[정보보안기사] 네트워크 보안 ①

□ 물리계층

□ 데이터링크 계층

 - 두 노드간의 시스템간의 전송로 상에서 발생하는 오류를 검출 및 수정하여 

   데이터의 흐름 제어 및 전송을 보장

 - MAC(Media Access Control)과 LLC(Logical Link Control) 이라는 두 가지 계층으로 세분화

   · MAC계층 : 동일 채널을 공유하는 통신 방법을 제어

   · LLC 계층 : 데이터 전송을 위해 물리적 장치를 논리적으로 연결하고, 연결을 유지하는 역할 담당

 - 데이터 링크에서 수행하는 기능 : 회선제어, 흐름제어, 오류제어

   · 회선제어 : 점대점 또는 멀티포인트 회선 구성방식과 단방향, 반이중 및 양방향 등의 

    통신방식에 따라 사용되는 전송링크에 대한 제어 규범

   · 흐름제어 : 송신 속도가 수신측의 처리 능력을 초과하지 않도록 데이터 흐름 제어

   · 오류제어 : 전송 도중 여러가지 원인(전원, 주파수 혼란, 감쇠, 잡음 등)으로 인해 발생하는 오류를

     정정하고 오류 검출 부호를 사용하여 재송신하는 자동 재송 요구 등

□ 네트워크 계층

 - 송신측에서 수신츨까지 데이터를 전달하기 위한 논리적 링크를 설정

 - 상위 계층 데이터를 작은 크기의 패킷으로 분할하여 전송

 - 스위칭과 라우팅이라는 두 가지 형태의 경로 배정에 관한 서비스를 제공

□ 트랜스포트 계층(전송)

 - 상위 계층으로부터 데이터를 수신하고 이를 일정한 크기의 세그먼트로 분리하여 캡슐화

 - 세션을 맺고 있는 두 사용자 사이의 데이터 전송을 위한 종단간 제어를 담당

□ 세션계층

□ 표현계층

 - 통신장치에서의 데이터 표현방식, 상이한 부호체계 간의 변화에 대해 규정

 - 데이터의 압축과 압축해제, 암호화와 복호화, 인코딩 및 디코딩 등을 담당

□ 라우터를 이용한 보안설정

 - Ingress 필터링 : Standard 도는 Extended Access-List를 활용하여 라우터 내부로 

   즉, 사내 네트워크로 유입되는 패킷의 소스 IP주소를 체크하여 허용 또는 거부하도록 함

 - Egress 필터링 : 내부에서 라우터 외부로 나가는 패킷의 소스 IP 주소를 체크하여

   허용 또는 거부하도록 함

 - 블랙홀(Blackhole) 필터링 또는 Null 라우팅 : 특정한 목적지 IP 주소 또는 IP 주소 대역에 대해

   null이라는 가상의 인터페이스로 보내도록 함으로써 패킷의 통신이 안되도록 함

□ 스니핑 공격 : 스위치 재밍(Switch Jamming) 또는 Mac Flooding

 - 스위치 장비들은 MAC 주소 테이블이 가득차면 모든 네트워크 세그먼트 트래픽을 

   브로드캐스팅하는 특징이 있음

 - 위조된 MAC 주소를 지속적으로 보내 스위칭허브의 주소테이블을 오버플로우 시켜

   네트워크 트래픽을 스니핑하는 방법

□ Stealth Scan

 - 세션을 완전히 성립하지 않고 공격 대상 시스템의 포트 활성화 여부를 알아내는 스캔 방법으로 

   관리자는 어떤 IP를 가진 공격자가 스캔했는지 알 수 없다.

 - 대표적인 형태 : Syn Scan(Half-open Scan), Fin Scan, null scan, x-mas scan 등 

□ SSL(Secure Socket Layer)

 - 1994년 넷스케이프사에 의해 만들어진 프로토콜로 Application 계층과 전송계층 사이에서

   기밀성, 무결성, 인증의 문제를 해결해주는 프로토콜

 1. Handshake 프로토콜 : 클라이언트와 서버가 암호 통신에 사용할 알고리즘과 고유키를 

    결정하기 위한 것으로 인증서를 이용한 인증도 포함

 2. Change cipher spec 프로토콜 : 암호방법을 변경하는 신호를 통신 상대에게 전달하기 위한 것

 3. alert 프로토콜 : 에러가 발생했다는 것을 상대방에게 전하는 역할 수행

 4. record 프로토콜 : 메시지를 압축 및 암호호하여 상대방과 통신을 하는 역할 수행

□ 전송방식

 - 유니캐스트(Unicast) : 하나의 송신자가 하나의 수신자에게 패킷을 보내는 방식

 - 멀티캐스트(Multicast) : 하나의 송신자가 멀티캐스트 그룹의 수신자에게 패킷을 보내는 경우

 - 브로드캐스트(Broadcast) : 같은 네트워크 대역에 있는 모든 호스트에게 패킷을 보내는 방식으로 

   브로드캐스트 주소에서는 호스트 주소를 모두 1로 설정 (불특정 다수에게 전송)

□ FDDI(Fiber Distributed0Data Interface)

 - 광섬유로 이루어진 두 개의 링을 이용하여 100Mbps로 동작하며 Gigabit 이더넷 기술 이전에 

   주로 LAN의 백본으로 사용된 기술

 

□ 소켓(Socket)

 - 특정 IP주소와 포트 번호의 조합으로서 같은 IP의 동일한 시스템이 동시에 특정 클라이언트의 

   복수 개의 응용프로그램에 정확하게 통신할 수 있게 해주는 기반을 제공

□ 포트

 - Well-known 포트 : 1~ 1023

 

□ NAT (Network Address Translation) 

 - 내부 IP가 부족한 경우, 사설 IP 주소를 사용하여 IP 주소를 확장하기 위한 방법

 - 사설 IP 주소는 외부에 공개되지 않기 때문에 외부의 고격으로부터 비교적 안전한 네트워크 환경을 구성할 수 있다.

□ ICMP (Internet Control Message Protocol)

 - TCP/IP 프로토콜 그룹에 속한 프로토콜로서 RFC 792에 의하여 규정되어 있으며, 

   echo, timestamp, redirect 등을 비롯한 다양한 타입들을 제공하는 프로토콜

 - 네트워크 연결성 검사를 위해 ping과 같은 도구를 사용할 수 있도록 오류를 통보하는 역할도 함 

 - ICMP의 대표적인 툴 : ping, tracert

  · ping : ICMP의 echo request와 echo reply 이용

  · tracert or traceroute : ICMP를 이용하여 TTL을 포함하고 있는 패킷을 전송하는데, 

   이 패킷을 받은 첫번째 라우터에 의해 시간이 초과되도록 설계되어 있으며, 

   첫번째 라우터는 시간초과메시지(Time Exceeded)를 반환함

   시간초과메세지는 첫번째 라우터까지의 홉에 걸린 시간을 결정할 수 있게 해줌

   tracert는 다시 TTL을 증가시켜, 목적지로 향하는 두 번째 라우터까지 도달할 수 있도록

   패킷을 재전송하면 두 번째 라우터에 의해 시간초과메시지가 반환되는 식으로 진행된다.

   tracert는 정상범위가 아닌 포트 번호를 포함하는 것으로 패킷이 목적지에 도달하였을 때를 결정

   최종 목적지에 도달하게 되면 Port Unreachable이 반환됨으로써, 마지막 홉에 걸린 시간을 측정

□ IGMP (Internet Group Management Protocol)

 - 멀티케스트를 지원하는 라우터가 멀티캐스트 그룹에 가입한 네트워크 내 호스트 관리를 위해 

   사용하는 프로토콜

 - IGMP는 호스트와 첫번째 라우터 사이에서만 이루어지는 메시지이기 때문에 TTL 값이 1로 설정됨

 - IGMP는 report와 query의 2개 메시지를 사용하고, OSI 7계층 중 Network 계층에 속함

□ 디폴트 라우트

 - 라우터에서 패킷을 수신하면 라우팅 테이블상 상대방 네트웤 IP 주소를 검색하여

   패킷을 어디로 보낼 것인가를 결정하는데, 라우터에 이얷이 설정되어 있으면,

   라우팅 테이블에 등록되어 있지 않은 모든 패킷들은 지정된 경로로 전송된다.

   이 경로를 디폴트 라우트라고 한다.

□ 라우터의 보안설정

 - Triggered update : 홉수가 변경되었을 때 이를 즉시 통보하여 복구시간 단축

 - Hold down : 매트릭이 무한대인 경로에 대해서 일정 시간 동안 경로를 갱신하지 않고 

   전체 네트워크 경로가 새로 갱신될 때까지 기다림

 - Split horizon : 라우터 A가 B를 거쳐 C로 전송하는 경우에 B와 C 사이에 장애가 발생된다면

   A와 B사이에 루프가 발생할 수 있어, 이를 해결하기 위해 B가 A에게 보낸 정보는 

   다시 B에게 보내지 않는다.

 - Poisoning : 회선의 고장을 감지하면 즉시 해당 경로의 매트릭을 16으로 지정하여 

   전체 네트워크에 방송함으로써 도달 불가능을 신속하게 알림

□ TCP SYN_Flooding 공격 방어

 - TCP Intercept : 정상적인 패킷과 공격패킷을 구분하여 클라이언트 TCP Syn 연결 요청을 

   intercept하여 ISO 프록시에서 ACK를 보내 TCP 연결 요청의 유효성 검사와 SYN Flood 공격에

   대해 차단 수행