공부하는 개발자의 스토리

- Cisco ASA Firewall - Firewall 모드는 크게 다음과 같이 구분된다. 1) Router 모드 (L3 방화벽) 2) Transparent 모드 (L2 방화벽) - 'Router 모드'에서 [firewall transparent] 명령어를 사용하면 L2 방화벽인 'Transparent 모드'로 변경되고 다시 [no firewall transparent] 명령어를 사용하면 L3 방화벽으로 변경된다. - ASA의 경우 기본적인 MPF(Modular Policy Framework)가 설정되어 있다. 만약 기본적인 MPF가 [show running-config] 명령어로 확인되지 않을 때 장비를 reload하고, [clear configure all] 명령어를 여러번 입력하면 확인이 가능하다..

- CoPP (Control Plane Policing) - Server가 아닌 Network Device를 대상으로 수행되는 DoS 공격을 방어할 수 있다. - 만약 공격자가 Network Device에 대한 DoS 공격을 수행할 경우 정상적인 Routing 및 기타 작업들이 처리되지 않기 때문에 서비스 제공에 문제가 발생 - Control Plane에 대한 부하가 심할 경우 Console 접근 등의 Management Plane 부분도 문제가 발생하여 정상적인 접근이 힘들다. - 때문에 Data Plane에서 Control Plane으로 이동하는 경로를 하나의 가상 interface처럼 지정하여 QoS를 적용시키는 개념이다. QoS Policing : 초당 정해진 8000bps 미만이면 버린다. sh..

- TCP Intercept - Server 앞에 위치한 Network Device(ex. Router, Firewall..)에서 SYN Flooding 공격을 방어할 수 있는 방법 중간에 위치한 Network Device가 Clinet와 Server가 교환하는 3-way handshakes 과정을 중간에서 가로챈 다음 자신인 Server인 척 Client 대신 Connecton을 맺는다. 만약 Client에게 최종 ACK를 30초 동안 수신하지 못할 경우에는 해당 연결을 차단 정상적으로 최종 ACK를 수신하게 되면 해당 Connection 정보를 Server에게 전달한다. - TCP Intercept 모드는 다음과 같다. 1) Intercept 모드 -> Default (기본) 모드, 위의 설명처럼 중..

VLAN(Virtual Lan) * VLAN의 특성 실제 물리적인 네트워크는 라우터를 기준으로 구분하지만, VLAN은 스위치내에서 논리적으 로 네트워크를 구분하는 것을 의미한다. 하나의 VLAN은 하나의 독립된 Brodacast Domain, 하나의 독립된 Network이다. 다른 VLAN끼리 통신을 할 때는 3계층 장비를 거쳐 라우팅해 서 통신을 한다. VLAN끼리의 구분은 서로 ID(Number)로 구분을 한다. VLAN으로 사용가능 한 번호는 1 ~ 4094까지이다. 1~1005까지는 Normal(일반) VLAN이며, 이 중 1002 ~ 1005 는 토큰링과 FDDI용으로 사용한다. 1006 ~ 4094까지는 Extended(확장) VLAN이라고 하며, 이 확장 VLAN은 3500D이상의 스위치에서..

Switch 데이터흐름을 제어하는 문이라고도 하며, 네트워크 단위들을 연결하는 통신장비입니다. 허브 보다는 전송속도가 개선되었으며 간단히 스위치라고 부르고 스위칭 허브(Switching hub), 포트 스위칭 허브 (Port swutching hub)라고도 한다. 스위치의 사용 목적은 허브와 유사하지만, 스위치는 훨씬 상향된 네트워크 속도를 제공한다. 이는 각 컴퓨터에서 주고 받는 데이터가 허브처럼 다른 모든 컴퓨터에 전송되는 것이 아닌, 데이터를 필요로 하는 컴퓨터에만 전 송되기 때문에 가능하다. 따라서 허브처럼 과부하 등이 쉽게 생기지 않으며, 대부분의 스위 치는 전이중(full duplex)을 지원하기 때문에 송수신이 동시에 일어나는 경우 훨씬 향상된 속도를 제공한다. 스위치는 이 기능을 수행하기 ..

- 재분배 같은 라우팅 프로토콜간에는 서로 정보를 주고 받으며 경로를 탐색합니다. 하지만 서로 다른 프로토콜들은 메트릭 값도 다르고 작동방식도 다르기 때문에 정보를 주고 받지 못하고, 네트워크간에 통신이 이루어지지 않습니다. 이러한 문제점을 위한 솔루션으로 ‘재분배 (Redistribute)’ 기능을 사용하여서 서로 정보를 교환할 수 있게 도와줍니다. 위와 같이 3개의 각기 다른 라우팅 프로토콜이 돌아가고 있는 네트워크망에선 가운데 있는 AS라우터에서 재분배가 이루어집니다. 재분배를 적용시키는 라우터는 2개 이상의 각기 다른 프로토콜이 돌아가는 라우터에서 재분배를 해줍니다. 재분배가 되면 각자 라우팅 테이블에 자신의 라우팅 프로토콜 형태로 다른 프로토콜들의 내 용이 들어오게 되고 아래와 같이 작성이 되어..

- Router Routing Protocol 라우터에 관한 간략한 소개와 기술들에 대해 설명하고 넘어가겠습니다. 라우터는 OSI 7 Layer의 3계층의 장비로서 트래픽이 목적지로 나아갈 때 경로를 결정하게 하는 장비입니다. 주소는 논리적주소인 IP를 사용하고, 패킷을 전송합니다. 경로를 결정하는 방법으로는 정적경로와 동적경로가 있고, 동적경로는 여러 라우팅 프로토 콜을 사용하여 좀 더 효율적으로 경로를 탐색, 결정합니다. * 정적경로결정 이름에서 볼 수 있듯이 관리자가 직접 패킷의 경로를 지정해주는 방법입니다. AD값의 기본 값이 1로서 직접 연결되어 있는게 아니면 가장 높은 우선순위를 갖고 경로를 결정하게 됩니다. 하지만 네트워크의 변화에 즉각 대응하지 못해서 가용성이 떨어지고, 이를 보안하기 위해..

TCP / UDP TCP （Transmission Control Protocol, 전송 제어 프로토콜) TCP는 TCP/IP 프로토콜 슈트의 핵심 전송 계층 프로토콜입니다. TCP는 연결형이고, 승인을 제공하며, 신뢰할 수 있는 다양한 기능을 갖춘 프로토콜로 안정적이지 않은 인터넷 프로토 콜(IP) 위에서 어플리케이션이 안정적으로 데이터를 송신하는 방법을 제공합니다. TCP는 어 플리케이션이 데이터를 바이트 스트림으로 보낼수 있도록 하며 그 바이트 스트림을 적절한 크기의 세그먼트로 자동 패키징합니다. 그리고 TCP의 복수 슬라이딩 윈도우 체계는 수신자 가 모든 데이터를 수신하고, 필요할 경우 재전송을 하며, 상대방의 송신 속도를 조절할 수 있는 흐름제어 기능을 제공합니다. * 3-way handshake..

- IP Spoofing Attack 방어 - IP Spoofing 공격을 출발지 IP 주소를 변조하여 공격을 수행한다. IP Spoofing 공격의 목적은 Local Network 안에서 IP 주소로 맺어진 Trust Relationship을 우회하기 위한 것일 수도 있고 혹은 다른 공격 진행 시 역추적을 피하기 위한 목적일 수도 있다. - IP 주소를 변조시 실제 공인 IP 주소를 사용하는 것보다 도달성이 없는 사설 IP, Class E 대역 등을 사용하는 것이 더 효과적인 공격이다. - IP Spoofing 공격을 방허할 수 있는 방법은 다음과 같다. Bogon-list를 사용한 Filtering 정책 -> 고객 측의 Firewall과 같은 경계 장비에 적용되는 정책 -> 실제 INTERNET 라우..

OSI 7 Layer 우선 네트워크를 이해하기 위해서는 OSI 7 Layer에 대한 이해가 필요합니다. OSI는 세계표 준화기구에서 제정한 용어로서, 어떠한 경로와 방식으로 데이터가 송ㆍ수신되는지 보여주는 모델입니다. 각 계층별로 하는 역할이 나뉘어지고, 위에서부터 어플리케이션, 프레젠테이션, 세션, 트랜스 포트, 네트워크, 데이터 링크, 피지컬 계층으로 분류합니다. 데이터의 교환은 어느 계층에서 보냈느냐에 따라서 목적지의 계층도 결정됩니다. 예를 들어 7계층에서 데이터가 출발했다면 그 데이터가 도착하는 계층 역시 7계층이어야 역할을 수행할 수 있습니다. 다음으로 각 계층에 대해 설명하겠습니다. * 7계층 Application (응용계층) 최상위층인 어플리케이션계층은 사용자에게 서비스를 제공하는 계층입니..