L4/L7 Proxy NAT 환경 Origin IP 추출, 세션 복원
배경 (내용 및 목적)
• Reverse Proxy NAT 환경
• HTTPS 트래픽의 Decrypt & Reverse Proxy 적용으로 인해 외부에서 접속하는 모든 Client IP 는 Proxy 장비에 설정된 특정의 단일 IP 로 NAT 되어 내부로 전달됨에 따라, 내부 보안 시스템들이 탐지하는 모든 Threat 및 Security Event 의 근원지(Source IP) 는 해당 Proxy IP 로만 표현됨.
• 이로 인해 이상 징후 포착, 위협 탐지, 심지어 공격 발생시 조차 실질적인 위협 근원지 Source IP 의 식별 및 근원 차단이 불가능하고 침해 대응 지연으로 인한 보안 사고 피해 범위 및 규모 가중됨.
• “Origin External IP 추출 및 복원” 시스템을 통해, NAT된 모든 External IP 를 실제 Origin Client IP 로 복원시켜 실질적인 위협 근원지 Source IP 식별을 가능케 함으로써 이상 징후 포착 시 즉각 예방 조치, 위협 탐지 및 공격 상황 시 실시간 대응 및 차단 조치
• Forward Proxy NAT 환경 및 사이버대피소 Case
대피소 서비스 가입 사업자, 법인 등이 여러 개인 상황에서 Botnet 등 위협 및 침해 트래픽 인지 시, NAT 된 단일 IP를 차단하는 경우 모든 가입자 서비스 트래픽에 영향.
• “Origin Internal IP 추출 및 복원” 시스템을 통해, NAT 된 모든 Internal IP 를 실제 Origin IP 로 복원시킴으로써 다른 가입자들의 서비스에 영향 없이 위협 차단 및 트래픽 제어.
Needs & Implementation
Proxy 및 Load-balancer 환경 | HTTP 패킷 헤더의 External Origin IP 복원 방안 필요 |
“X-Forwarded-For”, “NS-Client-IP” 외에 “HTTP_X_FORWARDED_FOR", "Proxy-Client-IP", "True-Client-IP", "WL-Proxy-Client-IP“ 등, 다양한 명칭으로 표현. | Inbound (Reverse Proxy) 방향 기준 설명, 가. TAPping 혹은 BB 스위치 미러링 --> TRUE-IP 복원 시스템으로 전달. 나. TRUE-IP 복원 시스템 내부적으로 HTTP 패킷들 Parsing 다. External Origin IP 추출 라. 추출된 Origin IP로 패킷의 Src IP 대체 후, 위협 탐지/분석 툴로 전달 |
적용 및 활용 CASE (Reverse Proxy)
가. AS-IS 환경 구성의 제한 및 제약 사항
모든 HTTPS 트래픽은 Proxy 장비에서 복호화 됨과 동시에, 각 세션의 Origin 외부 Client IP 가 지정된 특정 단일 IP 로 NAT 되어 B/B 스위치로 전달됨으로 인해, B/B 스위치에서 미러링 된 트래픽을 수신하는 모든 보안 시스템은 Origin 외부 Client IP 를 알 수가 없음. 즉, 모든 외부 Origin Client IP 가 Proxy 단일 IP 로 NAT 됨에 따라
• Security 이슈 근원지에 대한 정확한 식별 불가 • 사전 징후 감지 시 근원지 식별 불가, 이로 인한 보안 이슈 근원지 차단 및 사전 예방 불가 • 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석 불가 • 탐지되는 이벤트의 정확한 근원지에 대한 신속한 식별, 대응 및 조치 불가 |
나. TO-BE 환경 및 구성의 이점, 기대효과
External Origin IP 복원 방안 및 특수 목적 엔진 필요.
• 해당 특수 목적 시스템 엔진에서 패킷 Parsing • 각 세션 별 패킷에서 Origin External Client IP 추출 • Proxy(복호화) 장비 거치면서 NAT 된 HTTP 패킷의 Src IP를 --> 추출된 Origin IP로 대체 후, • 보안 시스템으로 직접 전달, 혹은 NPB 통해 여러 이기종 보안 시스템들로 동시 전달 | 외부 Origin Client IP 복원되어 보안 시스템으로 전달됨으로써
• Security 이슈 근원지에 대한 정확한 식별 • 사전 징후 감지 시 정확한 보안 이슈 근원지 식별, 차단 및 사전 예방 • 모든 세션의 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석 • 탐지 이벤트에 대한 신속, 정확한 근원지 식별, 대응 및 조치 |
다. TO-BE Future Expand 적용 구성
외부 Origin Client IP 로 복원되어 보안 시스템으로 전달됨으로써
• Security 이슈 근원지에 대한 정확한 식별 • 사전 징후 감지 시 정확한 보안 이슈 근원지 식별, 차단 및 사전 예방 • 모든 세션의 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석 • 탐지되는 이벤트에 대한 신속, 정확한 근원지 식별, 대응 및 조치 | NPB (MIDAS-4804Q) 는 Origin 외부 IP 복원된 트래픽을 전달받아 보안 시스템 별 전체 혹은 필요한 트래픽 만 선별 전달
• 다양한 이 기종 보안 시스템의 복원 트래픽 동시 수집, 모니터링 분석 • 보안 시스템 인터페이스 속도 상관 없이 적용 (40G & 10G/1G) • Any-to-Any Port Mapping 기술로 원하는 트래픽 적재 적소 Direction • 보안 시스템 별 필요 트래픽만 (수집 대상 트래픽만) 선별, 필터링 전달 • 동종 보안 시스템 여러 대로 LB 부하 분산 |
라. TO-BE Future Expand: FlowMagic for Origin Ext IP Restore & Data Record 구성
Origin Client IP 복원 – 실시간 Processing 현황
** Note 1.
FlowMagic TRUE-IP 시스템 적용 최적 환경/조건은, 일반적인 L3 레벨 NAT (routing) 환경이 아닌, L4 및 L7 레벨의 Proxy NAT 환경을 말하여,
대표적으로 Reverse 환경의 WEB Proxy, SSL Proxy 및 L4/L7 Load-Balancer 등이 해당함.
** Note 2.
그리고, Proxy 동작 방식은
- Anonymous 방식과 Transparent 방식으로 구분하는데
- TRUE-IP 적용을 위해선 HTTP 헤더의 XFF (X-Forwarded-For) 영역에 Origin IP 정보를 삽입하는 Transparent 방식이어야 함.
(대부분의 Proxy 시스템들이 Transparent 동작 방식 사용.)
- 또한, Proxy 장비 설정에서 "XFF 항목을 HTTP 헤더에 포함시키도록 하는 Enable 설정"이 필요함.
(대부분의 Proxy 시스템들이 XFF Enable/Disable 설정 옵션 제공)
** Note 3.
- XFF 영역 명칭은 벤더나 제품마다 다르게 사용하며,
- 대표적으로 “X-Forwarded-For” 가 사용되고, 그 외에
- “HTTP_X_FORWARDED_FOR", “NS-Client-IP”, "Proxy-Client-IP", "True-Client-IP", "WL-Proxy-Client-IP“ 등, 다양한 명칭으로 표현.
- FlowMagic TRUE-IP 는 Proxy NAT/PAT 환경에서, XFF 영역 명칭이나 Service Port 에 무관하게 적용됨.
제품/기술 문의: (주)한빛에스아이 02)579-1904, 김태수 상무 / tskim@hanvitsi.com / info@hanvitsi.com
L4/L7 Proxy NAT 환경 Origin IP 추출, 세션 복원
배경 (내용 및 목적)
• Reverse Proxy NAT 환경
• HTTPS 트래픽의 Decrypt & Reverse Proxy 적용으로 인해 외부에서 접속하는 모든 Client IP 는 Proxy 장비에 설정된 특정의 단일 IP 로 NAT 되어 내부로 전달됨에 따라, 내부 보안 시스템들이 탐지하는 모든 Threat 및 Security Event 의 근원지(Source IP) 는 해당 Proxy IP 로만 표현됨.
• 이로 인해 이상 징후 포착, 위협 탐지, 심지어 공격 발생시 조차 실질적인 위협 근원지 Source IP 의 식별 및 근원 차단이 불가능하고 침해 대응 지연으로 인한 보안 사고 피해 범위 및 규모 가중됨.
• “Origin External IP 추출 및 복원” 시스템을 통해, NAT된 모든 External IP 를 실제 Origin Client IP 로 복원시켜 실질적인 위협 근원지 Source IP 식별을 가능케 함으로써 이상 징후 포착 시 즉각 예방 조치, 위협 탐지 및 공격 상황 시 실시간 대응 및 차단 조치
• Forward Proxy NAT 환경 및 사이버대피소 Case
대피소 서비스 가입 사업자, 법인 등이 여러 개인 상황에서 Botnet 등 위협 및 침해 트래픽 인지 시, NAT 된 단일 IP를 차단하는 경우 모든 가입자 서비스 트래픽에 영향.
• “Origin Internal IP 추출 및 복원” 시스템을 통해, NAT 된 모든 Internal IP 를 실제 Origin IP 로 복원시킴으로써 다른 가입자들의 서비스에 영향 없이 위협 차단 및 트래픽 제어.
Needs & Implementation
“X-Forwarded-For”, “NS-Client-IP” 외에
“HTTP_X_FORWARDED_FOR",
"Proxy-Client-IP",
"True-Client-IP",
"WL-Proxy-Client-IP“ 등, 다양한 명칭으로 표현.
Inbound (Reverse Proxy) 방향 기준 설명,
가. TAPping 혹은 BB 스위치 미러링 --> TRUE-IP 복원 시스템으로 전달.
나. TRUE-IP 복원 시스템 내부적으로 HTTP 패킷들 Parsing
다. External Origin IP 추출
라. 추출된 Origin IP로 패킷의 Src IP 대체 후, 위협 탐지/분석 툴로 전달
적용 및 활용 CASE (Reverse Proxy)
가. AS-IS 환경 구성의 제한 및 제약 사항
모든 HTTPS 트래픽은 Proxy 장비에서 복호화 됨과 동시에, 각 세션의 Origin 외부 Client IP 가 지정된 특정 단일 IP 로 NAT 되어 B/B 스위치로 전달됨으로 인해, B/B 스위치에서 미러링 된 트래픽을 수신하는 모든 보안 시스템은 Origin 외부 Client IP 를 알 수가 없음. 즉, 모든 외부 Origin Client IP 가 Proxy 단일 IP 로 NAT 됨에 따라
• Security 이슈 근원지에 대한 정확한 식별 불가
• 사전 징후 감지 시 근원지 식별 불가, 이로 인한 보안 이슈 근원지 차단 및 사전 예방 불가
• 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석 불가
• 탐지되는 이벤트의 정확한 근원지에 대한 신속한 식별, 대응 및 조치 불가
나. TO-BE 환경 및 구성의 이점, 기대효과
External Origin IP 복원 방안 및 특수 목적 엔진 필요.
• 해당 특수 목적 시스템 엔진에서 패킷 Parsing
• 각 세션 별 패킷에서 Origin External Client IP 추출
• Proxy(복호화) 장비 거치면서 NAT 된 HTTP 패킷의 Src IP를 --> 추출된 Origin IP로 대체 후,
• 보안 시스템으로 직접 전달, 혹은 NPB 통해 여러 이기종 보안 시스템들로 동시 전달
외부 Origin Client IP 복원되어 보안 시스템으로 전달됨으로써
• Security 이슈 근원지에 대한 정확한 식별
• 사전 징후 감지 시 정확한 보안 이슈 근원지 식별, 차단 및 사전 예방
• 모든 세션의 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석
• 탐지 이벤트에 대한 신속, 정확한 근원지 식별, 대응 및 조치
다. TO-BE Future Expand 적용 구성
외부 Origin Client IP 로 복원되어 보안 시스템으로 전달됨으로써
• Security 이슈 근원지에 대한 정확한 식별
• 사전 징후 감지 시 정확한 보안 이슈 근원지 식별, 차단 및 사전 예방
• 모든 세션의 개별 세션 단위 보안 이슈 검사, 추이 모니터링 및 분석
• 탐지되는 이벤트에 대한 신속, 정확한 근원지 식별, 대응 및 조치
NPB (MIDAS-4804Q) 는 Origin 외부 IP 복원된 트래픽을 전달받아
보안 시스템 별 전체 혹은 필요한 트래픽 만 선별 전달
• 다양한 이 기종 보안 시스템의 복원 트래픽 동시 수집, 모니터링 분석
• 보안 시스템 인터페이스 속도 상관 없이 적용 (40G & 10G/1G)
• Any-to-Any Port Mapping 기술로 원하는 트래픽 적재 적소 Direction
• 보안 시스템 별 필요 트래픽만 (수집 대상 트래픽만) 선별, 필터링 전달
• 동종 보안 시스템 여러 대로 LB 부하 분산
라. TO-BE Future Expand: FlowMagic for Origin Ext IP Restore & Data Record 구성
Origin Client IP 복원 – 실시간 Processing 현황
** Note 1.
FlowMagic TRUE-IP 시스템 적용 최적 환경/조건은, 일반적인 L3 레벨 NAT (routing) 환경이 아닌, L4 및 L7 레벨의 Proxy NAT 환경을 말하여,
대표적으로 Reverse 환경의 WEB Proxy, SSL Proxy 및 L4/L7 Load-Balancer 등이 해당함.
** Note 2.
그리고, Proxy 동작 방식은
- Anonymous 방식과 Transparent 방식으로 구분하는데
- TRUE-IP 적용을 위해선 HTTP 헤더의 XFF (X-Forwarded-For) 영역에 Origin IP 정보를 삽입하는 Transparent 방식이어야 함.
(대부분의 Proxy 시스템들이 Transparent 동작 방식 사용.)
- 또한, Proxy 장비 설정에서 "XFF 항목을 HTTP 헤더에 포함시키도록 하는 Enable 설정"이 필요함.
(대부분의 Proxy 시스템들이 XFF Enable/Disable 설정 옵션 제공)
** Note 3.
- XFF 영역 명칭은 벤더나 제품마다 다르게 사용하며,
- 대표적으로 “X-Forwarded-For” 가 사용되고, 그 외에
- “HTTP_X_FORWARDED_FOR", “NS-Client-IP”, "Proxy-Client-IP", "True-Client-IP", "WL-Proxy-Client-IP“ 등, 다양한 명칭으로 표현.
- FlowMagic TRUE-IP 는 Proxy NAT/PAT 환경에서, XFF 영역 명칭이나 Service Port 에 무관하게 적용됨.
제품/기술 문의: (주)한빛에스아이 02)579-1904, 김태수 상무 / tskim@hanvitsi.com / info@hanvitsi.com