KR101428999B1 - Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 - Google Patents

Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 Download PDF

Info

Publication number
KR101428999B1
KR101428999B1 KR1020130040353A KR20130040353A KR101428999B1 KR 101428999 B1 KR101428999 B1 KR 101428999B1 KR 1020130040353 A KR1020130040353 A KR 1020130040353A KR 20130040353 A KR20130040353 A KR 20130040353A KR 101428999 B1 KR101428999 B1 KR 101428999B1
Authority
KR
South Korea
Prior art keywords
address
packet
domain name
incoming packet
control target
Prior art date
Application number
KR1020130040353A
Other languages
English (en)
Inventor
장석우
이재학
Original Assignee
주식회사 엑스게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스게이트 filed Critical 주식회사 엑스게이트
Priority to KR1020130040353A priority Critical patent/KR101428999B1/ko
Application granted granted Critical
Publication of KR101428999B1 publication Critical patent/KR101428999B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 방화벽에서 수행되는 패킷 필터링 방법은, 유입되는 패킷이 암호화된 패킷인지를 판단하는 제 1 단계; 상기 제 1 단계에서의 판단 결과 암호화된 패킷인 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록 - 여기서 제어 대상 IP 주소는 제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소이다 - 에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하는 제 2 단계; 적어도 상기 제 1 단계에서의 판단 결과 암호화되지 않은 패킷인 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록 - 여기서 조회 IP 주소 목록은 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소의 목록이다 - 을 비교하여 변조 여부를 판단하는 제 3 단계;를 포함하는 것을 특징으로 한다.
본 발명에서 제안하는 패킷 필터링 장치 및 방화벽 장치는 고가의 DPI 기술이나 고비용의 프로세서를 사용하지 않고도 암호화된 패킷에 대해서도 필터링을 수행할 수 있으며, 패킷의 위변조를 용이하게 판단할 수 있는 효과가 있다.

Description

DNS 정보를 이용한 패킷 필터링 방법 및 방화벽 장치{PACKET FILTERING METHOD AND FIREWALL USING DNS INFORMATION}
본 발명은 방화벽 장치 및 방화벽 장치에서 사용되는 패킷 필터링 방법에 관한 기술이다. 특히, DNS 정보를 이용한 방화벽 장치 및 방화벽 장치에서 사용되는 패킷 필터링 방법에 관한 기술이다.
종래의 방화벽 장치로서는, 단순하게 송신지 IP주소, 목적지 IP주소, 프로토콜, 송신지 프로토콜 포트, 목적지 프로토콜 포트로 구성된 5 튜플(Tuple)을 기초로하여 유입되는 패킷을 처리하는 방화벽 장치와, 5 튜플과 더불어 DPI(Deep Packet Inspection)기술을 활용하여 패킷의 내부(PDU: Protocol Data Unit) 내용을 바탕으로 포함된 내용 기반으로 패킷을 처리하는 고가의 방화벽 장치로 구분된다.
단순히 5 튜플을 기초로한 방화벽 장치는 5 튜플이 포함된 항목별 기본 정책 및/또는 한가지 이상의 혼합 정책으로 유입 패킷을 처리하며, 방화벽 관리자는 사전에 5 튜플을 이용하여 정책을 수립하고 이를 방화벽 장치에 반영한다.
한편, 고가의 DPI 기술을 이용하는 방화벽 장치인 경우, 패킷의 내부 내용을 확인하여야 하기 때문에 패킷을 빠르게 처리할 수 있는 고속의 패킷 프로세서가 일반적으로 사용된다. 나아가, 암호화 패킷의 내용을 살펴보기 위하여 역 암호화를 수행하는데 많은 시간이 걸리므로, 암호화된 패킷을 처리하지 않거나 혹은 중요한 보안 처리를 원하는 곳에서만 암호화된 패킷을 역 암호화하여 패킷 내용을 확인·처리하는 실정이다.
그런데, 5 튜플 기반의 방화벽 장치에서 5 튜플을 이용하여 제어 정책을 수립할 경우, 관리하고자 하는 서버가 많은 경우에 서버별로 하나 이상의 정책을 수립하여야 하기 때문에 복잡성이 크고 가시성이 떨어지는 문제점이 있다.
또한 5 튜플 기반의 방화벽 장치에서는 패킷의 내용을 기반으로 제어 정책을 수립할 수 없기 때문에 패킷의 위변조를 구분하기 어려운 문제점이 있다.
그리고, 고가의 DPI 기술을 적용한 방화벽 장치의 경우에는 모든 패킷의 내용을 확인하고 내용에 따른 정책을 처리하여야 하기 때문에 고비용의 고속 프로세서가 추가되는 문제점이 있다.
상기한 종래 기술의 문제점 및 과제에 대한 인식은 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이 아니므로 이러한 인식을 기반으로 선행기술들과 대비한 본 발명의 진보성을 판단하여서는 아니됨을 밝혀둔다.
본 발명의 목적은, 방화벽에 있어서 제어 정책 관리의 복잡성을 경감하거나 가시성을 향상시키는 패킷 필터링 방법 및 방화벽 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 패킷의 위변조를 용이하게 판단할 수 있는 패킷 필터링 방법 및 방화벽 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 고가의 DPI 기술이나 고비용의 프로세서를 사용하지 않고도 암호화된 패킷을 처리할 수 있는 패킷 필터링 방법 및 방화벽 장치를 제공하는 데 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 양상에 따른 방화벽에서 수행되는 패킷 필터링 방법은, 유입되는 패킷이 암호화된 패킷인지를 판단하는 제 1 단계; 상기 제 1 단계에서의 판단 결과 암호화된 패킷인 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록 - 여기서 제어 대상 IP 주소는 제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소이다 - 에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하는 제 2 단계; 적어도 상기 제 1 단계에서의 판단 결과 암호화되지 않은 패킷인 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록 - 여기서 조회 IP 주소 목록은 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소의 목록이다 - 을 비교하여 변조 여부를 판단하는 제 3 단계;를 포함하는 것을 특징으로 한다.
본 발명의 일 양상에 따른 방화벽 장치는, 제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 IP 주소를 얻어 데이터베이스에 등록하는 도메인 등록부; 적어도 유입되는 패킷이 암호화된 패킷인지를 판단하며, (i) 상기 판단의 결과 암호화된 패킷인 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하며, (ii) 적어도 상기 판단의 결과 암호화되지 않은 패킷인 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록 - 여기서 조회 IP 주소 목록은 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소의 목록이다 - 을 비교하여 변조 여부를 판단하는 패킷 처리부;를 포함하는 것을 특징으로 한다.
본 발명에서 제안하는 패킷 필터링 방법 및 방화벽 장치는 고가의 DPI 기술이나 고비용의 프로세서를 사용하지 않고도 암호화된 패킷에 대해서도 필터링을 수행할 수 있으며, 패킷의 위변조를 용이하게 판단할 수 있는 효과가 있다.
또한, 본 발명에서 제안하는 패킷 필터링 방법 및 방화벽 장치는 도메인 이름으로 방화벽 제어 정책을 적용가능하게 함으로써 관리의 복잡성을 저감하고 관리의 가시성을 높이는 효과가 있다.
또한, 본 발명에서 제안하는 패킷 필터링 방법 및 방화벽 장치는 암호화된 패킷의 경우 5 튜플의 목적지 IP 주소만으로도 도메인이름을 역으로 조회하고 도메인 이름에 해당하는 제어 정책에 따라 처리함으로써, DPI 기술을 적용하지 않더라도 암호화된 패킷을 수립된 제어 정책에 따라 빠르게 적용할 수 있는 효과가 있다.
또한, 본 발명에서 제안하는 패킷 필터링 방법 및 방화벽 장치는 5 튜플의 목적지 IP 주소 기반 패킷 필터링 방법과 더불어 암호화 되지 않은 패킷의 경우 DPI 기술을 접목하여 제어하고자 하는 도메인과 목적지 IP 주소만을 비교함으로써, 위변조 패킷인지 검사하고 위변조 패킷은 변조 서비스 정책에 따라 처리하게 하여 간단하게 위변조 패킷을 처리할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 방화벽 장치의 개략적인 기능 블록을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 방화벽 장치에서 사용되는 제어대상 데이터베이스(130)의 일 예를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 방화벽에서 수행되는 패킷 필터링 방법에 관한 흐름도이다.
첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 명칭 및 도면 부호를 사용한다.
도 1은 본 발명의 일 실시예에 따른 방화벽 장치의 개략적인 기능 블록을 도시한 도면이며, 도 2는 본 발명의 일 실시예에 따른 방화벽 장치에서 사용되는 제어대상 데이터베이스(130)의 일 예를 도시한 도면이다.
본 발명의 일 실시예에 따른 방화벽 장치는 패킷 입력부(110), 도메인 등록부(120), 제어 대상 데이터베이스(130), 패킷 처리부(140), 패킷 출력부(150), 로그 기록부(160) 및 로그 데이터(170)를 포함하여 구성된다.
도메인 등록부(120)는 방화벽 관리자로 부터 제어 대상 도메인 이름(210)을 입력받아 신뢰하는 DNS 서버에 조회하여 IP 주소를 얻고 제어 대상 IP 주소(220)로서 제어 대상 데이터베이스(130)에 등록하며, 제어 대상 도메인 이름(210)마다 TTL(Time To Live)(230)을 설정하고, TTL(Time To Live)(230)이 만료되기 전에 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소를 갱신하는 기능 블록이다.
도메인 등록부(120)는 제어 대상 데이터베이스(130)와 연동하여 동작하는 기능블록이며, 제어 대상 데이터베이스(130)의 제어 대상 도메인 이름(210)은 각 도메인 이름 관리자들에 의하여 관리되는 도메인 이름과 IP 주소들의 매핑으로 구성되어지는 신뢰하는 DNS 서버에 포함된 FQDN(Fully Qualified Domain Name) 일 수 있으며, 도메인 등록부(120)에서 TTL(Time To Live)(230)이 만료되기 전에 도메인 이름 관리자들에 의하여 도메인 이름과 IP 주소의 매핑이 변경되었는지 확인하는 과정을 처리한다.
또한 도메인 등록부(120)는 입력받은 제어 대상 도메인 이름(210)에 해당하는 제어 정책(240)을 입력받아 관리하는 기능블록으로, 제어 정책의 예로는 통과(PASS), 거절(REJECT), 모두통과(ALL PASS), 모두 거절(ALL REJECT) 등으로 구성될 수 있다.
패킷 입력부(110)와 패킷 출력부(150)는 통상의 방화벽 장치에서 처리되는 기능 블록으로, 패킷 입력부(110)는 입력되는 패킷들을 대기 큐에 등록하여 패킷 처리부(140)에서 처리할 수 있도록 하기 위한 기능블록이며, 패킷 출력부(150)는 패킷 처리부(140)에서 처리된 패킷들을 외부로 전송하기 위한 기능 블록이다.
패킷 입력부(110)는 패킷 처리부(140)가 고속으로 처리할 수 없을 경우에 대용량의 메모리 버퍼(대기 큐)를 두고 입력된 패킷들을 대기 큐에 등록하고 관리하는 기능블록이다.
패킷 출력부(150)는 패킷 처리부(140)에서 고속으로 처리하여 출력 패킷을 동시에 전송할 수 없을 경우 대기 큐에 두고 지속적으로 외부로 전송하기 위한 기능블록이다.
패킷 처리부(140)는 패킷 입력부(110)에서 대기하고 있던 유입되는 패킷이 암호화된 패킷인지를 판단하며, (i) 상기 판단의 결과 암호화된 패킷인 점이 적어도 만족되는 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하며, (ii) 상기 판단의 결과 암호화되지 않은 패킷인 점이 적어도 만족되는 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록을 비교하여 변조 여부를 판단하는 기능 블록이다.
패킷 처리부(140)는 암호화되지 않은 패킷인 경우, 패킷 입력부(110)에서 대기하고 있던 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록을 비교하여 변조 여부를 판단하는 과정의 이전에, 유입되는 패킷이 포함하는 접근 도메인 이름이 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리한다.
패킷 처리부(140)는 암호화되지 않은 패킷인 경우, 패킷 입력부(110)에서 대기하고 있던 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록을 비교하여 변조 여부를 판단하는 과정의 이전에, 유입되는 패킷이 포함하는 접근 도메인이 IP 주소 형식인 경우, 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리한다.
패킷 처리부(140)는 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 없으면 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 입력받은 제어 대상 도메인 이름의 서브 도메인에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리한다.
로그 기록부(160)는 패킷 처리부(140)에서 유입되는 패킷을 처리하는 과정에서 발생하는 다양한 정보를 로그 데이터(170)에 기록하여 방화벽 관리자로 하여금 로그 분석을 통하여 제어 정책을 관리할 수 있도록 하기 위한 로그를 남기는 기능 블록이다.
제어 대상 데이터베이스(130)와 로그 데이터(170)는 방화벽 관리자가 방화벽 관리를 용이하게 하기 위하여 마련된 내부 기록 장치들로서 제어 정책을 기록하거나 제어 정책에 따라 처리된 결과들을 기록하기 위한 내부 기록 장치들이다.
도 2는 본 발명의 일 실시예에 따른 방화벽 장치에서 사용되는 제어대상 데이터베이스(130)의 관리용 항목들을 도시한 도면이다.
제어 대상 데이터베이스(130)는, 제어 대상 도메인 이름(210), 제어 대상 IP 주소(220), TTL(Time To Live)(230), 및 제어 정책(240)을 포함하여 구성된다.
제어 대상 도메인 이름(210)은 방화벽 관리자에 의하여 입력되는 제어 대상의 도메인 이름으로 그 유형은 FQDN(Fully Qualified Domain Name)의 형태로 구성될 수도 있고, 전체 도메인(*)의 형태로 구성될 수도 있다.
제어 대상 IP 주소(220)는 입력받은 제어 대상 도메인 이름(210)을 신뢰할 수 있는 DNS 서버에 조회하여 확보한 IP 주소들로서 DNS 서버에서는 요청한 도메인 이름에 대하여 단일한 IP주소의 응답을 줄 수도 있고, 분산된 서버의 IP 주소 목록을 줄 수도 있다.
TTL(Time To Live)(230)은 각 도메인 관리자들이 도메인의 변경을 표시하기 위하여 관리하는 도메인 보유 유효 시간을 표시하는 값으로 초 단위로 기록 관리하며, 각 DNS 서버들은 TTL을 기초로 하여 도메인의 조회 버퍼를 관리한다. 제어 대상 IP 주소마다 TTL(Time To Live)이 설정되고, TTL(Time To Live)이 만료되기 전에 신뢰하는 DNS 서버에 조회하여 얻은 조회 IP 주소를 갱신한다.
만약 DNS 서버에 조회 요청한 후 TTL이 넘어간 내용이 조회 버퍼에 남아 있는 경우 조회 요청한 도메인 이름의 제어 대상 IP 주소 목록들은 신뢰할 수 없는 값이 될 수 있음을 나타낼 수 있다.
제어 정책(240)은 방화벽 관리자로 부터 입력 받아 관리하는 제어 대상 도메인 이름(210)에 해당하는 도메인을 통과(PASS), 거절(REJECT), 모두통과(ALL PASS), 모두 거절(ALL REJECT) 등의 형태로 제어하는 정책을 기록하기 위한 값이다.
제어 정책(240)은 제어 대상 도메인 이름(210)을 포함하는 모든 서브 도메인까지 포함되어 처리될 수 있으며 우선 순위는 제어 대상 도메인 이름(210)과 제어 정책(240)의 항목이 가장 적절하게 매칭되는 항목으로 선정될 수 있다.
도 3은 본 발명의 일 실시예에 따른 방화벽에서 수행되는 패킷 필터링 방법에 관한 흐름도이다.
단계 S300에서는 방화벽의 패킷 입력부(110)에서 대기하고 있던 패킷을 입력받는다. 그리고 단계 S350에서는 유입된 패킷이 암호화된 패킷인지 판단하며, 단계 S350의 판단 결과 암호화된 패킷이 아닐 경우 단계 S310으로 진행하며, 암호화된 패킷일 경우 단계 S351로 진행한다.
단계 S310에서는 패킷 내부의 접근 도메인을 추출하고, 단계 S311에서는 추출된 접근 도메인의 이름이 제어 대상 도메인의 목록에 존재하는지 판단한다. 단계 S311에서의 판단 결과 추출된 접근 도메인의 이름이 제어 대상 도메인의 목록에 존재한다면 단계 S332로 진행하여 해당 도메인의 제어 정책에 따라 패킷을 처리하며, 제어 대상 도메인의 목록에 존재하지 않는다면 단계 S320으로 진행한다.
단계 S320에서는 접근 도메인의 형식이 IP 주소 형식인지를 판단하여 IP 주소 형식인 경우 단계 S321로 진행하며, IP 주소 형식이 아닌 경우 단계 S331로 진행한다. 단계 S320의 판단 결과 IP 주소 형식이라면 단계 S321로 진행하여 패킷의 목적지 IP 주소로 신뢰할 수 있는 DNS 서버에 역조회하고, 단계 S330에서는 역조회한 도메인 이름이 제어하고자 하는 도메인에 포함되어 있는지 판단하며, 판단 결과 제어하고자 하는 도메인에 포함되어 있다면 단계 S332로 진행하여 해당 도메인의 제어 정책에 따라 패킷을 처리한다. 그리고 상기 단계 S330의 판단 결과 제어하고자 하는 도메인에 포함되어 있지 않으며 단계 S331로 진행한다. 단계 S320, S321 및 S330은 접근 도메인의 형식이 IP 주소 형식이 아닌 경우에도 적절히 대응할 수 있게 한다.
본 발명의 일 양상에 따르면, 유입되는 패킷이 포함하는 접근 도메인이 IP 주소 형식인 경우, 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리한다.
그리고, 단계 S331에서는 신뢰된 DNS를 통해 패킷이 포함하는 접근 도메인 이름에 해당하는 IP 주소의 목록을 획득한다. 즉, 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 '조회 IP 주소 목록'을 확보하며, 동일 도메인 이름에 대하여 여러 서버가 있을 수 있으므로 IP 주소의 목록이 된다.
단계 S340에서는 목적지 IP 주소가 조회 IP 주소 목록에 포함되는지 판단하고, 단계 S340의 판단 결과 목적지 IP 주소가 조회 IP 주소 목록에 포함되어 있다면 정상적인 패킷으로 인식하고 단계 S341로 진행하여 정상 서비스 정책에 따라 패킷을 처리하며, 단계 S340의 판단 결과 목적지 IP 주소가 조회 IP 주소 목록에 포함되어 있지 않다면 변조된 패킷으로 인식하여 단계 S342로 진행하여 변조 서비스 정책에 따라 패킷을 처리한다.
단계 S331, S340, S341 및 S342을 통하여, 방화벽 장치는 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록(신뢰된 DNS를 통해 패킷이 포함하는 접근 도메인 이름에 해당하는 IP 주소의 목록)을 비교하여 변조 여부를 판단하고 패킷을 처리하는 과정을 수행하며, 이러한 과정은 유입되는 패킷이 암호화되어 있지 않은 경우 모두 수행되게 하거나, 또는 유입되는 패킷이 암호화되어 있고 도 3에서 예를 든 바와 같이 다른 부가적인 조건을 만족할 때 수행될 수도 있다. 즉, 암호화되어 있지 않은 점을 적어도 만족하는 경우 수행될 수 있다.
한편, 단계 S350의 판단 결과 암호된 패킷이라면, 단계 S351로 진행하여 패킷의 목적지 IP 주소로 제어 대상 IP 주소의 목록을 조회한다. 전술한 바와 같이, 제어 대상 IP 주소는 제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소이다.
그리고, 단계 S360에서는 제어대상 IP 주소의 목록에 존재하는지 판단하고, 제어대상 IP 주소의 목록에 존재하는 경우 단계 S362로 진행하며, 단계 S362에서는 해당 목적지 IP 주소의 제어 정책에 따라 패킷을 처리한다.
본 발명의 일 양상에 따르면, 암호화된 패킷인 점이 적어도 만족되는 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소(제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소)의 목록에 존재하면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리한다. 본 발명의 일 양상에 따르면, 고비용의 DPI를 하지 않으면서도, 신뢰하는 DNS 서버를 이용하여 입력받은 제어 대상 도메인 이름에 해당하는 제어 대상 IP 주소의 목록을 확보하며, 이를 이용하여 암호화된 패킷에 대해서도 필터링을 수행한다.
한편, 제어대상 IP 주소의 목록에 존재하지 않는 경우 단계 S361로 진행하며, 단계 S361에서는 해당 패킷의 목적지 IP 주소로써, 신뢰할 수 있는 DNS 서버를 이용하여 도메인 이름을 역조회하며, 단계 S370에서는 역조회한 해당 패킷의 도메인 이름이 제어하고자 하는 서브 도메인에 포함되는가 판단한다.
단계 S370의 판단 결과 역조회한 도메인 이름이 제어하고자 하는 서브 도메인에 포함된다면, 단계 S371로 진행하여 해당 도메인의 제어 정책에 따라 패킷을 처리하며, 상기 단계 S370의 판단 결과 역조회한 도메인의 이름이 제어하고자 하는 서브 도메인에 포함되지 않는다면, 단계 S372로 진행하여 암호화 서비스 기본 정책에 따라 패킷을 처리한다.
본 발명의 일 양상에 따르면, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 없으면, 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 입력받은 제어 대상 도메인 이름의 서브 도메인에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 과정을 가질 수 있다.
110 : 패킷 입력부 120 : 도메인 등록부
130 : 제어 대상 데이터베이스 140 : 패킷 처리부
150 : 패킷 출력부 160 : 로그 기록부
170 : 로그 데이터

Claims (10)

  1. 방화벽 장치에서 수행되는 패킷 필터링 방법으로서,
    유입되는 패킷이 암호화된 패킷인 점을 적어도 만족하는 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록 - 여기서 제어 대상 IP 주소는 제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소이다 - 에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하는 제 2 단계;
    유입되는 패킷이 암호화되지 않은 패킷인 점을 적어도 만족하는 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록 - 여기서 조회 IP 주소 목록은 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소의 목록이다 - 을 비교하여 변조 여부를 판단하는 제 3 단계;
    를 포함하는 것을 특징으로 하는 패킷 필터링 방법.
  2. 청구항 1에 있어서,
    상기 제 3 단계의 이전에, 유입되는 패킷이 포함하는 접근 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 제 4 단계;
    를 포함하는 것을 특징으로 하는 패킷 필터링 방법.
  3. 청구항 1에 있어서,
    상기 제 3 단계의 이전에, 유입되는 패킷이 포함하는 접근 도메인이 IP 주소 형식인 경우, 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 제 5 단계;
    를 포함하는 것을 특징으로 하는 패킷 필터링 방법.
  4. 청구항 1에 있어서,
    상기 제어 대상 IP 주소마다 TTL(Time To Live)이 설정되고,
    상기 TTL(Time To Live)이 만료되기 전에 상기 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소를 갱신하는 것을 특징으로 하는 패킷 필터링 방법.
  5. 청구항 1에 있어서,
    유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 없으면 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 서브 도메인에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 제 6 단계;
    를 포함하는 것을 특징으로 하는 패킷 필터링 방법.
  6. 방화벽 장치로서,
    제어 대상 도메인 이름을 입력받아 신뢰하는 DNS 서버에 조회하여 IP 주소를 얻어 데이터베이스에 등록하는 도메인 등록부;
    (i) 유입되는 패킷이 암호화된 패킷인 점을 적어도 만족하는 경우, 유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 있으면 유입되는 패킷의 목적지 IP 주소에 해당하는 제어 정책에 따라 유입되는 패킷을 처리하며, (ii) 유입되는 패킷이 암호화되지 않은 패킷인 점을 적어도 만족하는 경우, 유입되는 패킷의 목적지 IP 주소와 조회 IP 주소 목록 - 여기서 조회 IP 주소 목록은 유입되는 패킷이 포함하는 접근 도메인 이름을 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소의 목록이다 - 을 비교하여 변조 여부를 판단하는 패킷 처리부;
    를 포함하는 것을 특징으로 하는 방화벽 장치.
  7. 청구항 6에 있어서,
    상기 패킷 처리부는,
    상기 변조 여부를 판단하는 과정의 이전에, 유입되는 패킷이 포함하는 접근 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 기능을 더 가진 것을 특징으로 하는 방화벽 장치.
  8. 청구항 6에 있어서,
    상기 패킷 처리부는,
    상기 변조 여부를 판단하는 과정의 이전에, 유입되는 패킷이 포함하는 접근 도메인이 IP 주소 형식인 경우, 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 목록에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 기능을 더 가진 것을 특징으로 하는 방화벽 장치.
  9. 청구항 6에 있어서,
    상기 도메인 등록부는,
    상기 제어 대상 IP 주소마다 TTL(Time To Live)을 설정하고,
    상기 TTL(Time To Live)이 만료되기 전에 상기 신뢰하는 DNS 서버에 조회하여 얻은 IP 주소를 갱신하는 것을 특징으로 하는 방화벽 장치.
  10. 청구항 6에 있어서,
    상기 패킷처리부는,
    유입되는 패킷의 목적지 IP 주소가 제어 대상 IP 주소의 목록에 없으면 유입되는 패킷의 목적지 IP 주소를 DNS 역조회하여 얻은 도메인 이름이 상기 입력받은 제어 대상 도메인 이름의 서브 도메인에 포함되는지 판단하고 포함되는 경우, 해당 제어 대상 도메인의 제어 정책에 따라 유입되는 패킷을 처리하는 기능을 더 가진 것을 특징으로 하는 방화벽 장치.
KR1020130040353A 2013-04-12 2013-04-12 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 KR101428999B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130040353A KR101428999B1 (ko) 2013-04-12 2013-04-12 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130040353A KR101428999B1 (ko) 2013-04-12 2013-04-12 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치

Publications (1)

Publication Number Publication Date
KR101428999B1 true KR101428999B1 (ko) 2014-08-12

Family

ID=51750137

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130040353A KR101428999B1 (ko) 2013-04-12 2013-04-12 Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치

Country Status (1)

Country Link
KR (1) KR101428999B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104639391A (zh) * 2015-01-04 2015-05-20 中国联合网络通信集团有限公司 一种生成网络流量记录的方法及相应的流量检测设备
CN108023877A (zh) * 2017-11-20 2018-05-11 烽火通信科技股份有限公司 一种基于家庭网关实现防火墙域名控制的系统方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004535096A (ja) * 2001-04-11 2004-11-18 サフェイ カンパニー リミテッド 外部からのアクセスを規制するための方法およびシステム
JP2005175825A (ja) * 2003-12-10 2005-06-30 Ntt Data Corp 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置
KR20070026331A (ko) * 2003-11-11 2007-03-08 사이트릭스 게이트웨이즈, 아이엔씨. 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004535096A (ja) * 2001-04-11 2004-11-18 サフェイ カンパニー リミテッド 外部からのアクセスを規制するための方法およびシステム
KR20070026331A (ko) * 2003-11-11 2007-03-08 사이트릭스 게이트웨이즈, 아이엔씨. 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법
JP2005175825A (ja) * 2003-12-10 2005-06-30 Ntt Data Corp 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104639391A (zh) * 2015-01-04 2015-05-20 中国联合网络通信集团有限公司 一种生成网络流量记录的方法及相应的流量检测设备
CN108023877A (zh) * 2017-11-20 2018-05-11 烽火通信科技股份有限公司 一种基于家庭网关实现防火墙域名控制的系统方法

Similar Documents

Publication Publication Date Title
JP5480265B2 (ja) セキュアなリソース名前解決
US9525602B2 (en) Maintaining IP tables
JP5480264B2 (ja) キャッシュを使用したセキュアなリソース名前解決
US9699151B2 (en) Manage encrypted network traffic using spoofed addresses
US10419477B2 (en) Systems and methods for blocking targeted attacks using domain squatting
US8984620B2 (en) Identity and policy-based network security and management system and method
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US20160164826A1 (en) Policy Implementation at a Network Element based on Data from an Authoritative Source
US9258293B1 (en) Safe and secure access to dynamic domain name systems
US9497063B2 (en) Maintaining IP tables
US10911420B2 (en) Manage encrypted network traffic using DNS responses
US10931695B2 (en) Nonce injection and observation system for detecting eavesdroppers
EP3306900B1 (en) Dns routing for improved network security
CA2939978C (en) Manage encrypted network traffic using spoofed addresses
US20090019523A1 (en) Controlling network communications
KR101428999B1 (ko) Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치
US11677714B2 (en) Collecting passive DNS traffic to generate a virtual authoritative DNS server

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180530

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190521

Year of fee payment: 6