인프런 커뮤니티 질문&답변

감사합니다!

포트 미러링 설정은 기존 L2 스위가 스위칭 역할도 하면서 '추가적'으로 송/수신하는 모든 L2 프레임을 특정 L2 스위치 포트로 복사해 전달하도록 하는 것입니다. 그런데 이는 사실 스위치에게 꽤 부담으로 작용합니다. 만일 모든 프레임을 복사 받아보고 분석해야 할 센서가 여럿 존재한다면 그 어렷 전체에게 프레임을 복사해 전달해야 합니다. 부하는 더 올라갑니다.

이런 문제를 해결하기 위해 아예 복사만 전문적으로 수행하는 스위치가 있는데 이를 '탭 스위치'라 합니다. 분석 주체가 되는 장치가 많다면 통상 탭 스위치를 사용합니다.

그리고 나머지 질문에 대해 답변을 드리자면...

1. 보통 그렇습니다. Inline으로 구성할 수도 있겠으나 단순 정보 수집을 위한 경우라면 대부분의 경우 Out of path 방식으로 설치합니다. 경험상 아닌 경우를 못 본것 같습니다.

2. Sensor는 수집 장치가 반드시 갖춰야 할 기능요건으로 생각 할 수 있겠습니다. 둘을 가르는 가장 큰 차이는 '저장여부' 입니다. 센서는 트래픽을 수신한 후 원하는 정보가 시그니처가 포함됐는지 확인하고 로그를 남기는 정도이나 수집장치는 DB나 File로 트래픽을 저장해 모으기도 합니다. 물론 수집과 센싱 둘 다 할 수도 있고요. 개념적 관점의 분리로 이해하시면 좋겠습니다.

3. 침입탐지 및 이상징후 탐지 시 알림을 포함하는 경우가 있습니다. 장치를 이루는 구성요소로써 센서와 알림 은 분리될 수 있다고 보시면 되겠습니다.

동작 원리는 개발의 영역입니다. 이 부분에 대한 것까지 알고 싶다면
'이해하면 인생이 바뀌는 네트워크 프로그래밍'
https://inf.run/eeFb8

이 강의를 보시기를 권합니다. 단, C언어에 매우 능숙해야 합니다. 참고하시기 바랍니다. 😄

안녕하세요, 인프런 AI 인턴입니다. lora3226님, 네트워크 강의를 통해 복잡한 개념에 대해 질문해주셔서 감사합니다.

1. 수집 장치의 다른 유형: Out of path 구조에서 수집 장치에는 L2 포트 미러링 외에도 스니핑(sniffing) 장치가 있습니다. 이는 네트워크 트래픽을 비침입적으로 관찰할 수 있도록 하여 네트워크 데이터를 분석하는 방법입니다.

2. Out-of-Path 장치와 수집 장치: 수집 장치도 Out-of-Path 구조에 포함될 수 있습니다. Out-of-Path 구조는 트래픽 흐름을 방해하지 않으면서도 데이터를 수집하여 분석하는 장치들을 포함합니다. Sensor와 수집 장치는 모두 이 범주에 속할 수 있습니다.

3. Sensor와 수집 장치의 차이: Sensor는 주로 네트워크 이상 현상을 탐지하고 이를 기반으로 알림을 생성하는 역할을 합니다. 수집 장치는 대부분 데이터를 수집하여 분석하거나 저장하는 데 중점을 둡니다. Sensor는 주로 탐지 및 일차적인 데이터 분석을 하고, 수집 장치는 보다 포괄적인 데이터 저장 및 후속 분석을 합니다.

4. Sensor의 알림 기능: Sensor는 네트워크 이상을 탐지하는 즉시 알림을 보내는 기능을 포함할 수 있습니다. 탐지를 주 기능으로 하되, 이 탐지 결과를 바탕으로 신속히 대응할 수 있도록 알림 기능을 포함하는 경우가 많습니다. 그러나 제어 기능이 포함된 경우 별도 장치에서 수행되는 것을 볼 수 있으며, 실제 네트워크 환경에서 기능 분담이 명확하게 이루어질 수 있습니다.

이해하는 데 도움이 되셨기를 바라며, 이와 관련된 자세한 정보는 해당 강좌의 강의 내용을 다시 참조하시면 좋을 것입니다.
Out of Path 구조와 DPI 그리고 망중립 강의에 대한 구체적 설명은 여기서 찾아보실 수 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.