VLAN을 이용한 네트워크 분할 환경에서의 네트워크 접근 제어 우회 공격 탐지 및 방어 기법

Vol. 28, No. 2, pp. 449-456, 4월. 2018
10.13089/JKIISC.2018.28.2.449, Full Text:
Keywords: Virtual LAN, double encapsulation VLAN attack, Virtual Network, Network separation, Data leakage
Abstract

불필요한 트래픽의 송수신을 통한 분리된 조직/부서 간의 내부 자료 유출을 방지하기 위해 많은 조직에서 네트워크를 분할하여 망을 관리한다. 물리적으로 별도의 장비를 기반으로 하는 것이 가장 근본적인 네트워크 분할 방식이나 이보다 적은 비용으로 구축이 가능한 가상랜(Virtual LAN, VLAN) 네트워크 접근 제어 기능을 활용하여 논리적으로 네트워크를 분할·운영하는 사례가 존재한다. 본 연구에서는 VLAN ID값을 검색하는 스캐닝 기법과 DoubleEncapsulation VLAN Hopping 공격기법을 활용해 VLAN을 이용하여 분할된 네트워크 간 통신 우회 가능성을제시한 후, 스캐닝을 통해 획득한 VLAN ID 정보를 이용한 자료 유출 시나리오를 제시한다. 또한 이 공격을 탐지및 차단하기 위한 기법을 제안하고 구현을 통해 제시된 기법의 효과에 대해 검증한다. 본 연구는 궁극적으로 VLAN으로 분리된 네트워크 취약점을 활용한 자료 유출 또는 외부 사이버 공격을 차단함으로써 VLAN 이용 환경의 보안성 향상에 기여할 것으로 기대한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
K. Kim, K. Hwang, I. Kim, H. Oh and M. Lee, "Detection and Prevention of Bypassing Attack on VLAN-Based Network Segmentation Environment," Journal of The Korea Institute of Information Security and Cryptology, vol. 28, no. 2, pp. 449-456, 2018. DOI: 10.13089/JKIISC.2018.28.2.449.

[ACM Style]
Kwang-jun Kim, Kyu-ho Hwang, In-kyoung Kim, Hyung-geun Oh, and Man-hee Lee. 2018. Detection and Prevention of Bypassing Attack on VLAN-Based Network Segmentation Environment. Journal of The Korea Institute of Information Security and Cryptology, 28, 2, (2018), 449-456. DOI: 10.13089/JKIISC.2018.28.2.449.