08Mirror and DecryptMirror and Decrypt

게이트웨이는 두 가지 일을 할 수 있습니다. Only mirror of all traffic 은 지나는 모든 트래픽(복호화 없는 HTTPS 포함)을 그대로 복제 해 지정 물리 인터페이스로 내보냅니다. Mirror and Decrypt of HTTPS traffic 은 HTTPS 트래픽을 복제하고 복호화해 평문(clear-text)으로 내보냅니다(이때는 게이트웨이에 HTTPS Inspection을 켜고 구성해야 함).

환경에 서드파티 Recorder나 Packet-Broker를 두고 트래픽을 받게 할 수 있는데, 이 장비는 monitor(promiscuous) 모드로 동작 해야 복호화·미러된 트래픽을 받습니다. 게이트웨이는 하나의 Recorder만, 지정 물리 NIC에 직접 연결 해 씁니다.

!Mirror and Decrypt 트래픽 흐름 *① 첫 번째 네트워크 ② Security Gateway ③ 두 번째 네트워크 ④ 게이트웨이의 지정 물리 인터페이스 ⑤ monitor 모드로 동작하는 Recorder/Packet-Broker · Ⓐ 첫 네트워크↔게이트웨이 흐름 Ⓑ 둘째 네트워크↔게이트웨이 흐름 Ⓒ 게이트웨이→Recorder로 복호화·미러된 트래픽 흐름*

내보내는 패킷의 출발지 MAC 주소는 동작에 따라 다릅니다 — Mirror only는 지정 인터페이스의 MAC, Mirror and Decrypt는 00:00:00:00:00:00 입니다.

핵심은 지정 인터페이스를 제대로 고르고 준비 하는 것입니다. 다른 인터페이스들의 트래픽이 모두 합쳐져 지나가므로 가장 큰 처리량(예: 10G·40G)을 가진 물리 인터페이스 를 고르고(클러스터 멤버는 모두 같은 이름의 인터페이스), 환경의 다른 IP·서브넷과 겹치지 않는 더미 IP를 정확한 서브넷 마스크와 함께 부여합니다. SmartConsole에서 이 인터페이스에 미러링을 켜면 그쪽으로 라우팅되는 다른 트래픽은 모두 드롭 됩니다.

클러스터에서는 이 지정 인터페이스를 $FWDIR/conf/discntd.if 파일에 등록 해, 쓰지 않는 인터페이스가 CCP(Cluster Control Protocol) 패킷을 보내 Recorder를 압도하지 않게 합니다. 또 이 인터페이스의 MTU는 1500(기본)이거나, 적어도 다른 인터페이스 중 가장 큰 MTU 이상 이어야 합니다.

Gateway 모드와 VSX 모드 각각의 구성 절차, 그리고 Mirror and Decrypt 로그의 자세한 내용은 원문 해당 절을 참고하세요. 요지는 지나는 트래픽을 복제(필요시 복호화)해 전용 인터페이스로 모아 분석 장비에 넘긴다 는 한 줄기입니다.