KR101871146B1 - 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 - Google Patents

미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 Download PDF

Info

Publication number
KR101871146B1
KR101871146B1 KR1020160098629A KR20160098629A KR101871146B1 KR 101871146 B1 KR101871146 B1 KR 101871146B1 KR 1020160098629 A KR1020160098629 A KR 1020160098629A KR 20160098629 A KR20160098629 A KR 20160098629A KR 101871146 B1 KR101871146 B1 KR 101871146B1
Authority
KR
South Korea
Prior art keywords
terminal
access
access terminal
network
network switch
Prior art date
Application number
KR1020160098629A
Other languages
English (en)
Other versions
KR20180015032A (ko
Inventor
김영한
Original Assignee
주식회사 다산네트웍스
주식회사 다산네트웍솔루션즈
(주) 파이어넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 다산네트웍스, 주식회사 다산네트웍솔루션즈, (주) 파이어넷 filed Critical 주식회사 다산네트웍스
Priority to KR1020160098629A priority Critical patent/KR101871146B1/ko
Publication of KR20180015032A publication Critical patent/KR20180015032A/ko
Application granted granted Critical
Publication of KR101871146B1 publication Critical patent/KR101871146B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/145Detection or countermeasures against cache poisoning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법에 관한 것으로, 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있도록 한 것이다.

Description

미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법{Network switch apparatus for blocking an unauthorized terminal and Blocking method for the unauthorized terminal}
본 발명은 미인가 단말 차단 기술에 관련한 것으로, 특히 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법에 관한 것이다.
대한민국 등록특허 제10-0893935호(2009.04.10)에서 네트워크 격리를 위한 정책이 설정되면, 에이전트가 상기 설정된 격리대상을 로컬 네트워크에서 차단하고, 통신허용대상의 IP 주소와 상기 에이전트의 맥 주소를 포함하는 변조된 주소변환 프로토콜(ARP) 패킷을 상기 격리대상에 전송하여 상기 격리대상의 ARP 캐시를 변경함으로써 상기 격리대상을 격리하고, 상기 격리된 격리대상으로부터 수신된 패킷을 체크하여 상기 패킷을 릴레이하거나 폐기하여 상기 격리된 격리대상과 상기 통신허용대상의 통신을 부분적으로 허용하는 ARP를 이용한 호스트의 네트워크 격리 기술을 제안하고 있다.
본 발명자는 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있는 기술에 대한 연구를 하게 되었다.
대한민국 등록특허 제10-0893935호(2009.04.10)
본 발명은 상기한 취지하에 발명된 것으로, 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있는 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법을 제공함을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치가 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말로부터 수신하는 ARP 패킷 수신부와; 상기 ARP 패킷 수신부에 의해 수신된 ARP 패킷을 송신한 접속 단말을 DB에 등록하고, 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 설정하는 접속 단말 등록부와; 상기 접속 단말 등록부에 의해 등록된 접속 단말이 접속 승인된 단말인지 IP 관리 시스템에 조회하는 승인 단말 조회부와; 상기 승인 단말 조회부에 의한 조회 결과 접속 단말이 접속 승인된 단말이 아닐 경우, 해당 접속 단말을 미인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 유지하는 미인가 단말 차단부를; 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치가 상기 승인 단말 조회부에 의한 조회 결과 접속 단말이 접속 승인된 단말일 경우, 해당 접속 단말을 인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 허용 상태로 변경하는 접속 단말 설정 변경부를; 더 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 접속 단말 등록부가 접속 단말의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB 저장하여 접속 단말을 등록하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치가 L2(Layer 2) 스위치 또는 L3(Layer 3) 스위치인 것을 특징으로 한다.
본 발명의 또 다른 양상에 따르면, 네트워크 스위치 장치의 미인가 단말 차단 방법이 네트워크 스위치 장치가 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말로부터 수신하는 ARP 패킷 수신 단계와; ARP 패킷 수신 단계에 의해 접속 단말로부터 ARP 패킷을 수신한 네트워크 스위치 장치가 ARP 패킷을 송신한 접속 단말을 DB에 등록하고, 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 설정하는 접속 단말 등록 단계와; 네트워크 스위치 장치가 접속 단말 등록 단계에 의해 등록된 접속 단말이 접속 승인된 단말인지 IP 관리 시스템에 조회하는 승인 단말 조회 단계와; 상기 승인 단말 조회 단계에 의한 조회 결과 접속 단말이 접속 승인된 단말이 아닐 경우, 네트워크 스위치 장치가 해당 접속 단말을 미인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 유지하는 미인가 단말 차단 단계를; 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 네트워크 스위치 장치의 미인가 단말 차단 방법이 상기 승인 단말 조회 단계에 의한 조회 결과 접속 단말이 접속 승인된 단말일 경우, 네트워크 스위치 장치가 해당 접속 단말의 네트워크 접속 허용 여부를 허용 상태로 변경하는 접속 단말 설정 변경 단계를; 더 포함하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 상기 접속 단말 등록 단계에서 네트워크 스위치 장치가 접속 단말의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB 저장하여 접속 단말을 등록하는 것을 특징으로 한다.
본 발명은 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있는 효과가 있다.
도 1 은 탐침기(Probe)를 이용하여 ARP 스푸핑(Spoofing) 및 포이즌(Poison)을 방지하는 원리를 설명하기 위한 네트워크 개요도이다.
도 2 는 본 발명에 따른 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치를 이용해 미안가 단말을 차단하는 원리를 설명하기 위한 네트워크 개요도이다.
도 3 은 본 발명에 따른 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치의 일 실시예의 구성을 도시한 블럭도이다.
도 4 는 본 발명에 따른 네트워크 스위치 장치의 미인가 단말 차단 방법의 일 실시예의 구성을 도시한 흐름도이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1 은 탐침기(Probe)를 이용하여 ARP 스푸핑(Spoofing) 및 ARP 포이즌(Poison)을 방지하는 원리를 설명하기 위한 네트워크 개요도이다. 도 1 을 참조해 보면, 네트워크 스위치 장치(100)에 다수의 단말(200)들과, IP 관리 시스템(300)과, 방화벽(Firewall)(400) 및 탐침기(Probe)(500)이 연결된다.
네트워크에 접속하기 위한 접속 단말(210)은 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 전송한다.
탐침기(Probe)(500)는 접속 단말(210)로부터 송신되는 기본 게이트웨이의 MAC 주소를 획득하기 위한 ARP 패킷을 감시하여, ARP 패킷을 송신한 접속 단말(210)이 접속 승인된 단말인지 IP 관리 시스템(300)에 조회한다.
조회 결과, ARP 패킷을 송신한 접속 단말(210)이 접속 승인된 단말이 아니라면, 탐침기(500)가 기본 게이트웨이의 MAC 주소 대신 탐침기(500) 자신의 MAC 주소를 접속 단말(210)로 응답(Reply)하여 접속 단말(210)이 기본 게이트웨이로 보내는 패킷을 가로채 패킷을 기본 게이트웨이로 전달하지 않도록 함으로써 ARP 스푸핑(Spoofing)을 방지한다.
그리고, 탐침기(500)가 타 단말(220)들에 대해서도 접속 단말(210)에 대해 탐침기(500) 자신의 MAC 주소를 등록하여 서브넷(subnet)내에서 접속 단말(210)이 타 단말(220)들로 접속되지 않도록 함으로써 ARP 포이즌(Poison)을 방지한다.
조회 결과, ARP 패킷을 송신한 접속 단말(210)이 접속 승인된 단말이라면, 탐침기(500)가 자신의 MAC 주소가 아니라 기본 게이트웨이의 MAC 주소를 접속 단말(210)로 응답(Reply)하여 접속 단말(210)이 기본 게이트웨이로 패킷을 전달하도록 한다.
즉, 미승인 접속 단말(210)에 대해 탐침기(500)가 게이트웨이로 행세하여 미승인 접속 단말(210)로부터 전송되는 상향 패킷들이 외부로 전달되지 않도록 함으로써 ARP 스푸핑(Spoofing) 및 ARP 포이즌(Poison)을 방지한다.
그러나, 탐침기(500)를 사용해 ARP 스푸핑(Spoofing) 및 ARP 포이즌(Poison)을 방지할 경우, 서브넷(subnet) 당 하나의 탐침기(500)가 필요하므로, 탐침기 추가에 따른 비용 상승, 탐침기 관리를 위한 업무 증가 및 네트워크상에서의 불필요한 ARP 패킷 발생 문제가 있다.
도 2 는 본 발명에 따른 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치를 이용해 미안가 단말을 차단하는 원리를 설명하기 위한 네트워크 개요도이다. 도 2 를 참조해 보면, 네트워크 스위치 장치(100)에 다수의 단말(200)들과, IP 관리 시스템(300)과, 방화벽(Firewall)(400)이 연결되고, 도 1 의 탐침기(Probe) 대신 네트워크 스위치 장치(100)내에 미인가 단말 차단 기능을 구비하고 있다.
네트워크에 접속하기 위한 접속 단말(210)은 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 전송한다.
미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)는 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP 패킷을 접속 단말(210)로부터 수신하고, ARP 패킷을 송신한 접속 단말을 DB에 등록하고, 해당 접속 단말(210)의 네트워크 접속 허용 여부를 거부 상태로 설정한다.
그리고, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)는 등록된 접속 단말(210)이 접속 승인된 단말인지 IP 관리 시스템(300)에 조회하여, 조회 결과 접속 단말(210)이 접속 승인된 단말이 아닐 경우, 해당 접속 단말(210)을 미인가 단말로 판단하여 해당 접속 단말(210)의 네트워크 접속 허용 여부를 거부 상태로 유지하여 미인가 단말이 전송하는 패킷이 기본 게이트웨이(Default Gateway)로 전달되지 않도록 함으로써 ARP 스푸핑(Spoofing)을 방지한다.
한편, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)는 조회 결과 접속 단말이 접속 승인된 단말일 경우, 해당 접속 단말(210)을 인가 단말로 판단하여 해당 접속 단말(210)의 네트워크 접속 허용 여부를 허용 상태로 변경한다.
그리고, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)가 네트워크 접속 허용 여부가 허용 상태로 변경된 접속 단말(210)로 기본 게이트웨이 MAC 주소를 응답(Reply)하여 접속 단말(210)에 의해 송신되는 패킷이 기본 게이트웨이로 전달되도록 한다.
도 3 은 본 발명에 따른 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치의 일 실시예의 구성을 도시한 블럭도이다. 도 3 에 도시한 바와 같이, 이 실시예에 따른 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)는 ARP 패킷 수신부(110)와, 접속 단말 등록부(120)와, 승인 단말 조회부(130)와, 미인가 단말 차단부(140)를 포함하여 이루어진다.
이 때, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)가 이더넷 스위치(Ethernet Switch) 등과 같은 L2(Layer 2) 스위치 또는 라우터(Router) 등과 L3(Layer 3) 스위치일 수 있다.
상기 ARP 패킷 수신부(110)는 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말(210)로부터 수신한다.
네트워크에 접속하기 위한 접속 단말(210)은 기본 게이트웨이(Default Gateway) MAC 주소를 알아야 하며, 기본 게이트웨이의 MAC 주소를 획득하기 위해 ARP(Address Resolution Protocol) 패킷을 송신한다.
같은 네트워크 세그먼트에 있는 두 IP 장비가 통신하는 경우에는 그 네트워크에서 이용하는 특정 매체에 적합하게 정의된 하위 계층 프로토콜과 주소 지정(Addressing)메커니즘을 사용한다. 이더넷 장비의 경우 통신할 때 MAC 주소(Address)를 사용한다.
IP 시스템이 통신하기 위해서는 먼저 로컬 장비가 속한 네트워크에 연결된 다른 장비의 하드웨어 주소를 확인해야 한다. ARP(Address Resolution Protocol)는 이런 서비스를 제공한다.
ARP 패킷은 ARP 패킷 식별을 위한 헤더, 어떤 형태의 네트워크에서 동작하는지 알려주는 하드웨어 타입(Hardware Type), 어떤 방식의 프로토콜인지를 알려주는 프로토콜 타입(Protocol Type), 요청 패킷인지 응답 패킷인지를 알려주는 Opcode, 접속 단말의 포트, MAC 주소, IP 주소 등의 자기 자신의 정보를 나타내는 sender, 접속하기 원하는 상대방 정보(IP 주소만 알고 있는 상태)를 나타내는 Target 필드 등을 포함한다.
접속 단말(210)로부터 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP 패킷이 전송되면, 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)가 ARP 패킷 수신부(110)를 통해 이를 수신한다.
상기 접속 단말 등록부(120)는 상기 ARP 패킷 수신부(110)에 의해 수신된 ARP 패킷을 송신한 접속 단말(210)을 DB에 등록하고, 해당 접속 단말(210)의 네트워크 접속 허용 여부를 거부 상태로 설정한다.
이 때, 상기 접속 단말 등록부(120)가 접속 단말(210)의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB 저장하여 접속 단말을 등록하도록 구현될 수 있다. 접속 단말(210)의 포트, MAC 주소, IP 주소는 ARP 패킷의 sender 필드로부터 획득될 수 있다.
한편, 접속 허용 여부 상태는 플래그 비트(Flag Bit) 형태로 설정되도록 구현될 수 있으며, 플래그 비트가 '0'일 경우에는 허용 상태, '1'일 경우에는 거부 상태로 설정될 수 있다.
상기 승인 단말 조회부(130)는 상기 접속 단말 등록부(120)에 의해 등록된 접속 단말(210)이 접속 승인된 단말인지 IP 관리 시스템(300)에 조회한다. 이를 위해, IP 관리 시스템(300)에는 접속 승인 단말에 대한 정보가 미리 저장되어 있어야 하며, IP 관리 시스템(300)이 접속 승인 단말에 대한 등록을 위한 사용자 인터페이스(도면 도시 생략)를 제공하여, 이를 통해 네트워크 관리자로부터 포트, MAC 주소, IP 주소 등과 같은 접속 승인 단말에 대한 정보를 입력받아 저장한다.
미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)는 승인 단말 조회부(130)를 통해 DB에 등록된 접속 단말(210)의 포트, MAC 주소, IP 주소에 대응하는 단말이 IP 관리 시스템(300)에 접속 승인 단말로 등록되었는지 조회 요청하고, 이에 따라 IP 관리 시스템(300)이 해당 조회 요청된 접속 단말(210)의 포트, MAC 주소, IP 주소에 대응하는 단말이 접속 승인 단말로 등록되었는지 확인하여, 그 결과를 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)로 전송한다.
상기 미인가 단말 차단부(140)는 상기 승인 단말 조회부(130)에 의한 조회 결과 접속 단말(210)이 접속 승인된 단말이 아닐 경우, 해당 접속 단말(210)을 미인가 단말로 판단하여 해당 접속 단말(210)의 네트워크 접속 허용 여부를 거부 상태로 유지한다.
미인가 단말로 판단되어 접속 단말(210)의 네트워크 접속 허용 여부가 거부 상태로 유지되면, 미인가 단말로 판단된 접속 단말(210)로부터 전송되는 패킷은 네트워크의 기본 게이트웨이 MAC 주소로 전달되지 않아 미인가 단말에 대한 차단이 이루어진다.
이와 같이 구현함에 의해 본 발명은 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있다.
한편, 발명의 부가적인 양상에 따르면, 상기 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치(100)가 접속 단말 설정 변경부(150)를 더 포함할 수 있다.
상기 접속 단말 설정 변경부(150)는 상기 승인 단말 조회부(130)에 의한 조회 결과 접속 단말(210)이 접속 승인된 단말일 경우, 해당 접속 단말(210)을 인가 단말로 판단하여 해당 접속 단말(210)의 네트워크 접속 허용 여부를 허용 상태로 변경한다. 이에 따라, 접속 허용된 인가 단말이 네트워크에 접속하는 경우, 인가 단말의 트래픽이 네트워크에 유입되게 된다.
이상에서 설명한 바와 같은 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치의 미인가 단말 차단 동작을 도 4 를 통해 알아본다. 도 4 는 본 발명에 따른 네트워크 스위치 장치의 미인가 단말 차단 방법의 일 실시예의 구성을 도시한 흐름도이다.
네트워크에 접속하기 위한 접속 단말이 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 전송한다.
그러면, ARP 패킷 수신 단계(610)에서 네트워크 스위치 장치가 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말로부터 수신한다.
그리고, 접속 단말 등록 단계(620)에서 ARP 패킷 수신 단계(610)에 의해 접속 단말로부터 ARP 패킷을 수신한 네트워크 스위치 장치가 ARP 패킷을 송신한 접속 단말을 DB에 등록하고, 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 설정한다.
이 때, 상기 접속 단말 등록 단계(620)에서 네트워크 스위치 장치가 접속 단말의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB 저장하여 접속 단말을 등록하도록 구현될 수 있다.
한편, 접속 허용 여부 상태는 플래그 비트(Flag Bit) 형태로 설정되도록 구현될 수 있으며, 플래그 비트가 '0'일 경우에는 허용 상태, '1'일 경우에는 거부 상태로 설정될 수 있다.
그 다음, 승인 단말 조회 단계(630)에서 네트워크 스위치 장치가 접속 단말 등록 단계(620)에 의해 등록된 접속 단말이 접속 승인된 단말인지 IP 관리 시스템에 조회한다.
이를 위해, IP 관리 시스템에는 접속 승인 단말에 대한 정보가 미리 저장되어 있어야 하며, IP 관리 시스템이 접속 승인 단말에 대한 등록을 위한 사용자 인터페이스(도면 도시 생략)를 제공하여, 이를 통해 네트워크 관리자로부터 포트, MAC 주소, IP 주소 등과 같은 접속 승인 단말에 대한 정보를 입력받아 저장한다.
미인가 단말 차단 기능을 구비한 네트워크 스위치 장치는 승인 단말 조회 단계(630)를 통해 DB에 등록된 접속 단말의 포트, MAC 주소, IP 주소에 대응하는 단말이 IP 관리 시스템에 접속 승인 단말로 등록되었는지 조회 요청하고, 이에 따라 IP 관리 시스템이 해당 조회 요청된 접속 단말의 포트, MAC 주소, IP 주소에 대응하는 단말이 접속 승인 단말로 등록되었는지 확인하여, 그 결과를 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치로 전송한다.
만약, 상기 승인 단말 조회 단계(630)에 의한 조회 결과 접속 단말이 접속 승인된 단말이 아니라면, 미인가 단말 차단 단계(640)에서 네트워크 스위치 장치가 해당 접속 단말을 미인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 유지한다.
미인가 단말로 판단되어 접속 단말의 네트워크 접속 허용 여부가 거부 상태로 유지되면, 미인가 단말로 판단된 접속 단말로부터 전송되는 패킷은 네트워크의 기본 게이트웨이 MAC 주소로 전달되지 않아 미인가 단말에 대한 차단이 이루어진다.
이와 같이 구현함에 의해 본 발명은 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있다.
만약, 상기 승인 단말 조회 단계(630)에 의한 조회 결과 접속 단말이 접속 승인된 단말일 경우, 접속 단말 설정 변경 단계(650)에서 네트워크 스위치 장치가 해당 접속 단말의 네트워크 접속 허용 여부를 허용 상태로 변경한다. 이에 따라, 접속 허용된 인가 단말이 네트워크에 접속하는 경우, 인가 단말의 트래픽이 네트워크에 유입되게 된다.
이상에서 설명한 바와 같이, 본 발명은 이더넷 스위치 또는 라우터 등과 같은 네트워크 스위치에서 접속 단말의 ARP(Address Resolution Protocol) 패킷(packet)을 감지하여 허용되지 않은 미인가 단말이 네트워크에 접속하는 경우, 미인가 단말의 트래픽이 네트워크에 유입되지 않게 함으로써 보안성 및 불필요한 트래픽의 증가를 방지할 수 있으므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
본 발명은 미인가 단말 차단 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.
100 : 네트워크 스위치 장치
110 : ARP 패킷 수신부
120 : 접속 단말 등록부
130 : 승인 단말 조회부
140 : 미인가 단말 차단부
150 : 접속 단말 설정 변경부
200 : 단말
210 : 접속 단말
300 : IP 관리 시스템
400 : 방화벽
500 : 탐침기

Claims (7)

  1. 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말로부터 수신하는 ARP 패킷 수신부와;
    상기 ARP 패킷 수신부에 의해 수신된 ARP 패킷을 송신한 접속 단말의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB에 등록하고, 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 설정하는 접속 단말 등록부와;
    접속 승인 단말에 대한 등록을 위한 사용자 인터페이스를 제공하여 네트워크 관리자로부터 원하는 접속 승인 단말에 대한 정보를 수동으로 입력받아 저장하는 IP 관리 시스템에 상기 접속 단말 등록부에 의해 DB에 등록된 접속 단말의 포트, MAC 주소, IP 주소에 대응하는 단말이 접속 승인 단말로 등록되었는지 조회하는 승인 단말 조회부와;
    상기 승인 단말 조회부에 의한 조회 결과 접속 단말이 IP 관리 시스템에 접속 승인 단말로 등록되지 않은 경우, 해당 접속 단말을 미인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 유지하는 미인가 단말 차단부를;
    포함하여 이루어지는 것을 특징으로 하는 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치.
  2. 제 1 항에 있어서,
    상기 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치가:
    상기 승인 단말 조회부에 의한 조회 결과 접속 단말이 IP 관리 시스템에 접속 승인 단말로 등록된 경우, 해당 접속 단말을 인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 허용 상태로 변경하는 접속 단말 설정 변경부를;
    더 포함하는 것을 특징으로 하는 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치.
  3. 삭제
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치가:
    L2(Layer 2) 스위치 또는 L3(Layer 3) 스위치인 것을 특징으로 하는 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치.
  5. 네트워크 스위치 장치가 기본 게이트웨이(Default Gateway)의 MAC 주소를 획득하기 위한 ARP(Address Resolution Protocol) 패킷을 접속 단말로부터 수신하는 ARP 패킷 수신 단계와;
    ARP 패킷 수신 단계에 의해 접속 단말로부터 ARP 패킷을 수신한 네트워크 스위치 장치가 ARP 패킷을 송신한 접속 단말의 포트, MAC 주소, IP 주소 및 접속 허용 여부 상태를 네트워크 스위치 장치 내부 DB에 등록하고, 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 설정하는 접속 단말 등록 단계와;
    네트워크 스위치 장치가 접속 승인 단말에 대한 등록을 위한 사용자 인터페이스를 제공하여 네트워크 관리자로부터 원하는 접속 승인 단말에 대한 정보를 수동으로 입력받아 저장하는 IP 관리 시스템에 접속 단말 등록 단계에 의해 DB에 등록된 접속 단말의 포트, MAC 주소, IP 주소에 대응하는 단말이 접속 승인 단말로 등록되었는지 조회하는 승인 단말 조회 단계와;
    상기 승인 단말 조회 단계에 의한 조회 결과 접속 단말이 IP 관리 시스템에 접속 승인 단말로 등록되지 않은 경우, 네트워크 스위치 장치가 해당 접속 단말을 미인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 거부 상태로 유지하는 미인가 단말 차단 단계를;
    포함하여 이루어지는 것을 특징으로 하는 네트워크 스위치 장치의 미인가 단말 차단 방법.
  6. 제 5 항에 있어서,
    상기 네트워크 스위치 장치의 미인가 단말 차단 방법이:
    상기 승인 단말 조회 단계에 의한 조회 결과 접속 단말이 IP 관리 시스템에 접속 승인 단말로 등록된 경우, 네트워크 스위치 장치가 해당 접속 단말을 인가 단말로 판단하여 해당 접속 단말의 네트워크 접속 허용 여부를 허용 상태로 변경하는 접속 단말 설정 변경 단계를;
    더 포함하는 것을 특징으로 하는 네트워크 스위치 장치의 미인가 단말 차단 방법.
  7. 삭제
KR1020160098629A 2016-08-02 2016-08-02 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 KR101871146B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160098629A KR101871146B1 (ko) 2016-08-02 2016-08-02 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160098629A KR101871146B1 (ko) 2016-08-02 2016-08-02 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법

Publications (2)

Publication Number Publication Date
KR20180015032A KR20180015032A (ko) 2018-02-12
KR101871146B1 true KR101871146B1 (ko) 2018-06-26

Family

ID=61225200

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160098629A KR101871146B1 (ko) 2016-08-02 2016-08-02 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법

Country Status (1)

Country Link
KR (1) KR101871146B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011124774A (ja) 2009-12-10 2011-06-23 Toshiba Corp ネットワーク監視装置、ネットワーク監視方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101064382B1 (ko) * 2007-06-07 2011-09-14 주식회사 케이티 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
KR100893935B1 (ko) 2009-01-09 2009-04-21 (주)넷맨 Arp를 이용한 호스트의 네트워크 격리방법
KR20110087594A (ko) * 2010-01-26 2011-08-03 삼성전자주식회사 네트워크로의 불법 접근 방지 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011124774A (ja) 2009-12-10 2011-06-23 Toshiba Corp ネットワーク監視装置、ネットワーク監視方法

Also Published As

Publication number Publication date
KR20180015032A (ko) 2018-02-12

Similar Documents

Publication Publication Date Title
US10630725B2 (en) Identity-based internet protocol networking
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
US8055800B1 (en) Enforcing host routing settings on a network device
CA2600760C (en) Security for mobile devices in a wireless network
EP1484892B1 (en) Method and system for lawful interception of packet switched network services
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
US8966608B2 (en) Preventing spoofing
US9231911B2 (en) Per-user firewall
US20080267179A1 (en) Packet processing
US20060172732A1 (en) Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
US20120324533A1 (en) Wireless network having multiple security interfaces
US20100333191A1 (en) System and method for protecting cpu against remote access attacks
CN105681353A (zh) 防御端口扫描入侵的方法及装置
EP2109986A2 (en) Approach for mitigating the effects of rogue wireless access points
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
US7840698B2 (en) Detection of hidden wireless routers
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
KR101871147B1 (ko) 미인가 단말 관리 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 관리 방법
KR101871146B1 (ko) 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법
KR101440154B1 (ko) 네트워크 보안시스템의 사용자 인증 장치 및 방법
RU2445692C1 (ru) Способ обеспечения информационной безопасности при доступе пользователя к внешним информационным ресурсам через интернет
Arslan A solution for ARP spoofing: Layer-2 MAC and protocol filtering and arpserver
JP2018196100A (ja) 仮想交換システム
WO2009011659A1 (en) Protocol remapping method and method of detecting possible attacks on a network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant