스톰캐스트 : Ingress Filtering

Ingress Filtering
xeraph	작성 일시 : 2008-06-05 18:59:20
네트워크는 다른 네트워크로부터 패킷을 받습니다. 패킷에는 어떤 컴퓨터가 보낸 것인지 IP 주소 정보가 포함되어 있습니다. 그런데 출발지 IP 주소를 단순히 다른 IP 주소로 바꿔쓰는 것으로 출발지를 속일 수 있습니다. 이렇게 되면 공격 당하는 컴퓨터는 실제로 공격이 어디에서 왔는지 알 길이 없어집니다. 유입 필터링 (Ingress Filtering)은 출발지 IP 주소가 해당 네트워크에서 보낼 수 없는 IP 대역인 패킷을 필터링하는 기법을 말합니다. 이게 가능하려면 한 네트워크에 연결되어 있는 네트워크들로부터 보낼 수 있는 IP 주소들을 모두 알고 있어야 하는데, 항상 가능한 것은 아닙니다. 가령 인터넷에 연결된 경로가 하나 뿐인 경우 이 패킷이 가짜인지 아닌지 알 방법이 없습니다. 엣지 네트워크 (Edge Network)에서는 실제로 사용하는 IP 주소 범위가 제한되어 있습니다. 이런 엣지 네트워크에서는 모든 패킷의 출발지 IP 주소가 해당 네트워크에 할당된 IP 주소 범위 내에 있는지 확인해야 합니다. 기업이나 대학처럼 엣지 네트워크를 운영하는 경우 유입 필터링을 수행해야 합니다. 이 기능은 접근 제어 목록 (ACL)만 가지고도 쉽게 구현할 수 있습니다.

네트워크는 다른 네트워크로부터 패킷을 받습니다. 패킷에는 어떤 컴퓨터가 보낸 것인지 IP 주소 정보가 포함되어 있습니다. 그런데 출발지 IP 주소를 단순히 다른 IP 주소로 바꿔쓰는 것으로 출발지를 속일 수 있습니다. 이렇게 되면 공격 당하는 컴퓨터는 실제로 공격이 어디에서 왔는지 알 길이 없어집니다.

유입 필터링 (Ingress Filtering)은 출발지 IP 주소가 해당 네트워크에서 보낼 수 없는 IP 대역인 패킷을 필터링하는 기법을 말합니다. 이게 가능하려면 한 네트워크에 연결되어 있는 네트워크들로부터 보낼 수 있는 IP 주소들을 모두 알고 있어야 하는데, 항상 가능한 것은 아닙니다. 가령 인터넷에 연결된 경로가 하나 뿐인 경우 이 패킷이 가짜인지 아닌지 알 방법이 없습니다.

엣지 네트워크 (Edge Network)에서는 실제로 사용하는 IP 주소 범위가 제한되어 있습니다. 이런 엣지 네트워크에서는 모든 패킷의 출발지 IP 주소가 해당 네트워크에 할당된 IP 주소 범위 내에 있는지 확인해야 합니다. 기업이나 대학처럼 엣지 네트워크를 운영하는 경우 유입 필터링을 수행해야 합니다. 이 기능은 접근 제어 목록 (ACL)만 가지고도 쉽게 구현할 수 있습니다.

최근 글

최근 덧글