인터넷 사용자 및 스마트 디바이스의 증가로 네트워크 보안의 중요성이 점차적으로 커지고 있다. 네트워크 보안의 세부기술들은 방화벽, IPS, DDoS차단시스템, UTM, VPN, 네트워크 접근제어시스템, 무선네트워크보안, 모바일보안, 망분리 등으로 구성된다. 현재 하드웨어 인프라는 이미 IPv6를 위한 기능을 지원하고 있지만 IPv6 기반 서비스의 제공은 미진하여 대부분의 보안제품들은 IPv4에서 동작하고 있다. 그러므로 본 논문에서는 IPv6를 지원하는 보안 기술인 네트워크 접근제어기능을 설계하고 이를 위해 필수적으로 요구되는 IPv6 단말의 탐색, 차단/격리 그리고 128bit IPv6 주소의 효율적인 관리를 위한 도메인자동 할당 기능을 설계 및 구현하였다. 이를 위해 KISA에서 실제 구축한 IPv6 환경에서 보편적 단말들에 적용이 가능하도록 구현하였다. 결과적으로 보편적으로 사용하고 있는 IPv6 장비들에 대해서 유 무선 호스트 검출, 차단, 격리 및 도메인 할당이 정상적으로 동작하는 것을 확인할 수 있었다.
인터넷 사용자 및 스마트 디바이스의 증가로 네트워크 보안의 중요성이 점차적으로 커지고 있다. 네트워크 보안의 세부기술들은 방화벽, IPS, DDoS차단시스템, UTM, VPN, 네트워크 접근제어시스템, 무선네트워크보안, 모바일보안, 망분리 등으로 구성된다. 현재 하드웨어 인프라는 이미 IPv6를 위한 기능을 지원하고 있지만 IPv6 기반 서비스의 제공은 미진하여 대부분의 보안제품들은 IPv4에서 동작하고 있다. 그러므로 본 논문에서는 IPv6를 지원하는 보안 기술인 네트워크 접근제어기능을 설계하고 이를 위해 필수적으로 요구되는 IPv6 단말의 탐색, 차단/격리 그리고 128bit IPv6 주소의 효율적인 관리를 위한 도메인자동 할당 기능을 설계 및 구현하였다. 이를 위해 KISA에서 실제 구축한 IPv6 환경에서 보편적 단말들에 적용이 가능하도록 구현하였다. 결과적으로 보편적으로 사용하고 있는 IPv6 장비들에 대해서 유 무선 호스트 검출, 차단, 격리 및 도메인 할당이 정상적으로 동작하는 것을 확인할 수 있었다.
The increase in the Internet and smart device users requires high-level network security. Network security consists of Web Firewall, Network Firewall, IPS, DDoS system, UTM (Unified Treat Management), VPN, NAC (Network Access Control), Wireless security, Mobile security, and Virtualization. Most net...
The increase in the Internet and smart device users requires high-level network security. Network security consists of Web Firewall, Network Firewall, IPS, DDoS system, UTM (Unified Treat Management), VPN, NAC (Network Access Control), Wireless security, Mobile security, and Virtualization. Most network security solutions running on IPv4, and IPv6 network services are not sufficiently ready. Therefore, in this paper, this study designed and implemented important functions of Network Access Control (NAC), which include IPv6 host detection, isolation, blocking and domain assignment for the IPv6 network. In particular, domain assignment function makes 128 bits IPv6 address management easy. This system was implemented on a KISA IPv6 test-bed using well known devices. Finally, the test result showed that all IPv6 based wired and wireless devices were well-controlled (detection, blocking, isolation and domain assignment).
The increase in the Internet and smart device users requires high-level network security. Network security consists of Web Firewall, Network Firewall, IPS, DDoS system, UTM (Unified Treat Management), VPN, NAC (Network Access Control), Wireless security, Mobile security, and Virtualization. Most network security solutions running on IPv4, and IPv6 network services are not sufficiently ready. Therefore, in this paper, this study designed and implemented important functions of Network Access Control (NAC), which include IPv6 host detection, isolation, blocking and domain assignment for the IPv6 network. In particular, domain assignment function makes 128 bits IPv6 address management easy. This system was implemented on a KISA IPv6 test-bed using well known devices. Finally, the test result showed that all IPv6 based wired and wireless devices were well-controlled (detection, blocking, isolation and domain assignment).
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
네트워크 접근제어 기능 구현에 있어서 호스트의 탐색은 가장 기본 기능이며 핵심 기능이라 할 수 있다. 그러므로 본 논문에서는 MLD(Multicast Listener Discovery) 활용한 IPv6 호스트 탐색방법을 제안하고자 한다.
그러므로 본 논문에서는 NAC의 분류상 Network Protocol 방식의 접근제어 기술을 활용하고 IPv6 네트워크로의 확장을 위해 IPv6 호스트의 탐색, 미인가 호스트의 차단/격리 알고리즘을 제안하고 또한 IPv6 주소의 효율적인 관리를 위한 도메인 할당 방안을 제안하고자 한다.
그러므로 본 연구에서는 IPv6 네트워크에 적용 가능한 네트워크 접근제어 시스템을 제안하고자 한다. IPv6기반의 네트워크 접근제어는 IPv6 단말의 탐색, 미인가 단말의 차단/격리 및 사용자인증 유도, IPv6 주소의 효율적인 관리를 위한 인가된 단말의 도메인 자동 할당 기능은 필수적으로 포함해야 하므로 이에 대한 구현 방안을 제시한다.
제안 방법
그러므로 본 연구에서는 IPv6 네트워크에 적용 가능한 네트워크 접근제어 시스템을 제안하고자 한다. IPv6기반의 네트워크 접근제어는 IPv6 단말의 탐색, 미인가 단말의 차단/격리 및 사용자인증 유도, IPv6 주소의 효율적인 관리를 위한 인가된 단말의 도메인 자동 할당 기능은 필수적으로 포함해야 하므로 이에 대한 구현 방안을 제시한다. 이러한 기능을 포함하는 네트워크 접근제어 기술은 IPv6 only 네트워크 뿐 만 아니라 IPv4/IPv6 듀얼스텍을 가지고 있는 네트워크 환경에서도 적용이 가능하다.
격리는 정상적인 인증을 통해서 네트워크에 접속할 수 있도록 해당 단말이 인증페이지로 리다이렉션되고 인증절차를 거쳐 최종 네트워크에 접속하기 전까지의 상태를 의미한다. 격리는 웹 리다이렉션으로 테스트가 가능하기 때문에 본 장에서는 IPv6 호스트의 차단 방법만을 기술하고자 한다.
현재 가장 많이 사용하는 NAC 기법이며 정책강제 에이전트가 DHCP 또는 ARP 같은 프로토콜을 활용하여 단말의 탐색, 접속의 차단과 격리 그리고 IP주소의 할당을 수행하게 된다. 단일 서브네트워크 또는 VLAN 사용시 다수개의 서브네트워크 단위로 정책 강제 에이전트가 배치되어 정책을 실행한다. 서브네트워크별로 정책강제 에이전트가 설치되어야 하는 비용적인 단점이 있으나, IP관리 기술을 효율적으로 적용할 수 있고 다양한 IP기반의 기술로의 확장이 가능한 장점이 있다.
도메인의 할당은 수집된 호스트의 MAC 주소, 호스트의 IPv4 주소, 호스트의 컴퓨터명 또는 인사DB와 연계한 사용자의 ID, 사용자의 이름, 사용자의 사번 등을 이용한 자동할당 및 사용자에 의한 수동 할당이 가능하도록 구현하였다.
해당 테스트는 한국인터넷진흥원(KISA)에서 실제 구축한 IPv6 환경에서 테스트를 진행하였다. 또한 인사DB 연동 ID/PW를 활용한 사용자 인증을 수행하였다. 위 테스트를 진행하기 전에 테스트 시나리오를 작성하고 실험 결과 값을 예측하여 실험결과와 비교하여 해당 기능의 동작 여부를 확인하였다.
본 논문에서는 IPv6 호스트의 차단기능을 대상 호스트에 변조된 NA(Neighbor Advertisement) 패킷을 보내거나 또는 나머지 노드에 차단 호스트의 변조된 NA를 Multicast 함으로 구현하였다. 차단의 세부적인 동작 방안은 Fig.
실험을 위해 유·무선 IPv6 환경에서 호스트 MAC을 차단하도록 정책을 설정하고 외부 네트워크의 접속이 정상적으로 차단되는지 Fig. 11과 같이 시나리오를 구성하고 테스트 하였다.
또한 인사DB 연동 ID/PW를 활용한 사용자 인증을 수행하였다. 위 테스트를 진행하기 전에 테스트 시나리오를 작성하고 실험 결과 값을 예측하여 실험결과와 비교하여 해당 기능의 동작 여부를 확인하였다.
유선단말인 PC와 MacBook, 무선단말인 아이폰과 갤럭시탭에서 IPv6 외부 네트워크 웹사이트(http://ipv6-test.com)에 접속 여부를 실험하였고 실험결과는 Fig. 12와 같이 성공적으로 IPv6 호스트의 접속이 차단 되었다.
호스트 탐색 테스트는 Macbook, Windows7(유선)와 아이폰과 갤럭시탭(무선)을 이용하여 IPv6 유·무선 테스트를 동시에 진행하였다.
대상 데이터
IPv6 기반의 네트워크 접근제어의 테스트 환경을 수행하기 위하여 Fig 10과 같이 테스트 환경을 구성하였다. 해당 테스트는 한국인터넷진흥원(KISA)에서 실제 구축한 IPv6 환경에서 테스트를 진행하였다. 또한 인사DB 연동 ID/PW를 활용한 사용자 인증을 수행하였다.
이론/모형
4의 Hybrid Enforcement NAC이다. 사용자 인증 등은 Edge 방식을 사용하고, 인증을 제외한 네트워크 접속과 관련된 정책 실행은 Inline 방식을 사용한다. Edge 방식에 비해 다양한 정책적용이 가능하고, Inline 방식에 비해 정책강제 에이전트의 부하를 줄일 수 있는 장점이 있다.
탐색된 IPv6 호스트는 관리 정책에 따라 차단 또는 격리될 수 있다. 차단은 내부망 접근을 원천적으로 차단하는 방법으로 본 논문에서는 IPv6의 NDP(Neighbor Discovery Protocol)을 사용하여 구현하였다. NDP는 IPv6 환경에서 인접 호스트와 통신을 하기위해 사용되는 프로토콜로 ICMPv6에 포함되어있으며 IPv4 환경에서 ARP(Address Resolution Protocol)의 기능을 대신한다.
성능/효과
본 논문에서 제안한 IPv6 기반의 네트워크 접근제어 시스템은 유·무선 IPv6 테스트 환경에서 시험한 결과 IPv6 테스트베드와 연동하여 IPv6 호스트들과 원활한 통신이 이루어졌으며 유·무선 호스트 검출, 라우터 검출 및 모니터링 기능이 정상적으로 동작하였다. 또한 호스트 차단기능과 호스트 격리 및 도메인 할당 기능도 현재 가장 보편적으로 사용하고 있는 운영체제의 장비들과 모두 정상적으로 동작하였음을 확인할 수 있었다. Table 5는 본 논문의 최종적인 실험 결과를 보여주고 있다.
본 논문에서 제안한 IPv6 기반의 네트워크 접근제어 시스템은 유·무선 IPv6 테스트 환경에서 시험한 결과 IPv6 테스트베드와 연동하여 IPv6 호스트들과 원활한 통신이 이루어졌으며 유·무선 호스트 검출, 라우터 검출 및 모니터링 기능이 정상적으로 동작하였다.
실험결과 Fig. 14와 같이 정상적인 격리 후 사용자 인증페이지로 리다이렉션, 사용자 인증, 도메인 등록, 등록도메인으로 통신, IPv6 웹페이지 접속이 모두 성공적으로 동작하였다.
후속연구
본 연구를 통해 외부의 IPv6 서버와 접속을 통하여 실 IPv6 트래픽을 이용하여 테스트 하였다는 점에서 큰 성과가 있었으며 향후 IPv6 기반의 IPT(IP Telephony) 환경에는 바로 적용이 가능할 것으로 판단된다. 향후 연구에서는 IPv6 환경에서 요구하는 추가적인 기능 개발 및 연구를 통해 업무용 환경에 적용 가능하도록 기능을 확장하고자 한다.
ICANN의 IPv4 주소의 고갈과 최종할당 정책에 따라 전세계적으로 IPv6 로의 전환이 급속히 이루어지고 있다. 특히 클라우드 네트워킹과 사물인터넷(IoT)의 시장 확대로 IPv6의 요구는 지속적으로 확대될 것으로 판단된다. 이미 네트워킹 장비(라우터, 스위치)와 같은 인프라 구성장비는 이미 IPv6를 위한 기능을 포함하여 지원하고 있지만 이러한 네트워크 상에서 적용되는 서비스들 중에서 현재 IPv6 지원이 가능한 기술은 미비한 상황이다.
본 연구를 통해 외부의 IPv6 서버와 접속을 통하여 실 IPv6 트래픽을 이용하여 테스트 하였다는 점에서 큰 성과가 있었으며 향후 IPv6 기반의 IPT(IP Telephony) 환경에는 바로 적용이 가능할 것으로 판단된다. 향후 연구에서는 IPv6 환경에서 요구하는 추가적인 기능 개발 및 연구를 통해 업무용 환경에 적용 가능하도록 기능을 확장하고자 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
IPv6의 수요가 증가하는 이유는 무엇인가?
ICANN의 IPv4 주소의 고갈과 최종할당 정책에 따라 전세계적으로 IPv6 로의 전환이 급속히 이루어지고 있다. 특히 클라우드 네트워킹과 사물인터넷(IoT)의 시장 확대로 IPv6의 요구는 지속적으로 확대될 것으로 판단된다. 이미 네트워킹 장비(라우터, 스위치)와 같은 인프라 구성장비는 이미 IPv6를 위한 기능을 포함하여 지원하고 있지만 이러한 네트워크 상에서 적용되는 서비스들 중에서 현재 IPv6 지원이 가능한 기술은 미비한 상황이다.
네트워크 보안은 기능 분류상 어떻게 구성되는가?
인터넷사용자의 증가와 모바일 디바이스의 증가로 인한 유·무선 네트워크의 확대는 다양한 보안 문제를 야기하고 있고, 사물인터넷(IoT)의 확대는 지금까지 고려되지 않았던 더 많은 보안문제를 발생시킬 것이다. 일반적으로 네트워크 보안은 기능분류상으로 웹 방화벽, 네트워크 방화벽, 침입방지시스템(IPS), DDoS 차단 시스템, 통합보안시스템(UTM), 가상사설망(VPN), 네트워크 접근제어(NAC), 무선 네크워크 보안, 모바일 보안, 가상화(망분리) 영역으로 구성이 된다[3]. 다양한 보안제품과 기술들이 제시되고 있지만 대부분의 경우가 IPv4 환경에서 동작하고 있다.
Edge Enforcement NAC의 장점은 무엇인가?
1x 인증이 대표적인 기술이라 할 수 있다. 네트워크 접속점에서 정책이 실행되므로 실행속도가 빠른 장점이 있다. 하지만 이를 위해서 모든 네트워크 장비가 802.
참고문헌 (5)
KANI, "The reference model for IPv6 network conversion", pp.10, 2013, Available From : http://nec.kani.or.kr//main/main.php?categoryid08&menuid02&groupid00 (accessed May 26 2014)
Ministry of Science, ICT and Future Planning, "Roadmap of expanding IPv6 for promotion of new internet industry", 2014, Available From : http://www.kisa.or.kr/notice/noticeView.jsp?cPage1&modeview&p_No4&b_No4&d_No1421&ST&SV (accessed May 26 2014)
KISIA, KDCA, "Survey for Information Security Industry in Korea : Year 2013", pp.54, 2014
Jae-Ho Lee, "IPv6 deployment state and expanding strategy on government area", Proc. of IPv6 day 2103 Korea, pp.23-34, 2013
Joel Snyder, "Selecting An Approach For NAC Enforcement: Five Key Issues", pp.2-4, Whitepaper, Opus One, Sept. 2007. Available From : http://www.kisa.or.kr/notice/noticeView.jsp?cPage1&modeview&p_No4&b_No4&d_No1421&ST&SV (accessed June 4 2014)
※ AI-Helper는 부적절한 답변을 할 수 있습니다.