목차/14. Security Gateway 특수 시나리오 — Monitor·Bridge Mode

14Security Gateway 특수 시나리오 — Monitor·Bridge ModeSecurity Gateway 특수 시나리오 — Monitor·Bridge Mode

게이트웨이를 평범하게 길목에 끼우는 것 말고도, 기존 환경을 건드리지 않고 트래픽을 관찰하거나, IP 구조를 바꾸지 않고 보안 장비를 끼워 넣는 특수 배포가 있습니다. 이 장은 Monitor Mode, Bridge Mode, 그리고 게이트웨이가 부팅·업그레이드 중에도 스스로를 지키는 Security Before Firewall Activation 을 다룹니다. 세부 절차는 원문 해당 절과 R82 Gaia 관리자 가이드를 참고하세요.

Monitor Mode — 환경을 건드리지 않고 관찰하기

Monitor Mode 는 운영 환경을 바꾸지 않고 네트워크 트래픽을 분석 하는 배포입니다. 게이트웨이 인터페이스 하나를 스위치의 Mirror Port(SPAN Port)에 연결해, 복제된 트래픽을 듣기만 합니다. 그 인터페이스에서는 어떤 보안 정책도 집행하지 않고(prevent/drop/reject 없음), 도착한 패킷을 전부 종료할 뿐 다시 내보내지 않 습니다. Software Blade의 성능을 평가하거나, 애플리케이션 사용을 상시 모니터링할 때 유용합니다.

장점은 분명합니다 — 운영 환경에 위험이 없고, 설정이 최소이며, 값비싼 TAP 장비가 필요 없 습니다.

① mirror/SPAN 포트로 모든 입출력 패킷을 복제하는 스위치 ② 서버 ③ 클라이언트 ④ Monitor Mode 인터페이스를 가진 Security Gateway ⑤ 게이트웨이를 관리하는 Security Management Server — Monitor Mode 토폴로지
① mirror/SPAN 포트로 모든 입출력 패킷을 복제하는 스위치 ② 서버 ③ 클라이언트 ④ Monitor Mode 인터페이스를 가진 Security Gateway ⑤ 게이트웨이를 관리하는 Security Management Server — Monitor Mode 토폴로지

*① mirror/SPAN 포트가 있는 스위치 ② 서버 ③ 클라이언트 ④ Monitor Mode Security Gateway ⑤ Security Management Server*

단일 Security Gateway나 단일 VSX Gateway에 구성할 수 있으며, 일부 Blade는 Monitor Mode 지원에 제약이 있습니다 — 예를 들어 IPS의 SYN Attack 보호(SYNDefender) 같은 능동적 기능은 동작하지 않 습니다. Threat Prevention·Application Control·URL Filtering·DLP 등은 Monitor Mode용으로 따로 구성하는 절(원문 참고)이 있고, 프록시 뒤에 둘 때의 구성도 별도로 다룹니다. 설정 후에는 Expert 모드에서 grep -A 3 -r fw_span_port_mode $FWDIR/state/local/* 로 정책에 :val (true) 가 들어갔는지 확인 하고, Monitor Mode 인터페이스를 스위치의 mirror/SPAN 포트에 연결하면 됩니다.

Bridge Mode — IP 구조를 그대로 둔 채 끼워 넣기

기존 네트워크를 IP가 다른 여러 네트워크로 나눌 수 없을 때 Bridge Mode 로 게이트웨이(또는 ClusterXL)를 설치 합니다. Bridge Mode의 게이트웨이는 Layer 3 트래픽에 보이지 않 습니다 — 한 bridge subordinate 인터페이스로 트래픽이 들어오면 게이트웨이가 그것을 검사한 뒤 두 번째 subordinate 인터페이스로 넘깁 니다. 즉 라우팅 구조를 다시 짜지 않고도 두 포트 사이에 보안 검사를 끼워 넣는 셈입니다(Gaia의 Bridge 인터페이스 개념과 같은 맥락).

Bridge Mode는 단일 Security Gateway뿐 아니라 ClusterXL에도 구성 할 수 있습니다 — 스위치 두 대를 쓰는 Active/Standby, 스위치 두세넷 대를 쓰는 Active/Active 토폴로지가 있습니다. Firewall·IPS·URL Filtering·DLP·Anti-Bot·Anti-Virus·Application Control 등 많은 Blade가 지원되되, HTTPS Inspection·Identity Awareness·일부 Anti-Virus 기능은 조건부 입니다(원문 표의 각주 참고). 그밖에 특정 프로토콜의 Ethernet 프레임을 허용·차단하기, Bridge 인터페이스를 통한 라우팅·관리, IPv6 Neighbor Discovery, Link State Propagation(LSP) 같은 세부 동작을 함께 구성합니다. LSP는 한쪽 링크가 끊기면 반대쪽도 내려 페일오버가 제때 일어나게 하는 기능으로, Bridge 환경에서 중요합니다.

Security Before Firewall Activation — 부팅·전환 중의 보호

게이트웨이가 정책을 아직 못 받은 순간에도 무방비여선 안 됩니다. Boot Security 는 부팅 중 게이트웨이와 그 네트워크를 보호 합니다 — Linux 커널의 IP Forwarding을 끄고 Default Filter Policy 를 적재 해, 정책이 처음 설치되기 전이나 정책 적재에 실패했을 때를 메웁니다(Default Filter 템플릿이 세 가지 있음).

그다음 단계가 The Initial Policy 입니다. 관리자가 처음으로 정책을 설치하기 전까지는 Initial Policy가 보안을 집행 하는데, Default Filter에 미리 정의된 implied rule을 더해 대부분의 통신을 막되 정책 설치에 필요한 통신만 허용 합니다. 특히 Check Point 제품 업그레이드, 게이트웨이의 SIC 인증서 리셋, 라이선스 만료 시에도 Initial Policy가 게이트웨이를 보호 합니다 — 이때는 Initial Policy가 사용자 정의 정책을 덮어씁니다. 그래서 업그레이드SIC 재설정 중에도 게이트웨이가 완전히 열려 버리는 일이 없습니다. 만약 재부팅이 완료되지 않으면 원문 "Troubleshooting: Cannot Complete Reboot" 절을 참고하세요.

다음은 마지막 — 환경 전반을 떠받치는 라이선스 관리와 클라우드 서비스입니다.