크롬이 작동 중이라면 http통신(L7)를 하면 TCP/IP(L4)을 기반으로 수행한다. Socket->Stream, TCP-> Segment, IP->Packet, NIC->Frame이라고 연관지어 생각하면 좋다.
IP과 Driver사이에 Filter가 존재한다. 통과시켜준다면 Bypass라고 하고 통과되지 않았다면 Drop이라고 한다. 만약 통과에 대한 기능이 없는 단순히 감시를하는 용도로 IP와 Driver사이에 존재한다면, 이를 Sensor라고 한다. Sensor는 항상 Bypass를 하는 대신 데이터를 수집한다. Sensor로 구성된 프로그램은 Npcap이 있다. Sensor가 수집하고 있는 내용을 Wireshark가 청취하고 디코딩을 해준다. 그래서 Wireshark는 Analyzer 라고 설명하지만, 정보수집에 목적에 있어서 Sniffer라는 표현도 있다.
참고로 트래픽이 네트워크 쪽으로 나가게 된다면 Outbound라 하고 반대로 들어온다면 Inbound라고 한다.
라우터는 L3스위치의 일종이다. L3 스위치는 패킷을 들고 스위칭한다. 보통 하나의 라우터에 연결된 인터페이스는 두 개가 있다. NIC-> 네트워크 인터페이스 카드가 두 장이 있다는 뜻이다. 내부로 들어오는 것과 외부로 나가는 NIC 각각 하나씩 총 두개가 필요하다.
인라인 구조는 패킷이 1번 NIC를 통해 OSI 7계층을 uplink하고 다시 NIC에 downlink를 타고 외부로 빠져나간다. 이 과정에서 리소스가 많이 발생하기 때문에 하드웨어 수준에서 처리를 하는 것이 가장 좋으며 이를 가속했다라고 표현한다.
패킷 단위 데이터를 단순 전송하는 경우 라우터가 내부로 들어온 패킷을 외부로 내보낼 수도 있지만 다른 라우터로 보낼 수도 있다. 이 경우에는 IP주소 수준에서 Read를 통해 패킷을 내부로 읽은 뒤 Write를 통해 NIC를 선택해야한다. Read만 한다면 패킷이 Drop된다.
적정한 주소가 없어서 Drop되는 경우와 두번째, 패킷이 외부로부터 내부로 들어오는 경우에 Drop되는 경우가 있다.
인라인 장비들은 항상 결정을 내려서 Bypass 또는 Drop 처리를 해야한다. 단지 라우팅에 관련된 것만 한다면 라우터가 되는 것이고, 보안적인 이유로 사용한다면 방화벽이 된다. 라우터와 방화벽은 같은 L3 스위치의 일종이며 같은 내부구조를 가지고 있다.
네트워크의 장치에 대해 논할 때 inline의 방식으로 설치하는지 아니면 Out of path 구조인지에 대해서 고민해봐야한다.
게이트웨이에서는 라우터에게 1번 끝자리를 주는 경우가 많다. 라우터를 기준으로 내부/외부망을 나눈다. 여기서 라우터는 Inline의 구조를 갖고있다. Inline구조를 갖고있기에 Bypass를 할지 Drop처리를 할지 결정할 수 있다.
Distribution switch는 통과하는 패킷을 특정 포트로 Copy를 해주는데 이를 Port Mirroring라고 부른다. 보통은 리소스를 많이 차지하기 때문에 네트워크 측면에서 많이 사용하려 하지는 않는다. Port Mirroring은 Out of path구조로 설치됐는데, Sensor(Read Only)가 내부에 있다.
스위치에서 전송되는 데이터를 Copy(미러링)한 이유가 만약 장애가 있는지 확인하기위함이라면 장애대응 Sensor가 되며, 해킹인지 아닌지 식별하는에 대한 탐지체계라면 DPI -> NIDS가 된다.
Tab Switch는 Copy전용 스위치다. 패킷이 하나만 지나가도 포트의 갯수만큼 Copy하여 전송한다. 이때 전송한 복사본이 Sensor에 어떤 기능에 사용될지는 설계자 마음이다.
정리를 하자면 Inline으로 인스톨 되면 Bypass/Drop이 다 되고, Out of path로 하면, sensor를 이용하며 Read only의 특성을 갖고있다.