네트워크 장치의 구조

3가지 네트워크 장치 구조

Inline

• Packet + Drop/Bypass + Filtering
• packet이 inline device를 통과 하게 되는데 그것을 drop,bypass,할지 결정하는것이다.
  • bypass 하더라도 filtering 을 하게되어 지정된 장소로 전달하게 된다.
• Router가 대표적이다.

Out of path

• Packet + Read only , Sensor
• 읽기만 하게 된다. 보안, 장애 , 센서역할을 하게 된다.
• tab 스위치가 복사해준 packet 을 읽기만한다. 이 tab switch에 연결되는 네트워크 장치들이 주로 out of path 구조를 가지게 된다.

Proxy

• Socket stream + Filtering
• file 수준 (mp3, jpg... ) 을 다룬다.
• inline 가 비슷하지만 read only 개념은 있지 않다. application 전체를 다 모니터링하게 된다.

모르는 네트워크 장치를 만났을때 위 3개 중 어느구조로 이루어져 있는지 혹은 합쳐져있는지 부터 알아봐야한다.

---

Inline 구조

router는 여러개의 NIC를 가지고있는 컴퓨터이다. 전용 os가 따로 존재하고 일반 computer에 여러 NIC를 가지고 cisco OS를 설치하면 Router 로 동작하게 할 수 있다.

inbound , outbound traffic 모두
user mode 까지 트레픽이 가지도 않고 kernel 만 거쳐서 최대한 빠르고 짧게 처리해버린다.

---

Out of path 구조와 DPI 그리고 망중립

 

sensor 역할을 많이 하게 된다.

패킷 수집장치 

• L2 Port Mirroring = switch에 오는 패킷을 복사해준다.
• Tab Switch = 미러링이 부하가 많아서 복사 전용 스위치로 패킷을 수집함

어떤 특정 web site를 접속 하면 안되는 경우 중간에 모니터링하다가 실제 web server가 아닌 감시 주체가 다른 곳으로 redirect 응답을 보내게 된다.

SPI = Shallow Packet Insecption , HTTP header만 읽게 된다. = 이건 우리나라에서 허용한다.

DPI = Deep Packet Insepction , Http payload까지 읽게 된다. = 이것을 저장하면 문제가 된다.

미러링 된 copy 된 packet 을 프로세스가 어딘가에 저장을 해야하는데 네트워크가 packet을 주는 속도 와 disk에 write하는 속도차이가 많이 나서 어려운 작업이다.

---

Proxy - 우회

실제 요청이 proxy sever에 도달하면 proxy server가 socekt을 직접열어서 원하는 진짜 목적지로 연결을 맺는다.

매 트래픽이 proxy server를 거쳐가는것이니 느려질 수 밖에 없다.

실제 요청에 의해 proxy server가 실제 dest server에서 파일 같은것을 다운로드 받았을 떄 이것이 악성코드인지 중간에 검사를 한 후에 멀쩡하면 실제 client에게 보내주는 보호 및 감시 역할도 하게 된다.

---

Reverse Proxy

https 로 암호화가 되어 있으면 IPS가 packet에 뭐가 들었는지 읽기 어렵다.

SSL accelerator 가 proxy server 역할을 하게 되어 실제 server를 보호하게 된다.

client 가 DNS에게 물어보면 ssl server의 주소를 알려주게 된다.

• tcp1 은 암호화되어 있고 tcp2는 복호화 되어 평문을 볼 수 있어서 여기서 한번더 거르게 된다.
  (WAF, Web Application Firewall)
• 안전하면 실제로 연결을 맺음 (tcp3)

 

Fiddler

chrome browser proxy setting을 127.0.0.1:8080으로 해놓으면 Fiddler의 server socket에 연결된다.

chrome browser 에서 fiddler간의 통신은 https 이지만 packet 수준이 아니라 stream수준의 복호화를 하니 굉장히 보기 유용하다.