보안 해볼까

1. 전자화폐

디지털 서명이 있는 금액 가치 정보로, 전자기호 형태로 화폐적 가치를 저장하여 상품 등 구매에 사용할 수 있는 전자적 지급 수단이다.

Cf) 전자화폐 요구 조건

- 불추적성, 가치이전성(양도성), 분할성, 독립성(완전 정보화), 이중사용 방지, 익명성 취소

2. SET (Secure Electronic Transaction)

VISA와 MASTER CARD사에서 공동으로 개발된 프로토콜로, 전자 서명과 인증서를 통한 안전한 거래가 가능하다. (SSL에 비해 상대적으로 느리다.)

Cf) SET 이중서명(Dual Signature)

- 사용자는 판매자에게 지불 정보(계좌 정보)를 숨기고 싶음

- 사용자는 PG(Payment Gateway)에게 주문 정보를 숨기고 싶음

- PG는 판매자가 전송한 결제 요청이 실제 고객이 의뢰한 정보인지 확인하고 싶음

Cf) SET 장점과 단점

3. SSL(Secures Socket Layer)

개인 정보를 전송하는 네트워크 구간은 Sniffer 등으로부터 보호하기위해 보안 서버를 사용해서 송/수신되는 데이터를 암호화하는 것이 안전하다.

암호문 전송을 위해 RSA 공개키 알고리즘을 사용하며, X.509 인증서 지원, 443 포트 사용, Transport ~ Application Layer에서 동작한다.

1) SSL 보안 서비스

2) SSL Handshaking

TCP 연결 후 웹 브라우저는 443 포트를 호출하여 3-way handshaking을 수행하며, 그 과정은 아래와 같다.

a. Client -> Server

- 'Client Hello' 메시지를 전송하는데, 웹 브라우저에서 지원하는 SSL 버전, 암호화 알고리즘 등의 정보가 포함됨

- 'Random'을 전송하는데, 이는 Replay Attack을 방지하기 위한 임의적인 숫자임

b. Server -> Client

- 서버가 지원할 수 있는 알고리즘과 함께 'Server Hello' 메시지를 전송

- 웹 서버도 'Random'을 전송

c. Client -> 공인 또는 사설 CA

- 전달받은 서버 인증서를 CA를 통해 신뢰할 수 있는 서버인지 확인

* 공인 CA 인증서: 인증서의 공개키로 복호화

* 사설 CA 인증서: 브라우저에 저장된 CA 리스트에 없기 때문에 https 경고 표시

d. Client -> Server

- 암호 통신에 사용할 Session Key 생성 후 서버의 공개키로 암호화해 Pre-master Key를 만들어 서버에 전송 (Change Cipher Spec)

- 서버에게 협의 종료를 전달 (Finished)

e. Server -> Client

- Client의 응답에 동의하고 협의된 알고리즘의 적용을 알림 (Change Cipher Spec)

- 클라이언트에게 협의 종료를 전달 (Finished)

3) OpenSSL 사용

SSL을 사용하여 보안 서버를 구축하기 위해서는 웹 서버에 OpenSSL 패키지를 설치하고 개인키와 인증서 등을 생성해야 한다.

Cf) OpenSSL 보안 취약점 (HeartBleed 취약점)

- OpenSSL 암호화 라이브러리의 Heartbeat라는 확장 모듈에서 발생

- 웹 브라우저가 Request 했을 때, 데이터 길이를 검증하지 않아 메모리에 저장되어 있는 평문의 64KByte가 노툴되는 현상

4. IPSEC (IP Security)

인터넷 상에서 전용 회선처럼 이용 가능한 가상의 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지하기 위한 통신 규약으로, 전송 방법으로는 터널 모드와 전송 모드가 있다.

Cf) IPSEC Header 구조

5. OTP (One Time Password)

매번 다른 난수를 생성하여 인증 시 패스워드를 대신하는 방법으로, 높은 보안수준을 가진 사용자 동적 비밀번호이며 사용된 비밀번호는 일회용으로서 다시 생성되지 않는다.

1) 동기화 방식

OTP 생성기와 은행의 OTP 인증서버 사이에 동기화된 기준값에 따라 OTP가 생성되는 방식으로, 동기화된 기준값에 따라 시간 동기화 방식과 이벤트 동기화 방식으로 분류된다.

[시간 동기화 방식]

- OTP 생성 매체가 매시간 비밀번호를 자동으로 생성

- 시간을 기준값으로 하여 OTP 생성 매체와 OTP 인증서버가 동기화

- 간편한 장점이 있지만 일정 시간 은행에 OTP를 전송하지 못하면 다시 새로운 OTP가 생성될때까지 기다려야 함

[이벤트 동기화 방식]

- OTP 생성 매체와 인증서버의 동기화된 인증 횟수를 기준값으로 생성

- OTP 생성 매체에서 생성된 비밀번호 횟수와 인증서버가 생성한 횟수가 자동으로 동기화되기 때문에 시간 동기화의 불편성을 완화

2) 비동기 방식 : 질의응답(Challenge-Response)

- 사용자의 OTP 생성 매체와 은행의 OTP 인증서버 사이에 동기화되는 기준값이 없음

- 사용자가 직접 임의의 난수를 OTP 생성 매체에 입력하여 OTP를 생성하는 방식

- 사용자가 인증서버로부터 받은 질의 값을 OTP 생성 매체에 직접 입력하면 응답값이 생성된다.

# 참고

해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.

1. FTP(File Transfer Protocol)

인터넷에 연결된 시스템 간 파일을 전송하는 통신 프로토콜의 하나로, FTP 명령을 FTP 서버에 전송하기 위한 명령포트(21번 고정)와 실제 파일을 업로드 하거나 다운로드 하기 위한 데이터 포트를 사용한다.

1) FTP Active Mode와 Passive Mode

- 명령 포트는 고정되어 있지만, 데이터 포트는 전송 모드에 따라 변함

- Active Mode: 20번, Passive Mode: FTP 서버가 결정

- FTP 클라이언트의 데이터 포트는 클라이언트가 결정

Cf) FTP 서비스 로그 기록

- FTP 서비스의 로그파일에는 xferlog 파일이 있으며, FTP 서비스 기동 시 '-l' 옵션을 부여하면 xferlog 파일을 기록

2) FTP 보안 취약점

2. E-mail 보안

E-mail 전송 방법에는 SMTP, POP3, IMAP, IMAP4 등이 있으며, E-mail 보안 기법으로는 PGP, PEM, S/MIME이 있다.

1) PGP(Pretty Good Privacy)

- MIME(Multipurpose Internet Mail Extension) 객체에 암호화와 전자서명 기능을 추가한 암호화 프로토콜

* MIME: 전자우편을 위한 인터넷 표준 포맷 (출처:위키백과)

- 네트워크를 통해 주고받는 메시지에 대해 송수신자에게 보안 서비스를 제공하고 평문 메시지를 암호화

- 메시지 암호화, 서명, 압축, 분할, 전자 우편 호환성의 5가지 기능을 제공

Cf) PGP 특징

2) PEM(Privacy Enhanced Mail)

- 인터넷에서 사용되는 이메일 보안 시스템의 하나로, 중앙집중화된 키 인증 방식으로 구현이 어렵고 높은 보안성을 제공 (군사, 은행 사용)

3) S/MIME(Secure MIME)

- 표준 보안 메일 규약으로, 송신자와 수신자를 인증, 메시지 무결성 증명, 첨부파일 보안

- 메시지 내용의 Privacy를 보증하는 표준 보안 메일 프로토콜로서 메일 전체를 암호화 (RSA 암호 사용)

- CA(인증기관)로부터 자신의 공개키를 보증하는 인증서를 받아야 함

3. Spam Mail 차단

스팸메일 차단 시스템은 광고성 메일 및 음란 메일과 같은 유해한 메일을 발송하는 IP를 차단하는 RBL과 SPF 방식이 있다.

1) RBL(Real time Blocking List)

- 이메일 수신 시 간편하게 스팸 여부를 확인하여 차단하는 것

- KISA의 RBL 서버에 특정 IP를 등록하고 차단

2) SPF(Sender Policy Framework)

3) SpamAssassin

- 점수를 이용하여 스팸 여부를 판단하는 방법으로 90% 이상의 높은 차단율을 보이며, Perl로 개발됨

- Rule 기반 하에 Header와 Body를 분석하여 실시간 차단 리스트(RBL)를 참고하여 각각의 Rule에 매칭될 경우 점수를 매기고 총 점수가 기준점을 초과하는지 여부에 따라 스팸 여부 결정

4. 웹 로그 분석

웹 서버를 관리하기 위해 시스템의 로그 정보를 파악하여 웹 서버의 에러로그, 접속로그, 에이전트로그, 참조로그의 정보를 확인할 수 있다.

웹 서버의 로그는 access.log에 기록되며, 에러로그는 ServerRoot/logs/error_log에 기록되며, access.log 파일을 분석하면 웹 서버를 대상으로 언제 어떤 IP에서 공격을 시도했는지 알 수 있다.

Cf) HTTP 상태 코드

5. 웹 방화벽(Web Firewall)

홈페이지 자체 및 웹 프로토콜을 기반으로 하는 모든 서비스와 애플리케이션 데이터 기반 정보 시스템에 보안 서비스를 제공한다.

웹 애플리케이션 취약점을 이용한 공격에 대응하며, 내부의 중요 데이터 유출을 방지한다.

1) 웹 방화벽 종류

2) 웹 방화벽 주요 기능

Cf) Watering Hole 공격

- 공격 대상이 방문할 가능성이 있는 웹사이트를 감염시킨 뒤 피해자가 접속하면 감염시키는 공격

- Wateing Hole 공격을 통해 보안이 강력한 공격 대상 기업의 멤버를 감염시키고, 매개체로 이용할 수 있음

6. DNS(Domain Name Service) 보안

DNS는 URL 주소에 대한 IP 주소를 알려주는 서비스를 말한다.

1) dnsspoof

- DNS Spoofing을 할 수 있는 공격도구로, 지정된 DNS 파일을 참조해서 DNS를 수행하게 함

- 특히 53번 포트로 전송되는 UDP 데이터를 모니터링 하고 있다가 지정된 URL에 대해 요청이 오면 특정 IP로 응답

2) DNSSEC

- DNS 캐시 포이즈닝과 DNS의 보안 취약점을 보완하기 위해 등장한 기술

- DNS 응답 정보에 전자서명 값을 첨부하여 보내고 수신측이 해당 서명 값을 검증하므로 DNS 위변조 방지

3) DNS Cache Poisoning Server Attack

- DNS Cache에 잘못된 정보를 저장하여 조작된 정보를 반환하고, 사용자가 의도하지 않은 사이트로 접속하도록 하는 공격 기법

- 공격자는 DNS Name Server를 가장하여 DNS Server에게 요청을 보낸 뒤, DNS Server가 쿼리 시 응답을 위조하여 DNS Cache를 감염

# 참고

해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.

1. 침입 차단 시스템(Firewall)

가장 기본적인 네트워크 보안 장비로, 접근 통제(Access Control List)를  적용하여 시스템에 접근이 허용된 사용자, IP, Port를 결정한다. 반대로 접근 못하는 Black List IP를 등록하고 차단할 수 있다.

2. 침입 탐지 시스템(Intrusion Detection System)

침입 패턴 정보를 데이터베이스에 저장하고 지능형 엔진을 사용하여 네트워크나 시스템의 침입을 실시간으로 모니터링 할 수 있고 침입탐지 여부를 확인하는 보안 시스템이다.

1) 개요

- 침입 탐지 방법

- 침입 탐지 시스템 분류

Cf) False Positive, False Negative

- False Positive: false(+)로 표현, 공격이 아닌데 공격이라 오판하는 것

- False Negative: false(-)로 표현, 공격인데도 공격이 아니라 오판하는 것

2) Snort

Snort는 패킷을 스니핑해서 지정한 Rule과 동일한 패킷을 탐지하는 침입 탐지 시스템이다.

[Snort Rule]

- 공격자의 공격을 탐지하기 위해 등록된 규칙(패턴)

- 수신되는 패킷은 Rule과 비교해서 탐지 여부를 결정

- Rule Header와 Rule Option으로 구성

- Rule Header는 Action Protocol, IP, Port 등으로 구성되며 Rule Option은 탐지할 조건으로 구성

- action(처리 방법)

- Protocol: TCP, UDP, IP, ICMP의 프로토콜을 설정하면 해당 프로토콜을 탐지

- Direction: 패킷의 방향을 의미하며, "->"으로 설정하면 왼쪽은 송신자, 오른쪽은 수신자 정보가 됨

* 송신자와 수신자 구분없이 전송되는 모든 패킷을 탐지하려면 "<>"로설정

- Rule Option: 세부적인 탐지 조건을 설정하는 부분으로, 여러개 설정할 때는 ';'을 넣어서 조건을 구분

3. 침입 대응 시스템(Intrusion Prevention System)

공격 시그니처를 찾아내 네트워크에 연결된 기기에서 비정상적인 활동이 이루어지는지 감시하여 자동으로 해결 조치하는 보안 솔루션이다.

Real Time 대응이 가능하며, 침입 경고 이전에 공격을 중단시키는 것이 주요 목적이다.

Cf) 침입 대응 시스템 종류

4. 허니팟(Honeypot)

해커의 행동, 공격 기법 등을 분석하기위해 의도적으로 설치해 둔 시스템으로, Zero Day Attack을 탐지하기 위한 수단이 된다.

Cf) 허니팟 위치

Cf) 허니팟 구축 시 고려사항

- 해커에 쉽게 노출되어 해킹 가능한 것처럼 취약해보여야 함

- 시스템의 모든 구성 요소를 갖추고 있어야 함

- 시스템을 통과하는 모든 패킷을 감시하고, 시스템 접속자에 대해 관리자에게 알려야 함

5. 가상 사설망(Virtual Private Network)

공중망(인터넷)을 이용하여 사설망과 같은 효과를 얻기 위한 컴퓨터 시스템과 프로토콜의 집합으로, 인터넷을 사용해서 기업의 시스템에 접근할 수 있는 안전한 네트워크 경로를 제공하는 기술이다.

네트워크로 송신되는 데이터는 데이터는 스니핑 공격에 취약할 수밖에 없지만, 터널링을 통해 VPN Client <> Server 간 암호화 키 교환 과정을 수행 후에 암호화를 사용해서 메시지를 주고받기 때문에 안전한 통신을 지원한다.

1) SSL VPN(Secured Socket Layer VPN)

- SSL VPN의 가장 큰 특징은 웹브라우저만 있으면 언제 어디서나 사용이 가능하다는 것

- VPN 터널링을 수행 시, SSL로 암호화를 수행 (세션 기반 프로토콜)

- 웹브라우저와 웹 서버 간 SSL 협상과정을 한 후에 세션키를 생성하고 세션키로 암호화하여 터널링 구현

참고: SSL VPN 통신과정
https://teacheryoon.tistory.com/7?category=929564

2) IPSEC VPN(IP Security VPN)

- 인터넷 상에서 전용 회선처럼 가상의 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지하기 위한 통신 규약

- IPSEC의 전송 모드는 데이터에 대해 암호화를 수행하지만, IP 헤더에 대해서는 암호화를 수행하지 않음

- IPSEC의 터널 모드는 보안 IPSEC 헤더를 추가하고 IP 헤더와 데이터 모두를 암호화

3) PPTP VPN (Point-to-Point Tunneling Protocol VPN)

- PPP(Point-to-Point Protocol)의 Packet을 IP Packet으로 Encapsulation하여 IP 네트워크에 전송하기 위한 터널링 기법으로 2계층에서 동작

4) L2TP VPN (Layer 2 Tunneling Protocol VPN)

- L2F 프로토콜과 PPTP 프로토콜과의 호환성을 고려하여 만들어진 터널링 프로토콜로 2계층에서 동작

6. NAC (Network Access Control)

네트워크에 연결된 단말기에 대해 사전에 IP, MAC을 등록하고 등록되지 않은 단말기의 네트워크 접근을 차단한다.

NAC는 정책관리 서버, 차단 서버, 에이전트, 콘솔로 구성되어 있다.

Cf) NAC 동작 방식

- 사용자 단말기에 NAC 프로그램을 설치해야하는 Agent 방식과, 설치하지 않아도 되는 Agentless 방식으로 나뉨

7. ESM(Enterprise Security Management)

기업의 정보보안 정책을 반영하여 다수 보안 시스템을 통합한 통합 보안관제 시스템이다. FW, IDS, VPN 등 각종 이벤트를 수집하고 분석하여 통합 보안을 구현한다.

1) ESM 구성 요소

- ESM Agent, ESM Manager, ESM Console의 3단계 아키텍처로 구성

- ESM Agent: 각종 보안 솔루션의 로그를 수집하는 역할로, 실시간으로 로그를 수집하여 정규 표현식으로 변환 후 ESM Manager에게 전달

- ESM Manager: 로그를 DB에 저장하고 위협 분석, 상관성 분석 등의 분석을 진행

- ESM Console: 모든 보안정보를 모니터링하며 침입 발생 시 명령을 ESM Manager에게 전달

2) SIEM과 ESM의 차이점

- SIEM(Security Information Event Management)은 보안관제 부분 측면에서는 ESM과 거의 유사함

- SIEM과 ESM 모두 각종 보안 솔루션으로부터 로그를 수집하고 분석하는 기능을 함

- ESM은 수집된 로그 및 분석 정보를 DB에 저장하고 관리

- SIEM은 빅데이터를 사용해서 대용량의 로그 정보를 보관하고 각 칼럼별 인덱싱이 가능하여 빠르게 대용량의 데이터를 분석 가능

# 참고

해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.

1. 서비스 거부 공격 (DoS, Denial Of Service)

컴퓨터의 자원을 고갈시키기 위한 공격으로, 특정 서비스를 계속 호출하여 CPU, Memory, Network 등의 자원을 고갈시키는 공격이다.

DDoS(Distributed DoS)는 여러대의 공격자 서버가 분산되어 있고 특정 시스템을 집중적으로 공격하는 방법이다.

1) TCP SYN Flooding

- TCP SYN을 이용한 공격 방법으로, 대상 시스템이 Flooding하게 만들어 대상 시스템의 서비스를 중단시키는 공격

- 다른 사용자가 서비스를 받지 못하도록 하는 공격

Cf) DRDoS(Distributed Reflection Denial os Service)

- IP Header에 들어가는 Src IP를 공격자의 IP가 아닌 피해자의 IP 주소를 기재하여 Request 전송

- Dst 서버는 피해자의 IP로 응답을 하게되는데, 이 작업을 반복하려 피해자에게 DoS 공격을 수행

2) ICMP Flooding(Smurfing Attack)

- 다수의 호스트가 존재하는 네트워크상에서 ICMP Echo 패킷을 Broadcast로 전송

- Src IP는 피해자의 IP주소를 기재하여 전송

- 다량의 응답 패킷이 피해자 서버로 집중되게하여 서비스 장애 유발

3) Tear Drop(Ping of Death)

- 네트워크 패킷은 MTU보다 큰 패킷이 오면 분할하고, 분할된 정보를 flags와 offset이 가지게 됨

- offset을 임의로 조작하여 다시 조립될 수 없도록 하는 공격

- Fragment를 조작하여 패킷 필터링 장비나 IDS를 우회하여 서비스 거부 유발

4) Land Attack

- IP Header를 변조하여 인위적으로 Src IP를 Dst IP 주소와 Port로 설정하여 트래픽을 전송

- 송신자와 수신자의 IP, Port가 동일하기 때문에 네트워크 장비의 부하 유발

- 대응 방법: 송신자와 수신자의 IP가 동일한 패킷을 삭제

5) HTTP Get Flooding

- 3 way handshaking 이후 HTTP Get을 지속적으로 요청하여 HTTP 연결 및 HTTP 처리 로직까지 과부하 유발

- TCP 3 way handshaking 이후 공격을 수행하기 때문에 IP를 변조하지 않음

Cf) slow HTTP Get Flooding

- HTTP Header를 변조하여 Content Length 값을 50,000으로 변경 후 1바이트씩 천천히 전송

- 웹 서버는 50,000 값이 수신되기를 대기하게되고 더 많은 부하가 발생

- 'slow'가 붙은 공격들은 위처럼 무언가를 천천히 전송해서 웹 서버에 더 많은 부하를 유발하는 공격

6) Cache Control Attack

- 자주 변경되는 데이터에 대해서 새롭게 HTTP 요청과 응답을 요구하는 옵션인 'no-cache'를 설정

- Cache-Control을 'no-cache'로 설정하고 웹 서버를 호출하면 항상 최신 페이지를 전송해주어야 하기 때문에 서버는 더 많은 부하가 발생

7) Slow HTTP Get/Post Attack

[Slow HTTP Get]

- TCP 및 UDP 기반 공격: 변조 IP가 아닌 정상 IP 기반 공격이며, 탐지가 어려움

- 소량의 트래픽을 사용한 공격: 소량의 트래픽과 세션 연결을 통해서 공격

- 애플리케이션 대상: 서비스의 취약점을 이용한 공격

[Slow HTTP Post]

- HTTP의 Post를 사용하여 서버에게 전달할 대량의 데이터를 장시간에 걸쳐 분할 전송

- Post 데이터가 모두 수신되지 않으면 연결을 장시간 유지하게 됨

[Slow HTTP Read DoS]

- TCP 윈도우 크기 및 데이터 처리율을 감소시킨 뒤 데이터 전송하여 웹서버가 정상적으로 응답하지 못하도록 하는 공격 (ex. TCP 윈도우 크기를 0byte로 만들어 전송)

- TCP 윈도우 크기 및 데이터 처리율을 감소시키면 서버는 정상 상태로 회복될 때까지 대기상태에 빠지게 됨

- 서버는 윈도우 크기가 0byte인 것을 확인하면 데이터를 전송하지 않고 Pending 상태로 전환됨

- 공격자는 윈도우 크기를 점검하는 Probe 패킷에 대해 ACK로 전송하면 서버는 대기 상태로 빠지게 됨

[Slow HTTP Header DoS(Slowloris)]

- HTTP Header를 비정상적으로 조작해서 웹 서버가 HTTP Header 정보가 모두 전달되지 않은 것으로 판단하게 함

- 웹 서버는 클라이언트로부터 요청이 끝나지 않은 것으로 판단하여 연결을 장시간 유지

- HTTP Header와 Body는 개행문자(\r\n\r\n)로 구분되는데, \r\n만 전송하여 불완전한 Header를 전송

2. Port Scanning

포트 스캐닝은 서버에 열려있는 포트를 확인하기 위한 방법이며, 공격자는 이를 악용하여 확인된 포트의 취약점을 이용하여 공격할 수 있다.

- NMAP Port Scanning

3. Sniffing Attack

네트워크로 전송되는 패킷을 훔쳐보는 도구로, 송신자와 수신자의 IP, Port, Message 등 확인이 가능하다.

스니핑 도구를 실행시키면 기본적으로 Normal Mode로 실행되며, Normal Mode는 자신의 컴퓨터에 전송되는 패킷만 수신받고 관계없는 패킷은 삭제한다. 네트워크에 흘러다니는 모든 패킷을 모니터링 할 때는 Promiscuous Mode로 설정해야 한다.

Cf) Session Hijacking

- 세션값을 훔쳐(세션값을 획득하여) 로그인 과정 없이 홈페이지에 접근할 수 있음

- 이미 인증을 받아 세션을 생성, 유지하고 있는 연결을 빼앗는 공격

- 인증을 위한 모든 검증을 우회: TCP를 이용해서 통신하고 있을 때 RST 패킷을 보내 일시적으로 TCP 세션을 끊고 Sequence Number를 새로 생성하여 세션을 빼앗고 인증을 회피

- 원인: 암호화되지 않은 프로토콜에서 정보를 평문으로 전송, 길이가 짧은 Session ID, Session Timeout 부재

4. Spoofing Attack

1) IP Spoofing

- 자신의 IP를 속이는 행위로, 공격자가 자신의 IP주소를 숨기거나 피해자의 IP로 가장하여 접속하는 방법

2) ARP Spoofing

- 로컬 통신 과정에서 서버와 클라이언트가 IP와 MAC 주소로 통신하는 것을 이용

- 클라이언트의 MAC Addr를 중간에 공격자가 자신의 MAC Addr로 변조하여 마치 서버와 클라이언트가 통신하는 것처럼 속이는 공격

# 참고

해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.

1. OSI 7 Layer

네트워크의 효율적 이용을 위해 계층을 분할하고, 각 계층 간의 필요한 프로토콜을 규정한 것

* 각 계층은 독립적이라 상위/하위 계층에 처리를 의뢰하지 않는다.

Cf) TCP/IP 프로토콜

이 기종 간 네트워크 환경에 대한 표준으로, OSI보다 먼저 만들어졌으며 TCP, UDP, IP, ICMP, ARP, RARP로 구성된다.

2. 네트워크 활용(TCP/IP 구조)

1) Applicaion Layer

일반 사용자들이 사용하는 프로그램이 있는 계층으로, 서비스는 동영상 학습 프로그램, VoIP전화, 카톡 등의 형태가 있다.

Cf) Application 관련 서비스

- FTP, DNS, HTTP, Telnet, SMTP, SNMP

Cf) HTTP(Hyper Text Transfer Protocol)

- TCP 프로토콜의 80번 Port를 사용하고 Request/Response 구조를 가짐

- HTTP Header와 Body로 이루어져 송/수신 됨

- HTTP Request 시 Header 구조

- HTTP Response 시 Header 구조

Cf) Cookie와 Session

Cf) SMTP(Simple Mail Transfer Protocol)

- 인터넷 전자우편 표준 프로토콜로, Store-and-Forward 방식으로 메시지를 전달

- 송신자가 보낸 전자우편은 메일 서버에 전달

- 메일 서버는 수신자의 전자우편 주소를 분석하고 최단 경로를 찾아 근접한 메일 서버에게 전달

- 최종 수신자 측 메일 서버에 도착하기까지 연속적으로 전달하는 중계 작업을 수행

- POP3와 IMAP 및 IMAP3

Cf) FTP(File Transfer Protocol)

- 인터넷 표준으로 파일 전송을 위한 프로토콜

- 해당 컴퓨터에 등록된 사용자만 파일 전송이 가능하며, 그 외에는 익명(Anonymous)으로 사용

- ftpusers에 등록된 사용자는 FTP 접근이 허용되지 않으며, 제어 접속과 데이터 접속 포트가 분리되어 있음

* Active Mode와 Passive Mode

- Active Mode: 서버가 클라이언트의 Port(20)로 접속해 데이터를 전송

- Passive Mode: 클라이언트가 서버에서 알려준 Port(2024)에 접속해 데이터를 내려받음

Cf) SNMP(Simple Network Management Protocol), NMS(Network Management System)

- SNMP: 네트워크의 안정성 효율성을 높이기 위해 상태 정보를 실시간으로 수집 및 분석하는 네트워크 관리 시스템

- NMS: SNMP를 사용하여 네트워크 정보를 수집

2) Transport Layer

송신자와 수신자 간에 논리적 연결을 수행하는 것으로, TCP와 UDP가 있으며, TCP는 연결지향 방식을 사용하고 UDP는 비연결성 방식을 사용한다.

Cf) TCP(Transmission Control Protocol)

- UDP에 비해 크기가 크로, 신뢰성 있는 데이터 전송을 위해 가상 연결을 수행하며 Sequence 번호를 통해 메시지 순서를 파악할 수 있음

- 수신자가 동일한 ACK 번호를 반복적으로 전송 시, GO-BACK-N 방법으로 되돌아온 ACK 번호 이후의 모든것을 속도를 낮춰 전부 재전송(*혼잡제어)

- TCP의 송수신 가능 여부를 확인하는 것은 ICMP 프로토콜

- netstat 명령어를 사용하여 연결 상태를 확인 할 수 있음

- Client와 Server의 연결을 수행할 때 Client가 SYN 신호를 보내고 서버는 SYN/ACK로 응답 후 Client가 ACK를 전송하여 연결을 확립

- 연결 종료는 Client에서 FIN+ACK를 보내고 Server는 Flag에 대한 응답 ACK와 종료 Flag FIN을 보내고 Client가 ACK 를 전송하여 연결 종료

Cf) UDP

- 데이터를 빠르게 전송할 용도로 사용되며, 재전송 기능이 없어 네트워크에서 패킷이 손상될 수 있음

- UDP의 특징

Cf) Segment: Application Layer의 메시지에 TCP 혹은 UDP의 Header를 붙인 것

3) Internet Layer

송/수신자의 IP 주소를 읽어 경로를 결정하거나 전송하는 역할을 수행한다.

Cf) Routing

- IP Header에 있는 목적지 IP의 주소를 읽어 경로를 결정하는 작업

- 사전에 고정한 정적 경로와 네트워크 상태에 따라 최적의 경로를 결정하는 동적 경로 방법이 있음

- Routing Protocol 중 Distance Vector는 통과하는 Router의 수가 적은 쪽으로 경로를 결정

- Routing Protocol 중 Link State는 대역폭, 지연 정보 등을 종합적으로 고려해 Cost 산정 후 Cost에 따라 경로 결정

Cf) MTU(Maximum Transmission Unit)

- 한 번에 통과할 수 있는 패킷의 최대 크기

- MTU 값보다 패킷의 크기가 크면 패킷은 분할되고 그 정보를 Flag와 Offset이 가짐

Cf) 데이터 전송 방식

Cf) ARP(Address Resolution Protocol)와 RARP(Reverse ARP)

- ARP Protocol은 IP 주소를 물리적 하드웨어 주소인 MAC 주소로 변경함

- ARP Protocol은 ARP Request/Response를 통해 ARP Cache Table을 유지하고 인접 컴퓨터의 IP, MAC 주소를 가짐

- RARP Protocol은 물리적인 주소 MAC을 기반으로 논리적인 주소 IP를 알아냄

Cf) Datagram: 기존 Packet에 IP Header를 붙인 것

4) Network Access Layer

논리적인 IP 주소를 물리적 MAC 주소로 변환하고 에러 제어와 흐름 제어같은 기능을 제공한다.

통신기기 사이의 연결 및 데이터 전송 기능을 하며, OSI 7계층의 Data Link, Physical 계층에 해당한다.

# 참고

해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.