[CISCO Network Security] 7장 Cisco LocalDirector와 DistributedDirector

안녕하세요 뿅뿅뽁입니다.

제목을 보신분들은 조금 생소하실수도 있습니다. 우선 LocalDirector와 DistributedDirector이 무엇이냐면 쉽게 말해 로드 밸런서입니다.

그렇지만 확장성, 고가용성, 서버 연결 관리, 서버 보안과 같은 여러 부가 가능을 제공하므로 로드 밸런서라는 단어는 좋지 않은거 같습니다. 이 글을 보시거나 따로 공부하시어 이 두가지가 무엇인지를 아시면 될 것 같습니다.

이 장비에 대해서는 크게 자세히는 안할 예정입니다. 이 장비를 이용한 보안 기법과 취약점들을 다루겠습니다.

1. Cisco LocalDirector를 이용한 보안 강화

이 장비는 여러 로컬 서버 사이에서 인터넷 자원에 대한 요청을 로드 밸런싱 할 수 있습니다. LocalDirector는 일반적으로 웹 서버 팜의 앞단에 위치하여 웹 트래픽을 적절한 서버로 분배하는데 많이 쓰입니다. 즉 LocalDirector는 외부에 단일 웹 서버 주소를 공개하되 실제 요청 처리는 여러 웹 서버가 처리할 수 있도록 하는 기능을 지원합니다. 이러한 다중화로 인해 공격이 일어날 경우에도 가용성과 안정성을 최대한 보장할 수 있습니다.

제품의 종류는 2005년 기준으로 3가지가 있습니다

LocalDirector 416 : 초/중급 수준 제품. 최대 90Mbps 출력과 초당 7000개의 연결지원

LocalDirector 430 : 고급 제품. 최대 400Mbps의 출력과 초당 30000개의 연결 지원

LocalDirector 417 : 기존 제품과 다른 방식의 마운팅 기능을 지원하는 새 플랫폼. 430시리즈보다 성능이 좋고 메모리가 많다.

2. LocalDirector 보안 기능

LocaolDirector은 본래 서버 연결 관리가 주 목적이지만 보안 기능을 적절히 사용하면 서버팜을 공격과 네트워크 오류로부터 지키는 데 많은 도움이 될 것입니다.

2.1 접근 트래픽 필터링

LocalDirector도 다른 장비들과 마찬가지고 트래픽 필터링이 가능해 가상 서버와 실제 서버간에 오갈 수 있는 트래픽의 종류를 제한할수 있습니다.

비록 ACL처럼 완전한 접근 제어 목록이 아니더라도 몇가지 접근 제어 옵션을 제공합니다.

SecureAccess : 클라이언트의 출발지 주소를 이용하여 연결 제어

SecureBind : 트래픽이 특정 포트에 접근하는 것을 금지할 수 있다.

SecureBridging : 서버의 실제 IP 주소를 알고 있는 클라이언트는 서버에 직접 접근할 수 있다. 이 기능을 끄면 클라이언트 트래픽은 반드시 LocalDirector 가상 주소를 거쳐 가야 합니다.

Secure IP Address : 이 기능은 정적 NAT와 유사합니다. 실제 서버의 주소를 가상 IP로 변환할 수 있습니다.

2.2 synguard를 이용한 SYN 홍수 공격 방어

이전 글에서 언급한 SYN 홍수 공격은 서비스 거부공격의 일종으로 서버가 대량으로 SYN 패킷을 받았지만 후속 조치가 일어나지 않을 때 발생합니다. TCP/IP 규약에서는 이러한 SYN 패킷을 통한 잠재적 연결 시도를 일정 시간동안 보관하도록 명시하고 있습니다. 그렇지만 SYN패킷을 너무 많이 받게 되면 연결 큐가 가득 차게 되어 백로그에 여유 공간이 생길 때까지 다른 TCP연결을 받지 못하게 됩니다.

호스트 시스템에서 관리자분들은 SYN공격의 영향을 최소화하기 위한 여러 기법을 적용해야 합니다. 이 기법중 하나가 연결 큐의 크기를 늘려서 공격자가 공격을 하는 데 더 많은 자원을 투자하도록 하는 것입니다. 그렇지만 이 방법은 호스트 시스템 자체적으로 다 많은 자원을 투자해야 한다는 단점이 있습니다. 또다른 기법은 호스트 운영 체제 벤더에서 SYN 공격을 막기위한 패치를 내놓았는지 파악하는 것입니다. 이 장비는 서버들에 대한 SYN 공격을 막기 위한 synguard 기능을 지원합니다. 이 기능에서는 서버로 들어오는 SYN과 서버로부터 나오는 SYN-ACK 응답의 수를 셉니다. 그리고 완료되지 않은 SYN의 수가 특정 한계를 넘어서면 그 가상 서버로 들어오는 모든 SYN패킷을 버립니다.

2.3 NAT를 이용하여 실제 주소 숨기기

LocalDirector는 네트워크 주소 변환. 즉 NAT를 지원합니다. NAT는 사설 IP 주소를 내부 네트워크에서 사용할 수 있도록 하며 해커가 실제서버의 IP 주소를 직접 접근하는 것을 막습니다.

2.4 LocalDirector에 telnet 접속할 수 있는 사용자 제한

관리자분들은 LocalDirector에 telnet 접속할 수 있는 사용자를 지정할 수 있습니다. 이 사용자를 지정할 때는 사용자의 IP주소를 입력하는 방식을 이용합니다. 이렇게 localDirector에 telnet 접속할 수 있는 사용자를 제한하는 방법은 허가받지 않은 사용자의 불법 접근을 막기 위한 매우 쉽고도 효과적인 방법입니다.

2.5 Syslog 로깅

때때로, 관리자분들의 네트워크가 공격당하고 있다는 것을 아는 것이 공격으로부터 네트워크를 보호하기 위한 조치를 취하는 것만큼 중요할 때가 있습니다. 이 상황에서 중요한 역할을 하는 것이 리공입니다. syslog서버를 설정할 경우 장비는 에러와 이벤트 메시지를 외부 syslog서버로 보냅니다.

3. Cisco DistributedDirector를 이용한 지리적으로 분산된 서버 팜 보호

시스코의 DistributedDirector는 지리적으로 분산된 서버 사이에서 인터넷 자원 요청을 로드 밸런싱하는 제품입니다. 이 제품의 주 용도는 회사의 여러 곳에 분산되어 있는 웹 서버 팜을 이용하여 웹 요청을 처리하는 것입니다.

이 제품은 세 가지 종류가 나와있습니다. (2005년 기준)

DistributedDirctor 2501/2502 : 초급 제품. 2501은 이더넷 인터페이스를, 2502는 토큰 링 인터페이스를 가지고 있음

DistributedDirector 4700M : 중급 제품. 이더넷, 패스트 이더넷, 토큰 링, FDDI 인터페이스를 지원하는 모델

Cisco 7200 시리즈 라우터 : 고급 제품. 모듈방식의 7200라우터에 DistributedDirector 기능 셋이 포함된 형태로 제공

local과 마찬가지로 Distributed는 보안목적이 아닙니다. 그런데 보안 환경에서 많이 쓰는 이유는 네트워크 이중화때문입니다. 이 이중화 기능을 잘 이해하셔야 어떻게 보안성을 높일수 있는지 아시게 될것입니다.

몇가지 보안기법에 대해 알아보겠습니다

3.1 DRP 요청을 하는 에이전트의 출발지 주소 제한

DistributedDirector 장치에 접근할 수 있는 DRP 서버 에이전트의 출발지 IP 주소를 제한함으로서 장치의 보안을 향상시킬 수 있습니다. 이 작업은 표준 시스코 접근 제어 목록과 ip drp access-group 명령을 통해 할 수 있습니다.

3.2 DistributedDirector와 DRP 에이전트 사이의 인증

보안을 강화하고 DRP를 이용한 도스 공격을 막기 위해 DRP 에이전트와 DistributedDirector사이에 오가는 DRP요청과 응답 패킷의 인증 기능이 제공됩니다. DRP 인증을 함으로서 DIstributedDirector는 잘못된 DRP 요청을 받지 않을 수 있습니다.

3.3 key chain 명령

key chain 명령은 인증 키와 키 문자열을 통합해줍니다.

3.4 Key 명령

key는 키 사슬에서 인증 키를 식별하기 위한 숫자입니다.

3.5 key-String 명령

key-string 명령은 키의 인증 문자열을 식별하는데 쓰입니다.

3.6 Syslog 로깅

LocalDirector와 동일한 기능을 수행합니다.

7장에서는 2개의 장비에서 보안을 높일 수 있는지 알아보았습니다. 두 개의 장비는 모두 로드 밸런스가 목적이라 보안을 높일 수 있는 방법이 많지가 않습니다. 그러나 이것도 한가지 방법인지라 적어보았습니다.

다음장에서는 가상 사설망과 원격 접근을 알아보겠습니다.