SharedIT | 묻고 답하기(AMP)

서버팜 트래픽 모니터링...

안녕하세요.

현재 저희 보안솔루션(IDS, Network Forensic)이 백본쪽의 트래픽을 미러링받아서 모니터링 중입니다.


ISP -> FW -> Backbon -> TAB -> Office 사용자

             |                              |

          서버팜                      보안장비


사용자 <-> ISP, 사용자 <-> 서버팜의 경우는 백본을 경유하게 되니 보안장비가 모니터링 하는데 아무런 문제가 없지만,

사용자야 문제 있음 포멧하면 그만이고, PC마다 보안솔루션도 있고, 사용 중에 문제를 인식할 수도 있으니 그나마 걱정이 적은데,

문제는 서버팜입니다. 현재 구성에서 서버팜을 모니터링 할 방법이 없습니다. DMZ <-> ISP 트래픽이나, 서버쪽에서 네트워크에 대한 보안 이슈가 발생 시 이를 모니터링 할 방법이 없어서요.

Tab을 FW 상단에 놓는것도...서버 때문에 오피스를 포기할 수도 없고요, 추가 보안장비를 넣기도 예산문제로 조금 힘듭니다.

인프라에 큰 변화 없이 서버팜 트래픽을 보안장비로 쏠 방법이 있을까요??



Tags : 태그가 없습니다.

5개의 답변이 있습니다.

개복치
  0 추천 | 3년 이하 전

Tab을 더 놓는 방법으로 가야할듯 하네요. ㅎㅎ 감사합니다.

Genghis Khan
  0 추천 | 3년 이하 전

서버팜 앞단에 어떤 서비스를 하느냐에 따라

WAF나 TAB 보안 장비를 두면 되겠네요

deerokgo
  0 추천 | 3년 이하 전

라우터와 스위치 사이에 Tap 장비를 둬보세요.

https://kk-7790.tistory.com/30


wansoo
  0 추천 | 3년 이하 전

탭을 추가로 사용하거나 스위치의 포트 미러링을 이용하면 될 것 같고요.

아니면...

서버마다 트래픽 캡쳐 툴을 구동시켜서 트래픽을 한곳으로 모아 분석하면 될 걸로 보이네요.

Linux/UNIX에 기본적으로 설치되어 있는 tcpdump 같은 트래픽 캡쳐 툴을 이용하는 것도 괜찮을 것 같고...

Wireshark 같은 오픈 소스를 이용하는 것도 괜찮을 것 같고요.


빨간신발
  0 추천 | 3년 이하 전

탭을 하나 더 놓으시고 

보안장비의 인터페이스를 활성화하거나 추가하는 방법을 찾아보세요