본문 바로가기
SecOps/1. 보안시스템 운영

[네트워크] LPB(Network Packet Broker)를 활용한 보안시스템 가용성 확보

by 행태정보수집가 2024. 9. 20.

※ 블로그 운영자의 개인적인 의견입니다. 팩트와 글의 내용이 다를 수 있습니다.

서론

NPB(Network Packet Broker)는 생소한 솔루션일 것이다. (독자도 처음들어 봤다.) 보안 장비도 아닐 뿐더러, NPB는 네트워크 패킷을 집계, 필터링 및 처리하도록 설계된 솔루션이기 때문이다. (네트워크 패킷 분배기라고 생각하면 된다.) 독자의 조직에서는 네트워크 상에서의 패킷을 미러링하여 서로 다른 네트워크 보안장비에 데이터를 전달하기 위해 NPB를 운영하고 있다. 대표적인 미러링 목적지는 Network IPS 이다. IPS는 외부에서 사내로 이동하는 모든 패킷에 대해 위협 분석/탐지/차단 기능을 제공하는데, 각 기능마다 서로 다른 환경에서 작동하기에 NPB를 활용하여 서로 다른 환경에 필요한 데이터를 필터링하여 제공한다. 뿐만아니라 ERP에서 네트워크 로그 수집을 하기위해서도 운영되고 있다.

 

Part 1. 네트워크 구조

구축은 Out-Of-Band 되어 있다. 독자가 구축한건 아니라서, OOB로 구축한 이유는 잘 모르지만 Inline 구축과 기능이 조금은 다르다고 한다. Inline 구축 시, NPB 장비가 장애 발생한다면 네트워크 전 범위 장애로 이어질 수 있다.

[대충그린 NPB 네트워크 구조]

만들고 보니 진짜 대충 그렸다. 하지만 가장 완벽하게 표현한 것 같다. NPB의 주 기능은 다양한 네트워크 장비로부터 패킷을 미러링하고 타 시스템으로 데이터를 전달하는 것이다. 정말 단순한 장비라고 느껴진 이유는 도착지에서 목적지로 데이터를 Rule에 따라 전송한다. 논리는 간단하지만 기능은 생각보다 많이 가지고 있었다.

 

Part 2. 기능

Load Balancing

Node간의 신호처리 피크와 목적지 시스템의 성능에 따라 Load Balancing하여 데이터를 전달한다. 클러스터링 Rule을 적용하여 시스템 성능에 따라 신호처리 피크의 량을 조절하면 된다. 어느정도 모니터링 기간이 필요하다.

 

Access Control

Rule에 따라 패킷을 차단하거나 허용한다. [목적지1] 로 가는 패킷은 1.1.1.1만 허용하고, [목적지2로]가는 패킷은 1.1.1.2만 허용하고 그 외 패킷은 [목적지3]으로 전달한다. 이와 같은 Access Control이 가능하다.

 

Deduplication

중복된 패킷을 제거한다. 시스템 규모가 커질수록 동일한 데이터가 많이 발생하는데, 이러한 중복 패킷을 제거함으로써 신호처리 피크 및 시스템 가용성을 확보할 수 있다. Deduplication 수치가 높을 수록 인프라가 불안정 한 것이며, 적절한 조치가 필요하다.

 

Network Management

NMS 정도의 성능은 아니지만, 네트워크 상의 데이터와 목적지 시스템의 성능을 모니터링하며 인프라 가용성을 확보할 수 있다.

 

Part 3. 운영

한번 정책을 설정해주면 장비를 크게 신경 쓸 일이 없다. 그 이유는 Out-Of-Band로 구축하기로 했고, 보안장비가 아니다보니 들여다볼 여력이 없기도하다. 장애 발생 이슈만 없다면 한달에 한번꼴로 정기점검이 있을때만 접속한다. 자주들어가서 확인해봐야하는데....

데이터 손실이 없는지만 주기적으로 모니터링해주자!

 

Part 4. 마무리

NPB를 운영하기 위해서는 NPB 인프라가 어떻게 구축되어 있는지 명확하게 알 필요가 있다. 주기적으로 모니터링이 필요한 장비이지만, Out-of-band에서 크게 정책은 변경해야할 일은 드물다. 그래도 정책을 변경하는 방법에 대해서는 인지하고 있자.

(솔직히 왜 보안팀에서 관리하는 장비인지 잘 모르겠음. 아마 미러링 하는 데이터의 90% 이상이 IPS로 이동되기 때문일 거라 판단함. 구축 목적도 IPS 미러링이였음.)

 

요약 

1. NPB는 보안장비는 아니지만 IPS 패킷 미러링을 위해 운영하고 있다. 

2. OOB로 구축했기에 정책 변경은 거의 없다고 보면 되지만, 구축 목적과 정책 변경 방법 등은 잊지 말자.

3. NPB를 조금 더 활용할 방법이 있는지 탐구해보자. 잘 접속해보지도 않지만... Log 수집 보안장비에서는 필수요소인거 같다.

 

 

'SecOps > 1. 보안시스템 운영' 카테고리의 다른 글

[EOS] 보안시스템 EOS에 따른 대응방법  (1) 2024.10.01
[EndPoint] 안티바이러스... 우리는 그것을 백신이라고 부르기로 했다.  (0) 2024.09.29
[EndPoint] DLP로부터 정보 유출 방지  (0) 2024.09.09
[EndPoint] 시스템접근제어로부터 서버와 클라이언트 보안  (0) 2024.09.05

관련글

티스토리툴바