation step (S207) may perform the step of acquiring vendor information according to the vendor-specific characteristics of the switch among vendor information of the switch connected to the network and delivering a VLAN ID change command based on the vendor-specific private MIB information. have.

즉, 비인가된 자원 VLAN 격리 단계(S207)는 CISCO-VLAN-MEMBERSHIP-MIB의 vmVlan 관리 객체의 값을 변경하여 VLAN 정보를 변경하는 단계를 수행할 수가 있다.That is, in the unauthorized resource VLAN isolation step S207, the VLAN information may be changed by changing the value of the vmVlan management object of the CISCO-VLAN-MEMBERSHIP-MIB.

일예로, 비인가된 자원 VLAN 격리 단계(S207)는 비인가된 자원 VLAN 고립 단계(S205)를 통해 sysObjectID에 벤더 정보를 획득하여 enterprise 정보를 이용하는 단계를 수행하거나, sysDescr에 벤더 정보가 있는지 확인한 후 sysDescr에 'CISCO'라고 명확히 벤더 명이 명시된 경우 해당 정보를 이용하는 단계를 수행할 수가 있다.For example, the unauthorized resource VLAN isolation step (S207) may be performed by obtaining vendor information in the sysObjectID using the enterprise information through the unauthorized resource VLAN isolation step (S205), or verifying that the vendor information is present in the sysDescr and then in the sysDescr. If the vendor name is clearly stated as 'CISCO', you can take steps to use that information.

반면에, 비인가된 자원 VLAN 격리 단계(S207)는 sysDescr을 통해 벤더 정보가 확인되지 않은 경우, 각 벤더 별로 서로 다른 private MIB를 가지므로 벤더의 private MIB의 최상위 OID (1.3.6.1.4.1)에 대해 SNMP GetNext 명령을 전달하는 단계를 수행할 수가 있다.On the other hand, the unauthorized resource VLAN isolation step (S207) has a different private MIB for each vendor when the vendor information is not confirmed through sysDescr, so that the highest OID (1.3.6.1.4.1) of the vendor's private MIB is obtained. You can perform the steps of passing an SNMP GetNext command.

이때, 비인가된 자원 VLAN 격리 단계(S207)는 해당 요청에 대한 응답 binding에서 MO는 자신이 속한 enterprise의 MIB 번호와 함께 최상위 MO에 대한 응답 Value를 담아서 전달하면, 응답 binding의 MO 정보를 기반으로 해당 장비의 벤더 정보를 획득하는 단계를 수행할 수가 있다.At this time, the unauthorized resource VLAN isolation step (S207), in response binding for the request, if the MO delivers the response value for the highest MO along with the MIB number of the enterprise to which it belongs, based on the MO information of the response binding Acquiring vendor information of the equipment may be performed.

또한, 도 3에 도시된 바와 같이 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(300)은 비인가된 자원 VLAN 고립/격리 해제 단계(S309)를 더 포함할 수가 있다.In addition, as shown in FIG. 3, the network access control method 300 of an unauthorized device according to an embodiment of the present invention may further include an unauthorized resource VLAN isolation / release control step (S309).

비인가된 자원 VLAN 고립/격리 해제 단계(S309)는 VLAN 제어부(도1의 104)의 제어하에 VLAN 고립/격리/해제 명령 수신부(도1의 106)를 통해 VLAN 고립/격리/해제 명령 전달부(도1의 102)로부터 전달받은 비인가된 자원의 VLAN을 고립 해제 및 격리 해제중 적어도 하나를 수행시키는 단계일 수가 있다.Unlicensed resource VLAN isolation / release control step (S309) is a VLAN isolation / isolation / release command transmission unit (106 of FIG. 1) through a VLAN isolation / isolation / release command receiver (106 in FIG. 1) under the control of the VLAN controller (104 of FIG. 1). And performing at least one of de-isolating and de-isolating the VLAN of the unauthorized resource received from 102 of FIG. 1.

이때, 비인가된 자원 VLAN 고립/격리 해제 단계(S309)는 네트워크에 스위치의 포트별로 연결된 고립/격리 대상의 IP 주소 정보를 기반으로, 네트워크의 위치 정보에 해당하는 연결 스위치 및 연결 스위치에 연결된 포트 정보의 확인을 통해 해당 연결 스위치에 할당된 VLAN 정보와 VLAN별 IP 주소 정보 및 NetMask 정보중 적어도 하나의 정보를 획득하여, Subnet 주소를 계산하고 동일 subnet에 속하는 VLAN ID를 해당 고립/격리 대상이 연결된 포트로 할당하여 고립/격리 해제시에 VLAN을 자동으로 할당하도록 VLAN을 자동으로 고립 해제시키는 과정과 격리 해제시키는 과정중 적어도 하나의 과정을 수행시키는 단계를 포함할 수가 있다.
In this case, the unauthorized resource VLAN isolation / release release step (S309) is based on the IP address information of the isolation / isolation target connected to each port of the switch to the network, and the connection switch corresponding to the location information of the network and port information connected to the connection switch. Obtain the VLAN information assigned to the connection switch, at least one of the VLAN-specific IP address information, and the NetMask information, and calculate the subnet address and determine the VLAN ID belonging to the same subnet to which the isolation / isolation target is connected. And performing at least one of automatically deisolating the VLAN and de-isolating the VLAN so as to automatically allocate the VLAN at the time of isolation / isolation.

이와 같은, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(S200, S300)은 비인가된 자원 위치 정보 획득 단계(S201), 비인가된 자원 VLAN 정보 획득 단계(S203), 비인가된 자원 VLAN 고립 단계(S205), 비인가된 자원 VLAN 격리 단계(S207), 비인가된 자원 VLAN 고립/격리 해제 단계(S309)를 포함한다.As such, the network access control method of the unauthorized device (S200, S300) according to an embodiment of the present invention, the unauthorized resource location information acquisition step (S201), the unauthorized resource VLAN information acquisition step (S203), the unauthorized resource VLAN An isolation step S205, an unauthorized resource VLAN isolation step S207, and an unauthorized resource VLAN isolation / release release step S309 are included.

따라서, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(S200, S300)은 고립/격리/해제 대상에 대한 정보를 SNMP를 이용한 정보 가공을 통하여 관리 대상의 위치 정보를 일일이 관리자가 물리적인 위치 확인을 하지 않고도, 해당 자원의 MAC 주소 정보만 전달하면 해당 자원의 위치 정보를 확인할 수 있고, 해제시 해제 대상 자원의 IP 주소 정보만으로 해당 자원에 할당할 VLAN 정보를 자동으로 찾을 수 있어 관리 및 재사용에 유연한 대응이 가능하게 된다.Therefore, in the network access control method (S200, S300) of the unauthorized device according to an embodiment of the present invention, the administrator physically stores the location information of the management target through information processing using SNMP for the information on the isolation / isolation / release. Without checking the location, you can check the location information of the resource only by passing the MAC address information of the resource, and you can automatically find the VLAN information to be assigned to the resource only by the IP address information of the resource to be released. And flexible response to reuse is possible.

또한, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(S200, S300)은 네트워크 자원의 연결 위치 확인을 위해 관리자가 네트워크 자원의 물리적인 위치를 직접 찾아야 하는 불편함을 줄이고, 해당 자원이 연결된 물리적인 위치를 자동으로 찾아주어 비인가된 자원의 위치를 신속하게 파악하여 네트워크를 이용하지 못하도록 신속하게 고립 혹은 제한된 기능만 이용할 수 있도록 격리를 가능하게 할 수가 있게 된다.In addition, the network access control method (S200, S300) of the unauthorized device according to an embodiment of the present invention reduces the inconvenience that the administrator must directly find the physical location of the network resource to confirm the connection location of the network resource, It can automatically locate these connected physical locations, enabling them to quickly locate unauthorized resources and to isolate them so that they can be quickly isolated or have limited functionality available to the network.

또한, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(S200, S300)은 네트워크 고립/격리/해제를 위해 네트워크 장비를 교체함 없이 기존에 구성된 네트워크를 기반으로 네트워크 장비의 벤더에 종속되지 않고 고립/격리/해제 기능을 자동화시킬 수가 있게 된다.In addition, the network access control method (S200, S300) of the unauthorized device according to an embodiment of the present invention is dependent on the vendor of the network equipment based on the existing network without replacing the network equipment for network isolation / isolation / release Instead, the isolation / isolation / release can be automated.

또한, 본 발명의 일 실시예에 따른 비인가 장치의 네트워크 접근 제어 방법(S200, S300)은 차단 및 해제 유지를 위해 발생한 관리 트래픽 발생을 제거할 수가 있으므로, 네트워크의 부하에 영향을 주지 않고, 네트워크의 속도 저하 요소를 관리할 수 있으며, 네트워크의 보안 및 비인가된 자원의 네트워크 점유 제한을 통한 질 높은 네트워크 자원 이용을 향상시킬 수가 있게 된다. In addition, the network access control method (S200, S300) of the unauthorized device according to an embodiment of the present invention can eliminate the generation of management traffic generated to maintain the blocking and release, so that the network load is not affected, It can manage the slowdown factor and improve the quality of network resource utilization through network security and limiting network occupancy of unauthorized resources.

본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It will be understood by those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. Therefore, it should be understood that the above-described embodiments are to be considered in all respects as illustrative and not restrictive, the scope of the invention being indicated by the appended claims rather than the foregoing description, It is intended that all changes and modifications derived from the equivalent concept be included within the scope of the present invention.

Claims (10)

VLAN 고립/격리/해제 명령 전달부에 의해 네트워크에 연결된 자원이 비인가된 자원으로 판단된 경우, 상기 비인가된 자원이 속한 물리적인 위치 정보를 SNMP을 이용하여 획득하는 비인가된 자원 위치 정보 획득 단계와;
상기 VLAN 고립/격리/해제 명령 전달부에 의해 상기 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 상기 SNMP을 이용하여 획득하는 비인가된 자원 VLAN 정보 획득 단계; 및
VLAN 제어부의 제어하에 VLAN 고립/격리/해제 명령 수신부를 통해 상기 VLAN 고립/격리/해제 명령 전달부로부터 전달받은 상기 비인가된 자원이 상기 네트워크에 연결된 자원에 접속을 막도록 상기 비인가된 자원의 VLAN을 고립시키는 과정과 상기 네트워크에 특정 자원에만 접속하도록 상기 비인가된 자원의 VLAN을 격리시키는 과정중 적어도 하나의 과정을 수행시키는 비인가된 자원 VLAN 고립/격리 단계를 포함하며,
상기 비인가된 자원 위치 정보 획득 단계는,
상기 네트워크에 연결된 스위치의 벤더 정보 중 스위치의 벤더별 특성에 따라 VLAN 변경 방법이 상이한 것에 대해 벤더 정보를 획득하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
Acquiring, by the VLAN isolation / isolation / release command transfer unit, unauthorized resource location information acquiring, using SNMP, physical location information to which the unauthorized resource belongs;
Acquiring, by the VLAN isolation / isolation / release command transfer unit, VLAN information of physical location information to which the unauthorized resource belongs by using the SNMP; And
Under the control of the VLAN control unit, the VLAN of the unauthorized resource is blocked so that the unauthorized resource received from the VLAN isolation / isolation / release command transmission unit via the VLAN isolation / isolation / release command receiver blocks access to a resource connected to the network. An unauthorized resource VLAN isolation / isolation step of performing at least one of the isolation process and the isolation of the VLAN of the unauthorized resource to access only a specific resource to the network;
The unauthorized resource location information acquiring step may include:
And obtaining vendor information about a different VLAN changing method according to vendor-specific characteristics of a switch among vendor information of a switch connected to the network.
제 1항에 있어서,
상기 VLAN 제어부의 제어하에 상기 VLAN 고립/격리/해제 명령 수신부를 통해 상기 VLAN 고립/격리/해제 명령 전달부로부터 전달받은 상기 비인가된 자원의 VLAN을 고립 해제 및 격리 해제중 적어도 하나를 수행시키는 비인가된 자원 VLAN 고립/격리 해제 단계를 더 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
Unlicensed to perform at least one of de-isolating and de-isolating the VLAN of the unlicensed resource received from the VLAN isolation / isolation / release command transmitter via the VLAN isolation / isolation / release command receiver under the control of the VLAN controller. A method of controlling network access of an unauthorized device further comprising resource VLAN isolation / release.
제 1항에 있어서,
상기 비인가된 자원 위치 정보 획득 단계는,
상기 네트워크에 구성된 스위치에 각 포트별로 연결된 네트워크 자원의 MAC 주소 정보를 획득하여 네트워크 자원들의 물리적인 구성 정보를 획득하고, 상기 네트워크에 연결된 비인가 자원의 MAC 주소 정보를 기반으로 비인가 자원이 연결된 스위치 정보와 스위치의 포트 정보를 획득하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource location information acquiring step may include:
Acquisition of MAC address information of network resources connected to each switch to the switch configured in the network to obtain physical configuration information of network resources, and switch information connected to unauthorized resources based on MAC address information of unauthorized resources connected to the network. And obtaining port information of the switch.
제 1항에 있어서,
상기 비인가된 자원 위치 정보 획득 단계는,
상기 네트워크에 연결된 스위치의 정보를 이용하여 상기 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 상기 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 sysDescr 정보와 sysObjectID 정보중 적어도 하나를 확인하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource location information acquiring step may include:
When acquiring the physical location information to which the unauthorized resource belongs using the information of the switch connected to the network, at least one of sysDescr information and sysObjectID information to identify the vendor information of the switch connected to the network; A network access control method for an unauthorized device comprising the step.
제 4항에 있어서,
상기 비인가된 자원 위치 정보 획득 단계는,
상기 sysObjectID 정보의 확인을 통해 상기 네트워크에 연결된 스위치의 벤더 정보에 해당하는 Enterprise subtree 정보를 획득하여 어떤 벤더에 속하였는지를 획득하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
5. The method of claim 4,
The unauthorized resource location information acquiring step may include:
Obtaining enterprise subtree information corresponding to vendor information of a switch connected to the network by checking the sysObjectID information, and obtaining which vendor the network belongs to.
제 1항에 있어서,
상기 비인가된 자원 위치 정보 획득 단계는,
상기 네트워크에 연결된 스위치의 정보를 이용하여 상기 비인가된 자원이 속한 물리적인 위치 정보를 획득할 때에, 상기 네트워크에 연결된 스위치의 벤더 정보를 자동으로 확인하기 위하여 enterprises root MO에서 SNMP GetNext 명령을 전달하고 응답 MO에서 기업 OID 정보를 획득하여 벤더 정보를 획득하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource location information acquiring step may include:
When acquiring the physical location information to which the unauthorized resource belongs using the information of the switch connected to the network, the enterprise root MO transmits and responds with an SNMP GetNext command to automatically confirm the vendor information of the switch connected to the network. And obtaining vendor information by acquiring enterprise OID information in the MO.
제 1항에 있어서,
상기 비인가된 자원 VLAN 정보 획득 단계는,
상기 네트워크에 스위치의 포트별로 할당된 VLAN ID 정보와 상기 네트워크에 연결된 특정 스위치의 포트가 속한 VLAN 정보중 적어도 하나를 이용하여 상기 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 자동으로 획득하는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource VLAN information acquisition step,
Automatically obtaining VLAN information of physical location information to which the unauthorized resource belongs by using at least one of VLAN ID information allocated to each port of a switch in the network and VLAN information to which a port of a specific switch connected to the network belongs; Network access control method of the unauthorized device comprising a.
제 1항에 있어서,
상기 비인가된 자원 VLAN 고립/격리 단계는,
상기 비인가된 자원 위치 정보 획득 단계와 상기 비인가된 자원 VLAN 정보 획득 단계를 통해 획득한 상기 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 미부여된 VLAN ID를 상기 비인가된 자원이 연결된 스위치의 포트에 할당하여 상기 비인가된 자원이 상기 네트워크에 연결된 자원에 접속을 막도록 상기 비인가된 자원의 VLAN을 고립시키는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource VLAN isolation / isolation step includes:
The switch to which the unauthorized resource is connected is assigned an unlicensed VLAN ID based on the VLAN information of the physical location information to which the unauthorized resource is acquired through the unauthorized resource location information acquisition step and the unauthorized resource VLAN information acquisition step. Isolating a VLAN of the unauthorized resource by allocating a port of the unauthorized resource to prevent the unauthorized resource from accessing a resource connected to the network.
제 1항에 있어서,
상기 비인가된 자원 VLAN 고립/격리 단계는,
상기 비인가된 자원 위치 정보 획득 단계와 상기 비인가된 자원 VLAN 정보 획득 단계를 통해 획득한 상기 비인가된 자원이 속한 물리적인 위치 정보의 VLAN 정보를 기반으로 상기 비인가된 자원이 연결된 스위치의 포트에 Guest VLAN ID를 할당하여 상기 비인가된 자원이 상기 네트워크에 연결된 특정 자원에만 접속하도록 상기 비인가된 자원의 VLAN을 격리시키는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.
The method of claim 1,
The unauthorized resource VLAN isolation / isolation step includes:
A Guest VLAN ID is assigned to a port of a switch to which the unauthorized resource is connected based on the VLAN information of the physical location information to which the unauthorized resource belongs, obtained through the unauthorized resource location information acquisition step and the unauthorized resource VLAN information acquisition step. And isolating a VLAN of the unauthorized resource so that the unauthorized resource accesses only a specific resource connected to the network.
제 2항에 있어서,
상기 비인가된 자원 VLAN 고립/격리 해제 단계는,
상기 네트워크에 스위치의 포트별로 연결된 고립/격리 대상의 IP 주소 정보를 기반으로, 상기 네트워크의 위치 정보에 해당하는 연결 스위치 및 상기 연결 스위치에 연결된 포트 정보의 확인을 통해 해당 연결 스위치에 할당된 VLAN 정보와 VLAN별 IP 주소 정보 및 NetMask 정보중 적어도 하나의 정보를 획득하여, Subnet 주소를 계산하고 동일 subnet에 속하는 VLAN ID를 해당 고립/격리 대상이 연결된 포트로 할당하여 고립/격리 해제시에 VLAN을 자동으로 할당하도록 VLAN을 자동으로 고립 해제시키는 과정과 격리 해제시키는 과정중 적어도 하나의 과정을 수행시키는 단계를 포함하는 비인가 장치의 네트워크 접근 제어 방법.3. The method of claim 2,
The unauthorized resource VLAN isolation / de-isolation step may include
VLAN information assigned to the connection switch by checking the connection switch corresponding to the location information of the network and the port information connected to the connection switch based on the IP address information of the isolation / isolation target connected to each port of the switch to the network. And obtains at least one of IP address information and NetMask information for each VLAN, calculates subnet addresses, and assigns VLAN IDs belonging to the same subnet to the ports to which the isolation / isolation targets are connected. And performing at least one of automatically deisolating and deisolating a VLAN to be assigned.
KR1020130096360A 2013-08-14 2013-08-14 Method for controlling access in network of unauthorized apparatus KR101358962B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130096360A KR101358962B1 (en) 2013-08-14 2013-08-14 Method for controlling access in network of unauthorized apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130096360A KR101358962B1 (en) 2013-08-14 2013-08-14 Method for controlling access in network of unauthorized apparatus

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020120075048 Division 2012-07-10

Publications (2)

Publication Number Publication Date
KR20140008271A KR20140008271A (en) 2014-01-21
KR101358962B1 true KR101358962B1 (en) 2014-02-07

Family

ID=50142217

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130096360A KR101358962B1 (en) 2013-08-14 2013-08-14 Method for controlling access in network of unauthorized apparatus

Country Status (1)

Country Link
KR (1) KR101358962B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100591554B1 (en) 2005-02-04 2006-06-20 (주)넷맨 Method for controlling communication with network resources mamagement policy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100591554B1 (en) 2005-02-04 2006-06-20 (주)넷맨 Method for controlling communication with network resources mamagement policy

Also Published As

Publication number Publication date
KR20140008271A (en) 2014-01-21

Similar Documents

Publication Publication Date Title
US10445476B2 (en) License sharing method and apparatus
US9634991B2 (en) Method, apparatus, host, and network system for processing packet
US7272846B2 (en) System and method for detecting and reporting cable modems with duplicate media access control addresses
EP2940968A1 (en) Network infrastructure management
KR20170095851A (en) Systems and methods for securing network endpoints
US8260941B2 (en) System and method for detecting and reporting cable modems with duplicate media access control addresses
CN109787849B (en) O L T logic network testing method
CN114070723B (en) Virtual network configuration method and system of bare metal server and intelligent network card
KR101978193B1 (en) Method for managing hardware resource, method for querying location of hardware resource, and related apparatus
CN101895587A (en) Method, device and system for preventing users from modifying IP addresses privately
WO2015088324A2 (en) System and method for managing a faulty node in a distributed computing system
CN108462752B (en) Method and system for accessing shared network, VPC management equipment and readable storage medium
WO2017000443A1 (en) Method for managing dedicated line user, broadband access server and management server
EP1881639A1 (en) A method and system for cpecf (customer premises equipment configuration function) obtaining the terminal equipment information and configuring the terminal equipment
CN109120738B (en) DHCP server and method for managing network internal equipment
KR101358962B1 (en) Method for controlling access in network of unauthorized apparatus
KR20120072044A (en) Open wireless access network apparatus and connecting method for the same
US20160248751A1 (en) Cm registration method and apparatus
KR101096129B1 (en) Method for allocating ip and domain name of host
JP2017126876A (en) Network security device, network management method and program
EP3343835A1 (en) Network element management method and system
US8601593B2 (en) Network node, information processing system, and method
TWI703835B (en) System and method for provisioning and monitoring virtual machine virtual network interface controller
US8391283B2 (en) System and method for obtaining physical location information for networked devices
KR101683013B1 (en) System and method for allocating ip address using dhcp option 60, 61 and 82

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161123

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171220

Year of fee payment: 5