<353220BDC5C7D8C1D82D B1E2B9DDC0C720B3D7C6AEBFF6C5A92E687770>

Similar documents
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

인문사회과학기술융합학회

Network seminar.key


개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

08SW

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

UDP Flooding Attack 공격과 방어

디지털포렌식학회 논문양식

Microsoft Word - How to make a ZigBee Network_kr

°í¼®ÁÖ Ãâ·Â

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

슬라이드 1

DBPIA-NURIMEDIA

09권오설_ok.hwp

ApeosPort-V 7080/6080, DocuCentre-V 7080/6080 User Guide (For AirPrint)

Microsoft PowerPoint - 06-IPAddress [호환 모드]

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

TCP.IP.ppt

제20회_해킹방지워크샵_(이재석)


DBPIA-NURIMEDIA

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

DBPIA-NURIMEDIA

<32382DC3BBB0A2C0E5BED6C0DA2E687770>

±èÇö¿í Ãâ·Â

04서종철fig.6(121~131)ok

Microsoft Word - NAT_1_.doc

6강.hwp

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

rv 브로슈어 국문

04_이근원_21~27.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 25(3),

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

TTA Journal No.157_서체변경.indd

10 이지훈KICS hwp

Microsoft Word - ZIO-AP1500N-Manual.doc

Microsoft Word - release note-VRRP_Korean.doc

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

istay

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

cam_IG.book

bn2019_2

그림 2. 5G 연구 단체 현황 앞으로 다가올 미래에는 고품질 멀 티미디어 서비스의 본격화, IoT 서 비스 확산 등의 변화로 인해 기하 급수적인 무선 데이터 트래픽 발생 및 스마트 기기가 폭발적으로 증대 할 것으로 예상된다 앞으로 다가올 미래에는 고품질 멀티미디어 서

09È«¼®¿µ 5~152s

chapter4

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

DBPIA-NURIMEDIA

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

DBPIA-NURIMEDIA

Microsoft PowerPoint - ch13.ppt

歯김병철.PDF

Assign an IP Address and Access the Video Stream - Installation Guide

DBPIA-NURIMEDIA

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

thesis

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),

IPv6 진화동기 인터넷접속노드증가에따른주소영역의 활장 사용자의다양한서비스욕구충족 실시간서비스, 멀티미디어서비스 보안및 인증서비스 IPng S pecifications IPv6 Specification - Intenet Protocol, Version 6(IPv6) S

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

WiseNet SmartCam 제품사용설명서 Copyright 2017 Hanwha Techwin Co., Ltd. All rights reserved. Trademark 여기에기재된상표는모두등록된것으로이매뉴얼에기재된이상품의이름과다른상표는각회사로부터등록된상표입니다. R

00내지1번2번

DBPIA-NURIMEDIA

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -


특집-5

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

Microsoft PowerPoint - MobileIPv6_김재철.ppt

Windows Server 2012

<332EC0E5B3B2B0E62E687770>

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB1E8B1A4BCAE>

,, RFID,. ITU-R [7], IoT (Internet of Thing), (ultra reliable) (low latency). IoT ( ) , [1]., [8] 10 IoT.,. Ofcom [10] IoT/M2M, (utilities),,

1. 정보보호 개요

07_À±¿ø±æ3ÀüºÎ¼öÁ¤

Output file

1. 기술배경 NFV는 Consortium of Service Provider들에의해서만들어졌다. 현재 Network Operation은규모가큰전용 Hardware appliances가계속해서증가하고있다. 새로운 Network Service를 Launching할때마다에

<3031B0ADB9CEB1B82E687770>

10(3)-09.fm

슬라이드 제목 없음

27 2, 17-31, , * ** ***,. K 1 2 2,.,,,.,.,.,,.,. :,,, : 2009/08/19 : 2009/09/09 : 2009/09/30 * 2007 ** *** ( :

슬라이드 제목 없음


Kor. J. Aesthet. Cosmetol., 라이프스타일은 개인 생활에 있어 심리적 문화적 사회적 모든 측면의 생활방식과 차이 전체를 말한다. 이러한 라이프스 타일은 사람의 내재된 가치관이나 욕구, 행동 변화를 파악하여 소비행동과 심리를 추측할 수 있고, 개인의

12 CO N T E N T S

11 CO N T E N T S

Microsoft Word - KSR2014S042

PowerPoint 프레젠테이션

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

(JBE Vol. 23, No. 6, November 2018) (Special Paper) 23 6, (JBE Vol. 23, No. 6, November 2018) ISSN 2

Transcription:

Journal of the Korea Academia-Industrial cooperation Society Vol. 15, No. 10 pp. 6310-6316, 2014 http://dx.doi.org/10.5762/kais.2014.15.10.6310 ISSN 1975-4701 / eissn 2288-4688 IPv6 기반의네트워크접근제어시스템설계및구현 신해준 1* 1 ( 주 ) 넷맨연구소 Design and Implementation of Network Access Control based on IPv6 HaeJoon Shin 1* 1 Research Institute, NetMan Co., Ltd. 요약인터넷사용자및스마트디바이스의증가로네트워크보안의중요성이점차적으로커지고있다. 네트워크보안의세부기술들은방화벽, IPS, DDoS 차단시스템, UTM, VPN, 네트워크접근제어시스템, 무선네트워크보안, 모바일보안, 망분리등으로구성된다. 현재하드웨어인프라는이미 IPv6를위한기능을지원하고있지만 IPv6 기반서비스의제공은미진하여대부분의보안제품들은 IPv4에서동작하고있다. 그러므로본논문에서는 IPv6를지원하는보안기술인네트워크접근제어기능을설계하고이를위해필수적으로요구되는 IPv6 단말의탐색, 차단 / 격리그리고 128bit IPv6 주소의효율적인관리를위한도메인자동할당기능을설계및구현하였다. 이를위해 KISA 에서실제구축한 IPv6 환경에서보편적단말들에적용이가능하도록구현하였다. 결과적으로보편적으로사용하고있는 IPv6 장비들에대해서유 무선호스트검출, 차단, 격리및도메인할당이정상적으로동작하는것을확인할수있었다. Abstract The increase in the Internet and smart device users requires high-level network security. Network security consists of Web Firewall, Network Firewall, IPS, DDoS system, UTM (Unified Treat Management), VPN, NAC (Network Access Control), Wireless security, Mobile security, and Virtualization. Most network security solutions running on IPv4, and IPv6 network services are not sufficiently ready. Therefore, in this paper, this study designed and implemented important functions of Network Access Control (NAC), which include IPv6 host detection, isolation, blocking and domain assignment for the IPv6 network. In particular, domain assignment function makes 128 bits IPv6 address management easy. This system was implemented on a KISA IPv6 test-bed using well known devices. Finally, the test result showed that all IPv6 based wired and wireless devices were well-controlled (detection, blocking, isolation and domain assignment). Key Words : Pv6, Network Access Control, Host Detection, Network Blocking, Domain Assignment 1. 서론 ICANN 의 IPv4 주소의고갈과최종할당정책에따라전세계적으로 IPv6 로의전환이급속히이루어지고있다. 특히클라우드네트워킹과사물인터넷 (IoT) 의시장확대로 IPv6 의요구는지속적으로확대될것으로판단된다. 이미네트워킹장비 ( 라우터, 스위치 ) 와같은인프라구성장비는이미 IPv6 를위한기능을포함하여지원하고있지만이러한네트워크상에서적용되는서비스들중에 서현재 IPv6 지원이가능한기술은미비한상황이다. 물론기존의솔루션을 IPv6에서적용할수있도록 IPv4/IPv6 듀얼스택, 터널링, 주소변환등의 IPv6 전환기술을활용하고있으나 IPv6로의확대는시점의문제일뿐필연적이라할수있다 [1,2]. 인터넷사용자의증가와모바일디바이스의증가로인한유 무선네트워크의확대는다양한보안문제를야기하고있고, 사물인터넷 (IoT) 의확대는지금까지고려되지않았던더많은보안문제를발생시킬것이다. 일반 * Corresponding Author : HaeJoon Shin(NetMan Co., Ltd.) Tel: +82-53-652-8051 email: fisher@yumail.ac.kr Received June 5, 2014 Revised (1st July 2, 2014, 2nd July 15, 2014) Accepted October 10, 2014 6310

IPv6 기반의네트워크접근제어시스템설계및구현 적으로네트워크보안은기능분류상으로웹방화벽, 네트워크방화벽, 침입방지시스템 (IPS), DDoS 차단시스템, 통합보안시스템 (UTM), 가상사설망 (VPN), 네트워크접근제어 (NAC), 무선네크워크보안, 모바일보안, 가상화 ( 망분리 ) 영역으로구성이된다 [3]. 다양한보안제품과기술들이제시되고있지만대부분의경우가 IPv4 환경에서동작하고있다. 실제로 IPv6를지원하는네트워크장비는 72.8%, 서버단말은 68.7% 인반면에보안은 19.1% 로준비율이매우낮다 [4]. 그러므로본연구에서는 IPv6 네트워크에적용가능한네트워크접근제어시스템을제안하고자한다. IPv6 기반의네트워크접근제어는 IPv6 단말의탐색, 미인가단말의차단 / 격리및사용자인증유도, IPv6 주소의효율적인관리를위한인가된단말의도메인자동할당기능은필수적으로포함해야하므로이에대한구현방안을제시한다. 이러한기능을포함하는네트워크접근제어기술은 IPv6 only 네트워크뿐만아니라 IPv4/IPv6 듀얼스텍을가지고있는네트워크환경에서도적용이가능하다. 본논문의 2장에서는현재까지개발된 IPv4 기반의네트워크접근제어의기능과제어위치에따른 NAC의특성을분석하고, 3장에서는본논문에서제안하는 IPv6 환경에서의네트워크접근제어구현방안을설명한다. 4장에서는실험결과를분석하고, 5장에서본논문의결론을맺는다. 일반적인 NAC의구조는 Fig. 1과같이네트워크접근정책을결정하는정책서버 (Policy Decision Point) 와정책을강제하는에이전트 (Policy Enforcement Point) 그리고내부망에접속을요청하는단말 (Access Requester) 로구성된다. [Fig. 1] Structure of Network Access Control 2.2 Control 의위치에따른 NAC의분류네트워크접근제어 (NAC) 는정책을강제하는 Policy Enforcement Point 의위치와기능에따라서크게 4가지종류로구분된다 [5]. 2. 관련연구 2.1 Network Access Control 네트워크접근제어 (Network Access Control : NAC) 는내부네트워크로접근하려는단말기와네트워크상태를검사해위험요소의접속을원천차단하는시스템으로내부보안강화를위한목적으로개발되었다. 네트워크스스로무결성을유지할수있도록하는 NAC는데스크톱PC, 노트북, 스마트폰, 태블릿PC 등업무에사용되는단말의종류가다양해지면서더욱중요도가높아지고있다. NAC는네트워크에접속하려는단말기가본인에의해사용되고있으며, 권한에따라접근을시도하는지검증해야한다. 특히일반유선환경에서는최소한의보안요구사항을충족하기위해서 ID/PW, MAC, IP 주소인증등이필수적으로요구된다. [Fig. 2] Edge Enforcement NAC Edge Enforcement NAC은 Fig. 2와같이정책서버가네트워크의끝단에있는장치 (Switch, AP 등 ) 에게정책을내리고, 네트워크장치들이접속제어를강제할책임을가지며접속단말의탐지, 격리, 차단등의기능을실행하게된다. MAC 기반의 802.1x 인증이대표적인기술이라할수있다. 네트워크접속점에서정책이실행되므로실행속도가빠른장점이있다. 하지만이를위해서모든네트워크장비가 802.1x를지원해야하므로인프라구축에비용이많이발생하는것이단점이다. 6311

한국산학기술학회논문지제 15 권제 10 호, 2014 Fig. 3에서보여주고있는 Inline Enforcement NAC에서는정책강제에이전트가스위치의미러링포트에연결되어네트워크트래픽분석을통해서상태를파악하고문제가있는단말에대해서접속을차단또는격리하게된다. 토콜을활용하여단말의탐색, 접속의차단과격리그리고 IP주소의할당을수행하게된다. 단일서브네트워크또는 VLAN 사용시다수개의서브네트워크단위로정책강제에이전트가배치되어정책을실행한다. 서브네트워크별로정책강제에이전트가설치되어야하는비용적인단점이있으나, IP관리기술을효율적으로적용할수있고다양한 IP기반의기술로의확장이가능한장점이있다. [Fig. 3] Inline Enforcement NAC 장비의구성이가장간단한장점이있다. 하지만대규모사이트의경우발생하는트래픽의양이커지게되어정책강제에이전트의부하가크게발생하는단점이있다. [Fig. 5] Network Protocol(ARP, DHCP) 그러므로본논문에서는 NAC의분류상 Network Protocol 방식의접근제어기술을활용하고 IPv6 네트워크로의확장을위해 IPv6 호스트의탐색, 미인가호스트의차단 / 격리알고리즘을제안하고또한 IPv6 주소의효율적인관리를위한도메인할당방안을제안하고자한다. 3. IPv6 기반 NAC [Fig. 4] Hybrid(inline+edge) Enforcement Edge Enforcement NAC와 Inline Enforcement NAC 의장점을조합하여만든방식이 Fig. 4의 Hybrid Enforcement NAC 이다. 사용자인증등은 Edge 방식을사용하고, 인증을제외한네트워크접속과관련된정책실행은 Inline 방식을사용한다. Edge 방식에비해다양한정책적용이가능하고, Inline 방식에비해정책강제에이전트의부하를줄일수있는장점이있다. 단점은 Edge 방식처럼인프라구축에많은비용이발생한다. 마지막으로살펴볼 Network Protocol NAC의동작구조는 Fig. 5와같다. 현재가장많이사용하는 NAC 기법이며정책강제에이전트가 DHCP 또는 ARP 같은프로 3.1 IPv6 호스트탐색네트워크접근제어기능구현에있어서호스트의탐색은가장기본기능이며핵심기능이라할수있다. 그러므로본논문에서는 MLD(Multicast Listener Discovery) 활용한 IPv6 호스트탐색방법을제안하고자한다. [Fig. 6] Searching Procedure by MLD 6312

IPv6 기반의네트워크접근제어시스템설계및구현 1. 정책강제에이전트가 MLD 패킷을네트워크에전송 (Broadcasting) 2. MLD를수신한네트워크내호스트는자신이속한 Multicast 그룹정보를참조하여 Multicast Listener Report 패킷을정책강제에이전트에전송 3. 정책강제에이전트가호스트들에게서수신한 Multicast Listener Report 패킷에서호스트정보 (IP, MAC) 획득 MLD는 IPv4에서사용되는 IGMP(Internet Group Management Protocol) 을대체해서만들어진 IPv6 기반의프로토콜이다. 본논문에서제안하는 MLD를이용한 IPv6 호스트탐색절차는 Fig. 6과같다. MLD를이용한 IPv6 호스트의탐색결과는 Fig. 7과같이 IP주소와 MAC 주소가정상적으로획득되었고정상적으로동작을수행하였다. [Table 2] NDP Packet Type Type RS (Router Solicitation) RA(Router Advertisement) NS(Neighbor Solicitation) NA(Neighbor Advertisement) Redirect Details Host sends RS packet to get network prefix information Router sends RA packet which includes MAC, IP and network prefix to host which requests RS Host sends NS packet to get MAC address to communicate neighbor Send NA in response to NS Send an unsolicited NA to propagate new information quickly Inform a host of a better first-hop node on the way to the intended destination node 격리는정상적인인증을통해서네트워크에접속할수있도록해당단말이인증페이지로리다이렉션되고인증절차를거쳐최종네트워크에접속하기전까지의상태를의미한다. 격리는웹리다이렉션으로테스트가가능하기때문에본장에서는 IPv6 호스트의차단방법만을기술하고자한다. 본논문에서는 IPv6 호스트의차단기능을대상호스트에변조된 NA(Neighbor Advertisement) 패킷을보내거나또는나머지노드에차단호스트의변조된 NA를 Multicast 함으로구현하였다. 차단의세부적인동작방안은 Fig. 8과같다. [Fig. 7] Searching Result by MLD 3.2 IPv6 호스트의차단과격리 탐색된 IPv6 호스트는관리정책에따라차단또는격리될수있다. 차단은내부망접근을원천적으로차단하는방법으로본논문에서는 IPv6의 NDP(Neighbor Discovery Protocol) 을사용하여구현하였다. NDP는 IPv6 환경에서인접호스트와통신을하기위해사용되는프로토콜로 ICMPv6 에포함되어있으며 IPv4 환경에서 ARP(Address Resolution Protocol) 의기능을대신한다. NDP의기능은 Table 1 과 Table 2 와같다. [Table 1] NDP Functions Type Details Router/Prefix Find router in the network using RS and Discovery RA(Getting Network prefix) Translate IPv6 to MAC using NS and NA Address Resolution (Same as ARP over IPv4) Redirect Same as IPv4 redirect message [Fig. 8] Host Blocking Type 1. 대상호스트로변조된 NA 전송하여외부와의통신차단 Type 2. 대상호스트를제외한나머지노드에차단호스트의변조된 NA를 Multicast 하여외부와통신차단 3.3 IPv6 호스트도메인할당 IPv6 주소는 32자리 16진수로구성되어있어직접관리하는것이불가능하기때문에이의효율적인관리를위한도메인주소의활용은필수적이다. 본논문에서제 6313

한국산학기술학회논문지제 15 권제 10 호, 2014 안하는도메인할당절차는 Fig. 9 와같다. 행하기위하여 Fig 10과같이테스트환경을구성하였다. 해당테스트는한국인터넷진흥원 (KISA) 에서실제구축한 IPv6 환경에서테스트를진행하였다. 또한인사DB 연동 ID/PW를활용한사용자인증을수행하였다. 위테스트를진행하기전에테스트시나리오를작성하고실험결과값을예측하여실험결과와비교하여해당기능의동작여부를확인하였다. [Fig. 9] Domain Assignment 1. 호스트가 DNS 매니저에게사용하는 IP에대한도메인설정요청 2. 도메인설정요청이수신되면 DNS 매니저는호스트에도메인을자동생성 3. DNS서버에관련정보를추가 / 삭제 / 업데이트를수행한후호스트에결과전송 4. DNS 매니저에서결과를수신받은호스트는등록된도메인으로통신가능도메인의할당은수집된호스트의 MAC 주소, 호스트의 IPv4 주소, 호스트의컴퓨터명또는인사DB 와연계한사용자의 ID, 사용자의이름, 사용자의사번등을이용한자동할당및사용자에의한수동할당이가능하도록구현하였다. 3.4 IPv6 NAC 과 IPv4 NAC의비교본논문에서제안하는 IPv6 기반의 NAC 기능 ( 탐색, 격리, 차단등 ) 을구현관점에서 IPv4 NAC과비교하면 Table 3과같다. [Table 3] Comparison of IPv6 NAC with IPv4 NAC Device IPv6 NAC IPv4 NAC Detection MDL ARP Blocking NDP(NA) ARP Isolation Redirection Redirection Domain Assign Used Not used 4. 실험 ( 구현 ) 결과 IPv6 기반의네트워크접근제어의테스트환경을수 [Fig. 10] Testbed for Network Access Control 4.1 IPv6 호스트탐색 호스트탐색테스트는 Macbook, Windows7( 유선 ) 와아이폰과갤럭시탭 ( 무선 ) 을이용하여 IPv6 유 무선테스트를동시에진행하였다. 기능의호환성을위해하위버전장비를사용하였고실험결과는 Table 4와같다. [Table 4] Result of IPv6 Host Searching Device OS Access IPv6 Detection PC Win7 Wired O Macbook OS X(Lion) Wired O iphone IOS 5.0 Wireless O Galaxy Tab Jelly Bean Wireless O 4.2 IPv6 호스트차단 실험을위해유 무선 IPv6 환경에서호스트 MAC을차단하도록정책을설정하고외부네트워크의접속이정상적으로차단되는지 Fig. 11과같이시나리오를구성하고테스트하였다. 정상적인차단동작은기본적으로 IPv6 사이트 (http://ipv6-test.com) 웹접속에실패해야한다. 유선단말인 PC와 MacBook, 무선단말인아이폰과갤럭시탭에서 IPv6 외부네트워크웹사이트 6314

IPv6 기반의네트워크접근제어시스템설계및구현 (http://ipv6-test.com) 에접속여부를실험하였고실험결과는 Fig. 12와같이성공적으로 IPv6 호스트의접속이차단되었다. 도메인으로통신, IPv6 웹페이지접속이모두성공적으로동작하였다. [Fig. 13] Host Isolation Scenario [Fig. 11] IPv6 host Blocking scenario (a) PC (b) MacBook (c) iphone [Fig. 12] Host Blocking (d) Galaxy Tab 4.3 IPv6 가입자격리및도메인등록네트워크접근을위한사용자인증을획득하지못한호스트는격리되어외부네트워크와통신할수없고단지인증화면으로만접속이가능해야한다. 실험을위하여임시사용자를등록하고 IPv6 인터넷웹서버에접속을시도한다. 미인증사용자는웹리다이렉션을통하여사용자인증페이지로이동하고사용자인증후호스트의도메인을설정한다. 격리와도메인등록을위해 Fig. 13과같이시나리오를구성하고테스트하였다. 정상적인동작은미인증호스트가네트워크접근시격리되며사용자인증이후도메인설정을수행한후 IPv6 웹서버로정상적으로접근하는것이다. 또한도메인등록된호스트는등록된도메인주소로정상적인 Ping이가능해야한다. 실험결과 Fig. 14와같이정상적인격리후사용자인증페이지로리다이렉션, 사용자인증, 도메인등록, 등록 [Fig. 14] Host Isolation and Domain Assignment 5. 결론본논문에서제안한 IPv6 기반의네트워크접근제어시스템은유 무선 IPv6 테스트환경에서시험한결과 IPv6 테스트베드와연동하여 IPv6 호스트들과원활한통신이이루어졌으며유 무선호스트검출, 라우터검출및모니터링기능이정상적으로동작하였다. 또한호스트차단기능과호스트격리및도메인할당기능도현재가장보편적으로사용하고있는운영체제의장비들과모두정상적으로동작하였음을확인할수있었다. Table 5 는본논문의최종적인실험결과를보여주고있다. 본연구를통해외부의 IPv6 서버와접속을통하여실 6315

한국산학기술학회논문지제 15 권제 10 호, 2014 제 IPv6 트래픽을이용하여테스트하였다는점에서큰성과가있었으며향후 IPv6 기반의 IPT(IP Telephony) 환경에는바로적용이가능할것으로판단된다. 향후연구에서는 IPv6 환경에서요구하는추가적인기능개발및연구를통해업무용환경에적용가능하도록기능을확장하고자한다. [Table 5] Test Result Device Host Detection Host Blocking Test Item Host Isolation Domain Assign Desktop PC O O O O Macbook O O O O iphone O O O O Galaxy Tab O O O O 신해준 (HaeJoon Shin) [ 정회원 ] < 관심분야 > 정보보안, 네트워크보안, 융합보안 1999 년 2 월 : 영남대학교대학원정보통신공학과 ( 공학석사 ) 2003 년 2 월 : 영남대학교대학원정보통신공학과 ( 공학박사 ) 2004 년 8 월 ~ 2012 년 2 월 : 영진전문대학컴퓨터정보계열교수 2012 년 3 월 ~ 현재 : ( 주 ) 넷맨연구소기술책임자 References [1] KANI, "The reference model for IPv6 network conversion", pp.10, 2013, Available From : http://nec.kani.or.kr//main/main.php?categoryid=08&menu id=02&groupid=00 (accessed May 26 2014) [2] Ministry of Science, ICT and Future Planning, "Roadmap of expanding IPv6 for promotion of new internet industry", 2014, Available From : http://www.kisa.or.kr/notice/noticeview.jsp?cpage=1&mo de=view&p_no=4&b_no=4&d_no=1421&st=&sv= (accessed May 26 2014) [3] KISIA, KDCA, "Survey for Information Security Industry in Korea : Year 2013", pp.54, 2014 [4] Jae-Ho Lee, "IPv6 deployment state and expanding strategy on government area", Proc. of IPv6 day 2103 Korea, pp.23-34, 2013 [5] Joel Snyder, "Selecting An Approach For NAC Enforcement: Five Key Issues", pp.2-4, Whitepaper, Opus One, Sept. 2007. Available From : http://www.kisa.or.kr/notice/noticeview.jsp?cpage=1&mo de=view&p_no=4&b_no=4&d_no=1421&st=&sv= (accessed June 4 2014) 6316

2024 © docsplayer.org 개인정보보호 | 약관 | 지원