[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20030080412A - method of preventing intrusion from an exterior network and interior network - Google Patents

method of preventing intrusion from an exterior network and interior network Download PDF

Info

Publication number
KR20030080412A
KR20030080412A KR1020020019011A KR20020019011A KR20030080412A KR 20030080412 A KR20030080412 A KR 20030080412A KR 1020020019011 A KR1020020019011 A KR 1020020019011A KR 20020019011 A KR20020019011 A KR 20020019011A KR 20030080412 A KR20030080412 A KR 20030080412A
Authority
KR
South Korea
Prior art keywords
network
user
internal
packet
address
Prior art date
Application number
KR1020020019011A
Other languages
Korean (ko)
Inventor
하현
윤영태
Original Assignee
(주)이카디아
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이카디아 filed Critical (주)이카디아
Priority to KR1020020019011A priority Critical patent/KR20030080412A/en
Publication of KR20030080412A publication Critical patent/KR20030080412A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 내부의 시스템들중에서도 보다 높은 보안성을 요구하는 시스템에는 추가적인 인증절차가 요구되어야 함을 알 수 있는 바, 허가된 내부 사용자의 정보를 일반적인 접근제어시스템에서의 두 가지의 판단 근거(IP주소와 포트번호)에 추가시킴으로써 내부 네트워크로의 침입을 방지할 수 있는 내부네트워크 및 외부네트워크로부터의 침입방지방법을 제공한다.According to the present invention, it can be seen that additional authentication procedure is required for the system requiring higher security among the internal systems. In addition to the address and port number), it provides an intrusion prevention method from the internal network and the external network that can prevent intrusion into the internal network.

그 방법은, 다수의 사용자 시스템(17)과 다수의 서버(12)를 포함하여 구성된 내부 네트워크(1)와 외부 네트워크(4)가 연결된 네트워크에서의 내부네트워크 및 외부네트워크로부터의 침입방지방법에 있어서, 상기 내부 네트워크(1)의 다수의 사용자 시스템(17)로부터 전송된 패킷으로부터 허가된 내부 사용자의 정보를 IP주소와 포트번호에 추가시키고, 보호되어야 할 적어도 하나의 서버(12)의 상위라인에 설치된 네트워크침입방지시스템(20)에 의해 해당 패킷으로부터 IP주소, 서비스내용, 사용자 권한 등을 체크하여 허가된 패킷일 때는 접속시키고, 허가된 패킷이 아닐 때에는 접속을 거부하는 사용자 검증단계를 추가함으로써 극도의 보안성을 요하는 내부 네트워크의 해킹을 방지하는 것을 특징으로 한다.The method is a method for preventing intrusion from an internal network and an external network in a network to which an internal network 1 and an external network 4 including a plurality of user systems 17 and a plurality of servers 12 are connected. Information of the authorized internal user from the packets transmitted from the plurality of user systems 17 of the internal network 1 to the IP address and the port number, and to the upper line of the at least one server 12 to be protected. The installed network intrusion prevention system 20 checks the IP address, service contents, user authority, etc. from the packet and connects it to an authorized packet, and adds a user verification step of denying access if the packet is not authorized. It is characterized by preventing the hacking of the internal network that requires the security of.

Description

외부네트워크 및 내부네트워크로부터의 침입방지방법{method of preventing intrusion from an exterior network and interior network}Method of preventing intrusion from an exterior network and interior network}

본 발명은, 외부네트워크 및 내부네트워크로부터의 침입방지방법에 관한 것으로, 더 상세하게는 내부의 시스템들중에서도 보다 높은 보안성을 요구하는 시스템에는 추가적인 인증절차가 요구되어야 함을 알 수 있는 바, 허가된 내부 사용자의 정보를 앞서 지적한 두 가지의 판단 근거(IP주소와 포트번호)에 추가시킴으로써 내부 네트워크로의 침입을 방지할 수 있는 외부네트워크로부터의 침입방지방법에 관한 것이다.The present invention relates to a method for preventing intrusion from an external network and an internal network, and more specifically, it can be seen that an additional authentication procedure is required for a system requiring higher security among internal systems. The present invention relates to an intrusion prevention method from an external network that can prevent an intrusion into an internal network by adding the information of the internal user to the above two determination grounds (IP address and port number).

종래, 내부 네트워크의 취약점을 보안하기 위한 것으로, 도 1에 도시된 바와 같은, 내부 및 외부 네트워크 사이의 네트워크 데이터 패킷트래픽을 제어하는 파이어월 장치 및 방법이 특허출원공개 제2001-0072661호(공개일자: 2001년07월31일, 출원번호 제10-2000-7015107호)에 개시되어 있다. 도 1에서 인트라넷과 같은 내부 네트워크(1)는 PC들, 워크스테이션, 파일 서버 등과 같은 몇개의 네트워크 노드(2)를 포함하며, 그 노드들은 파이어월(3)에 접속된다. 외부 네트워크(4)(인터넷)에 접속된 회사 또는 단체는 제품과 서비스와 같은 회사 관련 정보를 웹 상에서 공표하고, 인터넷 상에서 다른 회사 또는 단체에 의해 공표된 정보에 접속하고, 이메일을 통하여 교신하고자 한다. 그러나, 그 회사는 인터넷 상의 사용자가 접속하도록허용되지 않는 가령, 인트라넷 정보 서버, 파일 서버 등등을 통하여 이용가능한 정보인 내부 정보를 가질 수 있으며, 인터넷 사용자가 공중 정보에 접속하도록 하기 위하여, 인터넷 사용자는 가령, 웹, 이메일 등과 같은 제한된 세트의 서버에 접속되도록 허용되며, 인트라넷 서버와 같은 다른 호스트 상의 정보에 접속하는 것은 거절된다. 그 공중 서버는 '완충 영역'(DMZ)(5)에서 이용가능하며, 이것은 파이어월(3)에 접속된다. 더구나, 파이어월 (3)은 라우터(6)를 통하여 인터넷에 접속되므로, DMZ(5) 내의 노드로의 접속은 외부 네트워크 또는 인터넷(4) 뿐만 아니라 인트라넷(1)으로부터 행해질 수 있지만 인터넷(4)으로부터 인트라넷(1)으로의 접속은 제한된다. 그 파이어월 장치 및 방법은, 내부 및 외부 네트워크 사이의 네트워크 트래픽을 제어하며, 효율적이며 신속한 IP 패킷 필터링을 성취하도록 룰 정합 공정과 능률적인 어드레스 검사를 제공하며, 가능한 접속의 수가 파이어월을 통하여 제한되지 않도록 하는 개선된 것으로, 여기서는 선형으로 탐색될 필요가 있는 룰의 세트는 룰 세트를 세그먼팅함으로써 감소되고, 2 단계 검사, 우선 한 세트의 어드레스 프리픽스에서 패킷의 소스 및 목적지 어드레스 검사를 수행하는 2-차원의 어드레스 검사 수단을 포함하며, 각각의 프리픽스는 전체 룰의 세트중 룰의 서브셋과 관련된다. 선형 탐색은 결과적인 룰의 서브셋 상에서 수행되어 현재의 데이터 패킷에 적용가능한 룰을 발견하도록 한다. 또, 내부 소스 어드레스가 파이어월로부터 전송된 패킷의 외부 소스 어드레스로 변환되거나 외부 소스 어드레스가 파이어월로 전송된 패킷의 내부 소스 어드레스로 변환되는 방식이 이용된다.Conventionally, a firewall apparatus and method for controlling network data packet traffic between an internal and an external network, as shown in FIG. 1, for securing a vulnerability of an internal network, are disclosed in Korean Patent Application Laid-Open No. 2001-0072661 (published date). : July 31, 2001, Application No. 10-2000-7015107. In Figure 1 an internal network 1, such as an intranet, comprises several network nodes 2, such as PCs, workstations, file servers, etc., which are connected to a firewall 3. Companies or organizations connected to the external network 4 (Internet) wish to publish company-related information such as products and services on the web, access information published by other companies or organizations on the Internet, and communicate via e-mail. . However, the company may have internal information that is information that is available to users on the Internet, such as through intranet information servers, file servers, etc., in order to allow Internet users to access public information. For example, it is allowed to connect to a limited set of servers such as web, email, etc., and access to information on other hosts such as intranet servers is denied. The public server is available in the 'buffer zone' (DMZ) 5, which is connected to the firewall 3. Moreover, since the firewall 3 is connected to the Internet via the router 6, the connection to the nodes in the DMZ 5 can be made from the intranet 1 as well as the external network or the Internet 4, but the Internet 4 From intranet to intranet 1 is restricted. The firewall devices and methods control network traffic between internal and external networks, provide rule matching processes and efficient address checking to achieve efficient and fast IP packet filtering, and limit the number of possible connections through the firewall. In this case, the set of rules that need to be searched linearly is reduced by segmenting the rule set, and the two stages of checking the source and destination address of the packet at a set of address prefixes first. -Dimensional address checking means, each prefix being associated with a subset of the rules in the set of total rules. Linear search is performed on a subset of the resulting rules to find rules applicable to the current data packet. In addition, a method in which an internal source address is converted into an external source address of a packet transmitted from the firewall or an external source address is converted into an internal source address of a packet transmitted to the firewall is used.

종래의 침입차단, 침입탐지 및 침입방지 시스템을 비롯한 접근제어(AccessControl)기술을 이용하는 어떤 시스템에서 접근을 제어하는 근거는 IP주소와 포트번호(Port number)에 기반한 서비스 종류였다. 그러나, 이 두 가지의 판단 근거는 내부 네트워크의 민감한 자원으로의 접근 제어 정책을 세우는 데는 부족한 부분이 있다. 왜냐하면, 내부 네트워크의 한 취약한 시스템의 해킹에 성공한 불법 사용자는 허용된 IP를 쥐고 있으므로(침입한 시스템은 내부네트워크와의 통신방법을 알고 있거나, 접근 권한을 가지고 있으므로), 대부분의 내부 중요 자원으로의 접근이 가능하게 될 것이고, 1차에 이어서 보다 위협적인 2차, 3차 공격을 계속적으로 수행할 수 있는 능력을 가지게 될 것이다.The basis for controlling access in any system using AccessControl technology, including conventional intrusion prevention, intrusion detection and intrusion prevention systems, was a kind of service based on IP address and port number. However, these two judgments are insufficient in establishing an access control policy for sensitive resources of the internal network. Because an illegal user who successfully hacks a vulnerable system in an internal network holds an allowed IP (the compromised system knows how to communicate with the internal network or has access), it can access most internal critical resources. Access will be made available, with the ability to continue to carry out the more threatening secondary and tertiary attacks following the first phase.

따라서, 본 발명은, 상술한 문제점들을 해결하기 위해 내부의 시스템들중에서도 보다 높은 보안성을 요구하는 시스템에는 추가적인 인증절차가 요구되어야 함을 알 수 있는 바, 허가된 내부 사용자의 정보를 앞서 지적한 두 가지의 판단 근거(IP주소와 포트번호)에 추가시킴으로써 내부 네트워크로의 침입을 방지할 수 있는 외부네트워크로부터의 침입방지방법을 제공하는 데에 그 목적이 있다. MS-Windows나 Unix-like OS등의 어떠한 시스템을 사용하기 위해 거치게 되는 사용자 인증 부분인 로그인(Login)과 패스워드(Password)로부터 걸러지는 또 한번의 권한 검증은, 극도로 보호되어야 하는 시스템으로의 접근 패킷에 대한 권한을 검증하는 데에 한 단계 진보된 인증체계를 구축할 수 있도록 해준다.Therefore, in order to solve the above-mentioned problems, it is understood that an additional authentication procedure is required for a system requiring higher security among the internal systems. The purpose of the method is to provide an intrusion prevention method from an external network that can prevent intrusion into an internal network by adding the branch judgment basis (IP address and port number). Another authorization check, filtered from Login and Password, the part of user authentication that is passed through to use any system such as MS-Windows or Unix-like OS, accesses a system that must be extremely protected. It allows you to build an advanced authentication scheme for validating packets.

이러한 방식의 사용자 검증의 추가는 단순히 사용자 ID와 비밀번호로만 국한될 필요성은 없다. 예를 들면, 스마트카드(Smart card)나 USB 포트방식의보안키(secure key) 등의 물리적 장치와 PKI 인증을 도입하면 사용자 ID와 패스워드의 도용으로 인해 생길 수 있는 일말의 위험의 가능성도 완벽히 제거할 수 있게 된다.The addition of user verification in this manner need not be limited to simply user IDs and passwords. For example, the introduction of PKI authentication with physical devices such as smart cards or USB secure keys completely eliminates the potential risks associated with theft of user IDs and passwords. You can do it.

또한, 한 도메인 내의 사용자는 ID에 의해서 유일하게(unique) 구분이 되므로, 어떠한 시스템에 대한 접근여부를 결정할 때 그룹(group)단위로의 권한 설정은 관리상의 효율성을 높힐 수 있으며, 룰(Rule)의 갯수를 줄임으로써 시스템의 성능을 향상시킬 수 있게 된다.In addition, users in a domain are uniquely identified by their IDs. Therefore, when determining whether to access a certain system, the authority setting per group can increase the management efficiency. By reducing the number of nodes, the performance of the system can be improved.

도 1은 종래의 내부네트워크로의 침입 탐지 및 방지를 위한 네트워크상의 패킷처리시스템의 구성을 나타내는 블록도,1 is a block diagram showing a configuration of a packet processing system on a network for detecting and preventing intrusion into a conventional internal network.

도 2는 본 발명의 일실시예에 따른 외부네트워크로부터의 침입방지방법을 구현시키기 위한 시스템의 구성을 도시한 블럭도,2 is a block diagram showing the configuration of a system for implementing an intrusion prevention method from an external network according to an embodiment of the present invention;

도 3은 본 발명의 일실시예에 따른 외부네트워크로부터의 침입방지방법을 설명하기 위한 데이터의 흐름도,3 is a flowchart of data for explaining an intrusion prevention method from an external network according to an embodiment of the present invention;

도 4는 도 3의 NIPS의 구성의 일예를 나타내는 블록도.4 is a block diagram illustrating an example of a configuration of the NIPS of FIG. 3.

<도면의 주요 부분에 대한 부호 설명><Description of the symbols for the main parts of the drawings>

1: 내부 네트워크2: 네트워크 노드1: internal network 2: network node

3: 파이어월4: 외부 네트워크3: firewall 4: external networks

5: DMZ(완충영역)6: 라우터5: DMZ (buffer zone) 6: router

11: 허브12: 서버11: hub 12: server

16: 허브17: 사용자 시스템16: Hub 17: User System

20: 네트워크침입방지시스템(NIPS)21,26: NIC20: Network Intrusion Prevention System (NIPS) 21, 26: NIC

22: 메모리수단23: CPU22: memory means 23: CPU

24: 데이터베이스25:정책결정알고리즘(Algorithm)24: Database 25: Policy Decision Algorithm

이러한 목적을 달성하기 위해 본 발명의 일실시예에 따른 내부네트워크로부터의 침입방지방법은, 다수의 사용자 시스템(17)과 다수의 서버(12)를 포함하여 구성된 내부 네트워크(1)와 외부 네트워크(4)가 연결된 네트워크에서의 외부네트워크로부터의 침입방지방법에 있어서, 상기 내부 네트워크(1)의 다수의 사용자 시스템(17)로부터 전송된 패킷으로부터 허가된 내부 사용자의 정보를 IP주소와 포트번호에 추가시키고, 보호되어야 할 적어도 하나의 서버(12)의 상위라인에 설치된 네트워크침입방지시스템(20)에 의해 해당 패킷으로부터 IP주소, 서비스내용, 사용자 권한 등을 체크하여 억셉트되는 때에 접속시키고, 억셉트되지 아니하는 때에는 접속을 거부하는 사용자 검증단계를 추가함으로써 외부 사용자들에 의한 내부 사용자의 IP도용에 따른 해킹을 방지하는 것을 특징으로 한다.In order to achieve the above object, an intrusion prevention method from an internal network according to an embodiment of the present invention includes an internal network 1 and an external network including a plurality of user systems 17 and a plurality of servers 12. In the intrusion prevention method from the external network in the network connected 4), the information of the authorized internal user from the packet transmitted from the plurality of user systems 17 of the internal network 1 is added to the IP address and the port number. The network intrusion prevention system 20 installed on the upper line of the at least one server 12 to be protected, checks the IP address, service content, user authority, etc. from the packet, and connects it when it is accepted. If not, add a user verification step that denies access to prevent hacking due to IP theft of internal users by external users. It is characterized by underground.

상기 사용자 검증단계가 사용자 ID와 비밀번호대신에 스마트카드(Smart card)나 USB 포트방식의 보안키(secure key) 등의 물리적 장치, PKI 인증 등을 포함하며, 그룹단위로 권한이 설정되는 것도 가능하다.The user verification step includes a physical device such as a smart card or a secure port of a USB port, PKI authentication, etc. instead of a user ID and password, and authority may be set in groups. .

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하면 다음과 같다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2에는 본 발명의 일실시예에 따른 외부네트워크로부터의 침입방지방법을 구현시키기 위한 시스템의 구성의 일예가 블록도로 도시되고, 도 3에는 본 발명의 일실시예에 따른 외부네트워크로부터의 침입방지방법을 설명하기 위한 데이터의 흐름도가 도시된다.FIG. 2 is a block diagram illustrating an example of a system for implementing an intrusion prevention method from an external network according to an embodiment of the present invention, and FIG. 3 illustrates an intrusion prevention from an external network according to an embodiment of the present invention. A flow chart of data to illustrate the method is shown.

본 발명의 일실시예에 따른 외부네트워크로부터의 침입방지방법은, 도 1에서와 같이 다수의 사용자 시스템(17)과 다수의 서버(12)를 포함하여 구성된 내부 네트워크(1)와 외부 네트워크(4)가 연결된 네트워크상에서 중요한 서버(12)로의 내부 사용자의 접근권한을 검증하기 위해 도 2에 도시된 바와 같이 보호되어야 할 적어도 하나의 서버(12)의 상위라인에 네트워크침입방지시스템(20)이 설치된다.Intrusion prevention method from an external network according to an embodiment of the present invention, an internal network 1 and an external network 4 including a plurality of user systems 17 and a plurality of servers 12 as shown in FIG. Network intrusion prevention system 20 is installed on the upper line of at least one server 12 to be protected as shown in FIG. 2 in order to verify the access rights of the internal user to the important server 12 on the connected network. do.

그 네트워크침입방지시스템(20)의 구성의 일예는, 도 4에 도시된 바와 같이 각각 다수의 브리지를 지니는 수신측 NIC(21) 및 송신측 NIC(26)를 구비하며, 수신되는 패킷을 일시적으로 저장하기 위한 버퍼와 정책결정알고리즘이 탑재되는 알고리즘부 등으로 구성되는 RAM 및/또는 ROM 등의 메모리수단(22) 및 그 정책결정알고리즘을 수행하기 위한 CPU(23)를 포함한다. 또한, 상기 정책결정알고리즘의 수행중에 데이터를 참조하거나 저장하기 하기 위한 데이터베이스(24)를 포함한다.One example of the configuration of the network intrusion prevention system 20 includes a receiving side NIC 21 and a transmitting side NIC 26 each having a plurality of bridges, as shown in FIG. Memory means 22, such as RAM and / or ROM, comprising a buffer for storing and an algorithm unit on which the policy decision algorithm is mounted, and a CPU 23 for performing the policy decision algorithm. It also includes a database 24 for referencing or storing data during the execution of the policy decision algorithm.

도 4에서 정책결정알고리즘(25)은 유입되는 패킷에 대해 그 패킷의 유해성 여부를 판별하는 알고리즘으로 내부 모듈로서 그 유해성을 판별하기도 하며, 침입패턴데이타베이스를 이용해서 결정을 내리기도 한다. 패킷의 유해성은 허가되지 않은 목적지나 출발지를 가진 패킷이거나 혹은 악의적인 목적으로 네트워크를 사용하고자하는 공격자로부터 임의적으로 생성된 패킷을 의미한다.In FIG. 4, the policy decision algorithm 25 is an algorithm for determining whether a packet is harmful to an incoming packet. The policy decision algorithm 25 may determine the harmfulness as an internal module, or may make a decision using an intrusion pattern database. A packet's harmfulness refers to a packet with an unauthorized destination or origin, or a packet randomly generated by an attacker who wants to use the network for malicious purposes.

도 4에서 그 데이터베이스(24)는, 현재의 시점에서 세션의 생성여부를 저장하는 세션데이타베이스, 해커들의 일반적인 행태 및 악성패킷의 정의를 담고있는 침입패턴데이타베이스 및 현재까지의 침입관련 여부에 관한 정보를 담고 있는 침입관련로그데이타베이스로 구성되는 예가 도시된다.In FIG. 4, the database 24 includes a session database that stores whether a session is created at the present time, an intrusion pattern database containing definitions of hackers' general behaviors, and malicious packets, and related intrusions up to now. An example consists of an intrusion-related log database containing information.

상술한 네트워크침입방지시스템(20)에 의해 내부사용자의 접근권한을 검증하기 위해 상기 내부 네트워크(1)의 다수의 사용자 시스템(17)으로부터 전송될 패킷에 허가된 내부 사용자의 정보를 IP주소와 포트번호에 추가시킨다. 그 뒤, 도 3의 오토마톤에서와 같이, 네트워크침입방지시스템(20)에 의해 해당 패킷으로부터 IP주소, 서비스내용, 사용자 권한 등을 체크하여 억셉트되는 때에 접속시키고, 억셉트되지 아니하는 때에는 접속을 거부하는 내부사용자 검증단계를 실시한다. 이와 같이 함으로써 외부 사용자들에 의한 내부 사용자의 IP도용 등에 따른 해킹은 방지될 수 있게 된다.In order to verify the access right of the internal user by the network intrusion prevention system 20 described above, the IP address and the port information of the internal user authorized in the packet to be transmitted from the multiple user systems 17 of the internal network 1 are transmitted. Add it to the number. Thereafter, as in the automaton of FIG. 3, the network intrusion prevention system 20 checks the IP address, service content, user authority, etc. from the packet, and connects it when it is accepted. Internal user verification steps are rejected. In this way, hacking due to IP theft of the internal user by external users can be prevented.

실제 내부 네트워크의 중요자원을 보호하기 위한 시나리오의 일예는 다음과 같다.An example of a scenario for protecting important resources of the actual internal network is as follows.

도 2에서 내부 네트워크(1)에 사용자 A와 B가 존재하고 있으며, 접근을 제어하고자 하는 시스템인 서버(12)중 Server-1(IP주소: 192.168.0.3 )이 있고,사용자A와 B가 사용하고 있는 워크스테이션인 WS-1(IP주소: 192.168.0.6)과 WS-2(192.168.0.7)이 있다고 가정한다.In FIG. 2, users A and B exist in the internal network 1, and there is Server-1 (IP address: 192.168.0.3) among the servers 12 which are systems to control access, and users A and B are used. Suppose you have two workstations, WS-1 (IP address: 192.168.0.6) and WS-2 (192.168.0.7).

그리고 아래와 같은 접근 권한 설정을 한다.Then set the access rights as shown below.

ACCEPT: USER = 사용자A, HOST = WS-1, DEST = SERVER-1, SERVICE = 1938,ACCEPT: USER = user A, HOST = WS-1, DEST = SERVER-1, SERVICE = 1938,

DEF_POLICY = DENYDEF_POLICY = DENY

위에서 기본정책(DEF_POLICY)이 DENY임을 주목하자. 어떠한 네트워크의 패킷이라도 WS-1의 시스템을 이용하는 사용자A에 의한 로그인 정보가 없다면, SERVER-1으로 접근할 수는 없게 된다. 이는 WS-1이 외부의 침입자로부터 해킹을 당한 뒤라 해도 암호화되어있는 보안 정책에 접근할 수 없으므로, 사용자A로의 변형은 추측해내기 어렵다. 그리고 대부분의 서비스를 위한 시스템들은 루트(root) 권한의 특정 포트를 사용하므로 모든 사용자에 대해서 거부하는 정책을 펴게 된다면, 어떠한 시스템으로부터의 공격도 방어할 수 있게 된다.Note that the default policy (DEF_POLICY) is DENY above. Any packet on any network cannot access SERVER-1 unless it has login information by user A using the WS-1 system. It is difficult to guess the transformation to UserA because WS-1 cannot access the encrypted security policy even after WS-1 is hacked by an external intruder. And since most of the systems for services use a specific port with root privileges, if you have a policy that denies all users, you can defend against attacks from any system.

이와 같이, 어떠한 시스템을 사용하기 위해 거치게 되는 사용자 인증 부분인 로그인과 패스워드로부터 걸러지는 또 한번의 권한 검증은 극도로 보호되어야 하는 시스템으로의 접근 패킷에 대한 권한을 검증하는 데에 한 단계 진보된 인증체계를 구축할 수 있도록 해준다.As such, another authorization check, filtered from login and password, which is part of the user authentication that goes through the use of any system, takes a step further to verify the authorization of access packets to the system to be extremely protected. It allows you to build a system.

또, 상기 사용자 검증단계가 사용자 ID와 비밀번호대신에 스마트카드(Smart card)나 USB 포트방식의 보안키(secure key) 등의 물리적 장치, PKI 인증 등을 포함하는 것도 가능하다. 이 경우, 스마트카드(Smart card)나 USB 포트방식의 보안키(secure key) 등의 물리적 장치, PKI 인증을 도입하면 사용자 ID와 패스워드의 도용으로 인해 생길 수 있는 일말의 위험의 가능성도 완벽히 제거할 수 있게 된다. 또한, 한 도메인 내의 사용자는 ID에 의해서 유일하게 구분이 되므로, 어떠한 시스템에 대한 접근여부를 결정할 때 그룹(group)단위로의 권한 설정은 관리상의 효율성을 높힐 수 있으며, 룰의 개수를 줄임으로써 시스템의 성능을 향상시킬 수 있다.In addition, the user verification step may include a physical device such as a smart card or a secure key of a USB port method, PKI authentication, or the like instead of the user ID and password. In this case, introducing a physical device such as a smart card or USB secure key and PKI authentication completely eliminates the possibility of end-user risks caused by theft of user ID and password. It becomes possible. In addition, since users in a domain are uniquely identified by their IDs, when setting access to a system, the authority setting per group can increase the management efficiency and reduce the number of rules. Can improve the performance.

이러한 사용자 인증에 의한 패킷 제어 기술은 운영체제에서 사용자의 로긴정보를 접근제어를 하고자하는 기계로 전송해주어야 가능하다. UNIX 계열의 운영체제에서는 PAM(Pluggable Authentication Module)이 지원된다면 사용자 기능이 자연스럽게 구현될 수 있으며, MS-Windows 계열의 운영체제에서는 사용자 로긴 정보를 접근제어기에게 전송해줄 수 있는 장치를 필요로 하며, 이러한 전송장치는 매우 간단하게 구현 될 수 있다. 혹은 PDC(Public Domain Controller)와 BDC(Backup Domain Controller)를 사용하는 네트워크에서는 사용자 정보에 관한 리스트를 이용하면 특별한 전송장치 없이도 사용자 인증 기능 구현이 가능하다.Such a packet control technique by user authentication is possible only when the operating system transmits the login information of the user to a machine to control access. If the PAM (Pluggable Authentication Module) is supported in the UNIX operating system, the user function can be naturally implemented. The MS-Windows operating system requires a device that can transmit the user login information to the access controller. Can be implemented very simply. Alternatively, in a network using a public domain controller (PDC) and a backup domain controller (BDC), a user authentication function can be implemented using a list of user information without using a special transmission device.

지금까지, 본 발명을 특정실시예와 관련하여 설명하였지만, 상기 본 발명에 대한 개시는 단지 본 발명의 바람직한 실시예로서 특정 실시예에 국한되는 것은 아니다. 또한, 이하의 특허청구의 범위에 의해 기술된 발명의 정신이나 범위를 벗어나지 않는 한도 내에서 다양하게 수정 및 변경될 수 있다는 것은 당 업계의 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다.While the present invention has been described with reference to specific embodiments, the above disclosure of the invention is not limited to the specific embodiments as merely preferred embodiments of the present invention. In addition, it will be readily understood by those skilled in the art that various modifications and changes can be made without departing from the spirit or scope of the invention as set forth in the claims below.

이상에서 설명한 본 발명의 실시예에 따른 내부네트워크로부터의 침입방지방법의 구성과 작용에 의하면, 내부의 시스템들 중에서도 보다 높은 보안성을 요구하는 시스템에는 추가적인 인증 절차가 요구되어야 함을 알 수 있는 바, 일반적인 접근제어 및 보안제품에서 검사하던 IP주소와 포트번호에 사용자 관련 인증을 추가적으로 도입시킴으로써 내부 네트워크에서 내부 네트워크로의 침입을 방지할 수 있는 등의 효과가 있다.According to the configuration and operation of the intrusion prevention method from the internal network according to the embodiment of the present invention described above, it can be seen that additional authentication procedure is required for the system that requires higher security among the internal systems. In addition, it is possible to prevent intrusion from the internal network to the internal network by additionally introducing user-related authentication to the IP address and port number that were checked in general access control and security products.

Claims (2)

다수의 사용자 시스템(17)과 다수의 서버(12)를 포함하여 구성된 내부 네트워크(1)와 외부 네트워크(4)가 연결된 네트워크에서의 외부네트워크 및 내부네트워크로부터의 침입방지방법에 있어서,In the method for preventing intrusion from an external network and an internal network in a network to which an internal network 1 and an external network 4 including a plurality of user systems 17 and a plurality of servers 12 are connected, 상기 내부 네트워크(1)의 다수의 사용자 시스템(17)에서 전송된 패킷으로부터 허가된 내부 사용자의 정보를 IP주소와 포트번호에 추가시키고, 보호되어야 할 적어도 하나의 서버(12)의 상위라인에 설치된 네트워크침입방지시스템(20)에 의해 해당 패킷으로부터 IP주소, 서비스내용, 사용자 권한 등을 체크하여 허가된 패킷일 때는 접속시키고, 허가된 패킷이 아닐 때에는 접속을 거부하는 사용자 검증단계를 추가함으로써 극도의 보안성을 요하는 내부 네트워크의 해킹을 방지하는 것을 특징으로하는 침입방지방법The information of the internal user authorized from the packets transmitted from the plurality of user systems 17 of the internal network 1 is added to the IP address and the port number, and installed on the upper line of the at least one server 12 to be protected. The network intrusion prevention system 20 checks the IP address, service content, user authority, etc. from the packet, and adds a user verification step for connecting when the packet is authorized and denying access when the packet is not authorized. Intrusion prevention method characterized in that to prevent hacking of the internal network that requires security 제 1 항에 있어서, 상기 사용자 검증단계가 사용자 ID와 비밀번호대신에 스마트카드(Smart card)나 USB 포트방식의 보안키(secure key) 등의 물리적 장치,PKI 인증 등을 포함하며, 그룹단위로 권한이 설정되는 것을 특징으로 하는 외부네트워크로부터의 침입방지방법.The method of claim 1, wherein the user verification step includes a physical device such as a smart card or a secure port of a USB port, PKI authentication, etc. instead of a user ID and a password. Intrusion prevention method from an external network, characterized in that the set.
KR1020020019011A 2002-04-08 2002-04-08 method of preventing intrusion from an exterior network and interior network KR20030080412A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020019011A KR20030080412A (en) 2002-04-08 2002-04-08 method of preventing intrusion from an exterior network and interior network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020019011A KR20030080412A (en) 2002-04-08 2002-04-08 method of preventing intrusion from an exterior network and interior network

Publications (1)

Publication Number Publication Date
KR20030080412A true KR20030080412A (en) 2003-10-17

Family

ID=32378157

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020019011A KR20030080412A (en) 2002-04-08 2002-04-08 method of preventing intrusion from an exterior network and interior network

Country Status (1)

Country Link
KR (1) KR20030080412A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040009394A (en) * 2002-07-23 2004-01-31 신동현 Information secure system with PKI technology
KR100665669B1 (en) * 2004-08-10 2007-01-09 학교법인 울산공업학원 Internal information leakage blocking system using web service and method
KR100835820B1 (en) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 Integrated Internet Security System and Method
US9014310B2 (en) 2011-11-01 2015-04-21 Samsung Electronics Co., Ltd. Ultra-low power super-regenerative receiver and method thereof
US9344429B2 (en) 2011-06-09 2016-05-17 Samsung Electronics Co., Ltd. Network apparatus based on content name and method for protecting content

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000059357A (en) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> Closed area group communication system, management server system, communication terminal and their program storage medium
KR20010072661A (en) * 1998-07-02 2001-07-31 추후제출 Firewall apparatus and method of controlling network data packet traffic between internal and external networks
KR20010088983A (en) * 2001-08-30 2001-09-29 허기행 The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20020041004A (en) * 2000-11-25 2002-05-31 구자홍 Client authentification method and integration security system of local network
KR20030049853A (en) * 2001-12-17 2003-06-25 주식회사 윈스테크넷 system for protecting of network and operation method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010072661A (en) * 1998-07-02 2001-07-31 추후제출 Firewall apparatus and method of controlling network data packet traffic between internal and external networks
JP2000059357A (en) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> Closed area group communication system, management server system, communication terminal and their program storage medium
KR20010105116A (en) * 2000-05-19 2001-11-28 김강호 Linux-Based Integrated Security System for Network and Method thereof, and Semiconductor Device Having These Solutions
KR20020041004A (en) * 2000-11-25 2002-05-31 구자홍 Client authentification method and integration security system of local network
KR20010088983A (en) * 2001-08-30 2001-09-29 허기행 The method to apply network policy and to prevent the cracking or hacking for the network client group using floating IP adress
KR20030049853A (en) * 2001-12-17 2003-06-25 주식회사 윈스테크넷 system for protecting of network and operation method thereof

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040009394A (en) * 2002-07-23 2004-01-31 신동현 Information secure system with PKI technology
KR100665669B1 (en) * 2004-08-10 2007-01-09 학교법인 울산공업학원 Internal information leakage blocking system using web service and method
KR100835820B1 (en) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 Integrated Internet Security System and Method
US9344429B2 (en) 2011-06-09 2016-05-17 Samsung Electronics Co., Ltd. Network apparatus based on content name and method for protecting content
US9014310B2 (en) 2011-11-01 2015-04-21 Samsung Electronics Co., Ltd. Ultra-low power super-regenerative receiver and method thereof

Similar Documents

Publication Publication Date Title
US7793094B2 (en) HTTP cookie protection by a network security device
Uma et al. A survey on various cyber attacks and their classification.
US10382436B2 (en) Network security based on device identifiers and network addresses
US20070294759A1 (en) Wireless network control and protection system
US8418252B2 (en) Intelligent network interface controller
US9699158B2 (en) Network user identification and authentication
EP2147390B1 (en) Detection of adversaries through collection and correlation of assessments
KR100789504B1 (en) Communication method, intrusion prevention method for communication network and intrusion attempt detection system
US20140344914A1 (en) Authentication of remote host via closed ports
CN106899561B (en) TNC (network node controller) authority control method and system based on ACL (Access control List)
Rahman et al. Security attacks on wireless networks and their detection techniques
EP2311218B1 (en) Http authentication and authorization management
US7594268B1 (en) Preventing network discovery of a system services configuration
KR20030080412A (en) method of preventing intrusion from an exterior network and interior network
RU2163745C2 (en) Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network
KR20020063314A (en) System and method for security of data network
Mahmood et al. Securing Industrial Internet of Things (Industrial IoT)-A Reviewof Challenges and Solutions
Sagar et al. Information security: safeguarding resources and building trust
KR100383442B1 (en) security method of server system
CN119135444B (en) Access control method and system based on zero-trust micro gateway
MA et al. Attacks and countermeasures in software system security
Swamidas et al. QoS web service security dynamic intruder detection system for HTTP SSL services
Purohit et al. Tracing the root of" rootable" processes
KR101627281B1 (en) Private DNS system and operating method

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20020408

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20040531

Patent event code: PE09021S01D

N231 Notification of change of applicant
PN2301 Change of applicant

Patent event date: 20050128

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20050129

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20040531

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I