KR102212859B1 - 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 - Google Patents

비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 Download PDF

Info

Publication number
KR102212859B1
KR102212859B1 KR1020200009945A KR20200009945A KR102212859B1 KR 102212859 B1 KR102212859 B1 KR 102212859B1 KR 1020200009945 A KR1020200009945 A KR 1020200009945A KR 20200009945 A KR20200009945 A KR 20200009945A KR 102212859 B1 KR102212859 B1 KR 102212859B1
Authority
KR
South Korea
Prior art keywords
packet
port
solution device
visibility solution
asynchronous
Prior art date
Application number
KR1020200009945A
Other languages
English (en)
Inventor
염윤호
김현목
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Priority to KR1020200009945A priority Critical patent/KR102212859B1/ko
Application granted granted Critical
Publication of KR102212859B1 publication Critical patent/KR102212859B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 비동기 이중화 환경에서 프록시 기반 보안 시스템 및 그 트래픽 처리 방법에 관한 것으로, 이중화된 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치를 포함하는 프록시 기반 보안 시스템은, 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치는 제1 비동기 포트와 제2 비동기 포트를 통해 패킷 교환을 하도록 연결되어 있고, 제1 비동기 포트와 제2 비동기 포트가 아닌 포트를 통해 패킷을 수신한 경우, 제1 가시성 솔루션 장치는, 패킷이 보호 대상이고 SYN 패킷이면, 제1 가시성 솔루션 장치가 패킷을 세션 테이블에 등록하고 패킷을 수신한 포트에 따라 정해지는 포트로 패킷을 출력하고, 패킷이 보호 대상이고 SYN 패킷이 아니며 세션 테이블에서 조회되면, 제1 가시성 솔루션 장치가 패킷을 수신한 포트에 기초하여 정해지는 포트로 패킷을 암호화 또는 복호화하여 출력하며, 패킷이 보호 대상이고 SYN 패킷이 아니며 세션 테이블에서 조회되지 않으면, 패킷의 미리 정해진 IP 헤더 필드에 패킷을 수신한 포트 정보를 삽입하고, 패킷을 제1 비동기 포트를 통해 제2 가시성 솔루션 장치로 전송한다. 본 발명에 의하면 별도의 L4 스위치 없이 비동기 트래픽을 처리할 수 있는 프록시 기반 보안 시스템을 구축함으로써 비용 절감과 안정적인 서비스 제공이 가능한 장점이 있다.

Description

비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법{Proxy-based security system and traffic processing method in Asynchronous Redundancy Environment}
본 발명은 프록시 기반 보안 시스템 및 그 트래픽 처리 방법에 관한 것으로, 보다 자세하게는 비동기 이중화 보안 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 및 그 시스템에 관한 것이다.
일반적으로 프록시 기반의 보안 장치(웹 방화벽, SSL 가시성 솔루션)에서는 클라이언트 요청에 대해 정상적으로 세션 연결 후 서버와 다시 세션을 연결하며, 클라이언트에서 받은 패킷을 검사(Inspection) 후에 서버로 전달 하는 형태로 동작 한다. 결과적으로 보안 장치를 중심으로 클라이언트 사이드 세션과 서버 사이드 세션을 각각 맺어서 동작하게 된다.
도 1은 종래 비동기 트래픽이 존재하는 이중화 망에서 웹방화벽 솔루션 설치 시 트래픽 처리 과정에서 나타나는 문제점을 설명하기 위한 도면이다.
도 1을 참고하면, 보안 장치가 이중화된 환경에서 최초의 패킷이 유입된 웹 방화벽 장비(1)로 응답 패킷이 나갈 수도 있지만 이중화 되어 있는 다른 웹 방화벽 장비(2)로 나가는 경우(비동기 트래픽)가 발생 할 수 있다. 이 때 일반적인 네트워크 통신이라면 문제되지 않지만 프록시기반 보안장비처럼 클라이언트 세션과 서버 세션을 별도로 유지 관리 하는 경우에는 정상적인 통신이 이뤄지지 않는다.
즉 최초의 요청 패킷이 웹 방화벽 장비(1)로 클라이언트(3)로부터 유입된 후에 서버(4)로부터 전달된 해당 응답 패킷이 다른 웹 방화벽 장비(2)로 나가게 된다면, 다른 웹 방화벽 장비(2)는 해당 패킷(응답)에 대한 세션을 클라이언트(3)와 맺고 있지 않으므로 해당 패킷을 드롭(Drop)함으로 인해 통신이 이뤄질 수 없다. 특히 암호화 및 복호화를 수행하는 SSL 가시성 솔루션의 경우에는 SSL 핸드쉐이크(handshake) 정보 및 세션키 정보와 TCP 정보가 이중화된 2대의 시스템 간 공유되지 않아 SSL 트래픽 처리를 할 수 없는 문제점이 존재 한다.
이러한 이유로 하여 기존 프록시 기반의 보안장비들을 이중화 할 때에는 요청 패킷이 유입된 장비로 응답이 다시 나가도록 네트워크를 구성 하거나 별도의 L4 스위치등을 이용하여 세션이 강제로 유지되도록 구성한다. 간혹 네트워크 기반 방화벽 장비처럼 L4 기반에서만 동작할 경우에는 출발지나 목적지 IP, Port 등의 기본 세션정보를 공유하는 방식으로 비동기 트래픽을 처리 할 수 있지만, 프록시 기반 보안장비처럼 클라이언트 또는 서버 사이드 세션을 연결한 상태에서 공유된 기본세션 정보만으로는 정상적인 서비스 연결이 불가능하다. 더욱이 물리적으로 다수의 인터페이스(SSL 가시성솔루션)를 사용하는 경우 최초 유입된 포트의 확인 여부에 따라 서비스의 방향성(INBOUND/OUBOUND)이 달라지기 때문에 원활한 통신이 어려울 수 있다.
따라서 본 발명이 해결하고자 하는 기술적 과제는 비동기 트래픽이 전송되는 구간에서 별도의 L4 스위치 없이 이중화 할 때 해당 비동기 트래픽을 처리 할 수 있는 프록시 기반 보안 시스템 및 그 트래픽 처리 방법을 제공하는 것이다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 이중화된 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치를 포함하는 프록시 기반 보안 시스템의 트래픽 처리 방법은, (a) 상기 제1 가시성 솔루션 장치가 패킷을 수신하는 단계, 그리고 (b) 상기 패킷을 수신한 포트가 상기 제2 가시성 솔루션 장치와 패킷 교환을 하도록 연결된 제1 비동기 포트와 제2 비동기 포트가 아닌 경우, 상기 제1 가시성 솔루션 장치가 상기 패킷을 처리하는 단계를 포함하고, 상기 (b) 단계는, 상기 패킷이 보호 대상이고 SYN 패킷이면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 세션 테이블에 등록하고 상기 패킷을 수신한 포트에 따라 정해지는 포트로 상기 패킷을 출력하는 단계, 상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 수신한 포트에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하는 단계, 그리고 상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되지 않으면, 상기 제1 가시성 솔루션 장치가 상기 패킷의 미리 정해진 IP 헤더 필드에 상기 패킷을 수신한 포트 정보를 삽입하고, 상기 패킷을 상기 제1 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하는 단계를 포함한다.
(c) 상기 패킷을 수신한 포트가 상기 제1 비동기 포트인 경우, 상기 제1 가시성 솔루션 장치가 상기 패킷을 처리하는 단계를 더 포함할 수 있다.
상기 (c) 단계는, 상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되지 않으면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 상기 제2 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하는 단계, 그리고 상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되면, 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상기 업데이트된 포트 정보에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하는 단계를 포함한다.
상기 패킷을 상기 제2 비동기 포트를 통해 수신한 경우, 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상시 업데이트된 포트 정보에 기초하여 정해지는 포트로 상기 패킷을 출력하는 단계를 더 포함할 수 있다.
상기 제1 가시성 솔루션 장치와 상기 제2 가시성 솔루션 장치는, 암호화된 보호 대상 패킷에 대해 복호화 처리를 하여 보안 장치로 전송하고, 상기 보안 장치에서 전송되는 복호화된 보호 대상 패킷에 대해 암호화 처리를 하여 서버측 또는 클라이언트측으로 전송할 수 있다.
컴퓨터에 상기 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함할 수 있다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 이중화된 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치를 포함하는 프록시 기반 보안 시스템은, 상기 제1 가시성 솔루션 장치와 상기 제2 가시성 솔루션 장치는 제1 비동기 포트와 제2 비동기 포트를 통해 패킷 교환을 하도록 연결되어 있고, 상기 제1 비동기 포트와 상기 제2 비동기 포트가 아닌 포트를 통해 상기 패킷을 수신한 경우, 상기 제1 가시성 솔루션 장치는, 상기 패킷이 보호 대상이고 SYN 패킷이면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 세션 테이블에 등록하고 상기 패킷을 수신한 포트에 따라 정해지는 포트로 상기 패킷을 출력하고, 상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 수신한 포트에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하며, 상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되지 않으면, 상기 패킷의 미리 정해진 IP 헤더 필드에 상기 패킷을 수신한 포트 정보를 삽입하고, 상기 패킷을 상기 제1 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송한다.
본 발명에 의하면 별도의 L4 스위치 없이 비동기 트래픽을 처리할 수 있는 프록시 기반 보안 시스템을 구축함으로써 비용 절감과 안정적인 서비스 제공이 가능한 장점이 있다.
도 1은 종래 비동기 트래픽이 존재하는 이중화 망에서 웹방화벽 솔루션 설치 시 트래픽 처리 과정에서 나타나는 문제점을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 프록시 기반 보안 시스템을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 비동기 트래픽이 존재하는 이중화 망에서 프록시 기반 보안시스템의 트래픽 처리 방법을 나타낸 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 비동기 트래픽이 존재하는 이중화 망에서 프록시 기반 보안시스템의 보호 대상 트래픽 처리 과정을 설명하기 위한 도면이다.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 2는 본 발명의 일 실시예에 따른 프록시 기반 보안 시스템을 나타낸 도면이다.
도 2를 참고하면, 본 발명에 따른 프록시 기반 보안 시스템은 이중화된 제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)를 포함하고, 제1 스위치(200a), 제2 스위치(200b), 이중화된 제1 보안 장치(300a)와 제2 보안 장치(300b)를 포함할 수 있다.
제1 스위치(200a)과 제2 스위치(200b)는 L2/3 스위치로 구현될 수 있다.
제1 스위치(200a)는 클라이언트(도시하지 않음)와 제1 가시성 솔루션 장치(100a) 및 제2 가시성 솔루션 장치(100b) 사이에서 MAC 주소 또는 프로토콜 주소(IP나 IPX 주소)를 이용하여 패킷을 목적지로 스위칭하여 전송한다.
제2 스위치(200b)는 서버(도시하지 않음)와 제1 가시성 솔루션 장치(100a) 및 제2 가시성 솔루션 장치(100b) 사이에서 MAC 주소 또는 프로토콜 주소(IP나 IPX 주소)를 이용하여 패킷을 목적지로 스위칭하여 전송한다.
이중화된 제1 보안 장치(300a)와 제2 보안 장치(300b)는 서버와 클라이언트 사이에 교환되는 패킷 중 보호 대상 패킷 트래픽에 대한 보안 검사를 수행할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 암호화된 보호 대상 패킷에 대해 복호화 처리를 하여 제1 보안 장치(300a)나 제2 보안 장치(300b)로 전송한다. 그리고 제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 제1 보안 장치(300a)나 제2 보안 장치(300b)에서 전송되는 복호화된 보호 대상 패킷에 대해 암호화 처리를 하여 서버측 또는 클라이언트측으로 전송한다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 SSL/TLS 기반 암·복호화 처리를 수행하는 SSL 프록시(Proxy) 엔진을 구비할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 보호 대상 서비스로 등록된 프로토콜 정보나 암복화 처리 대상 서버에 대한 정보, 예컨대 해당 서버의 IP 주소, 포트 번호 등을 저장하는 리스트를 별도로 가지고, 이에 기초하여 해당 패킷, 세션이 보호 대상인지 판단할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 SSL/TLS 기반 암·복호화 처리 대상이 아닌 패킷에 대해서는 암·복호화 처리를 하지 않고 바이패스(bypass)시킬 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 다음과 같은 인터페이스 포트를 가질 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 각각의 제1 포트(eht1)를 통해 제1 스위치(200a)와 패킷을 교환할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 각각의 제4 포트(eht4)를 통해 제2 스위치(200b)와 패킷을 교환할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 각각의 제2 포트(eht2)를 통해 제1 보안 장치(300a)나 제2 보안 장치(300b)로 패킷을 전송할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 각각의 제3 포트(eht3)를 통해 제1 보안 장치(300a)나 제2 보안 장치(300b)로부터 패킷을 수신할 수 있다.
제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b)는 제1 비동기 포트(async1)와 제2 비동기 포트(async2)를 통해 패킷을 교환할 수 있다. 제1 가시성 솔루션 장치(100a)의 제1 비동기 포트(async1)로 전송된 패킷은 제2 가시성 솔루션 장치(100b)의 제1 비동기 포트(async1)로 수신된다. 제1 가시성 솔루션 장치(100a)의 제2 비동기 포트(async2)로 전송된 패킷은 제2 가시성 솔루션 장치(100b)의 제2 비동기 포트(async2)로 수신된다. 물론 반대로 제2 가시성 솔루션 장치(100b)에서 제1 비동기 포트(async1)나 제2 비동기 포트(async2)를 통해 전송된 패킷은 제1 가시성 솔루션 장치(100a)에서 대응하는 비동기 포트(async1, async2)로 수신된다.
도 3은 본 발명의 일 실시예에 따른 비동기 트래픽이 존재하는 이중화 망에서 프록시 기반 보안시스템의 트래픽 처리 방법을 나타낸 흐름도이다.
도 2 및 도 3을 참고하면, 먼저 제1 가시성 솔루션 장치(100a)는 패킷을 수신하면(S200), 제1 가시성 솔루션 장치(100a)는 해당 패킷이 제1 비동기 포트(async1)나 제2 비동기 포트(async2)로 수신되었는지 판단한다(S211, S213).
패킷이 제1 비동기 포트(async1)나 제2 비동기 포트(async2)로 수신되지 않았으면(S211-N, S213-N), 제1 가시성 솔루션 장치(100a)는 단계(S220)를 수행한다.
단계(S220)를 구체적으로 살펴보면, 패킷이 보호 대상이고(S221-Y), SYN 패킷이면(S222-Y), 제1 가시성 솔루션 장치(100a)는 패킷을 자신의 세션 테이블에 등록하고(S223), 패킷을 수신한 포트에 따라 정해지는 포트로 해당 패킷을 암·복호화 처리없이 출력(bypass)할 수 있다(S224). SYN 패킷은 제1 포트(eht1)를 통해 클라이언트측 제1 스위치(200a)로부터 수신되므로, 제4 포트(eth4)를 통해 서버측 제2 스위치(200b)로 출력된다.
패킷이 보호 대상이고(S221-Y), SYN 패킷이 아니며(S222-N) 세션 테이블에서 조회되면(S225-Y), 제1 가시성 솔루션 장치(100a)는 패킷을 수신한 포트에 기초하여 정해지는 출력 포트로 패킷을 암호화 또는 복호화하여 출력한다(S226). 단계(S226)에서 제1 가시성 솔루션 장치(100a)의 패킷 처리를 나타내면 아래 표 1과 같다.
수신 포트 출력 포트 암복호화 처리 종류
eht1 eht2 복호화
eht2 eht1 암호화
eht3 eht4 암호화
eht4 eht3 복호화
한편 패킷이 보호 대상이고(S221-Y), SYN 패킷이 아니며(S222-N) 세션 테이블에서 조회되지 않으면(S225-N), 제1 가시성 솔루션 장치(100a)는 패킷의 미리 정해진 IP 헤더 필드에 패킷을 수신한 포트 정보를 삽입하고(S227), 패킷을 제1 비동기 포트(async1)를 통해 제2 가시성 솔루션 장치(100b)로 전송한다(S228). 패킷의 미리 정해진 IP 헤더 필드는 사용되지 않는 필드로 미리 정해질 수 있다. 예컨대 IP ToS(Type of Service) 필드는 QoS 등을 정의하는 필드이지만 IPv4에서는 사용되지 않는다. 예컨대 단계(S227)에서 패킷의 IP ToS 필드 값을 제1 가시성 솔루션 장치(100a)가 해당 패킷을 수신한 포트 인터페이스 정보로 치환할 수 있다.
한편 패킷을 수신한 포트가 제1 비동기 포트인 경우(S211-Y), 제1 가시성 솔루션 장치(100a)는 단계(S230)를 수행한다.
단계(S230)를 구체적으로 살펴보면, 패킷을 제1 비동기 포트(async1)를 통해 수신하고(S211-Y), 세션 테이블에서 조회되지 않으면(S231-N), 제1 가시성 솔루션 장치(100a)는 패킷을 제2 비동기 포트(aync2)를 통해 제2 가시성 솔루션 장치(100b)로 전송한다(S237).
패킷을 제1 비동기 포트(async1)를 통해 수신하고(S211-Y), 세션 테이블에서 조회되면(S231-Y), 제1 가시성 솔루션 장치(100a)는 앞서 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 패킷을 수신한 포트 정보를 업데이트 하고(S233), 업데이트된 포트 정보에 기초하여 정해지는 포트로 패킷을 암호화 또는 복호화하여 출력한다(S235). 즉 이 경우 해당 패킷을 물리적으로는 제1 비동기 포트(async1)를 통해 제2 가시성 솔루션 장치(100b)로부터 수신하였으나, 미리 정해진 IP 헤더 필드에 삽입된 포트 정보에 해당하는 포트로 수신된 것으로 해서, 앞서 표 1에 예시한 것처럼 패킷을 처리할 수 있다.
한편 패킷을 제2 비동기 포트(async2)를 통해 수신한 경우, 제1 가시성 솔루션 장치(100a)는 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 패킷을 수신한 포트 정보를 업데이트 하고(S241), 업데이트된 포트 정보에 기초하여 정해지는 포트로 해당 패킷을 암·복호화 처리없이 출력(bypass)할 수 있다(S224). 즉 제1 가시성 솔루션 장치(100a)에서 세션 테이블 조회가 되지 않아 제2 가시성 솔루션 장치(100b)에 해당 패킷을 제1 비동기 포트(async1)를 통해 전송하고 나서, 제2 가시성 솔루션 장치(100b)에서도 세션 테이블 조회가 되지 않아 다시 제2 비동기 포트(async2)를 통해 제1 가시성 솔루션 장치(100a)에 패킷을 전송한 경우이다. 따라서 제1 가시성 솔루션 장치(100a)와 제2 가시성 솔루션 장치(100b) 모두에서 세션 테이블 조회가 되지 않으므로 최종 바이패스 시키게 된다.
지금까지 제1 가시성 솔루션 장치(100a)에 패킷이 수신된 경우 처리 방법에 대해서 설명하였으나, 제2 가시성 솔루션 장치(100b)에서 패킷이 수신된 경우에도 도 3에서 설명한 방법과 동일하게 처리할 수 있다.
도 4는 본 발명의 일 실시예에 따른 비동기 트래픽이 존재하는 이중화 망에서 프록시 기반 보안시스템의 보호 대상 트래픽 처리 과정을 설명하기 위한 도면이다.
도 4를 참고하면, 클라이언트 측으로부터 유입되는 요청(request) 패킷(SYN 패킷이 아닌 경우)은 실선으로 나타낸 화살표에 따라 서버 측으로 전달된다. 제1 가시성 솔루션 장치(100a)의 제1 포트(eth1)를 통해 수신된 요청 패킷은 단계(S211-N, S213-N, S221-Y, S222-N, S225-Y, S226)를 거쳐 제2 포트(eth2)로 제1 보안 장치(300a)로 전달된다. 제1 보안 장치(300a)로부터 제3 포트(eth3)로 수신된 요청 패킷은 단계(S211-N, S213-N, S221-Y, S222-N, S225-Y, S226)를 거쳐 제4 포트(eth4)로 제2 스위치(200b)로 출력된다.
요청 패킷에 대한 응답(response) 패킷이 제1 가시성 솔루션 장치(100a)로 유입되면, 동기 트래픽에 해당하므로 실선으로 나타낸 화살표의 반대 방향에 따라 클라이언트 측으로 전달된다.
그런데 요청 패킷에 대한 응답 패킷이 제2 가시성 솔루션 장치(100b)로 유입되면, 비동기 트래픽에 해당하므로 점선으로 나타낸 화살표에 따라 클라이언트 측으로 전달된다. 제2 가시성 솔루션 장치(100b)의 제4 포트(eth4)를 통해 수신된 응답 패킷은 단계(S211-N, S213-N, S221-Y, S222-N, S225-N, S227, S228)를 거쳐 제1 비동기 포트(async1)로 제1 가시성 솔루션 장치(100a)로 전달된다. 제1 가시성 솔루션 장치(100a)로 전달된 응답 패킷은 단계(S211-Y, S231-Y, S233, S235)를 거쳐 제3 포트(eth3)를 통해 제1 보안 장치(300a)로 전달된다. 그리고 제1 보안 장치(300a)에서 제2 포트(eth2)를 통해 수신된 응답 패킷은, 단계(S211-N, S213-N, S221-Y, S222-N, S225-Y, S226)를 거쳐 제1 포트(eth1)를 통해 제1 스위치(200a)로 출력된다.
이와 같이 트래픽이 비동기 형태로 전송되는 망에 프록시 기반 보안 장비를 이중화 할 때 최초 수신 패킷을 기준으로 세션 테이블을 생성하고 이후 패킷에 대해 세션정보가 없는 패킷이라면 별도의 포트(async1)로 이중화 장비로 전송 하고, 이중화 장비에서도 세션 정보가 없는 패킷은 별도의 포트(async2)로 재전송 하여 ㅂ바이패스(bypass) 함으로서 트래픽의 동기화를 유지하여 정상적인 서비스를 제공 할 수 있다. 이 과정에서 최초 유입된 포트 정보를 IP 헤더 정보에 기록하여 패킷 처리를 할 때 참조함으로써 다중 인터페이스를 사용하는 환경에서도 원활한 패킷 흐름을 유지 시킬 수 있다.
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 앞서 설명한 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (9)

  1. 이중화된 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치를 포함하는 프록시 기반 보안 시스템의 트래픽 처리 방법에 있어서,
    (a) 상기 제1 가시성 솔루션 장치가 패킷을 수신하는 단계, 그리고
    (b) 상기 패킷을 수신한 포트가 상기 제2 가시성 솔루션 장치와 패킷 교환을 하도록 연결된 제1 비동기 포트와 제2 비동기 포트가 아닌 경우, 상기 제1 가시성 솔루션 장치가 상기 패킷을 처리하는 단계를 포함하고,
    상기 (b) 단계는,
    상기 패킷이 보호 대상이고 SYN 패킷이면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 세션 테이블에 등록하고 상기 패킷을 수신한 포트에 따라 정해지는 포트로 상기 패킷을 출력하는 단계,
    상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 수신한 포트에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하는 단계, 그리고
    상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되지 않으면, 상기 제1 가시성 솔루션 장치가 상기 패킷의 미리 정해진 IP 헤더 필드에 상기 패킷을 수신한 포트 정보를 삽입하고, 상기 패킷을 상기 제1 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하는 단계를 포함하는 트래픽 처리 방법.
  2. 제 1 항에서,
    (c) 상기 패킷을 수신한 포트가 상기 제1 비동기 포트인 경우, 상기 제1 가시성 솔루션 장치가 상기 패킷을 처리하는 단계를 더 포함하고,
    상기 (c) 단계는,
    상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되지 않으면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 상기 제2 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하는 단계, 그리고
    상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되면, 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상기 업데이트된 포트 정보에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하는 단계
    를 포함하는 트래픽 처리 방법.
  3. 제 2 항에서,
    상기 패킷을 상기 제2 비동기 포트를 통해 수신한 경우, 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상시 업데이트된 포트 정보에 기초하여 정해지는 포트로 상기 패킷을 출력하는 단계를 더 포함하는 트래픽 처리 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에서,
    상기 제1 가시성 솔루션 장치와 상기 제2 가시성 솔루션 장치는,
    암호화된 보호 대상 패킷에 대해 복호화 처리를 하여 보안 장치로 전송하고,
    상기 보안 장치에서 전송되는 복호화된 보호 대상 패킷에 대해 암호화 처리를 하여 서버측 또는 클라이언트측으로 전송하는 트래픽 처리 방법.
  5. 컴퓨터에 상기한 제1항 내지 제3항 중 어느 한 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  6. 이중화된 제1 가시성 솔루션 장치와 제2 가시성 솔루션 장치를 포함하는 프록시 기반 보안 시스템에 있어서,
    상기 제1 가시성 솔루션 장치와 상기 제2 가시성 솔루션 장치는 제1 비동기 포트와 제2 비동기 포트를 통해 패킷 교환을 하도록 연결되어 있고,
    상기 제1 비동기 포트와 상기 제2 비동기 포트가 아닌 포트를 통해 상기 패킷을 수신한 경우, 상기 제1 가시성 솔루션 장치는,
    상기 패킷이 보호 대상이고 SYN 패킷이면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 세션 테이블에 등록하고 상기 패킷을 수신한 포트에 따라 정해지는 포트로 상기 패킷을 출력하고,
    상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되면, 상기 제1 가시성 솔루션 장치가 상기 패킷을 수신한 포트에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하며,
    상기 패킷이 보호 대상이고 SYN 패킷이 아니며 상기 세션 테이블에서 조회되지 않으면, 상기 패킷의 미리 정해진 IP 헤더 필드에 상기 패킷을 수신한 포트 정보를 삽입하고, 상기 패킷을 상기 제1 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하는 시스템.
  7. 제 6 항에서,
    상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되지 않으면, 상기 제1 가시성 솔루션 장치는 상기 패킷을 상기 제2 비동기 포트를 통해 상기 제2 가시성 솔루션 장치로 전송하고,
    상기 패킷을 상기 제1 비동기 포트를 통해 수신하고 상기 세션 테이블에서 조회되면, 상기 제1 가시성 솔루션 장치는 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상기 업데이트된 포트 정보에 기초하여 정해지는 포트로 상기 패킷을 암호화 또는 복호화하여 출력하는 시스템.
  8. 제 7 항에서,
    상기 패킷을 상기 제2 비동기 포트를 통해 수신한 경우, 상기 제1 가시성 솔루션 장치는 상기 미리 정해진 IP 헤더 필드에 삽입된 포트 정보로 상기 패킷을 수신한 포트 정보를 업데이트 하고, 상시 업데이트된 포트 정보에 기초하여 정해지는 포트를 통해 상기 패킷을 출력하는 시스템.
  9. 제 6 항 내지 제 8 항 중 어느 한 항에서,
    상기 제1 가시성 솔루션 장치와 상기 제2 가시성 솔루션 장치는,
    암호화된 보호 대상 패킷에 대해 복호화 처리를 하여 보안 장치로 전송하고,
    상기 보안 장치에서 전송되는 복호화된 보호 대상 패킷에 대해 암호화 처리를 하여 서버측 또는 클라이언트측으로 전송하는 시스템.
KR1020200009945A 2020-01-28 2020-01-28 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 KR102212859B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200009945A KR102212859B1 (ko) 2020-01-28 2020-01-28 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200009945A KR102212859B1 (ko) 2020-01-28 2020-01-28 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법

Publications (1)

Publication Number Publication Date
KR102212859B1 true KR102212859B1 (ko) 2021-02-05

Family

ID=74558932

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200009945A KR102212859B1 (ko) 2020-01-28 2020-01-28 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법

Country Status (1)

Country Link
KR (1) KR102212859B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240109677A (ko) 2023-01-05 2024-07-12 삼성에스디에스 주식회사 네트워크 보안통신방법 및 이를 위한 미들박스

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104486A (ko) * 2002-05-09 2004-12-10 니이가타세이미츠 가부시키가이샤 암호 장치 및 방법, 암호 시스템
KR20170075538A (ko) * 2015-12-23 2017-07-03 주식회사 시큐아이 보안 장치 및 이의 동작 방법
KR20190019623A (ko) * 2017-08-18 2019-02-27 (주)한드림넷 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법
KR20190037948A (ko) * 2017-09-29 2019-04-08 한화테크윈 주식회사 외부장치 인증 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104486A (ko) * 2002-05-09 2004-12-10 니이가타세이미츠 가부시키가이샤 암호 장치 및 방법, 암호 시스템
KR20170075538A (ko) * 2015-12-23 2017-07-03 주식회사 시큐아이 보안 장치 및 이의 동작 방법
KR20190019623A (ko) * 2017-08-18 2019-02-27 (주)한드림넷 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법
KR20190037948A (ko) * 2017-09-29 2019-04-08 한화테크윈 주식회사 외부장치 인증 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240109677A (ko) 2023-01-05 2024-07-12 삼성에스디에스 주식회사 네트워크 보안통신방법 및 이를 위한 미들박스

Similar Documents

Publication Publication Date Title
EP3695568B1 (en) Systems and methods for controlling switches to record network packets using a traffice monitoring network
EP2357763B1 (en) Methods apparatuses for crossing virtual firewall to transmit and receive data
US10992652B2 (en) Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US8364948B2 (en) System and method for supporting secured communication by an aliased cluster
US8418244B2 (en) Instant communication with TLS VPN tunnel management
US10454890B2 (en) Negotiation of security protocols and protocol attributes in secure communications environment
US12028378B2 (en) Secure communication session resumption in a service function chain preliminary class
US20020124090A1 (en) Method and apparatus for data communication between a plurality of parties
EP2530883A1 (en) Method, device and network system for transmitting datagram
US20110164752A1 (en) Detection of Stale Encryption Policy By Group Members
US9160527B2 (en) Systems, methods, and computer-readable media for secure digital communications and networks
EP3140976B1 (en) Apparatus, systems, platforms, and methods for securing communication data exchanges between multiple networks for industrial and non-industrial applications
JP5270692B2 (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
US10250596B2 (en) Monitoring encrypted communication sessions
US20200252411A1 (en) Enterprise security management packet inspection and monitoring
US20180124025A1 (en) Providing visibility into encrypted traffic without requiring access to the private key
US20230396597A1 (en) Partial packet encryption for encrypted tunnels
US20230128082A1 (en) One-Armed Inline Decryption/Encryption Proxy Operating in Transparent Bridge Mode
KR102212859B1 (ko) 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법
US7953973B2 (en) Systems, methods, and computer program products for passively routing secure socket layer (SSL) encoded network traffic
KR20190024581A (ko) 보안을 위한 보안 소켓 계층 복호화 방법
US9571459B2 (en) Synchronizing a routing-plane and crypto-plane for routers in virtual private networks
CN114785536A (zh) 一种报文处理方法及装置
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant