정보보안 엔지니어링

1. 특징

- Data-Link Layer에서 사용하는 네트워크 장비

- MAC 주소를 사용한다.

- 하나의 Broadcast Domain

- 포트 별로 Collision doain 분할

- 전송 에러 복구

- 목적지로 데이터 전달

- 포트 확장 기능

2. Switch와 Router 비교

3. 전송 방식

1) Store and Forward

- 모든 Frame 확인 후 처리

- 목적지 주소, 출발지 주소, 에러발생여부 확인 후 처리

- error 복구 능력 좋음

- 다른 방식에 비해 느리다.

2) Cut-through

- Frame의 목적지 주소만 확인 후 바로 전송

- 속도가 빠르지만 에러 복구 능력이 약하다.

- 거의 사용하지 않음

3) Fragment-Free

- 1)과 2) 방식 결합

- 앞부분 64byte 확인

- 속도는 Store and Forward보다 빠르다.

- 에러 감지 능력 좋음

4. Switch 기능

- Learning

포트에 연결된 pc의 MAC 주소를 읽어 MAC address table에 저장한다.

- Flooding

목적지의 주소를 모를 경우 해당 패킷이 들어온 포트를 제외한 모든 포트에 해당 패킷을 전달한다.

- Forwarding

목적지의 주소가 MAC address table에 있을 경우 해당 주소가 있는 포트에 패킷을 전달한다.

- Filtering

출발지가 목적지와 같은 세그먼트에 존재할 경우 다른 세그먼트로 패킷을 전달하지 않는다.

- Aging

MAC address table의 효율적인 관리를 위해 일정 시간이 지나면 MAC address를 삭제한다.

5. STP( Spanning-Tree Protocol )

- 다중화에서 사용

- 스위치에 자동 설정

- 하나의 포트만 이용한다. -> 문제 발생시 다른 포트를 사용

6. STP 동작

1) Root switch 선출

2) 나머지 Switch는 Root port 지정

3) 각 Switch별 Designated 포트 지정

4) Loop 방지를 위해 alternate 포트 지정

7. BPDU( Bridge Protocol Data Unit )

- Switch는 서로 BPDU를 교환

-> BPDU를 바탕으로 Loping 없는 논리적인 경로를 구성한다.

8. BPDU 종류

1) Configuration BPDU

- Root switch 선출

- 각 Switch port의 역할 지정

- Root Switch가 생성한다.

- 다른 Switch에 전달한다.

- 다른 Switch는 수신 및 중계 역할을 한다.

2) TCN BPDU

- Switch에 연결된 Link 변화 시 사용

- Root Switch에 알리는 역할

1. 개념

- 특정 트래픽의 허용여부를 결정하는 것

- 보안을 위해 사용한다.

- Router에서 설정한다.

- 완벽한 차단은 불가능하다 -> 방화벽 장비가 필요

- Numbered와 Named로 구분되며 Standard와 Extended로 구성된다.

2. 종류

1) Standard ACL

- 1 ~ 99번을 사용한다.

- 출발지 주소( Source Address )로 허용 여부를 판단한다.

2) Extended ACL

- 100 ~ 199번을 사용한다.

- 목적지 주소( Destination Address )까지 확인한다.

- 상세 프로토콜 설정이 가능하다.

3. ACL 규칙

- 윗줄부터 적용한다. -> 좁은 범위부터 설정해야 한다.

- 마지막에는 deny any가 자동으로 적용된다.

- 추가하는 순서대로 등록이 된다. -> 중간 삽입 및 수정이 불가능하다.

4. 동작 방식

- inbound

-> Router 내부로 들어오는 packet에 대한 filtering

- outbound

-> Router 외부로 나가는 packet에 대한 filtering

5. Standard ACL 설정

- 정책 설정

1 : list-number는 1 ~ 99까지의 번호를 사용한다.

2 : 아래 3번 조건에 맞는 패킷을 permit할 것인지 deny할 것인지 결정한다.

3 : source address. 출발지 주소를 입력하며 이 주소에서 출발하는 패킷에 대한 정책이다.

4 : source address의 서브넷 마스크

- 정책 적용

1 : 앞에서 정의한 ACL을 불러와 filtering 내용을 인터페이스에 적용한다.

2 : inbound와 outbound 설정

6. Extended ACL 설정

- 정책 설정

1 : list-number는 100 ~ 199까지의 번호를 사용한다.

2 : 조건에 맞는 트래픽을 permit할지 deny할지 결정한다.

3 : filtering할 프로토콜을 정의한다.( TCP, UDP, IP 등 )

4 : source address를 지정한다.

5 : destination address를 지정한다.

6 : 목적지 TCP/UDP 포트 이름 및 번호를 지정한다.

- 정책 적용

Standard ACL의 정책 적용과 같다.

1. 특징

- Link-state 방식

- Classless 방식

- Metric 설정에 cost 사용( 10^8/Bandwidth(bps) )

- Multicast를 사용

- AD는 110

- SPF 또는 Dijkstra 알고리즘 사용

2. 장점

- Area 단위로 구성

- 축약 기능 제공 -> Stub

- 표준 Routing Protocol -> 모든 라우터에 사용 가능

- VLSM 및 CIDR 지원

- 빠른 Convergence time

3. 단점

- 복잡한 설정

- 많은 자원 소모( CPU, DRAM )

4. OSPF 패킷

- Hello packet

인접한 Router간 Neighbor 관계를 형성하고 Neighbor 관계를 유지하는데 사용

- DBD packet( Database Description Packet )

OSPF의 네트워크 정보인 LSA들의 요약된 정보를 알려줄 때 사용

- LSR packet( Lisk-State Request )

Neighbor에게서 수신한 DBD에 자신이 모르는 네트워크가 있을 경우 상세 정보를 요청할 때 사용

- LSU packet( List-State Update )

LSR을 받거나 자신이 알고 있는 네트워크 상태가 변했을 경우 해당 네트워크 정보를 전송할 때 사용

- LSA packet( Link-State Acknowledgement )

OSPF packet을 정상적으로 수신했음을 알려줄 때 사용( DBD, LSR, LSU일 경우에만 응답 )

5. 동작방식

1) Hello packet 교환

2) adjacent Neighbor간에 LSA 교환

3) 최적경로 계산 후 Routing table 등록

4) 주기적 Hello packet 교환

5) 네트워크 상태 변화 시 위 과정 반복

6. OSPF Neighbor 상태

- Down

Hello packet을 전송만 한 상태

- Init

근접 Router에게 Hello packet을 받았지만 상대 Router가 아직 내가 보낸 Hello packet을 받지 못한 상태

-> 상대방이 전송한 Hello packet 안에 내 Router-ID가 없는 경우

- Two-way

Neighbor와 쌍방향 통신이 이루어진 상태

Multi Access 네트워크일 경우 이 단계에서 DR/BDR 선출

- Exstart

adjacent neighbor가 되는 첫 번째 단계

Master와 Slave Router를 선출( Router-ID가 높은 것이 master )

- Exchange

각 Router가 자신의 Link-state Database에 저장된 LSA의 Header만을 DBD packet에 담아 상대방에게 전송

- Loading

DBD packet 교환이 끝난 후 없는 정보를 LSR packet으로 요청

LSR을 요청받은 Router는 정보를 LSU packet에 담아 전송

- Full

adjacent neighbor간 라우팅 정보 교환이 모두 끝난 상태

7. 네트워크 종류

1) Broadcast Multi Access

- 하나의 Broadcast pacekt 사용

- 동일 네트워크의 모든 장비에 전달

- 하나의 인터페이스만 사용

2) Non Broadcast Multi Access( NBMA )

- Broadcast packet 지원하지 않음

- 대부분 내부에 Virtual Circuit 방식을 사용

- 가상 회로 하나당 하나의 packet 사용

3) Point to Point

- 1 대 1 연결