KR20060053166A - 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템 - Google Patents

네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템 Download PDF

Info

Publication number
KR20060053166A
KR20060053166A KR1020050076191A KR20050076191A KR20060053166A KR 20060053166 A KR20060053166 A KR 20060053166A KR 1020050076191 A KR1020050076191 A KR 1020050076191A KR 20050076191 A KR20050076191 A KR 20050076191A KR 20060053166 A KR20060053166 A KR 20060053166A
Authority
KR
South Korea
Prior art keywords
network
security
network device
security module
computer
Prior art date
Application number
KR1020050076191A
Other languages
English (en)
Other versions
KR101150123B1 (ko
Inventor
아드리안 엠. 챈들리
토마스 쥐. 필립스
윌리엄 제이. 웨스터리넨
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060053166A publication Critical patent/KR20060053166A/ko
Application granted granted Critical
Publication of KR101150123B1 publication Critical patent/KR101150123B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Stored Programmes (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

네트워크 활동이 전반적으로 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 차단됐을 때, 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 하기 위한 시스템 및 방법이 제공된다. 그것의 주기적인 갱신 요청 동안, 네트워크 장치의 네트워크 활동을 차단하는 네트워크 보안 모듈은 관리자 구성가능 보안 서비스로부터의 갱신된 보안 수단을 요청한다. 보안 서비스는, 네트워크 보안 모듈에 의해 구현될 때, 네트워크 보안 모듈/네트워크 장치가 몇몇 네트워크 활동을 재개하게 할 수 있는 느슨한 보안 수단 세트를 수신할 수 있는지를 결정한다. 보안 서비스가, 네트워크 보안 모듈/네트워크 장치가 느슨한 보안 수단 세트를 수신할 수 있다고 결정하면, 느슨한 보안 수단 세트는 네트워크 보안 모듈에 반환되고 그것 상에서 구현되어, 네트워크 장치가 몇몇 네트워크 활동을 재개하게 할 수 있다.
보안 서비스, 라우터, 연합 보안 서비스, 스위치, 네트워크 보안 모듈

Description

네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상 네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법 및 시스템{ENABLING NETWORK DEVICES WITHIN A VIRTUAL NETWORK TO COMMUNICATE WHILE THE NETWORK'S COMMUNICATION ARE RESTRICTED DUE TO SECURITY THREATS}
도 1은 컴퓨터 익스플로이트(exploit)가 통상적으로 분포되어 있는 종래기술에서 발견되는 예시적인 네트워크 환경을 예시하는 도면.
도 2는 본 발명의 양상을 구현하기에 적절한 예시적인 물리적 네트워킹 환경을 예시하는 도면.
도 3은 본 발명의 양상을 구현하기에 적절하며, 논리적 VLAN으로 조직된 도 2의 예시적인 물리적 네트워킹 환경을 예시하는 도면.
도 4a는 네트워킹 장치를 보호하기 위한 보안 수단을 획득하기 위해, 네트워킹 장치를 보호하는 네트워크 보안 모듈과 보안 서비스 사이의 예시적인 교환을 제시하는 도면.
도 4b는 보호된 네트워크 장치가 보호된 VLAN 내에서 다른 네트워크 장치와 통신가능케 하기 위한, 보안 수단을 획득하기 위해, 보호된 VLAN 내의 네트워크 장치를 보호하는 네트워크 보안 모듈과 연합 보안 서비스 사이의 예시적인 교환을 예시하는 도면.
도 5는 보호된 VLAN 내의 네트워크 장치가 다른 사용가능한 네트워크 장치와 통신하게 할 수 있는, 연합 보안 서비스 상에서 실행되는 예시적인 루틴을 제시하는 순서도.
도 6은 안전한 방식으로 보호된 VLAN에 네트워크 클라이언트를 추가시킬 때, 네트워크 장치와 대응하는 네트워크 보안 모듈, 연합 보안 서비스 및 라우터 사이의 예시적인 교환을 예시하는 도면.
도 7은 안전한 방식으로 보호된 VLAN에 네트워크 장치를 추가하기 위한, 네트워크 라우터 상에서 실행되는 예시적인 루틴을 제시하는 순서도.
도 8은 안전한 방식으로 보호된 VLAN에 네트워크 장치를 추가하는 것을 돕기 위해, 네트워크 라우터에게 보안 상태 정보를 제공하는 연합 보안 서비스 상에서 실행되는 예시적인 루틴을 제시하는 순서도.
<도면의 주요부분에 대한 부호의 설명>
204: 보안 서비스
208: 라우터
210: 연합 보안 서비스
212: 스위치 A
248: 네트워크 보안 모듈
[문헌 1] 미국 특허 가출원 제60/544,783호, "System and Method for Securing a Computer System Connected to a Network from Attacks" (2004년 2월 13일)
[문헌 2] 미국 특허 가출원 제60/544,772호, "System and Method for Protecting a Computing Device From Computer Exploit Over a Networked Environment in a Secured Communication" (2004년 2월 13일)
본 발명은 컴퓨터 네트워크 및 장치 보안에 관한 것이며, 특히 네트워크의 통신이 일반적으로 보안 위협으로 인해 제한되더라도, 가상 네트워크 내의 네트워킹된 장치들이 안전하게 동작하게 할 수 있게 하는 시스템 및 방법에 관한 것이다.
점점 더 많은 컴퓨터 및 다른 컴퓨팅 장치들이 인터넷과 같은 다양한 네트워크를 통해 상호 접속되어감에 따라, 컴퓨터 보안은 점차 보다 중요해지고 있으며, 특히 네트워크 또는 정보 스트림을 통해 전달되는 침입 또는 공격으로부터 그러하다. 당업자들은 이러한 공격들이 컴퓨터 바이러스, 컴퓨터 웜, 시스템 컴포넌트 대체, 서비스 공격 거부, 및 심지어는 합법적 컴퓨터 시스템 특징의 오용/남용(모두가 불법적인 목적으로 하나 이상의 컴퓨터 시스템 취약성을 이용함)을 포함하는 수많은 상이한 형태로 공격해 오지만, 단지 이에만 제한된 것은 아니라는 것을 인식할 것이다. 당업자들은 다양한 컴퓨터 공격이 기술적으로 다른 것들과 구별된다는 것을 인식할 수 있으므로, 본 발명의 목적 및 설명의 간결성을 위해, 이러한 공격 모두는 이후 전반적으로 컴퓨터 익스플로이트(exploits), 또는 보다 단순하게 익스플로이트로 참조될 것이다.
컴퓨터 시스템이 컴퓨터 익스플로이트에 공격당하거나 "감염"되면, 시스템 장치 사용불가; 펌웨어, 어플리케이션 또는 데이터 파일의 삭제 또는 붕괴; 네트워크 상의 또 다른 위치로 민감한 데이터를 잠재적으로 전송; 컴퓨터 시스템 끄기; 또는 컴퓨터 시스템의 고장 일으키기를 포함하는 해로운 결과가 나타난다. (모두는 아닐지라도) 많은 컴퓨터 익스플로이트의 또 다른 해로운 양상은 감염된 컴퓨터 시스템이 다른 컴퓨터를 감염시키는데 사용된다는 점이다.
도 1은 컴퓨터 익스플로이트가 통상적으로 분포되어있는 예시적인 네트워킹 환경(100)을 예시하는 도면이다. 도 1에 도시된 바와 같이, 전형적인 예시적 네트워크 환경(100)은 복수의 컴퓨터(102-108)를 포함하며, 이들 모두는 인트라넷과 같은 통신 네트워크(110) 또는 일반적으로 인터넷을 의미하는 글로벌 TCP/IP 네트워크를 포함하는 보다 큰 통신 네트워크를 통해 상호 접속된다. 이유가 무엇이든, 컴퓨터(102)와 같은, 네트워크(110)에 접속된 컴퓨터 상의 악의적인 당사자가 컴퓨터 익스플로이트(112)를 개발하여, 그것을 네트워크 상에 방출한다. 이 방출된 컴퓨터 익스플로이트(112)는 화살표(114)가 나타내는 바와 같이, 컴퓨터(104)와 같은 하나 이상의 컴퓨터에 의해 수신되어 이 컴퓨터를 감염시킨다. 많은 컴퓨터 익스플로이트에서 전형화된 바와 같이, 일단 감염되면, 컴퓨터(104)는 화살표(116)가 나타내는 바와 같이 컴퓨터(108)와 같은 다른 컴퓨터를 감염시키는데 이용되며, 컴퓨터(108)는 다음에 화살표(118)가 나타내는 바와 같이 컴퓨터(106)와 같은 다른 컴퓨터를 감염시킨다. 명백하게, 현대 컴퓨터 네트워크의 속도 및 도달범위로 인 해, 컴퓨터 익스플로이트(112)는 기하급수적인 속도로 "성장"할 수 있어, 빠르게 지역으로 전염되어 전 세계적으로 컴퓨터 전염을 급증시키게 된다.
컴퓨터 익스플로이트, 특히 컴퓨터 바이러스 및 웜에 대한 전통적인 방어 수단은 바이러스 방지 소프트웨어이다. 일반적으로, 바이러스 방지 소프트웨어는 네트워크를 통해 도달한 입력 데이터를 스캔하고, 알려진 컴퓨터 익스플로이트에 관련된 식별가능한 패턴을 관찰한다. 알려진 컴퓨터 익스플로이트에 관련된 패턴을 탐지함에 의해, 바이러스 방지 소프트웨어는 감염된 데이터로부터 컴퓨터 바이러스를 제거하거나, 데이터를 격리시키거나, "감염된" 입력 데이터를 삭제함으로써 응답할 수 있다. 그러나, 불행하게도, 바이러스 방지 소프트웨어는 전형적으로 "알려진" 식별가능한 컴퓨터 익스플로이트에 대해서 동작한다. 주로, 이것은 익스플로이트의 "서명"으로서 참조되는 것에 데이터 내의 패턴들을 매칭시킴으로써 행해진다. 이 익스플로이트 탐지 모델의 주요 결함 중 하나는, 컴퓨터의 바이러스 방지 소프트웨어가 새로운 컴퓨터 익스플로이트를 식별하고 그에 응답하도록 갱신되기 전까지는, 알려지지 않은 컴퓨터 익스플로이트가 검사되지 않은 채로 네트워크 내에 전파될 수 있다는 점이다.
바이러스 방지 소프트웨어가 수 천 가지의 알려진 컴퓨터 익스플로이트를 인식하는데 보다 정교해지고 효율적이 되면서, 컴퓨터 익스플로이트도 보다 정교해졌다. 예를 들어, 수많은 최근 컴퓨터 익스플로이트는 이제 다형적이며, 즉 전송시에 바이러스 방지 소프트웨어가 인식할 수 있는 식별가능한 패턴 또는 "서명"을 갖지 않는다. 이러한 다형의 익스플로이트는 주로 바이러스 방지 소프트웨어에 의해 인식되지 않는데, 이는 그들이 또 다른 컴퓨터 시스템으로 전파되기 전에 자기 자신을 변형시키기 때문이다.
오늘날 컴퓨터 익스플로이트로부터 보호하는데 일반적인 또 다른 방어수단은 하드웨어 또는 소프트웨어 네트워크 방화벽이다. 당업자들이 인식할 바와 같이, 방화벽은 내부 네트워크와 외부 네트워크 사이의 정보의 흐름을 제어함으로써, 외부 네트워크로부터 시작된 인증되지 않은 액세스로부터 내부 네트워크를 보호하는 보안 시스템이다. 방화벽의 외부로부터 시작된 모든 통신은 우선, 통신을 검사하고 의도한 목표로 통신을 전달하기에 안전하거나 허가가능한지를 판정하는 프록시로 송신된다. 그러나, 불행하게도, 허가가능한 네트워크 활동들은 금지시키지 않고 허가불가능한 네트워크 활동들은 거절하도록 적절하게 방화벽을 구성하는 것은 정교하고 복잡한 작업이다. 기술적으로 복잡하다는 것 이외에, 방화벽 구성은 관리하기도 어렵다. 방화벽이 부적절하게 구성되면, 허가가능한 네트워크 트래픽(taffic)이 의도하지 않게 중단되고, 허가불가능한 네트워크 트래픽이 통과허가되어, 내부 네트워크를 훼손시킨다. 이러한 이유로 인해, 일반적으로 방화벽은 기술적인 네트워크 설계의 대상에서 잘 숙달된 것들에 의해서만 가끔 수정된다.
방화벽에 대한 또 다른 제한으로서, 방화벽은 내부 네트워크는 보호하지만, 특정 컴퓨터에 대해서는 어떤 보호도 제공하지 않는다. 즉, 방화벽은 특정 컴퓨터의 요구에 자신을 적응시키지 못한다. 대신, 방화벽이 단일 컴퓨터를 보호하는데 사용되고 있더라도, 그것은 여전히 단일 컴퓨터의 구성에 따르지 않고 방화벽의 구성에 따라 컴퓨터를 보호한다.
방화벽에 관한 또 다른 쟁점은 그들이 방화벽이 구축한 경계 내에서 기원된 컴퓨터 익스플로이트로부터의 보호는 제공하지 않는다는 점이다. 즉, 익스플로이트가 방화벽이 보호하고 있는 네트워크를 침투할 수 있으면, 방화벽은 그 익스플로이트를 금지하지 못한다. 이런 상황은 피고용인이 이동성 컴퓨터를 집(즉, 공동 방화벽 보호의 외부)으로 가져가서, 그것을 덜 안전한 환경 내에 있는 집에서 사용할 때 주로 발생한다. 그 피고용인도 모르는 사이에, 이때 이동성 컴퓨터가 감염된다. 그 이동성 컴퓨터가 방화벽의 보호 내에 있는 공동 네트워크에 재접속되면, 익스플로이트는 종종 방화벽에 의해 검사받지 않은 채로 다른 컴퓨터를 자유롭게 감염시킨다. 마찬가지로, 사람들이, 무의식적으로 또는 다른 방식으로, CD-ROM, 플로피 디스크, 플래시 메모리 저장 장치 등의 컴퓨터 익스플로이트에 감염된 매체를 가져와, 방화벽의 보호 경계 내에 있는 컴퓨터를 사용하여 그 매체에 저장되어 있는 정보를 판독하거나 실행시키면, 그 컴퓨터 및 공동 네트워크는 방화벽에 의해 보호되지 않은 채로 위험에 노출되게 된다.
컴퓨터 익스플로이트에 잠재적으로 감염되어있을 수 있는 이동성 컴퓨터를 네트워크에 접속, 또는 재접속시키는 것의 문제점에 대해서, 하나의 해결책은 네트워크 내의 격리된 가상 랜(VLAN으로 참조됨) 내에 추가된 컴퓨터를 배치하는 것이다. 본 기술에 알려진 바와 같이, VLAN은 네트워크의 실제 물리적 구성에 관계없이 실제 네트워크 내에 구축될 수 있는 논리적인 서브-네트워크이다. 네트워크 관리자는 하나의 VLAN 내에 있는 컴퓨터의 능력을 제어하여, 다른 VLAN 내의 컴퓨터 및 장치들과 같은 네트워크 내의 VLAN의 외부에 있는 다른 장치들과 통신한다. 그 러므로, 격리된 VLAN은 격리된 VLAN 내에 있는 컴퓨터가 거의 예외없이 격리된 VLAN 외부에 있는 임의의 다른 장치 및/또는 컴퓨터와 통신하지 못하도록 구성된다. 오직 추가된 컴퓨터가 컴퓨터 익스플로이트에 자유로운 것이라고 증명된 후에만 그 추가된 컴퓨터는 네트워크 내의 다른 정규 VLAN에 허가된다. 그러나, 불행하게도, 이 구현이 추가된 컴퓨터 상에서 발견된 임의의 컴퓨터 익스플로이트로부터 네트워크를 보호할 수 있지만, 잠재적으로 심각한 결과들이 존재한다.
격리된 VLAN에 추가된 컴퓨터를 격리하는 것에 대한 하나의 결과는 추가된 컴퓨터가 격리된 VLAN 내를 순환하고 있는 임의의 컴퓨터 익스플로이트에 노출된다는 것이다. 그러므로, 추가된 컴퓨터가 격리되기 전에는 모든 컴퓨터 익스플로이트에 대해 자유로울 수 있지만, 격리된 VLAN 내에 배치되면, 그것이 격리된 VLAN에 격리된 다른 컴퓨터 상의 컴퓨터 익스플로이트에 감염될 위험이 크다. 또 다른 결과로서, 추가된 컴퓨터가 컴퓨터 익스플로이트에 감염되어 있으면, 추가된 컴퓨터가 격리된 VLAN 내에 배치됐을 때, 격리소 내에 있는 다른 컴퓨터들이 추가된 컴퓨터를 감염시킨 컴퓨터 익스플로이트에 노출되게 된다. 요약하자면, 네트워크는 전체로서 보호될 수 있지만, 격리된 VLAN 내에 배치된 컴퓨터가 컴퓨터 익스플로이트에 감염될 가능성은 상당히 증가한다.
상술된 바와 같이, 컴퓨터 익스플로이트는 이제 합법적 컴퓨터 시스템 특징에 공격으로 영향력을 미치고 있다. 그러므로, 방화벽과 바이러스 방지 소프트웨어 공급자 이외의 수 많은 당사자들은 이제 이러한 컴퓨터 익스플로이트로부터 컴퓨터를 방어하는데 참여해야만 한다. 예를 들어, 오퍼레이팅 시스템 공급자는 이 제 경제적 및 계약상의 이유로, 그들의 오퍼레이팅 시스템을 지속적으로 분석하여, 컴퓨터 익스플로이트가 이용할 수 있는 약점 및 취약성을 식별해야 한다. 본 설명의 목적을 위해, 컴퓨터 익스플로이트가 컴퓨터 시스템을 공격할 수 있는 임의의 방법을 일반적으로 컴퓨터 시스템 취약성, 또는 단순히 취약성으로 참조할 것이다.
오퍼레이팅 시스템, 다른 컴퓨터 시스템 컴포넌트, 드라이버 및/또는 어플리케이션 내에서 취약성이 식별되고 해결되면, 공급자는 전형적으로 취약성을 치료하고 처리하기 위한 소프트웨어 업데이트를 출시할 것이다. 주로 패치로 참조되는 이러한 업데이트들은 컴퓨터 시스템 상에 설치되어, 식별된 취약성으로부터 컴퓨티 시스템을 보안하도록 의도된다. 그러나, 이러한 업데이트는 본질적으로 오퍼레이팅 시스템, 장치 드라이버 또는 소프트웨어 어플리케이션 등의 컴포넌트에 대한 코드 수정이다. 그것만으로, 그들은 바이러스 방지 소프트웨어 공급자로부터 바이러스 방지 업데이트만큼 빠르고 자유롭게 출시될 수 없다. 이러한 업데이트가 코드 수정이기 때문에, 소프트웨어 업데이트는 대중에게 출시되기 이전에 상당한 인-하우스 테스팅(in-house testing)을 요구한다. 그러나, 불행하게도, 인-하우스 테스팅에도 불구하고, 소프트웨어 업데이트는 하나 이상의 다른 컴퓨터 시스템 특징을 파괴하거나 오작동하게 할 수 있다. 그러므로, 소프트웨어 업데이트는 컴퓨터 시스템의 어떤 양상에 의존하는 당사자들에게는 커다란 딜레마를 줄 수 있는데, 그것이 컴퓨터 시스템의 핵심 특징에 영향을 줄 수 있는 경우에는 특히 그러하다. 구체적으로 설명하자면, 한 당사자가 자신의 컴퓨터 시스템을 갱신시킴으로써, 그들의 컴퓨터 시스템의 동작을 붕괴시킬 위험 및 취약성으로부터 그들을 보호하는가? 또는 당사자가 컴퓨터 시스템을 갱신하는 것을 억제하고 컴퓨터 시스템이 감염될 수 있는 위험을 계속 유지시키는가?
개인용 컴퓨터, PDA, 모바일 통신 장치 등을 포함하는 네트워크 장치를 보호하기 위한 하나의 새로운 접근법은 네트워크와 네트워크 장치 사이에 네트워크 보안 모듈을 배치하여, 네트워크 장치로의 및 그 장치로부터의 모든 통신이 네트워크 보안 모듈을 반드시 통과하게 하는 것이다. 이 새로운 접근법은 문헌 1에 보다 상세하게 설명되고 있으며, 그 전체는 참조에 의해 본원에 포함되는 것으로 한다.
문헌 1의 시스템 및 방법에 따르면, 각각의 네트워크 보안 모듈은 보호된 네트워크 장치의 특정 구성 및 또한 최근에 식별된 컴퓨터 시스템 취약성에 대응하는 보안 수단을 구현 또는 시행한다. 네트워크 보안 모듈은 보안 서비스로부터, 즉 글로벌 보안 서비스로부터 또는 연합 보안 서비스라 불리는 보안 서비스의 계층 조직을 통해 보안 수단을 획득한다. 보안 수단을 구현 또는 시행하는 것은 보호된 네트워크 장치에의 및 그로부터의 다양한 네트워크 활동 양상을 제어하는 것을 의미한다. 보안 수단의 예는 다음을 포함하는데, 즉 보호된 네트워크 장치와 신뢰적 네트워크 로케이션(trusted network location) 사이의 통신(예를 들어, 보안 서비스 또는 안티바러스 소프트웨어 서비스)을 제외한 보호된 네트워크 장치로의 및 그 장치로부터의 모든 네트워크 통신을 차단하는 것, 소정의 통신 포트 및 주소 상의 네트워크 트래픽을 차단하는 것, 이메일 또는 웹 브라우저 어플리케이션과 같은 소정의 네트워크 관련 어플리케이션으로의 및/또는 그로부터의 통신을 차단하는 것, 및 보호된 네트워크 장치 상의 특정 하드웨어 또는 소프트웨어 컴포넌트에의 액세 스를 차단하는 것을 포함한다.
동작시에, 네트워크 보안 모듈은 전형적으로 현재 보안 수단에 대한 보안 서비스를 주기적으로 질의 또는 폴링(poll)하도록 구성된다. 그러므로, 컴퓨터 익스플로이트가 네트워크 상에서 탐지되거나, 오퍼레이팅 시스템 공급자가 자신의 시스템 내에서 취약성을 탐지하면, 오퍼레이팅 시스템 공급자는 그 취약성/익스플로이트에 대항하는 보안 수단을 보안 서비스에 제공한다. 이런 갱신된 보안 수단들은 네트워크 보안 모듈들이 주기적으로 보안 서비스를 폴링함으로써, 네트워크 보안 모듈에 의해 획득된다. 일단 획득하면, 갱신된/현재 보안 수단은 네트워크 보안 모듈에 의해 구현/시행되어, 탐지된 컴퓨터 익스플로이트 또는 취약성으로부터 보호된 네트워크 장치를 고립시킨다.
컴퓨터 익스플로이트를 좀 더 잘 이해하기 전까지, 초기 보안 수단은 보호된 네트워크 장치로의 및 그로부터의 모든 네트워크 활동을 차단하는 것을 포함하는 것으로 이해할 수 있다. 그러나, 일단 컴퓨터 익스플로이트를 좀 더 잘 이해하면, 좀 덜 엄격한 세트의 보안 수단을 사용하여, 몇몇 네트워크 활동은 허용하면서 취약성으로부터의 적절한 보호는 유지시킬 수 있다. 또한, 일단 소프트웨어 업데이트 또는 바이러스 방지 업데이트가 개발되고 이어서 보호된 네트워크 장치 상에 설치되면, "정상" 네트워크 활동의 재개를 허용할 수 있는 새로운 세트의 보안 수단이 획득될 수 있으며, 이 새로운 세트는 보호된 네트워크 장치가 소프트웨어 또는 바이러스 방지 업데이트의 설치로 인해 더 이상 취약하지 않다는 사실을 반영한다.
비록 상기 문헌 1에 개시된 시스템이 컴퓨터 익스플로이트로부터 네트워크 장치를 어떻게 보호하는지를 해결하였지만, 특히 치명적인 컴퓨터 익스플로이트가 탐지되면, 비지니스-핵심 동작을 수행하는 컴퓨터들 사이의 통신을 포함하는, 네트워크 내의 모든 장치 상의 모든 네트워크 활동이 차단될 실제 가능성이 존재한다. 예를 들어, 비지니스-핵심 어플리케이션이 어플리케이션 서버 상에서 동작하고, 컴퓨터 네트워크 내의 어딘가에 있는 데이터베이스 서버 상에 저장된 정보를 획득하는 것에 의지하고 있다고 가정해보자. 모든 네트워크 활동을 차단하는 것은 본질적으로 어플리케이션 서버가 데이터베이스 서버로부터 정보를 획득할 수 없고, 이에 따라 비지니스-핵심 어플리케이션이 정지하는 것을 의미할 수 있다.
참고 문헌 2에 보다 상세하게 설명된 하나의 해결책은 네트워크 보안 모듈에 오버라이드(override)를 사용하여, 보호 수단이 네트워크 장치를 보호하도록 설계된 것을 우회시킨 것이다. 그러나, 대부분의 비지니스 환경을 포함하는 수 많은 상황에서, 네트워크 보안 모듈이 오버라이드를 포함하는 것은 바람직하지 않다. 대부분의 시스템 관리자들은 만약 있다면 컴퓨터가 보호적 보안 수단을 무시할 수 있어야 한다고 결정하길 선호할 것이다.
상술된 문제점을 고려하면, 네트워크를 통한 통신 활동이 보안 위협 때문에 제약을 받더라도, VLAN 내의 특정 네트워크 장치들의 통신을 가능케 하기 위한 시스템 및 방법이 필요하다. 본 발명은 이러한 것들 및 종래 기술에서 발견되는 다른 쟁점들을 해결하고자 한다.
본 발명에 따르면, 네트워크 활동이 전반적으로 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 차단됐을 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전하게 네트워크 활동을 재개할 수 있도록 하기 위한 시스템이 제공된다. 이 시스템은 통신 네트워크 및 제1 네트워크 보안 모듈을 포함하는 복수의 네트워크 보안 모듈을 포함한다. 복수의 네트워크 보안 모듈 각각은 통신 네트워크와 네트워크 장치 사이에 위치하는데, 특히 제1 네트워크 보안 모듈은 통신 네트워크와 제1 네트워크 장치 사이에 위치한다. 또한, 복수의 네트워크 보안 모듈 각각은 보안 서비스로부터 획득된 보안 수단을 구현함으로써 보호된 네트워크 장치로의 및 그로부터의 네트워크 활동을 제어한다. 이 시스템은 또한 적어도 제1 네트워크 보안 모듈에 보안 수단을 제공하는 보안 서비스도 포함한다. 복수의 네트워크 보안 모듈이 복수의 네트워크 장치로의 및 그로부터의 네트워크 활동을 차단하는 보안 수단을 구현할 때, 보안 서비스가 제1 네트워크 보안 모듈에 느슨한 보안 수단 세트를 제공하도록, 보안 서비스가 관리자에 의해 구성된다. 느슨한 보안 수단 세트가 제1 네트워크 보안 모듈에 의해 구현될 때, 제1 네트워크 장치는 적어도 몇몇의 네트워크 활동을 재개할 수 있다.
본 발명의 추가적인 양상에 따르면, 통신 네트워크 상의 네트워크 활동이 네트워크 보안 모듈에 의해 구현되는 보호적 보안 수단에 의해 차단됐을 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 하기 위한 방법이 제시되며, 이 방법은 통신 네트워크 내의 보안 서비스에 의해 구현된다. 네트워크 보안 모듈로부터 보안 수단에 대한 요청이 수신된다. 네트워크 보안 모듈은 통신 네트워크와 제1 네트워크 장치 사이에 위치한다. 네트워크 보안 모듈에 느슨한 보안 수단 세트가 전달되도록 보안 서비스가 구성되어야 할지가 결정된다. 느슨한 보안 수단 세트는, 네트워크 보안 모듈에 의해 구현될 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있을 것이다. 보안 서비스가 네트워크 보안 모듈에 느슨한 보안 수단 세트를 전달하게 구성되도록 결정되면, 느슨한 보안 수단 세트는 네트워크 보안 모듈에 반환된다.
본 발명의 또 다른 양상에 따르면, 컴퓨터 실행가능 명령어를 포함하는 컴퓨터 실행가능 명령어가 제공된다. 통신 네트워크와 네트워크 장치 사이에 위치한 복수의 네트워크 보안 모듈에게 보안 수단을 제공하는 컴퓨팅 장치 상에서 실행될 때 컴퓨터 실행가능 명령어는, 제1 네트워크 장치가, 통신 네트워크 상의 네트워크 활동이 전반적으로 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 차단됐을 때, 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있게하는 방법을 수행한다. 이 방법은 우선 통신 네트워크와 제1 네트워크 장치 사이에 위치한 네트워크 보안 모듈로부터 보안 수단에 대한 요청을 수신하는 것을 포함한다. 그 후 보안 서비스가 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 전달하도록 구성됐는지가 결정된다. 이 느슨한 보안 수단 세트는, 네트워크 보안 모듈에 의해 구현될 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있을 할 것이다. 그 후, 네트워크 보안 모듈에 느슨한 보안 수단 세트를 전달하도록 보안 서비스가 구성되게 결정되면, 네트워크 보안 모듈에 느슨한 보안 수단 세트가 반환된다.
본 발명의 상술된 양상 및 여러 의도된 이점들은 첨부된 도면을 사용하며, 다음의 상세한 설명을 참조함으로써 더 잘 인식되고 이해될 것이다.
상술한 바와 같이, 본 발명은, 일반적으로 네트워크를 통한 통신 활동이 탐지된 취약성에 대한 응답으로 네트워크 보안 모듈에 의해 구현된 보안 수단으로 인해 제한됐을 때, VLAN 내의 특정 네트워크 장치가 통신하게 할 수 있는 것에 관한 것이다. 도 2는 본 발명의 양상을 구현하기에 적절한 예시적인 네트워크 환경(200)을 예시하는 도면이다. 예시적인 네트워킹 환경(200)은 본 발명의 양상에 따라 적용되고, 인터넷(206)에 모두 접속된 일반적인 보안 서비스(204) 및 물리적 네트워크(202)를 포함한다.
도 2에 예시된 바와 같이, 예시적인 물리적 네트워크(202)는 라우터(208) 및 연합 보안 서비스(210)를 포함한다. 또한 예시적인 물리적 네트워크(202)는 네트워크 스위치(212-216) 및 네트워크 컴퓨팅 장치(220-244)를 포함한다. 도 2에서 관찰될 수 있는 바와 같이, 물리적 네트워크(202) 내의 네트워크 장치들은 네트워크 보안 모듈(246-254)을 포함하는 네트워크 보안 모듈에 의해 보호된다. 예를 들어, 라우터(208)는 네트워크 보안 모듈(250)에 의해 보호되며, 테블릿 컴퓨터(228)는 네트워크 보안 모듈(246)에 의해 보호되며, 스위치 C(216)는 네트워크 보안 모듈(252)에 의해 보호된다. 그러나, 본 발명이 네트워크 컴퓨팅 장치(220-244)와 같은 네트워크 컴퓨팅 장치만이 네트워크 보안 모듈에 의해 보호되는 물리적 네트워크 내에서 구현될 수 있다는 점을 인식해야한다.
예시적인 물리적 네트워크(202)가 어떤 네트워크 하드웨어 장치, 특히 라우터(208) 및 스위치(212-216)를 포함하는 것으로 예시되어있지만, 예시적인 물리적 네트워크는 단지 예시를 위한 것일 뿐 본 발명을 제한하는 것으로 구성되어서는 않됨을 인식해야 한다. 당업자들은 물리적 네트워크가 수많은 구성으로 조직된 임의의 개수의 네트워크 관련 하드웨어 장치를 포함할 수 있으며, 모두가 본 발명의 영역에 속하는 것으로 계획됐음을 인식할 것이다.
상술된 바와 같이, 연합 보안 서비스(210)는 보안 서비스(204)로부터의 보안 수단에 대한 분산 지점으로 동작한다. 명백하게, 수많은 네트워크 및 개별 컴퓨팅 장치에 보안 수단을 제공하는 보안 서비스(204)와 같은 일반적/글로벌 보안 서비스는 실제로 그것이 서비스하는 네트워크 및 장치에 관한 특정 정보로 관리 및 구성될 수 없다. 그러나, 연합 보안 서비스(210)와 같은 연합 보안 서비스가 특히 네트워크 내의 네트워크 보안 모듈을 서비스하기 위해 물리적 네트워크(202)와 같은 물리적 네트워크 내에 구축되면, 이는 특정한 네트워크 관심사, 요구 및 환경에 따라 네트워크 및 그것의 네트워크 장치에 연합 보안 서비스를 관리 및 구성하는데 유용하고 이롭다. 물리적 네트워크(202) 상의 네트워크 활동이 탐지된 취약성 때문에 네트워크 보안 모듈에 의해 전반적으로 차단되어 핵심 동작이 정지될 때, 국부적 관리에 대한 하나의 이러한 활용이 발생한다. 보다 상세하게 후술될 바와 같이, 연합 보안 서비스(201)는 소정의 기준에 부합될 때 특정 네트워크 장치에 느슨한 보안 수단 세트가 공급되어, 특정 네트워크 장치가 네트워크 장치를 재개할 수 있도록 관리적으로 구성될 수 있다. 또한, 연합 보안 서비스(210)는 물리적 네트 워크(202) 내에 라우터(208) 또는 몇몇 다른 네트워크 관련 장치와 협동하여, 물리적 네트워크, 특히 네트워크 내의 VLAN에 컴퓨터를 안전한게 접속(또는 재접속)하도록 구성될 수도 있다.
상술된 바와 같이, 물리적 네트워크(202)는 네트워크 및 그것의 장치에 대한 실제 물리적 구성에 상관없이, 임의의 개수의 논리적 서브네트워크, 즉 VLAN으로 조직될 수 있다. 단지 예시를 위해, 도 2는 물리적 네트워크(202) 내에 워크스테이션(220, 226, 232, 234 및 236)을 포함하는 워크 스테이션, 노트북 컴퓨터(222, 224, 230 및 244)를 포함하는 노트북 컴퓨터 및 테블릿 컴퓨터(228, 238, 240 및 242)를 포함하는 테블릿 컴퓨터의 네트워크 컴퓨팅 장치의 세 가지 유형을 포함한다. 가상적으로 물리적 네트워크(202)가 논리적인 구성으로 구성될 수 있기 때문에, 네트워크 관리자가 그렇게 하길 원하면, 컴퓨팅 장치의 각 유형에 대해서 VLAN이 생성될 수 있는데, 여기서 각각의 VLAN은 오직 한가지 유형의 컴퓨팅 장치만을 포함한다. 도 3은 컴퓨팅 장치 유형에 따라 VLAN으로 조직된 도 2의 예시적인 물리적 네트워크(202)를 예시하는 도면이며, 본 발명의 양상을 구현 및 예시하는데 적절하다.
도 3은 세 개의 상술된 VLAN을 예시하는데, 특히 노트북 VLAN(302), 워크스테이션 VLAN(304) 및 테블릿 컴퓨터 VLAN(306)을 예시한다. 당업자들은 VLAN 내의 네트워크 장치들이 전형적으로 그 VLAN 내의 다른 네트워크 장치들과 통신할 수 있다는 점을 인식할 것이다. 당업자들은 또한 개별적인 VLAN 내의 네트워크 장치들 사이에도 통신이 일어날 수 있다는 점도 인식할 것이다. 그러나, 본 설명의 목적 을 위해서, VLAN은 네트워크 장치들이 오직 특정 VLAN 내의 다른 네트워크 장치들과만 통신하도록 구성되어 있는 것으로 한다. 컴퓨팅 장치들 사이의 통신 이외에, 네트워크(202)는, 네트워크 장치 또는 네트워크 보안 모듈이 연합 보안 서비스(210) 또는 보안 서비스(204)와 통신할 수 있도록 구성된다(도 2).
일 실시예에서, 본 발명은 네트워크 활동이 전반적으로 탐지된 취약성에 대한 응답으로 보안 수단을 구현하는 네트워크 보안 모듈에 의해 차단됐을 때, 특정 네트워크 장치가 네트워크 활동을 재개하게 할 수 있도록 동작한다. 예를 들어, 특히 인터넷(206)을 순회하고 있는 치명적인 컴퓨터 익스플로이트가 탐지될 수 있고, 오퍼레이팅 시스템 공급자가 초기에 그 익스플로이트가 물리적 네트워크(202) 내의 컴퓨팅 장치를 포함하여 그것의 오퍼레이팅 시스템에서 작동하는 모든 컴퓨팅 장치에 상당한 위협을 가하고 있다고 판정한다. 그 자체만으로, 보안 서비스(204)를 통해 오퍼레이팅 시스템 공급자는 실제로 네트워크 보안 모듈에게 보호된 네트워크 장치로의 및 그로부터의 모든 네트워크 활동을 차단하도록 지시하는 초기 보안 수단을 포스팅한다. 이러한 초기 보안 수단은 물리적 네트워크(202) 내에 상주하는 연합 보안 서비스(210)를 포함한 임의의 연합 보안 서비스에 분산되어 있다. 그러므로, 네트워크 보안 모듈(246-254)을 포함하는 물리적 네트워크(202) 내의 네트워크 보안 모듈이 연합 보안 서비스(210)를 폴링하고 초기 보안 수단을 획득하면, VLAN 내의 네트워크장치들 사이의 네트워크 활동들을 포함하는 물리적 네트워크(202) 내의 네트워크 활동이 차단된다.
상기 예에 이어서, 물리적 네트워크(202)는 비지니스 네트워크이며, 워크스 테이션 VLAN(304) 내의 워크스테이션(234)은 워크스테이션(236) 상에 위치한 데이터베이스 서버 상에서 실행중인 정보에 의지하는 비지니스-핵심 어플리케이션을 실행시키는 어플리케이션 서버인 것으로 한다. 명백하게, 탐지된 컴퓨터 익스플로이트가 가한 위협 때문에 네트워크 보안 모듈(248 및 254)이 네트워크 활동을 차단하면, 비지니스-핵심 어플리케이션이 정지한다. 명백하게, 자신의 비지니스-핵심 동작들이 현재 정지되어 있는 비지니스는 적어도 자신의 동작을 재개하고 탐지된 컴퓨터 익스플로이트가 가한 위협으로부터 안전해지기를 분명히 원할 것이다.
상기 예에 이어서, 전체 물리적 네트워크(202)가 보안 수단이 구현되기 전에 탐지된 컴퓨터 익스플로이트에 감염되지 않았으면, 전체 네트워크는 라우터(208)를 보호하는 네트워크 보안 모듈(250)에 의해 보호된다. 이는 물리적 네트워크(202) 내의 네트워크 장치들 사이의 네트워크 활동이 탐지된 컴퓨터 익스플로이트에 감염될 염려 없이 재개될 수 있음을 의미한다. 명백하게, 보안 서비스(204)(도 2)와 같이 수많은 네트워크, 컴퓨터 및 장치에 보안 수단을 제공하는 일반적인 보안 서비스는 실제로 구체적인 특정 네트워크 구성을 유지할 수 없었으며 어느 장치가 누구와 함께 네트워크 활동을 재개할 수 있었는지를 결정할 수 있도록 그 구성을 평가할 수 없었다. 그러나, 네트워크가 연합 보안 서비스(210)와 같은 자기 자신의 연합 보안 서비스를 포함하면, 네트워크 장치 및 네트워크 구성에 관한 네트워크 특정 정보가 그 연합 보안 서비스에서 저장 및 관리되어, 이로 인해 네트워크 보안을 유지시키면서도 특정 장치가 네트워크 활동을 재개할 수 있는지가 결정될 수 있다.
본 발명의 양상에 따르면, 관리자는 네트워크 장치를 보호하는 특정 네트워크 보안 모듈에 대한 느슨한 보안 수단 세트를 제공하도록 연합 보안 서비스(210)를 구성할 수 있다. 이 느슨한 보안 수단 세트는 워크스테이션(234 및 236)과 같은 보호된 네트워크 장치 또는 워크스테이션 VLAN(304) 내의 모든 장치들이 다른 사용가능한 네트워크 장치와 함께 네트워크 활동을 재개할 수 있게 한다. 그 후, 네트워크 보안 모듈(248 및 254)과 같은 각각의 네트워크 보안 모듈이 주기적으로 최근/현재 보안 수단에 대한 연합 보안 서비스(210)를 폴링하면, 연합 보안 서비스는 갱신 요청의 소스를 식별하고 보호된 네트워크 장치에 대응하는 보안 수단 세트를 반환할 수 있었다.
상기 문헌에 설명된 바와 같이, 네트워크 보안 모듈이 갱신된 보안 수단을 획득하기 위해 보안 서비스(204, 도 2) 또는 연합 보안 서비스(210)를 폴링할 때, 보안 수단 세트는 임의의 추가적인 정보 교환 없이 반환된다. 그러나, 본 발명의 양상에 따르면, 연합 보안 서비스가 네트워크(202)의 목적을 위해 네트워크(202)의 경계에 위치하면, 연합 보안 서비스는 네트워크 보안 모듈에 보안 수단 세트를 반환하기 전에 추가적인 구성 정보에 대한 네트워크 보안 모듈/보호된 네트워크 장치를 질의하도록 구성될 수 있다. 추가적인 구성 정보에 기초하거나, 추가적인 구성 정보 없이, 연합 보안 서비스(210)는 보안 수단 세트가 네트워크 보안 모듈에 반환되도록 결정한다. 이 추가적인 정보는 특정 소프트웨어 또는 바이러스 방지 업데이트가 보호된 네트워크 장치 상에 설치되었는지, 네트워크 장치가 특정 VLAN 내에 위치하는지, 네트워크 장치에 의해 또는 그것 상에서 실행되는 테스트 어플리케이 션이 네트워크 장지가 컴퓨터 익스플로이트로부터 자유로운지 등을 확증하는지를 포함할 수 있지만, 이에 제한된 것은 아니다. 네트워크 장치에 관한 이 추가적인 정보를 획득하는 것은 도 4a 및 4b에 관련하여 후술된다.
도 4a는 탐지된 취약성으로부터 네트워크 장치를 보호하기 위한 보안 수단을 획득하기 위한, 네트워크 장치를 보호하는 네트워크 보안 모듈과 보안 서비스(204) 또는 연합 보안 서비스(210) 사이의 예시적인 교환을 예시한다. 특히, 이 예시적인 교환은 네트워크 보안 모듈이 상기 문헌에 설명된 바와 같이 보호적 보안 수단을 획득하는 전형적인 방식을 예시한다. 둘 사이의 이 교환은 이벤트에 의해 설명된다. 도 4a 내에서 이벤트(402)가 나타내는 바와 같이, 네트워크 보안 모듈(248)과 같은 네트워크 보안 모듈은 주기적인 업데이트 프로세스의 일부분으로서, 갱신된/현재 보안 수단에 대한 보안 서비스(204) 또는 연합 보안 서비스(210)를 폴링한다. 이에 응답하여, 이벤트(404)가 나타내는 바와 같이, 보안 서비스(204)는 네트워크 보안 모듈에 현재 보안 수단을 반환한다. 갱신된/현재 보안 수단을 획득한 후, 네트워크 보안 모듈은 그들을 구현함으로써 네트워크 장치를 보호한다.
그러나, 불행하게도, 상술된 바와 같이, 어떤 조건하에서, 보안 서비스(204)와 네트워크 보안 모듈 사이의 전형적인 교환은 사실상, 특히 네트워크 통신에 의존하는 핵심 컴퓨터 활동을 정지시킬 수 있다. 그러므로, 도 4a에 설명된 예시적 교환(400)과는 대조적으로, 도 4b는 탐지된 취약성으로부터 네트워크 장치를 보호하기 위한 보안 수단을 획득하기 위해, 네트워크 장치를 보호하는 네트워크 보안 모듈(248)과 연합 보안 서비스(210) 사이의 예시적인 교환(400)을 예시한다. 그것 의 주기적인 갱신 프로세스에서, 이벤트(422)가 나타내는 바와 같이, 네트워크 보안 모듈(248)은 네트워크 장치를 보호하기 위한 갱신된/현재 보안 수단에 대해 연합 보안 서비스(210)를 폴링한다. 이 경우에, 연합 보안 서비스(210)가 이 특정 네트워크 보안 모듈(248)에 느슨한 보안 수단 세트를 공급하도록, 관리자에 의해 구성됨으로써, 보호된 네트워크 장치는 네트워크를 통해 통신할 수 있다. 특히, 이 예시적인 교환에서, 연합 보안 서비스(210)는 네트워크 보안 모듈(248)로부터의 추가적인 정보를 요청하도록 구성된다.
그러므로, 이 요청에 대한 응답으로, 이벤트(424)가 나타내는 바와 같이, 연합 보안 서비스(210)는 네트워크 보안 모듈(248)로부터의 추가적인 정보를 요청한다. 상술한 바와 같이, 이 추가적인 정보는 보호된 장치가 컴퓨터 익스플로이트에 자유로운지, 보호된 장치가 설치된 특정 소프트웨어 업데이트 또는 바이러스 방지 업데이트를 갖는지, 보호된 장치가 특정 VLAN 내에 위치하는지 등을 포함할 수 있지만, 이에 제한된 것은 아니다. 네트워크 보안 모듈(248)은 이미 이 추가적인 정보를 포함하고 있을 수 있거나, 대안적으로 보호된 네트워크 장치로부터 정보를 획득할 필요가 있을 수 있다.
일단 네트워크 보안 모듈(248)이 추가적인 정보를 가지면, 그것은 이벤트(426)가 나타내는 바와 같이 연합 보안 서비스(210)에 제출된다. 추가적인 정보를 수신하고, 추가적인 정보의 내용이 느슨한 보안 수단 세트를 제공하기 위해 관리자에 의해 생성된 기준을 만족한다고 가정된 후, 연합 보안 서비스(210)는 이벤트(428)가 나타내는 바와 같이 네트워크 보안 모듈(248)에 느슨한 보안 수단 세트를 반환한다. 이 느슨한 보안 수단 세트는, 보호된 네트워크 장치가 영향받지 않은 TCP 포트를 개방하는 등과 같은 어떤 통신/네트워크 활동을 재개하게 할 것을 네트워크 보안 모듈에게 지시한다. 물론, 연합 보안 서비스는 추가적인 정보가 느슨한 보안 수단 세트를 제공하기 위해 관리자에 의해 확립된 기준을 만족하지 못한다고 판정할 수 있으며, 이 경우에는, "전형적인" 보안 수단이 네트워크 보안 장치(248)에 반환되고, 보호된 네트워크 장치로의 및 그로부터의 통신이 차단된 상태로 남아있게 된다.
도 5는 네트워크 활동이 전반적으로 탐지된 취약성으로 인해 차단됐을 때, 네트워크 보안 모듈이 보호하고 있는 네트워크 장치가 어떤 네트워크 활동들을 재개하게 하기 위한, 연합 보안 서비스(210) 상에서 실행되는 예시적인 루틴(500)을 예시하는 순서도이다. 블럭(502)에서 시작하여, 연합 보안 서비스(210)는 네트워크 장치에 관련된 네트워크 보안 모듈로부터 업데이트 보안 수단에 대한 요청을 수신한다.
판정 블럭(504)에서, 특정 네트워크 장치에 대한 특정 고려사항이 주어져야 하는지가 판정된다. 이러한 특정 고려사항은 특정한 요구에 따라 연합 보안 서비스(210)를 구성할 때 관리자에 의해 확립된다. 이러한 특정 고려사항은 네트워크 장치를 보호하는 네트워크 보안 모듈이 상술된 느슨한 보안 수단 세트를 포함하여, 네트워크에 대한 일반적인 보안 수단 이외의 다른 보안 수단을 획득할 수 있는지를 판정하기 위한 명령어를 포함할 수 있다. 전형적으로, 특정 네트워크 장치 및 대응하는 네트워크 보안 모듈, 또는 VLAN 내에 상주하는 네트워크 장치 및 대응하는 네트워크 보안 모듈에 대한 특정 고려사항이 확립된다. 그러므로, 네트워크 장치/네트워크 보안 모듈이 특정 고려사항을 수신하는 것으로 식별되지 않으면, 블럭(506)에서, 연합 보안 서비스(210)는 전반적으로 네트워크에 적용가능한 전형적인 보안 수단으로 응답하고, 그 후 종료된다.
네트워크 장치/네트워크 보안 모듈이 특정 고려사항을 수신하는 것으로 식별되면, 블럭(508)에서, 연합 보안 서비스(210)는 추가적인 정보에 대한 요청으로 응답한다. 상술된 바와 같이, 이 추가적인 정보는 특정 소프트웨어 업데이트가 설치되었는지, 현재 바이러스 방지 소프트웨어 개정판이 설치되었는지, 네트워크 장치가 컴퓨터 익스플로이트에 자유롭다는 것이 증명되었는지 등을 포함할 수 있다. 이 예시적인 루틴(500)이 연합 보안 서비스(210)가 항상 추가적인 정보를 요청한다고 예시하고 있지만, 대안적 실시예에서, 임의의 추가적인 정보가 획득되어야 하는지, 또는 단순히 대안적/느슨한 보안 수단 세트가 관리자의 구성에 따라 공급되어야 하는지에 대한 테스트가 우선 행해질 수 있다.
블럭(510)에서, 연합 보안 서비스(210)는 요청한 추가적인 정보를 수신한다. 판정 블럭(512)에서, 또 다른 판정이 행해지는데, 이것은 추가적인 정보가 네트워크 보안 모듈에게 느슨한 보안 수단 세트와 같은 대안적인 보안 수단을 제공하기 위해, 관리자가 확립한 기준을 만족하는지에 관한 것이다. 추가적인 정보가 느슨한 보안 수단 세트를 제공하는 것에 대한 기준을 만족하지 못하면, 블럭(506)에서, 연합 보안 서비스(210)는 일반적인 네트워크에 대한 전형적인 보안 수단을 반환하고, 그 후 종료된다. 그러나, 추가적인 정보가 확립된 기준을 만족하면, 블럭 (514)에서, 연합 보안 서비스(210)는 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 반환한다. 느슨한 보안 수단 세트는, 네트워크 보안 모듈에 의해 구현될 때, 보호된 네트워크 장치가 유사하게 사용가능한 다른 네트워크 장치와 통신하는 것과 같은 몇몇 네트워크 활동을 재개하게 할 것이다. 그 후, 예시적인 루틴(500)은 종료된다.
예시적인 루틴(500)은 네트워크 보안 모듈로부터의 요청을 수신하는 것을 포함하지만, 대안적인 실시예에서, 네트워크 보안 모듈로부터의 요청은 루틴의 외부에서 수신/처리되고, 루틴(500)의 나머지를 개시한다. 따라서, 예시적인 루틴(500)은 예시적일 뿐이며, 본 발명을 제한하는 것으로 구성되어서는 않된다.
상술된 바와 같이, 본 발명의 양상은 안전한 방식, 즉 다른 한편으로 "추가된" 컴퓨터 또는 다른 네트워크 장치에 의해 유입될 수 있는 컴퓨터 익스플로이트로부터 네트워크를 보호하는 방식으로, 네트워크에 컴퓨터를 접속, 또는 재접속하는데 사용될 수도 있다. 도 6은 안전한 방식으로 네트워크에 네트워크 장치를 추가할 때, 네트워크 장치와 그것의 네트워크 보안 모듈[총체적으로 도 6의 목적을 위해 네트워크 장치(602)로 참조됨], 연합 보안 서비스(210) 및 라우터(208) 사이의 예시적인 교환(600)을 예시한다. 이 예시적인 교환(600)은 네트워크에 접속된 네트워크 장치(602)에서 시작된다.
이벤트(604)가 나타내는 바와 같이, 네트워크 장치(602)는 자신의 네트워크 보안 모듈을 통해 라우터(208)로부터의 IP 주소를 요청한다. 당업자들은 이 요청이 IP 주소를 요청하는 것 이외에 네트워크 내의 특정 VLAN에 합류하기 위한 요청 도 전형적으로 포함하고 있음을 인식할 것이다. 이에 대한 응답으로, 네트워크 장치(602)에게 요청된 VLAN 내에서 IP 주소를 제공하기보다, 이벤트(606)가 나타내는 바와 같이 라우터(208)는 고립된 VLAN 내에 네트워크 장치를 배치시킨 IP 주소를 반환한다. 고립된 VLAN은 추가된 네트워크 장치만을 그 멤버로 하며, 그 네트워크 장치는 라우터 및 연합 보안 서비스(210)를 제외한 네트워크 내의 어떤 다른 네트워크 장치와도 통신할 수 없는 것이다.
상기 문헌에 설명된 바와 같이, 네트워크 보안 모듈에 의해 보호되는 컴퓨터 또는 다른 장치가 우선 전력 공급되거나 네트워크에 접속되면, 또는 대응하는 네트워크 보안 모듈이 우선 전력 공급되거나 네트워크에 접속되면, 네트워크 보안 모듈은, 신뢰적 네트워크 로케이션과의 통신을 제외한 모든 네트워크 활동을 차단시키도록 디폴트된다. 이러한 신뢰적 네트워크 로케이션은 연합 보안 서비스(210) 또는 일반적인 보안 서비스(204), 바이러스 방지 업데이트 로케이션, 오퍼레이팅 시스템 업데이트 로케이션, 라우터(208) 등을 포함하지만, 이에 제한된 것은 아니다. 그러므로, 자신의 네트워크 보안 모듈이 허용하는 네트워크 장치(602)의 제1 네트워크 활동은 현재 보안 수단에 대한 보안 서비스를 폴링하는 것이다. 예시적인 교환(600)에서, 네트워크 장치(602)는 이벤트(608)가 나타내는 바와 같이 현재 보안 수단에 대한 연합 보안 서비스(210)를 폴링한다.
본 발명의 양상에 따르면, 연합 보안 서비스(210)는 네트워크 장치(602)가 미리결정된 기준에 따라 다른 VLAN, 특히 자신의 IP 주소 요청 내의 장치가 요청한 VLAN 내에서 신뢰될 수 있는지를 판정하도록 관리자에 의해 구성된다. 도 4b 및 도 5에 관련하여 상술된 바와 같이 차단된 네트워크 장치가 네트워크 활동을 재개하게 할 수 있는 것과 유사하게, 이 미리결정된 기준은 특정 소프트웨어 업데이트가 네트워크 장치 상에 설치되어 있는지, 현재 바이러스 방지 소프트웨어 개정판이 설치되어 있는지, 네트워크 장치가 컴퓨터 익스플로이트에 자유롭다고 증명되어 있는지 등을 포함할 수 있지만, 이에 제한된 것은 아니다. 이외에, 이 미리결정된 기준은 또한 네트워크 장치가 네트워크 보안 모듈을 통해 네트워크에 접속되어 있는지도 포함한다.
네트워크 장치가 미리결정된 기준을 만족하는지를 테스트하기 위해, 연합 보안 서비스(210)는 이벤트(610)가 나타내는 바와 같이, 네트워크 장치(602)로부터의 추가적인 정보를 요청함으로써 응답한다. 네트워크 장치(602)(특히 그것의 네트워크 보안 모듈)는 이벤트(612)가 나타내는 바와 같이 추가적인 정보를 반환한다. 이 추가적인 정보가 미리결정된 기준을 만족한다고 가정하면, 연합 보안 서비스(210)는 이벤트(614)가 나타내는 바와 같이 네트워크 장치(602)에 갱신된 보안 수단을 반환한다. 이러한 갱신된 보안 수단은 상술된 느슨한 보안 수단 세트에 대응할 수 있거나 또는 할 수 없다. 사실, 갱신된 보안 수단은 네트워크 보안 모듈에게 모든 네트워크 활동을 계속 차단하도록 지시할 수 있다. 일 실시예에서, 네트워크 장치(602)에 전달된 보안 수단의 특정 세트는 관리자 구성에 따라 구축된다.
네트워크 장치(602)에 보안 수단을 반환하는 것 이외에, 연합 보안 서비스(210)는, 이벤트(616)가 나타내는 바와 같이, 라우터(208)에게 네트워크 장치에 대한 신뢰성을 통지한다. 미리결정된 기준에 따라 네트워크 장치(602)가 신뢰적이라 고 가정하면, 이벤트(618)가 나타낸 바와 같이, 라우터(208)는 그 후에 고립된 VLAN으로부터 네트워크 장치를 제거하고, 그것을 IP 주소 요청 동안 요청된 VLAN 내에 배치한다.
예시적인 교환(600)은 본 발명의 몇몇 이로운 양상을 강조한다. 예를 들어, 네트워크 장치가 네트워크 보안 모듈에 의해 보호되지 않는 채로 네트워크에 접속되면, 그것은 다른 네트워크 장치와 통신할 수 없는 채로 고립된 VLAN에 배치되고, 네트워크는 장치를 감염시키는 어떤 컴퓨터 익스플로이트로부터도 보호된 채로 남아있을 수 있다. 관리자가 네트워크 내의 다른 VLAN에 네트워크 장치를 추가하는 것을 수동적으로 해결할 수 있기 전까지, 네트워크 장치는 격리된 VLAN 내에 남아 있을 것이다.
본 발명의 또 다른 유용한 양상은, 네트워크 장치(602)가 고립된 VLAN 내에 배치되더라도, 네트워크 장치가 자신의 신뢰성이 확립/결정되면 보다 좋은 레벨의 통신을 자동으로 구축할 수 있는 네트워크로의 개방을 갖는다는 점이다. 특히, 네트워크 장치는 우선, 네트워크 장치가 컴퓨터 익스플로에트에 감염되면 네트워크 내의 다른 네트워크 장치들을 감염시킬 수 없는 위치에 배치된다. 그러나, 네트워크 장치가 네트워크 보안 모듈을 통해 접속되면, 네트워크 장치는 자신의 신뢰성을 구축할 수 있게 하는 연합 보안 서비스(210)와 통신할 수 있는 능력을 갖는다. 네트워크 장치(602)가 자신의 신뢰성을 구축하면, 연합 보안 서비스(210)는 라우터(208) 또는 다른 네트워크 컴포넌트에게 통지하여, 네트워크 장치가 네트워크 내의 다른 VLAN에 참여할 수 있게 한다.
도 7은 안전한 방식으로 네트워크 VLAN에 네트워크 장치(602)를 추가하기 위해, 라우터(208) 또는 다른 네트워크 컴포넌트 상에서 실행되는 예시적인 루틴(700)을 나타내는 순서도이다. 블럭(702)에서 시작하여, 라우터(208)는 네트워크 장치(602)로부터 IP 주소 요청을 수신한다. 블럭(704)에서, 라우터(208)는 네트워크 장치(602)에게 IP 주소를 반환하고, 격리된 VLAN 내에 네트워크 장치를 배치한다. 그 후 몇몇 지점에서, 블럭(706)에서, 라우터(208)는 연합 보안 서비스(210)로부터의 보안 상태 정보를 수신한다. 상술된 바와 같이, 보안 상태 정보는 네트워크 장치(602)의 신뢰성을, 즉 네트워크 장치가 요청된 VLAN에 자신이 허용되기 위한 미리결정된 기준을 만족하는지를 나타낸다.
판정 블럭(708)에서, 라우터(208)는 네트워크 장치(602)가 요청된 VLAN에 입장(admittance)하기 위한 보안 기준을 만족하는지를 판정한다. 네트워크 장치(602)가 보안 기준을 만족하지 못하면, 네트워크 장치는, 다소 시간이 지난 후, 블럭(706)에서 라우터(208)가 연합 보안 서비스(210)로부터 보안 상태 정보를 다시 수신하기 전까지 고립된 VLAN 내에 남아있는다. 판정 블럭(708)에서, 네트워크 장치(602)가 요청된 보호된 VLAN에 참여하기 위한 미리결정된 보안 기준을, 네트워크 장치(602)가 성공적으로 만족한다고 판정되기 전까지, 이 프로세스는 이 방식으로 계속된다. 그 후, 라우터(208)가 요청된 VLAN에 네트워크 장치(206)를 추가하고, 루틴(700)은 종료된다.
도 5에 관련하여 상술된 바와 마찬가지로, 예시적인 루틴(700)은 네트워크 보안 모듈로부터의 IP 주소 요청을 수신하는 것을 포함하는 것으로 설명되지만, 대 안적인 실시예에서, 요청은 루틴의 외부로부터 수신/처리되고, 예시적인 루틴(700)의 나머지를 개시한다. 그러므로, 예시적인 루틴(700)은 예시적일 뿐이며, 본 발명을 제한하기 위한 것으로 구성되어서는 않된다.
도 8은 도 7 특히 블럭(706)에 관련하여 상술된 바와 같이, 보호된 VLAN에 네트워크 장치를 추가하는 것을 돕기 위해 라우터(208)에게 보안 상태 정보를 제공하기 위한 연합 보안 서비스(210) 상에서 실행되는, 예시적인 루틴(800)을 나타내는 순서도이다. 블럭(802)에서 시작하여, 네트워크 장치(602)에 대한 현재 보안 수단에 대한 요청이 수신된다. 판정 블럭(804)에서, 도 5에 관련하여 상술된 바와 같이 임의의 특정 고려사항이 네트워크 장치(602)에게 주어지는지가 판정된다. 네트워크 장치(602)가 특정 고려사항을 수신하는 것으로 식별되지 않으면, 블럭(806)에서, 연합 보안 서비스(210)는 네트워크 장치(602)에게 전형적인, 일반적으로 적용가능한 보안 수단을 반환하고, 그 후 종료된다. 대안적인 양상에 따르면, 단순하게 종료하는 것에 대한 대안으로서, 네트워크 장치(602)가 특정 고려사항을 수신하는 것으로 식별되지 않더라도, 연합 보한 서비스(210)는 블럭(816)으로의 선택선이 나타내는 바와 같이 여전히 라우터(208)에게 네트워크 장치의 보안 상태를 통지할 수 있다.
연합 보안 서비스(210)가 네트워크 장치(602)에게 특정 고려사항을 제공하도록 구성되면, 블럭(808)에서, 연합 보안 서비스는 클라이언트로부터의 추가적인 정보를 요청한다. 추가적인 정보에 대한 이 요청은 일반적으로 도 5의 블럭(508)에 관련하여 상술된 요청과 유사하다. 블럭(810)에서, 연합 보안 서비스(210)는 네트 워크 장치(602)에 관한 요청한 추가적인 정보를 수신한다.
판정 블럭(812)에서, 네트워크 장치(602)가 느슨한 보안 수단 세트를 수신하기 위한 미리결정된 기준을 만족하는지가 판정된다. 미리결정된 기준을 만족하지 않으면, 블럭(806)에서, 연합 보안 서비스(210)는 전형적인, 일반적으로 적용가능한 보안 수단으로 응답한다. 그러나, 네트워크 장치(602)가 미리결정된 기준을 만족하면, 블럭(814)에서, 연합 보안 서비스(210)는 느슨한 보안 수단 세트로 응답한다. 그 후, 블럭(816)에서, 연합 보안 서비스(210)는 라우터(208)에게 네트워크 장치(602)의 보안 상태를 통지하고, 그 후 종료된다.
도 5 및 도 7에 관련하여 상술된 바와 마찬가지로, 예시적인 루틴(800)은 네트워크 보안 모듈로부터 현재 보안 수단에 대한 요청을 수신하는 것을 포함하는 것으로 설명되는 반면, 대안적인 실시예에서, 요청은 루틴의 외부로부터 수신/처리될 수 있고 예시적인 루틴(800)의 나머지를 개시한다. 따라서, 상술된 루틴(800)은 예시적일 뿐이며, 본 발명을 제한하는 것으로 구성되어서는 않된다.
바람직한 실시예를 포함하는 본 발명에 대한 다양한 실시예가 예시되고 설명되지만, 본 발명의 취지 및 영역을 벗어나지 않는 다양한 수정이 행해질 수 있음이 이해될 것이다.
본 발명은 네트워크의 통신이 일반적으로 보안 위협으로 인해 제한되더라도, 가상 네트워크 내의 네트워킹된 장치들이 안전하게 동작하게 할 수 있게 하는 시스템 및 방법을 제공한다.

Claims (24)

  1. 네트워크 활동이 전반적으로 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 차단될 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있는 시스템으로서,
    통신 네트워크;
    제1 네트워크 보안 모듈을 포함하는 복수의 네트워크 보안 모듈- 상기 복수의 네트워크 보안 모듈 각각은 상기 통신 네트워크와 네트워크 장치 사이에 위치하고, 상기 제1 네트워크 보안 모듈은 상기 통신 네트워크와 상기 제1 네트워크 장치 사이에 위치하고, 상기 복수의 네트워크 보안 모듈 각각은 보안 서비스로부터 획득된 보안 수단을 구현함으로써 상기 보호된 네트워크 장치로의 및 그것으로부터의 네트워크 활동을 제어함-;및
    적어도 상기 제1 네트워크 보안 모듈에 보안 수단을 제공하는 보안 서비스- 상기 복수의 네트워크 보안 모듈이 상기 복수의 네트워크 장치로의 및 그로부터의 네트워크 활동을 차단하는 보안 수단을 구현할 때, 상기 보안 서비스가 상기 제1 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 제공하도록, 상기 보안 서비스가 관리자에 의해 구현됨, 여기서 상기 느슨한 보안 수단 세트는 상기 제1 네워크 보안 모듈에 의해 구현될 때, 상기 제1 네트워크 장치가 적어도 몇몇의 네트워크 활동을 재개하게 함-
    를 포함하는 시스템.
  2. 제1항에 있어서, 상기 보안 서비스는, 상기 제1 네트워크 보안 모듈로부터의 보안 수단에 대한 상기 주기적인 요청에 대한 응답으로 상기 제1 네트워크 보안 모듈에게 보안 수단을 제공하는 시스템.
  3. 제2항에 있어서, 상기 네트워크 장치가 미리결정된 기준 세트를 만족하는지를 판정함에 의해, 상기 보안 서비스는 상기 제1 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 제공하는 시스템.
  4. 제3항에 있어서, 상기 보안 서비스는, 관리자가 상기 미리결정된 기준 세트를 생성할 수 있도록, 상기 관리자에 의해 구성되는 시스템.
  5. 제4항에 있어서, 상기 보안 서비스는 상기 제1 네트워크 장치가 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득함으로써 상기 미리결정된 기준 세트를 만족하는지를 판정하는 시스템.
  6. 제5항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 것은 상기 제1 네트워크 보안 모듈에게 소프트웨어 업데이트가 상기 제1 네트워크 장치상에 설치되어 있는지를 질의하는 것을 포함하는 시스템.
  7. 제5항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 것은 상기 제1 네트워크 보안 모듈에게 상기 제1 네트워크 장치가 특정 VLAN의 멤버인지를 질의하는 것을 포함하는 시스템.
  8. 제5항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 것은 상기 제1 네트워크 장치가 컴퓨터 익스플로이트(computer exploit)에 자유로운지에 대한 정보를 획득하는 것을 포함하는 시스템.
  9. 제5항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 것은 상기 제1 네트워크 장치가 멤버인 VLAN를 관리하는 상기 라우터가 네트워크 보안 모듈에 의해 보호되는지를 질의하는 것을 포함하는 시스템.
  10. 통신 네트워크 내의 보안 서비스 상에서 구현되며, 상기 통신 네트워크 상의 네트워크 활동이 전반적으로 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 차단됐을 때, 제1 네트워크 장치가 상기 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있게 하기 위한, 방법으로서,
    상기 통신 네트워크와 상기 제1 네트워크 장치 사이에 위치한 네트워크 보안 모듈로부터 보안 수단에 대한 요청을 수신하는 단계;
    상기 보안 서비스가 상기 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 전달하도록 구성되었는지를 판정하는 단계- 상기 느슨한 보안 수단 세트는, 상기 네트워크 보안 모듈에 의해 구현될 때, 상기 제1 네트워크 장치가 상기 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있을 것임-; 및
    상기 보안 서비스가 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 전달하도록 구성된 것으로 판정되면, 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 반환하는 단계
    를 포함하는 방법.
  11. 제10항에 있어서, 상기 제1 네트워크 장치가 미리결정된 기준을 만족하는 지를 판정하는 단계, 및 상기 네트워크 장치가 상기 미리결정된 기준을 만족하면, 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 반환하는 단계를 더 포함하는 방법.
  12. 제11항에 있어서, 상기 제1 네트워크 장치가 미리결정된 기준을 만족하는 지를 판정하는 단계는, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계 및 상기 추가적인 정보가 상기 미리결정된 기준을 만족하는지를 판정하는 단계를 포함하는 방법.
  13. 제12항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는, 상기 네트워크 보안 모듈에게 소프트웨어 업데이트가 상기 제1 네트워크 장치상에 설치되어있는지를 질의하는 단계를 포함하는 방법.
  14. 제12항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 보안 모듈에게 상기 제1 네트워크 장치가 특정 VLAN의 멤버인지를 질의하는 단계를 포함하는 방법.
  15. 제12항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 장치가 컴퓨터 익스플로이트(computer exploit)에 자유로운지에 대한 정보를 획득하는 단계를 포함하는 방법.
  16. 제12항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 장치가 멤버인 VLAN를 관리하는 상기 라우터가 네트워크 보안 모듈에 의해 보호되는지를 질의하는 단계를 포함하는 방법.
  17. 컴퓨팅 장치 상에서 실행될 때, 통신 네트워크와 네트워크 장치 사이에 위치한 복수의 네트워크 보안 모듈에 보안 수단을 제공하며 상기 통신 네트워크 상의 네트워크 활동이 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 전반적으로 차단될 때, 제1 네트워크 장치가 상기 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있게 하기 위한 방법을 수행하는 컴퓨터 실행가능 명령어를 포함하는 컴퓨터 판독가능 매체로서, 상기 방법은,
    상기 통신 네트워크와 상기 제1 네트워크 장치 사이에 위치한 네트워크 보안 모듈로부터 보안 수단에 대한 요청을 수신하는 단계;
    상기 컴퓨팅 장치가 상기 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 전달하도록 구성되었는지를 판정하는 단계- 상기 느슨한 보안 수단 세트는, 상기 네트워크 보안 모듈에 의해 구현될 때, 상기 제1 네트워크 장치가 상기 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있을 것임-; 및
    상기 컴퓨팅 장치가 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 전달하도록 구성된 것으로 판정되면, 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 반환하는 단계
    를 포함하는 컴퓨터 판독가능 매체.
  18. 제17항에 있어서, 상기 제1 네트워크 장치가 미리결정된 기준을 만족하는지를 판정하는 단계, 및 상기 네트워크 장치가 상기 미리결정된 기준을 만족하면, 상기 네트워크 보안 모듈에게 상기 느슨한 보안 수단 세트를 반환하는 단계를 더 포함하는 컴퓨터 판독가능 매체.
  19. 제18항에 있어서, 상기 제1 네트워크 장치가 미리결정된 기준을 만족하는 지를 판정하는 단계는, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계 및 상기 추가적인 정보가 상기 미리결정된 기준을 만족하는지를 판정하는 단계를 포함하는 컴퓨터 판독가능 매체.
  20. 제19항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는, 상기 네트워크 보안 모듈에게 소프트웨어 업데이트가 상기 제1 네트워크 장치상에 설치되어있는지를 질의하는 단계를 포함하는 컴퓨터 판독가능 매체.
  21. 제19항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 보안 모듈에게 상기 제1 네트워크 장치가 특정 VLAN의 멤버인지를 질의하는 단계를 포함하는 컴퓨터 판독가능 매체.
  22. 제19항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 장치가 컴퓨터 익스플로이트에 자유로운지에 대한 정보를 획득하는 단계를 포함하는 컴퓨터 판독가능 매체.
  23. 제19항에 있어서, 상기 제1 네트워크 장치에 관한 추가적인 정보를 획득하는 단계는 상기 제1 네트워크 장치가 멤버인 VLAN를 관리하는 상기 라우터가 네트워크 보안 모듈에 의해 보호되는지를 질의하는 단계를 포함하는 컴퓨터 판독가능 매체.
  24. 네트워크 활동이 네트워크 보안 모듈에 의해 구현된 보호적 보안 수단에 의해 전반적으로 차단될 때, 제1 네트워크 장치가 통신 네트워크 상에서 안전한 방식으로 네트워크 활동을 재개하게 할 수 있는 컴퓨터 네트워크 시스템으로서,
    통신 네트워크;
    제1 네트워크 보안 모듈을 포함하는 복수의 네트워크 보안 모듈- 상기 복수의 네트워크 보안 모듈 각각은 상기 통신 네트워크와 네트워크 장치 사이에 위치하고, 상기 제1 네트워크 보안 모듈은 상기 통신 네트워크와 상기 제1 네트워크 장치 사이에 위치하고, 상기 복수의 네트워크 보안 모듈 각각은 보안 서비스 수단으로부터 획득된 보안 수단을 구현함으로써 상기 보호된 네트워크 장치로의 및 그것으로부터의 네트워크 활동을 제어함-;및
    적어도 상기 제1 네트워크 보안 모듈에 보안 수단을 제공하는 보안 서비스- 상기 복수의 네트워크 보안 모듈이 상기 복수의 네트워크 장치로의 및 그로부터의 네트워크 활동을 차단하는 보안 수단을 구현할 때, 상기 보안 서비스가 상기 제1 네트워크 보안 모듈에게 느슨한 보안 수단 세트를 제공하도록, 상기 보안 서비스가 관리자에 의해 구현됨, 여기서 상기 느슨한 보안 수단 세트는 상기 제1 네워크 보안 모듈에 의해 구현될 때, 상기 제1 네트워크 장치가 적어도 몇몇의 네트워크 활동을 재개하게 함-
    를 포함하는 컴퓨터 네트워크 시스템.
KR1020050076191A 2004-08-20 2005-08-19 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템 KR101150123B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/923,349 2004-08-20
US10/923,349 US7353390B2 (en) 2004-08-20 2004-08-20 Enabling network devices within a virtual network to communicate while the networks's communications are restricted due to security threats

Publications (2)

Publication Number Publication Date
KR20060053166A true KR20060053166A (ko) 2006-05-19
KR101150123B1 KR101150123B1 (ko) 2012-06-08

Family

ID=35447203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050076191A KR101150123B1 (ko) 2004-08-20 2005-08-19 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템

Country Status (7)

Country Link
US (1) US7353390B2 (ko)
EP (1) EP1628455B1 (ko)
JP (1) JP4684802B2 (ko)
KR (1) KR101150123B1 (ko)
CN (1) CN1783879B (ko)
AT (1) ATE421827T1 (ko)
DE (1) DE602005012466D1 (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9118709B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US8462808B2 (en) * 2004-09-02 2013-06-11 Brother Kogyo Kabushiki Kaisha Information server and communication apparatus
US7793338B1 (en) * 2004-10-21 2010-09-07 Mcafee, Inc. System and method of network endpoint security
US8245294B1 (en) * 2004-11-23 2012-08-14 Avaya, Inc. Network based virus control
JP2006262141A (ja) * 2005-03-17 2006-09-28 Fujitsu Ltd Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
WO2007030812A2 (en) * 2005-09-09 2007-03-15 Hoshiko, Llc Network router mac-filtering
US8528070B2 (en) * 2007-09-05 2013-09-03 Hewlett-Packard Development Company, L.P. System and method for secure service delivery
US8713450B2 (en) * 2008-01-08 2014-04-29 International Business Machines Corporation Detecting patterns of abuse in a virtual environment
US8312511B2 (en) * 2008-03-12 2012-11-13 International Business Machines Corporation Methods, apparatus and articles of manufacture for imposing security measures in a virtual environment based on user profile information
US20100262688A1 (en) * 2009-01-21 2010-10-14 Daniar Hussain Systems, methods, and devices for detecting security vulnerabilities in ip networks
US9344455B2 (en) * 2014-07-30 2016-05-17 Motorola Solutions, Inc. Apparatus and method for sharing a hardware security module interface in a collaborative network
US9526024B2 (en) * 2014-08-07 2016-12-20 At&T Intellectual Property I, L.P. Personal virtual core networks
US9609541B2 (en) 2014-12-31 2017-03-28 Motorola Solutions, Inc. Method and apparatus for device collaboration via a hybrid network
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
US10517326B2 (en) * 2017-01-27 2019-12-31 Rai Strategic Holdings, Inc. Secondary battery for an aerosol delivery device
US10574654B1 (en) * 2017-11-07 2020-02-25 United Services Automobile Asociation (USAA) Segmentation based network security
EP3493503B1 (en) 2017-11-30 2022-08-24 Panasonic Intellectual Property Corporation of America Network protection device and network protection system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3426832B2 (ja) * 1996-01-26 2003-07-14 株式会社東芝 ネットワークアクセス制御方法
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
AU2001265035A1 (en) 2000-05-25 2001-12-03 Thomas R Markham Distributed firewall system and method
US7181618B2 (en) * 2001-01-12 2007-02-20 Hewlett-Packard Development Company, L.P. System and method for recovering a security profile of a computer system
JP4052983B2 (ja) * 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
FI20021802A (fi) 2002-10-09 2004-04-10 Tycho Technologies Oy Hajautetun palomuurin hallinta
US7743158B2 (en) 2002-12-04 2010-06-22 Ntt Docomo, Inc. Access network dynamic firewall
WO2004057834A2 (en) 2002-12-18 2004-07-08 Senforce Technologies, Inc. Methods and apparatus for administration of policy based protection of data accessible by a mobile device
JP2004234378A (ja) * 2003-01-30 2004-08-19 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法

Also Published As

Publication number Publication date
CN1783879B (zh) 2011-07-06
JP4684802B2 (ja) 2011-05-18
KR101150123B1 (ko) 2012-06-08
US7353390B2 (en) 2008-04-01
EP1628455A1 (en) 2006-02-22
ATE421827T1 (de) 2009-02-15
EP1628455B1 (en) 2009-01-21
DE602005012466D1 (de) 2009-03-12
US20060041937A1 (en) 2006-02-23
CN1783879A (zh) 2006-06-07
JP2006074760A (ja) 2006-03-16

Similar Documents

Publication Publication Date Title
KR101150123B1 (ko) 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템
US11050712B2 (en) System and method for implementing content and network security inside a chip
US8806638B1 (en) Systems and methods for protecting networks from infected computing devices
US7617533B1 (en) Self-quarantining network
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
US9467470B2 (en) System and method for local protection against malicious software
US7653941B2 (en) System and method for detecting an infective element in a network environment
US8181250B2 (en) Personalized honeypot for detecting information leaks and security breaches
US20060282893A1 (en) Network information security zone joint defense system
US8261355B2 (en) Topology-aware attack mitigation
US20060026683A1 (en) Intrusion protection system and method
US20070294759A1 (en) Wireless network control and protection system
KR20070070287A (ko) 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
Hadi et al. BoDMitM: Botnet detection and mitigation system for home router base on MUD
US9313211B1 (en) Systems and methods to protect against a vulnerability event
US7536452B1 (en) System and method for implementing traffic management based on network resources
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
WO2005065023A2 (en) Internal network security
Las Augmenting Perimeter Security Networks With Cisco Self-Defending Networks

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160419

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170420

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180417

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 8