보안장비 도입 관련해서 업무 얘기 하다보면 나오는 말,
인라인 구성인가요 미러링 구성인가요?
- Inline 방식
: 말 그대로, 네트워크 흐름 내 장비가 위치한다. 모든 트래픽이 해당 보안 장비를 물리적으로 거쳐서 다음 목적지로 전송이 되도록 구성하는 방식.
물리적으로 생각하면 해당 장비의 포트에 상/하단 네트워크 장비가 직접 연결되어 구성되는 방식
: 상/하단 장비와 동일 대역대에 위치하며 기능을 수행하는 포트에 IP 설정이 필요 없는 장비(동일 대역대에 위치하니까 2계층(데이터링크) MAC주소 만으로도 통신 가능한)
(+) 모든 트래픽이 장비를 거쳐가기 때문에 유실되는 트래픽이 없어 유해트래픽을 보다 정확하게 탐지하고, 차단, 제어하는 것이 용이
(-) 단점은 역시 모든 트래픽이 해당 장비를 한번 더 거쳐가기 때문에 네트워크 성능, 퍼포먼스가 저하될 우려가 있고 하드웨어 장애 발생 시 가용성에 영향 발생 -> 사전에 정확한 용량 산정 및 대역폭 확인 필요.
이에 따라 인라인 장비에는 서비스 장애 상황을 대비해 bypass(Fail-Over:이중화)기능이 필수적
- Mirroring 방식
: 인라인과 달리 모든 트래픽이 해당 보안장비를 거쳐 나가거나 들어오도록 구성되지 않고, 트래픽의 복사본을 가져가 장비 기능을 수행하도록 구성하는 방식
: 별도의 TAP 장비를 두거나, 네트워크 장비의 미러링 포트기능을 사용해 네트워크 장비 포트 중 하나를 미러링 포트로 설정, 나머지 포트를 통해 오가는 데이터를 미러링 포트를 통해 복사한다.
TAP 장비를 사용할 경우 물리적인 탭장비가 네트워크 장비에 연결되어 패킷 복제하기 때문에 미러링포트 기능에 비해 유실 가능성이 적음. 탭 장비는 장애 발생 시 자체 Bypass 기능도 지원하기에 서비스 영향도도 줄일 수 있음
(+) 가용성에 대한 영향이 적고, 보안장비의 존재를 숨기는 데에 용이
(-) 인라인모드에 비해 네트워크 패킷 부하가 클 경우 패킷의 유실 가능성이 있어 확실한 차단이 어려움(트래픽은 통신을 하고, 장비는 단순히 복사본을 받아오는 형태니까 실시간 차단이 어려움)
IDS와 같이 탐지를 목적으로 사용하는 용도의 장비는 미러링 모드,
IPS와 같이 차단을 목적으로 사용하는 용도의 장비는 인라인 모드를 사용
-참고-
https://run-it.tistory.com/40
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=yoodh0713&logNo=221558145702
https://ehdtn1219.tistory.com/86
-추가파악필요-
: 라우터 vs L3 Switch
https://catsbi.oopy.io/225439bd-ec84-4e16-aeca-0dfcb9954ea6
