TCP 패킷이 방화벽을 지나갈 때 정상적인 3-way-handshake 과정을 겪지 않으면
해당 패킷은 차단이 된다.
3-way-handshake 과정에 대해 잘 모른다면 이 곳으로
2021.11.18 - [일/Network] - [TCP/IP 개념] 세션의 시작 3 way Handshake
[TCP/IP 개념] 세션의 시작 3 way Handshake
장치와 장치가 TCP통신을 하기 위해서는 세션의 시작 과정인 3-way-handshake와 세션의 종료 과정인 4-way-handshake가 필요하다 3-way-handshake는 TCP/IP프로토콜로 통신을 하는 과정에서 데이터 전송 전 정확
gypsy-recording.tistory.com
아래의 과정은 잘못된 Handshake 과정이다.
먼저 SYN의 이동 경로는 정상적으로 방화벽을 거쳐 목적지까지 도달하였다.
목적지에서 출발지로 SYN/ACK 패킷이 출발지로 도착했다.
회선의 상태 , QoS를 통한 우선순위 , LB , 라우팅 등등 여러가지의 이유로 SYN/ACK패킷은 방화벽을 거치지 않고
Backbone 스위치에서 직접적으로 유입되었다.
출발지는 SYN/ACK 패킷을 받았기에 이에 대한 응답으로 ACK패킷을 보낸다.
하지만 서버 입장에서는 SYN/ACK를 받아 ACK을 보냈지만
방화벽 입장에서는 아직 SYN/ACK이 도착하지 않았는데? ACK이 왔기 때문에 해당 패킷은 Drop되며,
결국 통신이 안되는 상태다
위 상황을 비대칭 라우팅 상황이라고 할 수 있는데
1번 출입구로 나가 1번 출입구로 들어온다. - 대칭 라우팅
1번 출입구로 나가 2번 출입구로 들어온다. - 비대칭 라우팅
위 와 같은 상황이 될 경우 통신이 안되거나, 아주 느려지는 상황이 발생할 수 있다.
그래서 Fortigate 장비에서는 아래와 같은 명령어를 사용한다.
Fortigate # config system settings
Fortigate # set asymroute enable
Fortigate # end
해당 명령어(set asymroute)를 enable 시켜 주면
비대칭라우팅을 허용한다는 뜻으로 위 와 같은 장애 상황을 해결할 수 있지만, 보안적으로는
'일 > 보안' 카테고리의 다른 글
| [Fortigate] NAT <-> TransParent 모드 변경 하는 법 , 명령어 (0) | 2021.12.17 |
|---|---|
| [Fortigate] GUI 접속, CLI 접속 (0) | 2021.12.16 |
| [SECUI MF2] 리눅스 Shell 접속 , 콘솔 접속 , CLI 접속 방법 (0) | 2021.11.19 |
| [SECUI MF2] 초기 셋팅 , 초기 계정 및 패스워드 (0) | 2021.11.19 |
| [SECUI MF2] GUI 접속 MFx APP다운로드 Mac OS, 32비트, 64비트 (0) | 2021.11.19 |
