KR101335293B1 - 내부 네트워크 침입 차단 시스템 및 그 방법 - Google Patents

내부 네트워크 침입 차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR101335293B1
KR101335293B1 KR1020120034199A KR20120034199A KR101335293B1 KR 101335293 B1 KR101335293 B1 KR 101335293B1 KR 1020120034199 A KR1020120034199 A KR 1020120034199A KR 20120034199 A KR20120034199 A KR 20120034199A KR 101335293 B1 KR101335293 B1 KR 101335293B1
Authority
KR
South Korea
Prior art keywords
terminal
central server
access control
control list
mac address
Prior art date
Application number
KR1020120034199A
Other languages
English (en)
Other versions
KR20130116475A (ko
Inventor
이상준
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020120034199A priority Critical patent/KR101335293B1/ko
Publication of KR20130116475A publication Critical patent/KR20130116475A/ko
Application granted granted Critical
Publication of KR101335293B1 publication Critical patent/KR101335293B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/304Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting circuit switched data communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 본 발명의 일 실시예에 의하면, 특정 구역에 구축된 내부 네트워크에 유선 연결된 브릿지 모드의 AP를 이용하여 상기 내부 네트워크에 침입한(또는 침입하려는) 공격단말기의 MAC주소를 AP, 무선제어기 또는 스위치에 저장되어 있는 ACL에 업데이트하여 공격단말기가 내부 네트워크에 침입하는 것을 유선 또는 무선상에서 차단할 수 있는 효과가 있다. 이를 위해 특히, 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트(Access Control List)을 저장하고 있는 브릿지 모드의 인가 AP; 인가 AP에 유선 네트워크로 연결되어 있는 스위치; 스위치에 유선 네트워크로 연결되어, 인가 AP와 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및 스위치에 유선 네트워크로 연결되어, 센서에 의해 수집된 무선패킷을 분석하여 사용자단말기의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되, 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버는 제1액세스 제어 리스트에 공격단말기의 MAC주소를 업데이트하고, 인가 AP는 업데이트된 제1액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템 및 그 방법이 개시된다.

Description

내부 네트워크 침입 차단 시스템 및 그 방법{System for blocking internal network intrusion and method the same}
본 발명은 내부 네트워크 침입 차단 시스템 및 그 방법에 관한 것이다. 보다 상세하게는 센서에 의해 수집된 무선패킷을 중앙서버가 분석하여 공격자단말기 또는 비인가 AP의 MAC주소에 대해 내부 네트워크에의 연결을 차단하는 내부 네트워크 침입 차단 시스템 및 그 방법에 관한 것이다.
급속히 확장되고 있는 무선 네트워크, 특히, 무선 랜(Wireless LAN)은 IEEE802.11의 표준에 따라 무선으로 사용자 단말기가 네트워크에 연결되어 데이터교환이 가능하도록 지원한다. 무선 네트워크 환경은 사용자가 편리하게 이동하면서 네트워크 접속을 통한 데이터 교환이 가능하도록 지원하기 때문에 편리한 반면, 접속 사용자 단말기가 네트워크 장비에 물리적으로 떨어져 있고 전송 데이터 역시 공기 중에 노출되므로 악의적인 접근 및 데이터의 훼손의 가능성이 유선 네트워크, 특히, 유선 랜(Wired LAN)에 비해 크다고 할 수 있다.
이러한 무선 환경의 가장 근본적이고 원초적인 취약점으로는 첫째, 건물 밖 외부에서 건물 내부의 무선 AP에 손쉽게 접근할 수 있어 유선관문 구간의 보안장비인 FW, IDS 등을 무용지물로 만드는 비인가자 또는 비인가단말기가 내부 네트워크로 우회 접속할 수 있다는 점이다. 또한, 사내 유선망으로 연결된 네트워크에 직원 등이 인가되지 않은 무선랜 등이 장착된 노트북 등을 이용하여 접속하는 경우, 이를 통해서도 정보유출 사고가 발생할 수 있다는 점이 문제점으로 부각되고 있다.
둘째, AP에 접속하여 사내 무선 네트워크에 접속하지 않아도 무선 도청(Air Sniffing)을 통하여 손쉽게 무선 구간 데이터를 도청할 수 있어 사내 기밀 및 개인정보 등이 유출될 수 있다는 점이다. 현재 국내에 있는 무선 AP 또는 공유기 등의 보안 취약점 중 가장 큰 영역을 차지하고 있는 부분이 바로 무인증·무암호로 방치되어 사용되고 있는 무선랜 등의 무선장비 때문에 발생하고 있는 실정이며, 이를 해결하기 위한 무선랜 보안대책으로 인증(Authentication), 암호화(Encryption) 등의 보안 인프라 적용이 시도되고 있다.
종래기술로 센서 등을 이용해 무선 네트워크에 침입하는 무선랜 기기들을 차단하는 기술들이 있으나, 특정 구역에 구축되어 있는 유선 네트워크에 무선 네트워크를 이용하여 침입하는 공격단말기들을 효율적으로 차단할 수 있는 장치나 방법은 없는 실정이다.
한편, 로그(rougue) AP는 회사 내의 보안 정책을 따르지 않는 개인적으로 설치된 액세스 포인트(AP)를 말한다. 특히 기업의 무선 랜 환경에서는 일반 사용자가 개인적으로 설치한 무선 AP를 통해 외부나 불법 침입자가 들어와 내부 직원과 같은 자격으로 모든 자원에 접촉할 수 있게 되기 때문에 아무리 기업이 보안 시설에 투자를 했어도 한순간에 무용지물이 될 수 있다. 비인증 AP를 방지하기 위한 방법으로는 기업 내부에서 불법 AP 설치를 규제하거나 스위치상에 802.1x 인증을 두어 AP를 인증하는 방법이 있다. 그러나 규제는 실효성이 적으며, 8021x 방안은 원천적 차단이 가능하기는 하나 구축 난이도를 감안하면 현실적이지 못하다. 따라서, 정확하게 비인증 AP 방지를 위해서는 관리자가 분석기를 가지고 AP 도달 거리 범위를 돌아다니며 감지하는 등의 직접적이고 물리적으로 감시하는 방법이 있으나, 이러한 감시방법은 비효율적이고 감시가 연속적이지 못하다는 문제가 있다.
본 발명은 상기와 같은 필요에 의해 창출된 것으로서, 본 발명의 제1목적은 특정 구역에 구축된 내부 네트워크에 유선 연결된 브릿지 모드의 AP를 이용하여 상기 내부 네트워크에 침입한(또는 침입하려는) 공격단말기의 MAC주소를 AP, 무선제어기 또는 스위치에 저장되어 있는 ACL에 업데이트하여 공격단말기가 내부 네트워크에 침입하는 것을 유선 또는 무선상에서 차단할 수 있는 내부 네트워크 침입 차단 시스템 및 그 방법을 제공하는 데 있다.
또한, 본 발명의 제2목적은 특정 구역에 구축된 내부 네트워크에 유선 연결된 게이트웨이 모드의 인가 또는 비인가 AP를 이용하여 상기 내부 네트워크에 침입한(또는 침입하려는) 공격단말기에 대해 AP의 유선 MAC주소를 스위치에 저장되어 있는 ACL에 업데이트하여 공격단말기와 연결된 AP가 내부연결되는 것을 차단함으로써, 결과적으로 공격단말기가 내부 네트워크에 연결되는 것을 차단할 수 있는 내부 네트워크 침입 차단 시스템 및 그 방법을 제공하는 데 있다.
상기와 같은 본 발명의 목적은 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트(Access Control List)을 저장하고 있는 브릿지 모드의 인가 AP; 인가 AP에 유선 네트워크로 연결되어 있는 스위치; 스위치에 유선 네트워크로 연결되어, 인가 AP와 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및 스위치에 유선 네트워크로 연결되어, 센서에 의해 수집된 무선패킷을 분석하여 사용자단말기의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되, 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버는 제1액세스 제어 리스트에 공격단말기의 MAC주소를 업데이트하고, 인가 AP는 업데이트된 제1액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템을 제공함으로써 달성될 수 있다.
또한, 중앙서버는, 센서를 경유하여 공격단말기의 MAC주소를 제1액세스 제어 리스트에 업데이트하는 것을 특징으로 할 수 있다.
또한, 내부 네트워크 침입 차단 시스템은, 중앙서버에 유선 네트워크로 연결되고, 내부에 제2액세스 제어 리스트를 저장하고 있는 무선제어기;를 더 포함하고, 중앙서버는 사용자단말기가 공격단말기로 판단된 경우, 제2액세스 제어 리스트에 공격단말기의 MAC주소를 업데이트하고, 무선제어기는 업데이트된 제2액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단시키도록 인가 AP를 제어하는 것을 특징으로 할 수 있다.
그리고, 중앙서버는, 센서를 경유하여 제1액세스 제어 리스트 및 제2액세스 제어 리스트를 업데이트하는 것을 특징으로 할 수 있다.
한편, 본 발명의 목적은 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트를 저장하고 있는 브릿지 모드의 AP; AP에 유선 네트워크로 연결되고, 내부에 제3액세스 제어 리스트를 저장하고 있는 스위치; 스위치에 유선 네트워크로 연결되어, AP와 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및 스위치에 유선 네트워크로 연결되어, 센서에 의해 수집된 무선패킷을 분석하여 사용자단말기의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되, 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버는 공격단말기의 MAC주소를 제3액세스 제어 리스트에 업데이트하고, 스위치는 업데이트된 제3액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 유선상에서 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템을 제공함으로써 달성될 수 있다.
한편, 본 발명의 목적은 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트를 저장하고 있는 게이트웨이 모드의 AP; AP에 유선 네트워크로 연결되고, 내부에 제3액세스 제어 리스트를 저장하고 있는 스위치; 스위치에 유선 네트워크로 연결되어, AP와 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및 스위치에 유선 네트워크로 연결되어, 센서에 의해 수집된 무선패킷을 분석하여 사용자단말기의 MAC주소 및 AP의 무선 MAC주소를 추출하고, 추출된 사용자단말기의 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되, 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버는 AP의 무선 MAC 주소와 대응이 되는 AP의 유선 MAC주소를 제3액세스 제어 리스트에 업데이트하고, 스위치는 업데이트된 제3액세스 제어 리스트를 바탕으로 AP가 내부 네트워크에 연결되는 것을 유선상에서 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템을 제공함으로써 달성될 수 있다.
한편, 본 발명의 목적은 다른 카테고리로서, 센서가 브릿지 모드의 인가 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계; 센서가 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계; 중앙서버가 센서에 의해 수집된 무선패킷을 분석하여 사용자단말기의 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기가 공격단말기인지 여부를 판단하는 공격단말기 판단단계; 사용자단말기가 공격단말기로 판단된 경우, 중앙서버가 공격단말기의 MAC주소를 인가 AP의 제1액세스 제어 리스트에 업데이트하는 제1업데이트 단계; 및 인가 AP가 업데이트된 제1액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단하는 공격단말기 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법을 제공함으로써 달성될 수있다.
또한, 제1업데이트 단계는, 중앙서버가 센서를 경유하여 제1액세스 제어 리스트를 업데이트하는 것을 특징으로 할 수 있다.
또한, 제1업데이트 단계는, 사용자단말기가 공격단말기로 판단된 경우, 중앙서버가 공격단말기의 MAC주소를 중앙서버에 유선 연결된 무선제어기의 제2액세스 제어 리스트에 업데이트하는 제2업데이트 단계; 및 무선제어기가 업데이트된 제2액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단시키도록 인가 AP를 제어하는 제어단계;를 더 포함하는 것을 특징으로 할 수 있다.
그리고, 제1업데이트 및 제2업데이트 단계는, 중앙서버가 센서를 경유하여 제1액세스 제어 리스트 및 제2액세스 제어 리스트를 업데이트하는 것을 특징으로 할 수 있다.
한편, 본 발명의 목적은 센서가 브릿지 모드의 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계; 센서가 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계; 중앙서버가 센서로부터 전송된 무선패킷을 분석하여 사용자단말기의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 공격단말기 판단단계; 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버가 공격단말기의 MAC주소를 중앙서버에 유선 연결된 스위치의 제3액세스 제어 리스트에 업데이트하는 업데이트 단계; 및 스위치가 업데이트된 제3액세스 제어 리스트를 바탕으로 공격단말기가 내부 네트워크에 무선 연결되는 것을 유선상에서 차단하는 공격단말기 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법을 제공함으로써 달성될 수 있다.
한편, 본 발명의 목적은 센서가 게이트웨이 모드의 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계; 센서가 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계; 중앙서버가 센서로부터 전송된 무선패킷을 분석하여 사용자단말기의 MAC주소 및 AP의 무선 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 공격단말기 판단단계; 중앙서버에 의해 사용자단말기가 공격단말기로 판단된 경우, 중앙서버가 AP의 무선 MAC주소와 대응이 되는 AP의 유선 MAC주소를 제3액세스 제어 리스트에 업데이트 하는 업데이트 단계; 및 스위치가 업데이트된 제3액세스 제어 리스트를 바탕으로 AP가 내부 네트워크에 연결되는 것을 유선상에서 차단시키는 AP 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법을 제공함으로써 달성될 수 있다.
본 발명의 일 실시예에 의하면, 특정 구역에 구축된 내부 네트워크에 유선 연결된 브릿지 모드의 AP를 이용하여 상기 내부 네트워크에 침입한(또는 침입하려는) 공격단말기의 MAC주소를 AP, 무선제어기 또는 스위치에 저장되어 있는 ACL에 업데이트하여 공격단말기가 내부 네트워크에 침입하는 것을 유선 또는 무선상에서 차단할 수 있는 효과가 있다.
또한, 특정 구역에 구축된 내부 네트워크에 유선 연결된 게이트웨이 모드의 인가 또는 비인가 AP를 이용하여 상기 내부 네트워크에 침입한(또는 침입하려는) 공격단말기에 대해 AP의 유선 MAC주소를 스위치에 저장되어 있는 ACL에 업데이트하여 공격단말기와 연결된 AP가 내부연결되는 것을 차단함으로써, 결과적으로 공격단말기가 내부 네트워크에 연결되는 것을 차단할 수 있는 효과가 있다.
도1은 본 발명의 제1실시예 내지 제3실시예에 따른 내부 네트워크 침입 차단 시스템의 구성도,
도2는 본 발명의 제4실시예에 따른 내부 네트워크 침입 차단 시스템의 구성도,
도3 내지 도6은 본 발명의 제1실시예 내지 제4실시예에 따른 내부 네트워크 침입 차단 방법을 순차적으로 나타낸 순서도이다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다. 또한, 하기에서 본 발명을 설명함에 있어, 관련된 공지기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
한편, 본 발명에서의 비인가 AP는 관리자에 의해 비승인(unauthorized)된 AP(acess point)를 말하고, 인가 AP는 관리자에 의해 승인(authorized)된 AP를 말한다. 또한, 본 발명에서의 정상 단말기는 관리자에 의해 미리 등록된 사용자단말기를 말하고, 공격 단말기는 관리자에 의해 등록되지 않은 단말기를 말한다.
<차단 시스템>
도1은 본 발명의 제1실시예 내지 제3실시예에 따른 내부 네트워크 침입 차단 시스템의 구성도이고, 도2는 본 발명의 제4실시예에 따른 내부 네트워크 침입 차단 시스템의 구성도이다. 도1에 도시된 바와 같이, 제1실시예 내지 제3실시예의 내부 네트워크 침입 차단 시스템(이하, '차단 시스템'이라 함)은 센서(100), 중앙서버(200), AP(300), 스위치(600)을 포함하여 구성된다. 또한, 도2에 도시된 바와 같이, 제4실시예의 차단 시스템은 센서(100), 중앙서버(200), AP(300), 무선제어기(500) 및 스위치(600)을 포함하여 구성된다. 이하, 센서(100), 중앙서버(200), AP(300), 무선제어기(500) 및 스위치(600)에 대해 설명한 후, 제1실시예 내지 제4실시예에 따른 공격단말기(400b)의 차단 과정을 설명한다.
AP(300)(Access Point)는 무선랜을 구성하는 장치중 하나로, 유선랜과 무선랜을 연결시켜주는 장치이다. 본 발명에서 AP(300)는 내부 네트워크에 무선 연결된 사용자단말기(400a, 400b)로 무선패킷을 송신하고, 사용자단말기(400a, 400b)로부터 무선패킷을 수신하는 역할을 한다. 한편, AP(300)와 사용자단말기(400a, 400b) 사이에서 주고받는 무선패킷은 데이타(정보)를 일정 크기로 자른 것을 말하며, 통상적으로 헤더(Header), 데이타(Data) 및 트레일러(Trailer)로 구성된다. 헤더와 트레일러는 제어용으로 사용되며 패킷의 송수신 주소는 헤더 속에 포함되는 것이 일반적이다. 즉, 패킷에는 출발지 기기의 MAC주소와 도착지 기기의 MAC주소가 포함되어 있다. 아울러, AP(300)는 내부에 제1액세스 제어 리스트(Acess Control List; ACL)을 저장하고 있으며, 제1액세스 제어 리스트에 포함된 MAC주소를 가지는 기기들이 내부 네트워크에 접속하는 것을 차단하는 기능도 한다. 즉, AP(300)는 무선장비로서, 제1액세스 제어 리스트에 있는 MAC주소를 가진 공격단말기가 내부 네트워크에 접속하는 것을 무선상에서 차단하는 역할을 하며, 제1액세스 제어 리스트는 중앙서버(200)에 의해 업데이트된다. 이때, 제1액세스 제어 리스트는 중앙서버(200)에 의해 센서(100)를 경유하여 업데이트 될 수도 있다.
한편, AP(300)는 브릿지 모드 또는 게이트웨이 모드일 수 있다. AP(300)는 유선 MAC주소와 무선 MAC주소를 가질 수 있으며, AP(300)가 브릿지 모드인 경우에는 공격단말기(400b)의 MAC주소를 그대로 내부 네트워크로 전달하나, AP(300)가 게이트웨이 모드인 경우에는 공격단말기(400b)의 MAC주소를 자신의 유선 MAC주소로 변경하여 내부 네트워크에 전달하게 된다. 따라서, AP(300)가 브릿지 모드인지 또는 게이트웨이 모드인지 여부에 따라 공격단말기(400b)가 내부 네트워크에 접속하는 것을 차단하는 과정에 차이가 있으며, 이러한 차단 과정에 대해서는 후술한다.
센서(100)는 스위치(600)에 유선 네트워크로 연결되어 있으며, AP(300)와 사용자단말기(400a, 400b) 사이에 송수신되는 무선패킷을 수집하는 역할을 한다. 본 발명에서의 센서(100)는 복수 개가 구비될 수 있으며, 바람직하게는 2 내지 3개가 구비될 수 있다. 한편, 센서(100)는 수집된 무선패킷을 중앙서버(200)에 전송하는 통신부(미도시)를 더 구비할 수 있다.
무선제어기(500)(Wireless Controller)는 공격단말기(400b)의 내부 네트워크에의 무선 연결을 차단하도록 AP(300)를 제어하는 역할을 한다. 여기서, 무선제어기(500)은 내부에 제2액세스 제어 리스트를 저장하고 있으며, 제2액세스 제어 리스트는 중앙서버(200)에 의해 업데이트된다. 이때, 제2액세스 제어 리스트는 센서(100)를 경유하여 중앙서버(200)에 의해 업데이트 될 수도 있다.
스위치(600)(Switch)는 네트워크 단위들을 연결하는 통신 장비로서 허브보다 전송 속도가 개선된 것으로 정확하게는 네트워크 스위치(network switch)를 말한다. 스위치(600)는 스위칭 허브(switching hub), 포트 스위칭 허브(port switching hub)로 불리기도 한다. 스위치(600)는 내부에 제3액세스 제어 리스트를 저장하고 있으며, 이러한 제3액세스 제어 리스트는 중앙서버(200)에 의해 업데이트 된다. 스위치(600)는 AP(300)가 브릿지 모드로 작동하는 경우에는 제3액세스 제어 리스트에 있는 공격단말기(400b)의 MAC주소를 바탕으로 공격단말기(400b)가 내부 네트워크에 접속하는 것을 차단하거나, 스위치(600)가 게이트웨이로 작동하는 경우에는 공격단말기(400b)가 연결되어 있는 AP(300)의 MAC주소를 제3액세스 제어 리스트에 업데이트하여 AP(300)가 내부 네트워크에 접속하는 것을 차단함으로써 결과적으로 공격단말기(400b)가 내부 네트워크에 접속하는 것을 차단하는 역할을 한다.
중앙서버(200)는 스위치(600)에 유선 네트워크로 연결되어 있으며, 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b) 또는 정상단말기(400a)인지 여부를 판단한다. 여기서, 중앙서버(200)의 MAC주소 추출 및 분석은 중앙서버(200)에 설치된 에이전트(AGENT)에 수행될 수 있다. 한편, 중앙서버(200)는 관리자에 의해 관리되거나 승인된 사용자 단말기에 대한 MAC주소 목록을 저장하고 있을 수 있으며, 이러한 목록과 사용자단말기(400a, 400b)의 MAC주소를 비교하여 사용자단말기(400a, 400b)가 정상단말기(400a)인지 또는 공격단말기(400b)인지를 판단할 수 있게 된다.
한편, 사용자단말기(400a, 400b)는 무선랜이 구비된 노트북, 스마트폰 등 스위치(600)와 연결된 AP(300)를 통해 데이터를 주고 받을 수 있는 다양한 장치를 말한다.
이하, 본 발명인 차단 시스템이 공격단말기(400b)가 내부 네트워크에 연결되는 것을 차단하는 과정을 설명한다.
< 제1실시예 >
도1의 차단 시스템에 의한 공격단말기(400b)의 내부 네트워크에의 연결을 차단하는 제1실시예 과정은 다음과 같다. 제1실시예에서 AP(300)는 인가 AP이고, 브릿지 모드라고 가정한다. 센서(100)가 내부 네트워크에 유선 연결된 AP(300)와 사용자단말기(400a, 400b) 사이에 송수신되는 무선패킷을 수집한다. 센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다. 중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소를 추출하고, 추출된 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b)인지 또는 정상단말기(400a)인지 여부를 판단한다. 여기서, AP(300)는 인가 AP이므로 중앙서버(200)는 AP(300)에 대해서는 MAC주소 추출 및 분석을 행하지 않는 것이 바람직하다. 만약, 사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 경우, 중앙서버(200)는 공격단말기(400b)의 MAC주소를 AP(300)에 저장되어 있는 제1액세스 제어 리스트에 업데이트 한다. 여기서, 중앙서버(200)는 센서(100)를 경유하여 공격단말기(400b)의 MAC주소를 제1액세스 제어 리스트에 업데이트 할 수 있다. 이후, AP(300)는 업데이트된 제1액세스 제어 리스트를 바탕으로 공격단말기(400b)가 내부 네트워크에 연결되는 것을 무선상에서 차단하게 된다.
예를 들어, 중앙서버(200)는 센서(100)에 의해 전송된 무선패킷을 분석하여 사용자단말기(400a, 400b)들의 MAC주소인 X와 Y를 추출하고, 추출된 MAC주소인 X와 Y를 중앙서버(200)에 저장되어 있는 승인된 사용자단말기 MAC주소 목록과 비교한다. 이때, 중앙서버(200)에 저장되어 있는 사용자단말기 MAC주소 목록에 X라는 MAC주소가 저장되어 있고 Y라는 MAC주소가 저장되어 있지 않은 경우, 사용자단말기(400a, 400b) 중 X라는 MAC주소를 가지고 있는 사용자단말기(400a)를 정상단말기(400a)로 판단하고, Y라는 MAC주소를 가지고 있는 사용자단말기(400b)를 공격단말기(400b)로 판단한다. 중앙서버(200)는 사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 경우, 공격단말기(400b)의 MAC주소인 Y를 AP(300)의 제1액세스 제어 리스트에 업데이트하고, AP(300)는 중앙서버(200)에 의해 업데이트된 제1액세스 제어 리스트에 따라 공격단말기(400b)가 내부 네트워크에 무선 연결되는 것을 차단한다.
< 제2실시예 >
도1의 차단 시스템에 의한 공격단말기(400b)의 내부 네트워크에의 연결을 차단하는 제2실시예 과정은 다음과 같다. 제2실시예에서, AP(300)는 인가 AP이거나 비인가 AP일 수 있고, 브릿지 모드라고 가정한다. 센서(100)가 내부 네트워크에 유선 연결된 AP(300)와 사용자단말기(400a, 400b) 사이에 송수신되는 무선패킷을 수집한다. 센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다. 중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소(X, Y)를 추출하고, 추출된 X, Y를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b)인지 또는 정상단말기(400a)인지 여부를 판단한다. 만약, 사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 경우, 중앙서버(200)는 공격단말기(400b)의 MAC주소인 Y를 스위치(600)에 저장되어 있는 제3액세스 제어 리스트에업데이트한다. 스위치(600)는 공격단말기(400b)가 AP(300)을 거쳐 접속해 오는 경우, 업데이트된 제3액세스 제어 리스트를 바탕으로 공격단말기(400b)의 내부 네트워크에의 접속을 유선상에서 차단하게 된다.
< 제3실시예 >
도1의 차단 시스템에 의한 공격단말기(400b)의 내부 네트워크에의 연결을 차단하는 제3실시예 과정은 다음과 같다. 제3실시예에서, AP(300)는 인가 AP이거나 비인가 AP일 수 있고, 게이트웨이 모드라고 가정한다. 센서(100)가 내부 네트워크에 유선 연결된 AP(300)와 사용자단말기(400a, 400b) 사이에 송수신되는 무선패킷을 수집한다. 센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다. 중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소(X, Y) 및 AP(300)의 무선 MAC 주소를 추출한다. 중앙서버(200)는추출된 X, Y를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b)인지 또는 정상단말기(400a)인지 여부를 판단한다. AP(300)가 게이트웨이 모드인 경우, AP(300)는 사용자단말기(400a, 400b)의 무선 MAC주소를 자신의 유선 MAC주소로 변경하여 내부 네트워크로 전달하므로, 공격자단말기(400b)의 MAC주소를 제3액세스 제어 리스트에 업데이트하는 것은 의미가 없게 된다. 따라서, 중앙서버(200)는 사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 경우, AP(300)의 무선 MAC 주소와 대응이 되는 AP(300)의 유선 MAC주소를 제3액세스 제어 리스트에 업데이트하고, 스위치(600)는 업데이트된 제3액세스 제어 리스트를 바탕으로 AP(300)가 내부 네트워크에 연결되는 것을 유선상에서 차단시키게 된다. 즉, 공격단말기(400b)가 연결된 AP(300)이 내부 네트워크에 연결되는 것을 차단함으로써, 결과적으로 공격단말기(400b)가 내부 네트워크에 연결되는 것을 차단할 수 있게 된다.
< 제4실시예 >
도2의 차단 시스템에 의한 공격단말기(400b)의 내부 네트워크에의 연결을 차단하는 제4실시예 과정은 다음과 같다. 제4실시예에서, AP(300)는 인가 AP이고, 브릿지 모드라고 가정한다. 센서(100)가 내부 네트워크에 유선 연결된 AP(300)와 사용자단말기(400a, 400b) 사이에 송수신되는 무선패킷을 수집한다. 센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다. 중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소(X, Y)를 추출하고, 추출된 X, Y를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b)인지 또는 정상단말기(400a)인지 여부를 판단한다. 여기서, AP(300)는 인가 AP이므로 중앙서버(200)는 AP(300)에 대해서는 MAC주소 추출 및 분석을 행하지 않는 것이 바람직하다. 만약, 사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 경우, 중앙서버(200)는 공격단말기(400b)의 MAC주소인 Y를 AP(300)에 저장되어 있는 제1액세스 제어 리스트 및 무선제어기(500)에 저장되어 있는 제2액세스 제어 리스트에 업데이트한다. 여기서, 중앙서버(200)는 센서(100)를 경유하여 공격단말기(400b)의 MAC주소를 제1액세스 제어 리스트 및 중앙서버(200)에 유선 연결된 무선제어기(500)의 제2액세스 제어 리스트에 업데이트 할 수 있다. 무선제어기(500)는 업데이트된 제2액세스 제어 리스트를 바탕으로 AP(300)가 공격단말기(400b)의 내부 네트워크에의 연결을 차단할 수 있도록 AP(300)를 제어하고, AP(300)는 무선제어기(500)의 제어에 따라 공격단말기(400b)가 내부 네트워크에 접속하는 것을 무선상에서 차단하게 된다.
<차단 방법>
도3 내지 도6은 본 발명의 제1실시예 내지 제4실시예에 따른 유선 네트워크 침입 차단 방법을 순차적으로 나타낸 순서도이다. 이하, 제1실시예 내지 제4실시예에 따른 유선 네트워크 침입 차단 방법(이하, '차단 방법'이라 함)을 설명하되, 상기 차단 시스템에서 설명한 내용과 중복되는 내용은 이를 생략한다.
< 제1실시예 >
도 3에 도시된 바와 같이, 차단 방법에 대한 제1실시예는 다음과 같은 단계에 의해 이루어진다. 여기서, AP(300)는 인가 AP이고, 브릿지 모드라고 가정한다.
1. 센서가 무선패킷 수집( S110 )
센서(100)가 AP(300)와 사용자단말기(400a, 400b) 사이에서 송수신되는 무선패킷을 수집한다.
2. 무선패킷 중앙서버에 전송( S120 )
센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다.
3. 공격단말기 여부 판단( S130 )
중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b) 또는 정상단말기(400a)인지 여부를 판단한다.
4. 공격단말기의 MAC 주소 업데이트( S140 )
사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 것으로 판단된 경우, 중앙서버(200)가 공격단말기(400b) MAC주소를 AP(300)의 제1액세스 제어 리스트에 업데이트한다. 한편, 중앙서버(200)는 센서(100)를 경유하여 공격단말기(400b) MAC주소를 AP(300)의 제1액세스 제어 리스트에 업데이트 할 수도 있다.
5. 공격단말기 차단( S150 )
AP(300)가 제1액세스 제어 리스트를 바탕으로 공격단말기(400b)가 내부 네트워크에 무선 연결되는 것을 차단한다.
< 제2실시예 >
도 5에 도시된 바와 같이, 차단 방법에 대한 제2실시예는 다음과 같은 단계에 의해 이루어진다. 여기서, AP(300)는 인가 AP 또는 비인가 AP이고, 브릿지 모드라고 가정한다.
1. 센서가 무선패킷 수집( S210 )
센서(100)가 AP(300)와 사용자단말기(400a, 400b) 사이에서 송수신되는 무선패킷을 수집한다.
2. 무선패킷 중앙서버에 전송( S220 )
센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다.
3. 공격단말기 여부 판단( S230 )
중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b) 또는 정상단말기(400a)인지 여부를 판단한다.
4. 공격단말기의 MAC 주소 업데이트( S240 )
사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 것으로 판단된 경우, 중앙서버(200)가 공격단말기(400b) MAC주소를 중앙서버(200)에 유선 연결된 스위치(600)의 제3액세스 제어 리스트에 업데이트한다.
5. 스위치 공격단말기 차단( S250 )
스위치(600)는 업데이트된 제3액세스 제어 리스트를 바탕으로 공격단말기(400b)가 내부 네트워크에 무선 연결되는 것을 유선상에서 차단한다.
< 제3실시예 >
도 6에 도시된 바와 같이, 차단 방법에 대한 제3실시예는 다음과 같은 단계에 의해 이루어진다. 여기서, AP(300)는 인가 AP 또는 비인가 AP이고, 게이트웨이 모드라고 가정한다.
1. 센서가 무선패킷 수집( S310 )
센서(100)가 AP(300)와 사용자단말기(400a, 400b) 사이에서 송수신되는 무선패킷을 수집한다.
2. 무선패킷 중앙서버에 전송( S320 )
센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다.
3. 공격단말기 여부 판단( S330 )
중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소 및 AP(300)의 무선 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b) 또는 정상단말기(400a)인지 여부를 판단한다.
4. AP MAC 주소 업데이트( S340 )
사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 것으로 판단된 경우, 중앙서버(200)가 AP(300)의 무선 MAC주소와 대응이 되는 AP(300)의 유선 MAC주소를 스위치(600)의 제3액세스 제어 리스트에 업데이트 한다.
5. 스위치의 AP 차단( S350 )
스위치(600)는 업데이트된 제3액세스 제어 리스트를 바탕으로 AP(300)가 내부 네트워크에 연결되는 것을 유선상에서 차단시킨다.
< 제4실시예 >
도 4에 도시된 바와 같이, 차단 방법에 대한 제4실시예는 다음과 같은 단계에 의해 이루어진다. 여기서, AP(300)는 인가 AP이고, 브릿지 모드라고 가정한다.
1. 센서가 무선패킷 수집( S410 )
센서(100)가 AP(300)와 사용자단말기(400a, 400b) 사이에서 송수신되는 무선패킷을 수집한다.
2. 무선패킷 중앙서버에 전송( S420 )
센서(100)가 수집된 무선패킷을 중앙서버(200)에 전송한다.
3. 공격단말기 여부 판단( S430 )
중앙서버(200)가 센서(100)에 의해 수집된 무선패킷을 분석하여 사용자단말기(400a, 400b)의 MAC주소를 추출하고, 추출된 사용자 단말기의 MAC주소를 바탕으로 사용자단말기(400a, 400b)가 공격단말기(400b) 또는 정상단말기(400a)인지 여부를 판단한다.
4. 공격단말기의 MAC 주소 업데이트( S440 )
사용자단말기(400a, 400b) 중 공격단말기(400b)가 있는 것으로 판단된 경우, 중앙서버(200)가 공격단말기(400b) MAC주소를 AP(300)의 제1액세스 제어 리스트 및 중앙서버(200)에 유선 연결된 무선제어기(500)의 제2액세스 제어 리스트에 업데이트한다. 한편, 중앙서버(200)는 센서(100)를 경유하여 공격단말기(400b) MAC주소를 AP(300)의 제1액세스 제어 리스트 및 무선제어기(500)의 제2액세스 제어 리스트에 업데이트 할 수도 있다.
5. 무선제어기가 AP 제어( S450 )
무선제어기(500)가 업데이트된 제2액세스 제어 리스트를 바탕으로 공격단말기(400b)가 내부 네트워크에 무선 연결되는 것을 차단시키도록 AP(300)를 제어한다.
6. AP 공격단말기 차단( S460 )
AP(300)는 무선제어기(500)의 제어에 의해 공격단말기(400b)가 내부 네트워크에 무선 연결되는 것을 차단한다.
이상에서 본 발명에 대한 기술 사상을 첨부 도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 일 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
100 : 센서 200 : 중앙서버
300 : AP 400a: 정상단말기
400b : 공격단말기 500 : 무선제어기
600 : 스위치

Claims (12)

  1. 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트(Access Control List)을 저장하고 있는 브릿지 모드의 인가 AP;
    상기 인가 AP에 유선 네트워크로 연결되어 있는 스위치;
    상기 스위치에 유선 네트워크로 연결되어, 상기 인가 AP와 상기 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및
    상기 스위치에 유선 네트워크로 연결되어, 상기 센서에 의해 수집된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소를 추출하고, 상기 추출된 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되,
    상기 중앙서버에 의해 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버는 상기 제1액세스 제어 리스트에 상기 공격단말기의 MAC주소를 업데이트하고, 상기 인가 AP는 업데이트된 상기 제1액세스 제어 리스트를 바탕으로 상기 공격단말기가 상기 내부 네트워크에 무선 연결되는 것을 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  2. 제 1항에 있어서,
    상기 중앙서버는,
    상기 센서를 경유하여 상기 공격단말기의 MAC주소를 상기 제1액세스 제어 리스트에 업데이트하는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  3. 제 1항에 있어서,
    상기 내부 네트워크 침입 차단 시스템은,
    상기 중앙서버에 유선 네트워크로 연결되고, 내부에 제2액세스 제어 리스트를 저장하고 있는 무선제어기;를 더 포함하고,
    상기 중앙서버는 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 제2액세스 제어 리스트에 상기 공격단말기의 MAC주소를 업데이트하고,
    상기 무선제어기는 업데이트된 상기 제2액세스 제어 리스트를 바탕으로 상기 공격단말기가 상기 내부 네트워크에 무선 연결되는 것을 차단시키도록 상기 인가 AP를 제어하는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  4. 제 3항에 있어서,
    상기 중앙서버는,
    상기 센서를 경유하여 상기 제1액세스 제어 리스트 및 상기 제2액세스 제어 리스트를 업데이트하는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  5. 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트를 저장하고 있는 브릿지 모드의 AP;
    상기 AP에 유선 네트워크로 연결되고, 내부에 제3액세스 제어 리스트를 저장하고 있는 스위치;
    상기 스위치에 유선 네트워크로 연결되어, 상기 AP와 상기 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및
    상기 스위치에 유선 네트워크로 연결되어, 상기 센서에 의해 수집된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소를 추출하고, 상기 추출된 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되,
    상기 중앙서버에 의해 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버는 상기 공격단말기의 MAC주소를 상기 제3액세스 제어 리스트에 업데이트하고, 상기 스위치는 업데이트된 상기 제3액세스 제어 리스트를 바탕으로 상기 공격단말기가 상기 내부 네트워크에 무선 연결되는 것을 유선상에서 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  6. 내부 네트워크에 무선 연결된 사용자단말기와 무선패킷을 송수신하고, 내부에 제1액세스 제어 리스트를 저장하고 있는 게이트웨이 모드의 AP;
    상기 AP에 유선 네트워크로 연결되고, 내부에 제3액세스 제어 리스트를 저장하고 있는 스위치;
    상기 스위치에 유선 네트워크로 연결되어, 상기 AP와 상기 사용자단말기 사이에 송수신되는 무선패킷을 수집하는 센서; 및
    상기 스위치에 유선 네트워크로 연결되어, 상기 센서에 의해 수집된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소 및 상기 AP의 무선 MAC주소를 추출하고, 상기 추출된 사용자단말기의 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 중앙서버;를 포함하되,
    상기 중앙서버에 의해 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버는 상기 AP의 무선 MAC 주소와 대응이 되는 상기 AP의 유선 MAC주소를 상기 제3액세스 제어 리스트에 업데이트하고, 상기 스위치는 업데이트된 상기 제3액세스 제어 리스트를 바탕으로 상기 AP가 상기 내부 네트워크에 연결되는 것을 유선상에서 차단시키는 것을 특징으로 하는 내부 네트워크 침입 차단 시스템.
  7. 센서가 브릿지 모드의 인가 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계;
    상기 센서가 상기 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계;
    상기 중앙서버가 상기 센서에 의해 수집된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소를 추출하고, 추출된 상기 사용자 단말기의 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기인지 여부를 판단하는 공격단말기 판단단계;
    상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버가 상기 공격단말기의 MAC주소를 상기 인가 AP의 제1액세스 제어 리스트에 업데이트하는 제1업데이트 단계; 및
    상기 인가 AP가 업데이트된 상기 제1액세스 제어 리스트를 바탕으로 상기 공격단말기가 내부 네트워크에 무선 연결되는 것을 차단하는 공격단말기 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
  8. 제 7항에 있어서,
    상기 제1업데이트 단계는,
    상기 중앙서버가 상기 센서를 경유하여 상기 제1액세스 제어 리스트를 업데이트하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
  9. 제 7항에 있어서,
    상기 제1업데이트 단계는,
    상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버가 상기 공격단말기의 MAC주소를 상기 중앙서버에 유선 연결된 무선제어기의 제2액세스 제어 리스트에 업데이트하는 제2업데이트 단계; 및
    상기 무선제어기가 업데이트된 상기 제2액세스 제어 리스트를 바탕으로 상기 공격단말기가 상기 내부 네트워크에 무선 연결되는 것을 차단시키도록 상기 인가 AP를 제어하는 제어단계;를 더 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
  10. 제 9항에 있어서,
    상기 제1업데이트 및 상기 제2업데이트 단계는,
    상기 중앙서버가 상기 센서를 경유하여 상기 제1액세스 제어 리스트 및 상기 제2액세스 제어 리스트를 업데이트하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
  11. 센서가 브릿지 모드의 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계;
    상기 센서가 상기 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계;
    상기 중앙서버가 상기 센서로부터 전송된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소를 추출하고, 상기 추출된 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 공격단말기 판단단계;
    상기 중앙서버에 의해 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버가 상기 공격단말기의 MAC주소를 상기 중앙서버에 유선 연결된 스위치의 제3액세스 제어 리스트에 업데이트하는 업데이트 단계; 및
    상기 스위치가 업데이트된 상기 제3액세스 제어 리스트를 바탕으로 상기 공격단말기가 내부 네트워크에 무선 연결되는 것을 유선상에서 차단하는 공격단말기 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
  12. 센서가 게이트웨이 모드의 AP와 사용자단말기 사이에서 송수신되는 무선패킷을 수집하는 무선패킷 수집단계;
    상기 센서가 상기 수집된 무선패킷을 중앙서버에 전송하는 중앙서버 전송단계;
    상기 중앙서버가 상기 센서로부터 전송된 무선패킷을 분석하여 상기 사용자단말기의 MAC주소 및 상기 AP의 무선 MAC주소를 추출하고, 추출된 상기 사용자 단말기의 MAC주소를 바탕으로 상기 사용자단말기가 공격단말기(또는 정상단말기)인지 여부를 판단하는 공격단말기 판단단계;
    상기 중앙서버에 의해 상기 사용자단말기가 공격단말기로 판단된 경우, 상기 중앙서버가 상기 AP의 무선 MAC주소와 대응이 되는 상기 AP의 유선 MAC주소를 제3액세스 제어 리스트에 업데이트 하는 업데이트 단계; 및
    스위치가 업데이트된 상기 제3액세스 제어 리스트를 바탕으로 상기 AP가 내부 네트워크에 연결되는 것을 유선상에서 차단시키는 AP 차단단계;를 포함하는 것을 특징으로 하는 내부 네트워크 침입 차단 방법.
KR1020120034199A 2012-04-03 2012-04-03 내부 네트워크 침입 차단 시스템 및 그 방법 KR101335293B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120034199A KR101335293B1 (ko) 2012-04-03 2012-04-03 내부 네트워크 침입 차단 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120034199A KR101335293B1 (ko) 2012-04-03 2012-04-03 내부 네트워크 침입 차단 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20130116475A KR20130116475A (ko) 2013-10-24
KR101335293B1 true KR101335293B1 (ko) 2013-12-02

Family

ID=49635520

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120034199A KR101335293B1 (ko) 2012-04-03 2012-04-03 내부 네트워크 침입 차단 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101335293B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230053871A (ko) * 2021-10-15 2023-04-24 주식회사 비아코 무선 연결 단말의 외부 네트워크로의 접속을 차단하는 ap 장치 및 그 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106685827B (zh) * 2016-12-15 2020-02-18 迈普通信技术股份有限公司 一种下行报文的转发方法及ap设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1520375B1 (en) 2002-06-28 2009-12-23 Wavelink Corporation System and method for detecting unauthorized wireless access points
KR20110106125A (ko) * 2010-03-22 2011-09-28 아주대학교산학협력단 무선 통신망을 운용하는 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1520375B1 (en) 2002-06-28 2009-12-23 Wavelink Corporation System and method for detecting unauthorized wireless access points
KR20110106125A (ko) * 2010-03-22 2011-09-28 아주대학교산학협력단 무선 통신망을 운용하는 시스템 및 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230053871A (ko) * 2021-10-15 2023-04-24 주식회사 비아코 무선 연결 단말의 외부 네트워크로의 접속을 차단하는 ap 장치 및 그 방법
KR102637768B1 (ko) 2021-10-15 2024-02-19 주식회사 테크리스트 무선 연결 단말의 외부 네트워크로의 접속을 차단하는 ap 장치 및 그 방법

Also Published As

Publication number Publication date
KR20130116475A (ko) 2013-10-24

Similar Documents

Publication Publication Date Title
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
KR101429177B1 (ko) 불법 ap 검출 시스템 및 그의 검출 방법
US7316031B2 (en) System and method for remotely monitoring wireless networks
Nikbakhsh et al. A novel approach for rogue access point detection on the client-side
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
WO2018080976A1 (en) Detection of vulnerable devices in wireless networks
JP2007531398A (ja) プロトコル変則分析に基づく無線lan侵入検知方法
EP2127247B1 (en) Intrusion prevention system for wireless networks
EP3568963A1 (en) Security architecture for machine type communications
CN104852894A (zh) 一种无线报文侦听检测方法、***及中控服务器
CN105681272A (zh) 一种移动终端钓鱼WiFi的检测与抵御方法
Wara et al. New replay attacks on zigbee devices for internet-of-things (iot) applications
CN106878992A (zh) 无线网络安全检测方法和***
KR20100027529A (ko) 무선랜 침입 방지 시스템 및 방법
KR100874015B1 (ko) 무선랜 침입 방지 시스템 및 방법
KR101447469B1 (ko) 무선 침입 방지 시스템에서의 모바일 패킷을 이용한 공격의 방어 및 제어 방법
KR101335293B1 (ko) 내부 네트워크 침입 차단 시스템 및 그 방법
KR20120132086A (ko) 비인가 ap 탐지 시스템 및 그의 탐지 방법
Huang et al. A whole-process WiFi security perception software system
Kim et al. A technical survey on methods for detecting rogue access points
JP7127885B2 (ja) 無線通信装置、及び不正アクセス防止方法
KR101429178B1 (ko) 무선 네트워크 보안 시스템 및 방법
VanSickle et al. Effectiveness of tools in identifying rogue access points on a wireless network
KR101083727B1 (ko) 무선 네트워크 보안 장치 및 그 방법
Vanjale et al. Multi parameter based robust and efficient rogue AP detection approach

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161125

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171120

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181025

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191031

Year of fee payment: 7