정보보안기사 필기 요약 #5-1. 네트워크 보안

[정보보안기사 필기 요약 보기]

 정보보안기사 필기 요약 #1-1. 정보보호 개요 http://captech.tistory.com/2

 정보보안기사 필기 요약 #2-1. 암호학 http://captech.tistory.com/3

 정보보안기사 필기 요약 #2-2. 암호학 http://captech.tistory.com/4

 정보보안기사 필기 요약 #3-1. 접근통제 http://captech.tistory.com/5

 정보보안기사 필기 요약 #4-1. 시스템 보안 http://captech.tistory.com/6

 정보보안기사 필기 요약 #5-1. 네트워크 보안 http://captech.tistory.com/7

 정보보안기사 필기 요약 #5-2. 네트워크 보안 http://captech.tistory.com/8

 정보보안기사 필기 요약 #5-3. 네트워크 보안 http://captech.tistory.com/9

 정보보안기사 필기 요약 #6. 애플리케이션 보안 http://captech.tistory.com/10

 

 

 이번 포스팅은 네트워크 보안입니다. 시스템 보안에서 운영체제, 리눅스 비중이 있었던 것처럼

네트워크 보안에서는 데이터 통신(네트워크)에 관한 기본지식들이 일정 비중을 차지합니다.

 

 

 네트워크 기술

1. ISDN(Integrated Services Digital Network)

 - 종합정보통신망, 디지털 정보통신 서비스의 묶음

 - B채널(Bearer): 음성과 데이터 전송, D채널(Delta): 신호의 제어

 

2. 프레임 릴레이(Frame Relay)

 - 근거리 통신망과 광역 통신망을 연결하기 위한 고속 전송 서비스

 - 프레임이라는 가변적인 크기로 데이터를 조각내어 전송

 

3. ATM(Asynchronous Transfer Mode)

 - 디지털 데이터를 53바이트의 셀, 패킷으로 조각내어 전송하는 전용 접속 스위칭 기술

 - 비동기적 처리, 회선 공유를 위해 데이터분할 접속방식인 멀티플렉싱, 큐 이용

 - 하드웨어로 구현, 처리가 빠름

 

4. MPLS(Multi-Protocol Label Switching)

 - 패킷의 전송경로를 라우터에서 분석하여 라벨이라는 경로정보를 생성

  라우터들은 라벨 스위칭만 하면 되며, 별도의 라우팅이 필요 없음

 

 

 OSI 7 Layer(Open System Interconnection)

 - 개방형 시스템 간 상호 접속을 위한 네트워크 기본 참조모델

 - 상위 계층은 사용자의 통신을 도와주는 역할, 하위 계층은 효율적이고 정확한 전송을 담당

 

1. 물리 계층

 - 물리적 링크 설정-유지-해제 및 물리적, 전기적 인터페이스 규정, 선로 별 전송, 인코딩 방식

 - 데이터링크 계층에서 받은 데이터를 비트 단위로 변환하여 수신 측으로 전송

 

2. 데이터링크 계층

 - 물리 계층에서 전송하는 비트에 대한 비트 동기, 식별, 흐름제어 기능, 오류제어 기능

 - 헤더에는 데이터 시작 표시, 목적지 주소 포함, 트레일러에는 데이터 오류검출코드

 - 논리적 연결제어 LLC(Logical Link Control), 물리적인 접속 MAC(Media Access Control)

 - 데이터링크 계층에서 다루는 데이터 단위를 프레임이라고 부름

 

3. 네트워크 계층

 - 송신 측으로부터 수신 측의 논리적 링크 설정, 상위 계층 데이터를 작은 패킷으로 분할 전송

 - 스위칭과 라우팅 두 가지 경로 배정 서비스를 제공

 - 스위칭(Switching): 패킷의 수신주소를 보자마자 정해진 방향으로 전송, 라우터보다 빠름

 - 라우팅(Routing): 라우팅 테이블을 찾아서 알고리즘으로 최단 경로 계산하여 경로 선택, 느림

 - 물리주소는 패킷이 이동될 때마다 변경되지만, 네트워크 주소는 송신-발신까지 변함없이 유지

 

4. 전송 계층

 - 두 사용자 사이의 데이터 전송을 위한 종단 간(End-to-End) 제어를 담당

 - 송신 컴퓨터의 프로세스에서 수신 컴퓨터의 프로세스까지의 전달

 

5. 세션 계층

 - 특정 프로세스 사이에서 세션이라 불리는 연결을 확립하고 유지하며 동기화

 - 표현 계층으로부터 받은 데이터를 효율적인 세션 관리를 위해 짧게 나눈 후 전송 계층에 보냄

 

6. 표현 계층

 - 정보를 송수신자가 이해할 수 있도록 데이터 표현방식을 바꾸는 기능

 - 응용 계층으로부터 받은 데이터의 보안과 효율적인 전송을 위해 암호화와 압축

 

7. 응용 계층

 - 응용 프로세스가 네트워크 환경에 접근하는 수단을 제공하여 창구역할 담당

 

 OSI 7 Layer 특징 정리

응용 계층	각종 응용 서비스	메시지 단위	FTP, TFTP, SNMP,  SMTP, 텔넷, HTTP
표현 계층	암복호화  압축, 포맷 변환		ASCII, Mpeg, jpg
세션 계층	소켓 프로그램  동기화  세션 연결, 관리, 종료		전송모드 결정  (반이중, 전이중 등)  NFS, SQL, RPC
전송 계층	데이터 전송보장  흐름 제어  QoS	세그먼트 단위	TCP, UDP, SSL
네트워크 계층	통신경로 설정, 중계  라우팅, 혼잡제어  데이터그램,가상회선  IPv4, IPv6	패킷 단위	IP, ICMP, IGMP, RIP,  OSPF
데이터링크 계층	오류제어, 매체제어  에러검출, 에러정정  흐름제어	프레임 단위	ARP, RARP, PPP,  SLIP
물리 계층	물리적 연결 설정  전송방식, 전송매체	비트 스트림 단위	기계적, 전기적

 

 

 TCP/IP

 - 데이터링크, 네트워크, 전송, 응용 계층으로 구성

 

1. 데이터 링크 계층

 - 데이터를 전송하는 케이블에 프레임 데이터를 송수신하는 역할

 

2. 네트워크 계층

 - 주소를 관리하고 라우팅하는 역할

 - IP(Internet Protocol): 네트워크 주소 관리, 패킷을 라우팅

 - ARP(Address Resolution Protocol): 같은 네트워크 호스트의 하드웨어 주소(MAC) 얻음

 - ICMP(Internet Control Message Protocol): 패킷 전송에 관한 에러 메시지 처리

 

3. 전송 계층

 - 호스트 간 통신을 제공하는 역할, 2개의 프로토콜

 - TCP: 연결 지향, 데이터의 확실한 전송을 위해 받았다는 메시지를 요구할 필요 있을 때

 - UDP: 비연결 지향, 패킷의 정확한 전달을 보장하지 않음

 

4. 응용 계층

 - 어플리케이션이 네트워크에 접근 가능하도록 하는 인터페이스 기능 역할

 

 

 포트 주소

 - 메시지가 서버에 도착했을 때 전달될 특정 프로세스를 인식하기 위한 방법

 - 포트 번호는 16비트이며 0~65535까지 있음

  0~1023: Well Known Port, 1024~65535: 지정되지 않은 영역

 

21: FTP

22: SSH

23: Telnet

25: SMTP

42: 호스트 네임 서버

53: 도메인 네임 서버

80: HTTP,

88: Kerberos,

110: POP3 메일수신,

118/156: SQL 서비스,

161: SNMP 네트워크 관리

 

 

 TCP/IP 프로토콜

1. IP

 - TCP/UDP, ICMP, IGMP 데이터는 IP 데이터그램을 사용하여 전송

 * IGMP(Internet Group Management Protocol): IP 멀티캐스트를 위한 규약

 (1) 비신뢰성: IP 데이터 그램이 성공적으로 도달함을 보장하지 않음, 상위 계층에서 제공

 (2) 비접속형: 통신하는 호스트 사이에 연결설정 없이 패킷을 전송

 (3) 주소 지정: 패킷은 IP 주소를 기반으로 목적지까지 전달

 (4) 경로 설정: 목적지의 주소로 패킷을 전송하기 위한 최적의 경로를 설정

 

2. IPv4 주소

 - 네트워크 ID 비트 수에 따라 A, B, C, D 클래스

 - 서브네팅: 이진수로 1인 부분은 네트워크, 0인 부분은 호스트를 나타냄

 - 슈퍼네팅: 부족한 IP를 효율적으로 사용하기 위해 C클래스를 묶음

 - CIDR(Classless InterDomain Routing): 부족한 IP 주소를 해결하기 위해

  IP와 서브넷 마스크를 이진표기법으로 표현하여 네트워크를 다양하게 분할

  CIDR 표기법: 10.217.123.7/20 - 연속된 1이 20개 있다는 것을 의미

 - VLSM(Variable Length SubnetMask): IP 할당을 위해 크기가 다른 서브넷을 지원

 - NAT(Network Address Translation): 사설 IP를 공인 IP로 바꾸어주는 변환기

 

3. IPv6 주소

 - IPv4의 주소부족 문제를 해결하기 위한 체계

 - IP 주소를 절약하기 위해 사용되는 NAT 변환기술 불필요

 - 주소할당은 클래스별 할당이 아닌 유니캐스트, 애니캐스트, 멀티캐스트 주소형태

 - 헤더를 고정 길이로 변경, 패킷 단편화 필드 삭제, 체크섬 필드 삭제, 보안기능 탑재

 

 

 라우팅 알고리즘

 - 최적의 경로를 찾는 방법

 - 정적 라우팅 알고리즘: 관리자가 직접 라우팅 테이블을 설정

 - 동적 라우팅 알고리즘: 네트워크 환경 변화에 능동적으로 대처

 

 라우팅 프로토콜

 - 라우팅 테이블을 동적으로 갱신, 네트워크 정보를 생성, 교환, 제어하는 프로토콜

 - AS(Autonomous System, 자율 시스템)는 하나의 관리 도메인에 속한 라우터의 집합

 - IGP(Interior Gateway Protocol): AS 내 운영되는 라우팅 프로토콜

 - EGP(Exterior Gateway Proctocol): AS 간 라우팅 정보를 교환하기 위한 프로토콜

 (1) RIPv1(Routing Information Protocol)

  - 거리벡터 알고리즘 사용, 가장 단순, Bellman-Ford 프로토콜

  - 홉수 15 이상 네트워크 사용불가, 회선속도 반영불가, 네트워크 변화 반영 늦음(루프 가능성)

 (2) RIPv2

  - 서브넷마스크 식별, 경로정보 인증, AS 구별, 브로드캐스트, 멀티캐스트 추가

  - 최대 홉수는 16으로 제한되어 확장성 문제는 해결하지 못함

 (3) IGRP(Interior Gateway Routing Protocol)

  - 하나의 매트릭 사용하지만 다양한 파라미터를 이용하여 거리벡터 계산, 변화 반영 빠름

  - 멀티 패스 라우팅: 최대 4개의 경로를 관리, 트래픽 부하분산, 링크 자동복구

  - 라우팅 루프문제는 여전히 존재, 라우팅 정보 전달 느림

 (4) EIGRP(Enhanced Interior Gateway Routing Protocol)

  - 수렴속도 빠름, 부분적인 갱신 지원하므로 적은 대역폭 필요

  - VLSM 지원, DUAL 알고리즘(Diffusing-Update Algorithm)을 이용하여

  네트워크 변화에 대해 패킷의 손실 없이 재라우팅 가능

 (5) OSPF(Open Shortest Path First)

  - 네트워크에 변화가 생겼을 때만 플러딩을 수행함으로써 신속하게 갱신, 빠름, 트래픽 감소

  - 최적경로 계산을 위해 Dijkstra's 알고리즘이라는 링크 상태 알고리즘을 이용

 (6) BGP(Border Gateway Protocol)

  - AS 간 라우팅 정보를 전달하는 EGP의 일종

  - 패스 벡터 알고리즘을 이용, 홉수 대신 AS 번호를 매트릭으로 사용

  - 초기에는 전체 라우팅 테이블 교환, 이후에는 변경된 라우팅 테이블만 교환

  - BGP 동작은 TCP를 통해 이루어지기 때문에 신뢰성을 보장

 

 * 플러딩(Flooding): 갱신정보를 인접 라우터로 전송 - 인접 라우터로 전송 반복하는 과정