KR102167575B1 - 가상 계정을 이용한 서버간 우회접속 차단방법 - Google Patents

가상 계정을 이용한 서버간 우회접속 차단방법 Download PDF

Info

Publication number
KR102167575B1
KR102167575B1 KR1020190012882A KR20190012882A KR102167575B1 KR 102167575 B1 KR102167575 B1 KR 102167575B1 KR 1020190012882 A KR1020190012882 A KR 1020190012882A KR 20190012882 A KR20190012882 A KR 20190012882A KR 102167575 B1 KR102167575 B1 KR 102167575B1
Authority
KR
South Korea
Prior art keywords
port
service server
virtual
access
real
Prior art date
Application number
KR1020190012882A
Other languages
English (en)
Other versions
KR20200095146A (ko
Inventor
정성빈
서정철
임동근
박서경
Original Assignee
(주)아이티 노매즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)아이티 노매즈 filed Critical (주)아이티 노매즈
Priority to KR1020190012882A priority Critical patent/KR102167575B1/ko
Publication of KR20200095146A publication Critical patent/KR20200095146A/ko
Application granted granted Critical
Publication of KR102167575B1 publication Critical patent/KR102167575B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상 계정을 이용한 서버간 우회접속 차단방법에 관한 것으로서, 특히, 네트워크 환경에서 가상 계정을 이용하여 서버간 우회접속을 차단하고 패스워드를 관리하는 방법에 관한 것으로서, 사용자 단말(100)과, 접근 제어 장치(200)와, 서비스 서버(300)를 포함하는 환경에서 접근 제어 장치(200)가 수행하는 방법에 있어서; 상기 접근 제어 장치(200)가 소정 프로토콜의 디폴트 포트에 대응하여 상기 서비스 서버(300)에 접속 가능한 실제 포트를 설정하는 제1단계(S10)와; 상기 접근 제어 장치(200)가 상기 실제 포트에 대응하여 가상 포트를 설정하는 제2단계(S20)와; 상기 사용자 단말(100)로부터 수신한 데이터 패킷을 분석하여 요청 접속의 프로토콜의 디폴트 포트 정보를 획득하는 제3단계(S30)와; 상기 제3단계(S30)에서 획득한 요청 접속의 프로토콜의 디폴트 포트에 대응하는 가상 포트를 경유하여 해당 가상포트에 대응하는 실제 포트로 상기 서비스 서버(300)에 접속시키는 제4단계(S40)를 포함하여, 실제 포트나 각 실제 포트에 대응하는 가상 포트는 노출되지 않고, 오직 디폴트 포트의 정보만이 사용자 측에 노출되므로, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회 접속하는 것을 원천적으로 차단할 수 있으며, 서비스 서버의 실제 포트는 그대로 유지하면서 이에 대응하는 가상 포트만을 주기 또는 비주기적으로 변경할 수 있음으로써 포트의 관리를 용이하게 하면서도 포트 기반 해킹도 효과적으로 차단할 수 있다.

Description

가상 계정을 이용한 서버간 우회접속 차단방법{Method for blocking loop around connection between servers utilizing imaginary accoun}
본 발명은 네트워크 환경에서 가상 계정을 이용한 서버간 우회접속 차단방법에 관한 것이다.
일반적으로 기업 또는 금융기관에서 사용되는 사내 정보 서버 등에 대한 안전한 접근을 위해서는 사용자별, 업무 또는 역할별로 세세하게 권한을 제한하고 우회접속(loop around connection)이 차단되어야 한다.
사용자가 SSH(secure shell), TELNET, RDP(remote desktop protocol)와 같은 특정 프로토콜로 접속 요청을 하는 경우에는 통상 그러한 프로토콜의 접속 포트가 정적으로 정해져 있고, 그러한 접속 포트로 접속이 이루어진다.
이하에서는 이처럼 정적으로 정해져 있고 통상 사용하는 포트를 디폴트 포트로 명명한다.
즉, 디폴트 포트의 예로 SSH는 22번 포트, TELNET은 21번 포트, 그리고 RDP는 3389 포트를 통해서 접속이 이루어질 수 있다.
그런데 이러한 통상의 디폴트 포트로 접속하는 경우에는 포트스캐닝이나 핑(PING)을 이용하는 스캐닝을 통한 해킹에 취약하다는 문제점을 가지고 있다.
특히, 복수의 서비스 서버 중 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 가능하다는 문제점도 발생하고 있었다.
국내 공개특허공보 제2013-35569호
본 발명은 상기의 문제점을 해소하기 위한 것으로, 가상 계정을 이용함으로써 서비스 서버간에 포트를 우회하여 접속하는 우회접속을 원천적으로 차단하는 동시에 패스워드를 주기적으로 변경 관리하는 방법을 제공하고자 한다.
이러한 본 발명은 사용자 단말과, 접근 제어 장치와, 서비스 서버를 포함하는 환경에서 접근 제어 장치가 수행하는 방법에 있어서; 상기 접근 제어 장치가 소정 프로토콜의 디폴트 포트에 대응하여 상기 서비스 서버에 접속 가능한 실제 포트를 설정하는 제1단계와; 상기 접근 제어 장치가 상기 실제 포트에 대응하여 가상 포트를 설정하는 제2단계와; 상기 사용자 단말로부터 수신한 데이터 패킷을 분석하여 요청 접속의 프로토콜의 디폴트 포트 정보를 획득하는 제3단계와; 상기 제3단계에서 획득한 요청 접속의 프로토콜의 디폴트 포트에 대응하는 가상 포트를 경유하여 해당 가상포트에 대응하는 실제 포트로 상기 서비스 서버에 접속시키는 제4단계를 포함함으로써 달성된다.
이때, 상기 제2단계는, 소정의 주기 또는 비주기적 간격으로 실제 포트에 대응하는 가상 포트를 변경시켜 설정하는 것이 가능하다.
이와 함께, 상기 제4단계 이후, 상기 서비스 서버에 일시적으로 접속하기 위한 계정 관리용 임시 패스워드를 각 계정별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것이 양호하다.
또한, 상기 제4단계 이후, 상기 서비스 서버에 접속하기 위한 시스템 계정용 패스워드를 각 서비스 서버별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것이 바람직할 것이다.
이상과 같은 본 발명은 실제 포트나 각 실제 포트에 대응하는 가상 포트는 노출되지 않고, 오직 디폴트 포트의 정보만이 사용자 측에 노출되므로, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회 접속하는 것을 원천적으로 차단할 수 있으며, 서비스 서버의 실제 포트는 그대로 유지하면서 이에 대응하는 가상 포트만을 주기 또는 비주기적으로 변경할 수 있음으로써 포트의 관리를 용이하게 하면서도 포트 기반 해킹도 효과적으로 차단할 수 있는 발명인 것이다.
도 1은 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법이 수행되는 환경을 도시하는 도,
도 2는 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법에 있어서 접근 제어 장치를 도시하는 개략적인 구성도,
도 3은 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법을 도시하는 흐름도.
도 1은 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법이 수행되는 환경을 도시하는 도이며, 도 2는 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법에 있어서 접근 제어 장치를 도시하는 개략적인 구성도이고, 도 3은 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법을 도시하는 흐름도이다.
본 발명의 실시예에서 제시되는 특정한 구조 내지 기능적 설명들은 단지 본 발명의 개념에 따른 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있다.
또한 본 명세서에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 되며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경물, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 명세서에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화 하는 경우도 포함하는 것으로 해석되어야 한다.
본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"이라 함은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.
본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다.
즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다.
본 발명의 가상 계정을 이용한 서버간 우회접속 차단방법은 실제 포트나 각 실제 포트에 대응하는 가상 포트는 노출되지 않고, 오직 디폴트 포트의 정보만이 사용자 측에 노출되므로, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회 접속하는 것을 원천적으로 차단할 수 있으며, 서비스 서버의 실제 포트는 그대로 유지하면서 이에 대응하는 가상 포트만을 주기 또는 비주기적으로 변경할 수 있음으로써 포트의 관리를 용이하게 하면서도 포트 기반 해킹도 효과적으로 차단할 수 있는 것을 그 기술상의 기본 특징으로 한다.
본 발명의 실시예를 첨부 도면을 참조하여 상세히 설명하면 다음과 같다.
본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법은 도 1 내지 도 3에 도시한 바와 같이, 사용자 단말(100)과, 접근 제어 장치(200)와, 서비스 서버(300)를 포함하는 환경에서 접근 제어 장치(200)가 수행하는 방법에 있어서; 상기 접근 제어 장치(200)가 소정 프로토콜의 디폴트 포트에 대응하여 상기 서비스 서버(300)에 접속 가능한 실제 포트를 설정하는 제1단계(S10)와; 상기 접근 제어 장치(200)가 상기 실제 포트에 대응하여 가상 포트를 설정하는 제2단계(S20)와; 상기 사용자 단말(100)로부터 수신한 데이터 패킷을 분석하여 요청 접속의 프로토콜의 디폴트 포트 정보를 획득하는 제3단계(S30)와; 상기 제3단계(S30)에서 획득한 요청 접속의 프로토콜의 디폴트 포트에 대응하는 가상 포트를 경유하여 해당 가상포트에 대응하는 실제 포트로 상기 서비스 서버(300)에 접속시키는 제4단계(S40)를 포함함으로써 달성될 수 있을 것이다.
우선, 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법에 있어서 복수의 사용자 단말(100)은 기본적으로 도 1에 예시한 바와 같이 상기 접근 제어 장치(200)를 통해서 복수의 서비스 서버(300) 중 어느 하나에 접속할 수 있다.
여기에서, 상기 접근 제어 장치(200)는 도 2에 도시한 바와 같이, 패킷 수신부(210), 패킷 전송부(220), 패킷 처리부(230), 서비스 서버 포트 관리부(240), 접속 관리부(250), 그리고 접근 제어 관리부(260)를 포함할 수 있다.
상기 패킷 수신부(210)는 사용자 단말(100)과 서비스 서버(300)로부터 데이터 패킷을 수신하는 기능을 한다.
그리고, 상기 패킷 전송부(220)는 통신 인터페이스를 통해 데이터 패킷을 사용자 단말(100) 또는 서비스 서버(300)로 전송하는 기능을 한다.
한편, 서비스 서버 포트 관리부(240)는 서비스 서버(300) 각각에 접속 가능한 실제 포트를 관리하며, 이와 함께, 상기 서비스 서버 포트 관리부(240)는 각각의 실제 포트에 대응하는 가상 포트 또한 설정하여 관리하게 된다.
그 결과, 사용자 단말(100)의 프로토콜에 대한 디폴트 포트에 대하여 가상 포트를 매칭시키고 이들을 관리한다.
여기에서 각 실제 포트에 대응하는 가상 포트는 주기적으로 또는 비주기적 간격으로 변경시켜 설정하는 것이 바람직할 것이다.
즉, 실제 포트는 변경시키지 않고 오직 가상 포트에 대해서만 반복적으로 변경하여 설정하는 것이 가능하기 때문에, 종래에 비해 포트의 관리를 보다 용이하게 하는 것이 가능하다.
그리고 각 서비스 서버(300)에 대한 실제 포트 및 해당 실제 포트에 대응하는 가상 포트 정보는 접근 제어 장치(200)의 외부로 노출되지 않도록 관리되는 것이 바람직하다.
따라서 사용자 단말(100) 측에 실제 포트 및 가상 포트 정보가 노출되지 않으므로 종래 기술에서 방지하지 못한 우회 접속을 원천적으로 차단할 수 있게 된다.
상술한 바와 같이 서비스 서버 포트 관리부(240)는 예를 들어 아래의 표 1과 같이 서비스 서버(300)의 실제 포트 및 가상 포트 정보를 관리할 수 있을 것이다.
서버 IP 서비스 가상 포트 실제 포트
192.168.0.3 SSH 111 1818
192.168.0.4 RDP 222 9562
192.168.0.4 TELNET 333 1425
그리고, 접속 관리부(250)는 사용자 접속 관리부(252)와 서비스 서버 접속 관리부(254)를 포함한다.
사용자 접속 관리부(252)는 예를 들어 아래와 같은 표 2와 같이 사용자 접속 정보를 관리할 수 있을 것이다.
송신자 IP 수신자 IP 프로토콜 디폴트 포트
192.168.1.2 192.168.0.3 SSH 22
192.168.1.2 192.168.0.4 RDP 3389
192.168.1.2 192.168.0.4 TELNET 21
여기서 송신자는 사용자 단말(100)의 IP가 되고, 수신자 IP는 사용자가 사용자 단말(100)을 통해서 접속하고자 하는 서비스 서버(300)의 IP인 것이다.
이에 따라, 접속하고자 하는 프로토콜과 디폴트 포트가 매칭되어 관리된다.
서비스 서버 접속 관리부(254)는 각 프로토콜에 따른 서비스 서버(300)의 실제 포트 및 가상 포트 정보와, 사용자 단말(100)의 IP 및 서비스 서버(300)의 IP가 매칭되어 예를 들어 아래와 같은 표 3과 같이 관리될 수 있을 것이다.
사용자 단말 IP 서비스 서버 IP 디폴트 포트 가상 포트 실제 포트
192.168.1.2 192.168.0.3 22 111 1818
192.168.1.2 192.168.0.4 3389 222 9562
192.168.1.2 192.168.0.4 21 333 1425
하지만, 상기 접근 제어 장치(200)의 외부에서는 아래의 표 4와 같이 서비스 서버의 IP나 계정은 물론, 가상 포트 및 실제 포트에 관련된 어떠한 정보도 노출되지 않게 된다.
사용자 정보 서비스 서버 IP 가상 포트 실제 포트 계정
USER A ???? ???? ???? ????
USER B ???? ???? ???? ????
USER C ???? ???? ???? ????
그 결과, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버(300)에 접속한 이후, 소정의 서비스 서버(300)로부터 그 이외의 다른 서비스 서버(300)로 우회하여 접속하는 것을 원천적으로 차단할 수 있게 되는 것이다.
그리고, 접근 제어 관리부(260)는 사용자별로 사용 가능한 사용자 단말(100) IP, 접근 가능한 서비스 서버(300), 접근 가능 시간, IP 뿐만 아니라 프로토콜 / 명령어 / 디렉토리 / 파일 / SQL / 테이블 / 필드 / 링크 / 어플리케이션 / 마스킹 등과 같은 보안 정책을 통해 각 사용자가 서비스 서버(300)에 접속할 수 있는 권한을 통제하여 접근을 제어하거나 사후 감사 정책 등을 관리할 수 있을 것이다.
또한, 상기 접근 제어 관리부(260)는 패킷 처리부(230)와 통신하여 패킷 처리부의 동작을 제어한다.
도 3에는 본 발명에 따른 가상 계정을 이용한 서버간 우회접속 차단방법의 흐름도가 도시되어 있다.
우선, 접근 제어 장치(200)에 있어서 서비스 서버 포트 관리부(240)는 사용자 단말(100)의 디폴트 포트에 대응하여 접속 가능한 서비스 서버(300)의 실제 포트를 설정하게 된다(S10).
이후, 상기 서비스 서버 포트 관리부(240)는 서비스 서버(300)에 대한 실제 포트에 대응하여 가상 포트를 각각 설정하게 된다(S20).
이러한 상태에서, 사용자는 사용자 단말(100)을 통해서 접근 제어 장치(200)에 소정 서비스 서버(300)로의 접속을 요청한다.
이러한 접속 요청에는 어떤 프로토콜에 의한 접속 요청인지도 포함되어 있는데 이때 요청되는 프로토콜의 포트 정보는 디폴트 포트 정보일 것이다.
이에 따라, 접근 제어 장치(200)의 패킷 수신부(210)에 의해 수신된 데이터 패킷은 패킷 처리부(230)에 의해서 패킷 분석되고, 요청된 서비스의 프로토콜의 디폴트 포트 정보가 추출된다(S30).
이때, 사용자 단말(100)의 접속된 소켓 정보와 이에 기반한 패킷을 분석하여 송수신자 정보(DstIP/SrcIP)와 서비스 프로토콜을 식별할 수 있을 것이다.
이후, 추출된 디폴트 포트에 대응하여 가상 포트 정보를 서비스 서버 포트 관리부(240)로부터 획득하게 되며, 이와 같이 가상 포트가 부여되면 해당 가상 포트를 경유하여 서비스 서버(300)에 접속 가능한 실제 포트가 특정되는 것이다(S40).
마지막으로, 특정된 실제 포트에 대해서 서비스 서버(300)에 접속 요청을 하게 된다.
이에 따르면, 상기 접근 제어 장치(200)의 외부에서는 서비스 서버의 IP는 물론, 가상 포트 및 실제 포트에 관련된 어떠한 정보도 노출되지 않기 때문에, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버(300)에 접속한 이후, 소정의 서비스 서버(300)로부터 그 이외의 다른 서비스 서버(300)로 우회하여 접속하는 것이 차단된다.
이와 더불어, 소정의 주기 또는 비주기적 간격으로 실제 포트에 대응하는 가상 포트를 변경시켜 설정함으로써, 실제 포트를 변경해야 하는 번거로움이 없이 보안성을 높이는 것이 가능해진다.
이에 추가적으로, 서비스 서버(300)가 Linux 서버인 경우에 물리적인 직접 접근 시, 예를 들어 PAM과 같은 에이전트를 통한 패스워드 검증을 추가적으로 실시하도록 하거나 서비스 서버(300)의 이상을 감지하거나 상태를 모니터링 하는 것도 가능할 것이다.
지금까지는 실제 포트에 대응하는 가상 포트를 설정하고, 각각의 가상 포트를 주기 또는 비주기적으로 변경하는 것에 대하여 설명하였다.
이와 유사하게, 본 발명에 있어서 계정 관리용 임시 패스워드를 주기 또는 비주기적으로 변경하는 것도 가능하다.
즉, 본 발명에 있어서, 상기 제4단계 이후, 상기 서비스 서버(300)에 일시적으로 접속하기 위한 계정 관리용 임시 패스워드를 각 계정별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것이 가능하다.
예를 들어, 아래의 표 5에 예시한 바와 같이, 소정의 서비스 서버(300)에 대한 각각의 계정에 대하여 접근 제어 관리부(260)가 계정 관리용 임시 패스워드를 반복적으로 변경하는 것이 가능하다.
계정 변경전 임시 패스워드 변경후 임시 패스워드
관리 계정 qkqhxoddl 1111
공용 계정 apfhdenddl 2222
일반 계정 dkssudgktpdy 3333
이와는 다르게, 본 발명에 있어서 시스템 계정용 패스워드 또한 주기 또는 비주기적으로 변경하는 것도 가능할 것이다.
즉, 본 발명에 있어서, 상기 제4단계 이후, 상기 서비스 서버에 접속하기 위한 시스템 계정용 패스워드를 각 서비스 서버(300)별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것이 가능하다.
예를 들어, 아래의 표 6에 예시한 바와 같이, 각각의 서비스 서버(300)에 대한 시스템 계정에 대하여 접근 제어 관리부(260)가 시스템 계정용 패스워드를 반복적으로 변경하는 것이 가능하다.
시스템 계정 변경전 패스워드 변경후 패스워드
192.168.0.3 root 1111 2222
192.168.0.4 root 2222 3333
192.168.0.4 root 3333 1111
따라서, 본 발명의 가상 계정을 이용한 서버간 우회접속 차단방법은 실제 포트나 각 실제 포트에 대응하는 가상 포트는 외부로 전혀 노출되지 않고, 오직 디폴트 포트의 정보만이 사용자 측에 노출되므로, 실제 포트나 각 실제 포트에 대응하는 가상 포트 정보를 모르는 사용자측이 소정의 서비스 서버(300)에 접속한 이후, 소정의 서비스 서버(300)로부터 그 이외의 다른 서비스 서버(300)로 우회 접속하는 것을 원천적으로 차단할 수 있다.
게다가, 서비스 서버(300)의 실제 포트는 그대로 유지하면서 이에 대응하는 가상 포트만을 주기 또는 비주기적으로 변경할 수 있음으로써 포트의 관리를 용이하게 하면서도 포트 기반 해킹도 효과적으로 차단할 수 있다는 탁월한 이점을 지닌 발명인 것이다.
상기 실시예는 본 발명의 기술적 사상을 구체적으로 설명하기 위한 일례로서, 본 발명의 범위는 상기의 도면이나 실시예에 한정되지 않는다.
100 : 사용자 단말 200 : 접근 제어 장치
210 : 패킷 수신부 220 : 패킷 전송부
230 : 패킷 처리부 240 : 서비스 서버 포트 관리부
250 : 접속 관리부 252 : 사용자 접속 관리부
254 : 서비스 서버 접속 관리부 260 : 접근 제어 관리부
300 : 서비스 서버

Claims (4)

  1. 사용자 단말과, 접근 제어 장치와, 서비스 서버를 포함하는 환경에서,
    사용자 단말과 서비스 서버로부터 데이터 패킷을 수신하는 패킷 수신부와;
    통신 인터페이스를 통해 데이터 패킷을 사용자 단말 또는 서비스 서버로 전송하는 패킷 전송부와;
    상기 패킷 수신부에 의해 수신된 데이터 패킷을 분석하고, 요청된 서비스의 프로토콜의 디폴트 포트 정보를 추출하는 패킷 처리부와;
    서비스 서버 각각에 접속 가능한 실제 포트를 관리하며, 각각의 실제 포트에 대응하는 가상 포트를 설정하여 관리하여, 사용자 단말의 프로토콜에 대한 디폴트 포트에 대하여 가상 포트를 매칭시키고 관리하며, 각 실제 포트에 대응하는 가상 포트를 주기적 또는 비주기적 간격으로 변경시켜 설정하는 서비스 서버 포트 관리부와;
    사용자 접속 정보를 관리하는 사용자 접속 관리부와, 각 프로토콜에 따른 서비스 서버의 실제 포트 및 가상 포트 정보와 사용자 단말의 IP 및 서비스 서버의 IP를 매칭하여 관리하는 서비스 서버 접속 관리부로 구성되는 접속 관리부와;
    보안 정책을 통해 각 사용자가 서비스 서버에 접속할 수 있는 권한을 통제하여 접근을 제어하거나 사후 감사 정책을 관리하는 접근 제어 관리부로 이루어진 접근 제어 장치가 수행하는 방법에 있어서;
    상기 접근 제어 장치가 소정 프로토콜의 디폴트 포트에 대응하여 상기 서비스 서버에 접속 가능한 실제 포트를 설정하는 제1단계와;
    상기 접근 제어 장치가 상기 실제 포트에 대응하여 가상 포트를 설정하는 제2단계와;
    상기 사용자 단말로부터 수신한 데이터 패킷을 분석하여 요청 접속의 프로토콜의 디폴트 포트 정보를 획득하는 제3단계와;
    상기 제3단계에서 획득한 요청 접속의 프로토콜의 디폴트 포트에 대응하는 가상 포트를 경유하여 해당 가상포트에 대응하는 실제 포트로 상기 서비스 서버에 접속시키는 제4단계를 포함하는 것을 특징으로 하는 가상 계정을 이용한 서버간 우회접속 차단방법.
  2. 제1항에 있어서, 상기 제2단계는,
    소정의 주기 또는 비주기적 간격으로 실제 포트에 대응하는 가상 포트를 변경시켜 설정하는 것을 특징으로 가상 계정을 이용한 서버간 우회접속 차단방법.
  3. 제2항에 있어서, 상기 제4단계 이후,
    상기 서비스 서버에 일시적으로 접속하기 위한 계정 관리용 임시 패스워드를 각 계정별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것을 특징으로 하는 가상 계정을 이용한 서버간 우회접속 차단방법.
  4. 제2항에 있어서, 상기 제4단계 이후,
    상기 서비스 서버에 접속하기 위한 시스템 계정용 패스워드를 각 서비스 서버별로 소정의 주기 또는 비주기적 간격으로 변경시켜 설정하는 단계가 추가 구성되는 것을 특징으로 하는 가상 계정을 이용한 서버간 우회접속 차단방법.
KR1020190012882A 2019-01-31 2019-01-31 가상 계정을 이용한 서버간 우회접속 차단방법 KR102167575B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190012882A KR102167575B1 (ko) 2019-01-31 2019-01-31 가상 계정을 이용한 서버간 우회접속 차단방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190012882A KR102167575B1 (ko) 2019-01-31 2019-01-31 가상 계정을 이용한 서버간 우회접속 차단방법

Publications (2)

Publication Number Publication Date
KR20200095146A KR20200095146A (ko) 2020-08-10
KR102167575B1 true KR102167575B1 (ko) 2020-10-19

Family

ID=72049662

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190012882A KR102167575B1 (ko) 2019-01-31 2019-01-31 가상 계정을 이용한 서버간 우회접속 차단방법

Country Status (1)

Country Link
KR (1) KR102167575B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101374487B1 (ko) * 2013-01-03 2014-03-13 한국정보화진흥원 홈 게이트웨이에서 가상 ip를 이용한 멀티미디어 서비스 제공 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160132609A (ko) * 2015-05-11 2016-11-21 이니텍(주) 관리 대상 서버에 대한 접근 제어 방법
KR101686990B1 (ko) * 2015-05-29 2016-12-15 이니텍(주) 서비스 서버 포트 접속 제어 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101374487B1 (ko) * 2013-01-03 2014-03-13 한국정보화진흥원 홈 게이트웨이에서 가상 ip를 이용한 멀티미디어 서비스 제공 시스템 및 방법

Also Published As

Publication number Publication date
KR20200095146A (ko) 2020-08-10

Similar Documents

Publication Publication Date Title
US8448238B1 (en) Network security as a service using virtual secure channels
US8898227B1 (en) NFS storage via multiple one-way data links
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
US20020162026A1 (en) Apparatus and method for providing secure network communication
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
US11799844B2 (en) Secure communication network
KR101896453B1 (ko) 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템
US20150249639A1 (en) Method and devices for registering a client to a server
KR101858207B1 (ko) 국군 여가복지전용 보안망 시스템
US11431761B2 (en) Systems and methods for network management
KR102167575B1 (ko) 가상 계정을 이용한 서버간 우회접속 차단방법
WO2014106028A1 (en) Network security as a service using virtual secure channels
GB2606137A (en) Controlling command execution in a computer network
KR100926028B1 (ko) 정보 자원 관리 시스템
KR101686990B1 (ko) 서비스 서버 포트 접속 제어 방법
KR102694475B1 (ko) 게이트웨이 중계를 통한 데이터 전송 방법
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
KR102627397B1 (ko) 동적 포트를 이용한 역방향 네트워크 접속 시스템
KR102664208B1 (ko) 사용자 네트워크 프로파일 기반 서비스 제공 방법
EP4142256A1 (en) System and method for providing dual endpoint access control of remote cloud-stored resources
KR20240108010A (ko) 일회성 사용자 접근 토큰을 이용한 서비스 제공 시스템
KR101140615B1 (ko) 확장 패킷을 이용한 데이터베이스 보안 관리 방법
KR20240076873A (ko) 사용자 네트워크 프로파일 기반 인가된 콘텐츠 제공 방법
KR20160132609A (ko) 관리 대상 서버에 대한 접근 제어 방법
KR20240076874A (ko) 사용자 네트워크 프로파일 기반 서버접속 제어 방법

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant