KR20180026254A - Network security system and method for displaying a blocked site - Google Patents

Network security system and method for displaying a blocked site Download PDF

Info

Publication number
KR20180026254A
KR20180026254A KR1020160113389A KR20160113389A KR20180026254A KR 20180026254 A KR20180026254 A KR 20180026254A KR 1020160113389 A KR1020160113389 A KR 1020160113389A KR 20160113389 A KR20160113389 A KR 20160113389A KR 20180026254 A KR20180026254 A KR 20180026254A
Authority
KR
South Korea
Prior art keywords
client terminal
dns
server
certificate
packet
Prior art date
Application number
KR1020160113389A
Other languages
Korean (ko)
Inventor
임준혁
이용환
박민혁
조지현
정철
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020160113389A priority Critical patent/KR20180026254A/en
Publication of KR20180026254A publication Critical patent/KR20180026254A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a network security system for displaying a blocked site and a method thereof. The method enables a DNS blocking server to mirror a DNS query packet through network equipment to which a client terminal is connected, generates and transmits a fake DNS response packet to the client terminal when a DNS query domain address, extracted from the DNS query packet, is a management target domain address, generates and transmits a private certificate to the client terminal if a warning device receives a certificate request packet from the client terminal, and transmits a warning page, which corresponds to a policy, to the client terminal if the request packet is received from the client terminal.

Description

차단 사이트를 표시하는 네트워크 보안 시스템 및 방법{Network security system and method for displaying a blocked site}TECHNICAL FIELD [0001] The present invention relates to a network security system and a method for displaying blocked sites,

아래의 설명은 정보 유출을 방지하는 기술에 관한 것으로, 네트워크 보안 방법에 관한 것이다. The following description relates to a technique for preventing information leakage, and relates to a network security method.

정보 통신 발달로 인하여 언제 어디서나 인터넷에 접속하여 정보를 교환할 수 있게 되었으나, 이면에는 불건전한 정보를 제공하는 유해 사이트들이 많이 존재하고 있다. 정보 유출 및 해킹에 대한 위험이 더욱 커지게 되면서 네트워크 보안에 대한 관심이 높아지고 있다.Due to the development of information and communication, it has become possible to access the Internet and exchange information anytime and anywhere. However, there are many harmful sites on the back that provide unhealthy information. As the risks of information leakage and hacking become greater, there is a growing interest in network security.

한국공개특허 제2014-0044987호는 DNS(Domain name system) 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법을 제공함으로써, IP 어드레스 충돌을 방지하여 통신이 원활하게 이루어질 수 있게 한다. 하지만, 상기 특허는 프록시 서버를 이용한 네트워크 보안 시스템은 외부에서 들어오는 패킷을 검사하여 이를 차단할 뿐 내부에서 외부로 나가는 패킷은 차단하지 못한다. 이에 따라, 기존에 설치된 네트워크 환경은 그대로 유지하면서 보안 서비스를 제공할 수 있는 기술이 필요하다.Korean Patent Laid-Open Publication No. 2014-0044987 provides a system and method for detouring an Internet access path through Domain Name System (DNS) packet modulation, thereby preventing IP address collision and enabling smooth communication. However, in the above-mentioned patent, a network security system using a proxy server inspects packets coming from the outside and blocks them, but can not block outgoing packets from the inside. Accordingly, there is a need for a technology capable of providing a security service while maintaining the existing network environment.

또한, 차단 대상이 되는 사이트가 SSL(Secure Sockets Layer) 통신을 이용하는 경우에도, SSL 통신으로 인한 오류 없이 차단된 페이지임을 경고할 수 있는 기술이 필요하다. Further, there is a need for a technique that can warn that the page is a blocked page without error due to SSL communication even when the site to be blocked uses SSL (Secure Sockets Layer) communication.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 차단 사이트를 표시하는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a network security system and method for displaying a blocking site.

구체적으로, 본 발명은 복수개의 경고 서버를 포함하여 정책에 따라 대응하는 경고 페이지를 클라이언트 단말로 제공함으로써 부하를 분산하는 로드 밸런싱을 제공하는 것을 목적으로 한다.Specifically, the present invention aims to provide load balancing that distributes load by providing a warning page corresponding to a policy including a plurality of warning servers to client terminals.

또한, 본 발명은 SSL 통신과 사설 인증서 생성이 가능한 경고 서버를 이용하여 SSL 통신을 필요로 하는 차단 사이트로의 접속이 발생하면, 사설 인증서를 생성하여 제공함으로써, SSL 통신 오류를 방지하면서 차단 사이트임을 표시할 수 있는 네트워크 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.In addition, the present invention generates and provides a private certificate when a connection to a blocked site requiring SSL communication occurs using an alert server capable of generating SSL communication and private certificate, thereby preventing an SSL communication error, And to provide a network security system and method capable of displaying the network security system.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 네트워크 보안 시스템은, 클라이언트 단말이 연결된 네트워크 장비에 연결되어 상기 네트워크 장비를 통하는 DNS 쿼리 패킷을 미러링하고, 상기 DNS 쿼리 패킷의 DNS 쿼리 도메인 주소가 보안 소켓 계층(SSL; Secure Sockets Layer) 통신을 기반으로 하는 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하여 상기 클라이언트 단말로 송신하는 DNS 차단 서버; 및In order to achieve the above object, a network security system according to an embodiment of the present invention includes a client device connected to a network device to mirror a DNS query packet through the network device, A DNS blocking server for generating a fake DNS response packet and transmitting the fake DNS response packet to the client terminal when the domain address is a managed domain address based on Secure Sockets Layer (SSL) communication; And

상기 가짜 DNS 응답 패킷을 수신한 상기 클라이언트 단말로부터 인증서 요청 패킷을 수신하면 사설 인증서를 검색하고, 상기 사설 인증서가 존재하면 상기 사설 인증서를 상기 클라이언트 단말로 송신하고, 상기 사설 인증서가 존재하지 않으면, 상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하고, 상기 클라이언트 단말로부터 요청 패킷을 수신하면 차단된 사이트임을 알리는 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 경고 장치를 포함한다.When receiving the certificate request packet from the client terminal that has received the bogus DNS response packet, searches for a private certificate and transmits the private certificate to the client terminal if the private certificate exists, Generates a private certificate and transmits the private certificate to the client terminal, and when the server receives the request packet from the client terminal, transmits a warning page to the client terminal informing that the site is blocked.

이때, 상기 경고 장치는, 상기 경고 페이지를 제공하는 복수개의 가상의 경고 서버 포함하고, 상기 요청 패킷을 수신하면, 기설정된 정책에 따라 상기 요청 패킷에 대응하는 경고 페이지를 선택하고, 상기 선택된 경고 페이지를 상기 클라이언트 단말로 송신할 수 있다.In this case, the warning device includes a plurality of virtual warning servers for providing the warning page, and upon receiving the request packet, selects a warning page corresponding to the request packet according to a preset policy, To the client terminal.

이때, 상기 정책은, 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 페이지를 나타낼 수 있다.The policy may then indicate a corresponding alert page determined by considering at least one of a source IP, a destination IP, or a server name.

이때, 네트워크 보안 시스템은 기설정된 정책에 따라 각기 다른 경고 페이지를 상기 클라이언트 단말로 송신하는 복수개의 경고 서버들을 더 포함하고, 상기 경고 장치는, 상기 복수개의 경고 서버들 앞 단에 위치하며, 상기 요청 패킷을 수신하면, 상기 정책에 따라 상기 요청 패킷을 처리할 경고 서버를 선택하고, 상기 요청 패킷을 상기 선택된 경고 서버로 송신하여, 상기 선택된 경고 서버에서 경고 페이지를 상기 클라이언트 단말로 송신하도록 할 수 있다.In this case, the network security system further includes a plurality of warning servers for transmitting different warning pages to the client terminal according to a predetermined policy, and the warning device is located at a front end of the plurality of warning servers, Upon receiving the packet, it may select an alert server to process the request packet according to the policy, transmit the request packet to the selected alert server, and transmit the alert page to the client terminal from the selected alert server .

이때, 상기 정책은, 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 서버를 나타낼 수 있다.At this time, the policy may indicate a corresponding alert server determined considering at least one of a source IP, a destination IP, or a server name.

이때, 상기 사설 인증서는, 상기 클라이언트 단말이 접속하고자 하는 사이트에 대응하는 인증서일 수 있다.At this time, the private certificate may be a certificate corresponding to a site to which the client terminal wants to connect.

이때, 상기 경고 장치는, 상기 사설 인증서에 포함되는 정보들 중에서 SSL Client Hello를 이용해서 서버 이름(Server Name)을 획득하고, 상기 사설 인증서에 포함되는 나머지 정보를 상기 경고 장치의 인증서를 통해서 획득하여 상기 사설 인증서를 생성할 수 있다.At this time, the warning device acquires a server name using SSL Client Hello from the information included in the private certificate, and obtains the remaining information included in the private certificate through the certificate of the warning device The private certificate can be generated.

이때, 상기 DNS 차단 서버는, 상기 경고 장치의 IP 주소를 상기 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 상기 가짜 DNS 응답 패킷을 생성할 수 있다.At this time, the DNS blocking server may generate the false DNS response packet by inputting the IP address of the warning device as a response IP address corresponding to the DNS query domain address.

본 발명의 일 실시 예에 따른 네트워크 보안 방법은, DNS 차단 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링하는 단계; 상기 DNS 차단 서버에서 상기 DNS 쿼리 패킷으로부터 DNS 쿼리 도메인 주소를 추출하는 단계; 상기 DNS 차단 서버에서 상기 DNS 쿼리 도메인 주소가 보안 소켓 계층(SSL; Secure Sockets Layer) 통신을 기반으로 하는 관리 대상 도메인 주소인지 판단하는 단계; 상기 DNS 차단 서버에서 상기 DNS 쿼리 도메인 주소가 SSL 통신을 기반으로 하는 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하는 단계; 상기 DNS 차단 서버에서 상기 생성한 가짜 DNS 응답 패킷을 상기 클라이언트 단말에게 송신하는 단계; 및 경고 장치에서 상기 가짜 DNS 응답 패킷을 수신한 상기 클라이언트 단말로부터 인증서 요청 패킷을 수신하면 사설 인증서를 검색하는 단계; 상기 경고 장치에서 상기 사설 인증서가 존재하면 상기 사설 인증서를 상기 클라이언트 단말로 송신하는 단계; 상기 경고 장치에서 상기 사설 인증서가 존재하지 않으면, 상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하는 단계; 및 상기 경고 장치에서 상기 클라이언트 단말로부터 요청 패킷을 수신하면 차단된 사이트임을 알리는 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계를 포함한다.A network security method according to an embodiment of the present invention includes: mirroring a DNS query packet through a network device to which a client terminal is connected in a DNS blocking server; Extracting a DNS query domain address from the DNS query packet in the DNS blocking server; Determining from the DNS blocking server whether the DNS query domain address is a managed domain address based on secure sockets layer (SSL) communication; Generating a spurious DNS response packet in the DNS blocking server if the DNS query domain address is a managed domain address based on SSL communication; Transmitting the generated dummy DNS response packet from the DNS blocking server to the client terminal; And retrieving a private certificate upon receiving a certificate request packet from the client terminal that has received the fake DNS response packet from the warning device; Transmitting the private certificate to the client terminal if the private certificate exists in the warning device; Generating the private certificate and transmitting the private certificate to the client terminal if the private certificate does not exist in the warning device; And receiving a request packet from the client terminal in the warning device, causing a warning page to be transmitted to the client terminal indicating that the site is blocked.

이때, 상기 경고 장치에서 상기 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계는, 상기 요청 패킷을 수신하면, 기설정된 정책에 따라 상기 요청 패킷에 대응하는 경고 페이지를 선택하는 단계; 및 상기 선택된 경고 페이지를 상기 클라이언트 단말로 송신하는 단계를 포함할 수 있다.The step of causing the warning device to transmit the warning page to the client terminal includes the steps of: when receiving the request packet, selecting an alert page corresponding to the request packet according to a preset policy; And transmitting the selected warning page to the client terminal.

이때, 상기 정책은, 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 페이지를 나타낼 수 있다.The policy may then indicate a corresponding alert page determined by considering at least one of a source IP, a destination IP, or a server name.

이때, 상기 경고 장치에서 상기 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계는, 기설정된 정책에 따라 각기 다른 경고 페이지를 상기 클라이언트 단말로 송신하는 복수개의 경고 서버들 앞 단에 위치하는 상기 경고서버에서 상기 요청 패킷을 수신하면, 상기 정책에 따라 상기 요청 패킷을 처리할 경고 서버를 선택하는 단계; 및 상기 요청 패킷을 상기 선택된 경고 서버로 송신하여, 상기 선택된 경고 서버에서 경고 페이지를 상기 클라이언트 단말로 송신하도록 하는 단계를 포함할 수 있다.In this case, the step of causing the warning device to transmit the warning page to the client terminal may include transmitting the warning page to the client terminal in response to the preset policy, Upon receiving the request packet, selecting an alert server to process the request packet according to the policy; And transmitting the request packet to the selected alert server so that the selected alert server transmits the alert page to the client terminal.

이때, 상기 정책은, 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 서버를 나타낼 수 있다.At this time, the policy may indicate a corresponding alert server determined considering at least one of a source IP, a destination IP, or a server name.

이때, 상기 사설 인증서는, 상기 클라이언트 단말이 접속하고자 하는 사이트에 대응하는 인증서임을 특징으로 할 수 있다.Here, the private certificate may be a certificate corresponding to a site to which the client terminal is to access.

이때, 상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하는 단계는, 상기 사설 인증서에 포함되는 정보들 중에서 SSL Client Hello를 이용해서 서버 이름(Server Name)을 획득하는 단계; 상기 사설 인증서에 포함되는 나머지 정보를 상기 경고 장치의 인증서를 통해서 획득하는 단계; 및 상기 획득된 서버 이름과 상기 나머지 정보들을 포함하는 상기 사설 인증서를 생성하는 단계를 포함할 수 있다.In this case, the step of generating the private certificate and transmitting the private certificate to the client terminal includes: obtaining a server name using SSL Client Hello among the information included in the private certificate; Obtaining remaining information included in the private certificate through the certificate of the warning device; And generating the private certificate including the obtained server name and the remaining information.

이때, 상기 가짜 DNS 응답 패킷을 생성하는 단계는, 상기 경고 장치의 IP 주소를 상기 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 상기 가짜 DNS 응답 패킷을 생성하는 단계를 포함할 수 있다.The generating of the dummy DNS response packet may include generating the dummy DNS response packet by inputting the IP address of the warning device as a response IP address corresponding to the DNS query domain address.

본 발명은 DNS 차단 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링하고, DNS 쿼리 패킷으로부터 추출한 DNS 쿼리 도메인 주소가 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하여 클라이언트 단말에게 송신하고, 경고 서버에서 클라이언트 단말로부터 인증서 요청 패킷을 수신하면 사설 인증서를 생성하여 클라이언트 단말로 송신하고, 클라이언트 단말로부터 요청 패킷을 수신하면 차단된 사이트임을 알리는 경고 페이지를 클라이언트 단말로 송신하는 네트워크 보안 시스템에 관한 것으로, DNS 차단 서버가 고장 나더라도 네트워크 통신을 계속하여 수행될 수 있으며, 관리 대상 도메인이 SSL(Secure Sockets Layer) 통신을 이용하는 경우에도, SSL 통신으로 인한 오류 없이 차단된 페이지임을 경고할 수 있다.The present invention is a method for mirroring a DNS query packet through a network device connected to a client terminal in a DNS blocking server and generating a false DNS response packet when the DNS query domain address extracted from the DNS query packet is a managed domain address When receiving the certificate request packet from the client terminal, the alert server generates a private certificate and transmits it to the client terminal. Upon receiving the request packet from the client terminal, a warning page informing the client terminal of the blocked site is transmitted to the client terminal The present invention is directed to a network security system that can perform network communication even if the DNS blocking server fails and can prevent the network traffic from being blocked even if the managed domain uses SSL (Secure Sockets Layer) To warn of There.

도 1은 일 실시예에 따른 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 네트워크 보안 시스템의 DNS 차단 서버에서 DNS 쿼리 패킷을 처리하는 과정을 도시한 흐름도이다.
도 3은 일 실시예에 따른 네트워크 보안 시스템의 경고 서버에서 관리 대상으로의 접속을 요청하면 차단된 페이지임을 경고하는 과정을 도시한 흐름도이다.
도 4는 일 실시예에 따라 클라이언트 단말이 SSL 통신을 요구하는 관리 대상의 사이트로 접속을 요청했을 때의 흐름을 도시한 도면이다.
도 5는 일 실시예에 따른 DNS 차단 서버의 리스트를 나타낸 예이다.1 is a block diagram illustrating a network security system according to an embodiment of the present invention.
2 is a flowchart illustrating a process of processing a DNS query packet in a DNS blocking server of a network security system according to an exemplary embodiment.
FIG. 3 is a flowchart illustrating a process for alerting a warning server of a network security system according to an exemplary embodiment of the present invention when a connection to a management target is requested.
4 is a diagram showing a flow when a client terminal requests a connection to a site to be managed which requires SSL communication according to an embodiment.
FIG. 5 shows an example of a list of DNS blocking servers according to an embodiment.

상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.Other objects and features of the present invention will become apparent from the following description of embodiments with reference to the accompanying drawings.

본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.However, the present invention is not limited to or limited by the embodiments. Like reference symbols in the drawings denote like elements.

이하에서는, 본 발명의 일 실시 예에 따른 차단 사이트를 표시하는 네트워크 보안 시스템 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.Hereinafter, a network security system and method for displaying a blocking site according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 5.

도 1은 일 실시예에 따른 네트워크 보안 시스템의 개략적인 구성을 도시한 도면이다.1 is a block diagram illustrating a network security system according to an embodiment of the present invention.

도 1을 참조하면, 네트워크 환경에서 클라이언트 단말(160)로부터 인터넷(100)에 접속할 때, 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결될 수 있다. 클라이언트 단말(160)은 스위치(170) 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트 단말(160)은 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다. Referring to FIG. 1, when connecting to the Internet 100 from a client terminal 160 in a network environment, the client terminal 160 may be connected to a switch 170 or a router. The client terminal 160 may be connected to the switch 170 or the router to enable network connection and data transmission. At this time, at least one client of the client terminal 160 can be connected to the Internet. For example, the client may be a terminal such as a PC or a smart phone.

DNS 차단 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링할 수 있다. DNS 차단 서버(140)는 관리 대상 도메인 주소들의 리스트를 저장할 수 있다. 예를 들면, DNS 차단 서버(140)는 관리 대상 도메인 주소인 www.aaa.com, www.bbb.com, www.ccc.com을 저장하고 있을 수 있다. The DNS blocking server 140 may be connected to the network equipment to which the client terminal 160 is connected and may mirror the DNS query packet through the network equipment. The DNS blocking server 140 may store a list of managed domain addresses. For example, the DNS blocking server 140 may store the managed domain addresses www.aaa.com, www.bbb.com, and www.ccc.com.

DNS 쿼리 패킷은 인터넷(100)을 통하여 외부 DNS 서버(120)로도 전달될 수 있고, 미러링을 통하여 DNS 차단 서버(140)로도 전달될 수 있다. DNS 차단 서버(140)는 DNS 쿼리 패킷 내에 포함된 DNS 쿼리 도메인 주소를 추출할 수 있다. 예를 들면, DNS 쿼리 패킷 내에 포함된 DNS 쿼리 도메인 주소인 www.abc.com를 추출할 수 있다. 이때, DNS 쿼리 도메인 주소가 관리 대상 도메인 주소인지 판단할 수 있다. DNS 차단 서버(140)에 저장되어 있는 관리 대상 도메인 주소들의 리스트와 DNS 쿼리 도메인 주소를 비교함으로써 관리 대상 도메인 주소인지 판단할 수 있다.The DNS query packet may be transmitted to the external DNS server 120 through the Internet 100 or may be transmitted to the DNS blocking server 140 through mirroring. The DNS blocking server 140 can extract the DNS query domain address included in the DNS query packet. For example, you can extract the DNS query domain address, www.abc.com, contained within the DNS query packet. At this time, it is possible to determine whether the DNS query domain address is a managed domain address. It is possible to determine whether the address is a managed domain address by comparing the list of the managed domain addresses stored in the DNS blocking server 140 with the DNS query domain address.

DNS 쿼리 도메인 주소가 관리 대상 도메인 주소가 아닌 경우, www서버(미도시)는 인터넷(100)을 통해 외부 DNS 서버(120)로 전달된 DNS 쿼리 패킷에 대한 DNS 응답 패킷을 클라이언트 단말(160)에게 전달할 수 있다. 클라이언트 단말(160)은 정상적으로 DNS 응답 패킷을 이용하여 목적지 사이트에 접속하여 통신을 수행할 수 있다. DNS 응답 패킷은 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 응답하여 제공될 수 있고, 도메인 네임에 대응하는 아이피 주소를 포함할 수 있다.If the DNS query domain address is not the address of the managed domain, the www server (not shown) sends a DNS response packet for the DNS query packet transmitted to the external DNS server 120 via the Internet 100 to the client terminal 160 . The client terminal 160 can normally access the destination site using the DNS response packet to perform communication. The DNS response packet may be provided in response to a DNS query packet requesting an IP address corresponding to a domain name, and may include an IP address corresponding to a domain name.

DNS 쿼리 패킷의 DNS 쿼리 도메인 주소가 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하여 스위치(170)를 통해 클라이언트 단말(160)로 송신할 수 있다. DNS 차단 서버(140)는 경고 장치(150)의 IP 주소 또는 경고 장치(150)의 뒷단에 연결된 경고 서버(151, 152)들 중에서 하나의 IP 주소를 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 가짜 DNS 응답 패킷을 생성할 수 있다. If the DNS query domain address of the DNS query packet is a managed domain address, a fake DNS response packet may be generated and transmitted to the client terminal 160 via the switch 170. The DNS blocking server 140 sets the IP address of the warning device 150 or one of the warning servers 151 and 152 connected to the rear end of the warning device 150 as a response IP address corresponding to the DNS query domain address You can create a fake DNS response packet by typing.

DNS 차단 서버(140)는 생성한 DNS 응답 패킷을 스위치(170)를 통해 클라이언트 단말(160)에게 송신할 수 있다. 예를 들면, DNS 쿼리 도메인 주소인 www.abc.com이 관리 대상 도메인 주소라면, DNS 차단 서버(140)는 경고 서버(150)의 IP 주소(예를 들면, 10.10.10.10)를 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 가짜 DNS 응답 패킷을 생성할 수 있고, 생성된 가짜 DNS 응답 패킷을 클라이언트 단말(160)에게 송신할 수 있다. The DNS blocking server 140 may transmit the generated DNS response packet to the client terminal 160 via the switch 170. For example, if the DNS query domain address www.abc.com is a managed domain address, the DNS blocking server 140 sets the IP address (for example, 10.10.10.10) of the warning server 150 to the DNS query domain address To generate a spoofed DNS response packet, and to transmit the generated spoofed DNS response packet to the client terminal 160.

클라이언트 단말(160)은 DNS 응답 패킷을 수신하고, 경고 장치(150)에 접속할 수 있다. 경고 장치(150)는 가짜 DNS 응답 패킷을 이용하여 생성된 클라이언트 단말(160)로부터의 요청 패킷을 수신하면, 차단된 사이트임을 알리는 경고 페이지를 클라이언트 단말(160)로 송신한다.The client terminal 160 may receive the DNS response packet and may connect to the warning device 150. [ Upon receiving a request packet from the client terminal 160 generated using the false DNS response packet, the warning device 150 transmits a warning page to the client terminal 160 indicating that the site is the blocked site.

한편, 클라이언트 단말(160)은 접속하려는 사이트가 SSL(Secure Sockets Layer) 통신을 요구하는 사이트인 경우, 클라이언트 단말(160)은 사이트의 접속을 요청하는 요청 패킷을 경고 장치(150)로 송신하기 전에 SSL 통신을 위한 인증서를 요청하는 인증서 요청 패킷을 경고 장치(150)에 포함된 경고 장치(150)로 송신할 수 있다.If the site to which the client terminal 160 is connected is a site requiring SSL (Secure Sockets Layer) communication, the client terminal 160 transmits the request packet to the warning device 150 To the warning device 150 included in the warning device 150, a certificate request packet requesting a certificate for SSL communication.

경고 장치(150)는 복수개의 경고 서버들(151, 152) 앞 단에 위치하여 프락시(proxy) 서버 역할을 수행할 수 있으며, 가짜 DNS 응답 패킷을 수신한 클라이언트 단말(160)로부터 요청 패킷을 수신하면 기설정된 정책에 따라 요청 패킷을 처리할 경고 서버를 선택하고, 선택된 경고 서버에서 차단된 사이트임을 알리는 경고 페이지를 클라이언트 단말(160)로 송신하도록 할 수 있다. 이때, 기설정된 정책은 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 서버를 나타내는 정책일 수 있다.The warning device 150 is located at the front end of the plurality of warning servers 151 and 152 and can act as a proxy server and receives a request packet from the client terminal 160 that has received the bogus DNS response packet The user can select a warning server to process the request packet according to a preset policy and send a warning page to the client terminal 160 informing that the selected warning server is the blocked site. At this time, the predetermined policy may be a policy indicating a corresponding warning server determined in consideration of at least one of a source IP, a destination IP, and a server name.

한편, 복수개의 경고 서버들(151, 152)은 경고 장치(150)에 포함되는 가상의 경고 서버로 경고 장치(150)로 서로 다른 경고 페이지를 제공할 수도 있다. 이 경우, 경고 장치(150)는 요청 패킷을 수신하면, 기설정된 정책에 따라 요청 패킷에 대응하는 경고 페이지를 선택하고, 선택된 경고 페이지를 클라이언트 단말(160)로 송신할 수 있다. 이때, 기설정된 정책은 소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 페이지를 나타낼 수 있다.The plurality of warning servers 151 and 152 may be a virtual warning server included in the warning device 150, and may provide different warning pages to the warning device 150. In this case, upon receiving the request packet, the warning device 150 may select a warning page corresponding to the request packet according to a predetermined policy, and transmit the selected warning page to the client terminal 160. [ At this time, the predetermined policy may indicate a corresponding warning page determined by considering at least one of the source IP, the destination IP, or the server name.

예를 들어 정책이 특정 클라이언트 IP 대역으로부터 수신되는 요청 패킷의 경우 제1 경고 페이지를 제공하고, 그 외 클라이언트 IP 대역으로부터 수신되는 요청 패킷의 경우 제2 경고 페이지를 제공하는 경우, 요청 패킷에 포함된 클라이언트 IP 정보를 기반으로 클라이언트 단말(160)로 제공할 경고 페이지를 선택할 수 있다. 즉, 클라이언트 IP 대역이 A회사인 경우 A회사에 관련된 경고 페이지를 제공하고, 클라이언트 IP 대역이 B회사인 경우 B회사에 관련된 경고 페이지를 제공하고,For example, if a policy provides a first alert page for a request packet received from a particular client IP band and a second alert page for a request packet received from another client IP band, Based on the client IP information, a warning page to be provided to the client terminal 160. [ That is, if the client IP band is company A, a warning page related to company A is provided. If the client IP band is company B, a warning page related to company B is provided,

다른 예로, 정책이 목적지 IP에 따라서 서로 다른 경고 페이지를 제공하는 경우, 수신되는 요청 패킷의 목적지 IP에 따라 대응하는 경고 페이지를 클라이언트 단말(160)로 제공할 수 있다.As another example, if the policy provides different alert pages according to the destination IP, it may provide a corresponding alert page to the client terminal 160 according to the destination IP of the received request packet.

경고 장치(150)는 클라이언트 단말(160)로부터 요청 패킷을 수신하기 전에, 클라이언트 단말(160)로부터 인증서 요청 패킷을 수신하면 사설 인증서를 생성하여 클라이언트 단말(160)로 송신할 수 있다. 즉, 경고 장치(150)는 SSL 통신을 지원할 수 있다. 이때, 사설 인증서는 클라이언트 단말(160)이 접속하고자 하는 사이트에 대응하는 인증서일 수 있다. When the warning device 150 receives the certificate request packet from the client terminal 160 before receiving the request packet from the client terminal 160, the warning device 150 may generate a private certificate and transmit the private certificate to the client terminal 160. That is, the warning device 150 can support SSL communication. At this time, the private certificate may be a certificate corresponding to the site to which the client terminal 160 intends to access.

그리고, 클라이언트 단말(160)에서 인증서 요청 패킷을 송신하는 것은 SSL 통신을 연결하는 Client Hello, Server Hello, Certificate 의 과정 중에서 Client Hello에 해당하고, 경고 장치(150)에서 사설 인증서를 클라이언트 단말(160)로 송신하는 것은 Certificate에 해당할 수 있다.The transmitting of the certificate request packet from the client terminal 160 corresponds to the client Hello in the course of Client Hello, Server Hello, and Certificate connecting SSL communication. The warning device 150 transmits a private certificate to the client terminal 160, To send a certificate may correspond to a Certificate.

경고 장치(150)는 SSL Client Hello를 이용해서 사설 인증서에 포함되는 정보들 중에서 서버 이름(Server Name)을 획득하고, 사설 인증서에 포함되는 나머지 정보를 경고 장치(150)의 인증서를 통해서 획득하고, 획득한 서버 이름과 나머지 정보를 포함하는 사설 인증서를 생성할 수 있다. 나머지 정보에는 유효 기간의 시작과 끝에 관한 정보, 경고 장치(150)의 인증서에 대한 신뢰성을 검증할 수 있는 정보에 관한 것 일 수 있습니다.The warning device 150 obtains the server name from the information included in the private certificate using the SSL Client Hello and obtains the remaining information included in the private certificate through the certificate of the warning device 150, A private certificate containing the obtained server name and the remaining information can be generated. The remaining information may be information about the beginning and end of the validity period, information that can verify the authenticity of the certificate of the alert device 150.

클라이언트 단말(160)은 사설 인증서를 수신하면, 사설 인증서를 신뢰할 수 있는 여부를 확인하여 인증하고, 인증에 성공하면, 요청 패킷을 경고 장치(150)로 송신할 수 있다.Upon receipt of the private certificate, the client terminal 160 confirms whether the private certificate can be trusted and authenticates. When the authentication is successful, the client terminal 160 can transmit the request packet to the warning device 150.

한편, 경고 장치(150)에서 생성된 사설 인증서가 정당하다고 인증 받기 위해서, 클라이언트 단말(160)는 사전에 경고 장치(150) 또는 경고 서버(151, 152)에 대한 정보를 신뢰할 수 있는 루트 인증 기관으로 기설정한다. 또는, 클라이언트 단말(160)은 경고 장치(150) 또는 경고 서버(151, 152)가 사전에 생성한 사설 인증서를 루트 인증서에 포함시켜 관리 할 수도 있다.The client terminal 160 may send the information about the warning device 150 or the warning server 151 or 152 to the trusted root certification authority 150 in advance in order to authenticate the private certificate generated by the warning device 150. [ . Alternatively, the client terminal 160 may manage the private certificate generated by the warning device 150 or the warning server 151 or 152 by including the private certificate in the root certificate.

종래에는 네트워크 보안 시스템이 고장난 경우, 정상적인 네트워크 접속이 안되는 경우가 많았다. 일 실시예에 따른 네트워크 보안 시스템은 DNS 차단 서버(140)가 고장 나더라도 네트워크 통신을 계속하여 수행되므로 서비스 정지 문제가 발생하지 않는다. 예를 들면, DNS 차단 서버가 고장난 경우라도 미러링되므로 정상 DNS 서버로부터 DNS 응답 패킷이 클라이언트 단말로 전달되므로 클라이언트 단말은 DNS 응답 패킷을 이용하여 정상적인 네트워크 접속을 할 수 있다. In the past, when the network security system failed, normal network connection was often disabled. Even if the DNS blocking server 140 fails, the network security system according to the embodiment does not cause a problem of stopping the service because the network communication is continuously performed. For example, even if the DNS blocking server is malfunctioning, the DNS response packet is transmitted from the normal DNS server to the client terminal, so that the client terminal can make a normal network connection using the DNS response packet.

도 2는 일 실시예에 따른 네트워크 보안 시스템의 DNS 차단 서버에서 DNS 쿼리 패킷을 처리하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of processing a DNS query packet in a DNS blocking server of a network security system according to an exemplary embodiment.

도 2를 참조하면, DNS 차단 서버(140)는 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링 한다(210).Referring to FIG. 2, the DNS blocking server 140 mirrors a DNS query packet through a network device to which the client terminal 160 is connected (210).

그리고, DNS 차단 서버(140)는 DNS 쿼리 패킷으로부터 DNS 쿼리 도메인 주소를 추출한다(220).Then, the DNS blocking server 140 extracts the DNS query domain address from the DNS query packet (220).

그리고, DNS 차단 서버(140)는 DNS 쿼리 도메인 주소가 관리 대상 도메인 주소인지 확인한다(230).The DNS blocking server 140 determines whether the DNS query domain address is a managed domain address (230).

230단계의 확인결과 DNS 쿼리 도메인 주소가 관리 대상 도메인 주소로 판단되면, DNS 차단 서버(140)는 가짜 DNS 응답 패킷을 생성한다(240). 이때, DNS 차단 서버(140)는 경고 장치(150)의 IP 주소를 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 가짜 DNS 응답 패킷을 생성한다.If it is determined in step 230 that the DNS query domain address is the address of the managed domain, the DNS blocking server 140 generates a bogus DNS response packet (240). At this time, the DNS blocking server 140 generates a spurious DNS response packet by inputting the IP address of the warning device 150 as a response IP address corresponding to the DNS query domain address.

그리고, DNS 차단 서버(140)는 생성한 가짜 DNS 응답 패킷을 클라이언트 단말(160)로 송신한다(250).Then, the DNS blocking server 140 transmits the generated bogus DNS response packet to the client terminal 160 (250).

도 3은 일 실시예에 따른 네트워크 보안 시스템의 경고 서버에서 관리 대상으로의 접속을 요청하면 차단된 페이지임을 경고하는 과정을 도시한 흐름도이다.FIG. 3 is a flowchart illustrating a process for alerting a warning server of a network security system according to an exemplary embodiment of the present invention when a connection to a management target is requested.

도 3을 참조하면, 경고 장치(150)는 클라이언트 단말(160)로부터 인증서 요청 패킷을 수신하는지 확인한다(310). Referring to FIG. 3, the warning device 150 confirms whether the certificate request packet is received from the client terminal 160 (310).

310단계의 확인결과 인증서 요청 패킷을 수신하면, 경고 장치(150)는 사설 인증서가 존재하는지 확인한다(320).Upon receipt of the certificate request packet in step 310, the warning device 150 determines whether a private certificate exists (step 320).

310단계의 확인결과 사설 인증서가 존재하면, 경고 장치(150)는 검색된 사설 인증서를 클라이언트 단말(160)로 송신한다(340).If the private certificate exists in step 310, the warning device 150 transmits the retrieved private certificate to the client terminal 160 (340).

310단계의 확인결과 사설 인증서가 존재하지 않으면, 경고 장치(150)는 사설 인증서를 생성하고(330), 생성된 사설 인증서를 클라이언트 단말(160)로 송신한다(340). 이때, 사설 인증서는 SSL Client Hello를 이용해서 획득된 서버 이름(Server Name)과 경고 장치(150)의 인증서를 통해서 획득된 사설 인증서에 포함되는 나머지 정보를 포함하여 생성될 수 있다.If it is determined in step 310 that the private certificate does not exist, the warning device 150 generates a private certificate 330 and transmits the generated private certificate to the client terminal 160 (340). At this time, the private certificate may be generated including the server name obtained by using the SSL Client Hello and the remaining information included in the private certificate obtained through the certificate of the warning device 150.

클라이언트 단말(160)이 접속하고자 하는 사이트에 대응하는 인증서로, 클라이언트 단말(160)이 접속하고자 하는 DNS 쿼리 도메인 주소를 인자로 사용하여 생성된다.Is generated by using the DNS query domain address to which the client terminal 160 wants to connect with a certificate corresponding to the site to which the client terminal 160 wants to connect.

그리고, 경고 장치(150)는 가짜 DNS 응답 패킷을 수신한 클라이언트 단말로(160)부터 사이트의 접속을 요청하는 요청 패킷을 수신하는지 확인한다(330).Then, the warning device 150 confirms whether the request packet requesting connection to the site is received from the client terminal 160 that received the fake DNS response packet (330).

330단계의 확인결과 요청 패킷을 수신하면, 경고 장치(150)는 정책에 따라 요청 패킷에 대응하는 경고 페이지를 선택하고, 선택된 경고 페이지를 클라이언트 단말(160)로 송신한다(340). 이때, 경고 페이지는 차단된 사이트임을 알리는 페이지이다.Upon receiving the request packet in step 330, the warning device 150 selects a warning page corresponding to the request packet according to the policy, and transmits the selected warning page to the client terminal 160 (340). At this time, the warning page is a page indicating that the site is blocked.

도 4는 일 실시예에 따라 클라이언트 단말이 SSL 통신을 요구하는 관리 대상의 사이트로 접속을 요청했을 때의 흐름을 도시한 도면이다.4 is a diagram showing a flow when a client terminal requests a connection to a site to be managed which requires SSL communication according to an embodiment.

도 4를 참조하면, DNS 차단 서버(140)에서 클라이언트 단말(160)이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링 한다(410).Referring to FIG. 4, the DNS blocking server 140 mirrors a DNS query packet through a network device to which the client terminal 160 is connected (410).

DNS 차단 서버(140)에서 DNS 쿼리 패킷으로부터 DNS 쿼리 도메인 주소를 추출하여 관리 대상 도메인 주소인지 확인한 결과 관리 대상 도메인 주소이면(412), 가짜 DNS 응답 패킷을 생성하여 클리이언트 단말(160)로 송신한다(414). 이때, 가짜 DNS 응답 패킷의 응답 IP 주소에는 경고 장치(150)의 IP 주소가 기재된다.If the DNS blocking server 140 extracts a DNS query domain address from the DNS query packet and confirms that the address is a management subject domain address, it is a managed domain address (412) and generates a false DNS response packet to the client terminal 160 (414). At this time, the IP address of the warning device 150 is written in the response IP address of the fake DNS response packet.

클라이언트 단말(160)이 접속하려는 사이트가 SSL 통신을 요구하는 사이트인 경우, 가짜 DNS 응답 패킷을 수신하면, 경고 장치(150)로 인증서 요청 패킷을 경고 장치(150)로 송신한다(416).When the site to which the client terminal 160 is to access is a site requesting SSL communication, if a fake DNS response packet is received, the warning device 150 transmits a certificate request packet to the warning device 150 (416).

경고 장치(150)에서 클라이언트 단말(160)로부터 인증서 요청 패킷을 수신하면(416), 경고 장치(150)는 저장된 사설 인증서를 검색하고, 사설 인증서가 검색되지 않으면, 사설 인증서를 생성한다(418). 이때, 사설 인증서는 클라이언트 단말(160)이 접속하고자 하는 사이트에 대응하는 인증서이다. 사설 인증서는 SSL Client Hello를 이용해서 획득된 서버 이름(Server Name)과 경고 장치(150)의 인증서를 통해서 획득된 사설 인증서에 포함되는 나머지 정보를 포함하여 생성될 수 있다.When the warning device 150 receives the certificate request packet from the client terminal 160 at step 416, the warning device 150 searches the stored private certificate and if the private certificate is not found, . At this time, the private certificate is a certificate corresponding to the site to which the client terminal 160 intends to access. The private certificate may be generated including the server name obtained using the SSL Client Hello and the remaining information included in the private certificate obtained through the certificate of the warning device 150. [

그리고, 경고 장치(150)에 포함된 경고 장치(150)에서 생성한 사설 인증서를 클라이언트 단말(160)로 송신한다(420).Then, the private certificate generated by the warning device 150 included in the warning device 150 is transmitted to the client terminal 160 (420).

클라이언트 단말(160)에서 경고 장치(150)로부터 사설 인증서를 수신하면, 사설 인증서가 정당한지 여부를 인증하고 인증에 성공하면(422), 사설 인증서를 송신한 경고 장치(150)로 사이트의 접속을 요청하는 요청 패킷을 송신한다(424).When the client terminal 160 receives the private certificate from the warning device 150, it verifies whether the private certificate is legitimate. If the authentication is successful (step 422), the warning device 150 transmits the private certificate. And transmits a request packet (424).

경고 장치(150)에서 클라이언트 단말(160)로부터 요청 패킷을 수신하면, 정책에 따라 요청 패킷에 대응하는 경고 페이지를 선택하고, 선택된 경고 페이지를 클라이언트 단말(160)로 송신한다(426).Upon receiving the request packet from the client terminal 160 in the warning device 150, a warning page corresponding to the request packet is selected according to the policy, and the selected warning page is transmitted to the client terminal 160 (426).

도 5는 일 실시예에 따른 DNS 차단 서버의 리스트를 나타낸 예이다.FIG. 5 shows an example of a list of DNS blocking servers according to an embodiment.

도 5를을 참조하면, 도 5는 관리 대상 도메인 주소 리스트를(500) 나타낸 것으로, 관리 대상 도메인 주소는 DNS 차단 서버의 데이터베이스에 저장될 수 있고, 관리 대상 도메인 주소가 저장된 외부 데이터베이스를 이용할 수 있다. 관리 대상 도메인 주소 리스트는 도메인 주소 필드(510), 정보 필드로 구성될 수 있으며, 이외의 필드를 생성하고 저장할 수 있다. 이때, 관리 대상 도메인 주소 리스트는 데이터베이스에 리스트 형태로 저장될 수 있으며, 일정 주기로 관리 대상 도메인 주소가 업데이트될 수 있다. 또한, 관리 대상 도메인 주소 리스트는 도메인 주소를 수정, 추가 및 삭제할 수 있다.5, a managed domain address list 500 is shown. The managed domain address can be stored in a database of a DNS blocking server, and an external database storing a managed domain address can be used . The managed domain address list may include a domain address field 510, an information field, and other fields may be generated and stored. At this time, the list of the managed domain addresses can be stored in a list in the database, and the managed domain addresses can be updated at regular intervals. Also, the managed domain address list can modify, add, and delete domain addresses.

관리 대상 도메인 리스트는 관리 대상 도메인 주소를 저장할 수 있다. 예를 들면, 관리 대상 도메인 리스트는 관리 대상 도메인 주소인 www.plustech.com, www.abc.com, www.zzz.com이 저장되어 있을 수 있다. 또한, 적어도 하나의 웹 메일 사이트의 주소를 포함할 수 있다.The managed domain list can store the managed domain address. For example, the list of managed domains may contain the addresses of the managed domains, www.plustech.com, www.abc.com, and www.zzz.com. It may also include the address of at least one webmail site.

본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 차단 사이트를 표시하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.In the network security system according to an exemplary embodiment of the present invention, a method of displaying a blocking site may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks, and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and specific embodiments and drawings. However, it should be understood that the present invention is not limited to the above- And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

120; DNS 서버
140; DNS 차단 서버
150; 경고 장치
151; 분배 서버
152; 제1 경고 서버
153; 제N 경고 서버
160; 클라이언트 단말
170; 스위치120; DNS server
140; DNS blocking server
150; Warning device
151; Distribution server
152; The first warning server
153; N th warning server
160; Client terminal
170; switch

Claims (16)

클라이언트 단말이 연결된 네트워크 장비에 연결되어 상기 네트워크 장비를 통하는 DNS 쿼리 패킷을 미러링하고, 상기 DNS 쿼리 패킷의 DNS 쿼리 도메인 주소가 보안 소켓 계층(SSL; Secure Sockets Layer) 통신을 기반으로 하는 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하여 상기 클라이언트 단말로 송신하는 DNS 차단 서버; 및
상기 가짜 DNS 응답 패킷을 수신한 상기 클라이언트 단말로부터 인증서 요청 패킷을 수신하면 사설 인증서를 검색하고, 상기 사설 인증서가 존재하면 상기 사설 인증서를 상기 클라이언트 단말로 송신하고, 상기 사설 인증서가 존재하지 않으면, 상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하고, 상기 클라이언트 단말로부터 요청 패킷을 수신하면 차단된 사이트임을 알리는 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 경고 장치
를 포함하는 네트워크 보안 시스템.
A DNS query packet of the DNS query packet is connected to a network device to which a client terminal is connected to mirror a DNS query packet through the network device and a DNS query domain address of the DNS query packet is a management target domain address based on Secure Sockets Layer A DNS blocking server that generates a fake DNS response packet and transmits the fake DNS response packet to the client terminal; And
When receiving the certificate request packet from the client terminal that has received the bogus DNS response packet, searches for a private certificate and transmits the private certificate to the client terminal if the private certificate exists, Generating a private certificate and transmitting the generated private certificate to the client terminal, and receiving an alert packet from the client terminal,
The network security system comprising:
제1항에 있어서,
상기 경고 장치는,
상기 경고 페이지를 제공하는 복수개의 가상의 경고 서버 포함하고,
상기 요청 패킷을 수신하면, 기설정된 정책에 따라 상기 요청 패킷에 대응하는 경고 페이지를 선택하고, 상기 선택된 경고 페이지를 상기 클라이언트 단말로 송신하는
네트워크 보안 시스템.
The method according to claim 1,
The warning device comprises:
A plurality of virtual alert servers providing the alert pages,
Upon receiving the request packet, selects a warning page corresponding to the request packet according to a predetermined policy, and transmits the selected warning page to the client terminal
Network security system.
제2항에 있어서,
상기 정책은,
소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 페이지를 나타내는
네트워크 보안 시스템.
3. The method of claim 2,
The policy includes:
Indicating a corresponding alert page determined by considering at least one of a source IP, a destination IP, or a server name
Network security system.
제1항에 있어서,
기설정된 정책에 따라 각기 다른 경고 페이지를 상기 클라이언트 단말로 송신하는 복수개의 경고 서버들을 더 포함하고,
상기 경고 장치는,
상기 복수개의 경고 서버들 앞 단에 위치하며, 상기 요청 패킷을 수신하면, 상기 정책에 따라 상기 요청 패킷을 처리할 경고 서버를 선택하고, 상기 요청 패킷을 상기 선택된 경고 서버로 송신하여, 상기 선택된 경고 서버에서 경고 페이지를 상기 클라이언트 단말로 송신하도록 하는
네트워크 보안 시스템.
The method according to claim 1,
Further comprising a plurality of warning servers for transmitting different warning pages to the client terminal according to a predetermined policy,
The warning device comprises:
Wherein the alert server is located at a front end of the plurality of alert servers, and when receiving the request packet, selects an alert server to process the request packet according to the policy, transmits the request packet to the selected alert server, The server sends a warning page to the client terminal
Network security system.
제4항에 있어서,
상기 정책은,
소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 서버를 나타내는
네트워크 보안 시스템.
5. The method of claim 4,
The policy includes:
Representing the corresponding alert server determined by considering at least one of the source IP, the destination IP,
Network security system.
제1항에 있어서,
상기 사설 인증서는,
상기 클라이언트 단말이 접속하고자 하는 사이트에 대응하는 인증서임을 특징으로 하는
네트워크 보안 시스템.
The method according to claim 1,
The private certificate includes:
Wherein the certificate is a certificate corresponding to a site to which the client terminal intends to connect
Network security system.
제1항에 있어서,
상기 경고 장치는,
상기 사설 인증서에 포함되는 정보들 중에서 SSL Client Hello를 이용해서 서버 이름(Server Name)을 획득하고, 상기 사설 인증서에 포함되는 나머지 정보를 상기 경고 장치의 인증서를 통해서 획득하여 상기 사설 인증서를 생성하는
네트워크 보안 시스템.
The method according to claim 1,
The warning device comprises:
Acquiring a server name using SSL Client Hello from the information included in the private certificate, acquiring the remaining information included in the private certificate through the certificate of the warning device, and generating the private certificate
Network security system.
제1항에 있어서,
상기 DNS 차단 서버는,
상기 경고 장치의 IP 주소를 상기 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 상기 가짜 DNS 응답 패킷을 생성하는
네트워크 보안 시스템.
The method according to claim 1,
The DNS blocking server,
The IP address of the warning device is input as a response IP address corresponding to the DNS query domain address to generate the fake DNS response packet
Network security system.
DNS 차단 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링하는 단계;
상기 DNS 차단 서버에서 상기 DNS 쿼리 패킷으로부터 DNS 쿼리 도메인 주소를 추출하는 단계;
상기 DNS 차단 서버에서 상기 DNS 쿼리 도메인 주소가 보안 소켓 계층(SSL; Secure Sockets Layer) 통신을 기반으로 하는 관리 대상 도메인 주소인지 판단하는 단계;
상기 DNS 차단 서버에서 상기 DNS 쿼리 도메인 주소가 SSL 통신을 기반으로 하는 관리 대상 도메인 주소인 경우, 가짜 DNS 응답 패킷을 생성하는 단계;
상기 DNS 차단 서버에서 상기 생성한 가짜 DNS 응답 패킷을 상기 클라이언트 단말에게 송신하는 단계; 및
경고 장치에서 상기 가짜 DNS 응답 패킷을 수신한 상기 클라이언트 단말로부터 인증서 요청 패킷을 수신하면 사설 인증서를 검색하는 단계;
상기 경고 장치에서 상기 사설 인증서가 존재하면 상기 사설 인증서를 상기 클라이언트 단말로 송신하는 단계;
상기 경고 장치에서 상기 사설 인증서가 존재하지 않으면, 상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하는 단계; 및
상기 경고 장치에서 상기 클라이언트 단말로부터 요청 패킷을 수신하면 차단된 사이트임을 알리는 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계
를 포함하는 네트워크 보안 방법.
Mirroring a DNS query packet through a network device to which a client terminal is connected in a DNS blocking server;
Extracting a DNS query domain address from the DNS query packet in the DNS blocking server;
Determining from the DNS blocking server whether the DNS query domain address is a managed domain address based on secure sockets layer (SSL) communication;
Generating a spurious DNS response packet in the DNS blocking server if the DNS query domain address is a managed domain address based on SSL communication;
Transmitting the generated dummy DNS response packet from the DNS blocking server to the client terminal; And
Receiving a certificate request packet from the client terminal which has received the fake DNS response packet from the warning device, searching for a private certificate;
Transmitting the private certificate to the client terminal if the private certificate exists in the warning device;
Generating the private certificate and transmitting the private certificate to the client terminal if the private certificate does not exist in the warning device; And
When the warning device receives a request packet from the client terminal, transmitting a warning page to the client terminal informing that the site is blocked
Gt;
제9항에 있어서,
상기 경고 장치에서 상기 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계는,
상기 요청 패킷을 수신하면, 기설정된 정책에 따라 상기 요청 패킷에 대응하는 경고 페이지를 선택하는 단계; 및
상기 선택된 경고 페이지를 상기 클라이언트 단말로 송신하는 단계
를 포함하는 네트워크 보안 방법.
10. The method of claim 9,
The step of causing the warning device to transmit the alert page to the client terminal comprises:
Upon receiving the request packet, selecting an alert page corresponding to the request packet according to a predetermined policy; And
Transmitting the selected warning page to the client terminal
Gt;
제10항에 있어서,
상기 정책은,
소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 페이지를 나타내는
네트워크 보안 방법.
11. The method of claim 10,
The policy includes:
Indicating a corresponding alert page determined by considering at least one of a source IP, a destination IP, or a server name
Network security method.
제9항에 있어서,
상기 경고 장치에서 상기 경고 페이지가 상기 클라이언트 단말로 송신되도록 하는 단계는,
기설정된 정책에 따라 각기 다른 경고 페이지를 상기 클라이언트 단말로 송신하는 복수개의 경고 서버들 앞 단에 위치하는 상기 경고 서버에서 상기 요청 패킷을 수신하면, 상기 정책에 따라 상기 요청 패킷을 처리할 경고 서버를 선택하는 단계; 및
상기 요청 패킷을 상기 선택된 경고 서버로 송신하여, 상기 선택된 경고 서버에서 경고 페이지를 상기 클라이언트 단말로 송신하도록 하는 단계
를 포함하는 네트워크 보안 방법.
10. The method of claim 9,
The step of causing the warning device to transmit the alert page to the client terminal comprises:
When receiving the request packet from the alert server located at the front end of a plurality of alert servers for transmitting different alert pages to the client terminal according to a predetermined policy, the alert server for processing the request packet according to the policy Selecting; And
Sending the request packet to the selected alert server, and transmitting the alert page to the client terminal from the selected alert server
Gt;
제12항에 있어서,
상기 정책은,
소스 IP, 목적지 IP 또는 서버 이름 중에서 적어도 하나를 고려해서 결정된 대응하는 경고 서버를 나타내는
네트워크 보안 방법.
13. The method of claim 12,
The policy includes:
Representing the corresponding alert server determined by considering at least one of the source IP, the destination IP,
Network security method.
제9항에 있어서,
상기 사설 인증서는,
상기 클라이언트 단말이 접속하고자 하는 사이트에 대응하는 인증서임을 특징으로 하는
네트워크 보안 방법.
10. The method of claim 9,
The private certificate includes:
Wherein the certificate is a certificate corresponding to a site to which the client terminal intends to connect
Network security method.
제9항에 있어서,
상기 사설 인증서를 생성하여 상기 클라이언트 단말로 송신하는 단계는,
상기 사설 인증서에 포함되는 정보들 중에서 SSL Client Hello를 이용해서 서버 이름(Server Name)을 획득하는 단계;
상기 사설 인증서에 포함되는 나머지 정보를 상기 경고 장치의 인증서를 통해서 획득하는 단계; 및
상기 획득된 서버 이름과 상기 나머지 정보들을 포함하는 상기 사설 인증서를 생성하는 단계
를 포함하는 네트워크 보안 방법.
10. The method of claim 9,
Generating the private certificate and transmitting the generated private certificate to the client terminal,
Obtaining a server name using SSL Client Hello among the information included in the private certificate;
Obtaining remaining information included in the private certificate through the certificate of the warning device; And
Generating the private certificate including the obtained server name and the remaining information
Gt;
제9항에 있어서,
상기 가짜 DNS 응답 패킷을 생성하는 단계는,
상기 경고 장치의 IP 주소를 상기 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 입력하여 상기 가짜 DNS 응답 패킷을 생성하는 단계
를 포함하는 네트워크 보안 방법.
10. The method of claim 9,
Wherein the generating the spoofed DNS response packet comprises:
Generating the spoof DNS response packet by inputting the IP address of the warning device as a response IP address corresponding to the DNS query domain address
Gt;
KR1020160113389A 2016-09-02 2016-09-02 Network security system and method for displaying a blocked site KR20180026254A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160113389A KR20180026254A (en) 2016-09-02 2016-09-02 Network security system and method for displaying a blocked site

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160113389A KR20180026254A (en) 2016-09-02 2016-09-02 Network security system and method for displaying a blocked site

Publications (1)

Publication Number Publication Date
KR20180026254A true KR20180026254A (en) 2018-03-12

Family

ID=61729160

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160113389A KR20180026254A (en) 2016-09-02 2016-09-02 Network security system and method for displaying a blocked site

Country Status (1)

Country Link
KR (1) KR20180026254A (en)

Similar Documents

Publication Publication Date Title
US10924495B2 (en) Verification method, apparatus, and system used for network application access
US9009465B2 (en) Augmenting name/prefix based routing protocols with trust anchor in information-centric networks
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
US8220032B2 (en) Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
KR20150141362A (en) Network node and method for operating the network node
US9584523B2 (en) Virtual private network access control
US8191131B2 (en) Obscuring authentication data of remote user
US10257171B2 (en) Server public key pinning by URL
CN109347864B (en) Single sign-on method and device based on virtual private network
EP3306900B1 (en) Dns routing for improved network security
US9894057B2 (en) Method and system for managing secure custom domains
KR101522139B1 (en) Method for blocking selectively in dns server and change the dns address using proxy
CN112291204B (en) Access request processing method and device and readable storage medium
US11503025B2 (en) Solution for receiving network service
CN110875903B (en) Security defense method and device
CN110972093B (en) Mobile office implementation method and system
CN104811421A (en) Secure communication method and secure communication device based on digital rights management
KR102062851B1 (en) Single sign on service authentication method and system using token management demon
KR101656615B1 (en) Network security system and method for displaying a blocked site
KR20180026254A (en) Network security system and method for displaying a blocked site
KR101642223B1 (en) Method for deriving the installation of a private certificate
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
WO2022053055A1 (en) Method for accessing broadband access server, server, and storage medium
Krähenbühl et al. Ubiquitous Secure Communication in a Future Internet Architecture
KR101642224B1 (en) Network security system and method for blocking the adult content

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application