애플리케이션 세션 필터링

기업과 서비스 사업자의 트래픽 복잡성 문제

보안 및 모니터링 어플라이언스는 세션과 애플리케이션 레이어 데이터에서 패턴(일명 시그니처)을 살펴봅니다. 막대한 양의 실제 트래픽을 모두 살펴보면서 이런 패턴들을 찾습니다. 이 과정은 상당히 번거로운데, 모든 패킷에서 수백 개 내지, 때로는 수천 개에 이르는 패턴을 검색해야 하기 때문입니다. 특정한 패턴이나 애플리케이션과 일치하는 해당 플로우를 추출하여 이 데이터를 필요로 하는 툴로 포워딩하는 기능도 필요합니다. 이메일 보안 어플라이언스는 이메일 트래픽에만 관심이 있는데, 좀 더 구체적으로 말하면, 의심스러운 링크나 첨부 파일을 포함한 이메일 트래픽만 살펴보게 된다는 뜻입니다. 이와 마찬가지로 대량의 엔터프라이즈 트래픽(음성이든 비디오든 상관 없이)이라면, 이 트래픽이 특정 보안 및 모니터링 어플라이언스로 전송되는 것을 차단하는 것이 신중한 선택이 될 것입니다. 따라서 어플라이언스나 패턴에 속한 특정 플로우를 추출하여 이를 해당 데이터를 확인하는 어플라이언스로 포워딩하는 방법이 필요합니다.

게다가 개별 패킷을 전송하거나 필터링하는 것으로는 불충분하기 때문에 전체 애플리케이션 세션을 전송하거나 필터링해야 합니다. 위협을 제대로 식별하고 분석하려면, 많은 경우 보안 툴은 세션 시작부터 세션 종료까지 전체 세션에 대한 가시성을 필요로 하게 됩니다. 이런 세션에서 모든 패킷을 제공하지 못한다면 오류나 검사되지 않은 트래픽이 발생하게 됩니다.

기가몬 솔루션—애플리케이션 세션 필터링

최신 네트워크 애플리케이션들이 도입되면서 트래픽이 복잡해지고 있는데, GigaSMART® 기술의 확장 기능(옵션)인 애플리케이션 세션 필터링(Application Session Filtering)은 강력한 필터링 엔진을 제공하여 패킷 페이로드(payload)의 어떤 부분에서도 나타날 수 있는 시그니처나 패턴에 기반한 애플리케이션을 식별해 줍니다. 이러한 패턴은 사용자 구성 오프셋의 정적인 문자열(static string) 만큼이나 단순하거나 다양한 오프셋의 최첨단 PCRE(Perl Compatible Regular Expression)만큼 복잡하기도 합니다. 애플리케이션 세션 필터링은 또 다른 GigaSMART 애플리케이션인 어댑티브 패킷 필터링(Adaptive Packet Filtering) 위에 구축됩니다. 어댑티브 패킷 필터링이 패킷에서 일치하는 컨텐츠를 식별하는 데 사용된다면, 애플리케이션 세션 필터링은 한 단계 더 나아가 특정 애플리케이션에 해당하는 전체 세션을 추출합니다. 관리자가 인기 있는 애플리케이션에 대해 즉각 사용 가능한 스크립트를 이용하면 애플리케이션 세션 필터링을 더 빠르게 구현할 수 있습니다.

세션은 모든 TCP 세션이나 UDP 세션 또는 표준 IP 5 튜플(IPv4/v6 소스 주소, IPv4/v6 목적지 주소, 소스 포트, 목적지 포트 및 프로토콜)에 있는 필드의 하위 집합체가 될 수 있습니다. ASF 세션을 식별하는 데 사용할 수 있는 추가 필드는 MPLS 레이블, VLAN 태그 및 GTP(GPRS 터널링 프로토콜) 전용 식별 태그 등을 포함합니다.

애플리케이션 세션 필터링은 버퍼링과 함께 또는 버퍼링 없이 구성될 수 있습니다. 버퍼링 기능과 함께 구성하면 시작부터 종료까지 전체 세션(TCP 연결을 위한 TCP 핸드쉐이크(handshake) 1단계를 포함)이 필터링되거나 포워딩되도록 보장할 수 있고, 버퍼링 기능 없이 구성하면 세션 핸드쉐이크 및 초기화 패킷이 무시될 경우 인스턴스에서 더 나은 성능을 지원합니다.

버퍼링 기능이 있는 애플리케이션 세션 필터링

버퍼링 기능을 갖추어 구성할 경우, 특정 패턴이 발견되면 해당 패킷이 포함된 전체 세션이 필터링되는데, 여기에는 특정 패턴이 포함된 패킷 앞에 있는 세션의 해당 패킷도 포함됩니다. 그 다음은 트래픽을 원하는 툴로 전송하든지, 아니면 트래픽을 버려서 툴이 불필요한 트래픽을 수신하지 않도록 부담을 덜어줄 수 있습니다.

대다수의 애플리케이션들이 한 세션의 처음 일부 패킷 내에서 관련 정보를 표시하게 됩니다. 사용자는 각 세션에서 얼마나 많은 패킷을 버퍼링할 것인지 구체화한 다음, 일치되는 것이 없다고 선언하여 다른 세션을 위해 메모리를 자유롭게 풀어줄 수 있습니다. 애플리케이션 세션 필터링이 버퍼링 기능과 함께 사용되면, 세션은 소스 IP, 목적지 IP, 소스 포트 및 목적지 포트에 대한 모든 조합과 일치하는 UDP나 TCP 세션으로 IPv4나 IPv6을 일부 결합하는 것과 같이 구체화될 수 있습니다.

버퍼링 기능이 없는 애플리케이션 세션 필터링

버퍼링 기능이 없는 구성의 경우, 특정된 패턴이 일치하면, 이 세션에 해당하는 해당 패킷 및 모든 후속 패킷이 단일 세션으로 필터링되거나 포워딩됩니다.

만일 이 패턴이 패킷 2와 일치하면, 이 세션에 속한 모든 추가 패킷들이 그림 3과 같이 목적지 툴로 전송됩니다. 하지만 이 세션(패킷 1)에 속한 첫 번째 패킷은 해당 툴로 전송되지 않습니다. 이런 구성 옵션에서 세션은 IP 주소, 포트, 프로토콜, VLAN, GTP 식별자 및 MPLS 레이블의 모든 조합으로 정의될 수 있습니다.

핵심 사용 사례

애플리케이션 세션 필터링은 유연성을 지원하므로 관리자는 다음과 같은 많은 유용한 사용자 사례를 도입할 수 있습니다.

  • Netflix와 유투브 트래픽을 필터링하고 트래픽을 모니터링 어플라이언스로 포워딩하지 않음으로써 모니터링 어플라이언스가 대량 트래픽으로 인해 과부하가 걸리는 것을 방지
  • 모든 윈도우 업데이트 트래픽을 필터링하여 모니터링 및 보안 어플라이언스로 트래픽이 포워딩되지 않게 차단 이런 현상을 '화요일 패치(Patch Tuesday)'라고 부르는데, 마이크로소프트가 매월 둘째 화요일에 패치를 배포하기 때문입니다. 전세계의 윈도우 기기들은 이 패치로 업데이트됩니다. 이런 대량 트래픽은 세계 곳곳에 있는 모니터링 및 보안 어플라이언스에 과부하를 주는 경우가 많습니다.
  • 비표준 포트의 https 트래픽 허용: SSL 트래픽 (https)은 443 포트를 사용하지만 서버는 모든 https 트래픽용 포트를 감지하도록 구성 가능합니다. 이 패킷이 검사를 위해서, 또는 복호화 장치로 전송될 필요가 있으면, 애플리케이션 세션 필터링은 어떤 포트에서든지 https 트래픽을 찾기 위해 구성될 수 있습니다.
  • 링크나 첨부 파일이 포함된 이메일을 포워딩만하기 위한 이메일 트래픽 필터링(이 방법이 이메일 보안 어플라이언스에 가장 적합하므로) 텍스트만 있는 이메일은 일반적으로 감염 벡터가 아니지만 악성 첨부 파일을 실행하거나 웹 링크를 클릭하면 해로울 수 있습니다.

주요 혜택

  • 애플리케이션 검사용 보안 툴 최적화
    • 관련 세션에 해당하는 트래픽을 보안 툴로 포워딩하여 효율성 향상
    • 보안 및 모니터링 툴로 전송되는 트래픽에 대한 선택적 감소 기능 지원
    • 감소된 트래픽 로드로 툴 성능 개선
  • GigaSMART 기술에 대한 애플리케이션 식별 오프로딩
    • 패킷 컨텐츠, 포트, URL 및 HTTP 컨텐츠에 대한 하나 이상의 결합을 기반으로 한 애플리케이션 식별
    • HTTP로 터널링된 플로우에 대한 가시성 확보

리소스

Cook Book

애플리케이션 세션 필터링 사용법

Feature Brief

애플리케이션 세션 필터링 특징 개요

White Paper

애플리케이션 세션 필터링 백서

Web Page

GigaSMART 웹 페이지