2016년 8월 4일 목요일

Network Security #2

11강.IPv6
IPv6 ?
  • IPng(IP Next Generation), 즉 차세대 IP라고 불리고 있는 IPv6는 Internet Protocol Version 6의 약자로서, 일련의 IETF 공식 규격
  • 현재 사용되고 있는 IPv4를 개선하기 위한 진화적 세트로서 설계됨
  • 특히, IPv6은 기하급수적으로 늘어나는 internet address를 감당해낼 수 있고, multi-media data 처리가 능숙한 데다 보안성 까자 갖추고 있어 주목됨.
IPv6의 등장배경
  • 단순한 주소 할당에 대한 요구
    • DHCP등 이용
  • IP 수준의 보안요구
    • 개별 보안 솔류션 들간의 호환성 문제 발생
  • 실시간 데이터 전송에 관련 요구
    • 현재 보통 포트번호 또는 TOS(Type of Service)필드 데이터를 보고 데이터의 흐름 식별
    • IPv4의 TOS 필드는 종류와 기능이 제한되어 있음
    • 포트번호에 의한 데이터 식별은 사실상 어려움
IPv4의 문제점
  • 급속한 인터넷 성장, 주소 고갈
    • 비 공인 IP 사용을 위하여 NAT 운영 시 프로토콜 오류 발생
  • 2- 계위 주소 구조의 비 효율성
    • A클래스는 주소 (1600만개)가 남고,
    • C클래스는 주소 부족
  • 인터넷 백복 라우터의 능력한계
    • 보통 인터넷 백복 라우터의 라우팅 데이블에는 수만개의 목적지 주소에 해당하는 엔트리가 포함되. 테이블 유지관리 어렵고 라우팅 처리 능력 저하됨.

IPv6의 특징
  • IPv6 설계의 전제조건 수용
    • 계층의 독립성 보장 및 IPv4에서 점진적 이전
  • 새로운 헤더 형식 적용
    • 패킷 헤더 확인에 소요되는 부담을 최소화 함
    • 중요도가 떨어지는 헤더는 기존헤더에서 확장 헤더로 변경
    • IPv4와 IPv6헤더간의 호환성 없음.
    • 장비에 두 가지 기능 모두 구현하여야 함.
  • 네트워크 계층의 프로토콜 통합 또는 수정
  • 큰 주소 공간
    • 128비트로 주소 표시 (v4에서 32비트)
    • 가용 주소 공간은 사실상 무한대
    • 서브네팅을 다단계로 나눔
  • 계층적 주소 설정
    • 라우팅 정보의 집약과 라우팅 테이블 축소가 가능
  • 자동화된 주소 설정 및 기본 제공되는 보안 기능
  • 개선된 QoS지원 및 확장성
  • 네트워크 계층의 프로토콜 통합 수정
    • ICMPv6가 ARP , IGMP 기능 흡수, RARP 기능 삭제
IPv6 주소 체계
  • 주소 공간이 확대됨에 따라 주소의 종류와 할당방식이 다양해짐
  • 주소 구조
    • Prefix = 64비트 : 주소의 유형과 서브넷(또는 링크)을 식별
    • 인터페이스ID = 64비트 : 링크(서브넷)에서의 인터페이스(노드) 식별
  • 주소 할당의 기존 단위는 인터페이스
예)
3FFE:0301:DEC1::0A00:2BFF:FE36:701E
=============== ===================
Prefix          Interface ID

prefix representation : 3FFE:0301:DEC1::/64
IPv6 의 주소 표현
  • xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx ( x - 16 진수의 형태)
  • 0의 연속은 ‘::’으로 표현 (단, 한번만 사용가능)
    • 예) 3FFE:2E01:0:0:0:31:0:21 --> 3FFE:2E01::31:0:21
    • 예) 0:0:0:0:0:0:0:1 --> ::1
  • 주소에서 유효한 비트의 수를 /를 이용하여 나타냄
    • 예) FE80::/10 -> 1111 1110 1000 0000 -> 1111 1110 10 (즉 왼쪽부터 10번째 비트까지 유효)
  • Auto-configuration
  • IPv6 address = subnet prefix + interface ID

12강.네트워크 보안

해킹의 대표적인 세가지 유형
  • 침입 및 정보 변조/파괴
  • 서비스 거부 공격 (Dos : Denial of Service)
  • 정보 유츌

13강.라우터 I

라우터의 역할
Path Determination (경로결정) : 데이터 패킷이 목적지까지 갈 수 있는 경로를 검사하고 어떤 경로로 가는 것이 가장 적절한지를 결정
Switching : 그 결정된 경로로 데이터 패킷을 스위칭
** 라우팅 프로토콜을 이용하여 최적경로를 확인 한다.
라우터의 특징
- 네트워크간의 연결 : LAN간 연결, LAN과 WAN의 연결에 사용
- 네트워크 분리 :
  • 하나의 네트워크에 많은 장치들이 연결된 경우 여러 개의 세그먼트로 분리하여 브로드캐스트 패킷과 Flooding 패킷이 전달되지 않도록 함.
  • 네트워크가 분리됨으로써 트래픽을 분산

라우팅의 의미
  • 라우터에서 패킷의 경로를 결정하는 것
  • 라우팅 테이블을 참조하여 최적경로로 패킷을 전송
  • 라우팅 정보(RI,Routing Information)란 네트워크 상태에 대한 정보를 의미
  • 라우팅 알고리즘 - 라우팅 정보를 이용하여 패킷의 경로를 결정하는 것
라우팅의 종류
  • 정적라우팅
    • 관리자가 직접 라우팅 테이블을 갱신하는 것
    • 라우팅 정보갱신을 위한 별도의 프로토콜을 사용하지 않음
    • 라우팅 경로가 고정되어 있는 경우나 경로가 작은 소규모의 단순 네트워크에 적함.
  • 동적라우팅
    • 라우팅 프로토콜을 사용하여 라우팅 스스로 라우팅 데이블을 갱신
    • 사용할 경로가 삭제 혹은 변경시 변경된 경로정보를 이웃 라우터에 전송
    • 관리가 편리하고 대규모의 복잡한 네트워크에 적절

라우팅 알고리즘
  • 거리 벡터 알고리즘(Distance Vector Alogrithm) : RIP
  • 링크상태 알고리즘 : 최신

라우터의 구성(Cisco 2500 시리즈)
  • ROM : IOS 내장 , 업그레이드는 불가능 , 응급처리 기능, 부팅 프로그램
  • Shared RAM : 패킷 임시 저장(버퍼기능)
  • Main RAM : 라우팅 설정 데이터 , 라우팅 데이블 ,ARP 데이블로 구성
  • Flash Memory : 부팅시 Flash의 IOS를 RAM으로 로딩, 플래시의 IOS는 업그레이드 가능
  • NVRAM : Configuration File이 저장
라우터의 소프트웨어
  • IOS : 라우터의 운영체제
  • IOS (Internetwork Operating System)
    • 라우팅 프로토콜 , 보안 기능
    • 플래시 메모리에 저장되며 upgrade 됨
    • 일반적인 경우 플래시 메모리에서 RAM으로 로딩됨.
    • 문제가 생겨서 로딩이 되지 않으면 ROM에 있는 IOS가 로딩됨.
인터페이스란?
  • 라우터에서 외부와 연결되는 부분
  • Ethernet Interface : 내부네트워크와 연결되는 부분
    • TP : 10BaseT방식
    • AUI : 15핀으로 된 방식 (switch)
  • Serial Interface : 외부네트워크와 연결
    • DSU(Digital Service Unit)와 접속
    • V.35케이블 : Serial 포트와 DSU, FDSU,CSU 연결하는 케이블
AUX :: 외장형 모뎀을 설치하여 연결할때 사용함.


14강. 라우터 II
AS(Autonomous System) :: 한 조직이나 기관리 관리하는 내부 라우터의 집함.
  • AS 구성이유 :: 라우터가 가지는 정보를 효율적으로 관리하고 인터넷 서버스를 좀더 간편하게 하기 위함.
  • AS내의 라우터들은 내부 네트워크에 대한 정보만을 보유
  • 외부에 패킷을 보낼때에는 ASBR에 위임
ASBR(AS Boundary Router) ::
  • IGP (Interior Gateway Protocol) : AS 내부에서 라우팅 정보를 주고 받는 프로토콜
    • RIP, IGRP ,EIGRP , OSPF
  • EGP (Exterior Gateway Protocol) : AS 외부에서 라우팅 정보를 주고 받는 프로토콜
    • EGP , BGP
Routing Protocol
  • RIP (Routing Information Protocol)
    • 제록스가 개발한 최적 경로 결정 프로토콜
    • 라우팅 데이블 전체를 교환
  • OSPF (Open Shortest Path First)
    • RIP의 단점을 보완하기 위해 개발
    • 라우터간 변경된 최소한의 부분만 전달
  • IGRP (Interior Gateway Routing Protocol)
    • AS 내의 네트워크에서 사용
  • BGP (Border Gateway Protocol)
    • 외부로 연결되는 라우터간 라우터 정보 교환시 사용

라우터 모드
  • User Mode
    • 라우터의 환경 조회
    • prompt ‘>’
    • UM -> PM :: enable을 입력한 password 입력
  • Privilage Mode
    • 라우터의 환경 조성과 모든 명령어 사용가능
    • prompt ‘#’
    • 유저모드로 이동 disable
  • Global Configuration Model
    • 여러가지 설정을 할 수 있음.
    • P Mode -> GC Mode : ‘config terminal’ 입력 혹은 (conf-t)
    • GC Mode -> P Mode : exit 혹은 ctrl + z
환경 조회 명령 (추후 : 명령어 사전으로 정리 할까)
  • show buffers : 버퍼의 사용현황
  • show flash : Flash내의 내용 나타남
  • show interface : 각 interface 정보 조회
  • show memory : 메모리 이용 현황 통계
  • show process : 활동중인 process 정보
  • show protocols : 프로토콜 정보
  • show running-config : (sh run) RAM의 Configuration file 보기
  • show stacks : stack 활용 현황
  • show version : 각종 버젼 정보

라우터의 기본 명령어

  • clear : 라우터 설정값을 초기화, 가상 단말기의 접속 강제 해제, 라우팅 테이블의 초기화
  • clock : 라우터의 시간과 날짜를 설정
  • copy : 환경값을 화일로 저장하거나 불러오고, IOS를 TFTP서버로 보내거나 작업을 위해 사용
  • debug : 라우터 동작의 시스템 차원에서 추적이 가능하다. 라우팅 데이블 교환이나 인터페이스의 상호간 교환하는 정보 메시지를 추적하여 비정상 적인 동작이나 오류를 찾아낸다. router load에 많은 영향을 미치므로 사용시 주의 해야 한다.
  • reload : 전원 스위치를 이용 하지 않고 원격으로 재 부팅하는 경우
  • send : 라우터에 접속하고 있는 모든 터미날의 화면에 메시지 전송
  • show version : IOS의 버전, 부팅 시간, 메모리 종류/크기 , HW 구성 정보
  • show interface : 인터페이스의 종류 및 각종 종류
  • show configuration : NVRAM의 저장된 configuration을 보여줌
  • write memory : memory에서 현재 작동하는 configuration을 NVRAM에 저장
  • write terminal : memory에서 현재 작동하고 있는 configuration을 보여줌
  • show ip route : IP의 routing table을 보여줌
  • show process : 라우터의 프로세스 utilization과 구동되고 있는 프로세스들 보여줌
  • show arp : ARP 테이블을 보여줌
  • show memory : 라우터 memory 사용현황을 보여줌
  • show buffer : 버퍼의 할당 상태와 상태를 보여줌
  • show user : 현재 telnet이나 console로 들어와 있는 사용자들의 현황
  • show line vty 0 : 접속된 가상단말기의 속도 및 단절시간등을 표시
  • trace : 네트워크의 중간 경로 확인
  • ping : host가 제대로 작동중인지 점검하는 명령어
  • show cdp neighbor detail : 인접한 cisco product를 점검할 수 있는 명령어