경계 보안 기술
상태바
경계 보안 기술
  • 승인 2005.01.24 00:00
  • 댓글 0
이 기사를 공유합니다

네트워크 보안의 기초, “경계 보안을 강화하라”

지능화된 라우터 보안기술 적극 활용 … 네트워크 고유 기능도 ‘OK’

연·재·순·서

1. 경계 보안을 위한 지능형 라우터 및 방화벽 기술(이번 호)
2. 신뢰적 VPN 구성법 및 통합보안을 통한 경계 보안 구현
3. 겅계 보안을 위한 효과적인 장비구성 및 정책

구자만
데이타크레프트코리아 시큐리티 컨설턴트
jmkoo@datacraft-korea.com

경계 보안 기술(Perimeter Defense Technology)이란 네트워크의 경계선, 즉 보호해야 할 네트워크의 가장 바깥쪽을 보호하는 분야로서, 여러 보안 솔루션들이 난무하고, 오히려 네트워크에 장애포인트만 증가시키는 모순을 극복하고자, 다시 최근에 대두되고 있는 분야다. 이에 현 네트워크 보안 기술에서 새로이 대두되는 경계 보안 솔루션들의 기술동향 및 메커니즘에 대해 알아본다. <편집자>

이번호에는 경계 보안을 위한 솔루션 중 지능화되는 라우터와 방화벽의 기술동향에 대해, 다음호에는 요즘 SSL VPN의 이슈화로 부쩍 관심이 높아진 IPSec VPN과 SSL VPN 네트워크를 위한 신뢰적 VPN 구성법 및 통합보안솔루션을 통한 경계 보안 구현, 그리고 마지막호에는 경계 보안을 위한 효과적인 장비구성 및 정책에 대해 살펴보도록 할 것이다.
경계 보안에 해당되는 솔루션은 다음과 같다.

· 방화벽 및 VPN
· 지능화된 라우터
· 통합보안 솔루션

방화벽의 진화
보안 솔루션에서 가장 중요한 디바이스는 역시 네트워크 경계(perimeter)를 넘나드는 트래픽을 모니터링하고 보안 정책에 따라 제한을 부과하는 네트워크 방화벽이다.
그럼에도 불구하고 현재 방화벽에 대한 기관 및 사용자들이 느끼고 있는 상황은 그러하지 못하다. 경계 외부로부터의 내부자원을 보호하는 기술은 더 이상의 보안 솔루션이 아니기 때문이다. FBI 통계에 따르면 모든 보안 문제의 70%는 조직 내부에서 발생하는 것으로 나타났다. FBI 조사에서 응답자의 5명 중 1명은 지난 수개월 동안 침입자들이 기업 네트워크에 침입했거나 침입을 시도한 적이 있었다고 말하고 있고, 또한 전문가들은 대다수의 네트워크 침입이 제대로 감지되지 못하고 있다는 사실을 지적하고 있는 것이 현재 방화벽이 직면하고 있는 문제이다.
IDS, IPS, 바이러스월, P2P제어 시스템, 웜 방지 솔루션 등 모두 방화벽을 못 믿어서, 또는 현재 기업들이 사용하고 있는 방화벽의 기능들이 현재 네트워크상에서 받고 있는 수많은 위협에 대해 효과적으로 대처하지 못하기 때문에 찾는 솔루션들이다.
그러나 방화벽의 전통적인 역할이 바뀌어 가고 있는 것이 현재 방화벽 시장의 흐름이다. 진화된 방화벽은 외부 침입자로부터 기업 네트워크를 보호하는 것 이상의 역할을 수행하고 있으며, 내부의 무단 사용자가 기업 네트워크 내부의 특정 서브넷, 워크그룹 또는 랜에 액세스하지 못하도록 한다. 또한 방화벽은 지능적이 됐다. 기존의 단순 트래픽 제어만 하던 패킷 필터링 장비는 시장에서 나오고 있지도 않다. 초기에는 지원되지 않았거나, 제한적인 수준에서 애플리케이션 보안을 지원했던 방화벽들도 이제는 다양한 형태의 보안, 즉 애플리케이션 계층 깊숙이 보안을 적용하고 있다. 단순한 패킷의 허용과 차단으로 대변되는 흑백개념의 보안이 아닌 한층 면밀한 검증기능을 제공하고 있는 것이다.

애플리케이션 계층 보안 요구
현재 대부분의 방화벽은 스테이트풀 익스펜션(Stateful Inspection) 방식으로 진보됐다. 스테이트풀 익스펜션 방식은 서버와 클라이언트 사이에 이뤄지는 네트워크 접속의 기본정보를 토대로 방화벽이 가지고 있는 정보와 비교 분석해 정상적인 접속을 보안 정책에 의거 허용하는 것이다. 즉, 이해할 수 있는 네트워크 접속을 관리자가 설정한 보안 정책과 비교해 통과 여부를 결정하는 것이다. 이러한 스테이트풀 익스펜션 방식의 기능은 기본적인 네트워크 정보를 토대로 간편한 보안 정책 적용과 빠른 네트워크의 연결을 보장한다. 이러한 점이 많은 호평을 받아왔던 것이다.
그러나 현재는 애플리케이션들도 많이 복잡해졌고, 환경 또한 예전하고는 많이 달라진 모습을 보여주고 있다. 또 현재 프로토콜과 함께 애플리케이션에도 많은 취약점이 발견됨에 따라서 IP 및 서비스만을 가지고는 애플리케이션을 제대로 분석하기가 힘들어진 것이다. 또한 좀더 심층적인 분석능력이 방화벽에게 요구되어졌다. 이에 현재 많은 방화벽 솔루션 업체들은 매우 지능적인 다양한 기술의 방화벽들을 선보이고 있다. 그 중 대표적인 기술중 하나가 프로토콜분석기반의 방화벽이다.
기본적으로 애플리케이션들이 사용하는 프로토콜이 표준 프로토콜을 따르고 있는지의 여부를 확인해 패킷의 통과 여부를 결정한다. 예를 들어 웹 프로토콜인 TCP 80 포트는 RFC에서 http 패킷 헤더에 ASCII 코드를 사용하도록 되어 있는데, 경우에 따라서 ASCII 외에 바이너리 코드(Binary Code)가 헤더에 포함돼 있는 경우가 있다, 이는 악성코드를 포함할 가능성이 있는 위험성을 내재하고 있다는 의미다. 이러한 각 프로토콜의 특징을 파악해 방화벽에서 패킷을 검사할 때 이러한 위험성들을 심층적으로 분석하는 것이다. 이러한 심층능력에 따라 방화벽의 지능성을 판단하기도 한다.

라우터의 진화
라우터의 퍼포먼스는 증가했고, 탑재된 OS의 보안 아키텍처는 진부한 발전을 거듭했다. 그리고 보안 모듈들은 장비 안에 ASIC으로 탑재돼가고 있다. 이제는 라우터를 통해 고객이 라우팅 및 보안 정책을 동기화하고 운영 비용을 절감하는 동시에 네트워크 전체 보안 수준을 향상시킬 수 있게 된 것이다.
현재 장비업체들은 각각 지능형 라우터들을 속속 선보이고 있다. 출시되고 있는 라우터의 OS에는 소프트웨어 기반 VPN, 방화벽 및 IPS가 함께 운용되는 제품들이 나오고 있으며, 이제는 라우터만을 통해서도 뛰어난 보안 솔루션을 기업 경계단에 적용시킬 수 있게 된 것이다. 그러면 진화된 라우터에 보안 기능을 적용하였을 때 어떠한 이점을 가져올 수 있을까? 다음과 같다.

- 기존의 인프라 활용 - 기존의 네트워크 인프라를 활용함으로써 추가적인 하드웨어를 배치하지 않고도 라우터의 OS를 통해 라우터 상에 새로운 보안 기능을 구현할 수 있다.
- 가장 필요한 곳에 보안 구축 - 보안의 이점을 극대화하기 위해 네트워크의 어느 위치에든 방화벽, IPS 및 VPN과 같은 보안 기능을 유연하게 적용할 수 있다.
- 게이트웨이 보호 - 네트워크의 모든 엔트리 포인트에 최고 수준의 보안 기능을 배치할 수 있다.
- 시간과 비용 절감 - 장치 수를 줄임으로써 교육 및 관리 비용을 절감한다.
- 인프라 보호 - DDoS 공격과 같이 네트워크 인프라를 직접 대상으로 하는 공격을 차단함으로써 인터넷 라우터 및 방화벽를 보호한다.

네트워크 경계 ‘위협·응답 기술’
지금까지의 바이러스, 웜, 해킹 같은 네트워크 위협의 특징은 버퍼 오버플로우 등과 같은 특정 시스템만을 상대로 하는 공격 및 프로토콜 취약을 허점으로 하는 DoS 및 DDoS 등이 주류를 이루고 있다. 이러한 공격들은 네트워크에 과부하를 주게 되어 사용자 및 서비스 제공업체들에게 금전적인 손해까지 입히고 있다. 또한 이러한 위협들은 점점 더 지능화 되어가고 있고, 자동화, 분산화, 은닉화 되어 가고 있다는 것이 문제이다. 현재 기업들이 가지고 있는 방화벽 및 라우터 등 단일 솔루션만 가지고는 이러한 위협들에 대해 제대로 대처할 수 없는 것이 현실이다.

■지능화된 라우터의 네트워크 보안 기술
최근의 라우터 네트워크 보안기술은 여러 가지 다양한 보안솔루션 기술들을 수용하고 있다. 단일 보안솔루션으로 방어하기 힘든 상황에 라우터 자신까지도 위협에 노출됐기 때문이다. 현재의 라우터에 수용된 기술로는 딥 패킷 인스펙션(Deep Packet Inspection), 스테이트풀 인스펙션 등 기존 방화벽이 가지고 있던 기술들을 수용했다. 이러한 기술로 기존 라우터에서 해결하지 못하였던 심화된 접근제어 기술 및 VPN, 안티 스푸핑(Anti-Spoofing) 기술, DoS 완화, 트래픽 컨트롤 및 콘텐츠 필터링 기술과 같이 다양한 기술들이 접목돼가고 있다.

■라우터로 서비스거부공격(DoS) 완화
모든 서비스 거부 공격이 서버에 과부하를 일으키도록 개발된 것은 아니다. 일부는 네트워크 인프라 자체를 타깃으로 하고 있다. 이러한 유형의 공격은 링크 대역폭을 포화 상태로 만들고 라우터 및 스위치 CPU를 소진시키거나 컨트롤 플레인 트래픽을 스푸핑(spoofing)함으로써 서비스 거부를 실행한다.
링크를 포화시키고 CPU를 소진하는 DoS 공격은 이웃 관계를 유지하는데 필요한 대역폭의 역동적인 라우팅 프로토콜을 거부할 수 있다. 라우터가 이웃을 잃게 되면 해당 라우터의 다운을 인지해 모든 경로를 일시적으로 분출하게 되고 분출된 경로를 다른 대체 경로로 트래픽을 전환하거나 모두 드롭(drop)시키게 된다. 다운된 경로를 뽑아내기 위해서는 새로운 경로를 지속적으로 다시 계산해야 하고 새로운 것으로 업데이트해야 하기 때문에 CPU의 리소스가 결국 소진된다. 그 결과 서비스 거부로 이어지게 된다.
DoS 공격은 컨트롤 플레인 트래픽을 스푸핑, 역동적인 라우팅 프로토콜을 도용해 이웃 관계를 악의적으로 재설정하거나 잘못된 정보로 업데이트해 서비스 거부를 야기시킨다.
이에 현재 라우터 장비 업체들은 이러한 요구사항들을 라우터 OS내의 여러 기능을 이용해 공격을 적극적으로 완화하는 기법들을 선보이고 있다. 아래의 QoS 기술을 이용한 DoS 공격을 완화하는 방법을 살펴보도록 하겠다.

■QoS 기술로 DoS 공격 완화
라우터의 OS는 풍부하며 다양한 QoS 기능을 지원해왔다. 하지만 라우터의 성능저하 등을 이유로 사용자들은 QoS를 적용시키는 것을 꺼려온 것이 사실이다. 그러나 현재 출시되고 있는 고성능 라우터들에서는 이러한 QoS 기능을 이용해 DoS 공격의 완화 방법으로 구현할 수가 있게 됐다. QoS 기술은 네트워크 가용성과 보안을 유지하는데 절대적으로 필요한 요인이다.
현재의 기술은 특정한 서비스 수준을 요구하는 트래픽을 10여개로 분류하고 있는데, 라우팅, 양방향 비디오, 스트리밍 비디오, 미션 크리티컬한 데이터, 콜 시그널링, 트랜잭션 데이터, 네트워크 관리, 벌크(bulk) 데이터, 스캐빈저(scavenger) 등이 이에 해당된다. 이는 기업들이 다계층의 QoS 모델을 구현해야 한다는 의미는 아니다. QoS 설계에서 적극적인 접근 방법(중요한 트래픽에 대한 강력한 보호)은 사후 대응 방법(악성 트래픽을 규명하고 제압하는 방법)보다 효과적이다. 따라서, DoS 공격으로부터 네트워크를 보호하기 위해 QoS를 도입하는데 있어서의 첫 번째 단계는 음성, 라우팅, 콜 시그널링, 미션 크리티컬 데이터 트래픽을 확실하게 보호해야 하는 것이다.
RIP, OSPF, EIGRP 등과 같은 내부 게이트웨이 프로토콜은 최신 라우터 OS 메커니즘에 의해 보호된다. 예를 들어 시스코의 PAK_Priority같은 기술은 이러한 프로토콜을 우선적으로 처리하라는 DSCP CS6으로 표시하는데, 우선적인 처리는 플랫폼에 따라 약간 다르다. PAK_Priority는 또한 BGP 트래픽을 CS6으로 표시하지만 이 표시를 넘어서서는 우선적인 처리를 요구하지는 않는다. BGP가 도입될 때마다 라우팅 트래픽을 위한 CBWFQ(Class-Based Weighted Fair Queuing)를 확실하게 프로비저닝하는 것이 권고된다. CBWFQ는 프로토콜, 액세스 컨트롤 리스트(ACL), 입력 인터페이스를 포함한 범주와 일치하는지를 토대로 한 사용자 규정의 트래픽을 제공한다.
스캐빈저(scavenger) 계층의 트래픽은 특히 관심이 높은 분야이다. 스캐빈저 계층은 인터넷2 초안을 토대로 하고 있다. 카자(KaZaa)나 냅스터(Napster)와 같은 비영리의 엔터테인먼트 지향적 애플리케이션과 게임 트래픽은 이러한 서비스 계층에 적합하다. 스캐빈저 트래픽은 보다 중요한 다른 계층들이 적절하게 서비스되는 한 유효하다. 혼잡 시에는 스캐빈저 계층이 가장 먼저 폐기 처분된다.

■스푸핑 공격에 대한 방어 전략
IP 소스 어드레스 스푸핑(Source Address Spoofing)은 DoS 공격에 가장 일반적으로 사용되는 기술이다. 하지만 해커들은 또한 라우팅 업데이트와 같이 컨트롤 플레인 트래픽에 대한 스푸핑을 시도하고 있다. 컨트롤 플레인 트래픽의 스푸핑으로부터 보호하는 기술은 해커들로 하여금 엔드 호스트(End-Host)를 공격할 수 있는 네트워크 라우팅 토폴로지에 대한 액세스를 제공할 수 있다. 또한 스푸핑이 역동적인 프로토콜의 이웃 관계를 재설정하거나 정확하지 않은 정보가 네트워크로 유입되면 네트워크가 다운될 수도 있다.
컨트롤 플레인 트래픽을 스푸핑하는 것은 어렵지만 불가능하지는 않다. 각 프로토콜은 전송 계층(TCP)을 사용하는데, 자체 일련 번호를 가지고 있으며 정확한 패킷을 수신하고 탐지할 수 있는 인지 기능을 보유하고 있다. 그럼에도 불구하고, 해커가 네트워크에 대한 액세스를 갖고 TCP 패킷을 도용할 수 있는 능력을 갖게 되면 유효한 프로토콜 패킷을 닮은 악의적인 패킷을 보낼 수 있다. 하지만 몇몇 일련 번호 예측 이론은 TCP 일련 번호를 예측할 수 있기 때문에 해커들이 잘못된 패킷을 전송할 수 있게 해준다.
라우터 피어링(peering)을 인증하는 것은 그러한 공격에 대응해 사용되는 가장 일반적인 기술이다. 지능화된 라우터의 OS에서는 DoS 공격으로부터 프로토콜을 보호해주는 두 가지 인증 기술을 제공하고 있다. 하나는 확실한 텍스트의 비밀 번호(plain text password)이고 다른 하나는 MD(Message Digest) 알고리즘 버전 5이다. 두 경우 모두, 신뢰성 있는 피어(peer)를 서로 인증하기 위해 키나 비밀번호를 구성한다. 확실한 텍스트 인증의 경우, 네트워크로 키가 전송되는 반면 MD5에서는 실제 키가 아닌 MD가 전송된다. 확실한 텍스트 인증을 지원하는 프로토콜에는 IS-IS, OSPF, RIP버전 2가 포함되며, MD5 인증을 사용하는 프로토콜로는 OSPF, RIP 버전 2, BGP, IP Enhanced IGRP이 대표적이다.
네트워크 인프라에 대한 DoS 공격은 네트워크 보안을 위협하는 요인으로 확산되고 있다. 위에 기술한 QoS와 인증 방법을 통해 프로토콜을 적극적으로 보호함으로써 해커들보다 한 발 앞서 자사의 네트워크를 보호할 수 있을 것이다.

■DDoS공격에 대한 방어
분산형 서비스거부(DDoS) 공격은 대규모 붕괴를 위한 무기 역할을 한다. 데이터나 정보를 훔치는 다른 공격들과는 달리 DDoS 공격은 며칠 동안 또는 몇 주 동안 비즈니스를 중단시키는 결과를 초래할 수 있다. 최근까지 기업들과 통신서비스 제공 업체들은 공격자에 대한 DoS 완료의 효과로 인해 그리고 세밀한 보안책을 마련하지 못해 비즈니스에 치명적인 타격을 입곤 했다.
공격자들은 비즈니스를 중단시킴으로써 항상 승리했고, 공격을 당하고 있다는 것을 사용자들이 인지할 때는 이미 상황이 악화된 상태인 것이다. 공격을 당할 때에도 비즈니스의 지속성을 유지하는 것은 기업의 생존과 직결된다. DDoS 공격으로 인한 손실은 엄청나며, 매출액과 생산성에 큰 영향을 끼친다. 이러한 공격은 IT 예산을 증가시키고 기업들이 소송에 휘말리게 된다. 고객의 만족도와 자신감 역시 피해를 입어 영원히 회복이 어려울 수도 있다. 양키 그룹에 따르면 2000년 2월에 발생한 일련의 DDoS 공격으로 인해 아마존과 야후, 기타 대형 웹사이트가 약 120억달러의 손실을 입은 것으로 추산된다. 잠재적인 손실은 이보다 훨씬 높다 할 수 있겠다.
DDoS 공격은 규모와 폐해 면에서 더욱 커지면서 이를 탐지하고 완화하는 것도 더욱 어려워지고 있다. 일반적인 DDoS 공격은 수많은 ‘좀비(zombie)’ 호스트를 통해 하나의 목표물을 공격한다. 좀비들은 높은 대역폭으로 언제나 접속되어 있는 인터넷을 통해 연결된 ‘보호되지 않은’ 수백만 대의 컴퓨터를 무력화시킨다. 공격자들은 이러한 컴퓨터에 악성 소프트웨어를 확산시킨 다음 하나의 명령어로 공격을 단행한다. 컴퓨터 소유자들은 자신들의 PC가 엄청난 양의 탐지 불가능한 DDoS 트래픽을 전송한다는 것을 인식하지 못한다. 기하급수적으로 늘어난 수많은 좀비들은 이러한 트래픽을 타고 목표 리소스에 도달, 네트워크와 사용자들을 붕괴시킨다.
공격 목표에는 통신서비스 제공 업체의 네트워크 인프라와 데이터 센터의 모든 리소스가 포함될 수 있다. 또한 e커머스와 데이터베이스, 애플리케이션 서버를 비롯해, 웹, DNS (Domain Name System), 이메일 시스템, 네트워크 라우터, 방화벽이나 침입탐지시스템 등 보안 장비, 액세스 링크 등도 목표물이 될 수 있다.
현재 진행중인 DDoS 공격을 탐지하는 데에는 여러 가지 방법이 있으며, 리버헤드 네트웍스(Riverhead Networks)가 악성 트래픽을 차단하고 합법적인 트래픽의 트랜잭션을 지속할 수 있게 해 비즈니스의 지속성을 유지할 수 있는 솔루션을 발표했을 때 비로소 그 기술과 툴이 세상에 나오게 됐다.

효과적인 차단 전략
전용 DDoS 차단은 4가지 방법으로 이뤄져야 한다. 먼저, 차단하는데 국한하지 않고 공격을 완화해야 한다. 두 번째는 합법적인 트래픽과 악의적인 트래픽을 정확하게 구분해 서비스의 지속성을 보장해야 한다. 세 번째는 방화벽과 IDS 등 다른 보안 장비를 포함해 높은 가치의 자산을 최대한 보호할 수 있는 적절한 방법으로 구현돼야 한다. 마지막으로 예측 가능하며 비용 효과적인 방법으로 확장해야 한다.
새로이 발표되고 있는 지능형 트래픽 가드 기능과 트래픽 어노말리 디텍터(Traffic Anomaly Detector) 두 가지 기능을 가지고 있는 솔루션이 있다. 라우터와 연동해 위의 4가지 사항에 모두 부합하는 비용 효과적인 솔루션을 개발한것이다. 4단계 솔루션에는 탐지, 전환(diversion), 분석 및 필터링, 포워딩 등이 포함돼 있다.

■탐지(Detection)
가드기능은 일반적인 트래픽 패턴을 관찰하고 학습한 다음, 관찰된 행동을 토대로 정책과 임계치를 설정한다. 디텍터기능은 이상 행동을 토대로 만들어진 알고리즘을 사용해 DDoS 행위를 관찰하기 때문에 새로운 공격 유형을 밝혀낼 수 있다. 이상 행동이 탐지되면, 디텍터가 비정상적인 트래픽과 목표에 관한 상세 정보를 가드에 보내 경고한다.

■전환(Diversion)
가드가 잠재 공격에 대해 경고를 받으면 전환 단계에 들어가게 된다. 가드는 가장 가까운 업스트림 라우터에 BGP(Border Gateway Protocol)를 발송해 전환을 시작한다. 이 라우터는 DDoS 목표로 향해가는 모든 트래픽을 가드에 보낸다. 다른 목적지의 트래픽은 네트워크 토폴로지를 통해 목표로 설정되지 않은 지역으로 계속 전송되며, 목표로 향해 가는 트래픽의 방향이 전환돼 아무런 영향을 받지 않게 된다.

■분석과 필터링
가드는 전환된 트래픽을 분석 및 필터링해 악성 패킷을 삭제하고 합법적인 것을 포워딩한다. 이러한 세척 과정은 다음과 같이 다섯 가지 모듈로 이뤄진다:

1. 패킷 필터링 정적이며 역동적인 DDoS 필터는 목표지점에 트래픽이 도달하기 전에 차단한다. 정적인 필터는 사용자가 구성할 수 있으며, 디폴트 값이 설정돼 출시된다. 역동적인 필터는 관찰된 행동과 자세한 플로우 분석을 토대로 다른 모듈에 삽입돼 검증 수준을 높이고 규명된 악성 소스나 플로우를 차단하는 실시간 업데이트를 제공한다.
2. 적극적인 검증 시스템에 들어오는 패킷의 합법성 여부를 검사하고 유효한 패킷을 삭제할 가능성을 없애준다. 하지만 진보된 DDoS 공격은 합법적인 IP 소스 어드레스를 사용하기 때문에 이 단계에서는 단순히 서툰 공격만을 차단할 수 있다. 따라서 합법적인 어드레스에서 나온 패킷의 목록을 작성한 다음 향후 분석을 위해 이상 징후 인식 모듈로 보내게 된다.
3. 이상 행동 인식 정적인 필터나 적극적인 검증 모듈에 의해 차단되지 않은 트래픽을 모니터링하고 이를 기본적인 행동 패턴과 비교해 합법적인 소스의 패턴과 다른 것을 찾아낸다. 공격 소스와 유형은 이 단계에서 규명돼 악성 트래픽을 차단하거나 보다 자세한 분석을 실행하기 위해 역동적인 필터를 설치하도록 해주는 패킷 필터링 모듈의 가이드라인을 제공한다.
4. 프로토콜 분석 이상 행동 인식 모듈에 의해 규명된 플로우를 처리하는 단계로, 애플리케이션에 특화된 공격을 찾아낸다. 불완전한 트랜잭션이나 에러를 포함한 이상한 행동을 보이는 프로토콜 트랜잭션을 탐지한다.
5. 속도 제한(Rate limiting) 선택 사항인 속도 제한을 통해 플로우 당 트래픽 형성에 대한 속도를 제한해 보다 자세한 모니터링이 이뤄지는 동안 목표의 과부하를 야기하지 못하도록 한다.

■포워딩
가드가 합법적인 트래픽을 검증하게 되면, 목표 지점에 포워딩해 공격시에도 서비스의 지속성을 유지 시켜 준다.

네트워크 트래픽 제어 기술
트래픽 제어기술은 라우터를 통과하는 네트워크 패킷을 정상 트래픽과 그렇지 못한 트래픽으로 분류해 이들 트래픽중 일부를 차단하거나 그 양을 조절하는 기능을 말한다. 이 기술은 네트워크 관리 및 네트워크 장치와 그들의 동작을 감시, 통제하는 SNMP 프로토콜을 기반으로 동작한다. 그리고 이 기능은 네트워크 상태를 측정하고, 분석해 네트워크의 향후 일어날 문제점에 대해 예견하기 위한 응용프로그램인 일반적인 NMS 및 MRTG, 넷플로우 등에 적용한다. 이를 위한 데이터의 관리 및 프레임 워크에 대한 정의는 RFC1757 RMON(Remote Network Monitoring)에 정의돼 있다.
트래픽 제어기술은 최근과 같은 불필요한 패킷 또는 악의적인 의도를 가진 공격 패킷이 범람해 각각의 호스트들의 속도를 느리게 만들고, 또한 라우터에 과부하를 주는 경우에 사용하게 된다. 즉 일정시간동안에 임계치를 넘게 하지 않겠다는 것이며 이를 흔히 레이트 리미팅(Rate Limiting)이라고도 한다.
이러한 기능을 수행하기 위해서는 트래픽을 TCP, UDP, ICMP, IP등 각각의 프로토콜별로 또는 HTTP와 같은 서비스 별로 분류할 수 있는 측정이 먼저 이뤄져야한다. 현재 주니퍼에서는 레이트 리밋, 시스코에서는 CAR(Committed Access Rate)의 형태로 구현하고 있다.

■DMVPN(Dynamic Multipoint VPN)
지능화된 라우터에서는 필요시에 확장이 가능한 풀 메시 VPN을 가능케 함으로써 지연 시간을 줄이고 대역폭을 보존하며 VPN 배치를 단순화할 수 있다.
DMVPN 기능은 GRE 터널, IPSec 암호화, NHRP(Next Hop Resolution Protocol), OSPF 및 EIGRP를 동적으로 구성할 수 있도록 해주는 기술에 바탕을 두고 있다. 이와 같이 QoS 및 멀티캐스트와 같은 기술을 VPN 터널과 결합해 동적으로 구성함으로써 음성 및 비디오와 같은 시간 지연에 민감한 애플리케이션을 최적화할 수 있게 된다. 또한, DMVPN을 사용하면 새로운 스포크를 추가하거나 스포크-스포크 연결을 구성할 때 허브에서 구성이 필요 없으므로 관리상의 부담이 줄어든다.

■TP 모드 방화벽 기능이 적용된 라우터
트랜스포트 모드(Transparent Mode): 일반적으로 TP 모드 또는 투명한 방화벽이라 함)는 레이어 2 연결을 위해 레이어 3 방화벽을 제공하는 것을 말한다.
트랜스포트 모드의 이점은 다음과 같다.

·기존의 네트워크에 방화벽을 쉽게 추가할 수 있으며 IP 서브넷 번호 변경이 필요 없음
·하위 인터페이스와 가상랜 트렁크를 지원
·확장 트리 프로토콜 지원-802.1d 별로 BPDU(Bridge Protocal Data Unit) 패킷을 올바르게 처리하며 단순히 통과 또는 폐기로 처리하는 것이 아님
·동일한 라우터에서 레이어 2 및 레이어 3 방화벽을 혼합할 수 있도록 지원
·인터페이스의 IP 주소가 필요 없음
·모든 표준 관리 툴을 지원
·반대쪽 인터페이스에 DHCP(Dynamic Host Configuration Protocol) 주소를 할당할 수 있도록 DHCP 패스쓰루를 지원(양방향 지원)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.