19.[Network] Inline 구조와 Out of path 구조
- 인라인 구성이란?
인라인(브릿지) 구성은 모든 트래픽이 해당 보안 장비를 물리적으로 거쳐야만 목적지로 전송될 수 있도록 네트워크를 구성한 것을 말합니다.
아래 컨테이너 벨트 전체를 보안장비라고 생각하시고 한 번 살펴 볼까요?
컨베이어 벨트 위의 밀려오는 것들은 개개의 패킷이라고 보시면 됩니다.
이 패킷들이 보안 장비를 거쳐 하단으로 내려가게 되는데요.
이 떄 보안 장비는 지나가는 모든 트래픽을 컨트롤하여 감시한답니다.
또 통과 시키기 전에 패킷을 분석하여 통과(bypass) 시킬지 드롭(drop) 시킬지 결정하게 됩니다.
감시 대상이 장비를 통과하는 모든 트래픽이라고 말했었죠?
풀어서 말하자면 내부로 들어오는 인바운드 트래픽과 외부로 나가는 아웃바운드 트래픽,
즉 양방향 트래픽 모두 보안 장비를 거치게 되며 감시 대상이 되는 것을 의미합니다.
여기서 잠깐!
Q. 인바운드 트래픽이란?
A. 방향성이 내부를 향하는 트래픽을 말합니다. 예로 클라이언트 -> 서버 통신을 들 수 있습니다.
Q. 아웃바운드 트래픽이란?
A. 방향성이 외부를 향하는 것을 말합니다. 예로 서버 -> 클라이언트 통신을 들 수 있습니다.
만약 네트워크 구성이 위와 같아서, PC 1번부터 4번까지 10.10.10.100 ~ 10.10.10.103의 IP주소를 갖고 있다면, 보통의 경우 게이트웨이가 라우터가 된다. 보통 10.10.10.1로 호스트 ID 1을 게이트웨이에 준다. 이 4개의 PC는 전부다 게이트웨이가 10.10.10.1이 된다. 대략적으로 라우터를 중심으로 안쪽이 내부망이 된다. 밖은 외부망이 된다.
라우터 앞단에 방화벽을 두기도 한다. 라우터, 방화벽은 inline이다. 네트워크가 고속도로라면 라우터나 인라인 장치는 톨게이트다. 고속도로를 돌아다니는 단위가 자동차로 패킷이라면, IC나 톨게이트로 차가 통과해서 지나가는데, 톨게이트의 액션은 바이패스, 드롭으로 구분된다.
distribution 스위치에서 지원하는 기능 중 포트 미러링이 있다. distribution에서 선을 따서 자기 자신을 통과하는 모든 규칙에 대해서 복사를 하는 read only 장치를 두기도 한다. 스위치에 포트가 n개라면 어느 특정한 하나의 포트에 대해 다른 포트의 패킷 이동 정보를 복사하는데, 원본과 사본이 1비트도 틀리지 않게 한다. 이런 작업을 포트 미러링이라 한다. 포트 미러링 작업은 스위치에 부하를 주기 때문에 잘하려고 하진 않는다. 이런 장비가 out of path이다. out of path는 보통 sensor인 경우가 많다.
out of path 센서가 패킷을 스니핑 하고 복사를 하는데, 이 목적에 따라 장애 대응 센서, 침입 탐지가 목적인 NIDS 등으로 나뉜다. 미러링하는 작업은 과부하를 일으키기 쉽다. 그래서 distribution 스위치와 라우터 사이에서 모든 패킷을 다 바이패스 시키면서 out of path에 복사 작업을 하는 전용 스위치인 탭 스위치도 있다.
탭 스위치는 한 개의 패킷만 지나가도 패킷을 다른 인터페이스에 복사해줘야 하는데, 이 작업으로 CPU를 많이 쓴다.
inline, out of path는 패킷을 다룬다. 포트 미러링은 L2 스위치에서 특정 포트로 복사해주는데 원본과 사본이 동일해서 미러링이라 한다. 미러링받는 것을 읽기 전용으로 읽는 것을 센서라 하는데, 목적에 따라 용도가 바뀐다. 읽기만 하는 구조를 out of path라 한다. 라우터나 방화벽은 inline, 센서는 out of path이다.