해결된 질문
작성
·
253
·
수정됨
0
보안인프라 장비 ips 나 utm 장비에서 소켓 스트림수준의데이터를 보고 탐지를 한다고하셨잖아요
그럼 ips 든 utm이든 tcp 소켓수준의 데이터를 볼려면 디캡슐레이션을 해야하고 조립과정도 거쳐야하지 않나요? 꼭디캡슐레이션을 하지않아도 장비가 데이터부분의 인식이 가능한지? 예를들면 ip패킷수준의 데이터가 ips쪽에 들어왔을때 아직ip헤더는 제거되지않은 상황이잖아요? 이때 어떻게 ips가 혹은utm 방화벽들이 악의적 데이터를 구분하는가가 궁금합니다
답변 1
1
네, 필요하다면 조립 과정을 거쳐야 합니다. 그리고 그 '디캡슐레이션'이라는 것이 생각보다 단순한 과정입니다. Ethernet frame에서 Packet payload를 단순 포인팅하는 것이라 손쉬운 단순 계산으로도 접근이 가능합니다. 그리고 조립을 한다 해도 굳이 TCP 세션 스트림을 모두 할 필요 없이 원하는 만큼만 하고 탐지해도 무방합니다.
그리고 IPS나 NIDS가 탐지하는 방식은 소위 Rule에 의한 것인데 단순 패턴 매칭, 정규식 기반 매칭, 발생량 기반 탐지 등 크게 세 가지 방식을 이용합니다. 더 자세한 내용에 대해서는 Snort rule에 대해서 알아보기 바랍니다.
그리고 라우터같은 Inline 장치가 패킷을 Drop하는 원리는 언급한 것처럼 헤더만 일부 참조하고 작동하는 것이 맞습니다.
마지막으로 L2~4까지 헤더는 Frame(L2) 데이터 에서 쉽게 모두 추출이 가능합니다. 다만 소켓 스트림 수준으로 올라가면 이야기가 달라질 수 있습니다. 검사하고 싶은 데이터가 패킷 하나의 크기를 넘어간다면 여러 패킷이 필요할 것이고 경우에 따라서 압축파일 전체를 추출하려면 더 복잡한 과정을 거칠 수 밖에 없습니다. 이 때문에 Proxy 구조가 필요한 것입니다.
참고하시기 바랍니다.
많은 도움되었습니다 감사합니다