인프라 내의 TIM 삽입 위치는 수집되는 정보에 영향을 줍니다.
TIM은 모니터링 인터페이스를 통해 네트워크 트래픽을 읽습니다. 이전 단원에서 설명한 대로 모니터링 인터페이스는 미러링된 포트에도 연결할 수 있고 네트워크 탭에도 연결할 수 있습니다. 두 경우 모두 TIM은 해당 패킷의 복사본을 수신하여 분석하고 삭제합니다. TIM은 모니터링 포트에서 전송하지 않습니다. 트래픽은 TIM으로 향하는 단방향 트래픽이고 TIM은 모니터링 포트의 패킷만 수신하도록 구성되어 있습니다.
대규모 엔터프라이즈의 일반적인 네트워크 인프라에는 TIM 모니터링 포트를 삽입할 위치가 많습니다. 다이어그램에는 다양한 삽입 위치가 나와 있습니다.
참고: 대부분의 환경에서는 중복 인프라를 사용하지만 이 다이어그램에서는 단순화를 위해 경로를 하나만 보여 줍니다.
왼쪽에서 오른쪽으로 다이어그램을 살펴보면 패킷은 인터넷 라우터를 통해 엔터프라이즈로 들어옵니다. 삽입 위치 A는 라우터 외부, 즉 인터넷과 라우터 사이에 있습니다.
이 라우터는 일반적으로 트래픽을 방화벽에 전달하고 삽입 위치 B는 라우터와 이 방화벽 사이에 있습니다. 방화벽은 인바운드 및 아웃바운드 트래픽을 검사하고 엔터프라이즈의 보안 정책에 따라 트래픽을 차단하거나 수락할 수 있습니다. 방화벽이 NAT(Network Address Translation)를 수행하여 인터넷에 대한 직접 연결로부터 엔터프라이즈의 네트워크 연결 장치를 보호할 수도 있습니다.
참고: 경우에 따라 집계 스위치와 네트워크 부하 분산 장치가 동일한 장치에 들어 있기도 합니다.
삽입 위치 C는 방화벽과 집계 스위치/네트워크 부하 분산 장치 사이에 있습니다. 수락 가능한 트래픽은 방화벽에서 집계 스위치/네트워크 부하 분산 장치로 전달됩니다. 집계 스위치/네트워크 부하 분산 장치가 SSL 세션을 종료하고 클라이언트가 연결할 VIP(가상 IP 주소)를 인스턴스화할 수 있는 경우가 많습니다. 많은 집계 스위치/네트워크 부하 분산 장치는 프록시 역할을 하면서 클라이언트로부터 시작된 연결을 종료하고 클라이언트 대신 웹 서버에 연결합니다. 일부 집계 스위치/네트워크 부하 분산 장치는 웹 서버에 대한 영구 연결을 설정하고 사용하여 웹 서버에 걸리는 부하를 줄입니다.
집계 스위치가 패킷을 네트워크 부하 분산 장치에 전달하는 경우가 많습니다. 삽입 위치 D는 집계 스위치와 네트워크 부하 분산 장치 사이에 있습니다.
마지막으로 웹 서버가 집계 스위치에 연결되거나 네트워크 부하 분산 장치에 바로 연결됩니다. 삽입 위치 E는 웹 서버 바로 앞, 집계 스위치와 웹 서버 사이에 있거나 네트워크 부하 분산 장치와 웹 서버 사이에 있습니다.
패킷은 반대 경로를 따라 엔터프라이즈에서 나가면서 역순으로 각 삽입 위치를 통과합니다. 패킷이 한 경로를 따라 들어왔다가 다른 경로를 따라 나가는 삼각형 구조도 가능합니다. 또는 패킷이 웹 서버에서 나가 인터넷으로 바로 이동할 수도 있습니다.
인터넷과 인터넷 라우터 사이에 있는 삽입 위치 A는 클라이언트 IP 주소에서는 항상 표시되지만
서버의 IP 주소나 MAC 주소에서는 거의 표시되지 않습니다. CA CEM의 제외 기반 관계 검색 메커니즘에서는 문제 해결 속도를 높이기 위해 웹 서버의 IP 주소나 MAC 주소를 사용하여 수집되는 증거 집합을 제한합니다. 이 정보가 없을 경우 증거 수집이 계속해서 작동하지만 증거 집합이 줄어들지 않으며 기술자가 분석해야 하는 정보가 제외 기반 검색을 사용할 경우보다 더 많습니다.
TIM이 클라이언트 IP 주소를 사용자 식별에 사용하지 않으므로 삽입 위치 A를 사용할 경우 장점은 별로 없고 단점은 많습니다.
인터넷 라우터와 방화벽 사이에 있는 삽입 위치 B는 클라이언트 IP 주소에서는 거의 항상 표시되지만
서버의 IP 주소나 MAC 주소에서는 거의 표시되지 않습니다. CA CEM의 제외 기반 관계 검색 메커니즘에서는 문제 해결 속도를 높이기 위해 웹 서버의 IP 주소나 MAC 주소를 사용하여 수집되는 증거 집합을 제한합니다. 이 정보가 없을 경우 증거 수집이 계속해서 작동하지만 증거 집합이 줄어들지 않으며 기술자가 분석해야 하는 정보가 제외 기반 검색을 사용할 경우보다 더 많습니다.
TIM이 클라이언트 IP 주소를 사용자 식별에 사용하지 않으므로 삽입 위치 B를 사용할 경우 장점은 별로 없고 단점은 많습니다.
방화벽과 집계 스위치 사이에 있는 삽입 위치 C는 클라이언트 IP 주소를 파악할 수 있는 가시성을 거의 항상 제공합니다. 삽입 위치 C는 서버의 IP 주소를 파악할 수 있는 가시성을 거의 제공하지 않습니다.
TIM이 클라이언트 IP 주소를 사용자 식별에 사용하지 않으므로 삽입 위치 C를 사용할 경우 장점은 별로 없고 단점은 많습니다. 일부 환경에서는 삽입 위치 A와 B에 비해 삽입 위치 C가 미미한 이점을 제공합니다.
집계 스위치와 네트워크 부하 분산 장치 사이에 있는 삽입 위치 D는 클라이언트 IP 주소를 파악할 수 있는 가시성을 제공하는 경우가 많습니다. 이렇게 하려면 프록시 역할을 하고 있는 네트워크 부하 분산 장치에서 "원본 주소 유지" 기능이 사용되도록 설정해야 합니다. 삽입 위치 D는 서버의 IP 주소를 파악할 수 있는 가시성을 거의 항상 제공합니다.
네트워크 부하 분산 장치가 영구 연결을 사용하는 경우 TIM이 여기에 위치하면 TIM에 걸리는 부하가 감소합니다. 부하를 줄이는 것은 열린 연결의 감소 정도에 따라 크게 달라질 수 있습니다. 네트워크 부하 분산 장치가 클라이언트를 대신하여 SSL을 종료하는 경우 트래픽을 다시 암호화하지 않으면 거의 항상 TIM에 걸리는 부하가 상당히 더 줄어듭니다.
Resonate 등의 일부 부하 분산 환경에서는 MAC 주소로 서버를 식별할 수 있지만 많은 환경에서 반환되는 서버 IP 주소와 서버 MAC 주소는 네트워크 부하 분산 장치 VIP(가상 IP 주소)의 서버 IP 주소와 서버 MAC 주소입니다.
TIM이 서버 IP 주소를 증거 수집에 사용하므로 삽입 위치 D를 사용할 경우 장점은 상당하지만 단점은 사실상 없습니다. 삽입 위치 D는 TIM에 대한 기본 설정 삽입 위치입니다.
네트워크 부하 분산 장치와 웹 서버 사이에 있는 삽입 위치 E는 클라이언트 IP 주소를 파악할 수 있는 가시성을 제공하는 경우가 많습니다. 이렇게 하려면 프록시 역할을 하고 있는 네트워크 부하 분산 장치에서 "원본 주소 유지" 기능이 사용되도록 설정해야 합니다. 삽입 위치 E는 서버의 IP 주소를 파악할 수 있는 가시성을 거의 항상 제공합니다.
네트워크 부하 분산 장치가 영구 연결을 사용하는 경우 TIM이 여기에 위치하면 TIM에 걸리는 부하가 감소합니다. 부하를 줄이는 것은 열린 연결의 감소 정도에 따라 크게 달라질 수 있습니다. 네트워크 부하 분산 장치가 클라이언트를 대신하여 SSL을 종료하는 경우 트래픽을 다시 암호화하지 않으면 거의 항상 TIM에 걸리는 부하가 상당히 더 줄어듭니다.
TIM이 서버 IP 주소를 증거 수집에 사용하므로 삽입 위치 E를 사용할 경우 장점이 상당합니다. 그러나 삽입 위치 D에 없는 일부 단점이 삽입 위치 E에 있습니다. 많은 웹 서버가 있을 수 있으므로 삽입 위치도 많을 수 있습니다. 따라서 탭을 삽입 위치 E에 사용하는 것이 실용적이지 않을 수 있습니다.
포트 미러링을 사용하는 경우에는 삽입 위치 D와 삽입 위치 E의 기능이 같습니다. 대개의 경우 VLAN(가상 LAN) 스패닝만 수행하면 삽입 위치 E를 사용할 수 있습니다. 삽입 위치 D에 대해서는 간단한 포트 미러링으로 충분할 수 있습니다.
|
Copyright © 2013 CA.
All rights reserved.
|
|