안녕하세요.
얼마전에 서버 윗단에 있는 방화벽 장비를 교체 했습니다.
기존 장비는 엑센시스템 XF800 이고
변경된 장비는 엑스게이트 300s 입니다.
물론 기존에 있던 정책들은 정확하게 다 이관했구요.
토폴로지 구성은 아래와 같습니다.
1. 기존구성 : [인터넷] - [방화벽(엑센)] - [ 시스코 L2스위치] - [서버 ]
2. 변경구성 : [인터넷] - [방화벽(Axgate)] - [서버]
문제가 되는게 웹서버내에서 작동하는 일부 프로그램입니다.
모든 통신들은 다 정상입니다.
그런데 상대방과 데이터를 주고 받는 과정에서 일부 프로그램으로
암호화 하여 전송하는 과정이 있습니다.
한컴 xecure connector 라는 pki 암호화 프로그램인것 같은데;;;
이 프로그램을통해 암호화 하여 상대기관에 데이터를 전송하는 과정에서
비정상적으로 연결이 종료되는 경우가 많이 발생합니다.
방화벽 교체전에는 아무 문제없이 수년동안 써온것인데;;;
정확하게 방화벽 교체 이후 연결 오류가 빈번히 발생합니다.
그런데 웃긴게... 또 어떨때는 정상적으로 될 경우도 있구요..
안되는 경우가 더 많긴합니다.
도데체 감을 못잡겠는데;; 프로그램 업체에서는 계속 방화벽쪽
문제인것 같다는 이야기이구요..
방화벽 운영 업체에서는 정책 다 정상으로 적용되서 telnet 같은것 정상 연결되니
방화벽쪽 문제인지 판단하기 힘들다고 하구요...
혹시 이와 방화벽 교체 후 이런 암호화 통신 관련 이슈사항 경험해 보신분들의 조언을 구하고 싶습니다.
방화벽 운영업체에서는 TCP MSS 값을 기본값 1300 에서 1460 으로 수정한거 말고는
특별히 한것은 없는것 같습니다.
상대기관,, 저희 서버내 환경에서 바뀐것은 아무것도 없고, 중간에 방화벽 장비만 교체된 상황입니다.
혹시 방화벽내에 이와관련된 SSL 이나 TLS 등과 같은 설정이 추가로 들어가는것이 있는지요?
또 이런경우, 어떤 식으로 문제를 접근하고 해결해야할지 과정도 궁금합니다.
네트워크 전문가가 아니다보니 너무 힘듭니다 ㅠㅠ
내일 다시 방화벽 업체와, 프로그램업체, 그리고 상대방측 기관과 이 문제가지고
씨름을 해야하는데 어떻게 이야기를 풀어나가야 할지 벌써부터 막막합니다. ㅠㅠ
방화벽을 기존 장비로 다시 원복 하기도 힘든 상황이고
원복한다해도 또 무슨 문제가 발생할지... ㅠㅠ
아래는 해당 프로그램 소개 관련 자료인데..
참고삼아 같이 올려드립니다.
9개의 답변이 있습니다.
방화벽 정책을 확인 해보세요~~그리고 유지보수가 되어져 있다면 업체에도 문의를 해보시는게 좋을듯합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입우선 간헐적이라고 영향을 받는다면,
방화벽을 통한 부분에서 기존 방화벽에 적용되지 않은 정책이 신규 방화벽에 적용되어 영향을 받는 등 간섭이 있는 것으로 보입니다. 패킷 분석 등도 중요한데, 우선 방화벽 정책 부터 전체적으로 살펴보는것이 좋을 것 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입테스트 환경 구축하고 비교해 보시는 방안 추천드려요
예) 방화벽모드. 비 방화벽모드, 두 모드를 비교
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입간헐적 문제라면 로그 먼저 확인하시는게... IPS 에서 막힐 수도...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽 문제라면 해당 로그에 나오겠고 케이블 문제라면 체크해 볼 사항인것 같습니다.
의심될수 있는게 간헐적인 문제인건데요.. 프로그램 암호화 부분에 있어 다른 암호화로
test 해보거나 다른 통신 방법 port 변경 또는 터널링 방법을 바꿔 보면서 test 해보세요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입웹 서버의 특정 프로그램이 외부 서버와의 통신에서 성공할 경우도 있지만 대부분 실패한다는 내용인데요.
방화벽에 어떤 문제가 있는 걸로 보여지네요.
방화벽 정책에 일부는 허용되었는데, 충분히 허용된 것이 아니기 때문에 문제가 발생하는 것이 아닐까하는 추정이 드네요.
특히 보안 프로그램은 여러 서버와의 통신을 시도하는 경향이 있습니다.
동일한 기능을 하는 서버라도 한개 서버와의 통신만 하는 것이 아니라...
상황에 따라 서버를 변경해 가면서 통신을 해서 정보를 받아 오는데... 여러 서버 중에 일부는 통신이 허용되어 있는데 차단된 서버가 많을 경우라면 통신이 허용된 서버에 정보를 받아오려고 할 경우에는 성공하고, 차단된 서버와 통신을 시도할 경우에는 실패하게 되겠고요.
상대편 서버와 통신에서 실패 문제는 Wireshark 같은 네트워크 트래픽 분석 툴을 사용해서 통신 시도하는 트래픽을 분석해서 원인을 찾는 것이 좋습니다.
문제가 발생하는 서버에 Wireshark 를 설치해서, 불필요한 통신에 대한 트래픽들은 필터링해서 걸러 내고...
문제와 관련된 트래픽만 추출해서 비교 검토해 보면 원인을 어렵지 않게 찾을 수 있을 거라 생각되고요.
상대편과 통신에 실패하는 경우는, 이쪽에서는 상대편에 통신을 요청했는데, 상대편이 응답을 하지 않거나 요청한 내용과 다른 결과를 돌려 주는 경우에 해당하겠고요.
분명한 것은 이쪽 서버에서 상대편 서버로 요청이 나간다는 것은 확실할거라 생각되고요.
상대편 서버로 요청이 나간 패킷과 매칭되는 응답 패킷을 찾아서 어떤 응답이 오게 되는지를 확인할 수 있다면 문제의 원인도 찾을 수 있다고 생각됩니다.
요청은 있는데, 응답이 없는 경우라면 방화벽에서 차단되거나 상대편 서버가 다운되었거나 존재하지 않는 경우에 해당되겠고요.
요청에 대해 예상 밖의 응답이 온다면 잘못된 요청을 했거나 추가적으로 갖추어야할 내용들을 갖추지 않고 요청했기 때문이라 할 수 있을 것 같고요.
보안 프로그램이기 때문에 요청 내용과 응답 내용이 암호화되어 있어 복호화가 필요할 수 있다는 점에 한계가 있을 수는 있지만 암호화되지 않고 통신하는 내용들로도 상당히 많은 원인들을 찾아 볼 수 있지 않을까 하는 추정을 해 봅니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입제가 봤을때 트러블슈팅을 할 수 있는건 세개정도 있습니다.
첫번째는 해당 웹서버에서 외부로 나갈때의 포트를 모두 any로 두고, 방화벽의 외부 기능들을 전부 비활성화하고 통신을 해보는 것입니다. 그렇게 했을때 문제가 발생안하면 실제 포트말고 암복호화할때 추가적인 포트를 사용할 수도 있을 것 같습니다.
두번째 방화벽을 우회해서 일단 통신을 해보고 만약 방화벽을 우회해서는 잘되면 방화벽을 확인해보면 될것 같습니다.
웹서버에서 구동되는 프로그램이 암호화하여 보내는것같은데, 그렇게 되면 혹시 세션상에서 패킷을 주고 받을 때 뭔가 문제가 발생했을 수도 있고요.
세번째로는 3way handshake 를 맺고, 갑자기 서버에서 rst 패킷을 날려서 강제로 끊을수도 있겠고, 그렇게 되면 당연히 통신이 안될 수도 있는데, 그걸 확인하려면 일단 서버에서 tcpdump를 이용하여 실제 어떻게 동작하는지 보고 문제가 생겼을 당시의 패킷을 보면 이게 정상적으로 fin패킷으로 끊어진건지 rst패킷으로 끊어진건지 확인이 될것 같습니다.
이렇게 대충 3가지만 봐도 어느한곳에서 원인은 찾을 수 있다고 봅니다. (제 15년 경험상...)
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽에 ips도 결합된 상품같은데
ios로그를 분석해보시거나
당분간 해당기능을 비활성하여 테스트 해보세요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입통신문제는 너무나 다양해서 이거다 말씀드리기 어려운데요.
이전에 문제가 없다가 방화벽 교체 후에 통신 오류가 발생한다면,
방화벽이 가장 의심스럽지 않을까요?
방화벽은 통신 차단, 허용만 있는게 아니라 세부 설정 항목들도 많이 있습니다.
그리고 SSL 관련 설정도 있구요.
- 우선 와이어샤크와 같은 솔루션으로 패킷 분석을 통새
> 어느 구간에서 SSL/TLS handshake 에러 나는지 체크 해보세요.
- 다른 통신은 문제가 없고 SSL/TLS 통신에 문제가 있다면
> SSL 인증서를 재설정 해보시고,
> 기존 장비의 TLS 버전과 변경 장비의 TLS 버전 비교도 해보시구요.
> 특히, TLS 1.2 버전과 TLS 1.3 버전의 handshake 프로세스 많이 다릅니다.
가능하시다면 기존장비로 전환해서 패킷분석한 데이터와도 비교해보시구요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입