KR20070050727A - 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 - Google Patents

패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 Download PDF

Info

Publication number
KR20070050727A
KR20070050727A KR1020050108290A KR20050108290A KR20070050727A KR 20070050727 A KR20070050727 A KR 20070050727A KR 1020050108290 A KR1020050108290 A KR 1020050108290A KR 20050108290 A KR20050108290 A KR 20050108290A KR 20070050727 A KR20070050727 A KR 20070050727A
Authority
KR
South Korea
Prior art keywords
packet
information
blocking
access control
destination
Prior art date
Application number
KR1020050108290A
Other languages
English (en)
Other versions
KR100723864B1 (ko
Inventor
임재덕
김영호
류승호
정보흥
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050108290A priority Critical patent/KR100723864B1/ko
Priority to US11/592,136 priority patent/US7710971B2/en
Publication of KR20070050727A publication Critical patent/KR20070050727A/ko
Application granted granted Critical
Publication of KR100723864B1 publication Critical patent/KR100723864B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법 및 그 장치를 개시한다.
본 발명에 의하면, 패킷을 전송한 출발지 정보 및 패킷의 목적지에 대한 정보를 최소한 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하고, 패킷에 포함된 패킷에 대한 정보를 추출하여 소정의 패킷 접근 제어 조건과 비교하여 패킷을 차단하거나 통과시켜, IPv6 네트워크와 같이 보안 장치를 우회할 수 있는 라우팅 헤더를 포함하여 전달되는 패킷을 적절하게 차단하거나 통과시킬 수 있으므로, 라우팅 헤더를 이용한 보안 취약점을 해결할 수 있으며, 그 결과 보안 취약점이 염려되어 사용이 위축될 수 있는 라우팅 헤더의 사용을 활성화 할 수 있다. 또한 라우팅 헤더의 활용은 사용자가 원하는 경로로 패킷을 전송할 수 있다는 장점이 있으므로 보안 취약점의 고민없이 라우팅 헤더에 대한 많은 활용이 이루어질 수 있을 것이며, 점차 그 사용이 증가될 것으로 보이는 IPv6 방식에 따른 네트워크 전체적인 보안에 있어서도 긍정적인 효과를 제공한다.

Description

패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법 및 그 장치 {Method for blocking network attacks using the information in packet and apparatus thereof}
도 1은 IPv6 네트워크 환경에서 라우팅 헤더를 이용하여 방화벽을 우회하여 시스템을 공격하는 예를 도시한 것이다.
도 2는 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법의 흐름의 예를 도시한 것이다.
도 3은 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치의 구성의 예를 블록으로 도시한 것이다.
도 4a 내지 도 4c는 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법의 흐름의 상세한 일 예를 도시한 것이다.
도 5는 본 발명에 따른 보안 장비를 이용하여 라우팅 헤더를 이용하여 우회하려는 패킷을 차단하는 경우의 예를 도시한 것이다.
본 발명은 네트워크 보안에 관한 것으로서, 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법 및 그 장치에 관한 것이다.
네트워크를 통한 무단 접근을 막기 위해 사용되는 방화벽은 네트워크를 통해 전송되는 패킷 IP 헤더의 출발지, 목적지 주소를 기반으로 패킷의 차단, 허용 여부를 결정하였다. 종래의 IPv4의 환경에서는 이와 같은 방식이 일반적이었다.
그런데 새롭게 대두되는 IPv6 환경의 IPv6 네트워크는 여러 가지 특징을 가지고 있다. 이와 같은 여러 특징 중 라우팅 헤더를 이용한 우회 공격의 취약점이 문제가 되며, 이에 대한 해결이 필수적이라 할 수 있다.
즉, IPv6 네트워크 환경에서는 종래와 같은 방식으로 무단 접근을 방지하는 것에는 문제가 발생될 수 있다. 왜냐하면 IPv6 네트워크 환경에서는 라우팅 헤더를 사용하여 방화벽에서 차단하고 있는 시스템의 접근을 가능하게 할 수 있기 때문이다.
라우팅 헤더는 IPv6 네트워크의 새로운 구조인 확장헤더의 한 종류로 사용자가 경유하고자 하는 임의의 시스템을 라우팅 헤더에 기술하여 IP 패킷이 원하는 시스템을 경유할 수 있도록 하는 기능을 제공한다. 하지만, 이 기능은 접근제어 기능(방화벽)의 차단 기능을 우회하여 접근이 제한된 시스템에게까지 접근할 수 있도록 하는 보안 취약점을 가지고 있다.
라우팅 헤더는 패킷이 전달되고자 하는 중간 노드들을 하나 이상 지정하여 패킷이 원하는 노드를 통해 전달될 수 있도록 하고자 사용되는 IPv6 네트워크만의 특징이다. 이 특징을 이용하면 출발지, 목적지 주소를 이용하여 유해 패킷을 차단하는 일반적인 보안 장비를 우회할 수 있다. 아직 IPv6 네트워크가 활성화 되어 있 지 않고 이에 따라 보안 장비의 보급도 미진하여, 이와 같이 알려진 보안 취약점을 해결하는 방법이 없다는 것이 문제이다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더 때문에 보안 장비의 접근 제어 리스트를 우회하여 보호된 시스템에 접근할 수 있는 보안 취약점을 개선할 수 있는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법 및 그 장치를 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법은, (a) 패킷을 전송한 출발지 정보 및 패킷의 목적지에 대한 정보를 최소한 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하는 단계; 및 (b) 상기 패킷에 포함된 패킷에 대한 정보를 추출하여 소정의 패킷 접근 제어 조건과 비교하여 상기 패킷을 차단하거나 통과시키는 단계;를 포함하는 것을 특징으로 한다.
이때에 상기 (a) 단계의 패킷에 대한 정보에는 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더가 포함되며, 상기 (b) 단계의 패킷 접근 제어 조건에는 상기 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보를 최소한 포함하여 결정된 조건이 포함되어 있는 것이 바람직하다.
그리고 상기 패킷은 IPv6 네트워크에서 전달되는 패킷이며, 상기 패킷에 대한 정보는 패킷의 헤더에 포함되는 것이 바람직하다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치는, 패킷을 전송한 출발지 정보, 패킷의 목적지에 대한 정보 및 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더를 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하는 패킷 수신부; 상기 수신한 패킷으로부터 상기 패킷에 대한 정보를 추출하는 패킷정보추출부; 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보에 따라 패킷을 차단 혹은 통과시키는 소정의 조건을 포함하여 저장하는 접근제어리스트; 및 상기 추출된 패킷에 대한 정보에 포함된 상기 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더를 상기 접근제어리스트의 조건과 비교하여 상기 패킷을 차단 혹은 통과시키는 패킷 처리부;를 포함하는 것을 특징으로 한다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
도 1은 IPv6 네트워크 환경에서 라우팅 헤더를 이용하여 방화벽을 우회하여 시스템을 공격하는 예를 도시한 것이다.
보통의 경우 IPv6 네트워크를 포함하여 일반적인 네트워크는 도 1과 같이 구성된다.
참조번호 120 및 130의 호스트들을 포함하는 도 1의 네트워크는 외부에서의 침입을 막기 위해 라우터나 파이어 월 같은 보안 시스템(110)으로 내부 네트워크를 보호하고 있다. 이런 경우 참조번호 100과 외부 시스템은 인터넷 망을 통해 참조번호 120 이나 130의 웹서버에 접근할 수 있다.
이때에 참조번호 120 및 130의 호스트들을 포함하는 도 1의 네트워크는 외부에서 접속 가능한 시스템 예를 들어 웹서비스를 위한 웹서버 같은 호스트 시스템(120)과 그 네트워크의 내부에서만 접속 가능한 호스트 시스템(130)들로 구성되어 있다. 또한 이 네트워크의 보안 시스템(110)은 참조번호 112의 접근제어 리스트에 포함된 접근 제어 기준에 따라 참조번호 130과 같은 내부 시스템들을 방어한다.
접근제어 리스트(112)의 내용은 웹서버 같은 외부에서 접속 가능한 시스템인 참조번호 120의 호스트 시스템은 [1]의 조건에 따라 외부에서의 접근을 허용하도록 설정되어 있고(allow src any dst B), 그 외에 참조번호 130의 호스트 시스템들은 [2]의 조건에 따라 외부에서 접근하지 못하도록 막혀 있다(deny src any dst C).
보통 접근제어 리스트의 구성은 출발지 주소, 목적지 주소 외에 프로토콜, 포트 등을 포함하나 이하에서는 설명의 편의를 위해서 주소만을 그 예로 든다.
패킷 2(104)는 보안 시스템(110)의 접근제어 리스트의 접근 제어기준에 의해 호스트 C(130)로의 접근이 차단된다. 하지만, 패킷 1(102)의 경우처럼 최종 목적지는 호스트 C(130)이지만, 중간 경유지가 호스트 B(120)로 구성된 패킷은 종래의 접근제어 리스트로는 막을 수가 없다.
패킷 1(102)은 일단 경유지인 목적지 주소로 설정된 호스트 B(120)로 접근하며, 보안 시스템(110)은 호스트 B(120)에 대해서는 외부에서의 접근을 허용하므로 패킷 1(102)을 통과시킨다. 하지만, 호스트 B(120)는 라우팅 헤더(routing header, RH)의 존재를 알아 패킷 1(102)의 최종 목적지가 자신이 아님을 알고, 라우팅 헤더에 표시되어 있는 호스트 C(130)로 패킷 1(120)을 전달한다. 그 결과 외부에서의 접근이 금지된 호스트 C(130)에 외부로부터의 패킷이 전달된다. 위의 설명과 같이 외부에서 접근이 가능한 시스템을 통해 외부에서 접근이 금지된 다른 시스템으로의 접근이 가능하게 되는 의도하지 않은 상태가 발생한다.
이와 같은 기능을 제공하는 라우팅 헤더는 네트워크 프로토콜 또는 서비스를 구현할 때 필요한 절차와 형식 등 인터넷에 관한 정보를 알리기 위한 주요한 수단으로 사용되는 RFC(Request for Comments) 표준 문서에 그 기능이 정의되어, IPv6 네트워크 환경에서는 사용될 가능성이 많기 때문에 이에 따른 보안 취약점을 해결해야 한다.
도 2는 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법의 흐름의 예를 도시한 것이다.
패킷을 전송한 출발지 정보 및 패킷의 목적지에 대한 정보를 최소한 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하고(200 단계), 수신한 패킷으로부터 패킷에 대한 정보를 추출하여(210 단계), 패킷 출발지 정보, 목적지 정보 및 라우팅 헤더에 따른 패킷 접근 제어 조건과 비교하여(220 단계), 그 결과에 따라 상기 패킷을 차단하거나 통과시킨다(230 단계).
도 3은 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치의 구성의 예를 블록으로 도시한 것이다. 이 장치는 도 2의 과정을 실 행한다.
이 장치는 패킷을 전송한 출발지 정보, 패킷의 목적지에 대한 정보 및 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더를 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하는 패킷 수신부(300), 상기 수신한 패킷으로부터 상기 패킷에 대한 정보를 추출하는 패킷정보추출부(310), 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보에 따라 패킷을 차단 혹은 통과시키는 소정의 조건을 포함하여 저장하는 접근제어리스트(320) 및 상기 추출된 패킷에 대한 정보에 포함된 상기 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더를 접근제어리스트(320)의 조건과 비교하여 상기 패킷을 차단 혹은 통과시키는 패킷 처리부(340)를 포함한다.
이때에 패킷 수신부(300)가 수신하는 패킷은 IPv6 네트워크에서 전달되는 패킷이며, 패킷정보추출부(310)가 패킷에 대한 정보를 추출하는 것은 상기 전달된 패킷의 헤더에 포함되는 것을 추출하는 것이다.
또한 패킷 처리부(340)는 패킷정보추출부(310)가 추출한 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 접근제어리스트(320)에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정한다.
패킷 처리부(340)는 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 접근제어리스트(320)의 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단, 통과 기준과 비교하여 패킷의 차단 혹은 통과를 1차적으로 결정한 후, 그 패킷에 관한 정보에 라우팅 헤더가 포함되어 있는 경우에는 패킷에 관한 정보에 포함된 패킷의 출발지 및 라우팅 헤더 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정한다.
그리고 패킷에 관한 정보에 복수의 라우팅 헤더가 포함된 경우에는 한 라우팅 헤더를 이용하여 상기 패킷 접근 제어 조건과 비교한 후에 같은 방법으로 나머지 라우팅 헤더들을 차례로 이용하여 상기 패킷 접근 제어 조건과 비교하여 패킷의 차단 혹은 통과를 결정한다.
도 4a 내지 도 4c는 본 발명에 따라 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법의 흐름의 상세한 일 예를 도시한 것이다. 도 4a 내지 도 4c의 도면을 이용하여 상기와 같은 본 발명의 상세한 동작을 설명한다.
종래의 경우 보안을 위해 패킷에 대한 검사를 하여 차단 여부를 결정하는 접근제어 기능을 실행할 때에 라우팅 헤더에 대처하는 처리를 하지 못해서 문제점이 발생한 것이다. 이를 해결하기 위해 본 발명은 접근제어 기능을 실행할 때에 라우팅 헤더에 대한 처리를 하여 보안에서의 취약점을 해결한다.
패킷이 유입되면 패킷수신부(300)가 이를 입력으로 받아 수신한다(400 단계). 이때의 패킷은 패킷을 전송한 출발지 정보, 패킷의 목적지에 대한 정보 및 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더를 포함하며, 이 패킷이 전달되는 네트워크는 IPv6 네트워크이다.
패킷 정보 추출부(310)는 패킷 수신부(300)를 통해 전달받은 패킷의 헤더에서 패킷에 대한 정보를 추출하고, 패킷 처리부(340)는 이 패킷에 대한 정보를 접근제어리스트(320)에 저장된 접근제어의 기준과 비교한다. 접근제어리스트(320)에는 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보에 따라 패킷을 차단 혹은 통과시키는 소정의 조건들이 포함되어 있다.
패킷 처리부(340)는 패킷의 전달제어 리스트에 규정된 패킷의 출발지 주소와 목적지 주소 정보를 상기에서 추출한 패킷에 대한 정보에 포함된 패킷의 출발지 주소와 목적지 주소 정보와 비교하여 금지된 혹은 통과시키는 기준과 일치하는 가를 확인한다(402 단계).
접근제어 리스트의 기준과 일치하는 패킷일 경우 도 4b의 흐름에 따라 처리되며, 일치하는 패킷이 아닐 경우에는 도 4c의 흐름에 따라 처리된다.
종래의 IPv4 네트워크의 경우 라우팅 헤더가 없었으므로 유입된 패킷이 접근제어 리스트의 제어조건에 해당되는 패킷일 경우 차단, 허용 혹은 정해진 처리를 하면 되었고, 해당되지 않은 패킷의 경우 기본적으로 정해진 소정의 규칙을 따르면 되었다. 하지만, IPv6 네트워크에서는 라우팅 헤더라는 특정 헤더가 존재하고 이 헤더의 사용에 따라 보안 취약점이 발생할 수 있으므로 이를 해결해 주어야하며, 본 발명은 이를 해결하기 위한 것이다.
도 4b는 유입된 패킷에 대한 정보가 접근제어 리스트의 조건에 해당하는 경우로 패킷 처리부(340)에서 다음과 같이 처리된다.
우선 해당 패킷에 설정된 조건이 차단인지 허용인지 확인한다(404 단계). 차단일 경우 패킷을 차단한다(406 단계). 허용일 경우 패킷을 바로 허용하는 것이 아니라, 라우팅 헤더가 존재하는지 확인하여 이를 검사한다(408 단계).
라우팅 헤더를 포함하지 않을 경우 더 이상 검사할 항목이 없으므로 패킷을 허용하고(422 단계), 포함하고 있을 경우 라우팅 헤더에 대해 다음과 같이 검사한다.
라우팅 헤더 내의 주소 역시 패킷의 목적지 주소로 활용되므로 출발지 주소와 라우팅 헤더 내의 주소를 목적지 주소로 하여 이들 쌍으로 접근제어 리스트의 조건과 일치하는가를 검사한다(410 단계). 일치하는 조건이 리스트에 있다면 해당 기준에 따라 차단 혹은 허용인가를 판단하여(412 단계), 차단일 경우 그 패킷을 차단하며(424 단계), 허용일 경우 검사한 다음에 또 다른 라우팅 헤더가 있는지 검사한다(414 단계).
라우팅 헤더가 없을 경우 더 이상 검사할 항목이 없으므로 패킷을 허용한다(422 단계). 그러나 다른 라우팅 헤더가 더 있을 경우 이 라우팅 헤더를 목적지 주소로 하여 출발지 주소와 목적지 주소 쌍을 구성하여(416 단계), 다시 접근제어 리스트의 기준과 비교하는 검사를 진행한다(410 단계). 이 후 과정은 위와 같이 반복한다.
즉, 패킷 처리부(340)는 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 접근제어리스트(320)의 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단, 통과 기준과 비교하여 패킷의 차단 혹은 통과를 1차적으로 결정한 후, 그 패킷에 관한 정보에 라우팅 헤더가 포함되어 있는 경우에는 패킷에 관한 정보에 포함된 패킷의 출발지 및 라우팅 헤더 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 2차적으로 다시 패킷의 차단 혹은 통과를 결정하는 것이다.
만일 패킷에 관한 정보에 2개 이상의 복수의 라우팅 헤더가 포함된 경우에는 한 라우팅 헤더를 이용하여 상기 패킷 접근 제어 조건과 비교한 후에 같은 방법으로 나머지 라우팅 헤더들에 포함된 주소를 목적지 주소로 치환하여 패킷 접근 제어 조건과 비교하여 패킷의 차단 혹은 통과를 결정한다. 그리고 그 다음의 라우팅 헤더가 있으면 이를 계속해서 반복하여 모든 라우팅 헤더에 대해 검사한다.
410 단계에서 리스트에 일치하는 조건이 없다면 상기와 마찬가지로 다음 라우팅 헤더가 있는지 검사한다(418 단계). 라우팅 헤더가 더 없다면 검사할 것이 없으므로 패킷을 허용하고(426 단계), 라우팅 헤더가 더 있다면 전과 동일하게 이 라우팅 헤더를 목적지 주소로 하여 출발지 주소와 목적지 주소 쌍을 구성하여(420 단계) 410 단계에서 접근제어 리스트의 기준과 비교하는 검사를 반복한다.
도 4c는 유입된 패킷이 접근제어 리스트에 해당하지 않는 경우로 다음 같이 처리된다
도 4c는 유입된 패킷에 대한 정보가 접근제어 리스트의 조건에 해당하지 않는 경우로 패킷 처리부(340)에서 다음과 같이 처리된다.
패킷에 대한 정보가 접근제어 리스트의 조건에 기재되어 있지 않은 경우 그 패킷에 기본적인 소정의 규칙을 적용하기 전에 그 패킷의 라우팅 헤더 포함 여부를 판단하여(430 단계), 이를 통해 접근제어 리스트의 조건과의 일치 여부를 확인한다.
패킷이 라우팅 헤더를 포함하지 않을 경우 패킷에 대한 기본 규칙을 적용하여 패킷의 차단 여부를 판단한다(434 단계). 기본 규칙이 차단일 경우 패킷을 차단 하고(434 단계), 허용일 경우에는 패킷을 허용한다(448 단계). 도면에서는 다시 라우팅 헤더를 검사하는 것처럼 표시되어 있지만 430 단계에서 이미 라우팅 헤더가 포함되어 있지 않는 경우로 분기한 것이므로 436 단계에서 별도의 라우팅 헤더가 있는가를 검사할 필요없이 패킷이 허용되는 것이다(혹은 검사하더라도 추가적인 라우팅 헤더는 당연히 없으므로 패킷을 허용된다).
430 단계에서 그 패킷이 라우팅 헤더를 포함하고 있을 경우 그 라우팅 헤더에 기재된 주소를 목적지 주소로 하여 출발지 주소와 쌍을 이루어 접근제어 리스트의 기준과의 일치 여부를 검사한다(432 단계). 일치하지 않을 경우 기본 규칙을 적용하여(434 단계), 기본 규칙이 차단이라면 그 패킷을 차단하고(446 단계), 기본 규칙이 허용일 경우 이미 검사한 라우팅 헤더 외에 다음 라우팅 헤더가 있는지 검사한다(436 단계). 더 이상의 라우팅 헤더가 없을 경우 그 패킷을 허용하여 통과시키고(448 단계), 라우팅 헤더가 더 있을 경우 그 라우팅 헤더를 목적지 주소로 하여 출발지 주소와 쌍을 이루어 구성하여(444 단계), 432 단계에서 접근제어 리스트를 검사하는 과정을 반복한다.
432 단계에서 패킷에 대한 정보가 접근 제어 리스트의 기준과 일치하는 경우 그에 따른 해당 규칙을 적용하여 차단 여부를 결정한다(438 단계). 차단 규칙이 규정된 경우 그 패킷을 차단하고(440 단계), 허용일 경우 그 라우팅 헤더 외에 다른 혹은 다음의 라우팅 헤더가 있는지 검사하여(442 단계), 추가적인 라우팅 헤더가 없을 경우 미리 정해진 기본 규칙을 적용하여 차단 여부를 결정하고(434 단계), 추가적인 라우팅 헤더가 있을 경우 그 라우팅 헤더를 목적지 주소로 하여 출발지 주 소와 쌍을 이루어 구성하여(444 단계) 다시 432 단계로 진입하여 그 다음의 라우팅 헤더에 대한 검사를 반복한다.
상기와 같은 동작을 통해 본 발명은 기본적인 IP 헤더 뿐만 아니라 확장 헤더에 포함된 라우팅 헤더까지 검사하여 라우팅 헤더를 사용해 우회하고자 하는 패킷들까지도 차단할 수 있도록 한다.
도 5는 본 발명에 따른 보안 장비를 이용하여 라우팅 헤더를 이용하여 우회하려는 패킷을 차단하는 경우의 예를 도시한 것이다.
도 5의 시스템의 구성 환경은 도 1과 유사하며, 다만 참조번호 510의 보안 시스템은 본 발명이 적용된 구성을 포함하는 차이가 있다.
패킷 1(502)은 정상적으로 외부에서 접근이 가능한 호스트 B 시스템(520)에 접근하려는 패킷이다. 패킷 1(502)은 라우팅 헤더를 포함하지 않았으므로 최종 목적지도 호스트 B 시스템(520)이 된다. 패킷 1(502)은 접근 제어리스트(512)의 조건 [1]에 따라(allow src any dst B) 호스트 B 시스템(520)에 정상적으로 접근이 가능하다.
종래의 일반적인 기능의 패킷 차단에서는 라우팅 헤더의 처리 기능이 없기 때문에 패킷 2(504)는 패킷 1(502)이 통과되는 것과 같이 일단 호스트 B 시스템 (520)에 접근한 후, 라우팅 헤더의 정보가 참조되어 외부에서 접근이 금지된 호스트 C 시스템(530)으로 접근된다.
그러나 본 발명이 적용된 패킷 차단 기능을 사용하는 보안 시스템(510)에서는 라우팅 헤더의 처리까지 가능하므로 패킷 2(504)에 해당하는 패킷은 차단된다. 패킷 2(504)의 경우 일단 출발지와 목적지 주소를 통해 접근 제어 리스트의 [1]의 규칙으로 허용이 된다고 1차적으로 판단되지만, 라우팅 헤더를 사용하고 있다는 것이 확인되어 라우팅 헤더를 통한 검사를 다시 받는다. 이 때, 출발지는 A, 목적지는 라우팅헤더의 주소인 C가 되어 접근 제어리스트(512)의 [2]의 규칙이 적용된다. 이 경우 [2]의 규칙은 차단이므로 패킷 2(504)는 차단된다.
도 5와 같은 구성에서 네트워크를 통한 내부 시스템으로의 외부에서의 접근을 막고자 하는 경우 보안 시스템(510)의 위치에 본 발명에 따른 방법 혹은 장치가 적용된 구성을 적용하면, 상기에 설명된 것과 같이 네트워크, 특히 IPv6 네트워크의 보안 취약점으로 밝혀진 라우팅 헤더를 통한 우회 접근을 막을 수 있다는 것을 알 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다. 예를 들면, 상기의 설명에서는 통신망의 예로 인터넷을 주로 들었으나, 이는 PSTN과 같은 공중 전화 통신망과 같은 것을 이용해도 가능하며, 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발 명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
본 발명에 의하면, 패킷을 전송한 출발지 정보 및 패킷의 목적지에 대한 정보를 최소한 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하고, 패킷에 포함된 패킷에 대한 정보를 추출하여 소정의 패킷 접근 제어 조건과 비교하여 패킷을 차단하거나 통과시켜, IPv6 네트워크와 같이 보안 장치를 우회할 수 있는 라우팅 헤더를 포함하여 전달되는 패킷을 적절하게 차단하거나 통과시킬 수 있으므로, 라우팅 헤더를 이용한 보안 취약점을 해결할 수 있으며, 그 결과 보안 취약점이 염려되어 사용이 위축될 수 있는 라우팅 헤더의 사용을 활성화 할 수 있다. 또한 라우팅 헤더의 활용은 사용자가 원하는 경로로 패킷을 전송할 수 있다는 장점이 있으므로 보안 취약점의 고민없이 라우팅 헤더에 대한 많은 활용이 이루어질 수 있을 것이며, 점차 그 사용이 증가될 것으로 보이는 IPv6 방식에 따른 네트워크 전체적인 보안에 있어서도 긍정적인 효과를 제공한다.

Claims (10)

  1. (a) 패킷을 전송한 출발지 정보 및 패킷의 목적지에 대한 정보를 최소한 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하는 단계; 및
    (b) 상기 패킷에 포함된 패킷에 대한 정보를 추출하여 소정의 패킷 접근 제어 조건과 비교하여 상기 패킷을 차단하거나 통과시키는 단계;를 포함하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  2. 제1항에 있어서,
    상기 (a) 단계의 패킷에 대한 정보에는 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더가 포함되며,
    상기 (b) 단계의 패킷 접근 제어 조건에는 상기 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보를 최소한 포함하여 결정된 조건이 포함되어 있는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 패킷은 IPv6 네트워크에서 전달되는 패킷이며,
    상기 패킷에 대한 정보는 패킷의 헤더에 포함되는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  4. 제2항에 있어서,
    상기 (b) 단계에서, 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  5. 제2항 또는 제4항에 있어서,
    상기 (b) 단계에서, 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단, 통과 기준과 비교하여 패킷의 차단 혹은 통과를 1차적으로 결정한 후, 그 패킷에 관한 정보에 라우팅 헤더가 포함되어 있는 경우에는 패킷에 관한 정보에 포함된 패킷의 출발지 및 라우팅 헤더 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  6. 제5항에 있어서,
    상기 패킷에 관한 정보에 복수의 라우팅 헤더가 포함된 경우에는 한 라우팅 헤더를 이용하여 상기 패킷 접근 제어 조건과 비교한 후에 같은 방법으로 나머지 라우팅 헤더들을 차례로 이용하여 상기 패킷 접근 제어 조건과 비교하여 패킷의 차 단 혹은 통과를 결정하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 방법.
  7. 패킷을 전송한 출발지 정보, 패킷의 목적지에 대한 정보 및 패킷이 전달되는 중간 노드들을 지정하여 패킷이 상기 중간 노드들을 통해 전달되게 하는 라우팅 헤더를 포함하는 패킷에 대한 정보를 포함하는 패킷을 수신하는 패킷 수신부;
    상기 수신한 패킷으로부터 상기 패킷에 대한 정보를 추출하는 패킷정보추출부;
    패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더에 대한 정보에 따라 패킷을 차단 혹은 통과시키는 소정의 조건을 포함하여 저장하는 접근제어리스트; 및
    상기 추출된 패킷에 대한 정보에 포함된 상기 패킷의 출발지 정보, 패킷의 목적지 정보 및 라우팅 헤더를 상기 접근제어리스트의 조건과 비교하여 상기 패킷을 차단 혹은 통과시키는 패킷 처리부;를 포함하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치.
  8. 제7항에 있어서,
    상기 패킷 수신부가 수신하는 패킷은 IPv6 네트워크에서 전달되는 패킷이며,
    상기 패킷정보추출부가 패킷에 대한 정보를 추출하는 것은 상기 전달된 패킷의 헤더에 포함되는 것을 추출하는 것을 특징으로 하는 패킷에 포함된 정보를 이용 하여 네트워크 공격을 차단하는 장치.
  9. 제7항 또는 제8항에 있어서,
    상기 패킷 처리부는 상기 패킷정보추출부가 추출한 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 상기 접근제어리스트에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치.
  10. 제9항에 있어서,
    상기 패킷 처리부는 패킷에 관한 정보에 포함된 패킷의 출발지 및 목적지 정보를 상기 접근제어리스트의 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단, 통과 기준과 비교하여 패킷의 차단 혹은 통과를 1차적으로 결정한 후, 그 패킷에 관한 정보에 라우팅 헤더가 포함되어 있는 경우에는 패킷에 관한 정보에 포함된 패킷의 출발지 및 라우팅 헤더 정보를 상기 패킷 접근 제어 조건에 포함된 출발지 및 목적지별 차단/통과 기준과 비교하여 패킷의 차단 혹은 통과를 결정하는 것을 특징으로 하는 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는 장치.
KR1020050108290A 2005-11-12 2005-11-12 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 KR100723864B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050108290A KR100723864B1 (ko) 2005-11-12 2005-11-12 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
US11/592,136 US7710971B2 (en) 2005-11-12 2006-11-03 Method of blocking network attacks using packet information and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050108290A KR100723864B1 (ko) 2005-11-12 2005-11-12 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20070050727A true KR20070050727A (ko) 2007-05-16
KR100723864B1 KR100723864B1 (ko) 2007-05-31

Family

ID=38040741

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050108290A KR100723864B1 (ko) 2005-11-12 2005-11-12 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치

Country Status (2)

Country Link
US (1) US7710971B2 (ko)
KR (1) KR100723864B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100940183B1 (ko) * 2007-12-11 2010-02-04 한국전자통신연구원 저전력 센서망에서 다중 라우팅 기법에 적용 가능한 공용 패킷 블록 구성 장치 및 그 제공 방법
KR101020470B1 (ko) * 2010-09-29 2011-03-08 주식회사 엔피코어 네트워크 침입차단 방법 및 장치
KR101315686B1 (ko) * 2013-07-19 2013-10-08 이니텍(주) 사후 감사 제어 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100555991C (zh) * 2006-12-29 2009-10-28 华为技术有限公司 报文访问控制的方法、转发引擎装置和通信设备
WO2009018479A1 (en) * 2007-07-31 2009-02-05 Viasat, Inc. Trusted labeler
EP2382575A4 (en) * 2009-01-29 2013-05-22 Hewlett Packard Development Co SECURITY MANAGEMENT IN A NETWORK
US20120047573A1 (en) * 2010-08-17 2012-02-23 Richard Jeremy Duncan Methods and apparatus for detecting invalid ipv6 packets
US9106508B2 (en) * 2012-04-30 2015-08-11 International Business Machines Corporation Providing services to virtual overlay network traffic
US11700233B2 (en) * 2019-06-04 2023-07-11 Arbor Networks, Inc. Network monitoring with differentiated treatment of authenticated network traffic

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
US7246173B2 (en) * 2001-04-16 2007-07-17 Nokia Corporation Method and apparatus for classifying IP data
US7043247B2 (en) * 2002-07-01 2006-05-09 Interdigital Technology Corporation Routing header based routing in internet protocol (IP)-cellular networks
CN100474839C (zh) * 2004-10-12 2009-04-01 上海贝尔阿尔卡特股份有限公司 IPv6接入网中的网络服务选择和认证,及无状态自动配置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100940183B1 (ko) * 2007-12-11 2010-02-04 한국전자통신연구원 저전력 센서망에서 다중 라우팅 기법에 적용 가능한 공용 패킷 블록 구성 장치 및 그 제공 방법
US8340097B2 (en) 2007-12-11 2012-12-25 Electronics And Telecommunications Research Institute Generic packet block applicable to multiple routing schemes in low-power sensor networks and method of providing the same
KR101020470B1 (ko) * 2010-09-29 2011-03-08 주식회사 엔피코어 네트워크 침입차단 방법 및 장치
KR101315686B1 (ko) * 2013-07-19 2013-10-08 이니텍(주) 사후 감사 제어 방법

Also Published As

Publication number Publication date
US20070110069A1 (en) 2007-05-17
US7710971B2 (en) 2010-05-04
KR100723864B1 (ko) 2007-05-31

Similar Documents

Publication Publication Date Title
KR100723864B1 (ko) 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
US8370919B2 (en) Host firewall integration with edge traversal technology
US9954873B2 (en) Mobile device-based intrusion prevention system
US7474655B2 (en) Restricting communication service
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US8191119B2 (en) Method for protecting against denial of service attacks
US20130067561A1 (en) Intelligent integrated network security device
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
WO2018116123A1 (en) Protecting against unauthorized access to iot devices
Mukkamala et al. A survey on the different firewall technologies
Krit et al. Overview of firewalls: Types and policies: Managing windows embedded firewall programmatically
US7401353B2 (en) Detecting and blocking malicious connections
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
US11552973B2 (en) Network malicious behavior detection method and networking system using same
US11159533B2 (en) Relay apparatus
JP5625394B2 (ja) ネットワークセキュリティシステムおよび方法
KR101976794B1 (ko) 네트워크 보안 방법 및 그 장치
KR101059698B1 (ko) 에이피아이 후킹 모듈을 포함하는 휴대용 저장장치 및 이를 이용한 개인 방화벽 운용 방법
WO2016086955A1 (en) Methods and computing devices to regulate packets in a software defined network
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
Saxena et al. P4Filter: A two level defensive mechanism against attacks in SDN using P4
US11824831B2 (en) Hole punching abuse
EP4094413B1 (en) A system and method for udp ddos protection
KR101692619B1 (ko) 네트워크에서의 침입 차단 장치 및 방법
Krit et al. Novel Application to Managing Windows Embedded Firewall Programmatically in Network Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130424

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140421

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160427

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee