트렐릭스 사의 (Trellix) 보안 제품 NX 에서 가장 핵심이 되는 기능은 악성 트래픽 차단입니다. 여느 때처럼 초기 구축을 하는데 NX의 핵심 기능인 악성트래픽이 차단되지 않았던 장애를 겪은 적이 있었는데 그것을 어떻게 해결 했는 지를 소개하려 합니다.
NX를 사용하는데 악성트래픽 차단이 안되는데 어떻게 해결을 해야할까요?
먼저 원인을 파악해봅시다. 일반적으로 기업 혹은 공공기관 등은 보안, 트래픽 축소를 이유로 VLAN이라는 기술을 통하여 인터넷 사용자 대역을 여러 개로 분리를 합니다.
*VLAN이란 ?
Virtual Local Area Network 의 약자로 물리적 배치와 상관없이 논리적으로 LAN을 구성할 수 있는 기술입니다. VLAN을 다르게 설정하게 되면 서로 다른 VLAN에 속해있는 사용자들끼리는 통신을 할 수 없습니다. 그렇게 되면 NX 또한 마치 다른 VLAN처럼 여겨져 RST이 도달할 수 없기 때문에 악성트래픽 차단이 정상적으로 이루어지지 않습니다.
그렇다면 악성트래픽이 차단 되지 않을 때 해결 방안은 무엇일까요?
우리는 먼저 스위치에서 VLAN 구성을 하는지 확인 해보았고, Trunk Mode로 구성하지 않았는지를 확인 해보았습니다. 간혹 Trunk Mode로 구성을 하였지만 보안상의 이유로 Native VLAN을 사용하지 않으면 RST패킷이 사용자PC에 도달을 하지 않아 악성트래픽이 차단이 안되는 것을 확인 할 수 있었습니다. *TrunkMode란? 하나의 포트를 통해 여러 개의 VLAN 이 통신할 수 있도록 만들어주는 스위치 포트모드 * VLAN 이란 Tag가 붙지 않은 프레임에 Default VLAN 1번을 부착하여 통신할 수 있도록 도와주는 기능 NX는 Tag를 붙이지 않고 프레임을 전달하므로 사용자에게 도달하지 못하고 스위치에서 버려지게 되는데 이때 Native VLAN 기능을 사용하게 되면 Tag가 붙지 않은 프레임을 Default VLAN인 1번으로 부착하여 사용자에게 도달 할 수 있게 해줍니다. 따라서 VLAN에서 TrunkMode로 설정할 시 VLAN 멤버에 1번을 넣어주면 NX가 보낸 RST패킷을 정상적으로 사용자에게 전달하여 악성트래픽 차단이 이루어 지게 되는 것입니다. 그렇다면 이러한 악성 트래픽 차단은 어떤 방식으로 이루어지는 지도 알면 좋겠죠? 먼저 해당 원리를 알기 위해선 네트워크 세션이 맺어지고 종료되는 TCP 3-Way-handshake와 TCP Flags 를 알아야 합니다. ** TCP 3-Way-handshake 란? TCP 통신을 이용하여 데이터를 전송하기 위해 네트워크 연결을 설정(Connection Establish) 하는 과정
TCP 3-Way-handshake 과정
TCP Flags란 ? 무엇인가를 기억해야 하거나 또는 다른 프로그램에게 약속된 신호를 남기기 위한 용도 로 프로그램에서 사용되는 미리 정의된 비트를 의미합니다.
SYN( synchronization ) 연결 요청 플래그 통신 시작 시 세션을 연결하기 위한 플래그 ACK( Acknowledgement ) 응답 플래그
송신측 으로부터 패킷을 잘 받았다는 걸 알려주기 위한 플래그 FIN( Finish ) 연결 종료 플래그 더 이상 전송할 데이터가 없고 세션 연결을 종료시키겠다는 플래그 RST( Reset ) 연결 재설정 플래그 비정상적인 세션을 끊기위해 연결을 재설정 하는 과정 PSH( Push ) 넣기 플래그
버퍼가 채워지기를 기다리지 않고 받는 즉시 전달한다. 버퍼링 없이 7 Layer Application Layer의 응용프로그램에게 바로 전달하는 플래그. URG( Urgent ) 긴급 데이터 플래그 긴급한 데이터의 우선순위를 다른 데이터의 우선순위를 높여 긴급하게 전달하는 플래그
일반적으로 사용자의 PC가 감염되어있지 않고, 정상적인 사이트 방문 깨끗한 파일을 다운로드를 받으면 사용자와 서버(naver,youtube등등)간 3-Way-hanshake를 진행하여 데이터를 주고받습니다.
NX시리즈의 악성 트래픽 차단을 하는 방법
이 과정에서 NX는 스위치를 타고 지나다니는 트래픽을 미러링을 받아서 악성트래픽유무를 검사합니다. 위 그림은 일반적인 상황에서의 동작하는 상황을 보여주는 그림입니다.
위 그림은 사용자가 어떠한 경로 혹은 피싱메일, P2P 사이트 등을 통하여 악성파일을 자신도 모르게 다운로드 하여 PC가 감염 되었을 때 NX가 악성트래픽을 차단 하는 방식을 보여주는 그림입니다.
앞서 설명한 TCP Flags 중 하나인 RST 패킷을 사용자와 해커 둘모두에게 보냄으로써 비정상적인 세션을 끊어서 사용자의 PC의 보안을 지켜줍니다. 우리 다온기술은 NX의 악성 트래픽 차단 원리와 미차단 장애가 발생시 정확한 해결 방안을 알고 위와 같이 악성 트래픽 미차단 사례를 해결 할 수 있었습니다.
sales@daont.co.kr
Comments