선생님 질문있어요
보안인프라 장비 ips 나 utm 장비에서 소켓 스트림수준의데이터를 보고 탐지를 한다고하셨잖아요
그럼 ips 든 utm이든 tcp 소켓수준의 데이터를 볼려면 디캡슐레이션을 해야하고 조립과정도 거쳐야하지 않나요? 꼭디캡슐레이션을 하지않아도 장비가 데이터부분의 인식이 가능한지? 예를들면 ip패킷수준의 데이터가 ips쪽에 들어왔을때 아직ip헤더는 제거되지않은 상황이잖아요? 이때 어떻게 ips가 혹은utm 방화벽들이 악의적 데이터를 구분하는가가 궁금합니다
Answer 1
1
네, 필요하다면 조립 과정을 거쳐야 합니다. 그리고 그 '디캡슐레이션'이라는 것이 생각보다 단순한 과정입니다. Ethernet frame에서 Packet payload를 단순 포인팅하는 것이라 손쉬운 단순 계산으로도 접근이 가능합니다. 그리고 조립을 한다 해도 굳이 TCP 세션 스트림을 모두 할 필요 없이 원하는 만큼만 하고 탐지해도 무방합니다.
그리고 IPS나 NIDS가 탐지하는 방식은 소위 Rule에 의한 것인데 단순 패턴 매칭, 정규식 기반 매칭, 발생량 기반 탐지 등 크게 세 가지 방식을 이용합니다. 더 자세한 내용에 대해서는 Snort rule에 대해서 알아보기 바랍니다.
그리고 라우터같은 Inline 장치가 패킷을 Drop하는 원리는 언급한 것처럼 헤더만 일부 참조하고 작동하는 것이 맞습니다.
마지막으로 L2~4까지 헤더는 Frame(L2) 데이터 에서 쉽게 모두 추출이 가능합니다. 다만 소켓 스트림 수준으로 올라가면 이야기가 달라질 수 있습니다. 검사하고 싶은 데이터가 패킷 하나의 크기를 넘어간다면 여러 패킷이 필요할 것이고 경우에 따라서 압축파일 전체를 추출하려면 더 복잡한 과정을 거칠 수 밖에 없습니다. 이 때문에 Proxy 구조가 필요한 것입니다.
참고하시기 바랍니다.
cicd 서버 올린 후 기존 마스터 노드 기동 시 네트워크 에러
1
80
2
Protobuff is it sufficient for mmorpg?
0
183
2
void IocpEvent::Init() is correct?
0
128
1
캐시 관련 질문입니다.
0
616
1
클라이언트 프로그래머 커리어 고민
0
1256
2
ETag 질문입니다.
0
727
1
Lock-Based Queue 병목현상 질문 드립니다.
0
591
1
캐시의 설정 주체
0
534
1
영속쿠키 질문입니다.
0
503
1
협상(accept-language)
0
686
1
에러 코드의 구현 주체
0
438
1
웹서버가 구현?
0
596
1
SPI 관련 질문 있습니다
1
920
2
Reverse proxy 질문
0
474
1
Full Cone NAT
0
465
1
할인 끝난건가요?
0
583
2
강의자료는 제공 안해주시나요?
0
631
1
MAC과 IP에 대해 질문드립니다
1
430
1
VPN 강의에서 궁금한 점이 있습니다
0
542
1
NAT 관련하여 질문드립니다
0
368
1
Secure Gateway 관련 질문입니다.
0
347
1
클라이언트 별로 L4 스위치 뒤의 특정 하나의 서버만 계속 접속하게 유도하는 방법이 있을까요?
0
578
1
엔드포인트는 노드라고 볼 수 있을까요?
0
375
1
로드 밸런서와 매니저 서버?와의 관계
0
317
1