IOS : 라우팅의 '제왕'

IOS: Routing's Crown Jewel

IOS : 라우팅의 '제왕

기업용 보안과 성능 대폭 확장



시스코 IOS 소프트웨어는 오랫동안 네트워킹 업계에서 라우팅 혁신의 중심에 서 있었다. 소프트웨어에 내장된 라우팅의 진보는 새로운 섀시나 라인 카드처럼 겉으로 빛나지는 않는다. 하지만 시스코의 라우터를 20년간 돋보이게 한 풍부한 네트워크 서비스의 상당 부분은 라우터의 운영 시스템에 적용된 지능형 기능 덕분이다.

기업들이 경로가 설정된 멀티프로토콜 인터네트워크를 최초로 구현할 수 있게 해준 시스코 IGRP(Interior Gateway Routing Prptocol)가 처음 발표된 1987년부터, 최근 발표된 초당 92테라비트의 속도로 무정지성 라우팅을 구현한 시스코 IOS XR에 이르기까지 시스코 IOS 소프트웨어는 진화를 거듭하고 있다.

차세대 통신서비스 사업자의 요구 사항 만족을 위해 목적 내장형인 시스코 IOS XR과 함께 기존 소프트웨어의 엔터프라이즈 버전은 새로운 기능을 계속해서 추가하고 있다. 대부분의 최신 엔터프라이즈 버전은 보안을 비롯해 새로운 위협이 등장하면서 네트워크 및 IT 관리자들이 직면하고 있는 문제에 초점을 맞추고 있다.

예를 들어, 시스코 NAC(Network Admission Control)와 시스코 PKI(Public Key Infrastructure), 인라인 침입 차단, 임베디드 레이어 2 및 IPv6 방화벽 필터링 기능은 기업 네트워크로부터 바이러스와 웜, 기타 침입자들을 제거해준다.

또 다른 기능 향상으로는 기업의 WAN 에지에서 가동 시간, 성능 및 비용 절감이 높아진다는 점을 들 수 있다.

시스코 OER(Optimized Edge Routing)이라고 불리는 새로운 기능의 경우 고객이 결정한 정책을 토대로 인터넷 서비스 제공 업체(ISP) 중 최적의 경로를 자동으로 선택한다. 또한 이중 시스템을 보유하고 있지 않은 소규모 지사에서 WAN 가용성 향상을 위해, 시스코 웜 리로드(Warm Reload)는 시스템 재가동 시간을 향상시켜 소프트웨어의 오류에 따른 다운시간 피해를 낮춰준다.

마지막으로 시스코는 라우팅 소프트웨어를 세 개의 버전으로 통합했다. 기업용 액세스 및 코어 장비를 위한 시스코 IOS T 소프트웨어와, 대기업의 코어, 통신서비스 제공 업체 에지, 통신서비스 제공 업체 코어 시스템을 위한 시스코 IOS S 소프트에어, 그리고 통신서비스 제공 업체 코어 라우터의 새로운 캐리어 라우팅 시스템 제품군을 위한 시스코 IOS XR 소프트웨어가 이에 해당된다.




NAC, 엔드포인트 보안 강화
원격지 및 이동 사용자가 늘어남에 따라 사용자의 엔드 포인트(클라이언트 기기)가 급증하면서 보안 문제 역시 관심이 높아가고 있다. 노동력의 분산을 감안해볼 때, 모든 엔드 포인트에 대해 최신의 안티바이러스 제품으로 업데이트하거나 운영 시스템 패치를 새로 설치하는 것은 쉽지 않다.

다양한 유형의 클라이언트 기기와 운영 시스템, 액세스 네트워크와 재택 근무자들과 출장 중인 직원들이 사용하는 서비스 등 복합적인 부분이 결부돼 기업 네트워크에 문제를 일으키게 된다. 이러한 장비들은 기업 네트워크에 연결되어 있지 않을 때 공중 인터넷을 통해 바이러스나 웜에 감염될 수 있으며, 감염된 기기를 기업용 네트워크에 연결할 경우 감염된 바이러스나 웜이 기업 네트워크에 침투하게 된다.

시스코의 제품 마케팅 매니저인 러셀 라이스(Russell Rice)는 "현재 기업들은 안티바이러스 소프트웨어나 방화벽, 기타 엔드 포인트 기술 등 보안 제품을 사용하고 있다. 하지만 이것으로는 충분치 않다"고 지적했다.

시스코 NAC는 '청결하지 않으면 네트워크 접근을 불허한다'는 최소한의 규칙을 집행할 수 있다.

기업의 에지에 구현된 NAC 기능의 시스코 라우터는 내부 네트워크로 연결을 시도하는 클라이언트 기기의 설정을 액세스 허가에 앞서 자동으로 검사한다. 이러한 보안은 초기 차단을 지원하며 감염된 상태로 네트워크에 들어올 수 없도록 함으로써 네트워크를 '청결히' 유지할 수 있도록 해준다.

라이스는 "이러한 긴밀한 통제가 매우 중요하다. 왜냐하면 바이러스나 웜이 큰 피해를 입힐 수 있기까지 단 몇 초면 가능해졌기 때문"이라고 밝혔다.

NAC는 이상 징후가 발견된 장비가 탐지되면 기업의 정책에 따라 몇 가지 과정 중 하나로 해당 장비를 추적한다. 정책에 따라 가장 최근에 업데이트된 정보를 포함하고 있는 서버에 대한 액세스를 거부하거나 제한할 수 있다. 네트워크 관리자들은 기기 유형이나 접속 형태, 운영 시스템 등 수많은 변수를 토대로 리소스에 대한 액세스를 할 수 있는 기기의 유형을 설정하는 정책을 수립할 수도 있다.

시스코의 기술 마케팅 매니저인 디팩 키니(Deepak Kini)는 "시스코 NAC는 OS 패치를 검사할 수 있도록 마이크로소프트 윈도 NT와 XP, 2000 운영 체제를 구동하는 단말기를 지원한다는 점에서 업계를 포괄하는 전략을 견지하고 있다. 또한 맥아피, 트렌드 마이크로, 시만텍 등의 안티바이러스 소프트웨어와 연동된다. 개방형 API를 통해 관심 있는 업체들은 자사의 운영 체제를 포함시킬 수 있다"고 밝혔다.

시스코 IOS 소프트웨어 릴리즈 12.3(8)T에서 이용 가능한 NAC는 시스코 800 시리즈 라우터에서 시스코 7200 시리즈 라우터까지 모든 시스코 액세스 라우터에서 이용할 수 있다. 또 이 기능은 시스코 시큐어 액세스 컨트롤 서버(ACS)와 시스코 시큐리티 에이전트, 시스코웍스 시큐리티 인포메이션 매니지먼트 솔루션(SIMS)과 같은 시스코 네트워크 보안 관리 및 액세스 제품에서 지원된다.

엔드 포인트를 청결하게 유지하는 것이 첫 번째 단계지만 위험성은 남아 있다. 다른 위협 요인으로는 간섭(tampering), 도청(eavesdropping), man-in-the-middle 공격이 포함된다. 침입자들은 man-in-the-middle 공격을 사용해 메시지를 가로채거나 복사 또는 복제해 정보를 수집한 다음 원래 설정되어있던 수신자에게 다시 보낸다. 이 경우, 하나가 아닌 두 개의 송신자가 상대방과 커뮤니케이션 하는 것처럼 보인다.



관리 가능한 PKI 아키텍처
시스코 IOS 소프트웨어는 기업에 중요한 커뮤니케이션을 보호하는 많은 기능을 제공한다. 네트워크가 확장됨에 따라 데이터 보안 메커니즘을 관리하는 것이 귀찮은 일이 되고 있기 때문에, 이 소프트웨어는 공개 및 사설 키 암호화의 프로비저닝과 관리를 단순화해주는 혁신적인 PKI 기능을 포함하고 있다.

예를 들어, 네트워크 관리자들은 100대 이하의 엔드 포인트에 대한 IPSec VPN을 위해 공유된 비밀 키를 수동으로 관리할 수도 있다. 하지만 수동 관리와 공유된 비밀 키의 경우, VPN이 수백만 대의 엔드 포인트로 확장될 때 특히, IPSec 네트워크 보안이 완벽한 메시형(meshed) 구성에 적용될 때 관리하기가 매우 어렵다.

시스코의 PKI는 공개 및 사설 키 암호화를 위한 확장 가능한 관리 시스템을 제공한다. 사용자의 공개 키는 PKI 인증 기관(CA)이 발행한 디지털 인증서에 통합된다. 디지털 인증서는 네트워크에 대한 신원 확인과 허가를 위한 비표로 사용될 수 있으며, 기기의 암호화 키 관련 문서를 배포할 경우 신뢰성 있는 매커니즘을 제공한다.

시스코의 기술 마케팅 매니저인 브라이언 스티프(Brian Stiff)는 "PKI는 수많은 사용자들을 대상으로 서비스될 수 있다"면서 "특정 기간이 되면 자동으로 만료되는 등의 보안이 내장되어 있으며, 각각의 인증서 보유자들의 액세스 권한을 결정할 수 있다"고 설명했다. 또한 그는 "소규모에서 대규모의 IPSec VPN에 이르는 모든 범위에서 필수적"이라고 덧붙였다.

시스코 IOS 소프트웨어는 PKI의 토대인 통합 CA를 시스코 IOS 소프트웨어 릴리즈 12.3(4)T에서 처음으로 제공했다. 네트워크의 한 라우터가 CA로 구성되면 네트워크 보안 인프라에 있는 모든 장비는 이 라우터에 등록된다.

최근, 시스코 IOS 소프트웨어 릴리즈 12.3(8)T는 Easy Secure Device Deployment(EzSDD)라고 불리는 GUI 기반의 기능으로 인증서 도입을 더욱 쉽게 만들었다. EzSDD를 통해 원격지 라우터가 목적지로 바로 발송되며, 목적지에서 사용자들은 박스에서 장비를 꺼내 전원을 공급하고 URL과 사용자 이름, 비밀번호를 입력하면 된다. 그러면 라우터가 자동으로 보안 등록 메커니즘을 통해 등록하고 운영에 필요한 단계를 진행하게 된다.

EzSDD가 없다면 기업들은 모든 원격지 라우터를 원격지에 보내기 전에 보안 장치 설정을 위해 구축 센터에 발송해야 한다.


맞춤형 인증서 도입
또한 시스코는 최근 디지털 인증서의 유효기간과 폐기 문제를 처리할 수 있도록 하는 소프트웨어 기능을 추가했다. 과거 경험으로 볼 때, PKI의 대표적인 문제는 인증서가 철회되고 데이터베이스가 새로운 정보를 업데이트해 저장할 때까지 걸리는 시간으로 인해 인증서 폐기 목록(CRL)이 과거의 것일 수 있다는 점이다. 이는 단기적인 보안 문제를 야기할 수 있다.

이러한 보안 문제를 해결하기 위해 시스코 IOS 소프트웨어에 두 가지 기능이 추가되었다. 먼저, 시스코 PKI-AAA(Authentication, Accounting, and Authorization) 기능은 보안 장비와 AAA 서버의 인증서 비준 메커니즘간 연결을 제공한다. 또한 시스코 IOS 소프트웨어는 현재 IETF 표준의 온라인 인증서 상태 프로토콜(OCSP)을 지원한다. 이는 배포된 라우터로부터 인증서 상태를 검사하기 위해 실시간 메커니즘을 제공해 시간이 지난 CRL 문제를 해결하기 위한 것이다.

OCSP 서버는 사용자 인증서를 발행하는 CA 서버에 직접 부착된다. OCSP 서버는 인증서가 유효한지 여부를 판단하기 위한 실시간 정보를 보유하고 있다.

시스코 라우터에 구축된 OCSP는 인증서 상태에 대해 OCSP 서버에 직접 물어본다. OCSP 서버는 인증서 폐기 데이터베이스를 검사하고 인증서의 유효 상태를 나타내는 메시지를 즉시 보낸다.


최신 보안 솔루션 포함

그림 1: 최근 발표된 시스코 IOS 소프트웨어는 보안과 성능, 가용성 부문에서 성능을 대폭 향상시켰다.
매주 마다 새로운 바이러스와 웜이 출현, 보안을 위협하고 있다. 시스코 IOS 소프트웨어는 이러한 공격을 중단시킬 수 있는 기능을 간소화해 네트워크의 보안을 강화하는 단계를 취하고 있다.

시스코 IOS 소프트웨어 릴리즈 12.3(8)T에서 이용 가능한 시스코 IOS 소프트웨어의 새로운 인라인 침입 차단 시스템은 118개의 서명을 포함하고 있는 웜 및 서명 공격 파일(Worm and Signature Attack File)을 지원한다. 이러한 서명들은 cisco.com 웹사이트의 서명 데이터베이스에 있다. 시스코의 제품 매니저인 루벤 리오스(Ruben Rios)는 "이러한 서명들은 실제 네트워크 위협 요인이 될 수 있는 가능성을 검토해 선택된 것"이라고 설명한다.

리오스는 "조만간 시스코는 고객들이 다운로드하는 서명을 맞춤화할 수 있도록 함으로써 자사 환경에 적합한 서명만 구동할 수 있도록 할 계획이다. 예를 들어, 유닉스 호스트가 없는 순수한 윈도 환경은 유닉스의 취약점 공격 서명을 검토할 필요가 없다"고 밝혔다. 결국 시스코 IDS 센서 어플라이언스의 고객들이 이용할 수 있는 모든 동일한 서명에 대한 액세스가 시스코 IOS 소프트웨어에서 이뤄질 수 있도록 한다는 것이다. 사용자들은 서명에 대한 행동을 취하도록 맞춤화할 수 있으며, 알고 있는 서명의 변종의 경우에도 서명을 변형시킬 수 있게 된다.

시스코 IOS 방화벽은 또한 두 가지 새로운 기능을 추가했다. 시스코 IOS 소프트웨어 릴리즈 12.3(7)T에서 이용 가능한 트랜스페어런트 파이어월 기능은 네트워크를 교체할 필요 없이 기존 네트워크에 설치할 수 있다.

이 기능은 무선랜 액세스 노드의 보안을 목표로 하고 있다. VLAN 경로 설정을 위해 원격지를 재구성하는 대신에 라우터에 무선 액세스 포인트 연결을 원격으로 구성할 수 있다. 이 방화벽은 인증되지 않은 사용자를 네트워크에 접근하지 못하도록 함으로써 기업 리소스의 접근을 제어하는데 사용될 수 있다.

시스코 IOS 방화벽은 레이어 2와 레이어 3에서 스테이트풀(stateful) 필터링을 동시에 수행할 수 있는 유일한 방화벽이다. 동일한 릴리즈가 IPv6 방화벽에서 이용할 수 있다. 이 제품은 IPv4와 IPV6 메시지를 동시에 검사할 수 있다.




최고의 WAN 경로 선택하기
시스코 IOS 소프트웨어의 혁신 중에서 두드러지는 부분은 보안 성능 향상이다. OER의 인텔리전트 라우팅은 또 다른 혁신 기능이라고 할 수 있다.

시스코 IOS 소프트웨어 릴리즈 12.3(8)T의 또 다른 기능인 OER은 다양한 IPS에 연결된 기업의 라우터에서 구축되도록 개발되었다. OER은 고정된 라우팅 메트릭스가 아닌 다양한 범주를 토대로 실시간 라우팅을 적용시킬 수 있다. 넷플로우 패킷 계정과 SAA(Service Assurance Agent) 실시간 성능 모니터링 등 다른 시스코 IOS 소프트웨어에 의해 수집된 지연과 패킷 손실, 링크 사용, 도달성과 처리량을 포함한 트래픽 특성의 데이터를 사용한다.

동일한 시스코 IOS 소프트웨어 코드 기반을 사용하는 OER 마스터 컨트롤러는 확장성과 관리성, 데이터 히스토리, 향상된 GUI 구성과 리포팅을 제공하기 위해 리눅스 기반의 어플라이언스에서 구동된다.

시스코의 인터넷 테크놀로지스 사업부 기술 마케팅 그룹 매니저인 댄 질(Dan Gill)은 "OER은 지연과 같이 특정 애플리케이션 트래픽에 민감한 메트릭스를 위해 QoS를 유지하고 비용을 최소화하는 등 특정 목적을 위한 경로를 최적화할 수 있다"고 설명했다.

그는 "다양한 링크에 고정되고 계층화된 비용 구조를 갖고 있을 경우, 성능 요구 사항에 따라 현재 이용할 수 있는 가장 낮은 비용의 링크로 콜을 배정할 수 있다"고 밝혔다.

또한 OER은 ISP와 함께 기업들이 서비스 수준 협약(SLA)을 유지할 수 있는 리포트도 생성한다.

그림 2: 시스코 IOS 소프트웨어 버전은 특정 플랫폼과 시장을 대상으로 하고 있다. 시스코 IOS 소프트웨어 기술의 혁신은 계속 진행될 것이다.



높은 가동률 자랑해
지사와 같은 일부 기업 사이트의 경우 신속한 장애 복구를 위한 이중 경로를 가진 라우터나 리던던시 WAN 액세스 라우터를 보유하고 있지 않다. 하지만 어떤 상황에서는 이러한 라우터에 시스코 IOS 소프트웨어를 다시 탑재하는 것이 필요하며 유리할 수도 있다. 재탑재에 관련된 다운 시간을 줄이기 위해서 나온 것이 시스코 웜 리로드이다.

이 소프트웨어는 플래시 메모리에서 소프트웨어를 읽거나 압축을 해제하기 않고도 다시 탑재가 가능하다. 대신 과거에 RAM에 저장된 복사본으로부터 읽기-쓰기 데이터를 저장하고 시스코 IOS 소프트웨어를 다시 실행시킨다. 이를 통해 Flash-to-RAM 복사와 이미지 자가 압축 해제에 필요한 시간을 줄일 수가 있다.

라우터가 처음 부팅될 때 시스코 IOS 소프트웨어가 데이터 세그먼트의 변경 전에 저장한다. 웜 리로드가 필요할 경우, 저장된 데이터 세그먼트가 다시 저장되고 시스코 IOS 소프트웨어 텍스트 부분을 시작하라고 컨트롤한다. 일반적으로 웜 리로드의 시간 절감은 콜드 리부트에 비해 라우터와 사용되는 구성에 따라 수분 내지 수초의 80~90% 사이이다.

시스코 IOS 웜 리로드는 시스코 IOS 소프트웨어 릴리즈 12.3(2)T에서부터 이용 가능하다.


계속되는 IOS 진화
앞서 언급한 바와 같이 시스코는 여러 시스코 IOS 소프트웨어 버전을 세 가지로 통합해 단순화시켰다. 시스코 IOS T와 IOS S, IOS XR로 소프트웨어 버전을 나눈 이유는 엔터프라이즈 액세스와 엔터프라이즈 코어, 그리고 통신서비스 제공 업체의 에지 및 코어 네트워크에서 사용되는 하드웨어 플랫폼의 세 그룹에 맞추기 위해서이다.

각각의 버전은 각 시장에 적합한 옵션을 갖고 있기 때문에 어떤 버전을 선택해야 하는지, 어떤 플랫폼을 도입해야 하는지 고객들에게 혼동을 주지 않고 고객이 요구하는 특정 기능을 위해 적절히 혼합하거나 조화를 이뤄 적용할 수 있다.

시스코의 제품 기술 마케팅 매니저인 홀리 린든(Holly Linden)은 "하지만 각 버전은 지적 재산권의 공유 기반을 토대로 계속 발전하고 있으며 향후에도 IOS에 적용될 것"이라면서 "시스코의 소프트웨어 전략은 각 고객 그룹에 맞는 각 버전의 기능과 성능을 최적화하는 것"이라고 밝혔다.

시스코 IOS 소프트웨어 기반을 '공통 분모'로 하고 있기 때문에, 각 기능은 동일한 명령어 인터페이스로 이를 포함하고 있는 모든 버전에 동일하게 운영될 것이다.

시스코는 현재 시스코 IOS 소프트웨어에 다음과 같이 세 가지 레벨의 맞춤화를 고객들에게 제공하고 있다:

인프라스트럭처 최적화 : 시스코 IOS T, S, XR 소프트웨어의 선택
제품에 특화된 최적화 : 새로운 하드웨어, 카드와 가격 대비 성능 향상을 위한 타임 투 마켓을 빠르게 하기 위해 주어진 하드웨어 플랫폼에 특화된 릴리즈
기능 패키지 : 각 하드웨어 플랫폼에 맞도록 효율화. 린든은 "이러한 것들은 자동차의 옵션과 같다. 자동차 에어컨이나 선루프(sunroof), 자동잠김브레이크, 자동 창문과 같은 패키지를 선택할 수 있다"고 지적했다.

또한 시스코 IOS XR 소프트웨어 기능의 일부는 적절할 경우 S와 T 버전의 라우터 소프트웨어로 전환될 수 있다고 린든은 말했다.

예를 들어, 시스코 IOS XR과 CRS-1 통신서비스 제공 업체 플랫폼을 위해 개발된 기능인 마이크로커널 기반의 멀티태스킹은 시스코 IOS 소프트웨어 S 버전으로 전환될 수 있는 로드맵을 갖고 있다. 이러한 기능을 통해 다양한 병렬 프로세스를 구동하는 라우터는 프로세스에 장애가 발생할 경우나 필요시 용량을 이동시킬 수가 있다.

지금까지 그래 왔듯이 시스코 IOS 소프트웨어는 시장의 요구 사항에 부응하도록 지속적으로 진화할 것이다.


추가자료


■ Network Admission Control 백서 :
    cisco.com/packet/163_6c1
■ 공개 키 인프라 데이터 시트:
    cisco.com/packet/163_6c2
■ 트랜스페어런트 파이어월 :
    cisco.com/packet/163_6c3
■ Optimized Edge Routing 데이터 시트:
    cisco.com/packet/163_6c4





Packet 지난 호 보기