[참고]
NMS 관리대상 : Router, Switch, 방화벽, VPN, IPS
SMS 관리대상 : WAS, DNS, Mail, Web, DB(1,2,보안), Storage, 업무서버(1,2), AP, PC
ESM = (NMS + SMS)
NMS(Network Management System, 네트워크 관리시스템)
기관이 정한 요구사항을 만족하기 위해 네트워크 장비를 관리하는 시스템
- L3 Switch, L2 Switch, VPN, FW ...을 관리
- 네트워크 장비로부터 로그를 받아서 로그를 분석하고 우리망에 무슨 일이 있었지 확인해주는 시스템
- 장비들도 하드웨어가 있고, 그위에 OS+환경설정이 들어감
- NMS는 각각의 장비에 대한 환경구성, 장애처리, 성능체크, 보안설정, 계정관리 기능을 가짐
- NMS 운영을 위해 사용하는 프로토콜 : SNMP, CMIP, RMON 등
NMS 기능
| 구성관리 | Configuration management 네트워크 관련 장비들의 구성현황 파악 및 설정관리 |
| 장애관리 | Fault management 장애가 발생했을 때 이를 즉각 대응하여 장애를 최소화 할 수 있도록 하는 사후 관리 주력 |
| 성능관리 | Performance management 모니터링과 제어를 통해 네트워크가 효율적으로 운영되도록 관리 속도, 트래픽, 처리량, 응답시간 등의 측정 가능한 기준으로 성능을 나타냄 |
| 보안관리 | Security management 네트워크의 접근통제, 방화벽과 같은 침입제어시스템들로 관리 |
| 계정관리 | Accounting management 과금을 통해 네트워크 자원에 대한 사용자 접근통제 계정별 네트워크 이용량에 따른 요구부하 기능 |
*NMS의 꽃은 성능관리!! 시스템들의 상태정보를 수신받아 해당 장비의 상태 파악
NMS 장비 성능 관리 항목
성능관리는 각 장비의 시스템 상태정보를 수신 받아 해당 장비의 상태를 파악
- 관리대상 장비의 CPU와 메모리에 대한 사용률(평균값, 최대값) 측정, 분석
- 관리대상 장비성능을 장비별, 지역별, 기간별(시간별, 일별, 주간별, 월별)로 측정, 분석
- 장비 성능에 대한 임계치 관리 방식에 따른 정보체계 구축 및 관리
- IPS, IDS, F/W 장비의 S/W적인 문제(성능)은 배제
*장비자체의 성능 측정으로 제한하는 것, 소프트웨어 버그와 같은 애플리케이션의 문제는 고려대상이 아님
*S/W적인 문제는 SMS에서 관리해야할 문제
NMS&EMS
EMS(Element Management System)
- 장비 관리 시스템 또는 통신망 장비 관리 시스템
- 통신망 장비를 네트워크를 통해 감시 및 제어할 수 있는 시스템
- 동일 기종의 장비관리에 주안점을 두고 있음
NMS (EMS 전체) : 기관이 정한 요구사항 만족을 위해 네트워크 장비를 관리하는 시스템
EMS(각 단위별로) : 단위장비 집합을 관리하는 시스템
NE(Network Element) : 관리항목들(방화벽, IDS, IPS, Router, Switch, NAC 등)
=> 장비들을 어떻게 묶는가, 관리군을 어떻게 묶는가, 즉 장비들의 집합을 EMS라고 함
=> 회사가 EMS를 어떻게 구성하느냐에 따라 왼쪽 NE는 달라질 수 있음
=> NE는 물리적 분류, EMS는 논리적 분류
=> MIB - Agent 부분을 프로그램으로 보면 됨. 이 agent가 왼쪽에 있는 관리항목에 각각 설치됨. 각 장비에 맞는 agent 설치
NMS 정리
- 대상: 네트워크 장비(라우터, 보안장비 등)
- 관리 항목: 구성(환경설정, 장비초기), 성능(시스템 사용 중), 장애(시스템 사용 중), 보안(시스템 사용 중), 계정(과금)
- 중앙집중체계 : 중앙에서 정책을 뿌리고, 중앙에서 각 장비의 로그를 받아서 로그를 보고 성능 측정, 과금 부여를 하는 등 작업 진행
SMS(Server Management System, 서버 관리시스템)
이기종 다양한 서버들의 성능/장애 통합 감시 및 조치
서버급 운영체제 뿐만 아니라 각종 애플리케이션 성능 체계를 관리해주는 것
- pc, 운영체제, web, dns, storage, db, server...
=> agent 프로그램이 각 시스템에 설치되어 있어야함
SMS 기능
| 서버 성능 종합 모니터링 |
- 사용자가 변경 가능한 서버 종합 요약 정보 제공 - 지역별/그룹별/업무별 서버 운영상태 종합 모니터링 - CPU, 메모리, 디스크 사용률, 프로세스, 네트워크 트래픽, 디스크 I/O 등의 성능을 실시간으로 감시 |
| 서버 성능 데이터 분석과 예측 |
- 다양한 관점의 성능 자원에 대한 실시간 흐름 상호 비교 분석 기능 - CPU, Memory, Disk, Disk I/O, Process, Session 등 - 성능 항목 간 관계성 확인 및 분석 정보 제공 - 수집 성능 정보에 대한 최소, 최대, 평균값에 대한 이력관리 기능 제공 |
| 과부하 프로세스 감시와 제어 |
- 서버에 운영 중인 모든 프로세스 리스트 모니터링 - 프로세스 종료 및 구동 우선순위 변경 기능 - 서비스 프로세스의 동작 상태/개수, 사용 서비스 포트 관리 기능 - 중요 프로세스에 대한 시작, 중지 스크립트 기능 |
| 애플리케이션 로그와 서비스 포트 감시 |
- 애플리케이션 로그 및 서비스 포트를 이용한 장애 여부 확인 기능 - 장애 사항에 대한 이력화 및 분석 자료 활용 - 그룹, 이벤트 등급, 필터링 로그, 그룹별 로그 발생 현황 정보 제공 |
| 비인가 사용자 차단과 통제 |
- 서버 별 접속 사용자, 패스워드 변경, 불법사용자 현황 등 강화된 서버 보안관리 기능 - 접근 권한 및 패스워드 정책을 통해 불법사용자에 의한 시스템 접근 및 정보 유출을 방지 |
NMS는 인프라나 보안 관리자가 사용하는 것(CPU, Memory 관리 등) | 망 구성 항목들 (ex.Router, 방화벽 등)
SMS는 end User(ex. PC)들이 사용하는 것 | 사람이 끼고 관리 해야하는 것
ESM(Enterprise Security Management, 통합보안 관제 시스템)
ESM = (NMS + SMS)
- 네트워크 장비와 서버를 통합하여 관리하는 시스템
*Advanced ESM ==> SIEM => Spluck
*SIEM이라는 기능을 가진 solution이 있는데, 그중 Splunk 사용
- 기업 보안관리 시스템(통합보안 관리 시스템, 전사적 보안관리 시스템)이라고 함
- 다양한 보안 솔루션을 하나로 모은 통합 보안 관리시스템
- 다양한 보안 장비에서 발생하는 로그, 보안 이벤트를 통합적으로 수집, 관리, 분석, 통보 대응 및 보안 정책을 관리
=> 관리대상에는 각각의 agent가 설치되어 있어야하는데, 이제는 각 장비에 ESM agent가 설치됨
=> 통합된 하나의 agent 설치
=> 보안관리자콘솔에서 정책을 만들어 ESM Manager에 설정하여 저장해놓으면 그것을 각 agent가 배포를 하게 됨
=> 각각 관리대상에서 보낸 정보는 Repository에 저장되고, 콘솔에서는 저장소에 저장된 정보들을 보고 새로운 정책 배포
ESM 구조
| Agent | - 관리 대상 보안 장비(보안장비, 시스템장비, 네트워크 장비)에 설치 - 사전에 정의된 규칙에 의한 이벤트 수집 및 보안 정책 반영 - 정책에 따른 로그 및 이벤트 데이터를 수집하여 ESM manager에 전달 |
| Manager(Engine) | - ESM agent에 의해 수집된 데이터 분석및 저장 - 분석 결과를 ESM Console에 전달 |
| Console | - ESM Manager에 의해 전달된 정보의 시각적 전달, 상황 판단 및 리포팅 기능 제공 - ESM Manager/Agent에 대해 규칙을 제어/통제 수행 |
* manager는 관제 시스템에서 snort rule 만들었던 것, console은 모니터링했던 sguil이라고 생각하면 됨
* manger는 백그라운드로 돌아가는 프로세스라고 보면 되고, console은 포그라운드
ESM 기능
- 서로 다른 기종의 보안 장비들을 통합 관리 기능
- 네트워크 자원 현황을 모니터링하는 보안 모니터링 기능
| 성능관리정책 설정 => manager manager는 이것을 agent에 배포 각 agent는 정책에 맞는 로그들을 manager에게 전달(manager의 저장소에 저장) |
=> 저장소에 저장된 로그를 통해 관리자는 대응방안마련(실시간 대응), 새로운 정책 수립(사후 관리 대응)을 함
SIEM(Security Information & Event Management)
- 기업 정보에 대한 종합 관제 솔루션
- ESM의 진화된 형태
- SIEM이나 ESM이나 기능상 차이점은 없음
- HP 아크사이트(AreSight), IBM 큐레이더(Qrader), Splunk 등이 널리 쓰임
| ESM | SIEM | |
| 수집·분석 | - 이벤트급 - Event 위주 단시간(최대 1일) 위협 분석 - RDBMS 기반 상관분석 및 리포트, 중앙처리구조 - 초당 3천건 내외 수집/분석 포함 |
- 빅데이터급 - 빅데이터 수준의 장기간(수개월) 심층분석 - Indexing, MapReduce 등 빅데이터 처리기반 상관 분석 및 리포트 - 초당 3만~5만건 이상 수집/분석 => RDBMS 기반의 처리 속도 지연 극복 |
| 하드웨어 | 고가의 유닉스 서버 시스템 | 저가의 리눅스 x86 시스템 |
| 시각화 | 대시보드, 정형보고서 제공 | 대시보드, 정형보고서, 사용자보고서, 시각화보고서 제공 => 다양한 Report 제공 |
| 사용자 | 보안관리자, 관제 요원 위주 | - 보안관리자, 관제요원 - 각 업무시스템별 담장자 - 개인정보보호담당자·대외 서비스 담당자 |
| 정의 | 기업내 다양한 보안시스템을 관제·운영·관리하여 중앙에서 통합적으로 보안 현황을 모니터링하는 시스템 | 기업 내에서 발생하는 모든 자원의 정보 및 보안 이벤트를 통합관리 => 장애처리 관점에서 운영 및 심층분석, 규제 준수 관점으로 확대 |
| 수집·저장 | - 정형데이터 기준, 원본로그 보관X - 수집 데이터 보존기간 : 1~2개월 |
- 정형/비정형데이터 수용, 원본로그 보관 - 수집 데이터 보존기간 : 1년이상 => 광범위 데이터 처리 및 장기간 보관 |
| 위협탐지 | - IP, Port 등 시그니처 중심의 네트워크 계층 탐지 - 단순 패턴 기반 탐지 - 알려진 공격 위주 분석 - 단시간(최대1일) 범위 분석 |
- IP, Port 외 애플리케이션, 프로토콜 등 연관성 분석/탐지 - APT 등 알려지지 않은 공격 및 공격 간의 연관성 분석, 정상상태에서의 정보위협 분석 - 장시간(수개월) 범위 분석 => 심층분석, 연관분석 지원 |
=> SIEM은 정형, 세미정형뿐만 아니라 비정형 데이터(로그)까지 분석할 수 있음
정형 vs 세미정형 vs 비정형
- 정형데이터 : 표 형식으로 구조화된 데이터 ex) 엑셀 스프레드시트, 데이터베이스의 테이블 등
- 세미정형데이터 : 정형과 비정형 중간에 위치하는 데이터, 일정한 구조는 있지만 완전한 테이블은 아닌 스키마가 유연하게 조정될 수 있는 데이터 ex) XML, HTML, JSON, YAML 등
- 비정형데이터 : 구조가 없거나 일정한 형식이 없는 데이터 ex) 텍스트, 이미지, 오디오, 비디오 등
SIEM을 이용한 관제 시스템
● 1세대 단위보안관제
- Perimeter Security
- 단위보안 솔루션 모니터링
● 2세대 통합보안관제
- Data Security
- 관제 범위 확대
- ESM 기반 보안관제
● 3세대 빅데이터보안관제
- Trust Security
- 빅데이터 기반 관제
- SIEM 기반 보안관제
● 4세대 차세대보안관제
- Zero Trust
- 머신러닝(AI) 기반 이상 행위 탐지
- SOAR 기반 자동화대응
- 위협정보 관제 연동
SIEM 기능
● 다양한 이기종 장비에서 발생하는 로그를 통합 수집하고 분석
● 로그 분석을 통해 각종 공격과 정책 위반을 탐지와 경고
1) SIEM 탐지기법: 시그니처 탐지기반과 이상행위 탐지기법 모두 활용
2) 정책 위반을 탐지하면 곧 경고를 생성하고 보안담당자에 통보
* 보안 이상 징후가 발생하는 즉시 탐지하는 실시간 대응이 어려움
3) 경고를 발생시키는 정책은 기업이나 기관의 관심사안에 따라 다름
4) 경고는 중요도를 부여할 수 있어야 하며 중요도에 따라 향후 상세 분석 여부 결정
● 보고서 생성(로그를 보고서로 변환) ex. 얼마나 많은 접속이 발생했는가? 가장 많은 접속을 일으키는 것은 무엇인가?
[추가복습]
IDS 종류
- NIDS : 특정망을 관제
- HIDS : 특정 호스트의 관제
관제방법
- 시그니처 탐지기법은 관제룰을 기반으로 탐지
- 이상행위 탐지기법은 통계치를 기반으로 탐지
관제 대응방법
- alert: 관리자에게 경고(실시간대응, 침해대응), 로그로 남기기(사후대책)
IDS와 SIEM의 차이
=> IDS는 실시간 트래픽 수집/분석, SIEM은 로그 수집/분석 => 기록파일
=> 로그는 시간정보, 호스트정보, 프로세스정보로 구성 / 실시간 트래픽은 MAC/IP address, data로 구성
=> 트래픽을 통해 로그가 생성되는 것임
=> IDS는 관제 룰 명령어에 익숙, SIEM은 로그분석 명령어에 익숙
SIEM 구조
application, cloud, database, server, security solution, traffic data 로그를 수집하고 분석하고, 그들 간에 상호연결관계를 파악해서 이미지로 보거나 리포트로 작성하거나 새로운 정책을 수립하기도 함
ex.
웹 로그 수집 => 분석 => 직원이 많이 방문하는 사이트 평가(top10) => a사이트를 개방해야겠군 또는 왜 a 사이트를 방문하는가를 파악(이상징후 파악)
SIEM 개략적 처리 프로세스
로그수집(colletion)
관제 대상의 Agent, SNMP, Syslog 서버로부터 로그 수집
로그 정규화(normalization)와 필터링(filtering)
- 수집한 이벤트나 플로우 데이터를 데이터베이스에 저장하기 위해 일정한 형태로 변환 필요
- 정규화 과정에서 불필요한 데이터 필터링 수행
로그분류
- 정규화된 로그들을 일정한 클래스로 분류
- 정형, 세미정형, 비정형 또는 HTTP, DNS, FTP 등으로 분류
상관관계분석(Correlation)
- 동기종 또는 이기종의 여러 보안 솔루션에서 발생하는 로그 패턴 간에연관성 분석
- 로그들 간에 상호연관 분석을 함으로써 실시간 보안 위협을 파악하고 대응
정책 위험 탐지
- 로그를 분석해서 보호 대상의 전산 환경에 발생하는 문제와 공격과 정책의 위반 탐지
- 탐지는 설정한 규칙이나 조건에 맞을 때 발생(시그니처)
- 탐지 규칙은 임계값을 초과하거나 통계 기반의 사용자 행위를 분석하는 방법이 있음(이상행위)
알림(Alert, 경고)
- 경고란 보안 담당자의 검토가 필요하다는 의미
- 정책 위반을 탐지하면 곧 경고가 생성하고 보안 담당자에게 통보
- 경고를 발생시키는 정책은 운영하는 기업이나 기관의 관심 사안에 따라 다름
- 경고는 중요도를 부여할 수 있어야 함
- 중요도는 해당 경고를 향후 상세 분석을 할 것인지를 결정하는 기준으로 사용
대시보드(보고서)
로그는 보고서 또는 대시보드로 변환될 수 있음
▶ 얼마나 많은 접속이 발생했는가?
▶ 가장 많은 접속을 일으키는 호스는 어떤 것인가?
▶ 가장 많은 데이터를 인터넷으로 전송한 호스트는 무엇인가?
▶ 해당 호스트를 사용하는 사용자는 누구인가?
SIEM 정리
1단계. 로그 수집, 정규화(일반화), 필터링
2단계. 로그분류, 분류한 로그들 간의 상관관계 분석, 위험탐지(시그니처, 이상징후)
3단계. 알림
4단계. 기록(보고서, 대시보드)
데이터 유형, 수집/분석량
ESM은 정형데이터 위주의 수집/분석 (초당 3천 건 분석 | 하루 단기)
SIEM은 정형, 비정형, 세미정형 데이터의 수집/분석 (초당 3만 건 분석 | 6개월 장기)
4세대는 SOAR라는 자동화 대응기법을 사용하게 됨. 머신러닝 기반
Network Maintenance Tools
- SIEM을 운영하기 위한 프로토콜
각 시스템들 간에 시간대가 동일해야함. 그래야 각각의 시스템에서 보낸 로그가 신뢰성이 높음. 시스템들이 모두 같은 시간대를 갖게 해야하는데 그것이 NTP!!
NTP(Netwrok Time Protocol)
네트워크 장비들의 시간을 동기화시키기 위해서 Time Server와 장비들 간에 통신하는 프로토콜(UDP port #123)
=> 각 프로토콜의 포트번호를 알고 있어야함. NTP는 방화벽을 열어놔야 하는데 NTP 서버들은 123 포트를 열어놔야함
NET Version
=> Version 1 : RFC 958 / - Version 2 : RFC 1305
=> SNTP(Simple Network Time Protocol) : NTP version 3이 적용된 NTP
SNMP(Simple Network Management Protocol)
- IAB(Internet Activities Board)에서 개발한 Network 관리 프로토콜
- 네트워크의 중앙 집중화된 관리 목적이며 네트워크 관리 표준 프로토콜로 지정(중앙관제 가능한 네트워크 프로토콜)
- 초기에는 TCP/IP 네트워크를 관리하기 위해 설계
- 비TCP/IP 장비를 포함한 어떤 형태의 네트워크 트래픽도 관리가능하고 모니터링 가능
- 현재까지 버전 3까지 세 가지 버전이 만들어졌으며, 각 버전의 차이는 보안성
SNMP 기능
- 네트워크 구성관리 : 어떤 구성이 되어있는지 확인
- 성능관리 : 네트워크 사용량, 처리속도, 오류율
- 장비관리 : CPU/Memory/DISK 사용량
- 보안관리
SNMP Manager와 Agent 간 통신
Get Request : manager가 "나 이런 로그 좀 보내줄래?"라고 요청.
Get Response : manager가 요청한 로그들을 반환
구조 : 로그 요청 -> 로그 반환 / 162번으로 나가고 161번으로 들어옴
Set Request : "이런 로그를 좀 기록해!!"라고 요청(명령)
Set Response : 응답
Trap : 이상 징후가 발생하면 manager가 요청하지 않아도 알려줌
SNMP 구성요소
- SNMP : 전송 프로토콜
- MIB : 관리되어야 할 객체들의 집합
- SMI(Structure of Management Information) : 관리방법
SNMP manager / 각 관제대상에는 Agent가 설치되어 있음
1. manager가 정책을 셋팅(어떤 로그를 기록해! 라는 정책 셋팅)
2. agent를 통해 배포
3. MIB은 정책을 부여한 것들에 대한 값을 저장(저장소) / manager가 알고 싶어하는 로그들을 저장해놓음
4. manager가 get하면 MIB에 저장되어 있는 값들이 전송됨
MIB(Mangement Information Base, 밉)
● 관리자가 조회하거나 설정할 수 있는 객체들의 데이터베이스
*객체?? Node를 구성하고 있는 구성항목들이 객체임. 예를 들어 CPU, IP, TCP, UDP 등
● SNMP가 관리해야할 네트워크 요소들을 분류한 것으로 트리 구조를 가짐
● MIB 객체 종류: SNMP, System Interface, AT(Address Translation), IP, ICMP, TCP, UDP 등
4) OID(Object Identifier)
Manager : 1.3.6.1.4.1.9.2.1.1.58 정보를 줘(get)
=> 파란색 번호가 OID
=> MIB은 OID를 기반으로 정보들을 기록
- 계층을 차례대로 따라 내려온 것이 고유한 OID가 되며 이를 IANA에서 관리하고 있음
- 자신의 특정 객체에 대한 OID를 얻고 싶다면, 등록하여 부여받을 수 있음
- system의 경우 OID는 1.3.6.1.2.1.1임을 알 수 있음
5) SNMP Manager와 Agent가 일치해야하는 사항
Community name : Public/Private
=> Agent1은 Manager2에게만 로그를 넘겨줌
=> Community name은 패스워드라고 할 수 있음
6) Agent로부터 얻은 정보
=> 14번(IP Address)이라는 node에게 OID number에 대한 객체정보를 달라고 요청
=> community(public/private) 입력 -> 비밀번호 같은 것
SNMP 정리
SNMP => 중앙관제(관리)
- Manager : UDP 162
- Agent : UDP 161
SNMP 주요 명령어 : set / get / trap
- set 이런 값을 기록해라고 설정
- get 이 정보를 나에게 줄래?
- trap agent가 manager에게 요청하지 않은 정보를 넘겨주는 것
MIB : OID를 기준으로 객체들의 상태정보를 저장하는 데이터베이스
* 객체 : 프로세스 정보(TCP, UDP, IP, ICMP), 인터페이스의 상태정보(IP address, 대역폭, 지연, 비용), CPU 정보
Manager와 Agent 사이에는 Community string이 일치해야함
Syslog
- 시스템 에러 메시지나 디버깅 정보를 처리하는 서비스
=> 서비스에 트러블이 발생했을 때 서버나 네트워크 기기의 로그(기록)를 확인함으로써 언제 어떤 기기에 어떤 현상이 발생했는지를 정리
- Syslog 서버를 구축 시 로그를 수집하여 일원 관리할 수 있음
로그관리
- 로그확인 (ex.Ubuntu에 설치된 시스템에서 로그저장 위치, 저장된 로그 유형/종류 => 설정 => syslog)
- syslog : 한 시스템에 저장되는 로그들의 유형, 위험성 분류, 저장 위치를 설정
로그 Package : syslog / rsyslog
로그를 중앙집중적으로 관리하는 패키지
=> 응용프로그램 중에서도 레벨이 N인 것만 로그파일로 저장할거야 / 화면으로 출력할거야 / 외부서버로 내보낼거야 등을 지정
=> "커널이 다운되었다면 관리자 콘솔에도 보내고, 중앙관제 서버에도 보내" 이런 방법으로 지정
=> 단순하게 로그파일로 뽑을 수 있고, 관리자 콘솔에 뿌려줄 수도 있고, 외부서버로 내보낼 수도 있음
=> 중앙관제에서 SNMP를 이용할 수도 있지만, Syslog라는 것을 사용할 수도 있음
SNMP vs Syslog/Rsyslog
=> 공통점 : 중앙관제 서버에게 로그를 넘겨줄 수 있음
=> SNMP는 요청하면 정보를 넘겨줌. 중앙에서 정책을 만들고, 정책에 맞게 로그들을 저장
=> Syslog는 로컬에서 스스로 정해서 중앙으로 로그를 보냄. 중앙관제에서 요청한 것이 아님
Wireshark
- 패킷 스니핑(sniffing) 또는 프로토콜 분석(protocol analysis) 툴
- 네트워크를 통해 전달되는 데이터를 수집하고 해석
TCP/IP protocol stack
7계층 : HTTP, DNS, SSL
4계층 : TCP, UDP
3계층 : IP, ARP, ICMP, ARP, RARP
2계층 : 이더넷 프레임
TAP(Test Access Ports)
- 데이터 흐름의 중단 없이, 네트워크에 전혀 영향을 주지 않으면서 트래픽을 모니터링할 수 있게 해주는 모니터링 장비
- 최근 네트워크 탭은 스위치처럼 12포트, 24포트가 있어 많은 수의 장비를 동시에 사용가능
Network TAP
=> Network TAP은 한 포트로 들어오는 정보를 그대로 넘겨주면서, 관제시스템에도 복사해서 보내주는 방식
=> TAP은 휴대용 탭이 아닌 스위치나 허브처럼 생긴 탭이라고 생각하면 됨
- Network상의 In-Line 한 구간에 이동하는 Packet Data를 복사하여 Monitor 장비로 보내주는 역할을 하는 가장 기본적인 TAP
- UTP TAP, Fiber TAP, WAN용 TAP의 종류가 있음
Aggregation TAP
관제 대상은 A,B
=> A 집단에서 발생하는 트래픽은 IDS/IPS(A)로, B 집단에서 발생하는 트래픽은 IDS/IPS(B)로 넘겨줌
=> 탭 자체가 트래픽을 분류해서 넘겨주는 것(그룹핑 기능)
- 1개 이상의 Network Links 또는 Ports에서 수집한 Packet Data들을, 1개의 NIC를 사용하는 Monitor 또는 그 이상의 여러 Monitor 장비로 보내 분석할 수 있게 해주는 TAP
ByPass TAP
ByPass TAP은 Network TAP과 다름.
Network TAP은 동시에 트래픽을 보내주기 때문에 탐지 X (ONLY 관제)
ByPass TAP은 일단 트래픽을 IDS/IPS(차단기, 관제사) 쪽으로 가게 함(유해 트래픽 차단 O)
=> IDS나 IPS 자체에 문제가 있으면 안되기 때문에 TAP하고 IDS/IPS 사이에 hear bit를 보냄.(이상유무 체크)
=> IDS/IPS가 망가지면 여기를 경유(우회)하지 않고, 직진
=> ByPass TAP 자체가 문제가 있으면, TAP이 스위치로 변환되어 경유(우회) 없이 직진
포스팅 이미지는 SK쉴더스 루키즈 16기 클라우드기반 시스템 운영/구축 실무 과목에서 제공된 자료입니다.