KR102263755B1 - 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법 - Google Patents

엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법 Download PDF

Info

Publication number
KR102263755B1
KR102263755B1 KR1020190128326A KR20190128326A KR102263755B1 KR 102263755 B1 KR102263755 B1 KR 102263755B1 KR 1020190128326 A KR1020190128326 A KR 1020190128326A KR 20190128326 A KR20190128326 A KR 20190128326A KR 102263755 B1 KR102263755 B1 KR 102263755B1
Authority
KR
South Korea
Prior art keywords
traffic
redirection
local
information
module
Prior art date
Application number
KR1020190128326A
Other languages
English (en)
Other versions
KR20210045545A (ko
Inventor
김태완
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020190128326A priority Critical patent/KR102263755B1/ko
Priority to US16/666,908 priority patent/US11271906B2/en
Publication of KR20210045545A publication Critical patent/KR20210045545A/ko
Application granted granted Critical
Publication of KR102263755B1 publication Critical patent/KR102263755B1/ko

Links

Images

Classifications

    • H04L67/2814
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 시스템은 애플리케이션에서 생성되는 트래픽을 서버로 전송하는 엔드포인트; 및 상기 트래픽을 상기 엔드포인트로부터 전달받아서, 상기 트래픽 중 SSL 트래픽의 정보 보안과 관련한 데이터 분석을 수행하는 보안 게이트웨이를 포함하고, 상기 엔드포인트는, 상기 트래픽을 상기 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하고, 상기 트래픽의 전송과 관련한 리다이렉션을 수행하는 로컬 리다이렉션 모듈; 및 상기 로컬 리다이렉션 모듈의 리다이렉션에 따라, 상기 로컬 리다이렉션 모듈에서 전달받은 상기 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행한 후에, 복호화 SSL 트래픽을 상기 보안 게이트웨이로 포워딩하는 로컬 프록시 모듈을 포함하는 것을 특징으로 한다.

Description

엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법{System and method forwarding for end point traffic}
본 발명은 클라우드 기반의 정보유출 방지솔루션을 제공하기 위하여 엔드포인트에서 트래픽을 클라우드로 포워딩하는 시스템 및 방법에 관한 것이다.
네트워크 정보유출 방지솔루션의 보안 게이트웨이는 프록시 방식으로 네트워크 트래픽을 중계하면서 SSL 인터셉션, 프로토콜을 분석하여 메일, 메시지, 파일 등 인터넷으로 전송되는 데이터에 개인정보 및 기밀정보가 포함되어 있는지 검사한다. 온프레미스 환경의 보안 게이트웨이는 사내 네트워크와 인터넷 사이에 위치하며, 스위치 SPAN(SwitchPortANalyzer) 포트 또는 네트워크 TAP(Tess Access Point)을 이용하여 패킷을 모니터링하는 스니핑방식, 브라우저 등에 HTTP 프록시 설정을 보안 게이트웨이로 설정하는 명시적 프록시 방식, 네트워크를 물리적으로 절체하는 투명한 인라인 프록시 방식, L4 스위치 또는 방화벽을 통한 포트 리다이렉션방식 등으로 구성될 수 있다. 사내에 위치하지 않는 클라우드 기반의 보안 게이트웨이의 경우에는, 브라우저 등에 HTTP 프록시 설정을 보안 게이트웨이로 설정하는 명시적 프록시 방식, 방화벽 또는 라우터를 사용하여 사내-인터넷 트래픽을 보안 게이트웨이로 포워딩하는 GRE 또는 IPSEC 터널링 방식, 엔드포인트의 트래픽을 보안 게이트웨이로 전송하는 일반적인 엔드포인트 트래픽 포워딩방식으로 구성될 수 있다.
명시적 프록시방식의 경우에는 인터넷 익스플로러, 크롬, 사파리, 파이어폭스 등 브라우저의 HTTP 프록시 설정을 이용하므로 브라우저 이외의 메신저 등 애플리케이션의 트래픽을 보안 게이트웨이로 포워딩하지 못하는 한계가 있다. 스니핑방식, 투명한 인라인 프록시방식, 포트리다이렉션 방식, GRE 또는 프록시방식의 경우에는 사내 네트워크에서 물리적인 장비 또는 구성이 필요하기 때문에, 노트북 등을이용하여 사외 네트워크환경의 엔드포인트의 트래픽을 보안 게이트웨이로 포워딩하지 못하는 한계가 있다. 일반적인 엔드포인트 트래픽 포워딩 방식의 경우에는 엔드포인트의 트래픽이 클라우드 상에 위치한 보안 게이트웨이의 중계를 거쳐 인터넷으로 송수신되므로 과도한 인터넷 지연이 발생하며, 클라우드 네트워크 사용에 따른 과다한 네트워크 과금이 발생하는 문제가 있다.
대한민국 공개특허공보 10-2010-0018022호(공개일 2010년2월16일)
본 발명이 해결하고자 하는 과제는, 메일, 메시지, 파일 등 인터넷으로 전송되는 트래픽(데이터)에 개인정보 및 기밀정보가 포함되어 있는지 검사할 수 있도록 엔드포인트에서 브라우저 등 애플리케이션의 인터넷 연결을 로컬 프록시로 리다이렉트하여, Non- SSL 트래픽 및 복호화한 SSL 트래픽을 아웃오브 패스방식으로 클라우드로 포워딩하는 방법을 제공하는 것을 목적으로 한다.
상기의 과제를 해결하기 위한 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 시스템은 애플리케이션에서 생성되는 트래픽을 서버로 전송하는 엔드포인트; 및 상기 트래픽을 상기 엔드포인트로부터 전달받아서, 상기 트래픽 중 SSL 트래픽의 정보 보안과 관련한 데이터 분석을 수행하는 보안 게이트웨이를 포함하고, 상기 엔드포인트는, 상기 트래픽을 상기 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하고, 상기 트래픽의 전송과 관련한 리다이렉션을 수행하는 로컬 리다이렉션 모듈; 및 상기 로컬 리다이렉션 모듈의 리다이렉션에 따라, 상기 로컬 리다이렉션 모듈에서 전달받은 상기 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행한 후에, 복호화 SSL 트래픽을 상기 보안 게이트웨이로 포워딩하는 로컬 프록시 모듈을 포함하는 것을 특징으로 한다.
상기 로컬 리다이렉션 모듈은, 네트워크 커널기반의 연결 리다이렉션 방식 및 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 상기 트래픽에 대한 리다이렉션을 수행하는 것을 특징으로 한다.
상기 로컬 리다이렉션 모듈은, 상기 리다이렉션 정보로서, 상기 서버에 대한 서버 IP 주소정보 및 포트정보와 상기 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 저장하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은, 상기 로컬 리다이렉션 모듈의 리다이렉션에 의해 상기 로컬 리다이렉션 모듈과 연결되며, 상기 로컬 리다이렉션 모듈에 저장된 상기 리다이렉션정보를 조회하고, 조회에 따라 상기 리다이렉션정보에 포함된 서버 IP 주소정보 및 포트정보를 이용하여 상기 서버와의 TCP 연결을 수행하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은, 상기 복호화 SSL 트래픽을 재암호화하고, 재암화SSL 트래픽을 상기 서버로 전송하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은, 상기 트래픽 중 상기 SSL 트래픽이 아닌 Non-SSL 트래픽 또는 상기 복호화 SSL 트래픽의 페이로드 데이터에 대해서 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 상기 보안 게이트웨이로 포워딩하는 것을 특징으로 한다.
상기 보안 게이트웨이는, 상기 로컬 프록시 모듈로부터 포워딩된 상기 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 상기 로컬 프록시 모듈로 전송하는 것을 특징으로 한다.
상기의 과제를 해결하기 위한 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 방법은 엔드포인트를 구성하는 로컬 리다이렉션 모듈은 애플리케이션에서 생성되는 트래픽을 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하는 단계; 상기 로컬 리다이렉션 모듈은 상기 트래픽의 전송과 관련한 리다이렉션을 수행하는 단계; 상기 엔드포인트를 구성하는 로컬 프록시 모듈은 상기 로컬 리다이렉션 모듈의 리다이렉션에 따라, 전달받은 상기 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행하는 단계; 및 상기 로컬 프록시 모듈은 복호화 SSL 트래픽을 상기 보안 게이트웨이로 포워딩하는 단계를 포함하는 것을 특징으로 한다.
상기 리다이렉션정보를 저장하는 단계는, 상기 서버에 대한 서버 IP 주소정보 및 포트정보와 상기 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 상기 리다이렉션정보로서 저장하는 것을 특징으로 한다.
상기 리다이렉션을 수행하는 단계는 네트워크 커널기반의 연결 리다이렉션 방식 및 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 상기 트래픽에 대한 리다이렉션을 수행하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은 상기 로컬 리다이렉션 모듈의 리다이렉션에 의해 상기 로컬 리다이렉션 모듈과 연결되며, 상기 로컬 리다이렉션 모듈에 저장된 상기 리다이렉션정보를 조회하는 단계; 및 상기 로컬 프록시 모듈은 조회에 따라 상기 리다이렉션정보에 포함된 서버 IP 주소정보 및 포트정보를 이용하여 상기 서버와의 TCP 연결을 수행하는 단계를 포함하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은 상기 복호화 SSL 트래픽을 재암호화하고, 재암화SSL 트래픽을 상기 서버로 전송하는 단계를 더 포함하는 것을 특징으로 한다.
상기 로컬 프록시 모듈은, 상기 트래픽 중 상기 SSL 트래픽이 아닌 Non-SSL 트래픽 또는 상기 복호화 SSL 트래픽의 페이로드 데이터에 대해서 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 상기 보안 게이트웨이로 포워딩하는 단계를 더 포함하는 것을 특징으로 한다.
상기 보안 게이트웨이는, 상기 로컬 프록시 모듈로부터 포워딩된 상기 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 상기 로컬 프록시 모듈로 전송하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에서 엔드포인트 트래픽은 아웃오브패스(Out-Of-Path) 방식으로 아웃바운드트래픽 또는 인바운드트래픽을 선택적으로 보안 게이트웨이로 전송하여 분석할 수 있도록 한다.
또한, 보안 게이트웨이를 경유하여 모든 아웃바운드 및 인바운드 트래픽을 인터넷으로 송수신하는 일반적인 엔드포인트 트래픽포워딩 방식에 비하여, 과다한 네트워크 지연이나 트래픽 과금 발생 없이 클라우드 기반의 네트워크 정보유출 방지기능을 제공할 수 있다.
이에 따라, 사내 네트워크에서의 물리적인 장비 또는 구성 없이, 사내뿐만 아니라 사외의 엔드포인트의 트래픽을 과도한 네트워크 지연 및 네트워크 과금 발생 없이 엔드포인트의 트래픽을 클라우드 상의 보안 게이트웨이 포워딩하여 정보유출 방지를 위한 분석을 수행할 수 있으며, 이러한 정보 유출 방지 분석에도 불구하고, 네트워크 지연이나 트래픽 과금 발생이 최소화될 수 있다.
도 1은 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 시스템의 구성 블록도이다.
도 2는 도 1에 도시된 엔드포인트를 설명하기 위한 세부 구성블록도이다.
도 3은 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩을 설명하기 위한 각 구성요소들의 동작 수행 참조도이다.
도 4는 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 방법을 설명하기 위한 일 실시예의 흐름도이다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다. 
본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다. 
이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다.
도 1은 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 시스템의 구성 블록도이다.
도 1을 참조하면, 엔드포인트의 트래픽에 대한 포워딩 시스템은 엔드포인트(100) 및 보안 게이트웨이(200)를 포함하며, 아울러, 이와 연관되는 구성요소로서 서버(300)를 포함할 수 있다.
엔드포인트(100)는 애플리케이션에서 생성되는 통신망을 통해 트래픽을 서버(300)로 전송하는 단말기이다. 애플리케이션은 트래픽을 생성하는 프로그램을 의미할 수 있으며, 메일, 메시지, 파일 등의 생성을 위한 프로그램을 포함할 수 있다. 통신망은 엔드포인트(100)와 서버(300) 사이에서 데이터의 송수신을 위한 네트워크를 형성한다. 통신망은 LAN, WAN 또는 유선 인터넷을 포함하며, 무선인터넷, 휴대인터넷, 3G 이동통신망, 4G 이동통신망 또는 5G 이동통신망을 포함할 수 있다. 엔드포인트(100)에 대한 구체적인 내용은 후술한다.
보안 게이트웨이(200)는 트래픽을 엔드포인트(100)로부터 전달받아서, 트래픽 중 SSL 트래픽의 정보 보안과 관련한 데이터 분석을 수행한다. 보안 게이트웨이(200)는 엔드포인트(100)로부터 전송된 트래픽 중에서 SSL 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 엔드포인트(100)로 전송한다. 보안 게이트웨이(200)의 구체적인 동작 내용은 후술한다.
서버(300)는 엔드포인트(100)와 연결되어, 엔드포인트(100)로부터 전송된 트래픽을 수신하고, 자신이 생성한 트래픽을 엔드포인트(100)로 전송한다.
도 2는 도 1에 도시된 엔드포인트(100)를 설명하기 위한 세부 구성블록도이다.
도 2를 참조하면, 엔드포인트(100)는 로컬 리다이렉션 모듈(110) 및 로컬 프록시 모듈(120)을 포함한다.
로컬 리다이렉션 모듈(110)은 애플리케이션에 의해 생성된 트래픽을 서버(300)로 전송하기 위한 리다이렉션을 수행한다.
애플리케이션의 실행에 따라 서버(300)로 전송하기 위한 트래픽(예를 들어, 메일, 메시지, 파일 등)이 생성되면, 로컬 리다이렉션 모듈(110)은 생성된 트래픽의 전송을 위한 해당 서버(300)의 서버연결정보를 포함하는 리다이렉션정보를 메모리(미도시)에 저장한다.
예를 들어, 로컬 리다이렉션 모듈(110)은 애플리케이션의 트래픽 발생에 따른 해당 서버(300) 연결 요청에 대응하여, 서버(300)에 대한 서버 IP 주소정보 및 포트정보에 해당하는 서버연결정보와 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 포함하는 리다이렉션정보를 메모리에 저장한다.
로컬 리다이렉션 모듈(110)은 네트워크 커널기반의 연결 리다이렉션 방식 또는 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 애플리케이션에서 생성된 트래픽에 대한 리다이렉션을 수행한다. 로컬 리다이렉션 모듈(110)은 서버(300)와의 API 연결을 위한 서버연결정보 즉, 서버 IP 주소정보 및 포트정보를 로컬 프록시 모듈(120)에서 서비스하는 루프백 IP 주소정보 및 포트정보로 변경하여 트래픽에 대한 리다이렉션을 수행한다.
네트워크 커널기반의 연결 리다이렉션 방식은 Windows WFP(Windows FilteringPlatform), macOS NKE(Network KernelExtensions) 등 네트워크 커널에서 애플리케이션의 인터넷 연결시 로컬 프록시 모듈(120)에서 서비스하는 루프백 IP 주소 및 포트정보로 리다이렉션하는 방식이다. 또한, 애플리케이션 소켓연결 API 후킹방식은 애플리케이션의 connect() 등 소켓연결 API를 후킹하여 애플리케이션에서 인터넷 연결시 로컬 프록시 모듈(120)에서 서비스하는 루프백 IP주소 및 포트정보로 리다이렉션하는 방식이다.
로컬 프록시 모듈(120)은 로컬 리다이렉션 모듈(110)의 리다이렉션에 따라, 로컬 리다이렉션 모듈(110)에서 전달받은 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행한 후에, 복호화 SSL 트래픽을 보안 게이트웨이(200)로 전송한다. 또한, 로컬 리다이렉션 모듈(110)에서 전달받은 트래픽 중 Non-SSL 트래픽을 그대로 보안 게이트웨이(200)로 아웃오브패스(Out-Of-Path) 방식으로 포워딩한다. 로컬 프록시 모듈(120)에 대한 상세히 설명하면 다음과 같다.
우선, 로컬 프록시 모듈(120)은 로컬 리다이렉션 모듈(110)의 리다이렉션에 의해 로컬 리다이렉션 모듈(110)과 접속된다. 이에 따라, 로컬 프록시 모듈(120)은 로컬 리다이렉션 모듈(10)에 저장된 리다이렉션를 조회하고, 조회에 따라 리다이렉션정보 중에서 추출된 서버 IP 주소정보 및 포트정보를 이용하여 서버(300)와의 TCP 연결을 수행한다. 이때, 로컬 프록시 모듈(120)은 서버(300)와의 TCP 연결에 대한 트래픽정보를 보안 게이트웨이(200)로 포워딩할 수 있다.
그 후, 로컬 프록시 모듈(120)은 로컬 리다이렉션 모듈(110)에 의해 리다이렉트 TCP 연결이 발생하면, getpeername() 소켓 API를 이용하여 TCP 연결의 클라이언트인 애플리케이션 IP주소 및 포트정보를 로컬 리다이렉션 모듈(110)의 리다이렉션정보로부터 조회한다. 또한, 로컬 프록시 모듈(120)은 로컬 리다이렉션 모듈(110)이 저장하고 있는 리다이렉션정보로부터 연결하고자 하는 서버 IP 주소 및 포트정보를 조회하여 해당 서버(300)에 TCP 연결을 수행한다.
그 후, 로컬 프록시 모듈(120)은 애플리케이션 또는 서버(300)로부터 전송된 트래픽을 수신한다. 이때, 로컬 프록시 모듈(120)은 애플리케이션으로부터 SSL ClientHello 메시지를 수신한 경우에는 SSL 트래픽을 위한 연결로 판단하고, 서버(300) 측 SSL 핸드쉐이크와 클라이언트측 SSL 핸드쉐이크를 수행한다.
SSL 핸드쉐이크 수행 후에, 로컬 프록시 모듈(120)은 SSL 트래픽에 대한 인터셉션 동작을 수행한다. 즉, 로컬 프록시 모듈(120)은 애플리케이션 또는 서버(300)가 전송한 암호화 SSL 트래픽을 수신하고 이를 복호화한다. 로컬 프록시 모듈(120)은 복호화된 복호화 SSL 트래픽을 보안 게이트웨이(200)로 포워딩한다. 그 후, 로컬 프록시 모듈(120)은 복호화 SSL 트래픽을 재암호화하고, 재암호화 SSL 트래픽을 서버(300)로 전송한다.
한편, 로컬 프록시 모듈(120)은 애플리케이션으로부터 제공된 트래픽이 SSL 트래픽이 아닌 경우에(즉, Non-SSL 트래픽), 제공된 Non-SSL 트래픽을 그대로 보안 게이트웨이(200)로 포워딩하고, 아울러 서버(300)로 전송한다.
이때, 로컬 프록시 모듈(120)은 Non-SSL 트래픽 또는 복호화 SSL 트래픽의 페이로드 데이터에 대해서 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 보안 게이트웨이(200)로 아웃오브패스(Out-Of-Path) 방식으로 포워딩할 수 있다. 예를 들어, 로컬 프록시 모듈(120)은 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 서버(300)에 대한 TCP 연결시 TCP 3-핸드쉐이크 패킷(SYN, SYN-ACK, ACK)을 생성하고, Non-SSL 트래픽 및 복호화 SSL 트래픽의 페이로드 데이터에 대해서 TCP 패킷을 생성하고, TCP 연결종료시 TCP 연결종료(FIN 또는 RST) 패킷을 생성하여 보안 게이트웨이(200)로 포워딩한다. 이더넷 헤더의 출발지 및 목적지 MAC 주소는 특정값을 지정할 수 있으며, IP 헤더의 출발지 및 목적지 IP 주소는 애플리케이션 및 서버의 IP주소를 지정하며, TCP 헤더의 출발지 및 목적지 포트정보는 애플리케이션 및 서버의 포트정보를 지정하며, TCP 헤더의 Seq/Ack정보를 페이로드 데이터의 송수신에 따라 증가시킨다.
로컬 프록시 모듈(120)은 보안 게이트웨이(200)로 포워딩하는 대상으로 트래픽포워딩 정책에 따라 특정 서버의 IP주소 또는 특정 애플리케이션의 프로세스인 트래픽을 포함하거나 제외할 수 있으며, 트래픽 아웃바운드 트래픽 또는 인바운드 트래픽을 포함하거나 제외할 수 있다.
보안 게이트웨이(200)는 엔드포인트(100)의 로컬 프록시 모듈(120)에서 포워딩한 TCP 패킷 형태의 트래픽을 수신하여, 콜백 함수 또는 콜백 데이터로 전달하거나, PCAP(PacketCapture) 포맷의 파일로 저장한다. 또한, 보안 게이트웨이(200)는 수신된 트래픽에 대하여 프로토콜 분석 및 메일, 메시지, 파일 등 포워딩된 트래픽에 대한 개인정보 및 기밀정보를 검사한다. 보안 게이트웨이(200)는 포워딩된 트래픽에 대한 검사결과로 해당 트래픽의 차단이 필요할 경우 애플리케이션 및 서버(300)의 IP주소 및 포트정보로 구성된 차단할 주소연결정보를 포함하는 검사결과정보를 로컬 프록시 모듈(120)로 전송한다.
이에 따라, 엔드포인트(100)의 로컬 프록시 모듈(120)은 보안 게이트웨이(200)의 검사결과정보로부터 차단 대상이 되는 애플리케이션 및 서버(300)의 IP주소 및 포트정보를 확인하고, 해당 애플리케이션 연결과 서버(300)와의 연결을 종료한다.
도 3은 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩을 설명하기 위한 각 구성요소들의 동작 수행 참조도이다.
먼저, 엔드포인트(100)에 구비된 애플리케이션이 서버(300)로 전송하기 위한 트래픽을 생성하여 로컬 리다이렉션 모듈(110)로 TCP 연결을 요청하면, 로컬 리다이렉션 모듈(110)은 서버(300)와의 연결을 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하며, 트래픽을 로컬 프록시 모듈(120)로 전달을 위한 리다이렉션 동작을 수행한다.
그 후, 로컬 프록시 모듈(120)은 리다이렉션정보를 조회하여 서버 연결정보에 대응하는 서버(300)와 TCP 연결을 수행하며, 이때, 서버(300)에 대한 TCP 연결에 대한 트래픽 정보를 보안 게이트웨이(200)로 포워딩할 수 있다. 로컬 프록시 모듈(120)은 애플리케이션 및 서버(300)와 각각 SSL 핸드쉐이크를 수행한 후에, 애플리케이션으로부터 암호화 SSL 트래픽을 수신한다. 그 후, 로컬 프록시 모듈(120)은 수신된 암호화 SSL 트래픽을 복호화하여, 복호화 SSL 트래픽을 보안 게이트웨이(200)로 포워딩하며, 아울러, 복호화 SSL 트래픽을 재암호화하여, 서버(300)로 전송한다.
그 후, 보안 게이트웨이(200)는 암호화 SSL 트래픽을 로컬 프록시 모듈(120)로 포워딩할 수 있으며, 이에 따라, 로컬 프록시 모듈(120)은 보안 게이트웨이(200)로부터 수신된 암호화 SSL 트래픽을 복호화 한 후에, 이를 재암호화하여 애플리케이션으로 전달할 수 있다.
또한, 보안 게이트웨이(200)는 로컬 프록시 모듈(120)로부터 포워딩된 복호화 SSL 트래픽 또는 Non-SSL 트래픽에 대한 검사결과정보를 로컬 프록시 모듈(120)로 전송할 수 있다. 이에 따라, 로컬 프록시 모듈(120)은 검사결과정보에 따라 해당 애플리케이션 연결과 서버(300)와의 연결을 종료시킨 후에, TCP 연결 종료에 대한 트래픽 정보를 보안 게이트웨이(200)로 포워딩한다.
도 4는 본 발명에 따른 엔드포인트의 트래픽에 대한 포워딩 방법을 설명하기 위한 일 실시예의 흐름도이다.
엔드포인트를 구성하는 로컬 리다이렉션 모듈은 애플리케이션에서 생성되는 트래픽을 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장한다(200 단계). 로컬 리다이렉션 모듈은 서버에 대한 서버 IP 주소정보 및 포트정보와 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 리다이렉션정보로서 저장한다.
200 단계 후에, 로컬 리다이렉션 모듈은 트래픽의 서버로의 전송과 관련한 리다이렉션을 수행한다(202 단계). 로컬 리다이렉션 모듈은 네트워크 커널기반의 연결 리다이렉션 방식 또는 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 상기 트래픽에 대한 리다이렉션을 수행한다. 로컬 리다이렉션 모듈은 서버와의 API 연결을 위한 서버연결정보 즉, 서버 IP 주소정보 및 포트정보를 로컬 프록시 모듈에서 서비스하는 루프백 IP 주소정보 및 포트정보로 변경하여 트래픽에 대한 리다이렉션을 수행한다.
202 단계 후에, 로컬 프록시 모듈은 로컬 리다이렉션 모듈의 리다이렉션에 의해 로컬 리다이렉션 모듈과 연결되며, 트래픽의 서버로의 전송을 위해 로컬 리다이렉션 모듈에 저장된 리다이렉션정보를 조회한다(204 단계).
204 단계 후에, 로컬 프록시 모듈은 리다이렉션정보의 조회에 따라 추출된 서버 IP 주소정보 및 포트정보를 이용하여 서버와의 TCP 연결을 수행한다(206 단계). 그 후, 로컬 프록시 모듈은 애플리케이션 또는 서버로부터 전송된 트래픽을 수신한다.
206 단계 후에, 로컬 프록시 모듈은 수신된 트래픽이 SSL 트래픽인가를 판단한다(208 단계). 로컬 프록시 모듈은 애플리케이션으로부터 SSL ClientHello 메시지를 수신한 경우에는 SSL 트래픽으로 판단한다.
208 단계 후에, 로컬 프록시 모듈은 로컬 리다이렉션 모듈의 리다이렉션에 따라, 전달받은 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행한다(210 단계). SSL 트래픽을 위한 연결로 판단되면, 로컬 프록시 모듈은 서버 측 SSL 핸드쉐이크와 클라이언트측 SSL 핸드쉐이크를 수행한다. SSL 핸드쉐이크 수행 후에, 로컬 프록시 모듈은 SSL 트래픽에 대한 인터셉션 동작을 수행한다. 즉, 로컬 프록시 모듈은 애플리케이션 또는 서버가 전송한 암호화 SSL 트래픽을 수신하고 이를 복호화한다.
210 단계 후에, 로컬 프록시 모듈은 복호화 SSL 트래픽을 보안 게이트웨이로 포워딩한다(212 단계).
212 단계 후에, 로컬 프록시 모듈은 복호화 SSL 트래픽을 재암호화하고, 재암호화 SSL 트래픽을 서버로 전송한다(214 단계).
214 단계 후에, 보안 게이트웨이는, 로컬 프록시 모듈로부터 포워딩된 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 로컬 프록시 모듈로 전송한다(216 단계).
216 단계 후에, 엔드포인트의 로컬 프록시 모듈은 보안 게이트웨이의 검사결과정보로부터 차단 대상이 되는 애플리케이션 및 서버의 IP주소 및 포트정보를 확인하고, 해당 애플리케이션 연결과 서버와의 연결을 종료한다(218 단계).
한편, 208 단계에서, 애플리케이션으로부터 수신된 트래픽이 SSL 트래픽이 아니라고 판단되면, 로컬 프록시 모듈은, SSL 트래픽이 아닌 Non-SSL 트래픽에 대해 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 보안 게이트웨이로 포워딩한다(220 단계). 이때, 로컬 프록시 모듈은 복호화 SSL 트래픽의 페이로드 데이터에 대해서도 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 보안 게이트웨이로 포워딩할 수 있다.
220 단계 후에, 로컬 프록시 모듈은 Non-SSL 트래픽에 대해 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 서버로 전송한다(222 단계).
본 발명은 소프트웨어적인 프로그램으로 구현하여 컴퓨터로 읽을 수 있는 소정 기록매체에 기록해 둠으로써 다양한 재생장치에 적용할 수 있다. 다양한 재생장치는 PC, 노트북, 휴대용 단말 등일 수 있다. 예컨대, 기록매체는 각 재생장치의 내장형으로 하드디스크, 플래시 메모리, RAM, ROM 등이거나, 외장형으로 CD-R, CD-RW와 같은 광디스크, 콤팩트 플래시 카드, 스마트 미디어, 메모리 스틱, 멀티미디어 카드일 수 있다.
이상과 같이 본 발명의 실시예를 설명하였으나, 본 발명의 명세서에 개시된 실시예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.
100: 엔드포인트
110: 로컬 리다이렉션 모듈
120: 로컬 프록시 모듈
200: 보안 게이트웨이
300: 서버

Claims (14)

  1. 애플리케이션에서 생성되는 트래픽을 서버로 전송하는 엔드포인트; 및
    상기 트래픽을 상기 엔드포인트로부터 전달받아서, 상기 트래픽 중 SSL 트래픽의 정보 보안과 관련한 데이터 분석을 수행하는 보안 게이트웨이를 포함하고,
    상기 엔드포인트는,
    상기 트래픽을 상기 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하고, 상기 트래픽의 전송과 관련한 리다이렉션을 수행하는 로컬 리다이렉션 모듈; 및
    상기 로컬 리다이렉션 모듈의 리다이렉션에 따라, 상기 로컬 리다이렉션 모듈에서 전달받은 상기 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행한 후에, 복호화 SSL 트래픽을 상기 보안 게이트웨이로 포워딩하는 로컬 프록시 모듈을 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  2. 청구항 1에 있어서,
    상기 로컬 리다이렉션 모듈은,
    네트워크 커널기반의 연결 리다이렉션 방식 및 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 상기 트래픽에 대한 리다이렉션을 수행하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  3. 청구항 1에 있어서,
    상기 로컬 리다이렉션 모듈은,
    상기 리다이렉션 정보로서, 상기 서버에 대한 서버 IP 주소정보 및 포트정보와 상기 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 저장하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  4. 청구항 1에 있어서,
    상기 로컬 프록시 모듈은,
    상기 로컬 리다이렉션 모듈의 리다이렉션에 의해 상기 로컬 리다이렉션 모듈과 연결되며, 상기 로컬 리다이렉션 모듈에 저장된 상기 리다이렉션정보를 조회하고,
    조회에 따라 상기 리다이렉션정보에 포함된 서버 IP 주소정보 및 포트정보를 이용하여 상기 서버와의 TCP 연결을 수행하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  5. 청구항 1에 있어서,
    상기 로컬 프록시 모듈은,
    상기 복호화 SSL 트래픽을 재암호화하고, 재암화SSL 트래픽을 상기 서버로 전송하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  6. 청구항 5에 있어서,
    상기 로컬 프록시 모듈은,
    상기 트래픽 중 상기 SSL 트래픽이 아닌 Non-SSL 트래픽 또는 상기 복호화 SSL 트래픽의 페이로드 데이터에 대해서 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 상기 보안 게이트웨이로 포워딩하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  7. 청구항 1에 있어서,
    상기 보안 게이트웨이는,
    상기 로컬 프록시 모듈로부터 포워딩된 상기 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 상기 로컬 프록시 모듈로 전송하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 시스템.
  8. 엔드포인트를 구성하는 로컬 리다이렉션 모듈은 애플리케이션에서 생성되는 트래픽을 서버로 전송하기 위한 서버연결정보를 포함하는 리다이렉션정보를 저장하는 단계;
    상기 로컬 리다이렉션 모듈은 상기 트래픽의 전송과 관련한 리다이렉션을 수행하는 단계;
    상기 엔드포인트를 구성하는 로컬 프록시 모듈은 상기 로컬 리다이렉션 모듈의 리다이렉션에 따라, 전달받은 상기 트래픽 중 SSL 트래픽에 대한 데이터 복호화를 수행하는 단계; 및
    상기 로컬 프록시 모듈은 복호화 SSL 트래픽을 보안 게이트웨이로 포워딩하는 단계를 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  9. 청구항 8에 있어서,
    상기 리다이렉션정보를 저장하는 단계는,
    상기 서버에 대한 서버 IP 주소정보 및 포트정보와 상기 애플리케이션에 대한 애플리케이션 IP 주소정보 및 포트정보를 상기 리다이렉션정보로서 저장하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  10. 청구항 8에 있어서,
    상기 리다이렉션을 수행하는 단계는
    네트워크 커널기반의 연결 리다이렉션 방식 및 애플리케이션 소켓연결 API 후킹방식 중 적어도 어느 하나의 방식을 이용하여, 상기 트래픽에 대한 리다이렉션을 수행하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  11. 청구항 8에 있어서,
    상기 로컬 프록시 모듈은 상기 로컬 리다이렉션 모듈의 리다이렉션에 의해 상기 로컬 리다이렉션 모듈과 연결되며, 상기 로컬 리다이렉션 모듈에 저장된 상기 리다이렉션정보를 조회하는 단계; 및
    상기 로컬 프록시 모듈은 조회에 따라 상기 리다이렉션정보에 포함된 서버 IP 주소정보 및 포트정보를 이용하여 상기 서버와의 TCP 연결을 수행하는 단계를 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  12. 청구항 8에 있어서,
    상기 로컬 프록시 모듈은 상기 복호화 SSL 트래픽을 재암호화하고, 재암화SSL 트래픽을 상기 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  13. 청구항 12에 있어서,
    상기 로컬 프록시 모듈은, 상기 트래픽 중 상기 SSL 트래픽이 아닌 Non-SSL 트래픽 또는 상기 복호화 SSL 트래픽의 페이로드 데이터에 대해서 이더넷 헤더, IP 헤더, TCP 헤더를 추가하여 상기 보안 게이트웨이로 포워딩하는 단계를 더 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
  14. 청구항 12에 있어서,
    상기 보안 게이트웨이는, 상기 로컬 프록시 모듈로부터 포워딩된 상기 트래픽에 대한 개인정보 및 기밀정보와 관련한 데이터 검증절차를 수행하고, 데이터 검증절차에 따른 검사결과정보를 상기 로컬 프록시 모듈로 전송하는 단계를 더 포함하는 것을 특징으로 하는 엔드포인트의 트래픽에 대한 포워딩 방법.
KR1020190128326A 2019-10-16 2019-10-16 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법 KR102263755B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190128326A KR102263755B1 (ko) 2019-10-16 2019-10-16 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법
US16/666,908 US11271906B2 (en) 2019-10-16 2019-10-29 System and method for forwarding traffic of endpoint

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190128326A KR102263755B1 (ko) 2019-10-16 2019-10-16 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210045545A KR20210045545A (ko) 2021-04-27
KR102263755B1 true KR102263755B1 (ko) 2021-06-11

Family

ID=75491495

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190128326A KR102263755B1 (ko) 2019-10-16 2019-10-16 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법

Country Status (2)

Country Link
US (1) US11271906B2 (ko)
KR (1) KR102263755B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101523253B1 (ko) 2014-04-09 2015-05-27 플러스기술주식회사 패킷 감시 및 차단 방법과 장치

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050262357A1 (en) * 2004-03-11 2005-11-24 Aep Networks Network access using reverse proxy
US20050273849A1 (en) * 2004-03-11 2005-12-08 Aep Networks Network access using secure tunnel
US7657940B2 (en) * 2004-10-28 2010-02-02 Cisco Technology, Inc. System for SSL re-encryption after load balance
US20100138910A1 (en) * 2008-12-03 2010-06-03 Check Point Software Technologies, Ltd. Methods for encrypted-traffic url filtering using address-mapping interception
US8510469B2 (en) * 2009-08-31 2013-08-13 Cisco Technology, Inc. Measuring attributes of client-server applications
KR20100018022A (ko) 2010-01-27 2010-02-16 임차성 프락시 서버의 ssl 통신 기록 방법
KR20140110058A (ko) * 2012-01-09 2014-09-16 퀄컴 인코포레이티드 통신 네트워크들을 위한 클라우드 컴퓨팅 제어된 게이트웨이
KR101847636B1 (ko) * 2016-03-14 2018-04-10 주식회사 수산아이앤티 암호화 트래픽을 감시하기 위한 방법 및 장치
US9935955B2 (en) * 2016-03-28 2018-04-03 Zscaler, Inc. Systems and methods for cloud based unified service discovery and secure availability
US20210105275A1 (en) * 2016-03-28 2021-04-08 Zscaler, Inc. Adaptive multipath tunneling in cloud-based systems
US11838299B2 (en) * 2019-03-25 2023-12-05 Zscaler, Inc. Cloud-based web content processing system providing client threat isolation and data integrity
KR102354699B1 (ko) * 2017-10-31 2022-01-24 삼성전자주식회사 네트워크 연결 제어 장치 및 그 방법
US10728245B2 (en) * 2017-12-07 2020-07-28 Ca, Inc. HTTP proxy authentication using custom headers
KR102042086B1 (ko) * 2018-01-03 2019-11-27 킹스정보통신(주) 암호화 통신 프로토콜 제어 모듈

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101523253B1 (ko) 2014-04-09 2015-05-27 플러스기술주식회사 패킷 감시 및 차단 방법과 장치

Also Published As

Publication number Publication date
KR20210045545A (ko) 2021-04-27
US11271906B2 (en) 2022-03-08
US20210119972A1 (en) 2021-04-22

Similar Documents

Publication Publication Date Title
US10284526B2 (en) Efficient SSL/TLS proxy
US9667601B2 (en) Proxy SSL handoff via mid-stream renegotiation
US9553892B2 (en) Selective modification of encrypted application layer data in a transparent security gateway
US8595818B2 (en) Systems and methods for decoy routing and covert channel bonding
US8261057B2 (en) System and method for establishing a virtual private network
CN107077432B (zh) Https请求充实
JP2023535304A (ja) サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム
US12034710B2 (en) Efficient SSL/TLS proxy
KR20070026331A (ko) 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법
RU2635220C2 (ru) Система двухсторонней связи в реальном времени с использованием протокола НТТР
Deshmukh et al. Design of IPSec virtual private network for remote access
KR102263755B1 (ko) 엔드포인트의 트래픽에 대한 포워딩 시스템 및 방법
US20230379150A1 (en) Methods and apparatuses for providing communication between a server and a client device via a proxy node
US11968237B2 (en) IPsec load balancing in a session-aware load balanced cluster (SLBC) network device
JP6623903B2 (ja) 受信制御システム、受信制御プログラム及び受信制御方法
Dupont DICE Working Group S. Raza Internet-Draft SICS, Stockholm Intended Status: Standard Track H. Shafagh ETH Zurich
CN115865417A (zh) 数据传输方法、装置、传输节点和存储介质
Kim Keynote address tuesday: Challenges in mobile devices: Process, design and manufacturing
Cvrk et al. Application-independent Decentralized and Secure Communication with NAT traversal

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right