장비명

Firewall

Perf. (Mbps)

PPS

Maximum

Connection

Maximum

Connection/Sec

IPS/IPS성능

Contents

Filtering 지원

870 Router

70

-

384,000

 

Limited

 

Limited

1841 Router

125

-

384,000


Limited

 

Limited

2811 Router

130

-

760,000

 

Limited

 

Limited

3825 Router

530

-

1,000,000


Limited

 

Limited

3845 Router

1,100

-

1,000,000

 

Limited

 

Limited

PIX 515

190

-

130,000

-

IDS

No

PIX 525

330

-

280,000

-

IDS

No

PIX 535

1,700

-

500,000

-

IDS

No

ASA 5510

300

190,000

130,000

6,000

Yes(150)

Yes

ASA 5520

450

320,000

280,000

9,000

Yes(250)

Yes

ASA 5540

650

500,000

400,000

20,000

Yes(450)

Yes

ASA 5550

1,200

600,000

650,000

28,000

No

No


신고
posted by gandalff
Worm이나 DoS, DDoS 같은 유해 트래픽들은 이제 더이상 특별한곳에만 생기는 문제가 아니다. 즉, 어떠한 환경에서든지 생겨날 수 있는 문제라는 의미이다. 물론, 시장에는 이러한 유해트래픽을 차단하기 위한 여러가지 솔루션들이 이미 선보이고 있다. "Firewall","IPS","IDS"등과 같은 네트워크 보안 장비들은 저마다의 솔루션과 기능을 내세우면서 네트워크에 영향을 줄 수 있는 이러한 유해트래픽을 검출 및 차단 할 수 있다고 말하고 있다.

그러나 문제는 전문적인 지식과 비용이다. 첫번째로, 위와 같은 장비를 구매한다 하더라도 어떠한 환경에서 어떻게 사용해야 하는지를 정확히 모른다면 예산의 낭비만을 가져올 것이다. 회사에서 보안 장비의 구매라도 해준다면 그나마 다행이겠지만, 대부분의 회사들이 문제가 실질적으로 생겨서 피해가 눈에 보이기전까지는 솔루션의 도입을 미루게 되는것이 현주소이다. 그렇다면 SE로써, 또한 관리자로써 특별한 보안 장비 없이도 자신의 네트워크를 지켜내는것은 어쩌면 필수적인 요소인지도 모르겠다. 이러한 요구사항의 연장선상에서, 이번글에서는 라우터와 스위치만을 이용하여 유해트래픽을 검출하고 차단하는 방법에 대하여 살펴보도록 하겠다.

1. Router의 CPU를 주목하라!

사용자 삽입 이미지

라우터에서 CPU 상태를 점검하면, 위와 같은 메세지를 볼 수가 있다. 우선, 각 캐릭터가 의미하는 내용들을 살펴보자.

- X: 최근 5초동안의 라우터의 CPU 사용량의 평균값을 나타낸다.
- Y: 전체 CPU 사용량중에서 라우터의 Cache를 사용하는 값을 나타낸다.
- Z: 1분동안의 라우터 CPU 사용량의 평균값이다.
- W: 5분동안의 라우터 CPU 사용량의 평균값이다.

일반적으로 WORM이나 DoS 공격같은 트래픽들은 자신의 Source IP를 그대로 설정하고 공격을 하는 경우는 없다. 대부분이 자신의 Source IP를 위조한채로 공격을 하게 되는데 이러한 공격 방식을 "IP Spoofing"이라고 부른다. 라우터는 패킷을 스위칭하는 방법에 있어서, 최초의 "Destination"에 대해서는 "CPU"를 이용해서 패킷을 전송하게 된다. 그리고, 같은 목적지를 향하는 패킷이 두번째 또 라우터에 인입되게 되면, 그때는 CPU를 이용하지 않고 Interface의 Cache 정보를 이용해서 전송을 하게 된다. 그런데, 만약에 Source 주소를 Spoofing한 다량의 유해트래픽이 라우터로 인입된다고 가정해보자. 이 경우에 라우터의 입장에서는 모든 트래픽이 처음 인입되는 패킷이기 때문에, 전부 라우터의 CPU를 통해서 전송이 될 것이다. 결론적으로 말해서, Spoofing된 다량의 패킷은 라우터의 CPU를 높이는 원인이 되는 것이다.

바로, "show proc cpu" 명령을 통해서 이러한 증상을 확인 해 볼수가 있는데, 위 그림에서 봤을때, "X-Y"로 계산한 값을 "V"라고 했을때 이 "V"값이 Y 값보다 클 경우에는 유해 트래픽의 인입을 의심해 볼 필요가 있을 것이다. 왜냐하면, 정상적인 경우라면 Cache를 사용해서 전송되는 Packet이 훨씬 많아야  하므로, 정상적인 경우하면 Y값이 V값보다 커야 하기 때문이다. 하지만, V 값이 Y보다 크다는 것은 CPU를 hit하는 패킷이 그만큼 많다는 얘기가 되므로 유해 트래픽의 유입을 의심해 볼 필요가 있는 것이다.

다음번에는 유해트래픽의 인입이 의심되었을 경우에 어떻게 라우터에서 해당 트래픽을 차단 할 수 있는지 알아보도록 하겠다.
신고
posted by gandalff


티스토리 툴바