009 네트워크 개요
◈ 데이터 통신 구성요소
- 메시지(message)
- 송신자(sender)
- 수신자(receiver)
- 전송매체(medium)
- 프로토콜(protocol)
◈ 네트워크 접속 형태
1) 그물형
- 모든 장치는 다른 장치에 대해 전용의 점-대-점 링크를 가짐
- 장점 : 통신량 문제 해결, 안정성 높음, 프라이버시와 보안
- 단점 : 케이블 양과 요구되는 I/O 포트 수
2) 스타형
- 각 장치는 일반적으로 허브라 불리는 중앙 제어장치와 전용 점-대-점 링크를 가짐
- 장점 : 그물형보다 비용이 적음, 설치와 재구성이 쉬움
- 단점 : 허브라는 단일 장치에 전체 시스템이 좌우됨
3) 버스형
- 다중점 형태로써 하나의 긴 케이블이 네트워크 상의 모든 장치를 연결하는 중추 네트워크 역할
- 장점 : 설치하기 쉬움, 적은 양의 케이블
- 단점 : 재구성이 어려움
4) 링형
- 각 장치는 자신의 양쪽에 있는 장치와 전용으로 점-대-점 연결을 이룸
- 장점 : 비교적 설치와 재구성이 쉬움
- 단점 : 단방향 전송
◈ 네트워크 유형
1) 근거리 통신망
- 근거리 통신망(LAN; Local Area Network)은 제한된 크기의 작은 사무실 건물, 캠퍼스에 사용
2) 광역 통신망
- 광역 통신망(WAN, Wide Area Network)은 넓은 지리적인 크기를 갖는 도시, 주, 국가, 세계에 사용
3) 교환
- 회선 교환 : 전용선 사용
- 패킷 교환 : 라우터 사용
◈ OSI 7 Layer
- OSI(Open System Interconnection)는 통신절차를 기능별로 구별해 놓은 국제 표준
|
계층 |
특징 |
TCP/IP 계층 |
데이터 종류 |
예 |
|
|
7 |
응용 (Application) |
- 각종 응용서비스 제공 |
응용 (Application) |
메시지 (Message) |
FTP, TFTP, SNMP, SMTP, 텔넷, HTTP |
|
6 |
표현 (Presentation) |
- 네트워크 보안(암/복호화) |
ASCII, Mpeg, jpg |
||
|
5 |
세션 (Session) |
- 소켓 프로그램 |
전송모드 결정(반이중, 전이중 등), NFS, SQL, RPC |
||
|
4 |
전송 (Transport) |
- 데이터 전송보장 |
전송 (Transport) |
세그먼트 (Segment) |
TCP, UDP, SSL |
|
3 |
네트워크 (Network) |
- 통신경로 설정, 중계기능 담당 |
네트워크 (Network) |
패킷 (Packet) |
IP, ICMP, IGMP, RIP, OSPF |
|
2 |
데이터 링크 (Data Link) |
- 오류제어, Frame화 |
데이터 링크 (Data Link) |
프레임 (Frame) |
ARP, RARP, PPP, SLIP |
|
1 |
물리 (Physical) |
- 물리적 연결설정, 해제 |
물리 (Physical) |
비트 스트림 (Bit Stream) |
기계적, 전기적, 절차적 규격 |
010 TCP/IP
◈ 물리 계층
- 응용, 전송, 네트워크, 데이터 링크에서의 통신은 논리적이고 물리 계층 통신은 물리적임
- 호스트 대 라우터, 라우터 대 라우터, 라우터 대 호스트만을 보는데 교환기도 물리적 통신에 포함
- 데이터와 데이터를 표현하는 신호는 아날로그 또는 디지털 형태
◈ 데이터링크 계층
- 노드 대 노드 통신
1) 서비스 항목
- 프레임 짜기 : 각 노드에서 데이터링크 계층은 다음 노드에게 데이터그램을 전송하기 전에 네트워크 계층에서 전달받은 패킷인 다이어그램을 프레임에서 캡슐화
- 흐름 제어 : 서로 다른 데이터링크 계층 프로토콜은 서로 다른 흐름 제어 전략을 사용
- 오류 제어 : 오류 검출 이후에 송신자 노드에서 이를 수정하거나 오류를 폐기하고 재전송을 송신 노드에게 요청
- 혼잡 제어 : 대부분의 데이터링크 계층 프로토콜은 직접적으로 혼잡 제어를 사용하지 않음
2) 하위 계층
- DLC(Data Link Control) : 두 인접한 노드 사이에 통신을 위한 절차
- MAC(Media Access Control) : 링크에 접근하는 것을 조율하기 위한 다중 접근 프로토콜
◈ 네트워크 계층
1) 서비스 항목
- 라우팅 : 패킷이 근원지에서 목적지까지 갈 수 있도록 해주는 경로
- 포워딩 : 인터페이스로 패킷이 도착했을 때 전달
2) IPv4 주소
- IP 주소는 인터넷에 연결된 모든 컴퓨터 자원을 구분하기 위한 고유한 주소
- 숫자로 8비트씩 4 부분으로 총 32비트 구성
- IP 주소는 네트워크 부분의 길이에 따라 A 클래스에서 E 클래스까지 총 5단계로 구성
① A Class
* 국가나 대형 통신망에 사용
* 0~127로 시작
* 2^24개의 호스트 사용 가능
② B Class
* 중대형 통신망에 사용
* 128~191로 시작
* 2^16개의 호스트 사용 가능
③ C Class
* 소규모 통신망에 이용
* 192~223로 시작
* 2^8개의 호스트 사용 가능
④ D Class
* 멀티캐스트(한 명 이상의 송신자들이 특정한 한 명이상의 수신자들에게 데이터를 전송하는 방식)용으로 사용
* 224~339로 시작
⑤ E Class
* 실험적 주소이며 공용되지 않음
3) 주소 지정 방법
- 서브네팅 : 큰 주소를 작은 주소로 나눔
- 수퍼네팅 : 작은 주소를 큰 주소로 합침
- CIDR : 클래스 주소의 개념을 무시하고 주소 공간을 효율적으로 할당
- VLSM : 서로 다른 크기의 서브넷을 지원
4) 특수 주소
① 디스-호스트 주소
* 호스트가 IP 데이터그램을 보내려고 하지만 근원지 주소인 자신의 주소를 모를 때 사용
* 0.0.0.0/32
② 제한된 브로드캐스트 주소
* 255.255.255.255./32
* 호스트나 라우터가 네트워크 상의 모든 장치로 데이터그램을 보낼 때 사용
③ 루프백 주소
* 127.0.0.0/8
* 블록 내의 주소를 가진 패킷은 호스트를 벗어나지 않아서 소프트웨어의 테스트 목적으로 사용
④ 사설 주소
* 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16
⑤ 멀티캐스트 주소
* 224.0.0./4
5) 프로토콜
① IP(Internet Protocol) : 출발지, 목적지 주소를 지정
② ARP(Address Resolution Protocol) : IP 주소 → 물리 주소
③ RARP(Reverse Address Resolution Protocol) : 물리 주소 → IP 주소
④ ICMP(Internet Control Message Protocol) : 오류보고와 질의 메시지
◈ 전송 계층
- 프로세스 대 프로세스 통신을 제공
1) 주요 서비스 포트 번호
|
포트 |
프로토콜 |
UDP |
TCP |
SCTP |
|
7 |
Echo |
O |
O |
O |
|
20 |
FTP-data |
O |
O |
|
|
21 |
FTP-control |
O |
O |
|
|
22 |
SSH |
O |
O |
|
|
23 |
TELNET |
O |
O |
|
|
25 |
SMTP |
O |
O |
|
|
53 |
DNS |
O |
O |
O |
|
67 |
DHCP |
O |
O |
O |
|
69 |
TFTP |
O |
O |
O |
|
80 |
HTTP |
O |
O |
|
|
111 |
RPC |
O |
O |
O |
|
161 |
SNMP-server |
O |
||
|
162 |
SNMP-client |
O |
2) UDP(User Datagram Protocol)
- 비연결 지향형이고 신뢰성 없는 전송 프로토콜
- UDP 서비스
* 프로세스 대 프로세스 통신
* 비연결형 서비스
* 흐름 제어
* 오류 제어
* 혼잡 제어
* 다중화와 역다중화
3) TCP(Transmission Control Protocol)
- 연결지향형이고 신뢰성 있는 전송 프로토콜
- TCP 서비스
* 프로세스 대 프로세스 통신
* 스트림 전송 서비스
* 송신 및 수신 버퍼
* 전이중 통신
* 다중화와 역다중화
* 연결 지향 서비스
* 신뢰성 있는 서비스
- TCP 플래그
① URG : 긴급 포인터가 있음을 표시
② ACK : 확인 응답 번호가 기술되어 있음을 표시
③ PSH : 데이터를 가능한 한 빨리 응용 계층으로 보내야 함을 표시
④ RST : 연결 재설정하기를 원함을 표시
⑤ SYN : 연결을 초기화하기 위해 순서 번호를 동기화
⑥ FIN : 송신 측이 데이터의 전송을 종료함
- three-way handshaking
① 클라이언트는 SYN 플래그만 설정되어 있는 첫 번째 세그먼트인 SYN 세그먼트를 전송
② 서버는 2개의 플래그 비트가 설정된 두 번째 세그먼트인 SYN + ACK 세그먼트를 전송
③ 클라이언트가 ACK 세그먼트를 전송하여 확인 응답
4) SCTP(Stream Control Transmission Protocol)
- 멀티미디어 통신을 위해 좀 더 좋은 프로토콜을 만들기 위해 UDP와 TCP의 일부 장점을 결합하여 설계된 새로운 전송 계층
- SCTP 서비스
* 프로세스 대 프로세스 통신
* 다중 스트림
* 전이중 통신
* 연결 지향 서비스
* 신뢰성 있는 서비스
◈ 응용 계층
1) 응용 계층 패러다임
- 클라이언트 대 서버 : 서버는 항상 실행되고 있어야 하며 클라이언트가 서비스를 받을 필요가 있을 때 클라이언트가 시작
- 대등 대 대등 : 인터넷에 연결된 컴퓨터는 서비스를 제공하는 때도 있고 서비스받을 때도 있음
2) 클라이언트 서버 개념
- 클라이언트는 서비스 요청을 보내 통신을 시작하는 동작 프로그램이며 서버는 클라이언트로부터 요청을 기다리는 응용 프로그램
3) 주요 응용 계층 프로토콜
- HTTP : 웹으로부터 웹페이지를 가져오기 위해 어떻게 클라이언트-서버 프로그램이 작성될 수 있는지를 정의하는 데 사용
- FTP : 하나의 호스트에서 다른 호스트로 파일을 복사하기 위해 TCP/IP에 의해 제공되는 표준 프로토콜
- TELNET : 원격 로그인 프로토콜
- DNS : 도메인과 IP를 매핑
011 라우팅과 라우터 보안
◈ 라우팅 개요
1) 기본 개념
- 패킷을 전송하기 위해 송신 측에서 목적기까지의 경로를 정하고 정해진 경로를 따라 패킷을 전달하는 과정
- 라우터는 라우팅 기능을 수행하며 네트워크 계층 주소를 참조하여 최선의 경로를 결정
- 정적 라우팅 알고리즘과 동적 라우팅 알고리즘으로 구분
2) 라우팅 프로토콜
- 인터넷과 같이 규모가 큰 네트워크에서 패킷을 효율적으로 전달하기 위해서 라우팅 테이블은 반드시 동적으로 갱신
- AS(자율시스템)는 하나의 관리 도메인에 속해 있는 라우터들의 집합
- AS 내에 운영되는 라우팅 프로토콜을 IGP라고 하며 AS 간에 라우팅 정보를 교환하기 위한 프로토콜을 EGP라고 함
◈ 유니캐스트 라우팅 프로토콜
1) RIP(Routing Information Protocol)
- 거리 벡터 라우팅 기반
- 최대 홉수는 16으로 네트워크 규모에 제한이 있음
2) RIPv2
- 예약필드를 사용하여 RIPv1의 기능을 대폭 확장
- 서브넷마스크 식별, 경로정보 인증, AS 구별, 브로드캐스트와 멀티캐스트 전송 등의 기능이 추가
- 최대 홉수는 여전히 16으로 제한되어 RIPv1의 확장성 문제는 해결하지 못함
3) IGRP(Interior Gateway Routing Protocol)
- 하나의 매트릭 값만을 사용하는 대신 다양한 네트워크 파라미터를 이용하여 거리 벡터를 계산
- 매트릭 계산 요소
* 대역폭(Bandwidth) : 회선 속도
* 지연(Delay) : 회선을 사용하여 전송하는데 걸리는 시간
* 신뢰도(Reliability) : 라우터가 동적으로 측정
* 부하(Load) : 부하를 나타내는 단위
* MTU : 회선이 처리할 수 있는 최대 프레임 크기
- RIP의 단점을 해소하고 네트워크 상태를 효과적으로 반영하고자 개발되었으나 라우팅 루프 문제가 있음
- 라우팅 정보를 모두 네트워크 전역으로 전달되는데 시간이 많이 걸려 대규모 네트워크에 적용하기는 어려움
4) EIGRP(Enhanced Interior Gateway Routing Protocol)
- 수렴 속도가 빠르며 부분적인 갱신을 지원하기 때문에 적은 대역폭을 필요로 함
- VLSM을 지원하며 DUAL알고리즘을 이용하여 네트워크 구성의 변화가 생겼을 때 패킷의 손실 없이 재 라우팅 가능
5) OSPF(Open Shortest Path First)
- 링크 상태 라우팅 프로토콜 기반
- 네트워크가 변화가 생겼을 경우에만 전체 네트워크에 플러딩 과정을 수행함으로써 라우팅 정보를 신속하게 갱신
- 최적경로 계산을 위해 다익스트라 알고리즘 사용
6) BGP4(Border Gateway Protocol version 4)
- 도메인 라우팅 프로토콜
- 경로 벡터 알고리즘을 기반으로 하고 있지만 인터넷에서 네트워크의 접근성에 대한 정보를 제공
- 거리 벡터에 기초한 알고리즘이지만 패스 벡터 알고리즘에서는 홉수 대신 AS 번호를 매트릭으로 사용
- 초기에는 전체 라우팅 테이블을 교환하고 이후에는 변경된 라우팅 테이블만 교환
◈ 라우터 모드
- 유저 모드 : 현재 상태를 볼 수 있음
- Privileged 모드 : 모든 명령어를 이용할 수 있고 configuration 파일을 조정할 수 있음
- Configuration 모드 : 라우터의 구성 파일을 변경하는 경우 사용 - RXBOOT 모드 : 패스워드를 모르는 경우나 이미지 파일에 문제가 생긴 경우 복구를 위해 사용하는 모드 - Setup 모드 : 처음 구매해서 파워를 켰거나 라우터에 구성 파일이 없는 경우
◈ 기본 라우터 명령어
|
환경설정 모드 |
프롬프트 |
설명 |
|
Configuration |
R1(config)# |
Global Configuration 모드 |
|
interface |
R1(config-if)# |
특정 인터페이스에 해당하는 명령어를 실행 |
|
Subinterface |
R1(config-Subif)# |
서브 인터페이스에 대한 명령을 실행 |
|
Controller |
R1(config-controller)# |
컨트롤드 모드의 설정을 실행 |
|
Line |
R1(config-line)# |
라인에 대한 명령을 실행 |
|
Router |
R1(config-router)# |
라우팅 프로토콜에 관련된 설정을 실행 |
012 네트워크 장비의 이해
◈ 랜카드
- 단순히 PC 혹은 네트워크에서 전달되는 정보를 상호 교환할 수 있도록 해줌
- PC에서 전송 요구가 발생하면 랜카드로 정보를 일정한 형태로 만들어 보내고 랜카드에서는 이 정보를 일단 버퍼에 저장한 다음 네트워크에 맞는 형태로 보냄
- PC와 랜카드 사이에서 논리적으로 묶어주는 소프트웨어를 네트워크 드라이버라고 함
- 종류
① Full Duplex : 송신 스테이션과 수신 스테이션이 동시에 양방향으로 데이터를 전송
② Half Duplex : 송신 스테이션과 수신 스테이션 간에 한 번에 한 방향으로만 데이터를 전송
◈ 허브(Hub)
- 물리 계층에서만 동작하는 장치
- 네트워크 내에서 정보를 전달하는 신호는 신호 감쇠가 테이블 무결성을 훼손하기 전까지 고정된 거리를 이동
- 필터링과 어느 포트로 프레임을 전달해야 할지 결정할 기능이 없음
◈ 브리지(Bridge)
- OSI의 데이터링크 계층인 MAC에서 동작
- 패킷 프레임에 대한 인지능력이 있으며 둘 또는 그 이상의 네트워크를 상호 연결하는 데 사용
- 네트워크를 분산 구성함으로써 보안성을 높일 수 있음
◈ 라우터(Router)
- 3계층 장치로 물리, 데이터링크, 네트워크 계층에서 동작
- 이기종 LAN 간의 연결, LAN을 WAN에 연결, 효율적인 경로를 선택, 에러 패킷에 대한 폐기 등의 기능 수행
- 독립적인 네트워크들을 연결하여 인터네트워킹을 형성하는 인터네트워킹 장치
- 네트워크 세그먼트 내부에서 발생하는 브로드캐스팅과 멀티캐스팅 패킷을 모두 차단하여 다른 네트워크 세그먼트로 전달되는 것을 방지하여 회선을 효율적으로 사용 가능
◈ 스위치(Switch)
- 2계층 : 모든 포트에 연결된 MAC 주소를 학습하며 스위칭 테이블을 생성, 갱신 후 프레임 전달
- 3계층 : 소프트웨어보다는 하드웨어를 사용한 라우터의 한 형태
- 4계층 : 포트번호를 기준으로 패킷을 전송하며 관리하고 있는 서버의 부하에 따라 세그먼트를 적절히 배분
- 7계층 : 세션 계층과 응용 계층의 데이터 영역까지 분석하여 응용 세션의 제어 수행 가능
◈ 게이트웨이
- 서로 다른 통신규약을 사용하는 네트워크들을 상호 연결하기 위하여 자신의 통신규약을 상대방의 통신규약으로 전환해주는 역할을 하여 서로 다른 기종의 네트워크를 연결시키는 장비
◈ VLAN
- 가상 근거리 네트워크(VLAN; Virtual Local Area Network)를 물리적인 선에 의한 것이 아닌 소프트웨어에 의해 구성된 근거리 네트워크로 정의
- 특징
* 브로드캐스트 도메인을 나누기 위해 사용하는 기술
* 하나의 브로드캐스트 프레임에 대하여 동일 브로드캐스트 그룹이 아닌 곳에는 전달하지 않음
* VLAN 태그가 상이한 네트워크로의 접근을 근본적으로 차단
* 서로 다른 논리적 그룹에 대하여 서로 다른 보안정책을 적용
- 종류
* Port 기반 VLAN : 스위치 포트 별로 할당
* MAC 기반 VLAN : 각 호스트들의 MAC 주소를 VLAN에 등록하여 할당
* 네트워크주소 기반 VLAN : IP 주소 별로 할당
* 프로토콜 기반 VLAN : 프로토콜 별로 할당
* 멀티캐스트 IP 기반 VLAN : 멀티캐스트 IP 주소 사용
- 장점
* 경비와 시간 절약
* 가상 워크그룹의 생성
* 보안
◈ 전송매체
|
종류 |
장점 |
단점 |
|
트위스티드 페어 케이블 |
- 저렴 |
- 고속 전송에 부적합 |
|
동축 케이블 |
- 설치가 쉬움 |
- 설치기술에 따라 관리, 재구성이 어려움 |
|
광 케이블 |
- 2Gbps를 넘는 높은 대역폭을 지원 |
- 구축비가 비쌈 |
013 무선통신 보안
◈ 무선 LAN
1) 특성
- 감쇠 : 신호가 모든 방향으로 퍼지기 때문에 전자기 신호의 강도가 급격하게 줄어듦
- 간섭 : 같은 주파수 대역을 사용하고 있는 모든 송신자가 신호를 받을 수 있음
- 다중 경로 전달 : 신호들이 다른 경로로 갈 수 있기 때문에 다른 위상에 있는 신호들을 받을 수 있음
- 오류 : 오류와 오류 감지가 유선에서보다 문제가 심각함
2) 장점
- 케이블이 불필요하며 이동이 자유로움
- 주변 환경이 깔끔함
- 네트워크 구축비용이 절감됨
- 네트워크 유지 및 보수 등이 용이
3) 단점
- 전파를 사용하는 다른 기기의 간섭을 받음
- 유선랜에 비해 상대적으로 느린 전송속도를 제공
- 숨겨진 터미널에 문제가 발생
◈ 무선 표준
1) IEEE802.11b
- 공공장소에서 많이 사용되고 있는 무선랜
- 2.4GHz 주파수대
- 최대 전송속도 11Mbps
2) IEEE802.11a
- 무선랜을 위한 전용 대역이기 때문에 블루투스와 같은 다른 기기의 영향을 받지 않음
- 5GHz 주파수대
- 최대 전송속도 54Mbps
3) IEEE802.11g
- 고속 통신이 가능
- 2GHz 주파수대
- 최대 전송속도 24Mbps(옵션 : 54Mbps)
4) IEEE802.11n
- 주위 간섭에 강해서 보다 넓은 지역에서 동작
- 최대 전송속도 600Mbps
5) IEEE802.11i
- 암호기능, 인증 기능 포함
◈ 무선 통신 기술
1) 블루투스
- 서로 짧은 거리에 있을 때 서로 다른 기능을 가진 장치를 연결
- 낮은 가격에 만족할 만한 서비스를 제공
- 접속기기를 필요로 하지 않고 기기들이 동시 사용 가능
2) Zigbee
- 저속의 무선 네트워크 기술
- 작은 크기와 저전력 소모로 값이 싸고 유비쿼터스 구축 설루션으로 사용
◈ 무선랜 구성 장비
1) AP(Access Point)
- 무선랜을 구성함에 있어 무선 네트워크의 중심이 되며 핵심적인 역할을 하는 장비
- AP는 크게 대규모 네트워크용과 소규모 네트워크용으로 나뉨
2) 무선랜 카드
- PCI 형태
- PCMCIA 형태
- USB 형태
◈ 무선랜 기술 취약점
- 도청 : 전파가 필요한 범위 이상으로 전달되는 경우 무선 데이터의 수신을 통한 도청이 가능
- 서비스 거부(DoS) : 무선 AP 장비에 대량의 무선 패킷을 전송하는 서비스 거부 공격을 통해 무선랜을 무력화
- 불법 AP(Rogue AP) : 불법 무선 AP를 설치하여 무선랜 사용자들의 전송 데이터를 수집
- 비인가 접근 : SSID 노출, MAC 주소 노출
◈ 무선랜 인증 기술
1) SSID(Service Set IDentifier)
- AP를 구분하는 ID로 무선랜을 통해 전송되는 패킷 헤더에 덧붙여지는 32바이트 고유 식별자
- AP에 SSID를 부여하고 무선랜 클라이언트들은 SSID를 선택하여 통신
- AP 장비에서 설정된 SSID 정보를 이용하여 사용자의 접속을 통제, 관리
2) MAC 어드레스 필터링
- MAC 어드레스는 네트워크 카드 제조사에 의해 부여된 48비트 H/W 주소
- AP 장비에 통신기기 고유 MAC 주소를 등록하여 MAC 주소 등록 사용자와 미등록 사용자의 접속을 통제, 관리하는 방법
- AP마다 무선랜을 사용하는 모든 PC의 MAC 주소를 등록해야 하고 MAC 주소 변경 시 AP마다 일일이 등록해야 하므로 관리가 어려움
3) EAP(Extensible Authentication Protocol)
- 원래 PPP에서 사용할 목적으로 설계된 프로토콜로써 PPP인증방식을 쉽게 확장할 수 있도록 설계
- EAP는 단순한 캡슐화 방식을 적용하여 PPP, 802.3, 802.11을 포함한 어떠한 링크 계층에도 적용 가능
- 다중 인증 메커니즘을 지원하기 때문에 다양한 인증방식이 적용 가능
4) WEP(Wired Equipvalent Privacy)
- 공유 키인 WEP 키를 이용하여 사용자를 인증하는 방식
- AP를 이용한 WEP 인증 및 인증 서버를 이용한 인증 모두 AP 또는 인증 서버와 사용자의 단말기에 같은 값의 WEP 키를 설정하여 사용
◈ 무선랜 암호화 기술
1) WEP(Wired Equipvalent Privacy)
- 802.11 표준에 정의된 데이터링크 계층 보안 프로토콜
- 무선랜 데이터 스트림의 보안을 제공하기 위해서 사용되며 대칭키 구조의 암호화 알고리즘
- 스트림 암호화 알고리즘인 RC4를 사용하고 40비트의 WEP 공유키와 초기화 벡터(IV)로부터 키 스트림을 생성
2) TKIP(Temporal Key Integrity Protocol)
- 기존 WEP의 암호화 알고리즘인 RC4를 사용하면서 RC4의 보안상의 문제점을 개선하기 위해 Key Mixing 함수, Dynamic WEP Key, 메시지 무결성 보장을 위한 스펙을 정의한 통신 규약
- 48비트의 확장된 길이의 초기 벡터(IV)를 사용
- 802.11i, WPA에 적용
3) CCMP(Counter mode with CBC-MAC Protocol)
- AES 블록 암호를 사용해 데이터의 비밀성과 무결성을 보장하기 위한 규칙들을 정의
- 802.11i를 사용한 보안에서의 기본 모드에 해당하며 더 높은 보안성을 가짐
- TKIP가 기존의 H/W를 수용하기 위한 과도기적 기법인 반면 CCMP는 기존 H/W를 고려하지 않고 초기부터 보안성을 고려하여 새롭게 설계
◈ 무선랜 인증 및 암호화 복합 기술
1) 802.1x 보안
- 브리지 혹은 무선 AP에서의 물리적인 포트 사용권을 획득하는 절차를 규정
- 802.1x의 목표는 외부 단말이 내부 네트워크로 접근하고자 할 때 브리지/스위치 혹은 AP에서 인증을 수행하여 접근을 통제할 수 있도록 함
2) WPA(Wi-Fi Protected Access)
- Wi-Fi에서 정의한 무선랜 보안규격으로써 802.11i 보안 규격의 일부 기능을 수용하여 만든 표준 규격
- 암호화 기법으로 TKIP 사용
- IEEE802.1X과 EAP를 기반으로 강력한 사용자 인증 제공
- RADIUS, Kerberos, 기타 다른 인증서버와 호환되며 AP에서 비밀번호를 수동으로 설정할 수 있는 사전 공유 키 방식 또한 제공
3) WPA2
- 2세대 WPA로서 TKIP를 대체하기 위해 AES에 기반을 둔 CCMP 암호화 방식을 사용하는 IEEE802.11i 수정안을 포함한 보안 기술
◈ WAP(Wireless Application Protocol)
- WAP 포럼에서 개발한 통합된 표준
- 인터넷 기술과 가능한 최대한 호환해서 사용할 수 있도록 설계
- 규격
* WWW 프로그래밍 모델에 기반한 프로그래밍 모델
* XML과 무선 마크업 언어
* 모바일 무선 단말기에 적합한 소형 브라우저의 규격
* 정량 통신의 프로토콜 스택
* 무선 전화 응용을 위한 프레임워크
014 네트워크 관리
◈ 개요
- 네트워크 자원들에 대하여 적절한 관리행위를 함으로써 네트워크 사업자들과 사용자들에게 안정적인 네트워크 서비스를 제공하는 것
- 내트워크의 규모가 점점 커지고 이질적인 네트워크들이 공존하게 됨으로써 전체 네트워크의 원활한 동작을 위함
- ISP(Internet Service Provider) 사업자들이 인터넷 서비스에 대한 신뢰도를 높이기 위함
◈ 5대 관리 기능
- 계정 관리 : 비용을 계산하고 요금을 부과
- 구성 관리 : 상호 연결 및 네트워크의 정보를 제공
- 성능 관리 : 네트워크의 동작 및 효율성을 평가
- 장애 관리 : 비정상적인 동작을 발견하고 대처
- 보안 관리 : 관리 대상에 대한 보안
◈ SNMP
1) 개념
- SNMP(Simple Network Management Protocol)는 관리자와 에이전트의 개념을 사용
- 호스트인 관리자는 서버인 에이전트들의 집단을 제어하고 감시
2) 관리 구성요소
- SNMP : 객체의 상태를 읽고 변경
- SMI : 객체의 이름을 붙이고 객체 유형을 정의하며 객체와 값들을 부호화하는 방법을 나타내기 위한 일반적인 규칙 정의
- MIB : 관리될 각 개체를 위해 객체의 수를 결정하고 이들을 SMI에 의해 정의된 규칙에 따라 이름을 붙이며 이름이 지어진 각 객체에 유형을 연결
◈ 원격 접속 프로토콜
1) TELNET
- ISO에서 제안된 가상 터미널 서비스에 대한 표준 TCP/IP 프로토콜
- 대칭성
- 보안 문제
2) Rlogin
- 원격 로그인을 의미하며 원격지 접속을 지원하는 프로토콜
- 인터넷 표준이 아니며 BSD 계열 시스템 간의 원격 접속을 위해서 설계
- TELNET에 비해 단순하고 별도의 옵션 협상기능 또한 제공하지 않음
3) SSH(Secure Shell)
- TELNET과 같이 TCP를 하부 전송 프로토콜로 사용하나 더 안전하고 많은 서비스를 제공
- 강력한 인증 방법 및 안전하지 못한 네트워크에서 안전하게 통신할 수 있는 기능을 제공
- 컴포넌트
* SSH 전송 계층 프로토콜(SSH-TRANS)
* SSH 인증 프로토콜(SSH-AUTH)
* SSH 연결 프로토콜(SSH-CONN)
* SSH 응용
015 UNIX/Windows 네트워크 서비스
◈ 연결 테스트(ping)
1) 개요
- ping 명령은 인터넷으로 접속하려는 원격 호스트가 정상적으로 운영되고 있는지를 확인하는 진단 목적으로 사용
- ICMP를 이용하는 유틸리티
- 시스템의 접근성을 진단하는 것 외에도 네트워크 속도를 측정할 수 있음
2) 문법
- ping [-option] ip_address | host_name
3) 결과 분석
- 왕복 시간(Round-trip Time) : ICMP 패킷을 송신한 시간과 ICMP 패킷이 수신된 시간을 비교하면 두 시스템 간의 왕복시간을 계산할 수 있음
- 패킷 손실(Packet Loss) : 총 보낸 Echo Request 패킷에 대해 수신한 Echo Reply 패킷의 수
◈ 경로 추적(traceroute)
1) 개요
- 목적지까지의 데이터 도달 여부를 확인하는 도구
- UDP 패킷을 이용해 진행경로를 추적
- 우연히 도달하는 것을 방지하기 위해 정확히 3개의 UDP 패킷을 보냄
2) 문법
- traceroute [-option] ip_address | host_name [packet_len]
3) 결과 분석
- TTL은 디폴트 값이 30으로 정의되며 전송되는 패킷의 크기는 40 Bytes
- 제일 앞의 일련번호는 TTL 값을 나타내며 뒤의 IP 주소는 현재 경유하는 네트워크 구간의 주소를 나타냄
- 송신한 탐색 패킷의 결과가 5초 이내에 도달하지 않으면 해당 TTL의 왕복시간은 *기호로 표시
4) 활용
- traceroute 결과에서 응답 시간이 * 로 표시되는 경우 침입차단시스템 등의 접근 통제리스트에 의해 UDP 패킷이 차단되었음을 확인할 수 있음
- 네트워크 Troubleshooting 방법
① 지정한 주소가 실제로 존재하는지 체크(없다면 패킷이 멈춘 곳을 알림)
② 수행 속도가 느리면 어느 지점에서 시간을 많이 소요하는지 확인
③ 패킷이 적당한 곳을 통해서 라우팅 되고 있는지 확인
④ * 모양이 생기는 곳이 있는지 확인
◈ 네트워크 인터페이스 진단(netstat)
1) 개요
- UNIX 시스템의 TCP/IP 프로토콜 진단 시 다양한 용도로 사용
- 네트워크 인터페이스에 대한 성능 정보, 시스템 라우팅 정보, 소켓 사용 정보 등 지정 옵션에 따라서 네트워크 정보 제공
2) 문법
- netstat [-option]
3) 결과 분석
- IP 프로토콜은 목적지 주소를 라우팅 테이블의 Destination 항목에서 우선순위에 근거하여 검색
- [완전 일치] → [네트워크만 일치] → [디폴트] 순으로 데이터를 전송할 게이트웨이 주소를 가져옴
4) 플래그
* U : 사용하는 인터페이스의 활성화 상태
* H : 네트워크가 아닌 호스트로의 라우트
* G : 게이트웨이 역할을 하는 라우트
* D : ICMP Redirect 메시지에 의해 생성된 라우팅 정보
* M : ICMP Redirect 메시지에 의해 수정된 라우팅 정보
◈ 네트워크 인터페이스 설정(ifconfig)
1) 개요
- 네트워크 인터페이스 설정 정보를 알아보거나 IP주소 및 서브넷 마스크 등의 설정을 변경할 때 사용
- 네트워크 인터페이스를 활성화시키거나 비활성화시키는 기능도 있음
2) 문법
- ifconfig [device] [ip_address] [netmask mask] [broadcast broadcast_ip] [up | down]
◈ 라우팅 테이블 설정(route)
1) 개요
- route 명령을 사용하여 라우팅 테이블에 라우팅 경로를 추가하거나 삭제
2) 문법
- route add [-net | -host] destination [gw gateway] [netmask mask] [[dev] interface]
- route del [-net | -host] destination [gw gateway] [netmask mask] [[dev] interface]
◈ 네트워크 패킷/로그 분석(tcpdump)
1) 개요
- tcpdump는 네트워크 인터페이스를 거치는 패킷의 내용을 출력해 주는 프로그램
- 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용을 도청
2) 예제
- tcpdump dst host x.x.x.x
016 네트워크 기반 공격의 이해
◈ 네트워크 기반 위협
1) 네트워크 취약 요인
- 많은 공격 지점
- 공유
- 시스템의 복잡성
2) 네트워크 위협 유형
- 수동적 공격 : 통신회선상의 정보를 무단으로 취득하는 행위
- 능동적 공격 : 통신회선상의 정보를 변조, 위조하는 행위
◈ 서비스 거부 공격(DoS)
1) DoS(Denial of Service) 공격의 정의
- 정보 시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위
- 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해
2) TCP SYN spoofing Attack
- TCP 연결 설정 과정 중에 3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격
- 공격자가 다수의 syn 신호를 공격대상자에게 전송하면 공격대상자는 syn/ack 신호를 공격자에게 전달하게 되는데 이때 공격자가 ack 신호를 반송하지 않으면 공격대상자의 시스템은 일정 시간동안 신호를 기다리게 됨
- 대응책
* 접속 타임아웃 타이머의 시간을 짧게 단축
* IDS 및 방화벽 설치
3) SMURF Attack
- 광범위한 효과로 도스 공격 중에서 가장 피해가 크며 가장 인기 있는 공격 형태로 IP 위장과 ICMP의 특징을 이용한 공격
- 공격자는 IP를 공격서버의 IP 주소로 위장하여 ICMP를 브로드캐스트로 다수의 시스템에 전송하는데 이때 다수의 시스템은 브로드캐스트에 대한 응답으로 다수의 ICMP ECHO 패킷을 발생하게 됨
- 대응책
* 다른 네트워크로부터 자신의 네트워크로 들어오는 IP broadcast 패킷을 막도록 설정
* 호스트는 IP directed broadcast address로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템을 설정
4) Flooding Attack
- 공격의 목적은 목표시스템에 연결된 네트워크 링크에 과부하를 거는 것
- 종류
* ICMP Flood
* UDP Flood
* TCP SYN Flood
5) Land Attack
- 공격자가 임의로 자신의 IP 어드레스와 포트를 대상 서버의 IP 어드레스 및 포트와 동일하게 하여 서버에 접속하는 공격방식
- SYN Flooding처럼 동시 사용자 수를 증가시키며 CPU 부하까지 올림
- 대응책
* 공격자가 보내는 패킷의 횟수를 카운트하며 공격인정 시간 내에 공격인정 횟수가 많으면 Land Attack으로 탐지
* 라우터나 패킷 필터링 도구를 이용하여 자신의 시스템 주소와 동일한 소스 주소를 가진 외부 패킷을 필터링
6) Ping of Death
- 핑을 이용하여 ICMP 패킷을 정상적인 크기보다 아주 크게 만드는 것
- 크게 만들어진 패킷은 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 동안 아주 작은 조각이 되어 부하를 발생시킴
7) Teardrop Attack
- 네트워크상에서 수신자가 패킷을 재조립을 할 때 오프셋 값을 수정해서 오버플로우를 일으켜 시스템의 기능을 마비
- 대응책
* 시스템의 운영체제가 취약점을 갖지 않도록 패치
◈ DDoS 공격
1) 개요
- 여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트/시스템을 공격하여 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크 성능 저하나 시스템 마비를 가져오게하는 해킹 방법
2) 공격 순서
- [해커] → [마스터 컴퓨터] → [좀비 컴퓨터] → [타겟]
3) 구성 요소
- 공격자(Attacker) : 공격을 주도하는 해커의 주 컴퓨터
- 마스터(Master) : 공격자에게 직접 명령을 받은 시스템으로 여러 대의 슬레이브를 관리하는 시스템
- 슬레이브(Slave)/좀비(Zombie) : 공격 대상에 직접적인 공격을 가하는 시스템으로 악성코드에 감염된 시스템
- 표적(Victim) : 공격 대상이 되는 시스템
4) 대응 방안
- 라우터의 ACL 이용
- 라우터의 Ingress 필터링
- 라우터의 Engress 필터링
- 라우터의 약속된 접근비율(CAR) 기능
- 방화벽
- 시스템 패치, 핫픽스(Hot Fix)
- 안정적인 네트워크 설계
- IDS 이용
- 로드 밸런싱(Load Balancing)
- 서비스 별 대역폭 제한
- DPI(Deep Packet Inspection)
5) DDoS 공격의 사례
- 트리누 : 많은 호스트로부터 통합된 UDP flood 서비스거부 공격을 유발하는데 사용되는 도구
- TFN : 분산 서비스 거부 도구
- Stacheldraht : 트리누와 TFN의 기능을 합친 도구
- TFN2K : TFN의 발전된 형태로 통신에 특정 포트가 사용되지 않고 암호화 되어 있음
6) 최신 DDoS 공격유형
- UDP/ICMP Traffic Flooding 공격
- TCP Traffic Flooding 공격
- IP Flooding 공격
- HTTP Traffic 공격
- HTTP Header/Option Spoofing Flooding 공격
7) 공격유형에 따른 대응 방안
① 공격 유형 : UDP Flooding, ICMP Flooding
* 대응 방안 : 웹서버 망을 보호하는 방화벽이나 웹서버망 상단에 위치한 라우터에서 해당 프로토콜을 차단하도록 ACL 설정
② 공격 유형 : TCP Flooding
* 대응 방안 : 대용량 TCP Flooding 공격은 프로토콜 기준으로 차단하는데 한계가 있어 소스 IP별로 pps 임계치를 설정
③ 공격 유형 : Syn(Ack/Fin) Flooding
* 대응 방안 : 웹서버 OS의 TCP 스택 자원을 소모하는 특징이 있으므로 소스 IP별로 pps 임계치를 설정하거나 패킷 헤더 검사를 통해 정상적인 옵션 필드값을 가지지 않은 비정상 패킷 차단
④ 공격 유형 : Get Flooding, Post Flooding
* 대응 방안 : 다량의 HTTP 요청으로 웹서버와 DB 연동에 부하를 유발시키는 것이 특징으로 클라이언트로부터 요청 수에 대한 임계치를 설정하여 임계치를 초과하는 소스 IP를 접속 차단하거나 HTTP 헤더를 확인하여 HTTP 표준에 맞지 않는 필드 값을 차단 시그니처로 설정
⑤ 공격 유형 : Slow Header Flooding, Slow Data Flooding
* 대응 방안 : 완료되지 않은 연결 상태를 지속적으로 유지하는 공격이므로 하나의 요청에 대한 연결 타임아웃을 설정하여 특정 타임아웃이 지나면 연결을 종료시켜 차단
8) DRDoS(Distributed Reflection Denial of Service)
- TCP 3way-Handshake를 이용하는 DDoS 공격으로 공격자는 출발지 IP를 공격대상의 IP로 위조하여 syn 패킷을 다수의 반사서버로 전송하여 공격대상이 이 장비들이 응답하는 syn-ack 패킷을 받아 서비스가 거부 상태가 됨
- 대응법
* 네트워크 : DRDoS 공격은 출발지 IP를 위조하는 공격이므로 IP주소가 위조된 패킷이 인터넷망으로 인입되지 않도록 ISP가 직접 차단
* 반사 서버 : icmp 프로토콜을 이용하는 DRDoS에 악의적으로 이용되지 않기 위해 icmp 프로토콜을 사용할 필요가 없는 시스템인 경우에는 스위치 또는 서버에서 해당 프로토콜을 차단
* 공격대상 : icmp 프로토콜을 이용하는 DRDoS에 악의적으로 이용되지 않기 위해 icmp 프로토콜을 사용할 필요가 없는 시스템인 경우에는 스위치 또는 서버에서 해당 프로토콜을 차단
◈ 네트워크 스캐닝
1) 포트 스캔 개요
- 공격자가 목표사이트 내에 존재하는 서버나 호스트들의 생존여부는 물론 현재 제공하는 서비스 등을 확인하고 식별하기 위해 사용
2) 포트 스캔 종류
- TCP Open 스캔
* 포트가 열린 경우 : SYN+ACK
* 포트가 닫힌 경우 : RST+ACK
- TCP Half Open 스캔
* 포트가 열린 경우 : SYN+ACK
* 포트가 닫힌 경우 : RST+ACK
- TCP FIN 스캔
* 포트가 열린 경우 : 무응답
* 포트가 닫힌 경우 : RST
- TCP NULL 스캔
* 포트가 열린 경우 : 무응답
* 포트가 닫힌 경우 : RST
- TCP XMAS 스캔
* 포트가 열린 경우 : 무응답
* 포트가 닫힌 경우 : RST
- UDP 스캔
* 포트가 열린 경우 : 무응답
* 포트가 닫힌 경우 : ICMP Unreachable 패킷
3) Remote Finger Printing
- OS 또는 서비스 프로그램 정보를 얻을 수 있음
◈ 스푸핑(Spoofing)
1) 개요
- 해커가 악용하고자 하는 호스트의 IP 주소나 이메일 주소를 바꾸어서 이를 통해 해킹하는 것
2) 유형
- IP 스푸핑 : 공격자가 정보를 얻거나 접근을 하기 위해 다른 컴퓨터의 IP 주소를 사용
- 이메일 스푸핑 : 이메일 발신자를 위장하여 메일을 보내는 방식
- 웹 스푸핑 : 공격자가 중간에서 웹 페이지 내용을 가로채어 원래 웹페이지 내용을 변경하여 보내는 방법
- DNS 스푸핑 : DNS를 사칭하여 관련 없는 사이트로 접속되도록 DNS에서 전달하는 IP 주소를 변경하는 방법
- ARP 스푸핑 : ARP의 결과로 호스트의 주소 매칭 테이블에 위조된 MAC주소가 설정되도록 하는 공격
◈ 패킷 스니핑(Packet Sniffing)
1) 개요
- 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것
2) 종류
- 허브 환경
* NIC를 promiscuous 모드로 동작하게 한다면 패킷을 저장하고 분석하는 것이 가능
- 스위치 환경
① 스위치 재밍(Switch Jamming)
② ARP 스푸핑(Spoofing)
③ ARP 리다이렉트
④ ICMP 리다이렉트
⑤ 스위치의 SPAN/Monitor 포트 이용
3) 대응 방안
- 암호화 기능 및 보안 프로토콜 사용
- 전문 탐지 도구 사용
◈ 세션 하이재킹(Session Hijacking)
1) 개요
- 현재 연결중인 세션을 가로채 접근 권한을 얻는 것
2) 공격 절차
① 목표 설정
② 시퀀스 넘버 난이도 검사
③ 공격 대상 세션 설정
④ 시퀀스 넘버 추측
⑤ 사용자 죽이기
⑥ 세션 하이재킹
3) 방어 대책
- 암호화 : 전송되는 데이터를 암호화
- 지속적인 인증 : 처음 로그인 후 일정 시간 내에 재인증을 지속적으로 실시
- 패치 : TCP/IP 취약점을 수정
◈ 각종 Remote Attack
1) Trojan
- 악의적인 프로그램을 건전한 프로그램처럼 포장하여 일반 사용자들이 의심 없이 자신의 컴퓨터 안에서 이를 실행시키고 실행된 Trojan은 특정 포트를 열어 공격자의 침입을 도와 추가적으로 정보를 자동 유출하며 자신의 존재를 숨기는 기능 등을 수행
2) Exploit
- 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자가 의도된 동작을 수행
017 IDS/IPS
◈ IDS(Intrusion Detection System)
1) 개요
- 컴퓨터 또는 네트워크에서 발생하는 이벤트들을 모니터링하고 침입 발생 여부를 탐지하고 대응하는 자동화된 시스템
2) 장점
- 해킹에 대하여 침입차단시스템보다 적극적인 방어 가능
- 내부 사용자의 오남용 탐지 및 방어 가능
- 해킹사고 발생 시 어느 정도의 근원지 추적 가능
3) 단점
- 대규모 네트워크에 사용 곤란
- 관리 및 운영 어려움
- 새로운 침입기법에 대한 즉각적인 대응 곤란
- 보안사고에 대한 근본적인 해결책은 되지 못함
4) 실행 단계
① 데이터 수집
② 데이터 가공 및 축약
③ 침입분석 및 탐지
④ 보고 및 대응
◈ IDS의 종류
1) 탐지방법
|
분류형태 |
특징 |
장점 |
단점 |
|
행위기반 |
- 사용자의 행동양식을 분석한 후 정상적인 행동과 비교해 이상한 행동, 급격한 변화가 발견되면 불법침입으로 탐지 |
- 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요 |
- 오탐률 높음 |
|
지식기반 |
- 특정 공격에 관한 분석결과를 바탕으로 패턴을 설정 |
- 오탐률이 낮음 |
- 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요 |
2) 대응방법
- 수동적 : 침입을 탐지하였을 때 별도의 대응 없이 침입 사실을 관리자에게 경보
- 능동적 : 침입을 탐지하였을 때 스스로 대응행동을 수행하여 침입자의 공격을 막거나 방해
3) 데이터 수집원
|
분류형태 |
특징 |
장점 |
단점 |
|
네트워크 패킷 |
- 네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이 |
- 네트워크에서 실행되어 개발서버의 성능저하가 없음 |
- 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능 |
|
호스트 로그파일 |
- 서버에 직접 설치됨에 따라 네트워크 환경과 무관 |
- 기록되는 다양한 로그자료를 통해 정확한 침입 방지 가능 |
- 해커에 의한 로그 자료의 변조 가능성 존재 및 DoS공격으로 IDS 무력화 가능 |
4) 탐지시점
- 사후 분석 : 수집된 감사 데이터를 정해진 시간에만 분석하여 침입 여부를 판정하는 시스템
- 실시간 분석 : 실시간 정보수집과 동시에 감사 데이터 발생과 침입 탐지가 이루어지고 이에 대응하는 대비책을 실행
◈ IDS의 응용
1) 오류
- 긍정 오류(false positives) : 합법적 사용자를 침입자로 판단
- 부정 오류(false negatives) : 침입자를 합법적 사용자로 판단
2) 분산 침입탐지
- 호스트 에이전트 모듈 : 모니터링되는 시스템에서 백그라운드로 작동되는 감사 수집 모듈
- LAN 모니터 에이전트 모듈 : LAN 트래픽을 분석하는 모듈
- 중앙 관리자 모듈 : LAN 모니터와 호스트 에이전트로부터 보고를 받고 침입을 탐지하기 위해서 보고서를 처리하고 연관시킴
3) 허니팟(honeypot)
- 공격성향이 있는 자를 중요한 시스템으로부터 다른 곳으로 끌어내도록 설계한 유도시스템
- 목적
* 중요한 시스템에 접근하는 공격자를 다른 방향으로 유도
* 공격자의 동작에 관한 정보를 수집
* 관리자가 반응할 수 있도록 공격자로 하여금 시스템에 충분히 오랜 시간 동안 머무르기를 유도
※ 허니넷(HoneyNet) : 다수의 허니팟으로 구성된 네트워크
◈ IPS(Intrusion Prevention System)
1) 개요
- 침입이 일어나기 전에 실시간으로 침입을 막고 유해 트래픽을 차단하기 위한 능동형 보안 솔루션
2) 필요성
- 단순한 네트워크단에서 탐지가 제공되는 못하는 각종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지
- OS 차원에서 실시간 방어와 탐지 기능을 제공
◈ IPS의 종류
1) 공격 패턴 인지 방식
- Signature Based IPS
* 침입방지 패던 DB를 기반으로 알려진 공격에 대한 탐지 및 차단을 실행하는 방식
* 각각의 공격에 대하여 정확한 시그니처를 정의하고 해당 공격 패턴에 매칭이 되어야만 차단을 시행
* 알려지지 않은 공격의 경우 정확한 시그니처 리스트가 업데이트되어 있지 않으면 차단이 불가능한 단점이 있으나 오탐 가능성은 적음
* IDS와 기본적으로 동일한 형태의 인지 방식
- Heuristics Based IPS
* Anomaly Detection/Prevention 방식이라고도 함
* 알려지지 않은 공격에도 계속 수집, 축적되는 정보를 이용하여 오탐을 줄이고 능동적으로 대처하게 하는 방식
2) 구성 형태
- HIPS(Host IPS)
* 기존 호스트 운영 서버상에 탑재되는 S/W 기반 IPS
* Kernel Dependant : 커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식으로 접근제어 기능을 포함하는 Secure OS 기반
* Kernel Independant : 커널과 독립적으로 작동하며 시그니처와 행동 기반 분석 알고리즘을 이용, 특정 규칙에 위배되는 이벤트 필터링 이용
- NIPS(Network IPS)
* 방지능력과 빠른 반응속도를 위해 In-Line에 위치한 독립된 솔루션 기반 제품
* 세션 기반 탐지 지원
* 다양한 종류의 방지 방법을 통해 악의적인 세션을 차단
* 실시간 패킷 처리, 오탐을 최소화하는 기술, 변형 공격과 오용 공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술 사용
018 보안침입차단시스템(Firewall)
◈ 침입차단시스템(방화벽, Firewall)
1) 개요
- 사설 네트워크를 외부로부터 보호하기 위해 공증 네트워크와 사설 네트워크 사이에 설치된 솔루션
2) 기능
- 패킷 필터링 : ACL을 생성해 두고 네트워크 패킷 헤더 내의 정보를 기초로 지나가는 임의의 패킷을 선택적으로 허용/거부함으로써 트래픽을 제어
- 사용자 신분확인 : 침입차단시스템은 내부 네트워크에 접속하려고 할 때 반드시 통과해야 하는 곳이므로 인증 소프트웨어를 설치하기에 적합
- 로깅 및 감사 추적 : 모든 접근이 방화벽을 통과한다면 방화벽은 접근내용을 기록하여 접속정보 및 네트워크 사용에 따른 유용한 통계정보들을 제공하는 감사추적 기능을 제공
- NAT : NAT는 방화벽 내부에 존재하는 시스템들의 IP주소가 외부에 공개되지 않게 하여 방화벽 내부 네트워크 구성 은닉을 가능하게 하고 내부에 다양한 네트워크 구성이 가능하게 하는 효율성을 제공
3) 장점
- 취약한 서비스 보호 기능
- 호스트 시스템 접근제어 기능
- 로그와 통계자료 유지
- 내부 네트워크의 모든 자원에 일관된 보안정책 적용 가능
4) 단점
- 제한된 서비스 제공
- 우회하는 트래픽은 제어 불가
- 악의적인 내부 사용자로부터 시스템 보호 곤란
- 바이러스 및 새로운 형태의 위험에 대한 방어 곤란
◈ 방화벽의 유형
1) 패킷 필터링 방화벽(Packet filtering Firewall)
- 들어오는 IP 패킷에 규칙 모음을 적용하고 전달할 것은 전달하고 폐기할 것은 폐기
- 양쪽 방향에서 들어오는 패킷 모두를 필터링하도록 구성
- 패킷 필터링은 ACL을 이용하여 이루어짐
- 필터링 규칙은 네트워크 패킷에 포함된 정보에 기초
- 장점
* 확장 가능
* 높은 성능을 제공
* 응용프로그램에 독립적
- 단점
* 패킷에서 헤더 정보 외는 조사하지 않음
* 다른 옵션들에 비해 상대적으로 낮은 보안을 제공
* 연결 상태를 추적하지 않음
2) 프록시 방화벽(Proxy Firewall)
- 외도된 목적지로 전달하기 전에 메시지를 가로채서 검사
- 보호되는 네트워크와 보호되지 않은 네트워크 사이에 위치하여 양방향으로 연결을 형성
- 장점
* 가능하면 응용프로그램 계층까지 전체적으로 패킷 안의 정보를 검사
* 패킷 필터링보다 나은 보안을 제공
* 보호되는 시스템과 보호되지 않은 시스템 사이의 연결을 차단
- 단점
* 몇몇 프록시 방화벽은 제한된 응용프로그램 번호만을 지원
* 트래픽 성능이 저하
* 응용프로그램 기반 프록시 방화벽은 확장성과 성능에 대한 논점을 일으킴
* 클라이언트/서브 모델을 깨뜨리며 보안을 위해서는 바람직하지만 몇 명의 경우 기능상의 단점이 있음
◈ 방화벽의 배치
1) 배스천 호스트(Bastion Host)
- 침입차단 S/W가 설치되어 내외부 네트워크 사이에서 게이트웨이 역할을 수행
2) 호스트-기반 Firewall
- 서버에 설치
3) 개인 Firewall
- 개인 PC 설치
◈ 방화벽의 위치와 구성
1) 스크리닝 라우터 구조(Screening Router Architecture)
- 라우터를 이용해 각 인터페이스에 들어오고 나가는 패킷을 필터링하여 내부 서버로의 접근을 가려내는 역할
- 장점
* 구조가 간단
* 장비 추가 비용 없음
- 단점
* 라우터에 복잡한 필터링 규칙 설정이 필요
* 인증 기능 수행은 불가능
* 내부구조를 숨기기 어려움
* 방어의 깊이가 약함
2) 이중 네트워크 호스트 구조(Dual-Homed Host Architecture)
- 두 개의 인터페이스를 가지는 장비로 하나의 인터페이스는 외부 네트워크과 연결되고 다른 인터페이스는 내부 네트워크로 연결되며 라우팅 기능이 없는 방화벽 설치 형태
- 장점
* 각종 기록정보를 생성
* 관리와 설치, 유지보수가 비교적 용이
* 내부 네트워크 숨김 가능
- 단점
* 사용자 정보 입력이 필요
* 배스천 호스트가 손상되거나 로그인 정보가 누출되면 보호할 수 없음
3) 스크린드 호스트 게이트웨이 구조(Screened Host Gateway Architecture)
- 듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 배스천 호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성
- 장점
* 2단계 방어가 가능
* 필터링 규칙이 단순
- 단점
* 배스천호스트 침해 시 보안에 취약
* 해킹 시 내부 네트워크 방어가 불가
4) 스크린드 서브넷 구조(Screened Subnet Architecture)
- 스크리닝 라우터들 사이에 듀얼-홈드 게이트웨이가 위치하는 구조로 인터넷과 내부 네트워크 사이에 DMZ라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식
- 장점
* 타 방식의 장점들을 그대로 계승
* DMZ와 같은 보안층을 가지고 있어 매우 안전
* 모듈러하고 유연함
- 단점
* 설치와 관리가 어려움
* 구축비용이 많이 듬
* 서비스 속도가 느려짐
019 VPN
◈ VPN(Virtual Private Network)
1) 개요
- 인터넷과 같은 공중 네트워크를 전용회선처럼 사용할 수 있게 해주는 네트워크
- 공중망을 경유하여 데이터가 전송되더라도 외부인으로부터 안전하게 보호
2) 장점
- ISP들이 제공하는 인터넷 망을 이용하여 구축
- IPSec, MPLS 등 다양한 구축
- 위치와 상관없이 접속 가능
- 하부구조 변동과 상관없이 사용 가능
3) 단점
- 표준의 부재
- 보안성 미약
- 성능이 낮음
◈ VPN 구현 기술
1) 터널링
- 상용망 상에서 전용망과 같은 보안 효과를 주기 위한 기법
- VPN 내의 두 호스트 간에 가상 경로를 설정해 주어 사용자에게 투명한 통신서비스를 제공
2) 암호화 및 인증
- 정보의 기밀성을 제공하기 위해 대칭키 암호를 사용
- 대칭키는 공개키 암호방식을 사용한 키 교환을 통해 공유
- MAC 또는 해시함수를 이용해 수신된 메시지가 변경되지 않았음을 확인
3) 접근제어
- 암호화된 패킷에는 적용이 불가능
◈ VPN의 기능
- 데이터 기밀성 : 송수신되는 데이터를 제3자가 그 내용을 파악하지 못하도록 암호화하여 전송
- 데이터 무결성 : 송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법으로 암호화 및 전자서명을 이용
- 데이터 근원 인증 : 수신한 데이터가 해당 송신자에 의해서 전송된 것임을 확인할 수 있는 서비스 제공
- 접근 통제 : 인증된 사용자에게만 접근을 허용하는 기능으로 협상 내용을 모르는 제3자의 접근을 통제하는 서비스를 제공
◈ VPN의 분류
1) Intranet VPN
- 기업 내부를 LAN을 통해 연결하고 넓게는 지사까지 연결하며 가장 단순한 형태의 VPN
- TCP/IP를 기반으로 하여 인터넷과 동일한 통신장비 및 응용프로그램을 사용할 수 있음
- 방화벽과 ID, 암호를 입력하여 접속하는 형태의 보안성 서비스를 제공
2) Extranet VPN
- 자사와 밀접한 관계가 있는 고객사나 협력업체들에게 Intranet을 이용할 수 있도록 Intranet을 확장한 개념
- 업무처리에 있어 기업 간 원활한 데이터 교환을 목적으로 사용
3) Remote Access VPN
- 재택근무자나 원격접속자는 무선 및 전화접속을 이용하여 ISP의 NAS에 접속
- 접속경로는 PSTN, ISDN, xDSL 등이 될 수 있으며 NAS는 사용자 접속 인증절차와 터널링에 관련된 기능을 수행
- 연결 설정 및 데이터 전송에 대한 철저한 보안 필요
◈ VPN의 구성
- 송신자와 수신자 사이의 전송로에 외부로부터의 침입을 막기 위해 일종의 파이프를 구성하는 것
|
구분 |
2계층 |
3계층 |
MPLS |
|
프로토콜 |
L2TP, PPTP |
IPSec, GRE |
MPLS |
|
구현 형태 |
클라이언트-서버 |
호스트-호스트 |
호스트-호스트 |
|
캡슐화 대상 |
IP, IPX, 애플토크 |
IP |
IP |
|
인증 |
비표준, 자체지원 |
IPSec |
비표준 |
|
암호화 |
비표준, 자체지원 |
IPSec |
비표준 |
|
특징 |
PPP 기술 활용 |
다중 서비스 지원 |
QoS 제공 기능 |
◈ IPSec(IP Security Protocol)
1) 개요
- 네트워크 레벨에서 패킷에 대한 보안을 제공하기 위해 IETF에 의해 설계된 프로토콜
2) 서비스
- 암호화 : 56비트 DES, 168비트 3-DES
- 무결성 : HMAC-SHA-1, HMAC-MD5
- 보안 파라미터 협상 프로토콜 : Internet Key Exchange(IKE)
- 공유 비밀키 분배 프로토콜 : ephermeral Diffie-Hellman
3) 모드
- 전송 모드(transport mode) : IP 헤더를 보호하지 않으며 전송 계층으로부터 온 정보만을 보호
- 터널 모드(tunnel mode) : IP 헤더를 포함한 전체 IP 패킷을 보호
4) 보안 프로토콜
- 인증 헤더(AH; Authentication Header)
- 보안 페이로드 캡슐화(ESP; Encapsulation Security Payload)
|
구분 |
AH |
ESP |
|
전송 |
- 데이터 원본 인증 : MD5/SHA 이용 |
- 데이터의 기밀성 |
|
터널 |
- 데이터 원본 인증 : MD5/SHA 이용 |
- 데이터의 기밀성 - 데이터의 원본 인증 - 패킷 단위의 무결성 - 재생공격 방지 |
|
접근제어 |
O |
O |
|
비연결형 무결성 |
O |
O |
|
데이터 원본 인증 |
O |
O |
|
재전송 방지 |
O(opt) |
O |
|
기밀성 |
O |
|
|
제한적 트래픽 흐름의 기밀성 |
O |
◈ IKE(Internet Key Exchange)
- 내부적 및 외부적 보안 연관을 생성하기 위해 설계된 프로토콜
|
항목 |
IPSec |
SSL |
|
OSI 계층 |
네트워크 계층 |
전송 계층 |
|
암호화 |
응용프로그램 의존적 |
브라우저에 의존적 |
|
인증 |
Two-Way 인증 |
One or Two-Way 인증 |
|
접근성 |
제한된 환경 접속 |
분산환경 통합 접속 |
|
복잡성 |
높음 |
보통 |
|
사용 용이성 |
어려움 |
쉬움 |
|
확장성 |
매우 좋음 |
좋음 |
|
용도 |
기업 LAN 환경 접근 시 적합 |
원격 근무자 접근 시 적합 |
|
응용 분야 |
모든 IP 기반 서비스 |
Web 애플리케이션 |
020 네트워크 보안 동향
◈ 역추적 시스템
1) 개요
- 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술
2) 분류
- TCP 연결 역추적
* 호스트 기반 : 호스트에서 발생하는 로그 기록을 바탕으로 역추적을 진행하는 기술
* 네트워크 기반 : 역추적 모듈을 네트워크상에 송수신되는 패킷을 확인할 수 있는 위치에 설치
- IP 패킷 역추적
* 해커가 전송하는 패킷에 해당 패킷을 전달한 라우터를 표시함으로써 추적할 수 있게 하는 패킷 표시 기법을 이용한 기술
◈ ESM(Enterprise Security Management)
1) 개요
- 기업의 보안 정책을 반영하여 다양한 보안 시스템을 관리함으로써 조직의 보안 목적을 효율적으로 실현하는 시스템
2) 특징
- 통합 관제, 운영을 통한 보안 관리 인력 축소 및 운영 비용 절감
- 보안 정책 통합 관리와 적용을 통한 보안 운영 관리의 일관성 제공
- 보안성의 강화보다 운영 관리 측면 강화를 통한 보안 관리 효율성 제공
- 크로스 플랫폼 기반의 오픈 아키텍처로 유연성과 상호 운영성 확보
- 개별 보안 솔루션과 ESM의 연계 및 통제를 위한 에이전트 기반의 클라이언트 통제 구조
3) 통합 보안관제 기능
- 통합 로그 관리
- 이벤트 필터링
- 실시간 통합 모니터링, 경보, 상황전파
- 로그 분석 및 의사결정 지원
- 긴급대응
- 리포팅
4) 통합 운영관리 기능
- 보안정책 관리
- 보안 감사
- 이력 관리
- 권한 관리
5) 통합 솔루션 운영 관리
- 자산 관리
- 구성 관리
- 성능 관리
- 장애 관리
◈ NAC(Network Access Control)
1) 개요
- 네트워크에 접근하는 접속 단말의 보안성을 검증하여 보안성을 강제화하고 접속을 통제
2) 필요성
- 내부 PC의 감염에 의한 기업 전체로의 피해 확산
- 외부 방문자, 비인가자에 의한 사내 네트워크 접속 시의 인증 취약
- 접속 단말의 다양화
3) 주요 기능
- 사용자 인증
- 단말 무결성 검증
- 보안 정책 검증 및 결정
- 격리, 치료, 교정
4) 도입 시 고려 사항
- 사용자 그룹, 보안 상태, 환경, 접근 통제 정책을 미리 개발하여 NAC 도입 시의 솔루션 선정의 기준 및 BMT 기준으로 사용
- 단말의 접근 방식에 대한 사전 결정을 통해 최적화된 NAC 선정
- 분산 처리 체계 및 NAC 용량 산정
'자격증 > 정보보안기사' 카테고리의 다른 글
| [5과목] 정보보안 관리 및 법규 (0) | 2021.02.12 |
|---|---|
| [4과목] 정보보안 일반 (0) | 2021.02.11 |
| [3과목] 어플리케이션 보안 (0) | 2021.02.11 |
| [1과목] 시스템 보안 (0) | 2021.02.11 |
| 정보보안기사 필기 정리 (0) | 2021.02.11 |
댓글