• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.128-131
• /
• 2003

본 논문에서는 IP Fragment 패킷을 이용한 공격에 대해서 소개하고, 현재 사용되고 있는 패킷필터링 방법의 문제점을 극복하기 위한 동적인 패킷필터링 기법을 제안하고 있다. 기존 패킷필터링 방법이 IP 주소 또는 프로토콜 기반의 정적인 규칙에 의한 필터링 방법을 이용하는 반면, 본 논문에서 제안하는 방법은 IP Fragment 패킷에 대해서 단위 시간당 데이터 양으로 표현되는 트래픽에 기반한 패킷필터링 규칙이 동적으로 생성되도록 한다. 이렇게 동적으로 생성된 규칙은 이후 이상 트래픽이 발생되면 자동으로 차단규칙으로 변경되어 IP Fragment 패킷 공격으로부터 네트워크 호스트의 시스템 자원을 보호할 수 있도록 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1993-1996
• /
• 2003

본 논문에서는 고속 네트워킹 환경을 위한 패킷 필터링 시스템 설계 기법을 제안한다. 제안하는 기법은 기존 리눅스 운영체제에서 동작하는 패킷 필터링 구조의 단점을 개선하기 위하여, 패킷 필터링 규칙 저장 시 특정 커널 메모리 영역을 할당하여 패킷 검사와 관련된 모든 규칙을 취합하여 저장하고, 패킷 검사 시에 할당된 메모리 영역에서 규칙을 한꺼번에 접근하여 검사하는 방법이다. 또한 규칙의 크기를 고정화하여 규칙 검색 시 규칙 저장 위치를 간단하게 계산할 수 있도록 하였다. 이로 인해 기존의 테이블 구조에서 지니고 있던 다단계 테이블 검색으로 인한 메모리 참조 시간을 줄이고, 가변 규칙으로 인한 계산의 번거로움을 해소할 수 있다. 이를 통하여 고속 네트워크 노드 환경에서의 패킷 필터링 기능을 효율적으로 지원할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.321-323
• /
• 1999

UNIX 시스템에서 로그 시스템은 공격시 쉽게 변경 및 삭제되는 위험성이 있고 제한된 시스템 및 네트워크 정보를 제공하므로, 보다 안전하고 풍부한 정보의 제공을 위해 패킷 필터링을 이용한 로그 시스템 등이 제안되어 왔다. 그러나 기존의 패킷 필터링을 이용한 로그 시스템에서는 모든 패킷을 기록하여 많은 양의 데이터가 발생하였으므로, 관리자가 그 정보를 분석하기란 어려웠다. 본 논문에서는 패킷을 처리하는 과정에서 각종 유형의 침입에 대한 사전 조사와 분석으로 얻은 명령어와 인자들의 결합에 의한 판정 규칙을 적용하여, 위험가능성이 내재된 패킷만을 수집, 기록함으로서 데이터의 양을 줄이고 보다 효율적인 로그 정보를 기록할 수 있었다.

• Journal of Korea Society of Industrial Information Systems
• /
• v.12 no.3
• /
• pp.47-59
• /
• 2007

IPv4 NAT, which often used in households or under SOHO environments, is one of the factors that delays IPv6 propagation. As IPv4 NAT does not operate properly under the transition mechanism like ISATAP or 6to4 that acts as IPv6-in-IPv4 tunneling type, Microsoft proposed Teredo in order to resolve this issue. However, tunneling transition mechanism like Teredo has a security problem. That is, being tunneled packets have dual IP headers; general firewall systems apply the filtering rules only to the outer header but not inner header when these packets pass the firewall. Furthermore, attacks using unregistered server and relay can take place in Teredo. To resolve these problems, we propose a new packet filtering mechanism exclusively for Teredo. The proposed packet filtering mechanism was designed and implemented by using Linux Netfilter and ip6tables. Through functional and experimental performance tests, this packet filtering system was found operating properly and solving the Teredo packet filtering problems without serious performance degradation.

• Convergence Security Journal
• /
• v.14 no.2
• /
• pp.65-72
• /
• 2014

This paper proposes multi-filtering method on the double firewall to prevent DDoS attack. In the first firewall, R-PA filtering algorithm and rigid hop counter filtering method are applied by analyzing packet paths. In the second firewall, packets are examined to be distinguished abnormal from normal packets. Security policy system monitors each user sessions and if the traffic is over the threshold value, the system blocks that session for an assigned time.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.905-908
• /
• 2002

기존의 브리지들은 여러 네트워크를 하나의 네트워크로 묶어주는 역할 만을 하였지만, 패킷을 검사하고 필터링하는 기능은 포함하지 않았다. 본 논문에서는 브리지상에서 패킷을 검사하고 필터링하는 기능을 포함하는 브리지에 대하여 구현하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.425-427
• /
• 2003

IP 단편을 이용한 공격은 서비스 거부 공격 외에도 이를 이용하여 패킷 필터링 장비나 네트워크 기반의 침입탐지 시스템을 우회할 수 있어 그 심각성이 크다. 그러나 일부 네트워크 기반의 침입탐지 시스템은 IP 패킷단편 재조합 기능을 제공하지 않기 때문에 IP 단편의 취약점을 이용한 공격을 탐지하지 못한다. 본 논문에서는 IP 조각 패킷을 재조합 하지 않고도 단편과 관련된 헤더정보를 분석함으로써 공격을 실시간으로 탐지해 낼 수 있는 IP 단편 필터링 모듈을 설계하고 구현한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.664-666
• /
• 1999

Mobile IP 기술에 의해 시간 및 장소의 제한을 받지 않고 사용자가 원격지 또는 이동 중에도 정보를 처리할 수 있는 환경이 제공된다. 패킷 필터링 기술 같은 경우에는 패킷의 출발지, 목적지 주소뿐만 아니라 패킷의 이동 방향도 고려하므로 Mobile IP의 동작이 방해를 받게 될 수가 있다. 이러한 문제점을 해결하기 위해 나온 것이 역 터널링 기법인데 이 경우는 효율성이 떨어지므로 상황에 따라 역 터널링을 수행하는 선택적 역터널링 기법에 나오게 되었다. 효율성을 증진시킨 선택적 역 터널링 기법은 외부 네트워크의 보안 정책에 위배되는 패킷 전송이 이루어질 수도 있으므로 새로운 보안 정책이 절실히 요구된다. 본 논문에서는 선택적 역 터널링시 외부 에이전트가 패킷 필터링 기능을 갖는 기법에 대해 제안한다. 이 기법을 적용함으로써 이동노드가 선택적 역 터널링시 외부 네트워크의 보안 정책에 부합되게 행동할 수 있도록 하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.06c
• /
• pp.250-252
• /
• 2006

패킷 필터링은 잠재적으로 악의 있는 네트워크 패킷을 필터링하는 것이다. 패킷 필터링의 기능을 테스트하기 위해서 우리는 보안 시스템에 설정된 보안 정책이 의도한 대로 수행되는지 검증해야 한다. 그러나 기존에 이러한 기능을 테스트하기 위한 도구가 거의 없으며, 존재하는 도구는 테스트의 수행 시 테스트 케이스 선정과 테스트 결과의 판단에 있어 많은 사용자의 판단을 요구한다. 대부분의 보안 시스템 운영자는 새로운 보안 정책을 설립할 때 이를 테스트하는데 많은 부담감을 갖는다. 이에 본 논문에서는 사용자의 판단을 최소화 할 수 있는 새로운 테스트 베드를 제안하고 구현한다. 본 논문의 테스트 베드는 테스트 케이스와 테스트 오라클을 자동으로 생성한다. 그리고 생성된 테스트 오라클을 기반으로 테스트 결과를 사용자의 참여 없이 자동으로 판단한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05b
• /
• pp.1417-1420
• /
• 2003

본 논문에서는 내부 네트워크의 보안을 담당하는 방화벽 시스템 중에서 기존의 패킷 필터링 형태를 선명하고, 하드웨어 기반의 패킷 필터링 방화벽 시스템구성을 위한 알고리즘과 구조를 제안한다. 소프트웨어 기반의 필터링은 처리 속도가 느리기 때문에 성능저하를 우려하여, 실제 보안에서는 사용하지 않는 경우가 많았다. 그러나 제안한 하드웨어 기반의 필터링을 수행하면, 만족스러운 처리 속도를 보장할 수 있고 성능 저하 없이 보안을 위해 유용하게 동작하는 장전이 있다.