KR20070093257A - 네트워크 자원 관리 시스템 및 그 관리 방법 - Google Patents

네트워크 자원 관리 시스템 및 그 관리 방법 Download PDF

Info

Publication number
KR20070093257A
KR20070093257A KR1020060023191A KR20060023191A KR20070093257A KR 20070093257 A KR20070093257 A KR 20070093257A KR 1020060023191 A KR1020060023191 A KR 1020060023191A KR 20060023191 A KR20060023191 A KR 20060023191A KR 20070093257 A KR20070093257 A KR 20070093257A
Authority
KR
South Korea
Prior art keywords
agent
arp
host
information
network
Prior art date
Application number
KR1020060023191A
Other languages
English (en)
Other versions
KR101099083B1 (ko
Inventor
홍윤환
Original Assignee
(주)닥터소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)닥터소프트 filed Critical (주)닥터소프트
Priority to KR1020060023191A priority Critical patent/KR101099083B1/ko
Publication of KR20070093257A publication Critical patent/KR20070093257A/ko
Application granted granted Critical
Publication of KR101099083B1 publication Critical patent/KR101099083B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 자원을 효율적으로 관리할 수 있는 네트워크 자원 관리 시스템 및 그 관리 방법을 개시한다.
본 발명의 네트워크 자원 관리 시스템은 네트워크 자원에 대한 허용 목록을 저장하는 관리 서버; 및 에이전트 그룹별로 구비되며, 상기 관리 서버로부터 상기 허용 목록을 제공받아 이를 자신이 속한 에이전트 그룹에서 수집된 네트워크 정보와 비교하여 차단 대상 호스트들을 검출하고 검출된 상기 차단 대상 호스트의 통신을 통제하는 적어도 하나의 PM 에이전트를 구비하여, 현재의 네트워크 설정을 변경하지 않으면서도 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지한다.

Description

네트워크 자원 관리 시스템 및 그 관리 방법{Network resource management system and method}
도 1은 본 발명에 따른 네트워크 자원 관리 시스템의 구성을 나타내는 구성도.
도 2는 도 1의 네트워크 자원 관리 시스템의 네트워크 자원 관리 방법을 설명하기 위한 순서도.
도 3은 PM 에이전트와 관리 서버 사이에서 사용되는 메시지 포맷의 일예를 보여주는 도면.
도 4는 PM 에이전트와 SM 에이전트 사이의 동작을 설명하기 위한 순서도.
도 5는 PM 에이전트와 SM 에이전트 사이에서 사용되는 통신 메시지 포맷을 나타내는 도면.
본 발명은 IP 주소 관리 시스템 및 그 관리 방법에 관한 것으로서, 보다 상세하게는 현재의 네트워크 설정을 변경하지 않으면서 관리자에 의해 지정된 네트워크 자원(IP 주소 및/또는 MAC 주소)을 갖는 호스트들 사이에서만 통신이 가능하도 록 통제하여 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지할 수 있는 IP 관리 시스템 및 그 관리 방법에 관한 것이다.
대규모의 네트워크를 사용하는 기업, 학교 또는 기관에서는 제한된 인적 자원을 활용해 방대한 네트워크를 효율적이고 통합적으로 관리하고 제어하고자 하나 복잡하고 다양해져 가는 네트워크 환경하에서는 이러한 일이 쉽지 않은 것이 사실이다.
특히, 고정(Static) IP를 사용하는 네트워크에서 IP 주소의 중복 사용이 자주 발생하게 되는데, 이때 중복 사용되는 IP 주소가 주요 서버이거나 라우터, 게이트웨이의 IP 주소일 경우 서비스 장애가 발생될 수 있다. 그러나, 이처럼 허가받지 않고 IP를 도용하여 임의로 사용하는 경우 이를 찾아내어 방지할 수 있는 방법이 아직까지는 마땅히 없는 실정이다.
이를 위해, IP 어드레스, MAC(Media Access Control) 어드레스, 호스트 ID 등과 같은 네트워크 자원을 일일이 수작업으로 관리하게 되면 인적 자원의 낭비를 가져올 뿐만 아니라 업무능력을 저하시키는 원인이 된다.
따라서, LAN 환경을 기반으로 하는 네트워크에서는 필요에 따라 네트워크에 연결된 장비들 각각에 대하여 다른 장비들과의 통신을 적절히 제한할 필요가 있으며, 이를 위해서는 네트워크 내부 자원들 간의 통신권능을 통제할 수 있는 수단이 필요하다.
상술된 문제를 해결하기 위한 본 발명의 목적은 네트워크 상에서 사용되고 있는 네트워크 자원을 사용자의 개입없이 자동으로 모니터링하여 효율적으로 관리하는데 있다.
위와 같은 목적을 달성하기 위한 본 발명의 네트워크 자원 관리 시스템은 네트워크 자원에 대한 허용 목록을 저장하는 관리 서버; 및 에이전트 그룹별로 구비되며, 상기 관리 서버로부터 상기 허용 목록을 제공받아 이를 자신이 속한 에이전트 그룹에서 수집된 네트워크 정보와 비교하여 차단 대상 호스트들을 검출하고 검출된 상기 차단 대상 호스트의 통신을 통제하는 적어도 하나의 PM 에이전트를 구비한다.
본 발명의 네트워크 자원 관리 방법은 자신이 속한 에이전트 그룹의 네트워크 정보를 수집하는 제 1 단계; 상기 수집된 네트워크 정보를 기 지정된 허용 목록과 비교하여 차단 대상 호스트를 검출하는 제 2 단계; 상기 검출된 차단 대상 호스트의 상태를 판단하는 제 3 단계; 및 상기 상태 정보에 따라 상기 차단 대상 호스트의 통신을 선택적으로 통제하는 제 4 단계를 포함한다.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명한다.
도 1은 본 발명에 따른 네트워크 자원 관리 시스템의 구성을 나타내는 구성도이다.
본 발명의 네트워크 자원 관리 시스템은 관리서버(10), 적어도 하나의 프라임 마스터(Prime Master)(이하, 'PM' 이라 함) 에이전트(21, 31, … ) 및 적어도 하나의 세컨더리 마스터(Secondary Master)(이하, 'SM' 이라 함) 에이전트(22, 32, … )를 구비한다.
관리 서버(10)는 관리대상 네트워크 전체에서 사용되는 네트워크 자원(예컨대 IP 주소, MAC 주소 및 호스트 ID 등)에 대한 맵핑(mapping) 정보를 수집하여 관리자에게 제공한다. 이때, 관리 서버(10)는 PM 에이전트(21, 31, … )와 주기적으로 통신하여 PM 에이전트(21, 31, … )로부터 네트워크 정보를 제공받아 이를 근거로 기 저장된 맵핑 정보를 갱신함으로써 관리자에게 가장 최근의 네트워크 정보를 제공해준다. 그리고, 관리 서버(10)는 동일 레벨의 네트워크 즉 도 1에서와 같이 동일한 라우터에 수용되어 있는 네트워크 영역(도 1에서 점선 안의 영역)(이하, '에이전트 그룹'이라 함) 별로 해당 에이전트 그룹에서 사용이 허용된 네트워크 자원에 대한 목록(예컨대, IP 주소, MAC 주소, IP-MAC 맵핑 목록 중 적어도 어느 하나)(이하, '허용 목록'이라 함)을 가지고 있는다. 이러한 허용 목록은 관리자에 의해 선별적으로 지정되며, 관리 서버(10)는 각 에이전트 그룹의 허용 목록을 해당 PM 에이전트(21, 31, … )에게 각각 제공해준다. 이때, 각 PM 에이전트(21, 31, … )로의 허용 목록 제공은 PM 에이전트(21, 31, … )로부터 제공 요청을 수신하거나 허용 목록이 새롭게 갱신된 때 이루어진다. 물론, 이외 다른 여러 가지 경우로 그 제공 시점을 조절할 수 있음은 자명한다. 예컨대, 관리 서버(10)는 허용 목록의 변경 여부와 상관없이 일정 주기로 허용 목록을 해당 PM 에이전트(21, 31, … )에게 제공해줄 수 있다. 이러한 관리 서버(10)는 관리대상 네트워크 전체에 하나만 존재한다.
PM 에이전트(21, 31, … )는 각 에이전트 그룹별로 하나씩 존재하며, 어느 한 호스트가 PM 에이전트(21, 31, … )로 동작하게 되면 해당 PM 에이전트(21, 31, … )는 자신이 PM 에이전트로 동작하고 있음을 알리는 메시지를 자신이 속하는 에이전트 그룹에 브로드캐스팅한다. 그리고, PM 에이전트(21, 31, … )는 자신이 속하는 에이전트 그룹에 있는 임의의 호스트를 선택하여 SM 에이전트를 지정하고 해당 호스트로 SM 에이전트로 지정되었음을 알리는 메시지를 전송한다. 그리고, PM 에이전트(21, 31, … )는 자신이 속한 에이전트 그룹의 호스트들에 대한 네트워크 정보(IP 주소 및/또는 MAC 주소)를 수집하여 관리 서버(10)에게 제공해주고 관리 서버(10)로부터 허용 목록을 제공받는다. 이때, PM 에이전트(21, 31, … )는 PM 에이전트로서 초기 구동시 관리 서버(10)에게 허용 목록을 요청하여 제공받고 이후로는 허용 목록이 변경되었을 때 관리 서버(10)로부터 일방적으로 제공받는다. PM 에이전트(21, 31, … )는 관리 서버(10)로부터 제공받은 허용 목록 및 자신이 수집한 네트워크 정보에 따라 허용 목록에 포함된 네트워크 자원들 사이에서만 통신이 가능하도록 호스트들의 네트워크 접속 및 통신을 선별적으로 통제한다. 특정 네트워크에 연결된 호스트들 간의 통신은 ARP를 이용하여 이루어지는데, PM 에이전트(21, 31, … )는 자신이 속한 에이전트 그룹 내에 브로드캐스트되는 ARP(Address Resource Protocol) 패킷을 캡쳐하여 관련 호스트들이 사용하고 있는 IP 주소와 MAC 주소를 수집한다. 그리고, PM 에이전트(21, 31, … )는 수집된 네트워크 정보에 근거하여 관리 서버(10)로부터 제공받은 허용 목록에 포함되어 있지 않은 자원을 사용하고자 하는 또는 사용하고 있는 호스트(이하, '차단 대상 호스트'라 함)를 검출한다. 차단 대상 호스트가 검출되면, PM 에이전트(21, 31, … )는 차단 대상 호스트의 상태를 판단하여 그 상태에 따라 차단 대상 호스트가 네트워크에 접속하는 것 자체를 차단하거나 스푸핑(spoofing)된 임의의 ARP 패킷을 이용하여 차단 대상 호스트가 정상적인 다른 호스트들과 통신할 수 없도록 통제한다. 이에 대한 설명은 상세하게 후술된다.
SM 에이전트(22, 32, … )는 주기적으로 자신이 속한 에이전트 그룹에 PM 에이전트(21, 31, … )가 존재하는지 확인하여 PM 에이전트(21, 31, … )가 존재하지 않는 경우 PM 에이전트로서 동작한다. 즉, SM 에이전트(22, 32, … )는 PM 에이전트(21, 31, … )와 동일한 기능을 가지나, 이미 PM 에이전트로서 동작하고 있는 호스트가 존재하면 대기 모드로 작동하고 PM 에이전트가 존재하지 않으면 자신이 PM 에이전트로 전환하여 동작한다. 이를 위해, SM 에이전트(22, 32, … )는 주기적으로 PM 에이전트(21, 31, … )와 통신하여 PM 에이전트(21, 31, … )가 정상적으로 동작되고 있는지 확인하고 PM 에이전트(21, 31, … )가 가지고 있는 정보(허용 목록 및 수집된 네트워크 정보)를 PM 에이전트(21, 31, … )로부터 모두 제공받아 저장하고 있는다. 이러한 SM 에이전트(22, 32, … )는 PM 에이전트(21, 31, … )에 의해 임의로 지정되는데, PM 에이전트(21, 31, … )는 초기 구동시 자신이 수집한 IP 리스트들 중 랜덤하게 한 호스트를 지정하여 해당 호스트에게 SM 에이전트로 동작하라는 메시지를 전달한다. 즉, 도 1에서 네트워크에 연결된 모든 호스트들에는 상술된 PM 에이전트 또는 SM 에이전트로서 동작할 수 있는 에이전트가 설치되어 있어 어느 호스트든지 필요시 PM 에이전트 또는 SM 에이전트로서 동작할 수 있다.
도 2는 도 1의 네트워크 자원 관리 시스템의 네트워크 자원 관리 방법을 설명하기 위한 순서도로, PM 에이전트(21)의 기능을 설명한다.
시스템 동작 초기에 처음으로 호스트가 PM 에이전트(21)로 지정되거나 SM 에이전트로 지정되었던 호스트가 PM 에이전트(21)로 전환되면, PM 에이전트(21)는 자신이 현재 PM 에이전트로 동작하고 있음을 알리는 메시지를 자신이 속하는 에이전트 그룹에 브로드캐스팅한다. 그리고, PM 에이전트(21)는 자신이 속하는 에이전트 그룹에 있는 임의의 한 호스트를 선택하여 SM 에이전트로 지정하고 해당 호스트로 SM 에이전트로 지정되었음을 알리는 메시지를 전송한다(단계 210).
다음에, PM 에이전트(21)는 관리 서버(10)에 접속하여 관리 서버(10)로부터 자신이 속한 에이전트 그룹에 대한 허용 목록을 제공받는다(단계 220).
허용 목록을 제공받은 PM 에이전트(21)는 이를 SM 에이전트(22)에게 전송해주고, 자신이 속한 에이전트 그룹에 브로드캐스팅되는 ARP 패킷들을 캡쳐하여 네트워크 정보를 수집한다(단계 230).
다음에, PM 에이전트(21)는 수집된 정보를 관리 서버(10)로부터 제공받은 허용 목록과 비교하여 허용 목록에서 허용하고 있지 않은 네트워크 자원을 무단으로 사용하는 또는 사용하고자 하는 차단 대상 호스트가 있는지를 모니터링한다(단계 240).
즉, PM 에이전트(21)는 수집된 ARP 패킷의 발신자 정보(IP 주소, MAC 주소)와 수신자 정보(IP 주소, MAC 주소)가 허용 목록에 포함되어 있는 것인지 여부를 조사하여, 포함되어 있지 않은 IP 주소를 사용하고자 하는 호스트 또는 사용하고 있는 호스트를 차단 대상 호스트로 판단한다.
그리고, PM 에이전트(21)는 수집된 네트워크 정보를 주기적으로 관리 서버(10)에게 전송해준다. 도 3은 PM 에이전트(21)와 관리 서버(10) 사이에서 사용되는 메시지 포맷의 일예를 보여주는 도면으로, 도 3과 같은 메시지 포맷을 이용하여 PM 에이전트(21)와 관리 서버(10)는 허용 목록 및 네트워크 정보 전송을 수행한다.
단계 240에서 차단 대상 호스트가 검출되면, PM 에이전트(21)는 해당 ARP 패킷이 Gratuitous ARP 패킷인지 여부를 먼저 확인한다(단계 250).
본 발명에서는 차단 대상 호스트의 현재 상태에 따라 통제 방법을 달리한다. 즉, PM 에이전트(21)는 차단 대상 호스트가 아직 네트워크에 접속되어 있지 않은 상태에서 네트워크에 접속하기 위해 네트워크 설정을 시도하는 단계인지 아니면 이미 네트워크에 연결되어 있는 경우인지를 구분하여 그 상태에 따른 통제 방법을 달리한다. 이를 위해, PM 에이전트(21)는 차단 대상 호스트의 정보가 포함된 ARP 패킷이 "Gratuitous ARP" 패킷인지를 먼저 확인한다.
Gratuitous ARP는 호스트가 온라인(부팅) 상태가 될 때나 IP 소프트웨어가 초기화될 때(IP 주소를 바꿨을 경우) 동일 네트워크(에이전트 그룹) 상에 같은 IP 주소를 사용하는 호스트가 존재하는지 확인하기 위해 사용되는 프로토콜이다.
따라서, 단계 250에서 해당 패킷이 Gratuitous ARP 패킷인 경우, 차단 대상 호스트는 현재 네트워크 접속을 위한 네트워크 초기 설정 중이라 할 수 있다. 이러한 경우, PM 에이전트(21)는 차단 대상 호스트가 네트워크 초기 설정을 하지 못하도록 하는 임의의 ARP 응답 메시지(이미 해당 IP를 사용하고 있다는 ARP 응답 메 시지)를 생성하여 해당 Gratuitous ARP 패킷에 포함된 발신자 주소로 유니캐스트한다(단계 260). 이로써, PM 에이전트(21)는 차단 대상 호스트의 네트워크 접속 자체를 차단하는 효과를 얻게 된다.
반면에, 단계 250에서 해당 ARP 패킷이 Gratuitous ARP 패킷이 아닌 상대방(수신자) 호스트의 MAC 주소를 요청하는 ARP 요청 메시지인 경우, PM 에이전트(21)는 차단 대상 호스트가 발신자 호스트인지 수신자 호스트인지를 확인하여 해당 호스트로 스푸핑(spoofing) 된 ARP 응답 메시지를 유니캐스트하여 해당 호스트의 ARP 캐시 테이블에 스푸핑 된 가짜 정보가 기록되도록 한다(단계 270).
즉, PM 에이전트(21)는 허용 목록에 없는 IP 주소(또는 MAC 주소)가 발신자 정보에서 발견된 경우 즉 차단 대상 호스트가 정상적인 다른 호스트로 통신을 하고자 하는 경우, 수신자 호스트에 대한 가짜 정보(가짜 수신자 MAC 주소)를 입력한 ARP 응답 메시지를 발신자 호스트(차단 대상 호스트)로 유니캐스트한다. 따라서, 차단 대상 호스트의 ARP 캐시 테이블에는 수신자 IP 주소에 대해 가짜 MAC 주소가 맵핑되어 차단 대상 호스트는 실제 수신자 호스트와 통신할 수 없게 된다.
그런데, PM 에이전트(21)가 스푸핑 된 ARP 응답 메시지를 차단 대상 호스트로 유니캐스트한 이후에 원래의 수신자 호스트에 의한 정상적인 ARP 응답 메시지가 차단 대상 호스트로 유니캐스트될 수 있다. 이러한 경우, 차단 대상 호스트의 ARP 캐시 테이블은 다시 실제 수신자 호스트 정보에 맞게 갱신되게 되므로 이전에 행해진 PM 에이전트(21)의 차단 행위는 아무런 소용이 없게 된다. 따라서, 이러한 문제를 방지하기 위해 PM 에이전트(21)는 스푸핑 된 ARP 응답 메시지를 복수회(예컨 대, 3회)에 걸쳐 차단 대상 호스트로 유니캐스트한다.
반면에, 허용 목록에 없는 IP 주소(또는 MAC 주소)가 수신자 정보에서 발견된 경우 즉 정상적인 호스트가 차단 대상 호스트로 통신을 하고자 하는 경우, PM 에이전트(21)는 수신자 호스트(차단 대상 호스트)에 대한 가짜 정보(가짜 수신자 MAC 주소)를 입력한 스푸핑 된 ARP 응답 메시지를 발신자 호스트로 유니캐스트한다. 따라서, 발신자 호스트의 ARP 캐시 테이블에는 차단 대상 호스트의 IP 주소에 대해 가짜 MAC 주소가 맵핑되어 기록됨으로써 차단 대상 호스트와의 통신이 차단된다. 이 경우에도, 상술한 것과 동일한 이유로 PM 에이전트(21)는 스푸핑 된 ARP 응답 메시지를 복수회(예컨대, 3회)에 걸쳐 발신자 호스트로 유니캐스트한다.
이러한 PM 에이전트(21)의 동작은 PM 에이전트(21)에 이상이 발생되어 PM 에이전트(21)로서의 동작이 종료될 때까지 계속 반복 수행된다(단계 280).
도 4는 PM 에이전트(21)와 SM 에이전트(22)의 사이의 동작을 설명하기 위한 순서도로, SM 에이전트의 기능을 중심으로 설명한다.
PM 에이전트(21)에 의해 동일 에이전트 그룹에 속해 있는 호스트들 중 어느 하나가 SM 에이전트(22)로 지정되면(단계 410), SM 에이전트(22)는 PM 에이전트(21)가 관리 서버(10)로부터 제공받은 허용 목록을 PM 에이전트(21)로부터 제공받아 저장한다(단계 420). 즉, SM 에이전트(22)는 PM 에이전트(21)와 동일하게 정보를 공유하면서 언제든지 PM 에이전트로서 기능을 수행할 수 있도록 준비된다. 이때, SM 에이전트로의 허용 목록 전송은 반드시 해당 호스트가 SM 에이전트(22)로서 동작하는 초기에만 이루어지는 것이 아니라 정기적으로 또는 필요시마다 비 정기적 으로 이루어질 수 있다.
이러한 SM 에이전트(22)는 주기적으로 PM 에이전트(21)와 통신하여 PM 에이전트(21)가 정상적으로 동작하고 있는지를 확인한다(단계 430).
도 5는 PM 에이전트(21)와 SM 에이전트(22) 사이에서 사용되는 통신 메시지 포맷을 나타내는 도면으로, 도 5와 같은 메시지 포맷을 이용하여 SM 에이전트(22)는 PM 에이전트(21)와 통신하여 필요한 정보를 제공받고 PM 에이전트(21)의 정상동작 여부를 확인하게 된다.
PM 에이전트(21)와의 주기적인 통신이 정상적으로 이루어지면(단계 430), SM 에이전트(22)는 대기 모드 상태를 유지하며 단계 420 및 단계 430의 동작을 반복 수행한다(단계 440).
그러나, 단계 430에서 PM 에이전트(21)와의 주기적인 통신이 정상적으로 이루어지지 않으면 즉 PM 에이전트(21)로부터 일정 시간 동안 응답이 없는 경우, SM 에이전트(22)는 PM 에이전트(21)에 이상이 발생했다고 판단하여 자신이 PM 에이전트로 모드 전환한 후 PM 에이전트로서 동작한다(단계 450).
이때, PM 에이전트로 전환된 SM 에이전트(이하, '새 PM 에이전트'라 함)(22)는 먼저 자신이 새로운 PM 에이전트가 되었음을 알리는 메시지를 에이전트 그룹에 브로드캐스트하고 관리 서버(10)에게 통보한다. 그리고, 새 PM 에이전트(22)는 다시 다른 호스트들 중 어느 하나를 새로운 SM 에이전트로 지정한 후 자신이 가지고 있는 정보(허용 목록)를 지정된 SM 에이전트로 전송해준다.
이 후 새 PM 에이전트(22)의 동작들은 상술된 도 2에서의 PM 에이전트(21)의 동작들과 동일하다.
단계 410에서 SM 에이전트로 지정되지 않은 다른 호스트들은 SM 에이전트로 지정되었음을 알리는 메시지를 수신할 때까지 통상적인 호스트로서 동작하게 된다(단계 460).
상술된 실시예에서는 허용 목록으로 특정 IP 주소들을 지정하여 해당 IP 주소들만 사용이 가능하도록 하고 있으나, 허용 목록으로 IP-MAC 맵핑 정보를 지정하는 경우 특정 MAC 주소를 갖는 호스트만이 특정 IP 주소를 사용할 수 있도록 통제할 수도 있다. 이러한 경우, 중요한 서버에 할당된 IP 주소는 지정된 MAC 주소를 갖는 특정 컴퓨터만이 사용 가능하도록 한정시킴으로써 안정된 서비스 제공이 가능해진다.
상술한 바와 같이, 본 발명의 네트워크 자원 관리 시스템은 현재의 네트워크 설정을 변경하지 않으면서 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지할 수 있다.

Claims (21)

  1. 네트워크 자원에 대한 허용 목록을 저장하는 관리 서버; 및
    에이전트 그룹별로 구비되며, 상기 관리 서버로부터 상기 허용 목록을 제공받아 이를 자신이 속한 에이전트 그룹에서 수집된 네트워크 정보와 비교하여 차단 대상 호스트들을 검출하고 검출된 상기 차단 대상 호스트의 통신을 통제하는 적어도 하나의 PM 에이전트를 구비하는 네트워크 자원 관리 시스템.
  2. 제 1항에 있어서,
    상기 에이전트 그룹별로 구비되며, 대응되는 상기 PM 에이전트에 이상발생시 PM 에이전트로 전환하여 동작하는 적어도 하나의 SM 에이전트를 더 구비하는 네트워크 자원 관리 시스템.
  3. 제 1항 또는 제 2항에 있어서, 상기 관리 서버는
    상기 에이전트 그룹별로 상기 허용 목록을 저장하고, 상기 PM 에이전트로부터의 요청이 있거나 상기 허용 목록이 변경시 해당 에이전트 그룹의 허용 목록을 상기 PM 에이전트로 전송해주는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  4. 제 1항에 있어서, 상기 PM 에이전트는
    자신이 속한 에이전트 그룹에 브로드캐스팅 된 ARP 패킷을 수집하여 상기 네 트워크 정보를 수집하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  5. 제 4항에 있어서, 상기 PM 에이전트는
    상기 차단 대상 호스트의 정보가 Gratuitous ARP 패킷에 포함되어 있는 경우, 상기 Gratuitous ARP 패킷의 발신자 주소로 해당 IP를 사용하고 있다는 의미의 ARP 응답을 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  6. 제 4항 또는 제 5항에 있어서, 상기 PM 에이전트는
    상기 차단 대상 호스트의 정보가 ARP 요청 메시지에 포함되어 있는 경우, 상기 ARP 요청 메시지의 발신자 주소로 스푸핑 된 ARP 응답 메시지를 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  7. 제 6항에 있어서, 상기 PM 에이전트는
    상기 ARP 요청 메시지의 수신자에 대한 MAC 주소를 스푸핑 한 ARP 응답 메시지를 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  8. 제 7항에 있어서, 상기 PM 에이전트는
    상기 ARP 응답 메시지를 복수회에 걸쳐 상기 발신자 주소로 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  9. 제 4항에 있어서, 상기 PM 에이전트는
    수집된 네트워크 정보를 주기적으로 상기 관리 서버에게 전송해주는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  10. 제 1항에 있어서, 상기 PM 에이전트는
    자신의 에이전트 그룹에 속해 있는 임의의 호스트를 상기 SM 에이전트로 지정하고, 상기 관리 서버로부터 제공받은 상기 허용 목록을 상기 SM 에이전트로 전송해주는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  11. 제 10항에 있어서, 상기 SM 에이전트는
    상기 PM 에이전트와 주기적으로 통신하며, 일정 시간 동안 상기 PM 에이전트로부터 응답이 없는 경우 PM 에이전트로 전환하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  12. 제 11항에 있어서, 상기 SM 에이전트는
    PM 에이전트로 전환 후 자신이 PM 에이전트로 동작함을 알리는 메시지를 자신이 속한 에이전트 그룹에 브로드캐스팅하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  13. 제 12항에 있어서, 상기 SM 에이전트는
    PM 에이전트로 전환 후 자신이 속한 에이전트 그룹에서 임의의 호스트를 지정하여 새로운 SM 에이전트로 설정하고 설정된 SM 에이전트로 그 사실을 알리는 메시지를 전송하는 것을 특징으로 하는 네트워크 자원 관리 시스템.
  14. 자신이 속한 에이전트 그룹의 네트워크 정보를 수집하는 제 1 단계;
    상기 수집된 네트워크 정보를 기 지정된 허용 목록과 비교하여 차단 대상 호스트를 검출하는 제 2 단계;
    상기 검출된 차단 대상 호스트의 상태를 판단하는 제 3 단계; 및
    상기 상태 정보에 따라 상기 차단 대상 호스트의 통신을 선택적으로 통제하는 제 4 단계를 포함하는 네트워크 자원 관리 방법.
  15. 제 14항에 있어서, 상기 허용 목록은
    관리자에 의해 지정된 IP 주소, MAC 주소 또는 IP-MAC 맵핑 정보 중 적어도 어느 하나인 것을 특징으로 하는 네트워크 자원 관리 방법.
  16. 제 15항에 있어서, 상기 1 단계는
    상기 에이전트 그룹에 브로드캐스팅되는 ARP 패킷을 수집하여 각 호스트들의 IP 주소와 MAC 주소를 수집하는 것을 특징으로 하는 네트워크 자원 관리 방법.
  17. 제 16항에 있어서, 상기 제 3 단계는
    상기 차단 대상 호스트의 정보가 포함된 ARP 패킷이 Gratuitous ARP 패킷인지 ARP 요청 메시지인지를 판단하는 것을 특징으로 하는 네트워크 자원 관리 방법.
  18. 제 17항에 있어서, 상기 제 4 단계는
    상기 차단 대상 호스트의 정보가 상기 Gratuitous ARP 패킷에 포함된 경우, 상기 Gratuitous RAP 패킷의 발신자 주소로 해당 IP를 사용하고 있다는 의미의 ARP 응답을 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 방법.
  19. 제 17항 또는 제 18항에 있어서, 상기 제 4 단계는
    상기 차단 대상 호스트의 정보가 상기 ARP 요청 메시지에 포함되어 있는 경우, 상기 ARP 요청 메시지의 발신자 주소로 스푸핑 된 ARP 응답 메시지를 유니캐스트하는 것을 특징으로 하는 네트워크 자원 관리 방법.
  20. 제 19항에 있어서, 상기 스푸핑 된 ARP 응답 메시지는
    상기 ARP 요청 메시지의 수신자에 대한 MAC 주소가 임의의 주소로 스푸핑되는 것을 특징으로 하는 네트워크 자원 관리 방법.
  21. 제 19항에 있어서, 상기 ARP 응답 메시지는
    복수회에 걸쳐 상기 발신자 주소로 유니캐스트되는 것을 특징으로 하는 네트워크 자원 관리 방법.
KR1020060023191A 2006-03-13 2006-03-13 네트워크 자원 관리 시스템 및 그 관리 방법 KR101099083B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060023191A KR101099083B1 (ko) 2006-03-13 2006-03-13 네트워크 자원 관리 시스템 및 그 관리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060023191A KR101099083B1 (ko) 2006-03-13 2006-03-13 네트워크 자원 관리 시스템 및 그 관리 방법

Publications (2)

Publication Number Publication Date
KR20070093257A true KR20070093257A (ko) 2007-09-18
KR101099083B1 KR101099083B1 (ko) 2011-12-26

Family

ID=38687592

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060023191A KR101099083B1 (ko) 2006-03-13 2006-03-13 네트워크 자원 관리 시스템 및 그 관리 방법

Country Status (1)

Country Link
KR (1) KR101099083B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018029B1 (ko) * 2010-10-18 2011-03-02 스콥정보통신 주식회사 네트워크 장비간의 통신 차단 및 해제 방법
US8782789B2 (en) 2011-10-28 2014-07-15 Samsung Sds Co., Ltd. System and method for detecting address resolution protocol (ARP) spoofing

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100478910B1 (ko) 2002-07-05 2005-03-28 스콥정보통신 주식회사 아이피 충돌 검출 및 차단 시스템과 그 방법
KR100528171B1 (ko) * 2005-04-06 2005-11-15 스콥정보통신 주식회사 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치
KR100839941B1 (ko) 2007-01-08 2008-06-20 성균관대학교산학협력단 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101018029B1 (ko) * 2010-10-18 2011-03-02 스콥정보통신 주식회사 네트워크 장비간의 통신 차단 및 해제 방법
US8782789B2 (en) 2011-10-28 2014-07-15 Samsung Sds Co., Ltd. System and method for detecting address resolution protocol (ARP) spoofing
US9083716B1 (en) 2011-10-28 2015-07-14 Samsung Sds Co., Ltd. System and method for detecting address resolution protocol (ARP) spoofing

Also Published As

Publication number Publication date
KR101099083B1 (ko) 2011-12-26

Similar Documents

Publication Publication Date Title
US7636775B2 (en) Digital network modem with an integrated DHCP server
US7890658B2 (en) Dynamic address assignment for access control on DHCP networks
US8539088B2 (en) Session monitoring method, apparatus, and system based on multicast technologies
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
JP4756188B2 (ja) メッセージングアプリケーションルータ
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
KR20080090834A (ko) 네트워크 스위치 및 그 스위치의 주소충돌방지방법
CN103595638B (zh) 一种mac地址学习方法及装置
EP2218214B1 (en) Network location service
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
KR101710385B1 (ko) Arp 패킷을 관리하는 방법, 장치 및 컴퓨터 프로그램
US8379514B2 (en) Route reflector for a communication system
Alasadi et al. SSED: Servers under software-defined network architectures to eliminate discovery messages
CN100488201C (zh) 一种基于路由的链路备份方法
US20050198242A1 (en) System and method for detection/interception of IP collision
KR101099083B1 (ko) 네트워크 자원 관리 시스템 및 그 관리 방법
KR20110059919A (ko) 웹 리다이렉트를 이용한 비정상 행위 단말의 제한을 위한 네트워크 접속 관리 방법 및 장치
KR100478910B1 (ko) 아이피 충돌 검출 및 차단 시스템과 그 방법
Cisco Mobile IP MIB Support for SNMP
KR101993875B1 (ko) 소프트웨어 정의 네트워킹 환경에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP4274380B2 (ja) 在圏情報管理サーバ装置、sipサーバ装置、在圏情報管理方法
JP2007166234A (ja) Ipアドレス管理方法及び当該方法を用いた遠隔監視装置
KR20180115883A (ko) 서버 보안을 위한 트래픽 우회 방법 및 장치
KR20050029800A (ko) 네트워크 접속 제어 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151210

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171213

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181212

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191220

Year of fee payment: 9