Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
NW 및 NW보안
황인균
내용
1. OSI7레이어 .................................................................................................
3.1.7 게이트웨이..................................................................................................................
3.4.1.3 액티버티.................................................................................................................
3.6.2.2 IPv6(IPng) ..........................................................................................................
3.7.2.4.2 인터넷접근기술............................................................................................................
3.7.3.6.4 NFC................................................................................................................
3.7.5.8.2 DSSS ..............................................................................................................
3.8.3.5 허브...................................................................................................................
1. OSI7레이어
▣응용 계층
☞각종 응용 서비스
※ 기밀성과 무결성을 동시에 제공( 예, HTTPS )
※ 부인 방지 제공( 전자서명, 이메일)
▣표현계층
☞암호화, 압축, 변환 수행
▣세션 계층
☞소켓 프로그래밍
☞동기화
☞세션 연결/관리/종료
※ 기밀성을 제공하지...
▣ 멀티 레이어 단점
☞Multilayer protocols provide the following benefits:
√A wide range of protocols can be used at higher layers....
3. 프로토콜,기술, 장비
▣통신프로토콜
☞연결하는 과정, 통신회선에서 접속 방식, 통신회선을 통해 전달되는 정보의 형태, 오류발생에 대한
제어, 송/수신측 간의 동기 방식등에 대한 약속
▣프로토콜 주요 요소
☞구문(s...
이를위해 수신측에서 데이터 넘침을 송신측에 통보하는 피드백 메커니즘 필요
한편, 이를 `속도 조절(pacing)`이라고도 함 (송신,수신의 속도를 일치시키는 것)
☞흐름 제어 방식 구분
√송신제어 방식 ☞ 정지대기방식 ...
프레임이 손상되었거나 분실되었을때 수행되는 재전송 과정
ARQ 기법은 흐름제어 기법과 관련됨
√Stop-and-Wait ARQ
√Go-Back-N ARQ
√Selective Repeat ARQ, 선택적 재전송
☞FEC
...
L4~
L7
게이트웨이 L7스위치
- 응용 계층간의 변환, 이기종 N/W 연경, SNA to LAN, X.25 to LAN
- 다른 통신 매체나 전송방식 또는 사용하는 코드 체계에 이르기까지 이
기종의 기계들을 서로 접...
- 패킷의 주소를 보고 인접 세그먼트에 전송할것인가의 여부를 판단
- 하드웨어 주소인 MAC주소를 사용하며 동일 프로토콜간 연결
- 서로 다른 구조의 네트워크 연결( 이더넷과 토큰링)에 사용
- 서로 다른 물리적 매체(...
3.1.4.3 스위치의 기본적인 동작 원리
▣스위치는 각 수신 프레임의 목적지 주소(MAC주소)를 검사한다.
▣자신의 주소 매핑 테이블을 참조하여 출력 포트를 결정한다.
▣출력 포트가 전송 가능하면, 이 프레임을 전송한...
3.1.4.6 스위칭기술
3.1.4.7 Multi-layer 스위칭 기술
3.1.4.8 VLAN기술
3.1.4.8.1 VLAN의 개념
all-in-one, p.669
▣장치의 물리적 위치 대신에 논리적으로 장치를 분리해...
▣브로드캐스트 도메인을 분리할 수 있다.
☞브로드캐스트 도메인을 2계층에서 분리하여 2계층 장비인 스위치를 3계층 장비처럼 사용할 수 있
다.
☞원래의 LAN은 같은 지역에 있는 노드들의 집합을 이야기 하였으나 오늘나의...
☞네트워크의 IP subnet이 VLAN을 구성하는데 사용된다.
☞이 방법은 IP LAN에서 효과적으로 운용된다. VLAN의 구성원을 IP정보를 이용하여 구성할 경우
VLAN은 라우터처럼 동작하는 것이다.
☞하지만 실제...
▣공격자는 스위치처럼 동작하는 시스템을 가질 수 있다.
이 시스템은 트렁킹 trunking 프로토콜과 태깅 값 tagging values을 이해한다.
자신을 VLAN 장치들 사이에 위치시켜 이동하는 트래픽에 접근할 수 ...
각 스위치별로 VLAN설정을 하지 않고, 한 군데(그림의 라우터)에서만 해도 모든 스위치에 동기화된
다.
▣VLAN 호핑 공격은 하나의 VLAN이 다른 VLAN과 통신할 때 해커들이 레이어 3 장비를 통과하는
것을 목표...
3.1.5 침입차단시스템(방화벽)
3.1.5.1 침입차단시스템, 방화벽
▣한 네트워크에서 다른 네트워크로의 접근을 제한하기 위해서 사용( 인터넷 -> 기업 네트워크 접근
제한)
▣기업 내부 네트워크 세그먼트에서 다른 내...
√ 로깅
√ 모니터링
√ 감사(auditing)
√ alarms 알람도 가능한 게 있다.
√ even basic IDS functions.
※방화벽 할 수 없는 것
√ 승인된 통신 채널을 통한 악성 코드 전달은 막을 수...
정을 내린다.
√특정 프로토콜 또는 서비스에 전속된다. 즉 프로토콜마다 적어도 하나의 프록시가 필요하다. - 메일
프록시, 웹 프록시
√사용자들을 직접적으로 인증할 수 있는 능력을 갖는다.
.패킷 필터링 및 상태 기반 ...
넷 목적지나 사용자 신분에 따라, 접속 요구를 허용하거나 또는 거부한다.
√일단, 접속 및 "바인드" 요청이 설정되면, HTTP와 같은 일상적인 프로토콜을 따라 정보 교환 흐름이
이루어진다.
▣ 상태기반 방화벽( sta...
√동적 패킷 필터링 특성이 있는 방화벽은 양단의 장비가 실제로 연결을 생성할때 방화벽에 동적으로
ACL에 등록된다.
√연결이 종료되면 (FIN, RST 패킷이 수신되면), ACL에서 해제된다. UDP의 경우는 연결시간이...
설정되어야 한다.
DMZ 구성에 사용 가능
스크린드 호스트
경계 라우터와 내부 네트워크 사이에서 양쪽과 통신하는 침입차단 시스템
경계 라우터(스크리닝 장비) - 방화벽 장비(스크린드 호스트) - 내부 네트워크
인터넷으로...
3.1.5.7 가상 방화벽
▣가상화 침입 차단 시스템
☞가상화 환경
√호스트 시스템 환경 - 동일한 하드웨어 플랫폼상에서 복수의 운영시스템들이 실행될 수 있도록 하
는, 여러 가상 게스트 virtual guest를 가질...
▣Source Routing 위험
☞송신지 라우팅의 보안 위험
☞송신지와 목적지 컴퓨터 사이에 있는 라우터가 아닌 패킷을 송신하는 컴퓨터 자체가 패킷의 라우
팅 경로에 대해서 일부, 또는 전체를 결정하는 것
√IP 헤더...
☞웹(서버) 프록시 서버는 콘텐트 필터링을 수행하하기 위해 일반적으로 사용
☞웹 기반 트래픽을 위해 사용하는 것이 가장 일반적이지만, DNS 프록시 서버처럼 다른 목적의 네트
워크를 위해서도 사용할 수 있다.
▣종류
☞...
☞이메일 게이트웨이
√한 종류의 메일 서버에서 메일을 받아 다른 종류의 메일 서버로 포맷을 변환, 전달
√Unix의 Send mail -> 이메일 게이트웨이 -> X.400표준 --> Microsoft 익스체인지
☞데이...
▣Phreaker 프리커
3.1.9 VPN
CISSP 노트, P.245
▣VPN links between systems - to secure TCP/ IP
▣공중망에 접속해 있는 두 네트워크 사이의 연결을, 마치 전용선...
√ IP 패킷 --> PPP 패킷 -> PPP인식 시스템(네트워크)
√ PPP 패킷-->PPTP 패킷 ->IP기반 시스템(네트워크)
√ PPP 패킷-->L2TP 패킷 ->IP 및 다른 프로토콜(WAN, ATM, 프레임릴...
√ AH, Authentication header
. 무결성, 데이터 근원지 인증(시스템 인증 - 비밀 공유키), 재생공격방지
. 암호화 능력은 제공하지 않음(기밀성 제공하지 않음)
√ ESP, Encapsulating...
√ L2TP는 평문으로 전송
√ L2TP/IPsec - 암호문을 터널 모드로 전송
☞HAIPE
√ High Assurance Internet Protocol Encryptor
√ U.S. National Security...
.IPSec 연결 수립을 위해서 협의해야 하는 것들(알고리즘, 프로토콜, 모드, 키)에 대한 프레임워크
√ OAKLEY 프로토콜
.협상 프로세스를 담당한다.
√ ISAKMP는 운동자(인프라스트럭처)를 제공하고 OAKLE...
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
네트워크와 보안
Upcoming SlideShare
Loading in …5
×

네트워크와 보안

1,159 views

Published on

네트워크 분야의 보안을 정리한 내용이다.

Published in: Engineering
  • Be the first to comment

네트워크와 보안

  1. 1. NW 및 NW보안 황인균 내용 1. OSI7레이어 ...........................................................................................................................................................................9 2. 네트워킹 요소....................................................................................................................................................................11 3. 프로토콜,기술, 장비.........................................................................................................................................................12 3.1 네트워킹 일반............................................................................................................................................................12 3.1.1 프로토콜 기능 ...............................................................................................................................................12 3.1.2 흐름,오류 제어 ..............................................................................................................................................12 3.1.3 네트워킹 장비 ...............................................................................................................................................14 3.1.4 스위치...............................................................................................................................................................16 3.1.4.1 스위치 .................................................................................................................................................. 16 3.1.4.2 스위치와 브리지의 주요 차이점 ............................................................................................. 16 3.1.4.3 스위치의 기본적인 동작 원리 ................................................................................................... 17 3.1.4.4 스위치 특징 ....................................................................................................................................... 17 3.1.4.5 다계층 스위치................................................................................................................................... 17 3.1.4.6 스위칭기술 ......................................................................................................................................... 18 3.1.4.7 Multi-layer 스위칭 기술................................................................................................................ 18 3.1.4.8 VLAN기술 ............................................................................................................................................ 18 3.1.4.8.1 VLAN의 개념 ........................................................................................................................ 18 3.1.4.8.2 VLAN의 효과 ........................................................................................................................ 20 3.1.4.8.3 VLAN 호핑공격 .................................................................................................................... 20 3.1.4.8.4 VoIP(음성) VLAN .................................................................................................................. 22 3.1.5 침입차단시스템(방화벽) ............................................................................................................................23 3.1.5.1 침입차단시스템, 방화벽 ................................................................................................................ 23 3.1.5.2 보안 기능............................................................................................................................................ 23 3.1.5.3 방화벽 세대 ....................................................................................................................................... 23 3.1.5.4 응용하기.............................................................................................................................................. 23 3.1.5.5 기본 방화벽 기술 ............................................................................................................................ 24 3.1.5.6 방화벽 아키텍처 .............................................................................................................................. 27 3.1.5.7 가상 방화벽 ....................................................................................................................................... 29 3.1.5.8 구현 권고사항................................................................................................................................... 29 3.1.5.9 차단 규칙 유형 ................................................................................................................................ 30 3.1.6 프록시 서버....................................................................................................................................................30
  2. 2. 3.1.7 게이트웨이......................................................................................................................................................31 3.1.8 PBX ....................................................................................................................................................................32 3.1.9 VPN ...................................................................................................................................................................33 3.1.10 SEM/SEIM ....................................................................................................................................................38 3.1.11 Botnets,Bots ...............................................................................................................................................39 3.1.12 Multi-layer protocol ...............................................................................................................................39 3.1.13 클라우드 컴퓨팅 ........................................................................................................................................39 3.1.14 UTM................................................................................................................................................................40 3.2 응용계층.......................................................................................................................................................................40 3.2.1 알려진 서비스 제공 ....................................................................................................................................40 3.2.2 프로토콜 ..........................................................................................................................................................40 3.2.2.1 FTP......................................................................................................................................................... 40 3.2.2.2 TFTP....................................................................................................................................................... 40 3.2.2.3 SNMP.................................................................................................................................................... 40 3.2.2.4 SMTP..................................................................................................................................................... 41 3.2.2.5 HTTP...................................................................................................................................................... 42 3.2.2.6 원격접속.............................................................................................................................................. 43 3.2.2.7 IRC.......................................................................................................................................................... 44 3.2.2.8 MIME..................................................................................................................................................... 44 3.2.2.9 SOAP..................................................................................................................................................... 44 3.2.2.10 SASL.................................................................................................................................................... 44 3.2.2.11 SET ....................................................................................................................................................... 45 3.3 표현계층.......................................................................................................................................................................45 3.3.1 주요기능 ..........................................................................................................................................................45 3.3.2 프로토콜 ..........................................................................................................................................................45 3.3.2.1 ASCII...................................................................................................................................................... 46 3.3.2.2 EBCDIC ................................................................................................................................................. 46 3.3.2.3 TIFT ........................................................................................................................................................ 46 3.3.2.4 JPEG....................................................................................................................................................... 46 3.3.2.5 MPEG .................................................................................................................................................... 46 3.3.2.6 MIDI....................................................................................................................................................... 46 3.3.3 기술&구현 ......................................................................................................................................................46 3.3.3.1 코덱....................................................................................................................................................... 46 3.3.4 표현계층 보안 ...............................................................................................................................................46 3.4 세션계층.......................................................................................................................................................................47 3.4.1 주요기능 ..........................................................................................................................................................47 3.4.1.1 세션연결/관리/종료 ........................................................................................................................ 47 3.4.1.2 동기점 .................................................................................................................................................. 47
  3. 3. 3.4.1.3 액티버티.............................................................................................................................................. 47 3.4.2 기술&구현 ......................................................................................................................................................47 3.4.2.1 Java RMI .............................................................................................................................................. 48 3.4.2.2 Microsoft .NET................................................................................................................................... 48 3.4.3 프로토콜 ..........................................................................................................................................................48 3.4.3.1 NFS ........................................................................................................................................................ 48 3.4.3.2 NetBIOS ............................................................................................................................................... 48 3.4.3.3 RPC........................................................................................................................................................ 48 3.4.3.4 RTP......................................................................................................................................................... 49 3.4.3.5 SOCKS .................................................................................................................................................. 51 3.4.3.6 SQL ........................................................................................................................................................ 52 3.5 전송제어계층 ..............................................................................................................................................................52 3.5.1 주요기능 ..........................................................................................................................................................52 3.5.1.1 전송기능.............................................................................................................................................. 52 3.5.1.2 제어기능 구현................................................................................................................................... 52 3.5.1.3 분할과 병합 ....................................................................................................................................... 52 3.5.2 프로토콜 ..........................................................................................................................................................52 3.5.2.1 TCP......................................................................................................................................................... 52 3.5.2.2 UDP ....................................................................................................................................................... 55 3.5.2.3 SCTP...................................................................................................................................................... 55 3.5.2.4 DCCP..................................................................................................................................................... 55 3.5.2.5 SPX......................................................................................................................................................... 56 3.5.2.6 SSL ......................................................................................................................................................... 56 3.5.2.7 TLS ......................................................................................................................................................... 57 3.5.3 전송계층 보안 ...............................................................................................................................................57 3.5.3.1 SYN Flood(half-open) 공격 .......................................................................................................... 57 3.5.3.2 포트 스캔닝 ....................................................................................................................................... 58 3.5.3.3 허니팟과 허니넷 .............................................................................................................................. 58 3.5.3.4 타르갱tarpits...................................................................................................................................... 58 3.5.3.5 지속적이고 주기적인 인증 제공 ............................................................................................... 58 3.5.3.6 TCP Wrapper...................................................................................................................................... 58 3.5.3.7 VPN ....................................................................................................................................................... 58 3.6 네트워크계층 ..............................................................................................................................................................58 3.6.1 주요 기능 ........................................................................................................................................................59 3.6.1.1 혼잡제어.............................................................................................................................................. 59 3.6.1.2 패킷분할/병합 ................................................................................................................................... 59 3.6.2 프로토콜 ..........................................................................................................................................................59 3.6.2.1 IP ............................................................................................................................................................ 59
  4. 4. 3.6.2.2 IPv6(IPng) ............................................................................................................................................ 62 3.6.2.3 DHCP .................................................................................................................................................... 64 3.6.2.4 BOOTP.................................................................................................................................................. 65 3.6.2.5 ICMP...................................................................................................................................................... 65 3.6.2.6 IGMP ..................................................................................................................................................... 66 3.6.2.7 Mobile IP............................................................................................................................................. 66 3.6.2.8 VoIP/mVoIP......................................................................................................................................... 67 3.6.2.9 DNS....................................................................................................................................................... 68 3.6.2.10 라우팅 프로토콜............................................................................................................................ 69 3.6.3 기술&구현 ......................................................................................................................................................72 3.6.3.1 라우터 .................................................................................................................................................. 72 3.6.3.2 NAT/PAT ............................................................................................................................................... 72 3.6.3.3 서브넷팅.............................................................................................................................................. 73 3.6.3.4 DMZ ...................................................................................................................................................... 74 3.6.4 네트워크계층 보안 ......................................................................................................................................75 3.6.4.1 위협....................................................................................................................................................... 75 3.6.4.2 대응책 .................................................................................................................................................. 76 3.7 데이터링크 ..................................................................................................................................................................77 3.7.1 주요기능 ..........................................................................................................................................................78 3.7.1.1 LLC 계층 .............................................................................................................................................. 78 3.7.1.2 MAC계층.............................................................................................................................................. 78 3.7.1.3 데이터 프레이밍 .............................................................................................................................. 78 3.7.1.4 Unicast,Broadcast,Multicast.......................................................................................................... 78 3.7.1.5 매체접근기술..................................................................................................................................... 78 3.7.1.6 MAC 주소 ........................................................................................................................................... 79 3.7.2 유선 ...................................................................................................................................................................79 3.7.2.1 802워킹그룹 ....................................................................................................................................... 79 3.7.2.2 LAN........................................................................................................................................................ 80 3.7.2.2.1 이더넷 ..................................................................................................................................... 80 3.7.2.2.2 토큰링 ..................................................................................................................................... 81 3.7.2.2.3 ARP ........................................................................................................................................... 82 3.7.2.2.4 RARP......................................................................................................................................... 82 3.7.2.3 MAN...................................................................................................................................................... 83 3.7.2.3.1 FDDI.......................................................................................................................................... 83 3.7.2.3.2 SONET,SDH............................................................................................................................ 85 3.7.2.3.3 메트로 이더넷 ...................................................................................................................... 85 3.7.2.4 WAN...................................................................................................................................................... 86 3.7.2.4.1 전화시스템............................................................................................................................. 86
  5. 5. 3.7.2.4.2 인터넷접근기술.................................................................................................................... 87 3.7.2.4.3 X.25........................................................................................................................................... 89 3.7.2.4.4 Frame Relay........................................................................................................................... 90 3.7.2.4.5 SMDS ....................................................................................................................................... 92 3.7.2.4.6 ATM .......................................................................................................................................... 92 3.7.2.4.7 MPLS ........................................................................................................................................ 93 3.7.2.4.8 DWDM-MSPP ....................................................................................................................... 93 3.7.2.4.9 PLC............................................................................................................................................ 93 3.7.2.4.10 SLIP......................................................................................................................................... 93 3.7.2.4.11 SDLC....................................................................................................................................... 94 3.7.2.4.12 HDLC...................................................................................................................................... 94 3.7.2.4.13 LAP ......................................................................................................................................... 95 3.7.2.4.14 PPP ......................................................................................................................................... 96 3.7.2.4.15 인증프로토콜...................................................................................................................... 97 3.7.2.4.16 전용선 .................................................................................................................................101 3.7.2.4.17 가상회선.............................................................................................................................102 3.7.2.5 GAN.....................................................................................................................................................102 3.7.2.6 Intranet/Extranet/Internet...........................................................................................................102 3.7.3 무선 ................................................................................................................................................................103 3.7.3.1 WLAN .................................................................................................................................................103 3.7.3.2 MAC사양............................................................................................................................................104 3.7.3.2.1 802.11 ....................................................................................................................................105 3.7.3.2.2 Wi Fi 표준 ............................................................................................................................106 3.7.3.2.2.1 802.11b(Wi-Fi) ........................................................................................................107 3.7.3.2.2.2 802.11a......................................................................................................................107 3.7.3.2.2.3 802.11i(보안규격) ..................................................................................................107 3.7.3.2.2.4 802.11g .....................................................................................................................111 3.7.3.2.2.5 802.11n(MIMO)......................................................................................................111 3.7.3.2.2.6 802.11ac ...................................................................................................................112 3.7.3.2.3 802.15(불루트스)................................................................................................................112 3.7.3.2.4 802.16(WiMAX)...................................................................................................................112 3.7.3.3 Ad hoc WLAN .................................................................................................................................113 3.7.3.4 SSID.....................................................................................................................................................113 3.7.3.5 MAC 필터링 .....................................................................................................................................113 3.7.3.6 WPAN .................................................................................................................................................113 3.7.3.6.1 BlueTooth..............................................................................................................................113 3.7.3.6.2 UWB........................................................................................................................................114 3.7.3.6.3 Zigbee....................................................................................................................................114
  6. 6. 3.7.3.6.4 NFC.........................................................................................................................................115 3.7.3.6.5 iBeacon..................................................................................................................................115 3.7.3.6.6 WiBEEM.................................................................................................................................115 3.7.3.7 WMAN................................................................................................................................................116 3.7.3.7.1 MAC사양-802.16................................................................................................................116 3.7.3.8 WWAN................................................................................................................................................116 3.7.3.8.1 MAC사양-802.20................................................................................................................116 3.7.3.8.2 WAP........................................................................................................................................116 3.7.3.9 1G.........................................................................................................................................................117 3.7.3.9.1 AMPS(FDMA) ......................................................................................................................117 3.7.3.10 2G......................................................................................................................................................117 3.7.3.10.1 셀룰러:CDMA ...................................................................................................................117 3.7.3.10.2 PCS:TDMA/CDMA...........................................................................................................117 3.7.3.10.3 GSM:FDMA/TDMA..........................................................................................................117 3.7.3.11 3G ......................................................................................................................................................117 3.7.3.11.1 W-CDMA ............................................................................................................................117 3.7.3.11.2 Cdma2000 1x EV-DO.....................................................................................................117 3.7.3.12 4G......................................................................................................................................................117 3.7.3.12.1 LTE ........................................................................................................................................117 3.7.3.12.2 핵심기술.............................................................................................................................117 3.7.4 가입자망 .......................................................................................................................................................118 3.7.5 기술&구현 ...................................................................................................................................................118 3.7.5.1 흐름,오류제어 ..................................................................................................................................118 3.7.5.2 브릿지 ................................................................................................................................................118 3.7.5.3 L2 스위치 ..........................................................................................................................................119 3.7.5.4 회선구성............................................................................................................................................119 3.7.5.4.1 교환망 ...................................................................................................................................119 3.7.5.4.2 방송망 ...................................................................................................................................120 3.7.5.5 매체공유............................................................................................................................................120 3.7.5.5.1 토큰패싱 ...............................................................................................................................120 3.7.5.5.2 Carrier-Sensing...................................................................................................................120 3.7.5.5.3 폴링 ........................................................................................................................................121 3.7.5.6 MA & Multiplexing .......................................................................................................................121 3.7.5.6.1 MA ..........................................................................................................................................122 3.7.5.6.2 Multiplexing.........................................................................................................................123 3.7.5.7 VPLS ....................................................................................................................................................123 3.7.5.8 확산스펙트럼...................................................................................................................................123 3.7.5.8.1 FHSS .......................................................................................................................................123
  7. 7. 3.7.5.8.2 DSSS .......................................................................................................................................124 3.7.5.8.3 OFDM.....................................................................................................................................124 3.7.5.9 링크어그리게이션 ..........................................................................................................................125 3.7.5.10 채널본딩 .........................................................................................................................................126 3.7.5.11 Spanning Tree Protocol(STP) ...................................................................................................126 3.7.6 데이터링크계층 보안...............................................................................................................................126 3.7.6.1 암호화 ................................................................................................................................................127 3.7.6.1.1 데이터링크계층암호화 ....................................................................................................127 3.7.6.1.2 무선랜 암호화 ....................................................................................................................127 3.7.6.2 인증.....................................................................................................................................................127 3.7.6.2.1 MAC Address Filtering ....................................................................................................127 3.7.6.2.2 공유키 인증 ........................................................................................................................127 3.7.6.2.3 EAP..........................................................................................................................................127 3.7.6.3 무선랜 보안 .....................................................................................................................................127 3.7.6.3.1 war driving...........................................................................................................................128 3.7.6.3.2 Rouge AP..............................................................................................................................128 3.7.6.3.3 WLAN 컨트롤러.................................................................................................................128 3.7.6.3.4 모바일 장비 보안 .............................................................................................................129 3.7.6.3.5 WIPS .......................................................................................................................................129 3.7.6.3.6 무선 매체.............................................................................................................................130 3.7.6.3.7 Captive Portal .....................................................................................................................130 3.7.6.3.8 터널링 ...................................................................................................................................130 3.7.6.4 보안 표준..........................................................................................................................................130 3.7.6.4.1 802.1AR(DevID) ..................................................................................................................131 3.7.6.4.2 802.1AF(KEY_.......................................................................................................................131 3.7.6.4.3 802.1AE(MACSec) ..............................................................................................................132 3.8 물리적계층 ...............................................................................................................................................................132 3.8.1 네트워크 토폴로지 ...................................................................................................................................132 3.8.2 프로토콜 .......................................................................................................................................................132 3.8.2.1 HSSI.....................................................................................................................................................132 3.8.3 기술&구현 ...................................................................................................................................................134 3.8.3.1 케이블 ................................................................................................................................................134 3.8.3.1.1 꼬임케이블...........................................................................................................................136 3.8.3.1.2 동축케이블...........................................................................................................................136 3.8.3.1.3 광섬유케이블 ......................................................................................................................136 3.8.3.2 패치패널............................................................................................................................................136 3.8.3.3 모뎀.....................................................................................................................................................136 3.8.3.4 케이블 모뎀 .....................................................................................................................................136
  8. 8. 3.8.3.5 허브.....................................................................................................................................................136 3.8.3.6 중계기(리피터) ................................................................................................................................137 3.8.3.7 무선 접속 장치 ..............................................................................................................................137 3.8.3.8 커넥터 ................................................................................................................................................137 3.8.3.9 베이스밴드,브로드밴드 ................................................................................................................137 3.8.4 물리계층 보안 ............................................................................................................................................137 3.8.4.1 잡음.....................................................................................................................................................138 3.8.4.2 감쇠 attenuation ...........................................................................................................................138 3.8.4.3 누화 crosstalk .................................................................................................................................138 3.8.4.4 방사.....................................................................................................................................................138 4. 응용서비스 .......................................................................................................................................................................139 4.1 이메일서비스 ...........................................................................................................................................................139 4.1.1 이메일릴레잉 ..............................................................................................................................................139 4.1.2 이메일스푸핑 ..............................................................................................................................................139 4.1.3 whaling 공격 ..............................................................................................................................................139 4.1.4 SMTP-AUTH ...............................................................................................................................................139 4.1.5 SPF ..................................................................................................................................................................139 4.1.6 침입차단시스템 ..........................................................................................................................................140 4.2 DNS서비스................................................................................................................................................................140 4.2.1 도메인 네임 스페이스.............................................................................................................................140 4.2.2 DNS데이터베이스......................................................................................................................................140 4.2.3 네임서버 .......................................................................................................................................................141 4.2.4 해석기............................................................................................................................................................141 4.2.5 nslookup ......................................................................................................................................................142 4.2.6 DNS프로토콜...............................................................................................................................................142 5. 네트워크관리 ...................................................................................................................................................................142 5.1 명령어 ........................................................................................................................................................................142
  9. 9. 1. OSI7레이어 ▣응용 계층 ☞각종 응용 서비스
  10. 10. ※ 기밀성과 무결성을 동시에 제공( 예, HTTPS ) ※ 부인 방지 제공( 전자서명, 이메일) ▣표현계층 ☞암호화, 압축, 변환 수행 ▣세션 계층 ☞소켓 프로그래밍 ☞동기화 ☞세션 연결/관리/종료 ※ 기밀성을 제공하지 않는 계층 ▣전송계층 ☞데이터 전송 보장 √흐름제어 √QoS ▣네트워크 계층 ☞라우팅(통신경로 설정), 중계기능(교환) ☞라우팅 혼잡 제어 ☞데이터그램, 가상회선 방식 ※ 기밀성과 무결성, 인증을 제공( IPSec ) ▣데이터링크 계층 ☞프레임화 ☞LLC, MAC 계층 구분 ☞매체 제어(MAC) ☞오류제어, 에러 검출, 에러 정정, 흐름 제어 ☞프레임 형식 정의 ☞BEC, FEC, 해밍코드, HDLC( High-Level Data Link Control, 시스코 프로토콜) ▣물리계층 ☞데이터 코딩 , 변조 방식 - AM, FM, PM ☞데이터 부호화 방식 - ASK, FSK, PSK ☞멀티 플렉싱 - TDM, FDM ☞전송 방식- baseband , broadband ☞데이터 속도, 전송매체 ※ 시스템 레벨의 보안 제공 계층 - 전송 계층과 네트워크 계층
  11. 11. ▣ 멀티 레이어 단점 ☞Multilayer protocols provide the following benefits: √A wide range of protocols can be used at higher layers. √Encryption can be incorporated at various layers. √Flexibility and resiliency in complex network structures is supported. ☞There are a few drawbacks of multilayer protocols: √Covert channels are allowed. √Filters can be bypassed. √Logically imposed network segment boundaries can be overstepped. ☞There are numerous covert channel communication mechanisms that use encapsulation to hide or isolate an unauthorized protocol inside another authorized one. ☞HTTP Tunnel 툴 √For example, if a network blocks the use of FTP but allows HTTP, then tools such as HTTP Tunnel can be used to bypass this restriction. √This could result in an encapsulation structure such as this: .[ Ethernet [ IP [ TCP [ HTTP [ FTP ] ] ] ] √Normally, HTTP carries its own web-related payload, but with the HTTP Tunnel tool, the standard payload is replaced with an alternative protocol. ☞ICMP-Loki √This false encapsulation can even occur lower in the protocol stack. √For example, ICMP is typically used for network health testing and not for general communication. √However, with utilities such as Loki, ICMP is transformed into a tunnel protocol to support TCP communications. √The encapsulation structure of Loki is as follows: .[ Ethernet [ IP [ ICMP [ TCP [ HTTP ] ] ] ] ] ☞VLAN hopping √Another area of concern caused by unbounded encapsulation support is the ability to jump between VLANs. √VLANs are networks segments that are logically separated by tags. √This attack, known as VLAN hopping, is performed by creating a double-encapsulated IEEE 802.1Q VLAN tag: .[ Ethernet [ VLAN1 [ VLAN2 [ IP [ TCP [ HTTP ] ] ] ] ] ] .With this double encapsulation, the first encountered switch will strip away the first VLAN tag, and then the next switch will be fooled by the interior VLAN tag and move the traffic into the other VLAN. 2. 네트워킹 요소 ▣"데이터 통신" 정리 잘됨 - http://www.aceking.co.kr/datacomm/data_main.html
  12. 12. 3. 프로토콜,기술, 장비 ▣통신프로토콜 ☞연결하는 과정, 통신회선에서 접속 방식, 통신회선을 통해 전달되는 정보의 형태, 오류발생에 대한 제어, 송/수신측 간의 동기 방식등에 대한 약속 ▣프로토콜 주요 요소 ☞구문(syntax) : 데이터구조와 순서에 대한 표현( 프리젠테이션 레이어) √어떤 프로토콜에서 데이터의 처음 8비트는 송신지의 주소를 다음 8비트는 수신지 주소를 나타낸다. ☞의미( semantics):제어 메커니즘 - 전송제어, 오류제어( 네트워크 계층 ) √프로토콜의 주소부분 데이터는 메시지가 전달될 경로 또는 최종 목적지를 나타낸다. ☞타이밍 : 통신속도, 전송시간 및 순서 3.1 네트워킹 일반 ▣각 계층별 전송, 흐름, 오류 제어 방식 정리 필요 3.1.1 프로토콜 기능 ▣프로토콜 주요 기능들(http://www.ktword.co.kr/abbr_view.php?nav=2&id=772) ▣캡슐화 (Encapsulation) - 헤더, 트레일러로 페이로드를 감싸기 ▣순서제어 (Sequence Control) ▣흐름제어 (Flow Control) ▣에러제어 (Error Control) ▣동기화 (Synchronization) ▣주소지정 (Addressing) ▣단편화 및 재합성 (Fragmentation, Reassembly) ▣데이터의 형식화 (Data Formatting) 등 3.1.2 흐름,오류 제어 ▣흐름 제어는 TCP의 경우는 연결지향적이기 때문에 아래 기법을 사용할 수 있다. ▣그러나 UDP의 경우는 ICMP를 사용해야 한다. ▣흐름제어 ☞Flow Control ( http://www.ktword.co.kr/abbr_view.php?nav=2&choice=map&id=746&m_temp1=392 ) ☞흐름 데이터의 "양"을 제어하는 기능 ☞송신측이 수신측의 처리속도 보다 더 빨리 데이타를 보내지 못하도록 제어해 주는 것 수신측에서 송신측 발송 데이타의 양이나 속도를 제한 (송신측을 억제하는 형태)
  13. 13. 이를위해 수신측에서 데이터 넘침을 송신측에 통보하는 피드백 메커니즘 필요 한편, 이를 `속도 조절(pacing)`이라고도 함 (송신,수신의 속도를 일치시키는 것) ☞흐름 제어 방식 구분 √송신제어 방식 ☞ 정지대기방식 (Stop and Wait) 한번에 1개씩 수신확인하며 프레임을 전송하는 방식 링크상에서 보내고자하는 데이터가 프레임 길이 보다 긴 경우에는 비효율적임 √전송률 기반 흐름제어 (Rate-based) 데이터 송신률에 대한 임계값 관리에 의한 흐름제어 √윈도우 기반 흐름제어 (Window-based) ☞ Sliding Window 여러 개의 프레임을 동시에 보내고자하는 기법 기타 윈도우 방식 : 크레디트(Credit) 윈도우 방식, 페이징(paging) 윈도우 방식 ☞Stop-and-wait √전송측이 프레임을 전송한 후 각 데이터 프레임에 대한 ACK 기다림 √ACK 프레임이 도착하면 다음 프레임을 전송 √하나씩 전송 -> 전송 비효율적 ☞rate-based ☞슬라이딩윈도우 √Stop-and-wait 비효율성 개선 √전송측이 전송한 프레임에 대한 ACK 프레임을 수신하지 않더라도, 여러개의 프레임을 연속적으로 전송하도록 허용. √전송측과 수신측 양쪽에서 프레임을 보관 √윈도우 전송 및 수신 스테이션 양쪽에서 만들어진 버퍼 ▣ 오류제어 ☞http://www.ktword.co.kr/abbr_view.php?nav=2&choice=map&id=772&m_temp1=1299 ☞ 에러 제어 (Error Control) √데이타 전송 중 발생되는 에러를 검출(에러검출), 정정(에러정정)하는 메커니즘 ☞에러 제어 방식 구분 √BEC(후진 에러 수정) √FEC(전진 에러 수정, 순방향 에러 수정) ☞BEC √Backward Error Correction, 후진 오류 정정 방식 √Data + 탐지정보 전달 √ARQ(Automation Repeat Request) 역채널 통신
  14. 14. 프레임이 손상되었거나 분실되었을때 수행되는 재전송 과정 ARQ 기법은 흐름제어 기법과 관련됨 √Stop-and-Wait ARQ √Go-Back-N ARQ √Selective Repeat ARQ, 선택적 재전송 ☞FEC √Forward Error Correction, 전진오류 정정방식 √송신 -> 수신 : Data + 정정 정보 전송 √예, 방송, 위성통신 - 전송지연 높아지고, 전송비용 높아질 수 있는 경우 사용 ☞BEC √Stop-and-wait ARQ 전송장치는 타이머를 갖고, 주어진 시간내에 ACK가 오지 않으면 재전송 √슬라이딩 윈도우 오류제어 Go-Back-N ARQ 구조가 비교적 간단 효율성이 향상되어 가장 널리 사용 Go-Back-N ARQ NAK(Negative-Acknowledgement)을 받으면 송신측에서는 해당 번호의 프레임부터 재전송하게 된다. Selective-Repeat ARQ Selective Repeat ARQ, 선택적 재전송 송신측과 동일한 크기의 버퍼에 프레임을 저장. 오류있는 프레임에 대해서만 재전송을 요청한다. ☞FEC ▣ Piggybacking ☞양방향 전송 기능을 갖는 채널 방식에서 전송 데이터와 제어 데이터( 오류, 흐름 제어)를 함께 전 송 ☞수신측에서 수신된 데이터에 대한 확인(Acknowledgement)을 보내야 할때, 별도의 제어 프레임을 즉시 보내지 않고, ☞전송할 데이터가 있는 경우에 해당 데이터 프레임 안에 확인 필드를 덧붙여 전송(Piggyback)하 는 오류제어 및 흐름제어 방식 3.1.3 네트워킹 장비 계층 장비 기능 설명
  15. 15. L4~ L7 게이트웨이 L7스위치 - 응용 계층간의 변환, 이기종 N/W 연경, SNA to LAN, X.25 to LAN - 다른 통신 매체나 전송방식 또는 사용하는 코드 체계에 이르기까지 이 기종의 기계들을 서로 접속하려 할때 사용하는 장비 - 응용 계층까지의 정보를 확인한 후 메시지를 전송 L4 스위치 - 응용간 논리적인 통로인 포트 제공 - 포트정보를 이용하여 네트워크 트래픽을 분류하고, 해당 트래픽의 경로 를 결정하는 하는 스위칭 기술 - 로드 밸런싱 기능 L3 IP 라우터 - IP 기반의 전달 경로 결정, 라우팅될 망 결정, Routing 서비스, 사전경로 결정 안됨, connection-less - N/W계층의 경결, 백본/Routing table에 따라 경로 설정 - 서로 다른 프로토콜의 LAN들을 연결하기 위하여 LAN입구에 설치하여 사용하는 장비(예:LAN과 WAN 접속 역할) -같은 종류의 LAN에서 사용하는 데이터 패킷이 다른 종류의 LAN으로 흘 러들어가는 것을 막는 역할 - 통신 트래픽이 과도할 경우에는 다른 경로로 우회하여 전송하는 혼잡 제어 - 프로토콜 타입과 네트워크 계층의 주소를 기반으로 VLAN을 구성하는 기술 - LAN to LAN, LAN to WAN 연결 지원 Subneting Routing Table Rounting시 IP 패킷의 소스 MAC 주소를 라우터 자신의 MAC으로 변경한 다. L2 MAC 브릿 지 MAC 스위 치 - MAC 기반의 전달 경로 결정, Forwarding 서비스, 사전 경로 결정, connection-oriented - 물리계층 및 데이터링크 계층 연결, 물리적으로 다른 LAN들을 상호 연 결하여 연동시키는 장비(LAN to LAN) - 두 개의 LAN을 연결한다는 점에서 리피터와 동일 그러나 통신하고자 하는 노드가 포함된 네트워크로만 패킷을 전달.
  16. 16. - 패킷의 주소를 보고 인접 세그먼트에 전송할것인가의 여부를 판단 - 하드웨어 주소인 MAC주소를 사용하며 동일 프로토콜간 연결 - 서로 다른 구조의 네트워크 연결( 이더넷과 토큰링)에 사용 - 서로 다른 물리적 매체(통신선로)로 구성된 네트워크 연결 - 스위치 : multi-port bridge, 다수의 세그먼트(LAN) 연결 - LAN to LAN, 스위치 : LAN to MAN 가능 L1 리피터 허브 주소없음. 브로드캐스팅함 동일한 물리계층(동일한 통신매체, 네트워크 구조)내의 서브 네트워크 구 성 LAN 전송매체상의 신호를 단순 중계, 0,1 증폭(네트워크 규모의 확장) 허브 : multi-port repeater Routers, Switches & Firewalls – Learn how they are different 굿- http://www.petri.co.il/csc_routers_switches_and_firewalls.htm# 3.1.4 스위치 3.1.4.1 스위치 ▣다른 컴퓨터, 다른 허브, 다른 스위치 연결을 위해 다중 포트(multiport)를 제공하는 연결 장비 ▣an intelligent hub- outbound 포트에 연결된 시스템의 주소를 알고 있다. ▣스위치는 동시에 많은 수의 LAN과 워크스테이션들 사이에 프레임 교환을 가능하게 해주는 데이타 링크 계층의 네트워크 연결 장비이다. . 3.1.4.2 스위치와 브리지의 주요 차이점 ▣개념적으로는 LAN 브리지와 유사하지만, 스위치는 포트별 병렬성을 제공하여 하나의 포트에서 다 른 포트로 동시에 정보를 전송할 수 있는 기능을 제공한다 ▣일반적으로 브리지보다 많은 수의 포트를 가지고 있다. ▣스위치는 동시에 수신되는 복수개의 프레임을 처리해야 하므로, 내부구조는 브리지와은 상당히 다 르다. ▣브리지의 성능은 CPU의 성능에 의해 결정된다.
  17. 17. 3.1.4.3 스위치의 기본적인 동작 원리 ▣스위치는 각 수신 프레임의 목적지 주소(MAC주소)를 검사한다. ▣자신의 주소 매핑 테이블을 참조하여 출력 포트를 결정한다. ▣출력 포트가 전송 가능하면, 이 프레임을 전송한다. 즉, 프레임 전체가 수신되기 전에 목적지 주소 만을 보고 판단하여 곧바로 전송할 수 있다. (Cut-through) 만약, 출력 포트가 전송 가능하지 않으면, 이를 내부 버퍼에 저장하였다가 출력 포트가 전송 가능할 때 전송한다. (Store & Forward) 3.1.4.4 스위치 특징 ▣스위치는 데이타링크 계층의 주소를 보고 중계를 결정하므로, 기존에 브리지가 가지고 있었던 브로 드캐스트 문제를 그대로 가지고 있는 반면, 라우터가 가지고 있는, 네트워크 계층의 정보를 분석하고, 이를 통해 중계하기 전에 패킷을 수정(홉수 수정 등)하는 등의 처리 부하를 가지고 있지 않는다. ▣한 포트에 연결된 장치는 다른 포트에 연결된 장치와 고유한 가상 사설 링크를 통하여 통신할 수 있다. ▣컴퓨터들이 가상 사설 링크를 가지기 때문에 트래픽을 스니핑하기 어렵다. ☞스위치 네트워크가 라우터 네트워크보다 안전하다. ▣완전 양방향 통신을 채용 ☞두 개의 연결된 장치가 동일한 대역폭을 위해 경쟁하지 않도록 한다. 3.1.4.5 다계층 스위치 ▣기본 스위치 - 데이터 링크 계층에서 작동하고, 트래픽을 MAC 주소에 기반하여 전송한다. ▣다계층 스위치 multilayered switches ☞각 계층의 기능을 조합하는 스위치 -3, 4층, 7층 등 ☞라우팅 기능, 패킷 검사, 트래픽 우선 순위, QoS 기능 ☞ASIC Application specific Integrated Circuit라는 하드웨어에서 스위치 기능이 수행됨. √소프트웨어 수준에 비해 빠른 방식으로 처리된다.
  18. 18. 3.1.4.6 스위칭기술 3.1.4.7 Multi-layer 스위칭 기술 3.1.4.8 VLAN기술 3.1.4.8.1 VLAN의 개념 all-in-one, p.669 ▣장치의 물리적 위치 대신에 논리적으로 장치를 분리해서 그룹으로 만들 수 있는 기술 ☞스위치를 사용하면 물리적으로 인접한 장치들을 논리적으로 서로 다른 VLAN으로 그룹핑할 수 있 다. ☞리피터, 브리지, 라우터를 사용하면 리소스는 물리적 위치에 의해서 그룹핑된다. ☞예를 들어 마케팅 부서의 사용자들이 다른 빌딩, 다른 층에 있어도 동일한 VLAN으로 묶을 수 있 다.
  19. 19. ▣브로드캐스트 도메인을 분리할 수 있다. ☞브로드캐스트 도메인을 2계층에서 분리하여 2계층 장비인 스위치를 3계층 장비처럼 사용할 수 있 다. ☞원래의 LAN은 같은 지역에 있는 노드들의 집합을 이야기 하였으나 오늘나의 LAN은 동일한 Broadcast도메인을 가지는 노드들의집합을 이야기 한다. 즉, 하나의 노드에서 Broadcast를 이용하여 정보를 보내는 경우, 같은 LAN에 있는 멤버들은 이 정보 를 받아 볼 수 있다는 것이다. 이러한 Broadcast는 그 정보를 필요로 하지 않는 노드에게는 쓸데없는 트래픽을 주게 된다. ▣라우터를 이용해도 브로드캐스트 도메인을 분리할 수는 있다. ☞그러나 라우터가 패킷을 처리하는 시간이 스위치나 브릿지 보다 많이 걸린다는 것이다. ☞이러한 단점을 가지는 라우터를 대신하여 LAN을 분리하기 위하여 개발된 것이 VLAN이다. VLAN의 구성 ▣Layer1을 이용한 포트단위 VLAN구성이 있으며 Layer2를 이용한 MAC어드레스 기반 VLAN이 있다. 또한 Layer3를 이용한 IP기반 VLAN, IP subnet을 이용한 VLAN, Multiple VLAN 구성이 있다. ▣포트단위 VLAN - 레이어 1 정보 이용 ☞스위치 포트별로 VLAN 번호를 할당 포트 1,2,4 -> VLAN 1, 포트3, 5 -> VLAN 2 ☞초기의 VLAN 구성 방법 ☞장점 : 스위치 포트의 수는 많지 않으므로 구성이 용이하며 이해하기 쉽다. ☞단점 : 사용자가 할당된 포트로부터 다른 장소로 이동하였을 경우 관리자는 VLAN을 다시 구성하여 야 한다. ▣MAC(Medium Access Control)어드레스 기반 VLAN ☞MAC어드레스를 기반으로 하여 VLAN을 구성 ☞장점 : 워크스테이션이 연결된 포트가 변경 되어도 동일한 VLAN의 멤버로써 존재한다. ☞단점 : 네트워크 관리자는 각각의 노드마다의 MAC 주소를 알아야 한다. 또오...있을거야... ▣IP 기반 VLAN ☞IP주소로 VLAN을 구성 ☞장점 : 동일한 IP주소를 사용하면 PC나 노트북을 이동하여도 스위치는 원래의 VLAN설정을 유지한다. ☞단점 : 모든 노드들이 IP를 사용하지 않는 경우 VLAN구성이 어려워진다. 네트워크 관리자는 각각의 노드마다의 IP주소를 알아야 한다. ▣IP subnet을 이용한 VLAN
  20. 20. ☞네트워크의 IP subnet이 VLAN을 구성하는데 사용된다. ☞이 방법은 IP LAN에서 효과적으로 운용된다. VLAN의 구성원을 IP정보를 이용하여 구성할 경우 VLAN은 라우터처럼 동작하는 것이다. ☞하지만 실제로는 그렇지 못하다. 실제로 다른 프로토콜이나 다른 subnet과 통신을 하기 위해서는 라우터가 필요하다. ☞장점 : 구성하기가 아마 가장 쉬울 것이다. 단지 subnetting을 위해서 사용되었던 예전의 라우터를 대신할 수 있다. ☞단점 : IP 기반의 노드에만 적용이 가능하다. 네트워크 관리자는 노드마다의 IP주소를 알고 있어야 한다. ▣다중 VLAN구성 ☞위에서 소개된 VLAN의 구성을 혼합하여 사용하는 것이 가능하다 ☞예를들면 MAC주소기반, 포트 기반 VLAN 동시 사용 --> MAC어드레스에 의해 설정된 VLAN의 노 드들과 특정한 포트에 연결되어있는 노드들을 동일한 VLAN으로 구성하는 것이 가능하게 된다. 3.1.4.8.2 VLAN의 효과 ▣브로드캐스트 도메인 분리, 충돌 도메인 분리 ☞향상된 네트워크 대역폭 ☞저렴한 가격으로 도메인 분리(라우터보다 스위치가 저렴) ▣물리적인 제약 해소 ☞VLAN은 같은 자원들을 공유하는 노드들의 집합이다. 기존의 LAYER2스위치와는 다르게 이러한 자 원들은 물리적으로 같은 장소에 위치할 필요가 없다. 예를 들면 서로 다른 빌딩에 위치한 같은 마케팅 부서의 네트웍을 VLAN으로 구성할 경우 마케팅 부 서의 사람들은 자신의 위체에 관계없이 부서내의 공유된 서버에 LAN으로 접속이 가능하다. ▣편리한 관리 : ☞사용자가 위치를 옮기게 되면 케이블을 새로 설치하고 어드레스를 새로이 할당하며 허브나 라우터 를 재 구성 해야 한다. ☞그러나 위에서 해야되는 일중 몇 가지는 VLAN을 이용하면 간소화 할 수 있다. ▣강화된 보안 : ☞브로드캐스트되는 정보에는 보안이 필요한 정보가 포함될 수 있다. ☞VLAN은 인증된 사람들만 가입할 수 있도록 구성할 수 있다. 3.1.4.8.3 VLAN 호핑공격 ▣VLAN hopping attack 공격자가 여러 VLAN 세그먼트에 있는 트래픽에 접근할 수 있도록 한다.
  21. 21. ▣공격자는 스위치처럼 동작하는 시스템을 가질 수 있다. 이 시스템은 트렁킹 trunking 프로토콜과 태깅 값 tagging values을 이해한다. 자신을 VLAN 장치들 사이에 위치시켜 이동하는 트래픽에 접근할 수 있다. . 또한 공격자들은 태깅값을 삽입함으로써 데이터 링크 계층에서 트래픽의 통제를 조작한다. ※ 참고 VLAN Tagging http://www.ktword.co.kr/abbr_view.php?m_temp1=3479&m_search=customer+vlan 2계층 스위치 간 프레임 전달시 프레임이 어느 VLAN 소속인가를 알려주는 VID(VLAN ID) 정보의 전 달 방식으로 프레임 내에 관련정보를 태깅(Tagging)하는 것을 말함 IEEE 802.1Q 방식 (표준) 이더넷 프레임 내부에 VLAN 정보를 명시적으로 태깅하고 있음 ▣VLAN Trunk http://www.ktword.co.kr/abbr_view.php?m_temp1=3478&m_search=customer+vlan 스위치 간 프레임 전달에 하나의 물리적 연결을 공유 VLAN 트렁킹된 스위치들 간에 여러 VLAN에서 나온 프레임들을 이 트렁크를 통해 전달 ▣trunking protocol http://blog.naver.com/PostView.nhn?blogId=demonicws&logNo=40108781898 여러개의 VLAN을 구축한 네트워크에서 모든 VLAN에 패킷을 한번에 보낼 수 있는 프로토콜 스위치의 변경된 정보를 서로 동기화시키기 위한 목적으로 주로 사용
  22. 22. 각 스위치별로 VLAN설정을 하지 않고, 한 군데(그림의 라우터)에서만 해도 모든 스위치에 동기화된 다. ▣VLAN 호핑 공격은 하나의 VLAN이 다른 VLAN과 통신할 때 해커들이 레이어 3 장비를 통과하는 것을 목표로 하고 있다. ▣이 공격은 정확하지 않게 설정되지 않은 트렁크 포트를 활용함으로써 이루어진다. ▣트렁크 포트는 모든 VLAN에 디폴트로 접근할 수 있으며, 일반적으로 스위치 사이의 동일한 물리적 인 접속 구간에 있는 다중 VLAN에 대한 트래픽을 라우팅하는데 사용된다. ▣http://egloos.zum.com/networkers/v/145857 all-in-one, p.671 3.1.4.8.4 VoIP(음성) VLAN ▣VoIP 패킷(SIP, RTP 프로토콜을 사용하는 패킷)을 위한 음성 VLAN ▣음성의 품질을 위한 대역폭을 보장하는 VLAN ▣데이터 네트워크와 VoIP 네트워크를 물리적으로 분리할 것인가? 아니면 Network Convergence 트 렌드대로 통합할 것인가? ▣네트워크를 통합하는 경우 Voice VLAN 과 Data VLAN 을 나눠야 하는 이유 ☞일반적으로 IP전화기, IP교환기 등의 Voice 관련 기기들은 data VLAN 에서 사용하는 기기들보다 하 드웨어 성능이 떨어져 브로드캐스트/멀티캐스트 등의 트래픽에 취약합니다. ☞따라서 Voice VLAN 과 Data VLAN 의 구분이 없는 경우, Data VLAN 에서 발생하는 불필요한 트래 픽 때문에 음성 품질이 떨어지거나 장애가 발생하는 경우가 있습니다. ☞따라서 두 개의 VLAN 을 논리적으로 구분하여 서로간 간섭이 발생하지 않게 하는 것이 VLAN 을 나누는 이유입니다
  23. 23. 3.1.5 침입차단시스템(방화벽) 3.1.5.1 침입차단시스템, 방화벽 ▣한 네트워크에서 다른 네트워크로의 접근을 제한하기 위해서 사용( 인터넷 -> 기업 네트워크 접근 제한) ▣기업 내부 네트워크 세그먼트에서 다른 내부 네트워크 세그먼트 접근 제한에도 사용 가능 3.1.5.2 보안 기능 ▣필터링 ▣NAT ▣프록시 : 어플리케이션 계층에 대한 필터링 기능 ▣감사(로깅) : 패킷 필터링과 NAT 기능 등에서 발생한 사항에 대한 기록 ▣사용자 인증 : IDS를 경유하는 트래픽에 대한 사용자 신분 증명 3.1.5.3 방화벽 세대 ▣기본 방화벽 ☞트래픽 필터링. IP, 포트, 프로토콜 기반 ▣2세대 방화벽 ☞어플리케이션 레벨 게이트웨이 방화벽 ☞Circuit-level 게이트웨이 방화벽 ▣3세대 방화벽 ☞Stateful inspection 방화벽, dynamic packet 방화벽 ▣차세대 방확벽 ☞UTM(unified threat management) 역할 포함 ☞몇 개의 필터링 능력조합 3.1.5.4 응용하기 ▣보통 방화벽 소프트웨어를 통해서 VPN을 구현하면, 추가적으로 내부 네트워크로 패킷을 보내기전 에 필터링 단계를 할 수 있다. ※보통의 설치 단계 : 방화벽 설치 ->IDS 설치 -> 알람 시스템 구축 ※방화벽을 설치하기 전에 제일 먼저 할일? 위험 평가 ※방화벽을 설치하고 나서 제일 먼저 할일? ( default가 deny이므로) 접근 승인 규칙을 Locating한다. ※대부분 방화벽이 할 수 있는 것
  24. 24. √ 로깅 √ 모니터링 √ 감사(auditing) √ alarms 알람도 가능한 게 있다. √ even basic IDS functions. ※방화벽 할 수 없는 것 √ 승인된 통신 채널을 통한 악성 코드 전달은 막을 수 없다. √ 비인가된 정보 노출은 막을 수 없다. √ 방화벽뒤에 있는 사용자들의 공격은 막을 수 없다. √ 네트워크 내부로 들어오가나 나간 데이터는 보호할 수 없다. ▣방화벽 성능 측정하고자 한다면...도움이 되는 방법? √도스 공격에 의해서 생성된 load로 시뮬레이션해본다. √방화벽 앞 뒤로 ids를 설치해서 비교 3.1.5.5 기본 방화벽 기술 ▣ 패킷 필터링 방화벽 ☞static packet filtering ☞보안상 가장 약함 - 껍데기만 본다 ☞1세대 침입 차단 시스템으로서 기본 기능 ☞접근 결정( 필터링 기준) - IP, 포트 √출발지, 목적지 IP 주소 √출발지, 목적지 포트 번호 - 서비스 기반 필터링 √인바운드, 아웃바운드 트랙픽 방향 ☞비상태 기반 검사 stateless inspection - 장치가 패킷이 동작하고 있는 맥락 context를 이해하지 못 함 ☞연결은 두 장비간에 이뤄진다. 패킷 필터링 방화벽은 통과하는 패킷을 모니터링만 한다. ☞보안 정책에 의해서 의되되지 않은 모든 트래픽을 일차적으로 제거 ☞세션 차원의 보다 정교한 트랙픽검사는 이후의 다른 방화벽에서 수행 ▣ 프록시 방화벽 ☞메시지를 의도된 수신인에게 전달하기 전에 가로채어 검사한다. ☞프록시 방화벽이 양단의 연결을 차단하고, 수신자와 송신자와 양방향 연결을 각각 구성한다. 즉 두 장치 사이에 직접적인 연결은 없다. ☞이런 프록시 기반 방화벽은 NAT를 수행할 수 있다. ☞응용 프로그램 수준 프록시 application-level √패킷 전체를 이해하고 응용 데이터의 내용에 기반하여 접근 결정을 내린다. √보안상 가장 강력 √FTP의 GET명령과 FTP의 PUT 명령어를 구분하며 이렇게 세분화된 수준의 정보를 바탕으로 접근 결
  25. 25. 정을 내린다. √특정 프로토콜 또는 서비스에 전속된다. 즉 프로토콜마다 적어도 하나의 프록시가 필요하다. - 메일 프록시, 웹 프록시 √사용자들을 직접적으로 인증할 수 있는 능력을 갖는다. .패킷 필터링 및 상태 기반 방화벽은 일반적으로 시스템 인증 만을 수행할 수 있다. √단순한 3계층 장비가 아니기 때문에 스푸핑 및 DoS 등 정교한 공격들에 대응할 수 있다. √이슈 .방대한 양의 로그 - 이상현상 발생 가능성이 높은 지점에 대해서만 로그 기록하는 방안 .패킷당 보다 많은 검사를 하기때문에 성능 이슈 .높은 대역폭, 실시간 응용 프로그램에 적합하지 않음 .모니터되는 응용 프로토콜을 위해 서로 다른 프록시가 요구된다. ▣ 회선 수준 프록시 circuit-level ☞클라이언트 컴퓨터와 방화벽 서버 사이에 연결circuit을 생성 ☞IP, 포트기반으로 접근을 결정한다. ☞이 방화벽은 주로 SOCKS 프로토콜을 이용 - SOCKS 방화벽 √SOCKS클라이언트 - SOCKS 서버(방화벽) - 라우터 - 인터넷( all-in-one p.690 ) √SOCKS서버가 최종 양단의 연결을 끊는다는 점에서 프락시라 할 수 있다 √외부에서 들어오는 패킷은 SOCKS서버에서 검사되고 SOCKS 클라이언트로 보내진다. ☞OSI의 세션 계층에서 동작하고 네트워크 기반 관점에서 트래픽을 모니터링한다. ☞어플리케이션 프로토콜을 이해할 필요가 없다. √다양한 어플리케이션 프로토콜, 서비스 독립적인 방화벽 역할을 할 수 있다. ☞application level proxy보다 간단한 설정과 그리고 적은 부하로 보다 넓은 보호를 제공한다. ☞다양한 방화벽이 회선 기반 보호를 제공하기 위해서 SOCKS 소프트웨어와 통합된다. ☞SOCKS √인증할 호스트의 IP와 포트를 SOCKS서버에 등록한다 √socks의 클라이언트 측은 웹브라우저 내에 포함되며, 서버 측은 프록시 서버 내에 추가될 수 있다. √socks 서버는 회사의 방화벽 내부에 있는 클라이언트로부터 요청된 일들을 처리하며, 요구된 인터
  26. 26. 넷 목적지나 사용자 신분에 따라, 접속 요구를 허용하거나 또는 거부한다. √일단, 접속 및 "바인드" 요청이 설정되면, HTTP와 같은 일상적인 프로토콜을 따라 정보 교환 흐름이 이루어진다. ▣ 상태기반 방화벽( stateful inspection firewalls) ☞"프로토콜 상태" 기반 모니터링 방화벽 ☞OSI 3,4에서 작동 ☞프로토콜 구성 및 동작 순서 이해 ☞프로토콜 구성 및 동작하는 순서를 이해하고 있다. √연결 수립, 유지, 해제, 각 단계의 패킷 상태를 이해할 수 있다. √새로운 연결과 이전 연결과의 차이를 인식할 수 있다 √프로토콜 규칙 및 순서에 벗어나는 패킷을 필터링해서 외부 공격을 차단할 수 있다. √XMAS공격 방어, 재생공격 방어(ACK와 시퀀스 번호 검사) ☞통신을 구성하는 개별 패킷뿐만 아니라 전체 통신 세션을 이해,추적할 수 있다. √초기 심층 검사 - 처음 연결이 시작될때는 모든 계층의 정보들(모든 헤더, 페이로드, 트레일러)를 조 사한다. √이후 간략 조사 - 초기 패킷이 심층 검사를 마치고 나면, 이후의 세션동안에는 성능을 고려해서 네 트워크 및 트랜스포트 헤더만을 검사한다. √각 세션별 상태정보 테이블(state table)을 가지고 있다. ☞UDP의 상태 파악 √만약 특정 UDP 연결에서 흐름 제어가 필요하다면, ICMP 패킷을 허용해야 하는 설정이 필요하다. √UDP에서는 윈도우 사이즈(Window Size)값을 사용할 수 없기 때문에 ICMP를 이용해서 제어를 해야 한다. ☞상태 정보 테이블, DoS 공격의 대상 √여려 유형의 공격들은 거짓 정보를 통해서 상태 정보 테이블을 범람시켜려고 시도함. √상태 정보를 가지고 있는 하드 드라이브, 메모리, CPU가 범람하면 장비는 정지하거나 리부트된다. ☞특징 요약 √모든 커뮤니케이션 채널을 추적하는 상태 정보 테이블을 유지한다. √기본 방화벽에 비해 높은 수준의 보안을 제공한다. √응용프로그램 프록시 방화벽에서 발생하는 성능 타격 performance hit가 발생하지 않는다. √확장 가능하며 사용자들에게 투명성을 제공한다( 패킷 모니터링) √UDP와 ICMP와 같은 비지향 프로토콜을 추적할 수 있다. √패킷 내 데이터의 상태 및 정활을 저장하고 갱신한다. ☞동적 패킷 필터링 방화벽 이라고도 함 √Dynamic packet-filtering firewalls √enable the real-time modification of the filtering rules based on traffic content. √동적 포트 허용 √외부의 장치가 well-known 포트 이상(1023 이상)의 포트를 방화벽에 설정하지 않고도 자유롭게 사 용할 수 있게 함.
  27. 27. √동적 패킷 필터링 특성이 있는 방화벽은 양단의 장비가 실제로 연결을 생성할때 방화벽에 동적으로 ACL에 등록된다. √연결이 종료되면 (FIN, RST 패킷이 수신되면), ACL에서 해제된다. UDP의 경우는 연결시간이 초과되면 자동 해제 ▣ 커널 프록시 방화벽 ☞5세대 침입차단 시스템, 앞서 설명한 방화벽 기술과 다르다. ☞OSI 계층의 응용 계층까지 인식 가능하다. ☞패킷이 커널 프록시에 도착하면, 새로운 가상 네트워크 스택이 생성된다. 수신된 특정 패킷을 검사 하는데 필요한 프로토콜 프록시들로만 구성된다. ☞FTP 패킷의 경우 FTP 프록시만 스택에 올라간다. 해당 패킷은 데이터 링크 헤더, 네트워크 헤더, 전송 헤더, 세션 헤더, 응용 계층의 데이터가 모두 검사된다. 하나라도 안전하지 않다고 판단되면 해 당 패킷은 폐기된다. ☞모든 검사와 처리가 운영시스템의 커널에서 이뤄진다. 응용 프로그램 까지 전달될 필요가 없다. ☞프록시 기반이기 때문에 커널에서 내부와 외부 장치의 연결은 프록시에 의해 차단된다. ▣실제의 방화벽 구현 ☞앞에서 본 내용은 방화벽을 구현할 수 있는 각각의 기술(필터링, 상태기반, 프록시)이다. ☞실제의 방화벽 장비는 이런 기술들을 조합할 수 있고, 자신의 특정 기능을 추가할 수도 있다. 이렇게 해서 변화된 개인 방화벽, 기업 방화벽, 웹 방화벽, 모바일 방화벽이 존재한다. 3.1.5.6 방화벽 아키텍처 ▣일반기업 환경에서의 방화벽 아키텍처 ☞네트워크 가장자리에서 동작하는 라우터는 "기본 패킷 필터링" 방화벽 역할을 수행한다. ☞일단 이곳에서 기본 필터링이 수행된 다음에 원하는 각각의 서버로 이동시킨다. ☞각 서버 앞단에는 보다 전문적인 응용프로그램 침입 차단 시스템이 위치될 수 있다. HTTP 트랙픽은 웹서버, DNS 트래픽은 DNS서버로, SMTP 트래픽은 메일 서버로. 내부 데이터베이스와 통신할 필요가 있는 트래픽은 SQL 주입 공격들을 식별할 수 있는 검사를 수행 하는 응용 수준 프록시 방화벽을 앞에 둘 수도 있다. 개별 워크스테이션과 모바일 장비에는 호스트 기반 방화벽을 설치할 수 있다. ▣침입 차단 시스템 아키텍처 조직들은 방화벽에 대한 보편적인 역할 및 요구사항을 갖는다. 네트워크 부분을 분할, 둘 또는 그 이상의 서브넷 사이이 접근 통제 수행 내부와 외부 네트워크 사이의 DMZ 제공 일반적인 요구사항은 일반적인 방화벽 배치 구조로 정리될 수 있다. 듀얼 홈드( 멀티 홈드 ) 2 개 이상의 인터페이스를 가지는 장비 하나는 외부 네트워크와 연결되고 나머지는 내부와 연결된다. 두 네트워크가 실제로 분리되도록 운영시스템의 전달(forwarding) 및 라우팅 기능이 사용 불가능으로
  28. 28. 설정되어야 한다. DMZ 구성에 사용 가능 스크린드 호스트 경계 라우터와 내부 네트워크 사이에서 양쪽과 통신하는 침입차단 시스템 경계 라우터(스크리닝 장비) - 방화벽 장비(스크린드 호스트) - 내부 네트워크 인터넷으로으로 부터 오는 패킷은 경계 라우터에 의해서 기본 패킷 필터링이 됨 만약 스크린드 호스트가 응용 프로그램 프록시 시스템일 경우, 네트워크 계층 보호(라우터), 응용 계 층 보호 모두에서 성공해야 한다. --> 높은 수준의 보안 제공 "screening"의 의미 라우터는 "screening(트래픽을 검사하고 쓰레기를 제거)"하고 뒤의 침입차단 시스템 호스트는 "screened"된다. 듀얼 홈드 장비 필요 스크린드 호스트 게이트웨이 - 스크린드 호스트가 게이트웨이 역할을 하는 구조 스크린드 서브넷 스크린드 호스트 아키텍처에 다른 보안 계층 추가. 3개의 보안 장비 필요 경계 라우터(스크리닝 장비) - 방화벽 장비(스크린드 호스트) - DMZ- 방화벽 장비 - 스크리닝 장비-내 부 네트워크 실제 환경에서는 보다 복잡한 네트워크와 DMZ가 구축된다. 관리의 어려움 하나의 서비스가 추가되면 3개의 장비 시스템 설정 변경이 필요함. ※ 방벽 호스트( Bastion Host ) 반드시 방화벽일 필요는 없다. 이 용어는 단지 위치와 관계된다. 신뢰되지 않은 네트워크와 외부의 공격에 노출될 수 있는 곳 즉 DMZ의 공개 영역에 위치한 장비를 표현하는 용어이다. 내부 네트워크 외부에 위치하는 메일, FTP, DNS 서버 등도 bastion host이다. 이런 bastion host는 극도의 보호가 필요하다. 사용되지 않는 서비스, 사용자 계정, 포트, 응용 프로그 램, 관리자 도구는 제거되어야 한다. ▣방화벽 아키텍처 고려사항 SPoF 위험성 제거해야 함 이중화, 장해 허용 능력이 내재된 방화벽 제품을 사용하거나 네트워크의 이중화를 고려해야 한다. 심층 방어 defense in depth 고려-방화벽이 유일한 보호 계층이어서는 안된다. ▣멀티 계층 구성 단일계층 구성 : 스크린드 호스트만 구성된 경우 계층은 하나로 본다. 2계층 구성 : 스크린드 서브넷으로 DMZ이 하나 생성된 경우, DMZ을 기준으로 계층이 분리되어 2계 층 구성으로 불린다. 3 계층 구성 : DMZ가 2개 구성된 경우 CISSP 노트, P.238, all-in-one, p.696
  29. 29. 3.1.5.7 가상 방화벽 ▣가상화 침입 차단 시스템 ☞가상화 환경 √호스트 시스템 환경 - 동일한 하드웨어 플랫폼상에서 복수의 운영시스템들이 실행될 수 있도록 하 는, 여러 가상 게스트 virtual guest를 가질 수 있는 환경 √실제의 하드웨어 대신에 라우팅, 스위칭 기능을 수행하는 소프트웨어 제품을 가상화 환경에 도입할 수 있다. √DNS, 메일, 웹 서버, 스토리지 등도 소프트웨어로 대체해서 가상 환경에서 구성할 수 있다. ▣가상 방화벽 구성 ☞가상환경 내부에 위치시켜 가상화 엔터티 들을 보호할 수 있다. ☞가상 머신들 사이의 개별 트래픽을 모니터할 수 있고, 하이퍼바이저 구성요소에 통할될 수 있는 브 릿지 모드 bridge mode 기술 ☞하이퍼바이저 √가상 머신 관리, 게스트 시스템 소프트웨어 실행 감독을 하는 구성요소 √이곳에 가상의 네트워크 장비(소프트웨어)가 구성됨 3.1.5.8 구현 권고사항 all-in-one, p.702 ▣방화벽의 기본 설정 숙지 - 관리자가 설정하는 규칙과 상충되어 설정이 무효가 될 수 있다. ▣패킷 스푸핑 관련 규칙 ☞패킷이 들어올때, √패킷의 송신지 주소와 내부 호스트 주소가 같은 경우, 그런 패킷은 거부되어야 한다 인터넷에서 오는 패킷의 송신 주소가 내부 호스트의 주소일 수는 없다. 위장 masquerading, 스푸핑 spoofing 공격일 가능성이 높다. ☞패킷이 나갈때 √패킷의 송신 주소가 내부 호스트의 주소가 아닌 패킷도 밖으로 나가서는 안된다. √DDos 공격에서 사용되는 좀비의 동작과 유사하다. √밖으로 나가는 패킷이 송신 주소에 자신의 네트워크 주소를 갖지 않는 패킷은 스푸핑된 것이다. ▣패킷 단편화 관련 규칙 ☞목적지로 패킷을 전송하기 전에 단편화된 패킷을 재결합해야 한다. ☞최종 목적지에서 재 결합된 후 악성 코드로 변하는 경우도 있다. ☞트래픽 지연과 오버헤드가 발생된다. ☞이런 설정이 필요한지, 트래픽 지연을 수용할지 조직의 결정이 필요하다.
  30. 30. ▣Source Routing 위험 ☞송신지 라우팅의 보안 위험 ☞송신지와 목적지 컴퓨터 사이에 있는 라우터가 아닌 패킷을 송신하는 컴퓨터 자체가 패킷의 라우 팅 경로에 대해서 일부, 또는 전체를 결정하는 것 √IP 헤더 옵션 이용 ( Loose Source and Record Route (LSRR) and Strict Source and Record Route (SSRR) ) √Loose source routing은 반드시 방문해야 하는 라우터를 지정할때 옵션으로 사용한다. ☞라우팅을 할 필요가 없어서 속도는 빠르겠지만, 보안측면에서 위험할 수 있다. ☞필터링이 적용되지 않을 수 있고 ☞패킷이 네트워크 관리자가 원하는 경로를 벗어날 수 있다- 침입차단시스템을 설치해도 원하지 않 는 패킷이 서버에 도달하는 이유가 된다. ☞해서 대부분의 기업의 침입차단시스템은 송신지 라우팅 정보가 존재하는지 검사하도록 설정해야 한다. ▣복잡한 서로 다른 유형의 침입차단 시스템과 구조 및 설정에 대한 이해가 필요하다. 3.1.5.9 차단 규칙 유형 ▣ 사일런트 규칙 silent rule ☞'소란한 noisy'트래픽은 로깅하지 않고 차단 ☞로그 크기를 줄일 수 있다. ▣ 스텔스 규칙 stealth rule ☞허가되지 않은 시스템으로부터는 접근을 허가하지 않는다 ▣ 클린업 규칙 cleanup rule ☞규칙 기반의 마지막 규칙 ☞앞서의 규칙들에 부합하지 않는 트래픽은 로깅하고 차단. ▣ 부정 규칙 negate rule ☞일단 거부하는 것이 기본. 어떤 시스템이 어떻게 접근할 수 있는지를 규정 ☞견고한 접근 허가 ☞넓고 관대한 "어떠한 규칙 any rules" 대신에 사용된다. "any but A " --> ! A 3.1.6 프록시 서버 ▣프록시 기반 방화벽과 프록시 서버는 다르다. ▣프록시 서버 ☞클라이언트와 특정 서비스를 제공하는 서버 사이에서 중개인으로 동작한다는 점에서는 유사. ☞특정 서버로부터의 응답을 캐싱
  31. 31. ☞웹(서버) 프록시 서버는 콘텐트 필터링을 수행하하기 위해 일반적으로 사용 ☞웹 기반 트래픽을 위해 사용하는 것이 가장 일반적이지만, DNS 프록시 서버처럼 다른 목적의 네트 워크를 위해서도 사용할 수 있다. ▣종류 ☞전송 프록시 forwarding ☞개방 프록시 open √모든 사용자에게 개방됨 ☞익명 개방 프록시 anonymous open √웹사이트, 다른 인터넷 서비스를 사용할때 클라이언트의 IP를 숨긴다. ☞역방향 프록시 reverse √서버에 대한 프록시. √사용자는 프록시를 원래의 서버로 인식한다. ▣전송 프록시와 역방향 프록시 ☞전송 프록시 구성 : 내부 네트워크( 클라이언트 - 프록시) -> 인터넷 ☞역방향 프록시 구성 : 인터넷 -> 내부 네트워크 (프록시 - 서버) 3.1.7 게이트웨이 ▣환경의 번역자(변환자) ▣두 개의 서로 다른 환경을 연결하는 장비에서 실행되는 소프트웨어에 대한 일반적 용어 ▣어플리케이션 레이어에서 작동(게이트웨이는 다른 레이어에서 작동할 수 있는데, CISSP은 어플리케 이션에서 작동한다고 하고 있다) ▣대표적 게이트웨이 예 ☞네트워크 게이트웨이, NAS(Network Access Server) √IPX 네트워크 <-- NAS --> IP 네트워크, √전화회사의 PSTN <-- NAS(음성 및 미디어 게이트웨이) --> 패킷 기반 데이터 네트워크
  32. 32. ☞이메일 게이트웨이 √한 종류의 메일 서버에서 메일을 받아 다른 종류의 메일 서버로 포맷을 변환, 전달 √Unix의 Send mail -> 이메일 게이트웨이 -> X.400표준 --> Microsoft 익스체인지 ☞데이터 링크 기술 연결 √FDDI <--게이트웨이 --> 이더넷 3.1.8 PBX ▣Private Branch Exchange ☞한 기업의 건물에 설치되어 있는 사설 전화 스위치 ☞아날로그 장치만을 지원하는 것에서 디지털 장치도 지원하는 PBX로 진화 √유선 전화기, 스마트폰, PC - (인터페이스 - PBX ) ※ 인터페이스 : 아날로그 voice 인터페이스, 디지털 voice 인터페이스, 데이터 인터페이스 ▣PBX의 보안 이슈 ☞시스템에 대한 유지보수를 위해서 PBX에 연결된 모뎀이 있다. √이 모뎀을 평소에는 사용 불가능하도록 설정해야 한다. ☞PBX의 기본 패스워드를 그대로 사용하는 경우가 많다. √Phreaker(프리커)는 PBX에 접근해서 많은 설정을 변경할 수 있다. √무료 장거리 통화를 할 수도 있다. √무차별 공격에 취약하고, 접근 제어 통제가 취약하다. √프리커가 사서함의 음성 메시지를 변경한 사례가 있다. 인사 대신 욕이 들려올 수 있다.
  33. 33. ▣Phreaker 프리커 3.1.9 VPN CISSP 노트, P.245 ▣VPN links between systems - to secure TCP/ IP ▣공중망에 접속해 있는 두 네트워크 사이의 연결을, 마치 전용선을 이용해 연결한 것과 같은 효과를 내는 가상 네트워크 ▣본사와 지사 간 통신을 전용선이나 프레임 릴레이 대신 인터넷으로 대처할 수 있다. ▣VPN 기술 요소 ☞터널링(tunneling, encapsulation) √ 한 프로토콜의 메시지가 다른 프로토콜을 사용하는 네트워크 또는 통신 시스템으로 전송될 수 있 도록 하는 기술 √ 인터넷상에서 가상의 정보 흐름 통로. √ 클라이언트 투 서버(Client-to-server) 터널링 .이동 사용자가 자신의 기업 LAN으로 접속하는데 사용. .2계층 프로토콜 사용 √ 호스트 바이 호스트(Host by Host) 터널링 .기업의 여러 LAN을 상호 연결하기위한 방식. .3계층 프로토콜 사용 √ 프로토콜 - L2F, PPTP, L2TP, IPSEC, SSL ☞암호화 : DES, AES, SEED √ 키 관리 : IKE(Internet Key Exchange) 프로토콜 사용하여 공유 키를 분배 및 관리 ☞인증 : 사용자 식별 및 접근 허가, 송신지 식별 확인. ID/PWD 기반, 인증서 기반, 생체인식 기반 ☞QoS : 기존 전용 회선 사용과 같은 Bandwidth 및 통신 품질 보장( VPN을 구현하려는 기업에서는 통신업체에 신청을 하나? 어떻게 QoS가 전용선과 같게 나오지?) ▣VPN 종류 ☞PPTP VPN - PPP 연결이 IP 기반 네트워크를 통하여 확장될 필요가 있을 때 사용된다. ☞L2TP VPN - PPP 연결이 IP 기반이 아닌 네트워크를 통하여 확장될 필요가 있을때 사용 ☞IPSec VPN - IP 트래픽 보호를 위해 사용. 일반적으로 게이트웨이간의 연결을 위해 사용 ☞SSL VPN - 특정 응용 프로그램 계층의 트래픽(주로 HTTP)의 보호가 필요할 때 사용 ☞Remote Access VPN :개인 노트북에 VPN 소프트웨어 존재 , SSL-VPN? ☞Intranet VPN : 회사<-> 지사 : IPSec VPN? ☞Extranet VPN : 회사<->회사 : IPSec VPN? ▣다양한 수준의 VPN 캡슐화를 이해하지 못하면 특정한 트래픽 링크의 보안이 결여될 수 있다. ☞다음 질문...(all-in-one p.758) ☞VPN 캡슐화
  34. 34. √ IP 패킷 --> PPP 패킷 -> PPP인식 시스템(네트워크) √ PPP 패킷-->PPTP 패킷 ->IP기반 시스템(네트워크) √ PPP 패킷-->L2TP 패킷 ->IP 및 다른 프로토콜(WAN, ATM, 프레임릴레이) 기반 시스템(네트워크) ☞VPN 암호화 : √ IP, PPTP, L2TP + IPSec ☞만약 인터넷이 IP 기반 네트워크라면 PPP가 필요한 이유는 무엇인가? √ IP를 이해하지 못하는 링크를 통과시키기 위해서 트래픽을 PPP로 캡슐화한다. ☞만약 PPTP와 L2TP가 자체로써 데이터를 실제로 보호하지 않는다면 이들이 하는 기능은 무엇인가? √ PPP를 이해못하는 네트워크를 통과하는 터널을 제공 --> PPP연결을 확장 ☞만약 PPTP와 L2TP가 기본적으로 동일한 기능을 수행한다면 PPTP 대신에 L2TP를 선택하는 이유는? √ PPTP는 IP 기반 네트워크를 통해서만 동작한다. √ IP기반 및 WAN기반(ATM, 프레임 릴레이) 연결을 위해서는 L2TP가 필요하다. ☞만약 연결이 IP, PPP 및 L2TP를 사용한다면 이 연결에서 IPSec 의 기능은 무엇이 될 것인가? √ IPSec은암호화, 데이터 무결성, 시스템 기반 인증을 제공한다. ☞사용자 컴퓨터 ->( IP 패킷 )->집 라우터 ->(PPP 데이터)-> ISP 스위치 -> (PPTP, L2TP 패킷) -> 인 터넷 ->(PPTP, L2TP 패킷) -> 회사 경계선 장비( PPTP, L2TP헤더 제거, PPP 헤더 제거, IP 헤더 추가)-> IP 패킷 -> 기업 네트워크 ▣SSL VPN ☞패킷 구성 √ [ Ethernet [ IP [ TCP [ SSL [ HTTP ] ] ] ] ] ☞응용 계층과 근접하기때문에 다른 VPN보다 세밀한 접근통제와 보안을 제공할 수 있다. ☞응용 계층 프로토콜에 의존하기 때문에 이 VPN 유형을 통해 보호될 수 있는 트래픽의 유형은 수 는 적다. ☞VPN 로그인 성공-> 권한및 Routing 테이블을 Client-PC에 형성해줌. 즉 터널링이 되면 Routing 테 이블 값이 고정됨 ▣IPSec VPN ☞패킷 구성 - [ Ethernet [ IPSec [ IP [ TCP [ SSL [ HTTP ] ] ] ] ] ] ☞IPSec √ 네트워크 계층 보호를 위해 널리 사용되고 있는 표준 √ End-to-end, 링크 암호화 방법보다 유연성이 있고 비용이 적게 든다. ☞ IPSec은 IP트래픽을 보호하기위해 개발된 프로토콜 모음 √ IPv4은 어떠한 통합된 보안을 가지고 있지 않다. IPSec은 IP와 결합하여 IP가 전송하는 데이터를 보 호하기 위해서 개발됨 √ IPv6에 기본으로 탑재. ☞ 개방 구조 프레임워크 - 알고리즘의 형태, 키, 인증 방법에 대해서 기업에 보다 많은 유연성 제 공 ☞ IPSec 구성 요소
  35. 35. √ AH, Authentication header . 무결성, 데이터 근원지 인증(시스템 인증 - 비밀 공유키), 재생공격방지 . 암호화 능력은 제공하지 않음(기밀성 제공하지 않음) √ ESP, Encapsulating Security Payload . 기밀성, 무결성, 데이터 근원지 인증(시스템 인증 - 비밀 공유키), 재생공격방지 제공 ※ PPP는 PAP, CHAP, EAP-TLS를 통해서 사용자 인증은 별도 제공 √ IKE, Internet Key Exchange, ISAKMP, OAKLEY ☞ AH와 ESP의 선택 √ AH, ESP는 IPSec VPN에서 별개로 또는 함께 사용할 수 있다. √ 기밀성이 필요하다면 ESP가 사용가능하도록 설정해야 함 √ MAC계산과 NAT의 연관성 .AH는 MAC(ICV라고 함, Integrity Check Value) 계산에 헤더(트랜스포트, 네트워크)를 포함 NAT같은 프록시를 통과하면 ICV값이 변경됨. NAT가 사용되는 경우에 패킷은 자동 폐기됨. 따라서 NAT 환경에서는 AH를 사용하지 못함 .ESP는 MAC(ICV)를 계산할 때 헤더 부분을 포함하지 않음 NAT에 영향없음, NAT환경에서는 ESP를 사용 ☞ IPSec의 운영 모드 √ 트랜스포트 모드(전송모드) √ 터널 모드 ☞레이어2 계층 터널링 프로토콜과 조합 - L2TP, PPTP, L2F
  36. 36. √ L2TP는 평문으로 전송 √ L2TP/IPsec - 암호문을 터널 모드로 전송 ☞HAIPE √ High Assurance Internet Protocol Encryptor √ U.S. National Security Agency 사용 Type1 encryption device - IPSec 기반 ☞ 두 라우터의 세션 수립 √ 암호화 속도 문제때문에 대칭키 사용. √ 핸드세이킹 프로세스를 통해서 √ 대칭키 결정, 보안 특성 security attributes 목록 전달 및 SA생성 √ 인증서를 통해서 공개키 교환 --> 대칭키(세션키) 결정 √ A라우터 : 보안 매개변수 전달 √ 보안 매개변수 : 프로토콜 유형(AH, ESP), 인증( SHA-1), 암호화( AES-128), 키 자료(세션키), 사용모 드(터널 모드) 등 √ B라우터 : SA(Security Association) 구성해서 A에 전달 ☞AH √ AH(Authentication Header) √ 데이터 무결성 : MD5, SHA 같은 메시지 체크섬 활용 √ 데이터 인증 ( 데이터 근원지 인증 ) : 비밀 공유키 활용 √ 재생 공격(replay attack) 방지를 위해서 모든 패킷에 sequencing. √ 기밀성은 제공하지 않음( 기밀성을 원한다면 ESP 사용해야함) ☞ESP ESP(Encapsulating Security Payload) √ 구성요소 .헤더 .페이로드 .트레일러 .인증 √ 데이터 인증 제공 √ 데이터 무결성 제공 √ 메시지 기밀성 : DES-CBC, 3DES 암호화 활용 √ 재생 공격 방지 : Sequence Number 활용 ☞키 교환 √ IKE, Internet Key Exchange, ISAKMP, OAKLEY .builds on ISAKMP, OAKLEY 프로토콜 .ISAKMP의 사용을 위한(?) 인증된 키 자료 authenticated keying material을 제공 √ ISAKMP, Internet Security Association and Key Management Protocol .SA 생성, 키 교환을 위한 프레임워크( IETF에서 인증)
  37. 37. .IPSec 연결 수립을 위해서 협의해야 하는 것들(알고리즘, 프로토콜, 모드, 키)에 대한 프레임워크 √ OAKLEY 프로토콜 .협상 프로세스를 담당한다. √ ISAKMP는 운동자(인프라스트럭처)를 제공하고 OAKLEY는 운동장을 뛰어다니는 선수(협상 수행) √ SA .합의된 보안 매개 변수 목록( 인증, 프로토콜 유형, 암호화 알고리즘, 사용모드, 키 수명과 근원지 IP 주소 등 ) .방향성 존재. 원격 장비당 outbound, inbound traffic대해서 하나씩 즉 2개의 SA를 갖는다. .SPI( Security Parameter Index) - IPSec패킷의 헤더에 있음. 이값을 통해서 장비에서 어떤 SA를 사용해 야 할지 결정 √ IKE 키 교환 모드 .IKE Phase 1 : Main 모드, Aggressive 모드 .IKE Phase 2 : Quick 모드 .IKE Phase 1 모드 먼저 실행 √ IKE √ ISAKMP √ OAKLY √ SA ☞운영모드 √ 트랜스포트 모드(전송모드) .IP 헤더를 제외한 IP 페이로드( IP 데이터)만 보호 .end-to-end 보호를 위한 VPN에서 사용. 예) 클라이언트와 서버 .보통 라우터의 사용 모드 .라우터 내부에서 공격 위험 .트래픽 분석에 취약 √ 터널 모드 .원본 패킷을 라우터간의 주소를 이용한 새로운 패킷으로 캡슐화 .통신자들의 IP 주소 은폐. 라우터에서 원본 IP를 확인하기 위해서 복호화 발생 .주로 네트워크간에 사용. 예) 방화벽-to-방화벽 VPN ▣PPTP VPN ☞Point-To-Point Tunneling Prorotocol(PPTP) √ Microsoft Windows VPN 프로토콜 √ IP 네트워크를 통해서 PPP 연결을 확장한다(all-in-one, p.757) .PPP 데이터만으로는 다음 연결 포인트까지만 전송된다. .인터넷 너머에 있는 PPP 서버에 PPP 데이터를 전송하려면? PPP 데이터를 IP datagram으로 캡슐화 (encapsulation)하여 인터넷 구간을 터널링 ☞제약 √ PPTP를 통해서는 동시에 복수개의 VPN 터널을 만들 수 없다. 즉 엔드 포인트들 사이에 하나의 터

×