KR102445916B1 - 네트워크에서의 단말 관리 장치 및 그 방법 - Google Patents

네트워크에서의 단말 관리 장치 및 그 방법 Download PDF

Info

Publication number
KR102445916B1
KR102445916B1 KR1020220008109A KR20220008109A KR102445916B1 KR 102445916 B1 KR102445916 B1 KR 102445916B1 KR 1020220008109 A KR1020220008109 A KR 1020220008109A KR 20220008109 A KR20220008109 A KR 20220008109A KR 102445916 B1 KR102445916 B1 KR 102445916B1
Authority
KR
South Korea
Prior art keywords
address
terminal
packet
mac
arp
Prior art date
Application number
KR1020220008109A
Other languages
English (en)
Inventor
김장훈
강준석
Original Assignee
스콥정보통신 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 스콥정보통신 주식회사 filed Critical 스콥정보통신 주식회사
Priority to CA3231366A priority Critical patent/CA3231366A1/en
Priority to PCT/KR2022/006448 priority patent/WO2023038224A1/ko
Application granted granted Critical
Publication of KR102445916B1 publication Critical patent/KR102445916B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 네트워크에서의 단말 관리 장치 및 그 방법에 관한 것으로서, 단말 관리 방법은, 네트워크에 연결된 복수의 단말로부터 수신되는 패킷들을 분석하여, 상기 복수의 단말들의 주소 데이터 및 상기 복수의 단말 각각의 네트워크 연결 상태를 지시하는 상태 정보를 수집하여 저장하는 단계, ARP(Address Resolution Protocol) 프로브 패킷을 수신하는 단계, 상기 ARP 프로브 패킷으로부터 상기 ARP 프로브 패킷을 전송한 제1 단말의 제1 IP(Internet Protocol) 주소 및 제1 MAC(Media Access Control) 주소를 획득하는 단계, 기 저장된 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되면, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 주소 데이터를 가지는 단말의 상기 상태 정보에 따라서 상기 제1 단말이 다른 단말의 주소 데이터를 복제한 도용 단말인지 판단하는 단계, 그리고 상기 제1 단말이 도용 단말로 판단되면, 상기 제1 단말의 APIPA(Automatic Private IP Addressing) 기능에 의해 상기 제1 단말의 IP 주소가 제2 IP 주소로 다시 설정되도록, 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 단계를 포함를 포함할 수 있다.

Description

네트워크에서의 단말 관리 장치 및 그 방법{APPARATUS AND METHOD FOR MANAGING TERMINAL IN NETWORK}
본 개시는 네트워크에서의 단말 관리 장치 및 그 방법에 관한 것으로서, 더욱 상세하게는 네트워크 상에서 IP/MAC 주소를 복제하여 사용하는 도용 단말을 차단하기 위한 단말 관리 장치 및 그 방법에 관한 것이다.
일반적인 통신망 환경에서 단말은 IP(Internet Protocol) 주소와 MAC(Media Access Control) 주소를 이용하여 통신을 수행한다.
IP 프로토콜에서는 별다른 검증 절차 없이 IP 주소 및 MAC 주소를 사용하여 통신 대상을 식별한다. 따라서, IP 프로토콜을 사용하는 네트워크에서는 악의적인 사용자에 의해 네트워크에 정상적으로 연결된 정상 단말의 IP/MAC 주소가 손쉽게 복제될 수 있다. 정상 단말의 IP/MAC 주소를 복제한 도용 단말은 네트워크에서 정상 단말의 IP/MAC 주소를 직접 수정하여 IP 충돌을 유도함으로써 정상 단말의 네트워크 사용에 문제를 일으킬 수 있다. 또한, 도용 단말은 정상 단말에 전송되는 패킷들을 가로채 해킹, 크래킹, 도청 등의 보안 문제를 일으킬 수도 있다.
본 개시를 통해 해결하고자 하는 과제는 네트워크 상에서 IP/MAC 주소를 복제하여 사용하는 도용 단말을 식별하여 차단할 수 있는 단말 관리 장치 및 그 방법을 제공하는 것이다.
상기 과제를 해결하기 위한 일 실시 예에 따른 네트워크 시스템에서의 단말 관리 방법은, 네트워크에 연결된 복수의 단말로부터 수신되는 패킷들을 분석하여, 상기 복수의 단말들의 주소 데이터 및 상기 복수의 단말 각각의 네트워크 연결 상태를 지시하는 상태 정보를 수집하여 저장하는 단계, ARP(Address Resolution Protocol) 프로브 패킷을 수신하는 단계, 상기 ARP 프로브 패킷으로부터 상기 ARP 프로브 패킷을 전송한 제1 단말의 제1 IP(Internet Protocol) 주소 및 제1 MAC(Media Access Control) 주소를 획득하는 단계, 기 저장된 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되면, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 주소 데이터를 가지는 단말의 상기 상태 정보에 따라서 상기 제1 단말이 다른 단말의 주소 데이터를 복제한 도용 단말인지 판단하는 단계, 그리고 상기 제1 단말이 도용 단말로 판단되면, 상기 제1 단말의 APIPA(Automatic Private IP Addressing) 기능에 의해 상기 제1 단말의 IP 주소가 제2 IP 주소로 다시 설정되도록, 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 단계를 포함할 수 있다.
상기 단말 관리 방법에서, 상기 제2 IP 주소는 상기 네트워크에 대한 접속이 차단되는 IP 주소일 수 있다.
상기 단말 관리 방법은, 상기 주소 데이터들 중 상기 제1 IP 주소와 동일한 IP 주소를 포함하고 상기 제1 MAC 주소와 상이한 MAC 주소를 포함하는 주소 데이터가 검색되면, 기 설정된 선점 IP 보호/MAC 고정 장책에 따라서 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 단계를 더 포함할 수 있다.
상기 단말 관리 방법은, 상기 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되지 않으면, 상기 제1 IP 주소 및 상기 제1 MAC 주소를 바인딩한 주소 데이터를 저장하는 단계를 더 포함할 수 있다.
상기 단말 관리 방법은, 상기 기 저장된 주소 데이터들 및 간이 망 관리 프로트콜(Simple Network Management Protocol)을 사용해, 상기 스위치의 MAC 테이블을 업데이트시키는 단계를 더 포함할 수 있다.
상기 단말 관리 방법에서, 상기 ARP 프로브 패킷의 헤더에서, Opcode는 1이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 0.0.0.0이고, 타겟 MAC 주소는 00:00:00:00:00:00이고, 타겟 IP 주소는 상기 제1 IP 주소일 수 있다.
상기 단말 관리 방법에서, 상기 응답 패킷의 헤더에서, Opcode는 2이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 상기 제1 IP 주소이고, 타겟 MAC 주소는 상기 제1 MAC 주소이며, 타겟 IP 주소는 상기 제1 IP 주소일 수 있다.
상기 단말 관리 방법에서, 상기 수집하여 저장하는 단계는, 상기 네트워크 내에서 제2 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 상기 제2 단말의 상기 상태 정보가 온라인 상태를 지시하도록 설정하는 단계를 포함할 수 있다.
상기 단말 관리 방법에서, 상기 수집하여 저장하는 단계는, 상기 복수의 단말 중 제3 단말로부터 제1 시간 동안 상기 IP 패킷 또는 상기 ARP 패킷이 수신되지 않으면, 상기 제3 단말에 ARP 요청 패킷을 전송하는 단계, 그리고 상기 ARP 요청 패킷에 대한 응답 패킷이 제2 시간 동안 수신되지 않으면, 상기 제3 단말의 상기 상태 정보가 오프라인 상태를 지시하도록 설정하는 단계를 포함할 수 있다.
상기 단말 관리 방법에서, 상기 판단하는 단계는, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소에 대응하는 단말의 상기 상태 정보가 상기 온라인 상태를 지시하면, 상기 제1 단말을 도용 단말로 판단하는 단계를 포함할 수 있다.
일 실시 예에 따른 단말 관리 장치는, 네트워크에 연결된 복수의 단말과 통신하는 통신부, 상기 복수의 단말 각각에 대해 네트워크 연결 상태를 지시하는 상태 정보 및 주소 데이터를 저장하는 저장부, 그리고 상기 복수의 단말로부터 수신되는 패킷들을 분석하여 상기 상태 정보 및 상기 주소 데이터를 수집하며, ARP 프로브 패킷이 수신되면 상기 ARP 프로브 패킷으로부터 상기 ARP 프로브 패킷을 전송한 제1 단말의 제1 IP 주소 및 제1 MAC 주소를 획득하고, 상기 저장부에 저장된 주소 데이터 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되면, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 주소 데이터를 가지는 단말의 상기 상태 정보에 따라서 상기 제1 단말이 다른 단말의 주소 데이터를 복제한 도용 단말인지 판단하고, 상기 제1 단말이 도용 단말로 판단되면, 상기 제1 단말의 APIPA 기능에 의해 상기 제1 단말의 IP 주소가 제2 IP 주소로 다시 설정되도록 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 제어부를 포함할 수 있다.
상기 단말 관리 장치에서, 상기 제2 IP 주소는 상기 네트워크에 대한 접속이 차단되는 IP 주소일 수 있다.
상기 단말 관리 장치의 상기 제어부는, 상기 주소 데이터들 중 상기 제1 IP 주소와 동일한 IP 주소를 포함하고 상기 제1 MAC 주소와 상이한 MAC 주소를 포함하는 주소 데이터가 검색되면, 기 설정된 선점 IP 보호/MAC 고정 장책에 따라서 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송할 수 있다.
상기 단말 관리 장치의 상기 제어부는, 상기 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되지 않으면, 상기 제1 IP 주소 및 상기 제1 MAC 주소를 바인딩한 주소 데이터를 상기 저장부에 저장할 수 있다.
상기 단말 관리 장치의 상기 제어부는, 상기 저장부에 저장된 주소 데이터 및 간이 망 관리 프로트콜을 사용해, 상기 스위치의 MAC 테이블을 업데이트시킬 수 있다.
상기 단말 관리 장치에서, 상기 ARP 프로브 패킷의 헤더의, Opcode는 1이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 0.0.0.0이고, 타겟 MAC 주소는 00:00:00:00:00:00이고, 타겟 IP 주소는 상기 제1 IP 주소일 수 있다.
상기 단말 관리 장치에서, 상기 응답 패킷의 헤더의, Opcode는 2이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 상기 제1 IP 주소이고, 타겟 MAC 주소는 상기 제1 MAC 주소이며, 타겟 IP 주소는 상기 제1 IP 주소일 수 있다.
상기 단말 관리 장치의 상기 제어 장치는, 상기 네트워크 내에서 제2 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 상기 제2 단말의 상기 상태 정보가 온라인 상태를 지시하도록 설정할 수 있다.
상기 단말 관리 장치의 상기 제어 장치는, 상기 복수의 단말 중 제3 단말로부터 제1 시간 동안 상기 IP 패킷 또는 상기 ARP 패킷이 수신되지 않으면, 상기 제3 단말에 ARP 요청 패킷을 전송하고, 상기 ARP 요청 패킷에 대한 응답 패킷이 제2 시간 동안 수신되지 않으면, 상기 제3 단말의 상기 상태 정보가 오프라인 상태를 지시하도록 설정하는, 단말 관리 장치.
상기 단말 관리 장치의 상기 제어 장치는, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소에 대응하는 단말의 상기 상태 정보가 상기 온라인 상태를 지시하면, 상기 제1 단말을 도용 단말로 판단하는 단계를 포함할 수 있다.
본 개시에 따르면, 네트워크 상에서 IP/MAC 주소를 복제하여 사용하는 단말을 식별하여 차단할 수 있으며, 따라서 네트워크를 정상적으로 사용 중인 단말들의 네트워크 사용을 보호할 수 있다.
도 1은 일 실시 예에 따른 네트워크 시스템을 개략적으로 도시한 것이다.
도 2는 일 실시 예에 따른 네트워크 시스템에서의 단말 관리 방법을 개략적으로 도시한 것이다.
도 3은 일 실시 예에 따른 단말 관리 장치가 도용 단말을 차단하는 일 예를 도시한다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 동일하거나 유사한 구성요소에는 동일, 유사한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되지는 않는다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 필요한 도면들을 참조하여 실시 예들에 따른 네트워크에서의 단말 관리 장치 및 그 방법에 대해 상세히 설명하기로 한다.
도 1은 일 실시 예에 따른 네트워크 시스템을 개략적으로 도시한 것이다.
아래의 설명에서는, 네트워크에 정상적으로 연결된 단말을 '정상 단말'이라 명명하여 사용하고, 정상 단말의 IP 주소 및 MAC 주소를 도용하여 사용하는 단말을 '도용 단말'이라 명명하여 사용한다.
도 1을 참조하면, 일 실시 예에 따른 네트워크 시스템은 정책서버(10), 단말 관리 장치(20), 및 스위치(30)를 포함할 수 있다.
정책서버(10)는 네트워크 시스템에서 네트워크 액세스에 대한 연결 인증, 권한 부여, 계정 작업 등을 위한 정책(액세스 관리 정책)을 설정하고 관리하는 기능을 수행할 수 있다. 액세스 관리 정책은, 네트워크에 연결되어 있는 호스트들의 바인딩된 주소 데이터(IP 주소 및 MAC 주소)를 테이블 형태로 포함할 수 있다. 액세스 관리 정책은, IP 충돌을 관리하기 위한 네트워크 관리범위, IP 충돌 발생 시의 대응 정책(예를 들어, IP 충돌 대응 패킷(ARP(Address Resolution Protocol) 프로브 응답(ARP Probe Reply) 패킷)의 전송 여부, 선전 IP 보호/MAC 고정 정책 적용 여부 등)을 포함할 수도 있다.
정책서버(10)는 액세스 관리 정책 등의 정책 정보를 저장하는 데이터베이스(11), 및 데이터베이스(11)에 저장된 정책 정보를 관리하는 정책 관리부(12)를 포함할 수 있다.
정책 관리부(12)는 단말 관리 장치(20)의 제어부(23)로부터 바인딩된 주소 데이터(IP 주소 및 MAC 주소)를 수신하며, 이를 데이터베이스(11)에 저장할 수 있다. 또한, 정책 관리부(12)는 단말 관리 장치(20)의 요청 시 정책 정보를 단말 관리 장치(20)로 전송할 수도 있다.
단말 관리 장치(20)는 네트워크 상에서 도용 단말을 검출하고, 도용 단말의 네트워크 사용을 차단할 수 있다.
단말 관리 장치(20)는 저장부(21), 통신부(22), 및 제어부(23)를 포함할 수 있다.
저장부(21)는 단말 관리 장치(20)에서 처리되는 각종 정보, 데이터 등을 저장할 수 있다. 예를 들어, 저장부(21)는 단말 관리 장치(20)에 의해 수집된 단말들의 주소 데이터(IP 주소 및 MAC 주소)들을 저장할 수 있다. 또한, 예를 들어, 단말 관리 장치(20)에 의해 수집된 단말들의 상태 정보(온라인 상태 또는 오프라인 상태), 각 단말의 마지막 패킷 발생 시점 등을 저장할 수도 있다. 또한, 예를 들어, 저장부(21)는 정책서버(10)로부터 수신한 정책 정보를 저장할 수도 있다.
통신부(22)는 단말 관리 장치(20)와 외부 장치(예를 들어, 단말(미도시), 정책서버(10), 스위치(30) 등) 간의 패킷 송수신 등의 통신 기능을 수행할 수 있다.
제어부(23)는 단말 관리 장치(20)의 전반적인 동작을 제어할 수 있다.
제어부(23)는 통신부(22)를 통해, 단말 관리 장치(20)와 동일한 네트워크에 연결된 단말들의 패킷(예를 들어, ARP 패킷 또는 IP 패킷)들을 수집하는 프로브(probe) 장치로 동작할 수 있다. 여기서, 동일 네트워크의 범위는 라우터 사용을 기준으로 구분되며, 동일 브로드캐스트 도메인(broadcast domain)으로 지시될 수도 있다. 네트워크 시스템에서, 라우터는 네트워크들을 구분하고 브로드캐스트가 다른 네트워크에 전송되지 않도록 차단한다. 이 때, 브로드캐스트가 도달하는 범위를 브로드캐스트 도메인이라 한다.
제어부(23)는 수집된 패킷(예를 들어, ARP 패킷 또는 IP 패킷)들을 분석하여 각 단말의 주소 데이터(IP 주소 및 MAC 주소)를 획득할 수 있다. 즉, 제어부(23)는 패킷이 수신되면, 해당 패킷으로부터 발신자인 단말의 주소 데이터(발신자 IP 주소(Source IP 또는 Sender IP) 및 발신자 MAC 주소(Source MAC 또는 Sender MAC))를 획득할 수 있다. 제어부(23)는 수신된 패킷으로부터 발신자인 단말의 주소 데이터가 획득되면, 이를 기 저장된 단말들의 주소 데이터와 비교하여 해당 단말이 신규 단말인지를 확인할 수 있다. 즉, 제어부(23)는 기 저장된 단말들의 주소 데이터 중에서, 수신된 패킷으로부터 획득한 주소 데이터와 동일한 주소 데이터가 검색되지 않으면, 해당 패킷을 전송한 단말이 네트워크에 새로 연결된 신규 단말인 것으로 판단할 수 있다. 제어부(23)는 패킷을 전송한 단말이 신규 단말인 것으로 확인되면, 패킷으로부터 획득한 발신자 단말의 IP 주소 및 MAC 주소를 1 대 N 매핑하여 바인딩(binding)하고, 바인딩된 주소 데이터(IP 주소 및 MAC 주소)를 저장부(21)에 저장할 수 있다. 제어부(23)는 또한 바인딩된 주소 데이터를 정책서버(10)에 전송할 수 있다.
제어부(23)는 수집된 패킷들을 분석하여 각 단말의 상태 정보(온라인 상태 또는 오프라인 상태)를 획득할 수도 있다. 여기서, 온라인 상태는 해당 단말과 네트워크 간의 연결이 활성화된 상태를 나타내고, 오프라인 상태는 해당 단말과 네트워크 간의 연결이 비활성화된 상태를 나타낼 수 있다. 제어부(23)는 단말로부터 수신된 패킷의 발신자 주소 데이터에 기초해 해당 패킷을 전송한 단말이 확인되면, 해당 단말의 상태 정보가 온라인 상태를 지시하도록 설정할 수 있다.
제어부(23)는 수집된 패킷들을 분석하여 저장부(21)에 주소 데이터가 저장된 단말들(즉, 네트워크에 연결된 것으로 등록된 단말들) 중 소정 시간 동안 패킷을 전송하지 않은 단말이 확인되면, 해당 단말의 상태 확인을 위해 ARP 요청(ARP request) 패킷을 해당 단말에 전송할 수 있다. 그런 다음 제어부(23)는 소정 시간(예를 들어, 3초) 동안 해당 단말로부터 ARP 요청 패킷에 대한 응답 패킷의 수신을 기다리고, 소정 시간 내에 응답 패킷이 수신되지 않을 경우 해당 단말이 오프라인 상태인 것으로 판단할 수 있다. 이에 따라, 제어부(23)는 해당 단말의 상태 정보가 오프라인 상태를 지시하도록 대응하는 상태 정보를 변경할 수 있다. 이를 위해, 제어부(23)는 각 단말 별로 마지막 패킷 수신 시점(또는 마지막 패킷 발생 시점)을 지속적으로 획득하고, 획득된 마지막 패킷 수신 시점을 단말 별로 저장부(21)에 저장하여 관리할 수 있다.
제어부(23)는 수집된 패킷들로부터 각 단말의 넷바이오스 (Network Basic Input/Output System, NetBIOS) 이름, 네트워크 활성화 시각 등의 추가 데이터를 획득하고, 획득한 추가 데이터들을 저장부(21)에 저장할 수도 있다.
제어부(23)는 동일한 네트워크에 연결된 단말들로부터 전송된 ARP 프로브 패킷을 수집하고, 이를 사용해 단말 관리 장치(20)가 관리하는 네트워크 관리범위 내에서 도용 단말 검출하는 도용 검출장치로 동작할 수도 있다. 제어부(23)는 통신부(22)를 통해 정책서버(10)로부터 네트워크 관리범위에 대한 정보를 수신할 수 있다. 네트워크 관리범위는, 단말 관리 장치(20)에서 도용 단말을 검출하기 위해 관리해야 하는 IP 주소 대역에 대한 정보를 포함할 수 있다. 제어부(23)는 정책서버(10)로부터 네트워크 관리범위를 수신하면, 네트워크 관리범위가 정의하는 IP 주소 대역에서 주소 데이터를 수집하고 IP 주소의 충돌을 검출할 수 있다.
IPv4 주소 충돌 감지 표준(IPv4 Address Conflict Detection, proposed standard)인 RFC 5227에서는, ARP 프로브 패킷(ARP probe packet) 및 ARP 어나운스먼트 패킷(ARP Announcement packet)을 사용한 ACD(Address Conflict Detection)에 대해 명시되어 있다.
ACD에서 ARP 프로브 패킷은 호스트가 자신이 속해 있는 네트워크(브로드캐스트 도메인) 내에서 자신의 IP 주소가 이미 사용 중인지 조사할 때 사용되는 패킷으로, IP 충돌을 방지하는 것을 목적으로 사용된다. 호스트는 ARP Opcode를 1로 설정하여 ARP 요청으로 설정된 ARP 프로브 패킷을 자신이 속한 네트워크 내에서 브로드캐스트하고, 이에 대한 응답 패킷(ARP Opcode가 2인 패킷)의 수신을 대기한다. 호스트는 ARP 프로브 패킷(ARP 요청)의 전송 시, 헤더(header)의 발신자 MAC 주소(Sender MAC address)를 자신의 MAC 주소로 설정하고, 발신자 IP 주소(Sender IP Address)는 0.0.0.0으로 설정할 수 있다. 또한, 호스트는 ARP 프로브 패킷 헤더의 타겟 MAC 주소(Target MAC Address)를 00:00:00:00:00:00으로 설정하고, 타겟 IP 주소(Target IP address)는 자신의 IP 주소로 설정할 수 있다. 이러한 ARP 프로브 패킷은 IP 주소 충돌을 방지하기 위해 동일한 네트워크에 속하는 다른 호스트들의 ARP 캐쉬(cache)를 업데이트시키지 않는다는 점에서, GARP(Gratuitous ARP) 패킷과 상이할 수 있다. GARP 패킷은, 호스트가 GARP 패킷을 전송하면, 해당 호스트와 동일 네트워크로 연결된 모든 호스트가 ARP 캐쉬를 업데이트하도록 사용될 수 있다.
ACD에서 ARP 어나운스먼트 패킷은, ARP 프로브 패킷을 전송한 후 이에 대한 응답이 수신되지 않는 경우, 해당 IP 주소의 사용을 주장(또는 청구(claim))하기 위해 사용되는 패킷이다. 호스트는 ARP 프로브 패킷을 전송한 후 이에 대한 응답 패킷이 수신되지 않으면, 해당 IP 주소의 사용을 주장하기 위해 ARP 어나운스먼트 패킷을 전송할 수 있다. 이러한 ARP 어나운스먼트 패킷은 다른 호스트의 ARP 캐쉬를 업데이트시킨다는 점에서 GARP 패킷과 유사하나, Opcode가 요청 패킷을 지시하는 1로 설정되어 Opcode가 2로 설정되는 GARP 패킷과 차이가 있다.
네트워크 시스템에서 단말은 IP 주소가 변경되면, ARP 프로브 패킷을 반복해서 브로드캐스트하도록 동작한다. 따라서, 다른 단말의 주소 데이터를 복제하여 자신의 IP 주소 및 MAC 주소를 변경한 도용 단말은, 복제된 IP 주소가 속한 네트워크 내에서 ARP 프로브 패킷을 브로드캐스트하게 된다. 위에서 설명한 바와 같이, 각 호스트(단말)로부터 전송된 ARP 프로브 패킷(ARP 요청)은 이를 전송한 호스트의 IP 주소 및 MAC 주소를 포함할 수 있다. 따라서, 제어부(23)는 단말로부터 ARP 요청으로 전송된 ARP 프로브 패킷이 수신되면, 수집된 ARP 프로브 패킷으로부터 대응하는 단말의 IP 주소 및 MAC 주소를 검출하며, 이를 저장부(21)에 저장된 주소 데이터들과 비교하여 해당 단말이 다른 단말의 주소 데이터를 복제하여 사용하는 도용 단말인지를 판단할 수 있다.
네트워크 상에서 IP 주소는 사용자에 의해 임의로 설정될 수 있으므로, 악의적인 접근이 아닌 사용자의 실수로도 IP 충돌이 발생할 수 있다. 또한, 동적 호스트 설정 통신 프로토콜(dynamic host configuration protocol, DHCP) 서버의 오류로 인해 IP 주소가 중복 발급될 수도 있다. 따라서, 이 실시 예에서는 사용자의 실수 또는 DHCP 서버의 오류로 인해 IP 주소 충돌이 발생하는 경우와 악의적인 도용을 구별하기 위해, IP 주소 뿐만 아니라 MAC 주소의 충돌 여부를 판단하여, 악의적인 도용 단말을 검출할 수 있다. MAC 주소의 경우 단말의 고유한 식별정보이므로, 사용자의 실수로 다른 단말과 MAC 주소가 중복되는 상황은 발생할 수 없다. 따라서, 과거에 저장된 주소 데이터와 동일한 IP 주소 및 MAC 주소를 가지는 ARP 프로브 패킷이 발생할 경우, 해당 패킷을 전송한 단말은 네트워크에 악의적인 불법 침입을 시도하는 단말이거나, 정상 단말의 패킷을 자르기(Snipping)하여 도청 또는 데이터 탈취 공격을 시도하는 단말일 수 있다.
따라서, 제어부(23)는 ARP 프로브 패킷을 통해 새로 수집된 주소 데이터와 IP 주소와 MAC 주소가 모두 동일한 주소 데이터가 저장부(21)에 이미 존재하면, 해당 ARP 프로브 패킷을 전송한 단말을 도용 단말로 판단할 수 있다.
한편, 네트워크 시스템에서 단말은 IP 주소가 변경되는 때 외에도, 네트워크 인터페이스가 비활성 상태에서 활성 상태로 전환할 때, 단말이 절전 모드에서 노멀(normal) 모드로 복귀할 때, 네트워크 시스템과의 링크 상태(예를 들어, 이더넷 케이블의 연결 상태)에 변경이 발생했을 때, 802.11 무선 인터페이스가 새로운 기반 스테이션에 관련된 경우 등의 상황에서 ARP 프로브 패킷을 전송할 수 있다. 즉, 도용 단말이 아닌 정상 단말도 네트워크에 대한 연결이 오프라인 상태에서 온라인 상태로 전환되면, ARP 프로브 패킷을 반복해서 브로드캐스트할 수 있다.
따라서, 이 실시 예에서는 정상 단말을 도용 단말로 오인식하는 것을 방지하기 위해, ARP 프로브 패킷을 전송한 단말의 상태 정보를 추가로 확인할 수 있다. 제어부(23)는 ARP 프로브 패킷을 통해 새로 수집된 주소 데이터와 IP 주소와 MAC 주소가 모두 동일한 주소 데이터가 저장부(21)에 이미 존재하면, 대응하는 단말의 ARP 프로브 패킷을 수신하기 전 상태 정보를 추가로 확인하여 해당 단말이 도용 단말인지를 최종 결정할 수도 있다. 즉, 제어부(23)는 ARP 프로브 패킷을 수신하기 전 대응하는 단말의 상태 정보가 오프라인 상태를 지시하면, 수신된 ARP 프로브 패킷은 네트워크와의 연결 상태가 온라인 상태로 전환된 정상 단말로부터 수신된 것으로 판단하여, 대응하는 단말을 도용 단말이 아닌 정상 단말로 최종 판단할 수 있다.
제어부(23)는 도용 단말이 검출되면, 네트워크 사용 차단 패킷(ARP 프로브 패킷의 응답 패킷(ARP Probe Reply 패킷))을 전송하여 도용 단말의 네트워크 사용을 차단하는 차단 장치로서 동작할 수도 있다.
윈도우 8(Windows 8) 이상의 운영체제(operating system, OS)를 사용하는 단말, 또는 맥 운영체제 9(MAC OS 9) 이상을 사용하는 단말은 자신이 전송한 ARP 프로브 패킷에 대한 응답 패킷을 수신하면, 사용자가 설정한 IP 주소가 아닌, 자동 개인 IP 주소지정(Automatic Private IP Addressing, APIPA) 기능에 의해 자동으로 부여된 IP 주소로 자신의 IP 주소로 설정한다. APIPA는 DHCP 서버가 없거나 DHCP 서버를 사용할 수 없는 네트워크 환경에서 윈도우 운영체제에서 자동으로 IP 주소를 할당하는 기능이다. 인터넷 번호 할당 기관(Internet Assigned Numbers Authority, IANA)에서는 APIPA를 위해 IP 주소 169.254.0.0 ~ 169.254.255.255를 예약해 두었다. 따라서, APIPA에 의해 자동으로 할당되는 IP 주소는 라우팅 주소와 충돌하지 않도록 보장될 수 있다.
전술한 바에 따르면, 제어부(23)에 의해 자신이 전송한 ARP 프로브 패킷에 대한 응답 패킷을 수신한 도용 단말은, APIPA 기능에 의해 자동으로 IP 주소 169.254.x.y (여기서, x, y는 단말의 고유 식별자)를 할당 받게 되며, 자신이 도용한 IP 주소가 속한 네트워크에 접속하지 못하게 된다.
도용 단말의 검출 시 ARP 프로브 응답 패킷의 전송 여부는, 정책서버(10)에 저장된 액세스 관리 정책에 따라 결정될 수 있다. 즉, 제어부(23)는 정책서버(10)로부터 수신한 정책 정보가 도용 단말의 검출 시 차단 패킷의 전송을 지시하면, 도용 단말의 검출 시 ARP 프로브 응답 패킷을 전송할 수 있다.
한편, 제어부(23)는 ARP 프로브 패킷을 통해 새로 수집된 주소 데이터가 기존에 바인딩된 다른 단말의 주소 데이터와 IP 주소는 동일하나 MAC 주소는 상이할 경우, IP 주소 중복이 발생한 것으로 판단할 수 있다. 제어부(23)는 액세스 관리 정책에 따라서 주소 도용이 아닌 IP 주소 중복인 경우에도, ARP 프로브 패킷에 대한 응답 패킷을 대응하는 단말에 전송할 수 있다. 즉, 제어부(23)는 액세스 관리 정책 중 선점 IP 보호/MAC 고정 장책에 따라서, IP 중복이 검출된 경우에도 ARP 프로브 패킷에 대한 응답 패킷을 전송할 수 있다. 이 경우에도, 자신이 전송한 ARP 프로브 패킷의 응답 패킷을 수신한 단말은, APIPA 기능에 의해 자동으로 IP 주소 169.254.x.y를 할당 받게 된다.
한편, APIPA 기능에 의해 자동으로 IP 주소 169.254.x.y를 할당 받은 단말이 윈도우 운영체제를 사용하는 단말인 경우, 단말은 APIPA에 의해 할당 받은 IP 주소를 사용하기 위해 ARP 프로브 패킷을 전송할 수 있다.
따라서, 제어부(23)는 통신부(22)를 통해 IP 주소 169.254.x.y를 포함하는 ARP 프로브 패킷이 수신되면, 이를 전송한 단말의 운영체제가 윈도우인 것으로 판단할 수 있다. 반면에, 제어부(23)는 ARP 프로브 패킷에 대한 응답 패킷을 전송한 후에, 해당 단말로부터 ARP 프로브 패킷이 전송되지 않을 경우 해당 단말은 윈도우가 아닌 다른 운영체제를 사용하는 단말인 것으로 판단할 수 있다.
제어부(23)는 도용 단말이 전송하는 패킷에 의해 스위치(30)의 MAC 테이블(포트-MAC 바인딩 데이터 테이블)이 업데이트되어 정상 단말의 패킷이 도용 단말로 전송되는 것을 방지하기 위해, 간이 망 관리 프로트콜(Simple Network Management Protocol, SNMP)을 사용하여 스위치(30)의 MAC 테이블을 주기적으로 업데이트시킬 수 있다. 즉, 제어부(23)는 저장부(21)에 저장된 주소 데이터에 기초해, 스위치(30)의 MAC 테이블을 주기적으로 업데이트시킬 수 있다.
전술한 단말 관리 장치(20)에서 제어부(23)는 중앙 처리 유닛(central processing unit, CPU)이나 기타 칩셋, 마이크로프로세서 등으로 구현되는 프로세서로 구성될 수 있다.
이하, 도 2 및 도 3을 참조하여 일 실시 예에 따른 단말 관리 장치(20)의 단말 관리 방법에 대해 상세히 설명한다.
도 2는 일 실시 예에 따른 네트워크에서의 단말 관리 방법을 개략적으로 도시한 것이다. 도 2의 단말 관리 방법은, 위에서 도 1을 참조하여 설명한 단말 관리 장치(20)에 의해 수행될 수 있다.
도 2를 참조하면, 단말 관리 장치(20)는 자신이 속한 네트워크에 연결된 단말들의 주소 데이터 및 상태 정보를 수집할 수 있다(S10).
S10 단계에서, 단말 관리 장치(20)는 단말들로부터 수신된 IP 패킷 또는 ARP 패킷을 분석하여 각 단말의 주소 데이터를 획득할 수 있다. 단말 관리 장치(20)는 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 해당 패킷으로부터 발신자의 주소 데이터(발신자 IP 주소 및 발신자 MAC 주소)를 획득할 수 있다. 단말 관리 장치(20)는 수신된 패킷으로부터 발신자의 주소 데이터가 획득되면, 이를 기 저장된 단말들의 주소 데이터와 비교하여 해당 패킷의 발신자가 신규 단말인지를 확인할 수 있다. 즉, 단말 관리 장치(20)는 기 저장된 단말들의 주소 데이터 중에서, 수신된 패킷으로부터 획득한 주소 데이터와 동일한 주소 데이터가 검색되지 않으면, 해당 패킷을 전송한 단말이 네트워크에 새로 연결된 신규 단말인 것으로 판단할 수 있다. 단말 관리 장치(20)는 패킷을 전송한 단말이 신규 단말인 것으로 확인되면, 패킷으로부터 획득한 발신자(단말)의 IP 주소 및 MAC 주소를 1 대 N 매핑하여 바인딩하고, 바인딩된 주소 데이터(IP 주소 및 MAC 주소)를 저장부(21)에 저장할 수 있다.
S10 단계에서, 단말 관리 장치(20)는 단말들로부터 수신된 IP 패킷 또는 ARP 패킷을 분석하여 각 단말의 네트워크 연결 상태를 지시하는 상태 정보를 획득할 수 있다. 단말 관리 장치(20)는 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 수신된 패킷의 발신자 주소 데이터에 기초해 해당 패킷을 전송한 단말을 확인하고, 패킷 전송이 확인된 단말의 상태 정보가 온라인 상태를 지시하도록 설정할 수 있다. 반면에, 단말 관리 장치(20)는 단말 관리 장치(20)와 동일 네트워크에 연결된 단말들 중 소정 시간 동안 IP 패킷 또는 ARP 패킷을 전송하지 않은 단말이 확인되면, 해당 단말의 상태 확인을 위해 ARP 요청 패킷을 해당 단말에 전송할 수 있다. 그런 다음 단말 관리 장치(20)는 소정 시간(예를 들어, 3초) 동안 해당 단말로부터 ARP 요청 패킷에 대한 응답 패킷의 수신을 기다리고, 소정 시간 내에 해당 단말로부터 응답 패킷이 수신되지 않을 경우 해당 단말이 오프라인 상태인 것으로 판단할 수 있다. 이에 따라, 단말 관리 장치(20)는 해당 단말의 오프라인 상태를 지시하도록 대응하는 상태 정보를 변경할 수 있다. 단말 관리 장치(20)는 저장부(21)에 저장된 주소 데이터들에 기초해 단말 관리 장치(20)와 동일한 네트워크에 연결된 단말들을 식별할 수 있다.
자신이 속한 네트워크(브로드캐스트 도메인) 내에서 ARP 프로브 패킷이 수신되면(S11), 해당 ARP 프로브 패킷으로부터 대응하는 단말의 IP 주소 및 MAC 주소를 획득할 수 있다(S12).
S12 단계에서, 단말 관리 장치(20)는 정책서버(10)로부터 수신한 네트워크 관리범위(IP 주소 대역)에 기초해 자신에게 할당된 IP 주소 대역을 확인하고, 자신에게 할당된 IP 주소 대역 내에서 IP 주소 및 MAC 주소를 획득할 수 있다. 즉, 단말 관리 장치(20)는 자신이 속한 네트워크 내에서 브로드캐스트되는 ARP 프로브 패킷 중 자신에게 할당된 IP 주소 대역에 속하는 IP 주소를 포함하는 ARP 프로브 패킷에 대해서만, IP 주소 및 MAC 주소를 수집할 수 있다. 따라서, 단말 관리 장치(20)에 의해 IP 주소가 수집되는 IP 주소 대역은, 정책서버(10)로부터 수신한 네트워크 관리범위에 따라 단말 관리 장치(20)가 속한 네트워크에서 사용되는 IP 주소 대역 전체가 될 수도 있고, 단말 관리 장치(20)가 속한 네트워크에서 사용되는 IP 주소 대역의 일부가 될 수도 있다.
ARP 프로브 패킷으로부터 IP 주소 및 MAC 주소를 수집한 단말 관리 장치(20)는, S11 단계를 통해 획득한 IP 주소와 기존에 저장된 주소 데이터(IP 주소 및 MAC 주소)들을 비교하여 IP 주소 충돌 여부를 판단할 수 있다(S13). S13 단계에서, 단말 관리 장치(20)는 기존에 저장된 주소 데이터들 중 S12 단계를 통해 획득한 IP 주소와 IP 주소가 동일한 주소 데이터가 존재하면, IP 주소 충돌이 발생한 것으로 판단할 수 있다.
IP 주소 충돌이 발생한 것으로 판단되면, 단말 관리 장치(20)는 S12 단계를 통해 획득한 MAC 주소와 기존에 저장된 주소 데이터(IP 주소 및 MAC 주소)들을 비교하여 MAC 주소 충돌 여부를 판단할 수 있다(S14). S14 단계에서, 단말 관리 장치(20)는 S12 단계에서 S12 단계를 통해 획득한 IP 주소와 동일한 IP 주소를 포함하는 주소 데이터가 검출되면, 해당 주소 데이터의 MAC 주소가 S12 단계를 통해 획득한 MAC 주소와 동일한지 비교하고, 두 MAC 주소가 동일하면 MAC 주소 충돌이 발생한 것으로 판단할 수 있다.
S13 단계 및 S14 단계를 통해 IP 주소 및 MAC 주소 모두 충돌이 발생한 것으로 판단되면, 단말 관리 장치(20)는 기 저장된 단말의 상태 정보에 기초해 해당 ARP 프로브 패킷이 정상 단말의 상태 전환에 의해 발생된 패킷인지 판단할 수 있다(S15).
S15 단계에서, 단말 관리 장치(20)는 기 저장된 상태 정보들 중 S12 단계를 통해 획득한 IP 주소 및 MAC 주소가 지시하는 단말의 상태 정보를 확인할 수 있다. 단말 관리 장치(20)는 상태 정보의 확인 결과, 해당 단말의 직전 상태, 즉 ARP 프로브 패킷을 수신하기 전의 상태가 오프라인 상태이면, S11 단계를 통해 수신된 ARP 프로브 패킷은 주소 도용이 아닌 정상 단말이 오프라인 상태에서 온라인 상태로 연결 상태를 전환함에 따라 발생된 패킷으로 판단할 수 있다.
반면에, 단말 관리 장치(20)는 상태 정보의 확인 결과, 해당 단말의 직전 상태, 즉 ARP 프로브 패킷을 수신하기 전의 상태가 온라인 상태이면, S11 단계를 통해 수신된 ARP 프로브 패킷은 도용 단말에 의해 발생된 패킷으로 판단할 수 있다.
S15 단계에서, ARP 프로브 패킷이 정상 단말의 상태 전환에 의해 발생된 패킷이 아닌 것으로 판단되면, 즉 도용 단말에 의해 발생된 패킷으로 판단되면, 단말 관리 장치(20)는 정책서버(10)로부터 수신한 정책 정보에 따라서 네트워크 사용 차단 패킷인 ARP 프로브 응답 패킷을 전송할 수 있다(S17).
S14 단계에서 MAC 주소 충돌이 발생하지 않은 것으로 판단되면, 단말 관리 장치(20)는 도용이 아닌 IP 주소 중복 설정으로 인한 IP 주소 충돌인 것으로 판단할 수 있다. 이 경우, 단말 관리 장치(20)는 정책서버(10)로부터 수신한 정책정보를 확인하여 선점 IP 보호/MAC 고정 정책이 적용 중인지 확인하고(S16), 해당 정책이 적용 중인 경우 ARP 프로브 응답 패킷을 전송할 수 있다(S17).
이에 따라, 자신이 전송한 ARP 프로브 패킷에 대한 ARP 프로브 응답 패킷을 수신하게 된 단말은, APIPA 기능에 의해 자동으로 IP 주소 169.254.x.y를 할당 받게 된다. 또한, 자신이 사용하는 운영체제가 윈도우인 경우, 단말은 APIPA에 의해 할당 받은 IP 주소를 사용하기 위해 ARP 프로브 패킷을 다시 전송할 수 있다.
따라서, 단말 관리 장치(20)는 ARP 프로브 응답 패킷을 전송한 후, 소정 시간 동안 APIPA에 의해 자동으로 할당된 IP 주소(169.254.x.y)를 포함하는 ARP 프로브 패킷이 수신되는지 확인하고(S18), 해당 ARP 프로브 패킷이 수신되면 대응하는 단말의 운영체제가 윈도우인 것으로 판별할 수 있다(S19). 반면에, 소정 시간 이상 IP 주소 169.254.x.y를 포함하는 ARP 프로브 패킷의 수신이 확인되지 않으면, 대응하는 단말의 운영체제가 비윈도우(예를 들어, 맥 OS)인 것으로 판단할 수 있다(S20).
이후에도, 단말 관리 장치(20)는 SNMP 프로토콜을 사용하여 스위치(30)의 MAC 테이블을 주기적으로 업데이트시킴으로써(S21), 도용 단말이 전송하는 패킷에 의해 스위치(30)의 MAC 테이블(포트-MAC 바인딩 데이터 테이블)이 업데이트되어 정상 단말의 패킷이 도용 단말로 전송되는 것을 방지할 수 있다.
한편, S12 단계를 통해 수신한 ARP 프로브 패킷이 IP 주소 충돌에 해당하지 않는 것으로 판단되면, 단말 관리 장치(20)는 해당 ARP 프로브 패킷으로부터 획득한 IP 주소 및 MAC 주소의 바인딩된 주소 데이터를 내부 저장부(21)에 저장할 수 있다(S22). 또한, 단말 관리 장치(20)는 바인딩된 주소 데이터를 정책서버(10)에 전송함으로써(S23), 정책서버(10)에 저장된 주소 데이터(바인딩된 IP 주소 및 MAC 주소)와 자신의 내부 저장부(21)에 저장된 주소 데이터(바인딩된 IP 주소 데이터 및 MAC 주소)를 서로 동기화시킬 수 있다.
도 3은 일 실시 예에 따른 단말 관리 장치(20)가 도용 단말(1a)을 차단하는 일 예를 도시한다.
도 3을 참조하면, 도용 단말(1a)은 네트워크에 이미 연결 중인 정상 단말(미도시)의 IP 주소(10.1.2.33) 및 MAC 주소(00:E0:4C:65:7E:35)를 복제하여 자신의 IP 주소(null) 및 MAC 주소(00:E0:4C:00:E0:4C)를 변경한다(S30).
IP 주소가 변경됨에 따라, 도용 단말(1a)은 ARP 프로브 패킷을 전송한다(S31). 이 때, ARP 프로브 패킷은 Opcode 1, 발신자 IP 주소(sender IP) 0.0.0.0, 발신자 MAC 주소(Sender MAC) 00:E0:4C:65:7E:35(도용한 MAC 주소), 타겟 IP 주소(Target IP) 10.1.2.33(도용된 IP 주소), 및 타겟 MAC 주소(Target MAC) 00:00:00:00:00;00을 포함할 수 있다.
단말 관리 장치(20)는 도용 단말(1a)이 전송한 ARP 프로브 패킷을 수신한다(S32). 또한, 단말 관리 장치(20)는 수신된 ARP 프로브 패킷으로부터 이를 전송한 단말의 IP 주소 및 MAC 주소를 검출하고, 이를 기 저장된 주소 데이터들과 비교하여 IP 주소 및 MAC 주소의 충돌 여부를 확인한다(S33).
도용 단말(1a)이 IP 주소 및 MAC 주소를 복제한 정상 단말은 이미 네트워크를 사용 중인 상태이므로, 도용 단말(1a)이 복제한 정상 단말의 IP 주소(10.1.2.33) 및 MAC 주소(00:E0:4C:65:7E:35)는 이미 단말 관리 장치(20)에 의해 수집되어 단말 관리 장치(20)의 내부 저장부(21)에 저장된 상태이다. 따라서, 도용 단말(1a)이 전송한 ARP 프로브 패킷으로부터 추출된 IP 주소(10.1.2.33) 및 MAC 주소(00:E0:4C:65:7E:35)는 단말 관리 장치(20)에 기 저장된 주소 데이터와 충돌하게 된다.
IP 주소 및 MAC 주소의 충돌을 확인한 단말 관리 장치(20)는, 기 저장된 상태 정보에 기초해 해당 IP 주소 및 MAC 주소가 가리키는 단말(정상 단말)의 직전 연결 상태, 즉 ARP 프로브 패킷을 전송하기 전의 연결 상태를 확인한다(S34). 도용 단말(1a)이 현재 네트워크에 연결된 정상 단말의 IP 주소 및 MAC 주소를 복제한 것이므로, 해당 IP 주소 및 MAC 주소가 가리키는 단말(정상 단말)의 직전 연결 상태는 온라인 상태로 확인될 수 있다.
이에 따라, 단말 관리 장치(20)는 주소 복제로 인해 IP 주소 및 MAC 주소의 충돌이 발생한 것으로 판단하여, 도용 단말(1a)의 네트워크 사용을 차단하기 위해, ARP 프로브 패킷에 대한 응답 패킷을 전송한다(S35). 이 때, ARP 프로브 응답 패킷은 Opcode 2, 발신자 IP 주소 10.1.2.33(도용 단말(1a)의 IP 주소), 및 발신자 MAC 주소 00:E0:4C:65:7E:35(도용 단말(1a)의 MAC 주소), 타겟 IP 주소(Target IP) 10.1.2.33(도용 단말(1a)의 IP 주소), 및 타겟 MAC 주소(Target MAC) 00:00:00:00:00;00을 포함할 수 있다.
단말 관리 장치(20)로부터 ARP 프로브 응답 패킷을 수신한(S36) 도용 단말(1a)은 IP 주소 10.1.2.33을 사용할 수 없다고 인지하고, APIPA 기능을 통해 자신의 IP 주소를 169.254.x.y로 변경한다(S37). 또한, 도용 단말(1a)의 운영체제가 윈도우인 경우, 도용 단말(1a)은 변경된 IP 주소가 반영된 ARP 프로브 패킷을 다시 전송한다(S37). 이 때, ARP 프로브 패킷은 Opcode 1, 발신자 IP 주소 0.0.0.0, 발신자 MAC 주소 00:E0:4C:65:7E:35, 타겟 IP 주소 169.254.x,y (변경된 IP 주소), 및 타겟 MAC 주소 00:00:00:00:00;00을 포함할 수 있다.
이후, 도용 단말(1a)은 ARP 프로브 패킷에 대한 응답 패킷 수신을 대기하고, 응답 패킷이 수신되지 않을 경우 ARP 어나운스먼트 패킷을 전송함으로써 자신의 IP 주소를 확정할 수 있다. 이렇게 확정된 IP 주소 169.254.x,y 로는 도용 단말(1a)이 복제한 정상 단말이 속한 네트워크에 접속할 수 없으므로, 도용 단말(1a)의 악의적인 네트워크 사용을 차단할 수 있다. 또한, 정상 단말의 네트워크 사용을 보호할 수 있다.
전술한 실시 예는, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터는 단말기의 제어부를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
10: 정책서버
11: 데이터베이스
12: 정책 관리부
20: 단말 관리 장치
21: 저장부
22: 통신부
23: 제어부
30: 스위치

Claims (20)

  1. 네트워크 시스템에서의 단말 관리 방법으로서,
    네트워크에 연결된 복수의 단말로부터 수신되는 패킷들을 분석하여, 상기 복수의 단말들의 주소 데이터 및 상기 복수의 단말 각각의 네트워크 연결 상태를 지시하는 상태 정보를 수집하여 저장하는 단계,
    ARP(Address Resolution Protocol) 프로브 패킷을 수신하는 단계,
    상기 ARP 프로브 패킷으로부터 상기 ARP 프로브 패킷을 전송한 제1 단말의 제1 IP(Internet Protocol) 주소 및 제1 MAC(Media Access Control) 주소를 획득하는 단계,
    기 저장된 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되면, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 주소 데이터를 가지는 단말의 상기 상태 정보에 따라서 상기 제1 단말이 다른 단말의 주소 데이터를 복제한 도용 단말인지 판단하는 단계, 그리고
    상기 제1 단말이 도용 단말로 판단되면, 상기 제1 단말의 APIPA(Automatic Private IP Addressing) 기능에 의해 상기 제1 단말의 IP 주소가 제2 IP 주소로 다시 설정되도록, 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 단계를 포함하는 단말 관리 방법.
  2. 제1항에 있어서,
    상기 제2 IP 주소는 상기 네트워크에 대한 접속이 차단되는 IP 주소인, 단말 관리 방법.
  3. 제1항에 있어서,
    상기 주소 데이터들 중 상기 제1 IP 주소와 동일한 IP 주소를 포함하고 상기 제1 MAC 주소와 상이한 MAC 주소를 포함하는 주소 데이터가 검색되면, 기 설정된 선점 IP 보호/MAC 고정 장책에 따라서 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 단계를 더 포함하는 단말 관리 방법.
  4. 제1항에 있어서,
    상기 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되지 않으면, 상기 제1 IP 주소 및 상기 제1 MAC 주소를 바인딩한 주소 데이터를 저장하는 단계를 더 포함하는 단말 관리 방법.
  5. 제1항에 있어서,
    상기 기 저장된 주소 데이터들 및 간이 망 관리 프로트콜(Simple Network Management Protocol)을 사용해, 스위치의 MAC 테이블을 업데이트시키는 단계를 더 포함하는 단말 관리 방법.
  6. 제1항에 있어서,
    상기 ARP 프로브 패킷의 헤더에서, Opcode는 1이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 0.0.0.0이고, 타겟 MAC 주소는 00:00:00:00:00:00이고, 타겟 IP 주소는 상기 제1 IP 주소인, 단말 관리 방법.
  7. 제1항에 있어서,
    상기 응답 패킷의 헤더에서, Opcode는 2이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 상기 제1 IP 주소이고, 타겟 MAC 주소는 상기 제1 MAC 주소이며, 타겟 IP 주소는 상기 제1 IP 주소인, 단말 관리 방법.
  8. 제1항에 있어서,
    상기 수집하여 저장하는 단계는,
    상기 네트워크 내에서 제2 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 상기 제2 단말의 상기 상태 정보가 온라인 상태를 지시하도록 설정하는 단계를 포함하는, 단말 관리 방법.
  9. 제8항에 있어서,
    상기 수집하여 저장하는 단계는,
    상기 복수의 단말 중 제3 단말로부터 제1 시간 동안 상기 IP 패킷 또는 상기 ARP 패킷이 수신되지 않으면, 상기 제3 단말에 ARP 요청 패킷을 전송하는 단계, 그리고
    상기 ARP 요청 패킷에 대한 응답 패킷이 제2 시간 동안 수신되지 않으면, 상기 제3 단말의 상기 상태 정보가 오프라인 상태를 지시하도록 설정하는 단계를 포함하는, 단말 관리 방법.
  10. 제9항에 있어서,
    상기 판단하는 단계는,
    상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소에 대응하는 단말의 상기 상태 정보가 상기 온라인 상태를 지시하면, 상기 제1 단말을 도용 단말로 판단하는 단계를 포함하는, 단말 관리 방법.
  11. 단말 관리 장치로서,
    네트워크에 연결된 복수의 단말과 통신하는 통신부,
    상기 복수의 단말 각각에 대해 네트워크 연결 상태를 지시하는 상태 정보 및 주소 데이터를 저장하는 저장부, 그리고
    상기 복수의 단말로부터 수신되는 패킷들을 분석하여 상기 상태 정보 및 상기 주소 데이터를 수집하며, ARP 프로브 패킷이 수신되면 상기 ARP 프로브 패킷으로부터 상기 ARP 프로브 패킷을 전송한 제1 단말의 제1 IP 주소 및 제1 MAC 주소를 획득하고, 상기 저장부에 저장된 주소 데이터 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되면, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 주소 데이터를 가지는 단말의 상기 상태 정보에 따라서 상기 제1 단말이 다른 단말의 주소 데이터를 복제한 도용 단말인지 판단하고, 상기 제1 단말이 도용 단말로 판단되면, 상기 제1 단말의 APIPA 기능에 의해 상기 제1 단말의 IP 주소가 제2 IP 주소로 다시 설정되도록 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는 제어부를 포함하는 단말 관리 장치.
  12. 제11항에 있어서,
    상기 제2 IP 주소는 상기 네트워크에 대한 접속이 차단되는 IP 주소인, 단말 관리 장치.
  13. 제11항에 있어서,
    상기 제어부는, 상기 주소 데이터들 중 상기 제1 IP 주소와 동일한 IP 주소를 포함하고 상기 제1 MAC 주소와 상이한 MAC 주소를 포함하는 주소 데이터가 검색되면, 기 설정된 선점 IP 보호/MAC 고정 장책에 따라서 상기 ARP 프로브 패킷에 대한 응답 패킷을 상기 제1 단말에 전송하는, 단말 관리 장치.
  14. 제11항에 있어서,
    상기 제어부는, 상기 주소 데이터들 중에서 상기 제1 IP 주소 및 상기 제1 MAC 주소와 동일한 IP 주소 및 MAC 주소를 포함하는 주소 데이터가 검색되지 않으면, 상기 제1 IP 주소 및 상기 제1 MAC 주소를 바인딩한 주소 데이터를 상기 저장부에 저장하는, 단말 관리 장치.
  15. 제11항에 있어서,
    상기 제어부는, 상기 저장부에 저장된 주소 데이터 및 간이 망 관리 프로트콜을 사용해, 스위치의 MAC 테이블을 업데이트시키는, 단말 관리 장치.
  16. 제11항에 있어서,
    상기 ARP 프로브 패킷의 헤더에서, Opcode는 1이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 0.0.0.0이고, 타겟 MAC 주소는 00:00:00:00:00:00이고, 타겟 IP 주소는 상기 제1 IP 주소인, 단말 관리 장치.
  17. 제11항에 있어서,
    상기 응답 패킷의 헤더에서, Opcode는 2이고, 발신자 MAC 주소는 상기 제1 MAC 주소이며, 발신자 IP 주소는 상기 제1 IP 주소이고, 타겟 MAC 주소는 상기 제1 MAC 주소이며, 타겟 IP 주소는 상기 제1 IP 주소인, 단말 관리 장치.
  18. 제11항에 있어서,
    상기 제어부는, 상기 네트워크 내에서 제2 단말로부터 IP 패킷 또는 ARP 패킷이 수신되면, 상기 제2 단말의 상기 상태 정보가 온라인 상태를 지시하도록 설정하는, 단말 관리 장치.
  19. 제18항에 있어서,
    상기 제어부는, 상기 복수의 단말 중 제3 단말로부터 제1 시간 동안 상기 IP 패킷 또는 상기 ARP 패킷이 수신되지 않으면, 상기 제3 단말에 ARP 요청 패킷을 전송하고, 상기 ARP 요청 패킷에 대한 응답 패킷이 제2 시간 동안 수신되지 않으면, 상기 제3 단말의 상기 상태 정보가 오프라인 상태를 지시하도록 설정하는, 단말 관리 장치.
  20. 제19항에 있어서,
    상기 제어부는, 상기 복수의 단말 중 상기 제1 IP 주소 및 상기 제1 MAC 주소에 대응하는 단말의 상기 상태 정보가 상기 온라인 상태를 지시하면, 상기 제1 단말을 도용 단말로 판단하는 단계를 포함하는, 단말 관리 장치.
KR1020220008109A 2021-09-09 2022-01-19 네트워크에서의 단말 관리 장치 및 그 방법 KR102445916B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CA3231366A CA3231366A1 (en) 2021-09-09 2022-05-04 Apparatus and method for managing terminal in network
PCT/KR2022/006448 WO2023038224A1 (ko) 2021-09-09 2022-05-04 네트워크에서의 단말 관리 장치 및 그 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210120559 2021-09-09
KR20210120559 2021-09-09

Publications (1)

Publication Number Publication Date
KR102445916B1 true KR102445916B1 (ko) 2022-09-21

Family

ID=83452771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220008109A KR102445916B1 (ko) 2021-09-09 2022-01-19 네트워크에서의 단말 관리 장치 및 그 방법

Country Status (3)

Country Link
KR (1) KR102445916B1 (ko)
CA (1) CA3231366A1 (ko)
WO (1) WO2023038224A1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100478910B1 (ko) * 2002-07-05 2005-03-28 스콥정보통신 주식회사 아이피 충돌 검출 및 차단 시스템과 그 방법
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR100893935B1 (ko) * 2009-01-09 2009-04-21 (주)넷맨 Arp를 이용한 호스트의 네트워크 격리방법
KR20180103487A (ko) * 2017-03-10 2018-09-19 주식회사 케이티 네트워크 접속 제어 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101091780B1 (ko) * 2010-09-02 2011-12-08 숭실대학교산학협력단 Arp 테이블을 이용한 arp 스푸핑 차단장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100478910B1 (ko) * 2002-07-05 2005-03-28 스콥정보통신 주식회사 아이피 충돌 검출 및 차단 시스템과 그 방법
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR100893935B1 (ko) * 2009-01-09 2009-04-21 (주)넷맨 Arp를 이용한 호스트의 네트워크 격리방법
KR20180103487A (ko) * 2017-03-10 2018-09-19 주식회사 케이티 네트워크 접속 제어 시스템 및 방법

Also Published As

Publication number Publication date
CA3231366A1 (en) 2023-03-16
WO2023038224A1 (ko) 2023-03-16

Similar Documents

Publication Publication Date Title
US8972571B2 (en) System and method for correlating network identities and addresses
US7694343B2 (en) Client compliancy in a NAT environment
JP4327630B2 (ja) インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
US10491561B2 (en) Equipment for offering domain-name resolution services
US20040054926A1 (en) Peer connected device for protecting access to local area networks
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
US20060088037A1 (en) Preventing asynchronous ARP cache poisoning of multiple hosts
US20060059552A1 (en) Restricting communication service
KR100807933B1 (ko) 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
CN115208606A (zh) 一种网络安全防范的实现方法、系统及存储介质
US7840698B2 (en) Detection of hidden wireless routers
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
KR102445916B1 (ko) 네트워크에서의 단말 관리 장치 및 그 방법
US10270653B2 (en) Network security device, network management method, and non-transitory computer-readable medium
US20050243730A1 (en) Network administration
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
JP5509999B2 (ja) 不正接続防止装置及びプログラム
US11916957B1 (en) System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
KR102103010B1 (ko) 자동 개인 아이피 주소 할당 대역에 대한 제어 시스템 및 방법
KR102628441B1 (ko) 네트워크 보호 장치 및 그 방법
JP4081042B2 (ja) 不正通信監視装置、及び不正通信監視プログラム
TWI732708B (zh) 基於多接取邊緣運算的網路安全系統和網路安全方法