본문 바로가기
Post 3. 개발 일지/1. 정보보안기사

정보보안기사 필기 요약 #5-2. 네트워크 보안

by 조단단 2017. 8. 20.

[정보보안기사 필기 요약 보기]

 정보보안기사 필기 요약 #1-1. 정보보호 개요 http://captech.tistory.com/2

 정보보안기사 필기 요약 #2-1. 암호학 http://captech.tistory.com/3

 정보보안기사 필기 요약 #2-2. 암호학 http://captech.tistory.com/4

 정보보안기사 필기 요약 #3-1. 접근통제 http://captech.tistory.com/5

 정보보안기사 필기 요약 #4-1. 시스템 보안 http://captech.tistory.com/6

 정보보안기사 필기 요약 #5-1. 네트워크 보안 http://captech.tistory.com/7

 정보보안기사 필기 요약 #5-2. 네트워크 보안 http://captech.tistory.com/8

 정보보안기사 필기 요약 #5-3. 네트워크 보안 http://captech.tistory.com/9

 정보보안기사 필기 요약 #6. 애플리케이션 보안 http://captech.tistory.com/10

 

 

 네트워크 장비

1. 랜카드

 - PC, 네트워크의 정보를 상호교환하게 해줌

 - PC > 랜카드(정보 가공) > 네트워크

 - PC와 랜카드 간 논리적 소프트웨어: 네트워크 드라이버

 - 랜카드 종류: Full Duplex, Half Duplex(허브 등)

 

2. 허브

 - 각 컴퓨터들의 중앙 연결지점을 제공

 - 집중화 장비, 노드들을 연결시켜주는 역할

 - OSI 계층의 물리 계층에서 동작, 신호증폭 기능

 

3. 리피터

 - 전송거리에 따른 신호감쇄를 보강하기 위한 증폭, 재전송 장치

 - OSI 계층의 물리 계층에서 동작, 거리 연장, 접속 시스템 수 증가

 - 오류 신호도 같이 증폭하는 단점

 - 리피터로 연결한 네트워크는 충돌 도메인을 형성하므로 거리 연장 한계

 

 * 충돌 도메인(Collision Domain)

  - 매체를 공유하는 LAN에서 하나의 장비가 데이터를 보낼 때

   다른 장비가 동시에 보내면 충돌 발생, 이러한 충돌 가능 영역

 

4. 브리지

 - 리피터와 달리 패킷 프레임 인지능력

 - OSI 계층의 데이터링크 계층에서 동작: MAC, 네트워크 상호 연결

 - 네트워크 장비 수가 늘어나면 충돌 발생 확률이 높아져 속도, 효율 저하

  따라서 네트워크 확장을 위해 충돌 도메인을 나누어주는 장비

 - 네트워크를 분산적으로 구성함으로써 보안성 증가

 

5. 라우터

 - IP 네트워크 및 인터넷을 연결하기 위한 장비

 - OSI 계층의 네트워크 계층에서 동작, LAN 간, WAN과 연결

 - 효율적인 경로를 선택하는 라우팅, 에러 패킷에 대한 폐기 기능 수행

 - 네트워크 세그먼트 내 브로드캐스팅, 멀티캐스팅을 모두 차단하여 회선 효율

 

 브리지

 라우터

 헤더 정보 읽지만 변경 불가

 프레임에 새로운 헤더 생성

 MAC 주소에 따라 전송 테이블 작성

 IP 주소에 따라 라우팅 테이블 작성

 모든 포트에 동일한 네트워크 주소

 포트마다 다른 네트워크 주소

 MAC 주소에 따라 트래픽 필터링

 IP 주소에 따라 트래픽 필터링

 브로드캐스트 패킷 전달

 브로드캐스트 패킷 전달하지 않음

 알려지지 않은 목적지 주소를 가진

 트래픽도 전달

 알려지지 않은 목적지 주소를 가진

 트래픽은 전달하지 않음

 

6. 스위치

 - OSI 참조모델에 따라 2계층, 3계층, 4계층, 7계층 스위치로 구분

 - L2(MAC 주소), L3(IP 주소), L4(~1024 포트 번호), L7(트래픽 내용)

 (1) Cut-Through 스위치

  - 송수신지 주소를 얻기 위해 프레임의 첫 부분만 읽음, 프레임 중계 시간 최소화

 (2) Interim Cut-Through 스위치

  - Cut-Through 스위치의 단점인 크기가 작은 런트 프레임의 중계를 막는 기능을 보강

 (3) Store-and-Forward 스위치

  - 프레임 전송 전 전체 프레임을 수신, 해당 프레임 전체를 버퍼에 저장하고 에러검사 후 중계

  - 런트 프레임 검사, CRC 검출이 가능하지만, 전체 프레임 버퍼링 과정이 길어지는 단점

 

 * 포트 미러링(Port Mirroring)

  - 스위치는 허브와 달리 데이터가 전 포트에 전달되지 않으므로 데이터 분석을 위해

   포트 미러링 기능이 필요하다. Analyzer를 위해 트래픽 분석장비가 설치된 포트로 복사한다.

 

7. 게이트웨이

 - 서로 다른 통신규약을 사용하는 네트워크를 상호연결하기 위해 자신의 통신규약을

  상대방의 통신규약으로 전환하는 역할

 - OSI 계층의 모든 계층에서 동작, 두 개의 완전히 다른 네트워크 간 데이터 형식 변환

 - 여러 계층의 프로토콜을 변환하므로 네트워크 내 병목현상 가능성

 - PSTN(Public Switched Telephone Network)과 데이터 네트워크처럼

  서로 다른 네트워크 간 연동을 가능하게 한다.

 

 

 VLAN

 - 데이터링크 계층에서 브로드캐스트 도메인을 나누기 위해 사용하는 기술

 - 각 스위치는 브로드캐스트 프레임에 대하여 그룹이 아닌 곳에는 전달하지 않음(보안성)

 - VLAN 관리자가 다른 논리적 그룹에 대하여 서로 다른 보안정책을 적용할 수 있음

 (1) Port 기반 VLAN

  - 스위치 포트를 각 VLAN에 할당, VLAN이 속한 포트에 연결된 호스트 간에만 통신, 일반적

 (2) 네트워크 주소 기반 VLAN

  - 네트워크 별로 VLAN을 구성하여 같은 네트워크에 연결된 호스트 간에만 통신, 주로 IP

 (3) MAC 기반 VLAN

  - 각 호스트의 Mac Address를 VLAN에 등록하여 통신, 주소를 전부 등록해야하므로 사용 적음

 (4) 프로토콜 기반 VLAN

  - 같은 통신 프로토콜(TCP/IP, IPX/SPX, NETVIEW)을 가진 호스트 간에만 통신

 

 

 전송매체

1. 트위스티드 페어 케이블(Twisted-Pair Cable)

 - UTP, STP

 

2. 동축케이블(Coaxial Cable)

 

3. 광케이블(Optical-fiber Cable)

 - 백본 전송용, 태핑(Tapping, 꺼내는 것) 어려워 보안적 강점을 제공

 

 

 무선랜 기술적 보안

1. 무선랜 인증 기술

 (1) SSID(Service Set ID)

  - AP를 구분하는 ID, 무선랜을 통해 전송되는 패킷 헤더에 덧붙여지는 32비트 식별자

  - AP에 SSID를 부여하고 무선랜 클라이언트들은 SSID를 선택하여 통신

  - AP 장비에서 설정된 SSID 정보를 이용하여 사용자의 접속을 통제, 관리

 (2) MAC 주소 필터링

  - MAC 주소는 네트워크 카드 제조사에 의해 부여된 48비트 하드웨어 주소

  - AP 장비에 통신기기 고유 MAC 주소를 등록하여 사용자를 통제, 관리

  - AP마다 무선랜을 사용하는 모든 PC의 MAC 주소를 등록하므로 관리 어려움

 (3) EAP(Extensible Authentication Protocol)

  - 단순한 캡슐화 방식을 적용하여 PPP, 802.3, 802.11을 포함한 다양한 링크 계층에 적용

  - 다중 인증 메커니즘을 제공하므로 스마트 카드, 커버로스, 공용키, OTP, TLS 등 적용 가능

 (4) WEP(Wired Equivalent Privacy)

  - 데이터링크 계층, 공유키(대칭키)인 WEP 키를 이용하여 사용자를 인증

  - 데이터 암호화와 함께 적용 가능, 무선랜 장비에서 WEP 구현 및 인증 절차 간결

  - 단방향 인증으로 인하여 복제 AP 등에 취약할 수 있음

  - WEP 키 값이 하나의 공유키를 사용하므로 키 값이 유출된 경우 보안 문제 발생

 

2. 무선랜 암호화 기술

 (1) WEP(Wired Equivalent Privacy)

  - 유선 동등 프라이버시, 유선 네트워크와 동일한 보안성을 가진 기술이란 의미

  - 데이터링크 계층 보안 프로토콜, 공유키(대칭키) 구조 암호화 알고리즘

  - 초기화 벡터 IV, 스트림 암호화 알고리즘 RC4, 유사 랜덤 넘버 생성기 PRNG

  - CRC-32 알고리즘, 무결성 검사 값 ICV

 

   24비트 IV + 40비트 WEP 키 > 64비트 RC4 > PRNG

  (XOR)

   평문 > CRC-32 > ICV (결과) 암호문 전송

 

  - WEP 암호화 유형 Static WEP: RC4 알고리즘은 일정량 데이터 모으면 역계산 취약점 존재

   Dynamic WEP: 암호화 키를 주기적 변경, RC4 사용하므로 프로세싱 파워 강화 시 취약

 

 (2) TKIP(Temporal Key Integrity Protocol)

  - RC4 보안 문제점 개선하기 위해 Key Mixing 함수, Dynamic WEP Key(Temporal Key),

   메시지 무결성 보장을 위한 스펙(spec)을 정의한 통신 규약

  - 48비트의 확장된 길이 초기화 벡터 IV 사용,

   WEP의 CRC-32보다 안전한 MIC(Message Integrity Check) 사용

  - 802.11i, WPA에 적용, WEP의 기본적 취약점 그대로 존재

 

 (3) CCMP(Counter mode with CBC-MAC Protocol)

  - AES 블록 암호를 사용

  - RC4로 전송되는 데이터 패킷마다 증가되는 초기 벡터 IV를 WEP 키와 함께 해시

   새로운 WEP 키를 생성하여 패킷마다 키 지정이 가능하도록 하여 암호화

  - 802.11i를 사용한 보안 기본 모드, 더 높은 보안성

  - TKIP는 과도기적 기법, CCMP는 기존 하드웨어를 고려하지 않고 보안성 고려하여 새로 설계

 

3. 무선랜 인증 및 암호화 복합 기술

 (1) 802.1x

  - 브리지 또는 무선 AP의 물리적인 포트 사용권을 획득하는 절차

  - 외부 단말이 내부 네트워크로 접근할 때 브리지/스위치, AP에서 인증을 수행하여 접근 통제

  - 인증자: 브리지 또는 AP, 서플리컨트: 사용자 단말, 인증 서버: 인증 서비스 제공

  - RADIUS(Remote Authentication Dial-In User Service) 서버

 (2) WPA(Wi-Fi Protected Access)

  - 802.11i 일부 기능을 수용, 하드웨어 변경 없이 소프트웨어 업그레이드로 지원 가능

  - 암호화 기법 TKIP 사용, 다른 보안 표준인 IEEE802.1X, EAP를 기반으로 인증 강화

  - RADIUS, Kerberos 등과 호환 가능, 사전 공유 키 방식으로 AP 비밀번호 수동 설정 제공

 (3) WPA2

  - TKIP를 대체하기 위해 AES에 기반을 둔 CCMP 암호화 방식 사용, IEEE802.11i 수정안 포함

 (4) WAP(Wireless Application Protocol)

  - 컴퓨터나 모뎀을 거치지 않고 이동형 단말기에서 인터넷에 접속하는 통신규약

  - 통신 품질이 불안정한 휴대 전화망을 고려하여 게이트웨이 방식 채용

  - 휴대전화망과 인터넷 사이 HTML을 WML(Wireless Markup Language)로 변환

  - WTLS(Wireless Transport Layer Security): 무선 전송계층 보안

   WAP에서 전송 계층 보안을 위해 적용하는 TLS 기반의 보안 프로토콜

 

 

 네트워크 5대 관리

 - 계정 관리, 구성 관리, 성능 관리, 장애 관리, 보안 관리

 

 

 SNMP(Simple Network Management Protocol)

 - 호스트인 관리자는 라우터나 서버 에이전트들의 집단을 제어하고 감시

  물리적으로 상이한 네트워크에 설치된 장치들을 감시할 수 있도록 응용 계층(7) 설계

  물리적 특성과 네트워크 관리 작업을 분리하여 서로 다른 LAN, WAN에서도 사용

 - SNMP 호스트인 관리자(클라이언트)는 SNMP 서버 라우터 또는 호스트

  에이전트(서버)는 DB에 정보 저장, 관리자들은 DB를 읽고 라우터가 특정한 동작 지시 가능

  (1) 관리자가 에이전트에서 정의된 객체의 값을 읽음

  (2) 관리자가 에이전트에서 정의된 객체에 값을 저장

  (3) 에이전트가 관리자에게 경고 메시지(Trap) 송신

 - 보안 및 원격관리 특성 추가, 메시지 인증, 기밀성, 무결성 허용하여 다른 보안 관점 설정 가능

 - SMI(Structure of Management Information), MID(Management Information Base)

  SNMP: 관리자와 에이전트 간 패킷의 형식 정의, 포트 161(에이전트), 162(관리자)

  SMI: 객체 이름과 데이터 유형 정의, 인코딩 방식, 객체와 유형 연결 비관여

  MIB: 관리될 객체의 수 결정(관리 정보), 이를 규칙에 따라 명명, 객체와 유형 연결

 

 원격 접속 서비스

1. TELNET

 - TErminaL NETwork, 가상 터미널에 대한 표준 ICP/IP 프로토콜, 원격 시스템과 연결 가능

 - 시분할 환경 설계, 사용자가 시분할 시스템에 등록(로컬 로그인) 시 터미널 드라이버가 승인

 - 사용자가 원격 장치에 접근할 때 원격 로그인 필요: TELNET 클라이언트, 서버 프로그램 사용

 - 사용자의 키 입력 > 터미널 드라이버 > 로컬 운영체제 문자 수용(문자 해석 하지 않음)

  > TELNET 클라이언트 문자 수용, NVT(Network Virtual Terminal)로 번역 > TCP/IP 스택 전달

 - 네트워크 가상 터미널(NVT)를 통해 TELNET 클라이언트는 네트워크에 전달

  TELNET 서버는 NVT 형태에서 원격 컴퓨터가 수용가능한 형태로 데이터 번역

 - 대칭성(Symmetry), 클라이언트와 서버에게 동일한 기회

 - 보안 문제: 로그인 네임과 암호를 사용하지만, SNOOP을 통해 도청 가능, 취약함

 

2. Rlogin

 - 원격 로그인 프로토콜, 인터넷 표준이 아니며 BSD 시스템 원격 접속을 위해 설계

 - TELNET에 비해 단순하고 별도 옵션 협상기능 없음

 

3. SSH(Secure Shell)

 - TELNET, Rlogin을 대체하기 위해 설계, 강력한 인증 방법 및 안전성 강화

 - 22번 포트 사용, 암호화 기법을 사용하기 때문에 노출되어도 암호화된 문자로 보임

 - SSH-TRANS(전송 계층), SSH-AUTH(인증), SSH-CONN(연결)

 - 포트 전달(Port Forwarding): 보안 서비스를 제공하지 않는 응용 프로그램 접속을 위해

  SSH에서 이용 가능한 안전한 채널을 사용한다. SSH 터널링: 메시지 터널을 생성

 - TELNET 클라이언트과 서버 간 모든 요청이 터널을 통해 전달된다.

저작자표시 비영리 변경금지

'Post 3. 개발 일지 > 1. 정보보안기사' 카테고리의 다른 글

정보보안기사 필기 요약 #6. 애플리케이션 보안  (0) 2017.09.03
정보보안기사 필기 요약 #5-3. 네트워크 보안  (2) 2017.08.24
정보보안기사 필기 요약 #5-1. 네트워크 보안  (0) 2017.08.18
정보보안기사 필기 요약 #4. 시스템 보안  (0) 2017.08.18
정보보안기사 필기 요약 #3. 접근통제  (0) 2017.08.16

관련글

댓글

티스토리툴바