[EnCase] RAID 시스템 분석하기 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 RAID 디스크에 대해 알아 봅시다. 사실 RAID 디스크는 현장에서 물리적으로 획득하는 경우는 거의 없고, 논리적으로 데이터를 획득하기 마련이죠. RAID에 대한 간단한 이론적 지식과 EnCase에서는 어떤 방식으로 처리하는지 살펴봅니다.

 

RAID 설정 및 스트라이프 셋(Stripe Sets)

하드웨어적으로 또는 소프트웨어적으로 구현 가능한 기술입니다.

여러 개의 작은 디스크 드라이브를 하나의 큰 디스크 드라이브처럼 보이게 배열(array)을 결합하는 기술입니다.

1987년 캘리포니아 대학 버클리 분교의 Patterson, Gibson, Katz가 논문으로 소개한 기술입니다.

 

RAID 종류

RAID Level 0 : Block Striping

데이터를 Stripe로 분배하여 배열로 연결된 드라이브 전체에 분배합니다.

Disk Spanning과 유사합니다.

단순히 여러 개의 드라이브를 결합하는 것 입니다.

단점 : 하나의 드라이브에서 장애가 발생해도 전체 데이터를 모두 잃게 됩니다.

 

RAID Level 1 : Disk Mirroring

데이터를 여러 개의 드라이브에 동일하게 저장하는 방식입니다.

각각의 디스크에 대한 동일한 사본을 만듭니다.

하나의 디스크 컨트롤러에 장애가 발생되어 문제가 되는 상황을 방지할 수 있습니다.

‘이중화(duplexing)’라고도 부릅니다.

 

RAID Level 2 : ECC로 분배

배열에 구성된 드라이브에 데이터를 싱글 비트로 분산시키고, ECC 디스크 드라이브에 저장된 체크섬 비트인 ‘오류정정코드(Error Correction Cod, ECC)'를 생성하는 Hamming Code 라는 알고리즘을 사용합니다.

요즘에는 대부분의 디스크 드라이브가 각각의 섹터에 ECC 정보를 내장하고 있기 때문에 별로 사용하지 않습니다.

 

RAID Level 3 : Parity를 갖는 Byte 분배

RAID Level 2와 동일한 분배 방식을 사용하지만, 전체 데이터 셋에 대하여 ECC 정보를 계산하기 보다는, 지정된 패리티(Parity) 디스크의 데이터에 대한 패리티를 생성하는 방식입니다.

단점은 모든 읽기, 쓰기 작업을 할 때 배열에 구성된 모든 드라이브에 엑세스해야 하므로 병목현상이 발생할 수 있습니다.

 

RAID Level 4 : Parity Drive를 갖는 Block 분배

RAID Level 3과 유사하나, Level 3이 비트 또는 바이트로 드라이브에 데이터를 분산하는 반면, Level 4는 더 큰 스트라이프 크기를 사용합니다.

 

RAID Level 5 : 분산된 Parity를 갖는 Block 분배

패리티 정보를 저장하기 위해 추가 드라이브를 사용합니다.

Level 5는 Level 4와 동일하지만, 패리티 데이터를 배열안에 구성된 모든 드라이브에 분산시킴으로써 ‘병목현상’을 줄입니다.

오늘날 가장 많이 사용하는 형태입니다.

 

RAID Level 6 : 2개의 분산된 Parity를 갖는 Block 분배

RAID 5 패리티를 포함하여 모든 드라이브에서 생성된 패리티를 추가로 갖는 방식입니다.

현재 실용화 되지는 않고 있습니다.

 

RAID Level 7 : Storage Computer 등록 상표

 

RAID Level 0+1 또는 Level 10 : 미러링 스트라이핑 구성

 

 

마케팅과 RAID

각 제조사는 더 좋은 시스템으로 보이도록 하기 위해 RAID 번호를 더 높이는 경향이 있습니다.

Member disk :  RAID 구성에 포함된 하나의 디스크 드라이브입니다.

Rank : Member disk의 그룹을 말합니다.

 

하드웨어 RAID의 종류

내부 RAID 컨트롤러

멀티 채널 호스트 어댑터 카드(PCI)를 사용합니다.

 

외부 RAID 장비

컨트롤러 카드와 드라이브를 마운트할 수 있는 여러 개의 베이(bay)를 갖는 캐비닛 형태입니다.

 

소프트웨어 RAID

 

하드웨어 RAID 이미징하기

Local 에서 직접 Imaging

LinEn을 사용합니다.

 

Network Cable을 이용한 Imaging

EnCase Network Boot Disk (ENBD)를 사용합니다.

 

각각의 Member disk를 Imaging

 

EnCase Enterprise를 이용한 RAID Imaging

가장 이상적인 방법입니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics