이 포스트는 널널한 개발자님 강의를 참조하며 작성하였습니다.
Out of path 구조와 DPI 그리고 망중립
Out of Path의 또 다른 이름은 Sensor이다. 어떤 장치가 있다면 무언가 Sensing할 목적의 네트워크 장비를 두기 마련이다. 그래서 이 센서가 나올려면 패킷수집장치라는 것이 따라 다닌다. 이 수집장치라는것이 L2 port mirroring을 하는데 대표적인 장치로 L2 스위치가 이 역할을 한다.
📚 용어정리
L2 port Mirroring: 특정 포트에 센서를 두어서 이 포트에 Frame data를 copy한다.
이 미러링이라는게 전문장치가 존재하는데 Tab 스위치가 바로 그 전문장치이다. 이 Tab 스위치는 별거 없고 복사전문이다. 만약 포트가 8개가 있다하면 Tab 스위치는 이 포트 8개로 유입되는 프레임 데이터들을 다 복사한다.
Out of Path 구조로 되어 있는 것은 뭔가 분석 혹은 탐지할 목적이다. 그런데 분석, 탐지를 하기 전에 수집이라는 과정이 필요하고 이것을 악용하면 도감청이다. 그런데 이 애기가 왜 나왔냐면 아래의 이야기를 하기 위해서다.
예를 들어 우리가 www.abc.com을 입력하고 접속을 할때 이게 유해사이트면 유해사이트 차단 화면이 나오는 경우가 있는게 이것이 유해사이트인줄 어떻게 알고 어떻게 차단한것일까? 간단하다. 우리가 인터넷을 쓰게 되면 패킷이 out bound될 것이다. 그때 ISP수준에서 패킷을 모니터링하는데 트래픽을 다 읽어서 모니터링 하는데 그때 유해사이트 ip주소가 확인이 되면 ISP가 확인 후에 차단한다. 근데 우리가 전 포스트에서 이야기 했듯이 차단하는 것은 inline구조에서만 차단을 할 수 있다고 했는데 어떻게 차단할까? 접속하는 사이트를 보고 그 사이트를 센서가 ISP에 트랙픽이 올라오는 어느 지점에서부터 수집해서 Tapping해서 본다. 그래서 차단 사이트에 접속하려는게 확인되면 센서가 차단사이트인것처럼 www.abc.com의 서버보다 더 빨리 거짓 응답을 보낸다. 그래서 유해사이트 차단 내용을 우리는 볼 수 있게 되는 것이다. 그럼 여기서 다시 어떻게 센서가 이 트래픽들을 확인하고 차단인지 아닌지를 확인을 하는 것일까?
우리나라는 국가가 이런것을 통제할 수 있는 나라이다. L7 HTTP에서 스트림 데이터가 네트워크로 갈 때 Segmentation해서 그 조각을 패킷으로 단위화해서 보낸다. 이 패킷은 크게 header와 payload로 나눠지는데 좀 더 자세히 보면 header에는 IP header와 TCP header로 나눠지고 payload에 HTTP header와 payload로 나눠진다. 이 때 payload를 확인하는 행위를 DPI라고 하고 HTTP header를 확인하는 행위를 SPI라고 하고 우리나라는 SPI가 허용되어서 센서가 이것을 확인하고 유해인지 아닌지를 판별한다.
여기서 중요한것은 ISP는 어떤것은 차단하고 어떤것은 허용하고를 하면 안된다. 예를 들어 네이버는 접속할 수 있는데 유튜브는 차단해버리면 안되는 것이다. 이런것을 원칙으로 만든 것이 있는데 그것을 망 중립성 원칙이라고 한다. 예를 들어 어느 택배기사가 택배차에 있는 택배중에 유해물이 있는지 없는지를 확인하기 위해 택배를 다 뜯어서 확인하면 우리는 기분이 안 좋을 것이다. 내 개인적인 사생활이 침해되기 때문이다. 즉, 이렇게 예시처럼 DPI를 확인하면 사생활 침해로 위법행위가 될 수 있다.
위의 그림을 보면 Out of Path의 동작은 다음과 같다. NIC를 통해 데이터가 들어오면 Filter를 거쳐서 어느 프로세스의 2차메모리에 저장을 하고 수집해서 분석을 할텐데 여기서 아이러니한게 있다. 네트워크 속도는 2차메모리에 저장하는 속도보다 매우 빨라서 유실되는 데이터가 있기 마련인데 요즘 이것을 줄여 무손실 센서라고 하면 굉장히 비싸다.
예시를 들어 결론을 애기하면 packet이 자동차라하면 inline은 고속도로 톨 게이트이고 Out of path는 과속감지카메라다. 톨 게이트는 허용 차단을 할 수 있지만 과속감지카메라는 과속차량을 막지는 못하지만 저장해서 벌금을 청구는 할 수 있기 때문이다.
