예전 L7 스위치를 개발하고 운영했었던 네트워크 업체에 다녀본 경험을 바탕으로 말씀드리자면 여러가지 걱정되는 부분이 보입니다.
1. 제한적이고 가벼운 리소스 장치에서 잘 실행 (예: Raspberry pi 3B+) : 공격 중에도 시스템이 계속 작동할 수 있도록 보장하는 고가용성(서버가 중단되지 않음)을 보장해야 한다는 조항이 있는데 IoT 장비에 방화벽을 올리는 건 무리입니다. 발열에 100% 대처할 수가 없습니다. 네트워크 장비 개발 업체들이 방화벽(L7 스위치)을 HW 일체형으로 판매하는 것은 이러한 이유에서입니다.
2. 각종 Flooding Attack 방지 : 각 패킷마다 flow를 분류하고 thresholding하는 기능부터 구현해야 하는데, zero base로 시작한다면 기본적인 기능 구현만 해도 최소 몇 달은 걸립니다. 예상 기간 20일은 너무 작은 기간입니다.
3. 엑셀에 명시된 모든 기능을 구현하는데 몇 백만원은 턱없이 적은 금액입니다. 조달청에 나온 기존 방화벽 제품 가격을 살펴 보시는 것을 권합니다.
개인적으로 봤을 때 프로젝트 성공률은 희박하다고 판단이 되네요. 아무쪼록 좋은 인연을 만드시길 빌겠습니다.
2023.07.18. 오후 22:37
di******
클라이언트
@gilgil경험이 풍부한 분의 의견에 감사드립니다.
1. CPU와 RAM(1GB) 측면에서 라즈베리파이 3B+의 한계를 이해합니다. 그러나 방화벽 장치가 구현되지 않는 시나리오, 예를 들어 스마트 홈 IoT 네트워크를 적용하고자 하기 때문입니다 이 소프트웨어는 DDoS를 방지하기 위한 주요 도구가 아닌 DDoS 공격 방어를 지원하는 것을 목표로 하는 경량 소프트웨어가 될 것 입니다.
2. netfilter와 같은 라이브러리로 제로베이스에서 시작하면 많은 패킷 유형을 분석하기 어렵다는 것에 동의합니다. 따라서 개발자가 구현을 위해 어떠한 프레임워크(라이센스가 필요하지 않음)를 사용하도록 제한하지 않습니다. 예를 들어, 나는 라이선스가 필요 없는 프레임워크인 pcapplusplus에 대해 조사했습니다. 이를 통해 IPv4, IPv6, TCP, UDP, ICMP(v4, v6), TLS, DTLS, HTTP 등(MQTT 및 CoAP는 포함되지 않음)을 쉽게 구문 분석하고 필터링할 수 있습니다. 그러나 TCP/UDP 패킷을 구문 분석할 수 있다면 MQTT와 CoAP도 구문 분석할 수 있습니다. https://pcapplusplus.github.io/docs/features 를 참조할 수 있습니다.
3. 요구사항이 더 명확하게 작성 안했어서 큰 프로젝트라고 생각하시면 됩니다. 하지만 이 프로젝트는 포괄적인 DDoS 방지 도구를 설치하는 것이 목적이 아니며, Ubuntu OS에 설치할 경량 소프트웨어일 뿐이며, 라즈베리 파이 3B++와 같은 경량 장치를 목표로 한다. 또한, 우리는 요구사항의 수를 줄이기 위해 논의할 수 있습니다. 또한 이 소프트웨어를 검증하는 테스트 사례는 매우 간단한 사례가 될 것입니다. 예를 들어, 10초마다 100개의 TCP 동기화가 전송되어 TCP SYN 플러드 공격을 시뮬레이션합니다. 홍수 공격에 대한 임계값이 설정되고 장치의 하드웨어 리소스를 고려할 수 있습니다.
당신이 분석한 바와 같이, 나는 당신이 이 분야에서 많은 경험을 가지고 있다고 생각합니다. 그래서 우리가 win-win 이익을 위해 함께 노력할 수 있기를 바랍니다. 우리는 예산과 개발 시간에 맞게 요구사항을 줄이는 것에 대해 논의할 수 있습니다.
P/S: 저는 개발자 생각에 pcappplusplus가 이 프로젝트에 사용하기에 적합한 프레임워크라고 생각한다. 블록 패킷은 넷필터나 iptables 등을 사용할 수 있습니다.
예전 L7 스위치를 개발하고 운영했었던 네트워크 업체에 다녀본 경험을 바탕으로 말씀드리자면 여러가지 걱정되는 부분이 보입니다.
1. 제한적이고 가벼운 리소스 장치에서 잘 실행 (예: Raspberry pi 3B+) : 공격 중에도 시스템이 계속 작동할 수 있도록 보장하는 고가용성(서버가 중단되지 않음)을 보장해야 한다는 조항이 있는데 IoT 장비에 방화벽을 올리는 건 무리입니다. 발열에 100% 대처할 수가 없습니다. 네트워크 장비 개발 업체들이 방화벽(L7 스위치)을 HW 일체형으로 판매하는 것은 이러한 이유에서입니다.
2. 각종 Flooding Attack 방지 : 각 패킷마다 flow를 분류하고 thresholding하는 기능부터 구현해야 하는데, zero base로 시작한다면 기본적인 기능 구현만 해도 최소 몇 달은 걸립니다. 예상 기간 20일은 너무 작은 기간입니다.
3. 엑셀에 명시된 모든 기능을 구현하는데 몇 백만원은 턱없이 적은 금액입니다. 조달청에 나온 기존 방화벽 제품 가격을 살펴 보시는 것을 권합니다.
개인적으로 봤을 때 프로젝트 성공률은 희박하다고 판단이 되네요. 아무쪼록 좋은 인연을 만드시길 빌겠습니다.