KyumLab

패킷이 전송될 때 하나의 세션에 포함되는 패킷들이 반드시 동일한 방화벽을 통해서 전달되는 것은 아니다. 

따라서 방화벽을 이중화하여 구성함에 있어서, 각각의 방화벽에서 패킷 검사가 정상적으로 수행되기 위해서는 이중화된 방화벽 사이에 세션의 상태 정보(이하, 세션 정보)가 동기화되어야 한다. 뿐만 아니라, 하나의 방화벽에 오류가 발생하여 모든 패킷이 다른 한 방화벽에만 전송되는 경우에 도 마찬가지로 패킷 검사를 정상적으로 수행하기 위해서는 이중화된 방화벽 사이에 세션 정보가 동기화되어야 한다.

NAT

NAT(Network Address Translation)의 약자로써 네트워크 주소 변환을 의미합니다.

NAT의 종류는 여러가지가 있지만 현재 우리 NGFW에서 지원하는 NAT의 종류는 4가지가 있습니다.

1)     XNAT(eXclude NAT) : 해당 출발지 목적지에 대해서는 NAT를 제외합니다.

2)     SNAT(Source NAT) : 출발지에 대해서 NAT를 수행합니다.

3)     DNAT(Destination NAT) : 목적지에 대해서 NAT를 수행합니다.

4)     FNAT(Full NAT) : SNAT + DNAT, 출발지와 목적지 두 개에 대해서 NAT를 수행합니다.

보안존의 관점에서 NAT를 썼던 걸 생각해보면 SNAT는 ‘내부’=>’외부’ 보안존으로 갈 때 사용하는 NAT이고 DNAT의 경우는 ‘외부’=>’내부’의 보안존으로 갈 때 사용하는 NAT입니다.

             DNAT 예제)

ð  실제 테스트망에 Breaking Point 들여올 때 낸 퀴즈입니다.

10.0.6.203에 대해서 10.0.5.0/24 에 대해서 대역대가 다르기 때문에 이럴 때 DNAT를 사용합니다.

PC사용자 예를들어 10.0.50.52에서 10.0.6.203으로 접속 시 목적지에 대해서 10.0.6.203을 10.0.5.x의 대역대로 변환해 줌으로 써 통신이 되도록 하는 것입니다.

             Full NAT 예제)

ð  출발지와 목적지를 둘 다 NAT 시킵니다. 실제로 설치해보면서 어떻게 동작하는지 배울 수 있었습니다.

139번 Full NAT

NAT시 우리가 흔히 말하는 일반 NAT는 IPv4 NAT를 의미합니다. NAT는 버전에 따라 3가지 종류로 구분 할 수 있겠습니다.

1)     일반 NAT (IPv4)

2)     NAT64 (IPv6 -> IPv4)

3)     NAT46(IPv4 -> IPv6)

다음으로 NAT의 유형에 대해서도 정리 해보겠습니다.

1)     Static NAT(1:1) : 사설,공인 IP에 대해서 1:1맵핑을 시켜줌, 외부->내부 접속시 사용

2)     NAT-PAT(N:1) : 다수의 사설 IP를 1개의 공인 IP로 변환 시킴 (공유기)

3)     Dynamic NAT(N:M) : 대역과 대역간의 NAT를 시킬 때 사용

VRRP(Virtual Router Redundancy Protocol)

VRRP 여러 대 (최소 2대 이상)의 Router를 하나의 group으로 묶어서, Client가 바라보는 Gateway에 대한 IP Address를 공유하며, Priority가 높은 Router가 동작하다가, Router에 문제가 발상하면, 그 다음 Priority를 가진 Router가 Active role를 가지고 Gateway IP Address를 넘겨 받아 동작하여, Client 입자에서는 Router의 장애와 관계 없이 Gateway의 IP Address를 변경하지 않고 Data를 전달합니다.

실제로 꾸며봤던 VRRP 망 입니다.

위아래 이중으로 VRRP를 걸고 137번 eth1에 대해서 장애가 발생 했을 때의 llcf 동작과 함께 VRRP의 master-backup 동작을 테스트 해봤었습니다. 실제로 137번 eth1번이 장애로 인해 끊어졌을 시 eth2가 llcf로 인해서 같이 끊어짐과 동시에 138번이 master 역할을 가져가는 동작을 확인하였고 master를 가져감과 동시에 VIP를 가져오는 걸 확인 하였습니다. 

LLCF(Link Loss Carry Forward)

다음과 같은 구성에서 10.0.5.145 장비의 eth21 포트에 장애가 발생했을 때 하단의 장비에서 알아차릴 수 있는 방법이 무엇일까요?

이럴 때 llcf를 사용한다면 쉽게 컨트롤을 할 수 있습니다. 10.0.5.145 장비의 eth21과 eth1을 llcf linkpack 구성으로 묶는다면 eth21이 장애로 인하여 Down되었을 시 eth1역시 llcf로 인하여 pseudo Down 상태가 됩니다. 그렇게 된다면 하단에서 왼쪽이 아닌 오른쪽으로 트래픽이 흐를 수 있도록 합니다. NGFW의 LLCF는 link pack모드와  group pack 모드 2가지를 지원하고 있습니다.

- Link Pack : OR 조건 / 같은 팩에 묶여 있는 한 개 포트 이상의 물리적 링크  DOWN 발생 시 팩에 묶여 있는 다른 포트의 링크를 DOWN 시킴

- Group Pack : AND 조건 / 같은 팩에 묶여 있는 한 개 포트 이상의 물리적 링크  DOWN 발생하여도 팩에 묶여 있는 다른 포트의 링크를 DOWN 시키지 않음

Traceroute VS Tracert

Traceroute와 Tracert는 각각 리눅스와 윈도우에서 사용하는 명령어 라고만 알고 있었는데 이 부분에 대해 질문을 받아 정리하게 되었습니다.

결론적으로 정리하자면, Traceroute와 Tracert의 차이점 이라고 한다면 udp를 사용하느냐 icmp를 사용하느냐의 차이 입니다.

tracert: icmp기반 프로그램. icmp-8(echo)를 보낸뒤 icmp-0(echo reply)를 확인하여 동작여부를 확인합니다. => 방화벽 정책에 있어서 icmp가 막혀있다라고 한다면 경로추적이 불가능 합니다.

traceroute: udp기반 프로그램. default로 옵션설정을 안했을때 33434/udp부터 7번 즉, 33439/udp까지 보내게됩니다.

해당 udp 포트가 닫혀있을때 icmp-3(Destination Unreachable)이 오는것을 아이디어로 만들어졌습니다.

결론 : icmp가 차단 되있어도 traceroute는 동작한다.

FTP

‘FTP의 종류가 뭐가 있을까?’ 라는 질문에 대해서 들은 것에 대해서 정리하겠습니다.

                                                                    Active                                                          Passive

FTP에는 2가지 모드가 있습니다 Active 모드와 Passive 모드의 차이점이라고 한다면

Server-Client 에서 Client가 포트번호를 제공하면 Active, Server에서 포트번호를 요청한다면 Passive 모드가 되겠습니다. 즉 Passive Mode에서는 서버에서 어떤 포트를 요청할지 모르는 상황이 생깁니다. 그렇기 때문에 콘트롤 세션이 있을 때 해당 프로토콜에 대해서 Data Session을 모두 수용할 수 있게끔 하는 Logic이 ALG 입니다.

SNMP(Simple Network Management Protocol)

무슨 프로토콜인지는 알고 있었지만 동작원리에 대해서 자세히 몰라서 정리하게 되었습니다.

SNMP의 관리자를 통해 3가지 형태의 SNMP 메시지를 생성하여 Agent로 전송합니다.

또한 Agent는 자신의 MIB에 영향을 미치거나 관리 자원에 발생할 수도 있는 이벤트를 알리기위해 Trap 메시지를 만들어서 SNMP Station에 알리게 됩니다. 기본적으로 3가지 함수를 사용합니다

1)     GET : Agent의 객체 정보 검색

2)     SET : Agent의 객체 값 수정

3)     TRAP : Agent가 Station에 중요한 이벤트를 알림

ð  여기서 SNMP Manager는 Polling이라는 방식을 통해서 주기적으로 자신이 관리할 네트워크 장비들에게 질의를 보내게 됩니다.

ARP(Address Resolution Protocol)

ARP에 대해서는 IP주소를 물리적 네트워크 즉 MAC주소로 바꿔주는 프로토콜임을 알고 있었으나 동작원리에 대해서 자세히 알게 되었습니다.

1)     REACHABLE : 간청요청에 대한 응답이 왔고 이에 대한 캐시 확보되어 접근 가능하다는 확증이 된 상태

ð  해당 주소로 접근 가능하다는 확실한 증거가 있다는 의미

2)     STALE : REACHABLE 상태에서 일정시간(reachable_time) 승인되지 않은 상태가 된시점

ð  도달 가능성을 재 확인해야 함을 표시하는 상태

ð  캐시는 인접주소를 포함하고 있음

ð  만약 첫 REACHABLE 상태이후 경과된 시간이 gc_staletime을 경과되면 더이상 이 엔트리는 사용되지 않고 파기합니다.

3)     DELAY : STALE 상태에서 PROBE 상태로 가기 위한 중간 보류상태

ð  지연시간(delay_probe_timer)만료될 때까지 도달가능성을 간주할 수 있는 수신(간청응답 또는 L4 확인)이 있는 경우 REACHABLE 상태로 천이됨

4)     PROBE : 간청요청 단계이며 도달가능성을 간주할 수 있는 수신이 있는 경우 REACHABLE 상태로 천이되며 그렇지 않은 경우 FAILED 상태로 천이

실시간 해당 arp 삭제시 동작 확인

# while true; do sleep 1; clear;ip -4 n|grep [IP 주소]; done

보안존

보안존이란? 인터페이스에 보안존을 매핑시켜 라우팅 룩업 후 나가는 패킷에 대해 정해진 방향 (보안존)으로 나가는 패킷에 대해 정책을 적용하기 위해 사용합니다.

현재 NGFW에서 default로 있는 보안존 입니다. ‘탐지테스트’ 보안존 처럼 새로운 보안존을 설정할 수 있으며 기본적으로 제공되는 보안존에는 각각의 의미가 있습니다.

1)     ANY : 모든(?) 존을 의미합니다.

2)     Trust : 신뢰할 수 있는 네트워크 존, 주로 하단 PC대역에 사용합니다

3)     Untrust : 신뢰할 수 없는 존, 사용하지 않는 인터페이스에 붙습니다.

4)     MGT : MGT 인터페이스에 들어가는 존 입니다. 매니지먼트 포트

5)     DMZ : 외부에 서비스를 제공해야 하는 상황에서 내부 자원을 보호하기 위해 내부 네트워크를 보호하기 위한 존 입니다. BP나 테스트망 내 서버 구축시 해당 존을 사용합니다.

6)     PAN : PAN 보안존과 통신될 경우 다른 보안존으로 통신을 차단 시키는 기능입니다.

7)     내부와 외부 : 해당 장비에 들어오는 쪽이 ‘내부’, 나가는 쪽이 ‘외부’로 분류 됩니다.