[CISCO Network Security] 10장 시스코 컨텐트 서비스 스위치

안녕하세요 뿅뿅뽁입니다.

컨텐트 서비스 스위치에 생소하신 분들은 많으실 겁니다.  이 장비에 대해 이해하실려면 컨텐트 스위칭을 아셔야 하는데 컨텐트 스위칭이란 네트워크를 통한 데이터 전송시 일어날 수 있는 시간 지연을 제거하는 기술입니다. 하지만 단점도 있으니 이번 장에서 알아보도록 하겠습니다.

1. 컨텐트 서비스 스위치 개관

컨텐트 서비스 스위치는 컨텐트 스위칭을 이용해 서비스에 대한 요청을 가장 적합한 서버에게 지능적으로 분배합니다. 로드 밸런싱과 컨테느 스위칭의 가장 큰 차이는 컨텐트 스위칭이 LocalDirector나 DistributedDirector처럼 단지 4계층 정보(IP와 포트)만을 사용하는 것이 아니라 4계층에서 7계층까지의 정보(URL, 호스트 태그, 쿠키 포함) 모두를 사용해 분배 결정을 내린다는 데 있습니다.

이말인 즉슨, OSI 계층 5에서 7까지의 정보를 이용해 웹 요청을 가장 적절한 서버에 전달하는 방법으로 웹 트래픽을 최적화합니다. 이러한 방법으로 컴텐트 스위칭은 URL, 호스트 태그, 쿠키를 사용하여 컨텐트 전달을 최적하합니다.

제품정보는 간단히 적어두겠습니다.

CSS 11050 : 이 품은 작은 웹 사이트와 인터넷 접속 관문을 위한 초급 제품입니다.

CSS 11150 : 이 제품은 중소형 웹 사이트에 적합한 중급 제품입니다.

CSS 11800 : 이 제픔은 대용량 트래픽을 사용하는 대형 웹 사이트와 웹 호스팅 구조에 적합한 고급 제품입니다.

2. 시스코 컨텐트 서비스 스위치의 보안 기능

지금부터는 우리가 배우고있는 보안에 관하여 적어보겠습니다.

CSS는 보안 기능들이 몇개 있는데 주요 보안 기능에는 다음과 같이 있습니다.

서비스 거부 공격 방지 : CSS는 초기 연결 수립 과정을 검사하여 SYN 홍수와 같은 연결형 서비스 거부 공격을 막습니다. 또한 성능에 최소한의 영향을 주는 범위에서 모든 비정상적 연결을 막습니다.

FlowWall 보안 : CSS 제품은 방화벽 서비스를 제공합니다. 그 서비스에는 IP 주소, TCP 포트, 호스트 태그, URL, 파일 종류에 의해 연결을 제어하는 고속 접근 제어 목록(ACL)이 포함되어 있습니다.

NAT : CSS의 주소 변환 기능은 스위치 뒤에 있는 장치의 실제 IP 주소를 숨길 수 있도록 합니다. 이를 통해 스위치가 보호하는 웹 서버에 대한 직접 공격을 막을 수 있습니다.

방화벽 로드 밸런싱 : CSS는 복잡한 방화벽 구조에서 부하 공유 장치로 쓰일 수 있습니다. 이를 통해 방화벽 병목 현상을 막고 단일 오류 지점을 제거 할 수 있습니다.

좀더 자세히 알아보겠습니다.

2.1 FlowWall 보안

FlowWall은 내장 방화벽으로서 컨텐트 요청에 대한 고속 필터링 기능을 제공합니다. 이것의 장점은 성능 저하가 거의 없고 ACL과 흐름 허가 제어와 같은 방화벽 서비스를 제공합니다. 그리고 지능적 검사 기술을 통해 모든 유명한 도스 공격을 막을 수 있습니다.

FlowWall은 다음 특성을 가지는 패킷을 버립니다.

첫번째. 프레임 길이가 너무 짧다.

두번째. 프레임이 분할되어 있다.

세번째. 출발지 IP 주소= 목적지 IP 주소

네번째. 출발지 주소= 시스코 주소, 또는 출발지 주소가 서브넷 브로드캐스트 주소

다섯번째. 출발지 주소가 유니캐스트 주소가 아님

여섯번째. 출발지 또는 목적지 IP 주소가 루프 백 주소

일곱번째 목적지 주소가 유효한 유니캐스트 또는 멀티캐스트 주소가 아님

FlowWall은 ACL도 제공한다고 하였습니다. ACL을 이용하면 다음 조건의 일부 또는 전체에 해당하는 트래픽을 처리하기 위한 정책을 만들 수 있습니다.

첫번째. 출발지 또는 목적지 IP 주소

두번째. TCP 포트

세번째. Host 태그

네번째. URL

다섯번째. 파일 확장자

CSS의 ACL 규칙은 다음과 같은 세 종류로 구분됩니다.

Deny, Permit, Bypass

Bypass는 Permit과 마찬가지로 조건과 일치하는 트래픽을 허용하고 그 트래픽과 관련된 모든 컨텐트 규칙을 무시하는 규칙입니다.

2.2 NAT을 이용하여 실제 주소 숨기기

CSS는 NAT을 지원하여 내부 네트워크가 사설 IP 주소를 사용하게 할 수 있고, 해커가 실제 서버의 IP 주소로 직접 접근하는 것을 막을 수 있습니다.

2.3 방화벽 로드 밸런싱

CSS는 여러 방화벽 간의 로드 밸런싱을 통해 보안 기능을 향상시킬 수 있습니다. CSS는 성능 병목 구간을 제거할 뿐만 아니라 단일 오류 지점에 대한 보호 기능까지 제공합니다.

여기서 앞에서 배운 방화벽장비와 CSS를 이용하면 강력한 보안성능을 낼 수 있는 설계가 나옵니다.

2.4 비밀번호 보호

CSS는 두 종류의 접근 수준인 User와 SuperUser를 제공합니다. 최대 32개의 사용자 이름을 지원합니다.

User는 인자를 모니터링하고 출력할 수는 있지만 변경할 수 없습니다. 이에 반해 SuperUser는 변경도 가능함으로 보안에 각별한 주의가 요망됩니다.

2.5 Telnet 접근 금지

보안성이 낮은 Telnet을 막으면 보안성을 높일 수 있습니다 이럴 경우 콘솔 또는 SSH연결을 통해 연결해야 합니다.

명령은 다음과 같습니다

restrict telnet

2.6 Syslog 로깅

CSS는 에러와 이벤트 메시지를 외부 syslog 서버로 보냅니다.

10장은 CSS에 관하여 해보았습니다. CSS와 방화벽을 같이 쓸때 효과가 뛰어나다는 것을 알 수 있었고 CSS의 성능도 우수하다는 것을 알았습니다.

하지만 다른 장비들도 마찬가지로 CSS는 다양한 보안 취약점이 있습니다. 보안취약점들 이나 조언들은 www.cisco.com 홈페이지에서 참고할 수 있으니 영어가 되시는 분들은 여기서 참고하시면 보안공부에 많은 이점이 될 것 같습니다.

다음 장에서는 Cisco Secure Scaaner과 취약점 찾는것을 알아보겠습니다.