반응형
주요 용어 정리
1. Node(노드)
- 네트워크에 연결된 장치를 의미 (네트워크에 연결된 컴퓨터를 포함하여 프린터와 같은 주변기기, 라우터, 스위치 등 통신장비 포함)
2. HOST(호스트)
- 일반적인 Node 중 컴퓨터(PC, SERVER) 노드를 가리켜 호스트라고 표현
3. End-Node(종단노드)
- 통신의 양 끝단에 해당하는 노드로 최초 송신 노드(최초 출발지)와 최종 수신 노드(최종 목적지)
4. Intermediate Node(중계노드)
- End-Node 사이에 패킷 중계를 해주는 노드
5. Link(링크)
- 노드 사이의 패킷을 전달하기 위한 물리적인 통신경로
6. sniffing(스니핑)
- 도청, 엿듣기, 훔쳐보기 (sniffer => 와이어샤크, tcp dump)
7. spoofing(스푸핑)
- 속이는 것을 의미 (맥주소, 아이피주소 변조 => ARP Spoofing, IP Spoofing)
OSI 7 Layer (OSI 7계층)
(OSI 7계층, TCP/IP 구조)
OSI 7 계층 계층별 특징
1. Physical Layer(물리 계층)
- 데이터 전송단위(Data Unit) : bit, signal
- NIC(Network Interface Card) 일반/기본모드, Promiscuous/Promisc 모드(무차별모드) 존재
- 물리계층 장비
- HUB(허브) : 들어온 신호를 연결된 모든 포트로 전달하는 중계 장치(Dummy Hub)
- Repeater(리피터) : 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계 장치
2. Datalink Layer(데이터 링크 계층)
- PDU : frame(프레임)
- Node-To-Node Delivery, 노드간의 데이터 전송. 인접합 노드간의 신뢰성 있는 프레임 전송을 담당하는 계층 (프레임에 대한 주소설정(MAC)이 이루어진다.)
- MAC 주소
- 하드웨어에 직접 설정되어 변경이 불가능한 주소(Media Access Control)
- 48bit (6byte) 로 구성 (24bit : 제조사 식별코드 , 24bit : 제조사에 부여한 일련번호)
- LAN상의 데이터링크 계층을 LLC(Logical Link Control)와 MAC(Media Access Control)의 두 하위 계층으로 세분화 한다.
- 프로토콜(Protocol)
- Ethernet
- TokenRing
- FDDI
- X.25
- Frame Relay
- MTU : 1500 byte(데이터 링크 프로토콜의 데이터부(payload)의 최대 크기)
- 신뢰성 있는 전송을 위한 기능 (오류나 손실없이 전송됨을 보장)
- 흐름제어(Flow Control) - 상대방이 수신가능한 만큼만 전송 (송신노드가 수신노드의 처리속도를 고려하여 이를 초과하지 않도록 전송 컨트롤)
- 정지 - 대기(stop and wait) 방식 : 송신측에서 프레임을 전송한 후 확인응답(ACK)을 받을 때까지 대기하는 방식
- 슬라이딩윈도우 방식 : 송신측에서 수신측의 확인응답을 바기 전에 수신 가능 범위 내에서 여러 프레임을 전송하는 방식
- 오류제어(Error Control) - 전좃 중에 여러 가지 원인에 의한 오류나 손실 발생시 이를 해결하기 위한 제어 방식
- 후진 오류 수정방식(BEC, Backward Error Correction) : 송신측에서 데이터 전송 시 오류를 검출할 수 있는 부가정보를 함께 전송하여 수신측에서 이를 점검하여 오류 발생 시 재전송을 요청하는 방식으로 이러한 요청을 ARQ(Automatic Repeat Request)라 한다.
- 전진 오류 수정방식(FFC, Forward Error Correction) : 재전송이 불필요한 방식으로 송신측에서 데이터 송신 시에 오류의 검출 및 수정까지 가능한 부가정보를 담아서 보내는 방식
- 회선제어(Line Control)
- 점-대-점(Point to Point) 또는 다중점(Multipoint) 회선 구성 방식과 단방향(simplex), 반이중(half-duplex) 및 전이중(full-duplex)등 의 전송방식 에 따라 사용되는 전송링크에 대한 제어 규범
- 데이터링크계층 장비
- L2 Switch(스위치)
- 스위치 장비는 내부적으로 MAC Address Table을 가지고 있다. 테이블에는 스위치 포트에 연결된 노드의 MAC 정보를 담고 있다. 정보를 참고하여 목적지 MAC 주소의 포트에 연결된 노드에게만 패킷을 전송한다.
- L2 스위치는 더미허브에 비해 스니핑에 안전하다.
- 스위치 환경에서는 특정 포트를 모니터링 하고자 한다면 탭(TAB)장비를 통해 패킷을 복제(Mirroring)해서 트래픽 분석 장비로 전달한다.
- 스니핑 기법 -> 스위치 재밍, ARP 스푸핑, ARP 리다이렉트, ICMP 리다이렉트, 스위치 SPAN/Monitoring Port 이용 (뒤에서 공부)
- 브릿지
- 물리적으로 떨어진 동일한 LAN을 연결해줌
- 스위치 환경에서의 스니핑 공격 기법
- 스위치 재밍(Switch Jamming) / MAC Flooding 공격
- 스위치 MAC Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법
- 스위치는 Fail Safe/Open 정책을 따르기 때문에 장애시 더미 허브처럼 연결된 모든 노드에 패킷 전송
- Fail Safe/Open(장애안전) : 장애 발생시 모든 기능을 허용하는 정책 (가용성 > 보안성)
- Fail Secure(장애 보안) : 장애 발생 시 모든 기능을 차단하는 정책 (보안성 > 가용성)
- ARP 스푸핑(Spoofing) (ARP : IP 주소로 MAC 주소를 알아냄)
- 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP Cache Table에 특정호스트의 MAC정보가 공격자의 MAC 정보로 변경 (ARP Reply는 송신자에 대한 인증이 없음)
- 그 후 공격자는 IP Forward 기능을 활성화하여 패킷을 중계하며 패킷의 내용을 볼 수 있게된다.
- ARP 리다이렉트(Redirect)
- ARP 스푸핑 공격의 일종으로 공격자가 자신이 라우터/게이트웨이인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 대상 네트워크에 지속적으로 브로드캐스트하면 해당 로컬 네트워크의 모든 호스트의 ARP Cache TAble에 라우터/게이트웨이의 MAC 정보가 공격자의 MAC 정보로 변경이 된다. 이를 통해 호스트에서 라우터로 나가는 패킷을 공격자가 스니핑하는 기법
- ICMP 리다이렉트
- SPAN/Monitoring Port를 이용한 스니핑
- SPAN/Monitoring 기능 이유 : 관리적인 목적으로 사용하지만 공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 패킷을 스니핑할 수 있음
3. Network Layer(네트워크 계층)
- PDU : Packet
- End-To-End Delivery, 종단 노드 간의 라우팅을 담당하는 계층
- 라우팅이란 라우팅 알고리즘에 의해 목적지로 전송하기 위한 최적의 경로를 설정하고 패킷을 교환하는 기능
- 노드에 대한 논리적인 주소가 필요한데 TCP/IP 프로토콜에서는 IP 주소가 이 역할을 수행
- 프로토콜(Protocol)
- IP(TCP/IP)
- IPX
- 네트워크계층 장비
- 라우터/L3 Switch
- 데이터 링크 계층의 브로드캐스트와 멀티캐스트를 포워딩 하지 않으며, 서로 다른 VLAN 간에 통신을 가능하게 하고 기본적인 보안기능 (ACL) 과 QoS 관련 기능을 지원하는 장비
- VLAN 장점
- 브로드캐스트 트래픽을 줄일 수 있음(Broadcase domain을 논리적으로 나눔)
- 정보보호
- VLAN 구성 방법
- 포트기반의 VLAN
- MAC기반의 VLAN
- 네트워크 ID 기반의 VLAN
- 프로토콜 기반의 VLAN
4. Transport Layer(전송계층)
- PDU : Segment
- End-To-End Reliable Delivery, 종단 노드간의 신뢰성 있는 전송을 담당하는 계층 (구체적으로 말하면 End 노드의 해당 Process 간 신뢰성있는 데이터 전송을 담당하는 계층)
- 목적지 노드(Process)를 찾아가기 위해서는 Process를 시벽하기 위한 논리적인 주소가 필요하면 TCP/IP 프로토콜에서는 Port Address가 이역할을 수행
- PORT
- 2byte(16bit)로 구성
- well-know : 0 ~ 1023
- registered port : 1024 ~ 49151
- dynamic port : 49152 ~ 65535
- 프로토콜(Protocol)
- TCP
- UDP
- SCTP
- SPX
- 신뢰성 있는 전송을 위한 기능 (오류나 손실없이 전송됨을 보장)
- 분할(Segmentation)과 재조합(Reassembly)
- 조건에 따라 원본 데이터를 전송 가능한 세그먼트 단위로 분할하여 전송하면 목적지에서는 이를 재조합하여 원본 데이터를 복원
- 연결제어(Connection Control)
- 연결지향과 비연결지향방식을 제공
- 가상의 연결통로를 이용
- 흐름제어(Flow Control)
- 수신자가 수신할 수 있는 만큼 데이터를 송신
- 데이터링크 계층 - 바로 인접한 노드간에 흐름제어 , 전송계층 - 양 종단 노드 간에 흐름제어를 수행
- 오류제어(Error Control)
- 전송 중 오류 발생 시 이를 교정한다.
- 혼잡제어(Congestion Control)
- 네트워크 혼잡도를 계산하여 전송량을 제어
- 전송계층 장비
- L4 Switch
- SLB(Server Load Balancing) 즉 서버 트래픽 부하분산과 Failover기능을 제공한다.
- Failover(장애극복) 기능 : 장애극복 기능은 서버 등에서 장애가 발생했을 때 예비 시스템으로 자동 전환되는 기능
5. Session Layer(세션계층)
- Application 간의 논리적인 연결인 세션의 생성, 관리 및 종료를 담당하는 기술
6. Presentation Layer(표현계층)
- 데이터의 표현방식의 변환을 담당하는 계층
- 인코딩/디코딩, 압축/압축해제, 암호화/복호화 등을 담당
7. Application Layer(응용 계층)
- PDU : Data, Message
- 사용자가 네트워크에 접근 할 수 있는 인터페이스를 담당하는 계층
- 네트워크 서버/클라이언트 프로그램
반응형
'자격증 노트 > 정보보안기사' 카테고리의 다른 글
| [정보보안기사] IP프로토콜 (0) | 2018.05.09 |
|---|---|
| [정보보안기사] ARP/RARP 프로토콜 (0) | 2018.05.09 |
| [정보보안기사] 리눅스 syslog 설정 및 관리 (0) | 2018.05.09 |
| [정보보안기사] 유닉스/리눅스 주요 로그 파일 (0) | 2018.05.08 |
| [정보보안기사]Unix/Linux 기본학습 (0) | 2018.04.17 |
