KR20090082815A - 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치 - Google Patents

사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치 Download PDF

Info

Publication number
KR20090082815A
KR20090082815A KR1020080008782A KR20080008782A KR20090082815A KR 20090082815 A KR20090082815 A KR 20090082815A KR 1020080008782 A KR1020080008782 A KR 1020080008782A KR 20080008782 A KR20080008782 A KR 20080008782A KR 20090082815 A KR20090082815 A KR 20090082815A
Authority
KR
South Korea
Prior art keywords
nic
network
gateway
packet
internal
Prior art date
Application number
KR1020080008782A
Other languages
English (en)
Inventor
성맹희
김희진
김남국
정배은
정태철
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080008782A priority Critical patent/KR20090082815A/ko
Priority to US12/190,222 priority patent/US20090190602A1/en
Publication of KR20090082815A publication Critical patent/KR20090082815A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치를 개시한다. 게이트웨이 탐지 방법은 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 판단하는 단계; 및, 적어도 두 개의 인터넷 환경에 접속 가능한 상태일 경우 사내 망(private network)과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 단계를 포함한다.
사내 망(private network), 네트워크 보안(network security), 무선 인터넷 디바이스, NIC(network interface card), 인터넷 환경, 게이트웨이 프로그램(gateway program)

Description

사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치{METHOD FOR DETECTING GATEWAY IN PRIVATE NETWORK AND APPARATUS FOR EXECUTING THE METHOD}
본 발명은 사내 망에서 외부 네트워크에 접속 가능한 디바이스를 보다 안전하게 사용할 수 있는 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치에 관한 것이다.
최근, 이동통신기술의 발전과 함께 셀룰러폰이나 PDA과 같은 휴대 디바이스(handheld device)의 사양이 확대되면서 기존의 유선 상의 인터넷 서비스는 무선 인터넷 환경으로 점차 확대되고 있다.
그러나, 상기 무선 인터넷에 접속 가능한 디바이스(이하, '무선 인터넷 디바이스'라 약칭함)가 사내 망(private network)에 연결되어 있을 경우 외부 네트워크에 쉽게 노출되어 사내 망의 중요한 자원이 유출될 수 있다.
이러한 무선 인터넷 디바이스의 사내 망 접속을 허용하는 경우 와이브로(Wibro) 등의 무선 인터넷에 접속 가능한 디바이스를 통한 사내 망의 보안 위협이 증가하게 된다.
한편, 무선 인터넷 디바이스의 사내 망 접속을 제한하는 경우, PC, Laptop 등의 제한적인 디바이스를 통해 사내 망에 접속할 수 있으며 이들은 단일 게이트웨이(gateway)를 통해서만 외부 네트워크와 접속이 가능하다.
또한, 이더넷(Ethernet)과 와이브로 등 2개 이상의 NIC(network interface card)가 활성화 된 디바이스가 망 내에 존재할 경우 사내 디바이스는 사내 게이트웨이를 통하지 않고도 상기한 무선 인터넷 디바이스를 통해 외부 네트워크와 쉽게 연결될 수 있다.
본 발명은 무선 인터넷 디바이스를 사용하는 사용자에게 편리성을 제공하면서 동시에 사내 망의 보안에 위협이 되지 않도록 사내 망 보호를 위한 게이트웨이 탐지 방법을 제공한다.
본 발명은 외부 네트워크 접속이 가능한 사내 디바이스에서 게이트웨이 프로그램의 설치 여부를 판단하여 외부 네트워크로 연결되지 못하도록 하는 게이트웨이 탐지 방법을 제공한다.
본 발명은 서로 다른 인터넷 환경에 접속 가능한 NIC(network interface card)를 통해 송수신되는 IP 패킷(internet protocol packet)을 비교하여 게이트웨이 프로그램의 구동 여부를 판단하는 게이트웨이 탐지 방법을 제공한다.
본 발명의 일실시예에 따른 게이트웨이 탐지 방법은 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 판단하는 단계; 및, 적어도 두 개의 인터넷 환경에 접속 가능한 상태일 경우 사내 망(private network)과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 단계를 포함한다.
본 발명의 일측면에 따르면, 상기 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 판단하는 단계는, 적어도 두 개의 NIC가 활성화 상태인지 여부를 판단하는 단계를 포함하며, 상기 NIC는 사내 망과의 접속을 위한 제1 NIC와, 외부 네트워크와의 접속을 위한 제2 NIC를 포함할 수 있다.
본 발명의 일측면에 따르면, 사내 망과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 단계는, 상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계와, 동일한 IP 패킷이 상기 제1 NIC와 제2 NIC에 존재할 경우 상기 게이트웨이가 구동하고 있는 것으로 판단하는 단계를 포함한다.
본 발명의 일측면에 따르면, 상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계는, 상기 IP 패킷의 헤더(header)와 페이로드(payload)를 비교하여 같은 IP 패킷인지 확인할 수 있으며, 상기 게이트웨이가 구동하고 있는 것으로 판단되면 상기 사내 또는 외부 네트워크와의 접속을 제한할 수 있다.
본 발명의 일실시예에 따른 게이트웨이 탐지 장치는 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 확인하기 위한 상태 확인부; 및, 적어도 두 개의 인터넷 환경에 접속 가능한 상태일 경우 사내 망과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 게이트웨이 탐지부를 포함한다.
본 발명의 일측면에 따르면, 상기 상태 확인부는 사내 망과의 접속을 위한 제1 NIC와 외부 네트워크와의 접속을 위한 제2 NIC가 활성화 상태인지 여부를 확인하는 NIC 확인부를 포함할 수 있다.
본 발명의 일측면에 따르면, 상기 게이트웨이 탐지부는 제1 NIC의 TCP/IP 스택과 제2 NIC의 TCP/IP 스택을 통해 송수신되는 IP 패킷을 획득하는 IP 획득부와, 상기 제1 NIC에서 획득한 IP 패킷과 상기 제2 NIC에서 획득한 IP 패킷을 비교하는 IP 비교부를 포함하며, 상기 IP 비교부는 동일한 IP 패킷이 상기 제1 NIC와 제2 NIC에 존재할 경우 상기 게이트웨이가 구동하고 있는 것으로 판단할 수 있다.
이하 첨부된 도면을 참조하여 본 발명에 따른 다양한 실시예를 상세히 설명 하기로 한다.
도 1은 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 구동을 탐지하는 방법의 개괄적인 모습을 설명하기 위한 일례이다. 여기서, 도 1은 사내 망 시스템을 구축한 일례를 도시한 도면이다. 보다 자세하게, 도 1은 사내 망 내의 사내 디바이스(110)(120)가 인터넷(140)을 통해 외부 서버(150)와 접속하고자 할 경우, 사내 게이트웨이(130)를 통해서만 외부 서버(150)와 연결될 수 있도록 외부 게이트웨이의 구동을 탐지하는 방법을 설명하는 일례이다.
본 발명은 사내 디바이스(110)(120)에 외부 게이트웨이가 구동되고 있는지 여부를 확인하기 위한 것으로, 사내 망을 형성하는 유/무선 네트워크 시스템에 적용될 수 있다. 이러한 사내 망 시스템에서 외부 게이트웨이의 구동을 탐지하기 위하여, 사내 디바이스(110)(120)에 사내 게이트웨이(130)를 연결할 경우 외부 게이트웨이의 구동 여부를 확인할 수 있는 소정의 프로그램을 사내 디바이스(110)(120)에 포함하여 설치할 수 있다. 또한, 사내 망 내에 소정의 프로그램 모듈을 연결 구성하여 상기 프로그램 모듈을 통해 사내 디바이스(110)(120)의 외부 게이트웨이를 탐지할 수도 있다.
사내 디바이스(110)(120)는 사내 망에 접속하기 위한 NIC(network interface card)를 포함한다. 사내 망에 외부 네트워크 접속이 가능한 사내 디바이스(디바이스 B)(120)가 존재할 경우 해당 디바이스 B(120)는 사내 망과의 접속을 위한 NIC(NIC 1)(101)와, 외부 네트워크와의 접속을 위한 NIC(NIC 2)(102)를 포함하여 구성한다. 여기서, 외부 네트워크는 무선 인터넷을 의미할 수 있으며, 상기 디바이스 B(120)는 무선 인터넷 접속이 가능한 무선 인터넷 디바이스를 의미할 수도 있다. 이러한 무선 인터넷 디바이스의 사내 망 접속을 허용할 경우 사내 게이트웨이(130)를 통하지 않고도 무선 중계기(160)를 거쳐 외부 서버(150)와의 접속이 가능하다.
본 발명의 사내 망 시스템은 사내 망뿐 아니라 무선 인터넷과 같은 외부 네트워크와의 접속이 가능한 사내 디바이스가 사내 게이트웨이(130)를 통해서만 인터넷(140)에 연결될 수 있도록 외부 게이트웨이를 탐지한다.
도 2는 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 탐지 방법을 도시한 흐름도이다.
단계(S201)에서 사내 망 시스템은 사내 디바이스에 적어도 두 개의 NIC가 활성화되어 있는지 여부를 확인한다. 상기 사내 망 시스템은 사내 디바이스가 적어도 두 개의 인터넷 환경에 접속 가능한 상태 즉, 사내 망 이외에도 외부 네트워크와 접속 가능한 상태인지 여부를 확인한다. 상기 사내 망 시스템은 사내 디바이스의 사내 망과의 접속을 위한 NIC(이하, '제1 NIC'라 칭함)와 상기 외부 네트워크와의 접속을 위한 NIC(이하, '제2 NIC'라 칭함)가 모두 활성화 상태에 있는지 여부를 확인한다.
단계(S202)에서 사내 망 시스템은 사내 디바이스의 제1 NIC와 제2 NIC가 모두 활성화되어 있을 경우 외부 게이트웨이의 구동을 탐지하기 위한 게이트웨이 탐지 프로그램을 실행한다. 상기 사내 망 시스템은 제1 NIC와 제2 NIC의 TCP/IP(Transmission Control Protocol/Internet Protocol) 스택(stack)을 통해서 송수신되는 IP 패킷을 비교한다. 상기 사내 망 시스템은 제1 NIC의 TCP/IP 스택과 제2 NIC의 TCP/IP 스택에 동일한 IP 패킷이 존재할 경우 사내 디바이스에 외부 게이트웨이가 구동되고 있음을 확인할 수 있다.
이와 같이 제1 NIC와 제2 NIC를 통해 송수신되는 IP 패킷을 이용하여 외부 게이트웨이를 탐지하는 과정(S202)은 도 8을 참조하여 보다 상세하게 설명한다.
단계(S203)에서 사내 망 시스템은 제1 NIC의 TCP/IP 스택과 제2 NIC의 TCP/IP 스택에 동일한 IP 패킷이 존재할 경우 사내 디바이스의 네트워크 접속을 제어한다. 상기 사내 망 시스템은 사내 망에서 외부 네트워크로의 접속이 이루어질 경우 외부 네트워크와의 접속을 제한하거나, 외부 네트워크에서 사내 망으로의 접속이 이루어질 경우 사내 망과의 접속을 제한할 수 있다.
본 발명의 게이트웨이 탐지 과정을 설명하기에 앞서, 외부 네트워크와 접속 가능한 사내 디바이스에서의 게이트웨이 구동 과정을 도 3을 참조하여 설명한다.
도 3은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 접속을 허용할 경우 게이트웨이 구동 과정을 설명하기 위한 흐름도다. 도 3은 도 1를 통해 설명한 디바이스 A가 디바이스 B를 통해 외부 네트워크와 접속하는 과정을 도시한 일례이다.
단계(S301)에서 디바이스 B는 디바이스 A에서 외부 네트워크로 전송하고자 하는 데이터 패킷을 수신한다.
도 4는 본 발명의 일실시예에 있어서, 사내 망 내의 디바이스에서 생성된 데이터 패킷의 구성을 설명하기 위한 일례이다. 도시한 바와 같이, 상기 디바이스 A는 자신이 보내고자 하는 데이터(401)에 사내 망 프레임의 하드웨어 주소인 MAC 헤더(402)와 자신의 어드레스인 IP 헤더(403)를 포함하여 데이터 패킷을 생성한 후 상기 디바이스 B로 전송한다. 상기 MAC 헤더(402)는 사내 망에 접속된 디바이스 B의 NIC1에 해당하는 MAC 어드레스(MAC1)와, 상기 디바이스 A의 MAC 어드레스(MACA)로 구성되며, 상기 IP 헤더(403)는 접속하고자 하는 외부 서버의 IP 어드레스(IPW)와, 상기 디바이스 A의 IP 어드레스(IPA)로 구성된다.
상기 단계(S301) 이하의 게이트웨이 구동 과정은 도 5를 참조하여 보다 상세하게 설명한다. 도 5는 본 발명의 일실시예에 있어서, 디바이스 B를 통한 데이터 패킷의 전송 과정을 설명하기 위한 일례이다.
단계(S302)에서 디바이스 B는 상기 디바이스 A로부터 수신된 데이터 패킷의 MAC 어드레스로부터 자신에게 수신된 패킷 임을 확인한 후 상기 디바이스 A의 IP 패킷을 NIC1(510)의 MAC 층(501)에서 네트워크 층(502)으로 전달한다.
단계(S303)에서 디바이스 B는 NIC2(520)의 활성화에 따라 외부 네트워크와 접속 가능하도록 설치된 게이트웨이 프로그램(530)에 의해 상기 디바이스 A의 IP 패킷을 NIC2(520)의 네트워크 층(503)으로 전달한다.
상기 NIC1(510)과 NIC2(520) 간에 전송되는 디바이스 A의 IP 패킷은, 도 6에 도시한 바와 같이 데이터와 IP 헤더로 구성되며, 상기 IP 헤더는 접속하고자 하는 외부 서버의 IP 어드레스(IPW)와, 상기 디바이스 A의 IP 어드레스(IPA)로 구성된다.
단계(S304)에서 디바이스 B는 상기 디바이스 A의 IP 패킷을 NIC2(520)의 네트워크 층(503)에서 MAC 층(504)으로 전달하고, 이때, NIC2(520)의 MAC 층(504)에서는 상기 디바이스 A의 IP 패킷에 대한 데이터 패킷을 생성하여 외부 네트워크로 전송한다.
도 7은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 데이터 전송을 위한 데이터 패킷의 구성을 설명하기 위한 일례이다. 도시한 바와 같이, 디바이스 B의 MAC 층(504)에서 생성된 데이터 패킷은 디바이스 A가 전송하고자 하는 데이터(701)와, 외부 네트워크와의 접속을 위한 MAC 헤더(702) 및 IP 헤더(703)를 포함한다. 여기서, 상기 MAC 헤더(702)는 외부 네트워크에 대한 중계기(예를 들어, 무선 인터넷에 접속하고자 할 경우 무선 중계기를 의미할 수 있다.)의 MAC 어드레스(MACR)와, 디바이스 B의 NIC2에 해당하는 MAC 어드레스(MAC2)를 포함하고, 상기 IP 헤더(703)은 외부 서버의 IP 어드레스(IPW)와, 상기 디바이스 A의 IP 어드레스(IPA)를 포함한다.
사내 망과 접속 가능한 NIC와 외부 네트워크에 접속 가능한 NIC가 모두 활성화 된 디바이스를 통해 사내 망에서 외부 네트워크로의 접근이나 외부 네트워크에서 사내 망으로의 접근이 가능하다.
본 발명의 게이트웨이 탐지 방법은 도 3을 통해 설명한 게이트웨이 구동 과정에서 서로 다른 NIC를 통해 송수신되는 IP 패킷을 이용하여 외부 게이트웨이를 탐지할 수 있으며 외부 게이트웨이가 탐지될 경우 사내 디바이스의 네트워크 접속 을 제한할 수 있다.
도 8은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 접속을 제한하는 게이트웨이 탐지 과정을 설명하기 위한 흐름도다. 도 8은 도 2에 도시한 외부 게이트웨이를 탐지하는 과정(S202)을 상세하게 설명하기 위한 일례이다. 도 5를 통해 설명한 데이터 패킷의 전송 과정을 함께 참조하여 설명한다.
단계(S801)에서 사내 망 시스템은 NIC1(510)의 MAC 층(501)에서 네트워크 층(502)으로 전달하는 IP 패킷(505)을 획득한다. 상기 사내 망 시스템은 NIC1(510) 내의 층간 IP 패킷 전송시 MAC 층(501)에서 네트워크 층(502)으로 송신하려는 순간을 모니터하여 해당 IP 패킷(505)을 획득할 수 있다.
단계(S802)에서 사내 망 시스템은 NIC1(510)에서 IP 패킷(505)을 획득한 시점부터 일정시간 동안 상기 IP 패킷(505)을 유지한다. 상기 IP 패킷(505)을 유지하는 일정시간은 NIC1(510)의 네트워크 층(502)에서 NIC2(520)의 네트워크 층(503)으로 전송하는데 걸리는 시간을 의미할 수 있다.
단계(S803)에서 사내 망 시스템은 NIC2(520)의 네트워크 층(503)에서 MAC 층(504)으로 전달하는 IP 패킷(506)을 획득한다. 상기 사내 망 시스템은 NIC2(520) 내의 층간 IP 패킷 전송시 네트워크 층(503)에서 MAC(504)으로 송신하려는 순간을 모니터하여 해당 IP 패킷(506)을 획득할 수 있다.
단계(S804)에서 사내 망 시스템은 NIC1(510)에서 획득한 IP 패킷(505)과 NIC2(520)에서 획득한 IP 패킷(506)을 비교하여 외부 네트워크와의 접속을 위한 게이트웨이 구동을 탐지한다. 상기 사내 망 시스템은 IP 패킷의 헤더(header)와 페 이로드(payload)를 비교함으로써 NIC1(510)에서 획득한 IP 패킷(505)과 NIC2(520)에서 획득한 IP 패킷(506)이 동일한 IP 패킷인지 여부를 판단할 수 있다.
상기 사내 망 시스템은 동일한 IP 패킷이 서로 다른 NIC인 NIC1(510)와 NIC2(520)에 존재할 경우 외부 게이트웨이 프로그램이 동작하고 있는 것으로 판단하여 상기 외부 네트워크와의 접속을 제한할 수 있다.
상기와 반대의 경우인 외부 네트워크에서 사내 망으로의 접속을 제한하는 게이트웨이 탐지 과정 또한 도 8를 통해 설명한 방법으로 서로 다른 NIC의 IP 패킷을 획득한 후 이를 비교하여 외부 게이트웨이의 구동을 탐지할 수 있다. 외부 네트워크에서 사내 망으로의 접속을 시도할 경우, 외부 네트워크로부터 수신된 데이터 패킷이 NIC2(520)에서 NIC1(510)를 거쳐 사내 망으로 전송되는 경로를 가지므로 NIC2(520)의 MAC 층(504)에서 네트워크 층(503)으로 전달되는 IP 패킷(506)을 획득한 후 NIC1(510)의 네트워크 층(502)에서 MAC 층(501)으로 전달되는 IP 패킷(505)을 획득할 수 있다.
도 9는 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 탐지 장치의 내부 구성을 설명하기 위한 블록도이다. 게이트웨이 탐지 장치는 NIC 확인부(910), IP 획득부(920), IP 비교부(930), 접속 제어부(940)를 포함한다.
NIC 확인부(910)는 사내 디바이스에 두 개 이상의 NIC가 활성화 되어 있는지 확인하기 위한 구성으로, 사내 망과의 접속을 위한 제1 NIC와 외부 네트워크와의 접속을 위한 제2 NIC가 활성화 상태인지 여부를 확인하는 역할을 수행한다.
IP 획득부(920)는 사내 디바이스의 제1 NIC와 제2 NIC가 활성화 되어 있을 경우 상기 제1 NIC의 TPC/IP 스택과 상기 제2 NIC의 TCP/IP 스택을 통해 송수신되는 IP 패킷을 각각 획득한다.
상기 IP 획득부(920)는 사내 망에서 외부 네트워크로의 접속이 이루어질 경우 상기 제1 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득한 후 상기 제2 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득한다. 한편, 외부 네트워크에서 사내 망으로의 접속이 이루어질 경우 상기 제2 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득한 후 상기 제1 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득한다.
IP 비교부(930)는 상기 제1 NIC에서 획득한 IP 패킷과 상기 제2 NIC에서 획득한 IP 패킷을 비교하는 역할을 수행하며, 상기 IP 패킷의 헤더(header)와 페이로드(payload)를 각각 비교하여 같은 IP 패킷인지 여부를 판단한다. 상기 IP 비교부(930)는 동일한 IP 패킷이 상기 제1 NIC와 제2 NIC에 존재할 경우 외부 네트워크 접속을 위한 게이트웨이가 구동하고 있는 것으로 판단할 수 있다.
접속 제어부(940)는 외부 게이트웨이가 구동하고 있는 것으로 판단되면 사내 디바이스의 사내 망 또는 외부 네트워크와의 접속을 제한할 수 있다.
상기한 게이트웨이 탐지 장치는 사내 망에서 별도의 구성으로 이루어지거나 사내 디바이스 내에 포함되어 구성될 수도 있다.
본 발명은 사내 디바이스에서 두 개 이상의 NIC가 활성화 될 경우 서로 다른 NIC에 존재하는 IP 패킷을 비교하여 외부 게이트웨이의 구동 여부를 탐지함으로써 사내 망에서 외부 네트워크로의 접근이나 외부 네트워크에서 사내 망으로의 접 근을 제한할 수 있다. 한편, 사내 망과 접속된 NIC가 활성화되지 않은 상태에서는 사내 게이트웨이를 통하지 않고도 외부 네트워크와 접속 가능하므로 무선 인터넷과 같은 외부 네트워크 사용자에게 편리성을 제공함과 동시에 사내 망을 보호할 수 있다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명을 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명하였으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
도 1은 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 구동을 탐지하는 방법의 개괄적인 모습을 설명하기 위한 일례이다.
도 2는 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 탐지 방법의 전 과정을 설명하기 위한 흐름도다.
도 3은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 접속을 허용할 경우 게이트웨이 구동 과정을 설명하기 위한 흐름도다.
도 4는 본 발명의 일실시예에 있어서, 사내 망 내의 디바이스에서 생성된 데이터 패킷의 구성을 설명하기 위한 일례이다.
도 5는 두 개 이상의 NIC가 활성화 된 디바이스를 통한 데이터 패킷의 전송 과정을 설명하기 위한 일례이다.
도 6은 본 발명의 일실시예에 있어서, NIC의 MAC 층과 네트워크 층 간에 전달되는 IP 패킷의 구성을 설명하기 위한 일례이다.
도 7은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 데이터 전송을 위한 데이터 패킷의 구성을 설명하기 위한 일례이다.
도 8은 본 발명의 일실시예에 있어서, 사내 망에서 외부 네트워크로의 접속을 제한하는 게이트웨이 탐지 과정을 설명하기 위한 흐름도다.
도 9는 본 발명의 일실시예에 있어서, 사내 망의 게이트웨이 탐지 장치의 내부 구성을 설명하기 위한 블록도이다.
<도면의 주요 부분에 대한 부호의 설명>
101: 제1 NIC
102: 제2 NIC
910: NIC 확인부
920: IP 획득부
930: IP 비교부
940: 접속 제어부

Claims (18)

  1. 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 판단하는 단계; 및,
    적어도 두 개의 인터넷 환경에 접속 가능한 상태일 경우 사내 망(private network)과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 단계
    를 포함하는 게이트웨이 탐지 방법.
  2. 제1항에 있어서,
    적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 판단하는 단계는,
    적어도 두 개의 NIC(network interface card)가 활성화 상태인지 여부를 판단하는 단계를 포함하고,
    상기 NIC는,
    상기 사내 망과의 접속을 위한 제1 NIC와, 상기 외부 네트워크와의 접속을 위한 제2 NIC를 포함하는 것
    을 특징으로 하는 게이트웨이 탐지 방법.
  3. 제2항에 있어서,
    사내 망과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 단계는,
    상기 제1 NIC와 제2 NIC를 통해 송수신되는 IP 패킷(internet protocol packet)을 이용하여 게이트웨이 구동 여부를 판단하는 단계
    를 포함하는 게이트웨이 탐지 방법.
  4. 제3항에 있어서,
    상기 제1 NIC와 제2 NIC를 통해 송수신되는 IP 패킷을 이용하여 게이트웨이 구동 여부를 판단하는 단계는,
    상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계와,
    동일한 IP 패킷이 상기 제1 NIC와 제2 NIC에 존재할 경우 상기 게이트웨이가 구동하고 있는 것으로 판단하는 단계
    를 포함하는 게이트웨이 탐지 방법.
  5. 제4항에 있어서,
    상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계는,
    상기 IP 패킷의 헤더(header)와 페이로드(payload)를 비교하는 것
    을 특징으로 하는 게이트웨이 탐지 방법.
  6. 제4항에 있어서,
    상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계는,
    상기 사내 망에서 외부 네트워크로의 접속이 이루어질 경우, 상기 사내 망으로부터 상기 제1 NIC로 전송된 IP 패킷을 일정시간 유지하면서 상기 제2 NIC로 전달되는 IP 패킷과 비교하고,
    상기 외부 네트워크에서 사내 망으로의 접속이 이루어질 경우, 상기 외부 네트워크로부터 상기 제2 NIC로 전송된 IP 패킷을 일정시간 유지하면서 상기 제1 NIC로 전달되는 IP 패킷과 비교하는 것
    을 특징으로 하는 게이트웨이 탐지 방법.
  7. 제6항에 있어서,
    상기 사내 망에서 외부 네트워크로의 접속이 이루어질 경우, 상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계는,
    상기 제1 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득하는 단계와,
    일정시간 후 상기 제2 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득하는 단계와,
    상기 제1 NIC에서 획득한 IP 패킷을 상기 제2 NIC에서 획득한 IP 패킷과 비교하는 단계를 포함하고,
    상기 일정시간은 IP 패킷을 제1 NIC의 네트워크 층에서 제2 NIC의 네트워크 층으로 전송하는데 소요되는 시간인 것
    을 특징으로 하는 게이트웨이 탐지 방법.
  8. 제6항에 있어서,
    상기 외부 네트워크에서 사내 망으로의 접속이 이루어질 경우, 상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷을 비교하는 단계는,
    상기 제2 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득하는 단계와,
    일정시간 후 상기 제1 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득하는 단계와,
    상기 제2 NIC에서 획득한 IP 패킷을 상기 제1 NIC에서 획득한 IP 패킷과 비교하는 단계를 포함하고,
    상기 일정시간은 상기 IP 패킷을 제2 NIC의 네트워크 층에서 제1 NIC의 네트워크 층으로 전송하는데 소요되는 시간인 것
    을 특징으로 하는 게이트웨이 탐지 방법.
  9. 제4항에 있어서,
    상기 제1 NIC와 제2 NIC를 통해 송수신되는 IP 패킷을 이용하여 게이트웨이 구동 여부를 판단하는 단계는,
    상기 게이트웨이가 구동하고 있는 것으로 판단되면 상기 사내 망 또는 상기 외부 네트워크와의 접속을 제한하는 단계
    를 더 포함하는 게이트웨이 탐지 방법.
  10. 제1항 내지 제9항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
  11. 적어도 두 개의 인터넷 환경에 접속 가능한 상태인지 확인하기 위한 상태 확인부; 및,
    적어도 두 개의 인터넷 환경에 접속 가능한 상태일 경우 사내 망(private network)과 외부 네트워크 간의 접속을 위한 게이트웨이 구동을 탐지하는 게이트웨이 탐지부
    를 포함하는 게이트웨이 탐지 장치.
  12. 제11항에 있어서,
    상기 상태 확인부는,
    상기 사내 망과의 접속을 위한 제1 NIC(network interface card)와 상기 외부 네트워크와의 접속을 제2 NIC가 활성화 상태인지 여부를 확인하는 NIC 확인부
    를 포함하는 게이트웨이 탐지 장치.
  13. 제12항에 있어서,
    상기 게이트웨이 탐지부는,
    상기 제1 NIC와 제2 NIC에 존재하는 IP 패킷(internet protocol packet)을 비교하여 상기 게이트웨이 구동을 탐지하는 것
    을 특징으로 하는 게이트웨이 탐지 장치.
  14. 제13항에 있어서,
    상기 게이트웨이 탐지부는,
    상기 제1 NIC의 TCP/IP 스택과 상기 제2 NIC의 TCP/IP 스택을 통해 송수신되는 IP 패킷을 각각 획득하는 IP 획득부와,
    상기 제1 NIC에서 획득한 IP 패킷과 상기 제2 NIC에서 획득한 IP 패킷을 비교하는 IP 비교부
    를 포함하는 게이트웨이 탐지 장치.
  15. 제14항에 있어서,
    상기 IP 획득부는,
    상기 사내 망에서 외부 네트워크로의 접속이 이루어질 경우 상기 제1 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득한 후 상기 제2 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득하고,
    상기 외부 네트워크에서 사내 망으로의 접속이 이루어질 경우 상기 제2 NIC의 MAC 층에서 네트워크 층으로 전달되는 IP 패킷을 획득한 후 상기 제1 NIC의 네트워크 층에서 MAC 층으로 전달되는 IP 패킷을 획득하는 것
    을 특징으로 하는 게이트웨이 탐지 장치.
  16. 제14항에 있어서,
    상기 IP 비교부는,
    상기 제1 NIC의 IP 패킷과 상기 제2 NIC의 IP 패킷의 헤더(header)와 페이로드(payload)를 비교하는 것
    을 특징으로 하는 게이트웨이 탐지 장치.
  17. 제14항에 있어서,
    상기 IP 비교부는,
    동일한 IP 패킷이 상기 제1 NIC와 제2 NIC에 존재할 경우 상기 게이트웨이가 구동하고 있는 것으로 판단하는 것
    을 특징으로 하는 게이트웨이 탐지 장치.
  18. 제17항에 있어서,
    상기 게이트웨이 탐지부는,
    상기 게이트웨이가 구동하고 있는 것으로 판단되면 상기 사내 망 또는 외부 네트워크와의 접속을 제한하는 접속 제어부
    를 더 포함하는 게이트웨이 탐지 장치.
KR1020080008782A 2008-01-28 2008-01-28 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치 KR20090082815A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080008782A KR20090082815A (ko) 2008-01-28 2008-01-28 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치
US12/190,222 US20090190602A1 (en) 2008-01-28 2008-08-12 Method for detecting gateway in private network and apparatus for executing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080008782A KR20090082815A (ko) 2008-01-28 2008-01-28 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치

Publications (1)

Publication Number Publication Date
KR20090082815A true KR20090082815A (ko) 2009-07-31

Family

ID=40899168

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080008782A KR20090082815A (ko) 2008-01-28 2008-01-28 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치

Country Status (2)

Country Link
US (1) US20090190602A1 (ko)
KR (1) KR20090082815A (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG150411A1 (en) * 2007-09-05 2009-03-30 Creative Tech Ltd Method of enabling access to data protected by firewall
US8892210B2 (en) 2008-07-02 2014-11-18 Niveus Medical, Inc. Devices, systems, and methods for automated optimization of energy delivery
US9341044B2 (en) 2012-11-13 2016-05-17 Baker Hughes Incorporated Self-energized seal or centralizer and associated setting and retraction mechanism

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5758109A (en) * 1990-03-19 1998-05-26 Thomas A. Gafford Repeater/switch for distributed arbitration digital data buses
US6052733A (en) * 1997-05-13 2000-04-18 3Com Corporation Method of detecting errors in a network
US7756956B2 (en) * 2002-11-14 2010-07-13 Canon Development Americas, Inc. Mimic support address resolution
KR100689554B1 (ko) * 2004-10-07 2007-03-02 삼성전자주식회사 광대역 무선 접속 통신 시스템에서 옥내 및 옥외 무선접속을 제공하는 장치 및 방법
US7693045B2 (en) * 2004-12-29 2010-04-06 Hewlett-Packard Development Company, L.P. Verifying network connectivity
US7460510B2 (en) * 2005-04-01 2008-12-02 Cml Emergency Services Inc. Radio gateway system and method for interfacing a radio system and an IP network
US7599300B2 (en) * 2005-08-31 2009-10-06 Time Warner Cable, Inc. Cable modem analysis system and method therefor for an HFC cable network
US7917124B2 (en) * 2005-09-20 2011-03-29 Accenture Global Services Limited Third party access gateway for telecommunications services
FR2897496A1 (fr) * 2006-02-15 2007-08-17 France Telecom Gestion d'une communication entre un systeme de telecommunications et un serveur
US20070291704A1 (en) * 2006-06-14 2007-12-20 Inventec Corporation Internet protocol address take-over system in a local area network and method thereof
US8139515B2 (en) * 2007-12-27 2012-03-20 Motorola Mobility, Inc. Device and method of managing data communications of a device in a network via a split tunnel mode connection

Also Published As

Publication number Publication date
US20090190602A1 (en) 2009-07-30

Similar Documents

Publication Publication Date Title
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
CN103051601B (zh) 用于提供网络安全的方法
US8387131B2 (en) Enforcing secure internet connections for a mobile endpoint computing device
US20070180088A1 (en) Seamless roaming across multiple data networks
CN101455041B (zh) 网络环境的检测
US9294461B2 (en) Virtual private network dead peer detection
WO2008005376A2 (en) Implementation of malware countermeasures in a network device
US20140115705A1 (en) Method for detecting illegal connection and network monitoring apparatus
CN105430011A (zh) 一种检测分布式拒绝服务攻击的方法和装置
US20070101409A1 (en) Exchange of device parameters during an authentication session
CN114598489A (zh) 一种确定信任终端的方法及相关装置
KR101775325B1 (ko) Nat 장치를 탐지하기 위한 방법 및 장치
US9444845B2 (en) Network security apparatus and method
KR20090082815A (ko) 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치
WO2015018200A1 (zh) 防火墙设备中检测引擎的升级方法及装置
US8950000B1 (en) Application digital rights management (DRM) and portability using a mobile device for authentication
US20150334115A1 (en) Dynamic provisioning of virtual systems
KR101977612B1 (ko) 네트워크관리장치 및 방법
KR101090630B1 (ko) 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치
EP2232810A1 (en) Automatic proxy detection and traversal
Sontakke et al. Impact and analysis of denial-of-service attack on an autonomous vehicle test bed setup
KR101490227B1 (ko) 트래픽 제어 방법 및 장치
US11411772B1 (en) Establishing tunneling connection over restrictive networks
US20230199024A1 (en) Systems and methods for avoiding offloading traffic flows associated with malicious data
KR101728760B1 (ko) Dns 변조를 통한 파밍 공격 방지 장치 및 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid