KR101628094B1 - 보안 장비 및 그것의 접근 허용 방법 - Google Patents
보안 장비 및 그것의 접근 허용 방법 Download PDFInfo
- Publication number
- KR101628094B1 KR101628094B1 KR1020140183568A KR20140183568A KR101628094B1 KR 101628094 B1 KR101628094 B1 KR 101628094B1 KR 1020140183568 A KR1020140183568 A KR 1020140183568A KR 20140183568 A KR20140183568 A KR 20140183568A KR 101628094 B1 KR101628094 B1 KR 101628094B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- marking data
- server
- input
- vpn
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
본 발명은 가상사설망(Virtual Private Network, 이하 VPN이라 칭하기로 함)을 이용한 보안 장비의 접근 허용 방법에 관한 것이다. 본 발명의 보안 장비의 접근 허용 방법은 네트워크를 통해 패킷을 입력받는 단계, 입력된 패킷이 서버 패킷이 아니면 수신된 패킷을 포워딩하는 단계, 입력된 패킷이 서버 패킷이고, 브이피엔(VPN) 패킷이면, 입력된 패킷을 복호화하고 마킹 데이터를 포함시켜 마킹 데이터가 포함된 패킷을 재입력하는 단계, 입력된 패킷이 서버 패킷이면, 마킹 데이터의 포함 여부를 확인하는 단계, 마킹 데이터를 포함한 패킷에 대해서 패킷을 처리하고, 마킹 데이터를 포함하지 않은 패킷에 대해서 패킷을 폐기하는 단계, 및 처리된 패킷을 응용 프로그램으로 전달하는 단계를 포함한다.
Description
본 발명은 네트워크 시스템에 관한 것으로서, 특히 가상 사설 네트워크(VPN: Virtual Private Network)에서 허용된 관리자로부터의 패킷만을 수신하는 보안 장비 및 그것의 접근 허용 방법에 관한 것이다.
일반적으로 인터넷 통신망을 통해서 원거리에 위치한 기기들 간에는 패킷을 전송한다.
도 1은 일반적인 패킷 처리를 예시적으로 도시한 순서도이다.
도 1을 참조하면, 네트워크 기기, 일예로 서버가 보안을 위한 보안 장비를 사용하지 않을 때의 패킷 흐름이다.
서버는 네트워크를 통해 패킷이 입력받고, 113단계로 진행한다(111단계).
서버는 입력된 패킷이 서버 패킷인지 판단한다(113단계). 여기서 서버 패킷은 서버가 갖는 아이피(IP: Internet Protocl) 주소를 목적지 주소로 설정된 패킷이다.
113단계의 판단결과, 입력된 패킷이 서버 패킷이면, 서버는 115단계로 진행한다.
서버는 입력된 패킷을 네트워크 패킷 처리하고, 119단계로 진행한다(115단계).
113단계의 판단결과, 입력된 패킷이 서버 패킷이 아니면, 서버는 다른 장비로 패킷 포워딩을 하거나 패킷을 폐기하고, 종료 단계로 진행한다(117단계).
서버는 서버의 응용 프로그램으로 전달한다(119단계). 여기서, 응용 프로그램은 예를 들면, 하이퍼텍스트 전송 프로토콜(HTTP: Hypertext Transfer Protocol), 시큐어셀(Secure shell), 텔넷(Telnet) 등을 포함한다.
이와 같이, 원격지에서 네트워크를 통해 서버와 같은 장비로의 접속은 아이피(IP) 패킷이 외부로 노출되고, 이러한 패킷의 노출은 인가되지 않은 침입 기기 등으로부터 액세스를 가능하게 함으로써 보안에 취약한 문제점이 있었다.
본 발명의 목적은 네트워크를 통한 장비 접속 시 패킷의 외부 노출을 최소화 시키고, 인가되지 않은 침입 기기의 액세스를 방지할 수 있는 보안 장비 및 그것의 접근 허용 방법을 제공함에 있다.
본 발명에 따른 보안 장비의 접근 허용 방법에 있어서, 네트워크를 통해 패킷을 입력받는 단계, 상기 입력된 패킷이 서버 패킷이 아니면 수신된 패킷을 포워딩하는 단계, 상기 입력된 패킷이 서버 패킷이고, 브이피엔(VPN) 패킷이면, 상기 입력된 패킷을 복호화하고 마킹 데이터를 포함시켜 상기 마킹 데이터가 포함된 패킷을 재입력하는 단계, 상기 입력된 패킷이 서버 패킷이면, 상기 마킹 데이터의 포함 여부를 확인하는 단계, 상기 마킹 데이터를 포함한 패킷에 대해서 패킷을 처리하고, 상기 마킹 데이터를 포함하지 않은 패킷에 대해서 패킷을 폐기하는 단계, 및 상기 처리된 패킷을 응용 프로그램으로 전달하는 단계를 포함한다.
이 실시예에 있어서, 상기 마킹 데이터의 포함 여부를 확인하는 단계 이후에, 상기 마킹 데이터를 포함한 패킷의 전송 아이피(IP)가 관리자 IP로 등록된 경우, 상기 패킷을 처리하는 단계, 및 상기 마킹 데이터를 포함한 패킷의 전송 아이피(IP)가 관리자 IP로 등록되지 않은 경우, 상기 패킷을 폐기하는 단계를 더 포함한다.
이 실시예에 있어서, 상기 마킹 데이터의 포함 여부를 확인하는 단계 이후에, 아이디와 패스워드, 포트, 프로토콜 중 적어도 하나에 근거하여 상기 패킷의 처리 또는 폐기를 결정하는 단계를 더 포함한다.
본 발명에 따른 보안 장비는 패킷을 입력받는 패킷 수신부, 상기 입력된 패킷이 서버 패킷이 아니면 수신된 패킷을 포워딩 또는 폐기하는 패킷 처리부;
상기 입력된 패킷이 서버 패킷이고, 브이피엔(VPN) 패킷이면, 상기 입력된 패킷을 복호화하고 마킹 데이터를 포함시켜 상기 마킹 데이터가 포함된 패킷을 상기 패킷 수신부로 재입력하는 VPN 패킷 처리부, 상기 마킹 데이터를 포함한 패킷에 대해서 패킷을 처리하고, 상기 마킹 데이터를 포함하지 않은 패킷에 대해서 패킷을 폐기하는 마킹 데이터 검출부, 및 상기 처리된 패킷을 연결된 네트워크 기기의 응용 프로그램으로 전달하는 패킷 송신부를 포함한다.
이 실시예에 있어서, 상기 마킹 데이터를 포함한 패킷의 전송 아이피(IP)가 관리자 IP로 등록된 경우, 상기 패킷을 처리하고, 상기 마킹 데이터를 포함한 패킷의 전송 아이피가 관리자 IP로 등록되지 않은 경우, 상기 패킷을 폐기하는 관리자 IP 판단부를 더 포함한다.
이 실시예에 있어서, 상기 관리자 IP 판단부는 상기 패킷의 처리와 폐기 여부를 아이디와 패스워드, 포트, 프로토콜 중 적어도 하나에 근거하여 판단하는 것을 특징으로 한다.
본 발명의 보안 장비는 복호를 통해 수신하는 가상사설망(VPN) 패킷에 대해서만 패킷 처리되도록 함으로써, 패킷의 외부 노출을 최소화시킬 수 있으며, 인가되지 않은 외부의 침입 기기의 엑세스를 방지할 수 있다.
도 1은 일반적인 패킷 처리를 예시적으로 도시한 순서도,
도 2는 본 발명의 실시예에 따른 가상사설망(VPN)을 통해 수신한 패킷 처리를 도시한 순서도,
도 3은 본 발명의 실시예에 따른 네트워크 시스템을 도시한 도면,
도 4는 본 발명의 실시예에 따른 보안 장비를 도시한 도면, 및
도 5는 본 발명의 실시예에 따른 보안 장비의 동작을 예시적으로 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 가상사설망(VPN)을 통해 수신한 패킷 처리를 도시한 순서도,
도 3은 본 발명의 실시예에 따른 네트워크 시스템을 도시한 도면,
도 4는 본 발명의 실시예에 따른 보안 장비를 도시한 도면, 및
도 5는 본 발명의 실시예에 따른 보안 장비의 동작을 예시적으로 도시한 도면이다.
이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다.
본 발명은 가상사설망(Virtual Private Network, 이하 VPN이라 칭하기로 함)을 이용하여 네트워크 장비로의 원격지에서의 접속에 따른 보안을 위한 보안 장비 및 그것의 접근 허용 방법을 제공한다.
우선, VPN은 원거리 네트워크 간에 공개된 인터넷 통신망을 통해 전용망과 같이 안전하게 통신하게 하는 네트워크 서비스이다. 아이피보안(IPsecurity, 이하 'IPsec'라 칭하기로 함) VPN은 공개된 인터넷통신 망에서 데이터를 보호하기 위해 송신단에서 데이터 패킷을 암호화하여 전송하고, 수신단은 암호화된 패킷을 복호화하여 전달한다. 이때, 암호화 방법은 키 교환을 통해서 수행될 수 있으며, 두 지점간의 키교환 정보들의 집합을 보안 연관(Security Association, 이하 'SA'라 칭하기로 함)이라고 한다. SA는 데이터 송신단과 수신단 사이에 비밀 데이터(인증, 암호화 데이터)를 교환할 때, 미리 암호화 알고리즘, 키교환 방법, 키교환 주기, 및 키교환 정책과 같이 데이터 교환 전에 통일되어야할 요소들의 집합이다. SA를 기반으로 패킷들에 대한 보안 정책을 적용하며, 모든 트래픽 처리 시에 참조 SA를 이용하기 전에 호스트 패킷에 대한 규정된 정책(폐기(drop), 통과, IPSec)을 적용하는 곳이 보안 정책 데이터베이스(SPD: Security Policy Database)이다. 터널 정책, 즉 암호화 대역은 아이피 어드레스(IP Address), 포트(Port), 프로토콜(Protocol) 정보 등으로 구분되며, 터널 정책에 부합되는 패킷을 수신하면 암호화하여 전달한다.
도 2는 본 발명의 실시예에 따른 가상사설망(VPN)을 통해 수신한 패킷 처리를 도시한 순서도이다.
도 2를 참조하면, 네트워크 기기, 일예로 서버가 보안을 위한 보안 장비를 사용하지 않을 때의 패킷 흐름이다.
서버는 패킷을 입력받고 213단계로 진행한다(211단계).
서버는 입력된 패킷이 서버 패킷인지 판단한다(213단계). 여기서 서버 패킷은 서버가 갖는 아이피(IP: Internet Protocl) 주소를 목적지 주소로 설정된 패킷이다.
213단계의 판단결과, 서버 패킷이면 서버는 215단계로 진행한다.
서버는 입력된 패킷이 VPN 패킷인지 판단한다(215단계).
213단계의 판단결과, 서버 패킷이 아니면, 서버는 패킷을 라우팅 테이블에 근거하여 포워딩하거나 폐기하고 종료한다(217단계).
한편, 215단계의 판단결과, VPN 패킷이면 서버는 219단계로 진행한다.
서버는 VPN 패킷 즉, 암호화된 패킷이므로 상술한 SA에 근거하여 패킷을 복호하고, 211단계로 진행한다(219단계). 이를 통해, 서버는 복호화된 VPN 패킷을 재입력한다. 이후, 복호화된 VPN 패킷에 대해 서버는 VPN 패킷으로 인식되지 않음으로 215단계를 통해 221단계로의 진행을 통해 패킷을 처리한다. 이는 설명의 편의를 위한 것으로, 복호화된 VPN 패킷에 대해 221단계로 진행할 수도 있다.
215단계의 판단결과, VPN 패킷이 아니면 서버는 221단계로 진행한다.
서버는 입력된 패킷에 대해 네트워크 패킷 처리를 수행하고 223단계로 진행한다(221단계).
서버는 서버의 응용 프로그램으로 전달한다(223단계). 여기서, 응용 프로그램은 예를 들면, 하이퍼텍스트 전송 프로토콜(HTTP: Hypertext Transfer Protocol), 시큐어셀(Secure shell), 텔넷(Telnet) 등을 포함한다.
도 3은 본 발명의 실시예에 따른 네트워크 시스템을 도시한 도면이다.
도 3을 참조하면, 네트워크 시스템(300)은 관리자 기기(310), 제 1 보안 장비(320), 제 2 보안 장비(340), 및 서버(일예로, 서버 IP)(350)를 포함한다. 한편, 네트워크 시스템(300) 상에는 침입 기기(311)가 포함될 수 있다.
관리자 기기(310)는 VPN(301)의 도메인 상에 위치하며, 송수신되는 데이터의 보안을 위한 제 1 보안 장비(320)를 통해 서버(350)에 연결될 수 있다. 여기서, 관리자 기기(310)는 개인 컴퓨터(PC)와 같은 기기를 포함할 수 있다.
제 1 보안 장비(320)는 관리자 기기(310)에 연결되어 관리자 기기(310)로부터 전송되는 패킷을 보안 처리(일예로, 암호화)하여 송신하고, 관리자 기기(310)로 수신되는 패킷의 보안 처리(일예로, 복호화)를 통해 수신한다. 제 1 보안 장비(320)는 연결된 네트워크(웹)(303)를 통해 패킷을 송수신한다.
제 2 보안 장비(340)는 서버(350)에 연결되어, 서버(350)로부터 전송되는 패킷을 보안 처리하여 송신하고, 서버(350)로 수신되는 패킷의 보안 처리(일예로, 복호화)를 통해 수신한다. 제 2 보안 장비(340)는 연결된 네트워크(303)를 통해 패킷을 송수신한다.
서버(350)는 관리자 기기(310)를 통해 전송되는 패킷을 수신하는 목적지 IP, 즉 서버 IP를 갖는 네트워크 기기이다. 서버(350)는 제 2 VPN 도메인(305) 내에 위치할 수 있다.
이를 위해, 본 발명에서 제안된 제 2 보안 장비(340)는 서버(350)로 전송되는 VPN 패킷만을 전송하도록 한다. 이를 통해, 제 2 보안 장비(340)는 입력된 패킷이 VPN 패킷이 아닌 경우, 모두 라우팅 테이블에 근거하여 포워딩하거나 폐기한다. 즉, 제 2 보안 장비(340)는 모든 패킷이 암호화되는 VPN의 사용자 기기로 제한함으로써 보안이 강화될 수 있다. 이로 인해, 칩입 기기(311)로부터 전송되는 패킷은 제 2 보안 장비(340)를 통해 폐기되므로 보안이 강화될 수 있다.
여기서, 제 2 보안 장비(340)는 설명의 편의를 위하여 하기에서는 보안 장비라 칭하기로 한다.
도 4는 본 발명의 실시예에 따른 보안 장비를 도시한 도면이다.
도 4를 참조하면, 보안 장비(340)는 패킷 수신부(341), 서버 패킷 처리부(342), VPN 패킷 처리부(343), 마킹 데이터 검출부(344), 관리자 IP 판단부(345), 및 패킷 송신부(346)를 포함한다.
패킷 수신부(341)는 연결된 네트워크(303)를 통해 패킷을 입력받는다. 패킷 수신부(341)는 입력된 패킷을 서버 패킷 처리부(342)로 출력한다. 패킷 수신부(341)는 입력된 패킷을 서버 패킷 처리부(342)로 출력한다.
서버 패킷 처리부(342)는 입력된 패킷이 서버 패킷인지 판단을 통해 서버 패킷이 아니면, 해당 패킷을 패킷 송신부(346)를 통해 포워딩(라우팅 테이블에 근거하여 다른 기기로 전송)하거나 폐기한다. 서버 패킷 처리부(342)는 입력된 패킷이 서버 패킷이면, VPN 패킷 처리부(343)로 출력한다. 여기서 서버 패킷은 서버가 갖는 IP 주소를 목적지 주소로 설정된 패킷이다.
VPN 패킷 처리부(343)는 입력된 패킷이 VPN 패킷인지 판단한다. 즉, VPN 패킷 처리부(343)는 VPN을 통해 암호화된 패킷인지 판단한다. 이를 통해, VPN 패킷(343)은 암호화되지 않은 패킷이면, 마킹 데이터 검출부(344)로 출력한다.
하지만, VPN 패킷 처리부(343)는 암호화된 패킷이면, 미리 결정된 암호키 등을 이용하여 패킷을 복호한다. VPN 패킷 처리부(343)는 복호한 패킷에 마킹을 하고, 마킹된 패킷을 패킷 수신부(341)로 재입력한다. 예를 들면, VPN 패킷 처리부(343)는 마킹을 위해 미리 결정된 마킹 데이터를 복호한 패킷에 추가한다. 따라서, VPN 패킷 처리부(343)는 마킹된 패킷의 재입력을 통해 VPN 패킷 처리부(343)로 입력된 패킷은 별도의 복호 동작없이 마킹 데이터 검출부(344)로 출력한다.
이와 같이, VPN 패킷 처리부(343)가 마킹된 패킷을 패킷 수신부(341)로 재입력하는 동작은 예시적으로 설명된 것으로, VPN 패킷 처리부(343)는 마킹된 데이터를 직접 마킹 데이터 검출부(344)로 출력할 수도 있다.
마킹 데이터 검출부(344)는 입력된 패킷에 마킹 데이터가 포함되었는지 판단한다. 입력된 패킷에 마킹 데이터가 포함되지 않은 경우, 마킹 데이터 검출부(344)는 해당 패킷을 폐기한다. 마킹 데이터 검출부(344)는 마킹 데이터가 포함된 패킷에 대해서만 네트워크 패킷 처리를 통해 관리자 IP 판단부(345)로 출력한다. 이를 통해, 마킹 데이터 검출부(344)는 VPN 패킷에 대해서만 전달될 수 있도록 한다.
관리자 IP 판단부(345)는 보안 장비(340)에 선택적으로 포함될 수 있으므로, 관리자 IP 판단부(345)가 존재하지 않을 경우, 마킹 데이터 검출부(344)를 통해 처리된 패킷은 패킷 송신부(346)로 출력될 수 있다.
관리자 IP 판단부(345)는 마킹 데이터 검출부(344)를 통해 출력된 패킷의 소스 어드레스가 미리 등록된 관리자 IP 어드레스(또는 특정한 관리자 IP 어드레스 대역)에 대응되는지 확인한다. 만약, 등록된 관리자 IP 어드레스가 아닐 경우, 관리자 IP 판단부(345)는 해당 패킷을 폐기한다. 그리고, 등록된 관리자 IP 어드레스이면 해당 패킷을 패킷 송신부(346)로 출력한다. 이때, 관리자 IP 판단부(345)에서 IP 주소를 이용하는 경우를 설명하지만, 아이디와 패스워드를 이용한 관리자 인증을 할 수도 있다. 관리자 IP 판단부(345)는 포트(목적지 포트)와 프로토콜까지 이용하여 관리자 인증을 할 수도 있다.
패킷 송신부(346)는 처리 완료된 패킷을 연결된 서버(350)로 전송할 수 있다. 한편, 패킷 송신부(346)는 설명의 편의를 위하여 구분한 것으로, 패킷 송신과 패킷 수신을 하나의 인터페이스를 통해 수행하는 경우, 패킷 수신부(341)와 결합될 수도 있다.
도 5는 본 발명의 실시예에 따른 보안 장비의 동작을 예시적으로 도시한 도면이다.
도 5를 참조하면, 보안 장비(340)는 패킷을 입력받고 413단계로 진행한다(411단계).
보안 장비(340)는 입력된 패킷이 서버 패킷인지 판단한다(413단계).
413단계의 판단결과, 서버 패킷이면 보안 장비(340)는 415단계로 진행한다.
보안 장비(340)는 입력된 패킷이 VPN 패킷인지 판단한다(415단계).
413단계의 판단결과, 서버 패킷이 아니면 보안 장비(340)는 패킷을 포워딩하거나 폐기하고 종료한다(417단계).
한편, 415단계의 판단결과, VPN 패킷이면 보안 장비(340)는 419단계로 진행한다.
보안 장비(340)는 VPN 패킷 즉, 암호화된 패킷이므로 상술한 SA에 근거하여 패킷을 복호한 후, 패킷을 마킹하고 411단계로 진행한다(419단계). 이를 통해, 보안 장비(340)는 복호 및 마킹된 VPN 패킷을 재입력한다. 이후, 복호 및 마킹된 VPN 패킷에 대해 보안 장비(340)는 VPN 패킷으로 인식되지 않음으로 415단계를 통해 421단계로의 진행을 통해 패킷을 처리한다. 이는 설명의 편의를 위한 것으로, 복호 및 마킹된 VPN 패킷에 대해 421단계로 진행할 수도 있다.
415단계의 판단결과, VPN 패킷이 아니면 보안 장비(340)는 421단계로 진행한다.
보안 장비(340)는 입력된 패킷이 마킹 패킷인지 판단한다(421단계). 보안 장비(340)는 패킷에 마킹 데이터가 포함되어 있는지 확인을 통해 마킹 패킷인지 판단할 수 있다.
421단계의 판단결과, 입력된 패킷이 마킹 패킷이면, 보안 장비(340)는 423단계로 진행한다.
보안 장비(340)는 패킷의 소스 IP 어드레스가 미리 등록된 관리자 IP 어드레스에 대응되는지 판단한다(423단계). 423단계는 선택적으로 포함될 수 있으며, 관리자 IP 어드레스뿐만 아니라 아이디와 패스워드, 포트(목적지 포트), 프로토콜 등을 패킷의 인증에 이용할 수 있다.
423단계의 판단결과, 소스 IP 어드레스가 미리 등록된 관리자 IP 어드레스에 대응되면, 보안 장비(340)는 425단계로 진행한다.
보안 장비(340)는 패킷을 네트워크 처리를 하고, 429단계로 진행한다(425단계).
421단계의 판단결과, 입력된 패킷이 마킹 패킷이 아니면, 보안 장비(340)는 427단계로 진행한다.
보안 장비(340)는 마킹 패킷이 아닌 패킷에 대해서 패킷을 폐기하고 종료한다(427단계).
보안 장비(340)는 처리된 패킷을 연결된 기기, 일예로 서버의 응용 프로그램으로 전달하고 종료한다(429단계). 여기서, 응용 프로그램은 예를 들면, 하이퍼텍스트 전송 프로토콜, 시큐어셀, 텔넷 등을 포함한다.
관리자 기기(310)로 전송되는 패킷에 대해서도 제 1 보안 장비(310)는 제 2 보안 장비(340)와 유사한 동작을 수행할 수 있음으로, 제 1 보안 장비(310)는 제 2 보안 장비(340)와 유사한 구조 및 동작을 수행할 수도 있다.
본 발명에서는 보안 장비(340)를 서버와 구분하여 표기하였으나, 보안 장비(340)가 서버(350) 내부에 포함되거나 보안 장비(340)의 기능이 서버(350)를 통해 구현될 수도 있다.
이와 같이, VPN을 이용한 관리자 접근 허용을 하는 보안 장비(340)는 공용망에서 암호화된 패킷으로 전달되기 때문에 패킷의 외부 노출이 없고, 다양한 VPN 키교환 방법을 이용하여 관리자 기기(즉, 사용자)(310)를 한번 더 인증할 수 있기 때문에 강력한 보안을 제공할 수 있다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
300: 네트워크 시스템 301, 305: VPN들
303: 네트워크(웹) 310: 관리자 기기
311: 침입 기기 320, 340: 보안 장비들
350: 서버(서버 IP) 341: 패킷 수신부
342: 서버 패킷 처리부 343: VPN 패킷 처리부
344: 마킹 데이터 검출부 345: 관리자 IP 판단부
346: 패킷 송신부
303: 네트워크(웹) 310: 관리자 기기
311: 침입 기기 320, 340: 보안 장비들
350: 서버(서버 IP) 341: 패킷 수신부
342: 서버 패킷 처리부 343: VPN 패킷 처리부
344: 마킹 데이터 검출부 345: 관리자 IP 판단부
346: 패킷 송신부
Claims (6)
- 보안 장비의 접근 허용 방법에 있어서,
네트워크를 통해 패킷을 입력받는 단계;
상기 입력된 패킷이 서버 패킷이고, 브이피엔(VPN) 패킷이면, 상기 입력된 패킷을 복호화하는 단계;
해당 패킷이 복호화된 브이피엔 패킷임을 나타내기 위한 마킹 데이터를 상기 복호화된 패킷에 포함시켜 재입력받는 단계;
상기 재입력된 패킷이 서버 패킷이면, 상기 마킹 데이터의 포함 여부를 확인하는 단계;
상기 재입력된 패킷이 상기 마킹 데이터를 포함하면, 상기 재입력된 패킷을 처리하고, 상기 재입력된 패킷이 상기 마킹 데이터를 포함하지 않으면, 상기 재입력된 패킷을 폐기하는 단계; 및
상기 처리된 패킷을 응용 프로그램으로 전달하는 단계를 포함하는 접근 허용 방법. - 제 1 항에 있어서,
상기 마킹 데이터의 포함 여부를 확인하는 단계 이후에,
상기 재입력된 패킷이 상기 마킹 데이터를 포함하면, 상기 재입력된 패킷의 전송 아이피(IP)가 관리자 IP로 등록되었는지 여부를 판단하는 단계;
상기 재입력된 패킷의 전송 아이피가 상기 관리자 IP로 등록된 경우, 상기 패킷을 처리하고, 상기 재입력된 패킷의 전송 아이피(IP)가 상기 관리자 IP로 등록되지 않은 경우, 상기 재입력된 패킷을 폐기하는 단계를 더 포함하는 접근 허용 방법. - 제 2 항에 있어서,
상기 마킹 데이터의 포함 여부를 확인하는 단계 이후에,
아이디와 패스워드, 포트, 프로토콜 중 적어도 하나에 근거하여 상기 재입력된 패킷의 처리 또는 폐기를 결정하는 단계를 더 포함하는 접근 허용 방법. - 패킷을 입력받는 패킷 수신부;
상기 입력된 패킷이 서버 패킷이고, 브이피엔(VPN) 패킷이면, 상기 입력된 패킷을 복호화하고 해당 패킷이 복호화된 브이피엔 패킷임을 나타내기 위한 마킹 데이터를 상기 복호화된 패킷에 포함시켜 상기 패킷 수신부로 재입력하는 VPN 패킷 처리부;
상기 재입력된 패킷이 서버 패킷이고, 상기 브이피엔 패킷이 아니면, 상기 재입력된 패킷이 상기 마킹 데이터를 포함하는지 여부를 판단하고, 상기 마킹 데이터를 포함하면 상기 재입력된 패킷을 처리하고, 상기 마킹 데이터를 포함하지 않으면 상기 재입력된 패킷을 폐기하는 마킹 데이터 검출부; 및
상기 처리된 패킷을 연결된 네트워크 기기의 응용 프로그램으로 전달하는 패킷 송신부를 포함하는 보안 장비. - 제 4 항에 있어서,
상기 마킹 데이터를 포함한 상기 재입력된 패킷의 전송 아이피(IP)가 관리자 IP로 등록된 경우, 상기 재입력된 패킷을 처리하고, 상기 마킹 데이터를 포함한 상기 재입력된 패킷의 전송 아이피가 관리자 IP로 등록되지 않은 경우, 상기 재입력된 패킷을 폐기하는 관리자 IP 판단부를 더 포함하는 보안 장비. - 제 5 항에 있어서,
상기 관리자 IP 판단부는 상기 재입력된 패킷의 처리와 폐기 여부를 아이디와 패스워드, 포트, 프로토콜 중 적어도 하나에 근거하여 판단하는 것을 특징으로 하는 보안 장비.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140183568A KR101628094B1 (ko) | 2014-12-18 | 2014-12-18 | 보안 장비 및 그것의 접근 허용 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140183568A KR101628094B1 (ko) | 2014-12-18 | 2014-12-18 | 보안 장비 및 그것의 접근 허용 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101628094B1 true KR101628094B1 (ko) | 2016-06-08 |
Family
ID=56193994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140183568A KR101628094B1 (ko) | 2014-12-18 | 2014-12-18 | 보안 장비 및 그것의 접근 허용 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101628094B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102142708B1 (ko) * | 2019-05-14 | 2020-08-07 | 주식회사 시큐아이 | 네트워크 시스템 및 이의 운용 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030062106A (ko) * | 2002-01-16 | 2003-07-23 | 한국전자통신연구원 | 가상 사설망으로부터 데이터 패킷을 수신하는 방법 및 장치 |
| KR20110040652A (ko) * | 2009-10-14 | 2011-04-20 | 한국전자통신연구원 | 가상사설망을 구성하는 장치 및 방법 |
| KR101447858B1 (ko) * | 2013-05-15 | 2014-10-07 | (주)엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
-
2014
- 2014-12-18 KR KR1020140183568A patent/KR101628094B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030062106A (ko) * | 2002-01-16 | 2003-07-23 | 한국전자통신연구원 | 가상 사설망으로부터 데이터 패킷을 수신하는 방법 및 장치 |
| KR20110040652A (ko) * | 2009-10-14 | 2011-04-20 | 한국전자통신연구원 | 가상사설망을 구성하는 장치 및 방법 |
| KR101447858B1 (ko) * | 2013-05-15 | 2014-10-07 | (주)엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102142708B1 (ko) * | 2019-05-14 | 2020-08-07 | 주식회사 시큐아이 | 네트워크 시스템 및 이의 운용 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107666383B (zh) | 基于https协议的报文处理方法以及装置 | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| US8904178B2 (en) | System and method for secure remote access | |
| CN110190955B (zh) | 基于安全套接层协议认证的信息处理方法及装置 | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN109845214B (zh) | 一种传输数据的方法、装置和系统 | |
| CN107517183B (zh) | 加密内容检测的方法和设备 | |
| US9444807B2 (en) | Secure non-geospatially derived device presence information | |
| CN113225352B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US20110107410A1 (en) | Methods, systems, and computer program products for controlling server access using an authentication server | |
| JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| US20110154469A1 (en) | Methods, systems, and computer program products for access control services using source port filtering | |
| US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
| US20160366191A1 (en) | Single Proxies in Secure Communication Using Service Function Chaining | |
| KR101979157B1 (ko) | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 | |
| KR20190009497A (ko) | 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 | |
| KR101628094B1 (ko) | 보안 장비 및 그것의 접근 허용 방법 | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| CN110492994B (zh) | 一种可信网络接入方法和系统 | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190604 Year of fee payment: 4 |