<암호화 방식>
+ 대칭키
- 많은 양의 데이터 암호화해서 전송 가능
- 키 노출 위험
+ 비대칭키
- Private Key & Public Key
-> Src에서 Private Key로 암호화로 전자서명을 해서 Dst에서 Public Key로 복호화해서 데이터 전송
<- 중간자 공격을 받을 수 있기에,
인증기관(CA)를 통한 인증서를 발급받고 -> 상대편의 공개키를 받아서 데이터 전송
: 대량의 데이터 암호화해서 주고 받는 데, 어려움
=>
대칭키를 비대칭키 암호화를 통해 주고 받고, 데이터는 대칭키 방식으로 진행
- Application 부분에서 암호화; Transport와 Application 사이에서 SSID를 통해 암호화한 데이터를 주고 받는다
<ACL>
+ ACL
- (1). SACL: SrcIP 기준으로 제어하기에, 목적지에 가까운 곳에서 설정
- (2). EACL: SrcIP, DstIP, Protocol, Port # 기준으로 Filter
- 트래픽 컨트롤
+ 트래픽 컨트롤 List의 Filtering Precedence
(1). Top-down
(2). First Match -> 좁은 범위를 상단으로, 넓은 범위를 하단으로 List 작성
(3). Implicit(암묵적) deny -> 특정 조건만 deny하는 경우, 마지막에 모든 조건 허용해 줘야 특정 조건만 Deny 가능
<Subnetting>
+ Subnetting
- FLSM(Fixed Length Subnet Mask); 네트워크 Part 기반의 Subnetting
- VLSM(Variable Length Subnet Mask); 호스트 Part 기반의 Subnetting
-> Host 수가 많은 쪽에서 낮은 쪽으로 Subnetting해서 네트워크 분배
Ref. RFC 1918
- Private IP의 국제 규격
-> 내부 사설 IP 예측 가능, 10./8 & 172.16./12 & 192.168./16
+ Scanning; 어떤 포트가 열려있고 서비스하는지 확인 <- 해킹의 기초 작업
-> 사설 IP를 사용하면, Scanning을 할 필요없이 알 수 있다.
=> 기업의 내부에 사설 IP 대역대를 RFC 1918 규격의 대역대를 사용하지 않고 외부의 공인 IP 대역대를 사용하기도 한다.
<- df. 공기업은 보안 규정에 맞도록 설정해야하므로 RFC 1918의 규격의 대역대를 사용
-> 내부 NAT가 잘 되어있어서 사용하는 IP(<- 공인IP 대역대를 사설IP로 사용된)가 외부로 나가지 않으면 문제 없지만, 인터넷으로 나가게 되면 (사설로 사용하는) 공인IP를 사용하는 기업에 피해를 주게 된다.
<무선 통신>
+ 무선 통신 보안
- WEP(Wired Equivalent Privacy); 유선과 비슷한 데이터 보안성을 제공하기 위함이자만, 잘 동작 X
- WPA(Wi-Fi Protected Access) (1/2/3)
(1). PreShared Key(PSK; PassPhrase~ WiFi PW) 인증 방식
<- (보안에 너무 취약해서) 기업 환경에서 권장하지 않는다
(2). 802.1x 인증 방식; CA를 통한 인증서 기반으로 인증서를 통해 암호화 통신
-> PKI(Public Key Infrastructure) 환경이 요구되어 기업에서 사용
-> (단순 인증서 기반이 아니라) Radius 서버와 무/유선으로 연결되어 인증 관련 정보를 주고 받아 인증이 확인되면 암호화 통신 가능
Ref. 포트에서는 (인증이 되지않으면) Radius 서버와 연결/통신만 가능하고 -> 인증이 완료되면, 근거리 통신망과 무선랜에서 통신 가능하게 된다
+ SSID(Service Set IDentifier) 2.4g & 5g
(1). 2.4 GHz
- 전송 가능(사용 가능) 채널 3개로 제한되어 있다
-> 그래서 근처에 채널이 겹칠 수 있다.
Ref. 전송 방식 Duplex (df. Simplex; 단방향 전송~ Ex. 방송)
(1). Half Duplex
; 양방향이지만, 동시에 주고 받지는 못한다 (Ex. 무전기)
(2). Full Duplex
; 양방향으로 동시에 주고 받을 수 있다 (Ex. 전화)
<- 1:1이어야 가능한 전송 방식
Ref. Ethernet의 기본 통신 방식: Half Duplex
-> Half Duplex이기에, 충돌이 발생
<- CSMA/CD의 기준이 Half Duplex
=> 요즘은, CSMA/CD Free; 충돌이 되지 않는 상태
==> 무선 채널 또한 충돌이 일어날 수 있다.
=>> 사용 가능 채널이 (3개로) 제한되어 있는 2.4G보다 5G가 충돌 가능성이 낮다.
~ 또 같은 채널에 충돌뿐 아니라,
(네트워크에서 Hub 추가로, System당 Bandwidth가 줄어들 듯이) 무선 인터넷 통신의 질이 낮아질 수 있다.
~ 매체(; 채널)이 공유하기 때문에, 5G가 2.4G보다 공유될 확률이 낮다.
※ 전자레인지도 2.4GHz를 사용하기에, 무선 통신이 안될 수 있다.
Ref. 사내에서
5GHz는 사내 직원용, 2.4GHz는 방문자용으로 제공하기도 한다.
<Network 보안>
+ 보안 3요소(-> CIA)
(1). 기밀성 Confidentiality
(2). 무결성 Integrity
(3).1. 가용성 Availability
or
(3).2. 인증 Authentication
+ Network 설계의 3요소
(1). 가용성
(2). 확장성 & (3). 유연성; 네트워크 확장 및 축소
(4). 보안성
(5). 성능
+ 가용성(HA, High Availability)
-> 서비스의 안정성(; 지속 가능성)
+ Network 기본 구조
[Router]
[Firewall] — [DMZ(DeMilitarized Zone)]; 대외 서비스용의 경우, DMZ 생성
[SWich] — [ServerFarm]
[Nodes(; Systems)]
- 발생하는 Network 문제
+ SPOF(Single Point of Failure); 한 곳의 문제로 전체 통신 마비
-> 이중화 진행
Ex. Access SW(Ex. 부서별)를 두어서 SW의 SPOF 문제를 해결했지만,
Access SW끼리 연결 시 문제가 되기에
-> BackBone SW를 두어서 트래픽을 모아 Policy를 통해 제어한다.
But, (트래픽이 BB SW로 모이기에) BBSW SPOF 문제로 BBSW의 “이중화”로 해결
-> Looping 방지로 STP를 사용하게 되고, 보통 BBSW끼리 연결을 하지 않은 상태의 이중화를 한다
-> (SW 아래에서) 음성 통신을 PC 통신보다 우선으로 하기 위해 VLAN 사용
-> BB SW를 L3로 해서 Inter VLAN Routing 가능하게 한다.
+ Network 구조에서 네트워크 장비 이중화
L3 SWitch, Firewall 장비, Router, ISP
- Firewall 이중화(<- 보통 Active-Active or Active-Hot Standby)의 Synchronization
<- Firewall 이중화에서 Desynchronization이면, FW1에서 나갔지만 FW2로 들어오게 되면 문제가 생기기 때문에
-> 그래서, Configuration 정보와 상태정보를 Synchronization 한다
=> Firewall에서 Stateful한 처리를 하기 때문에, 이중화된 FW끼리 연결되어 있지만 일반 Data 전송용이 아니다.
df. BBSW 이중화에서 Synchronization은
STP가 있지만 Looping과 Stateless한 처리를 하기에, 이중화된 BBSW끼리 연결하지 않고 각각 동일하게 설정만 한다.
+ Case 1. 서버를 BBSW에 직접 연결한다
Why?
- 같은 Bandwidth이더라도 중간에 장비가 있을 경우, 속도가 느려진다
<- Ex. SW의 경우, Signal을 bit Data로, MAC Table 통한 데이터 처리 등으로 인해 Delay가 발생해서 전송 속도가 느려지게 된다.
(Plus) SW의 경우, 여러 Ports 범위로 칸막이가 있는 데, 그 범위 당 하나의 제어하는 부분을 공유한다. + 1:1인 장비는 매우 고가
=> 서버의 경우 (원활한 서비스를 위해) 경로 상의 장비 배치를 최소화한다.
+ Case 2. 네트워크 장비에서 두 개의 NIC 사용
C2.(1). Server에서 SW로 NIC Teaming(Bonding)을 해서 연결
1). 서로 다른 SW에 두개의 NIC를 연결하는 경우 -> Failover (<~ Active-Standby 방식으로)
2). 하나의 SW에 Server의 NIC Teaming -> Bandwidth 향상
C2.(2). Access SW와 BBSW의 EtherChannel
-> Bandwidth 향상
C2.(3). Node(; System)에서 인터넷망 그리고 따로 폐쇄망
※ (인터넷으로 나가기 위해) DG/W
- First Hop Router
-> 처음 L3 Device(BBSW)이면 DG/W는 L3 Dev가 된다.
-> (작은 규모의 망에서는) Firewall 장비도 가능하다
=> DG/W는 무조건 Router가 아니다
+ 이중화로 인해 DG/W가 두 개인 문제 발생
-> First Hop Redundancy Protocol
+ FHRP
(1). HSRP(Hot Standby Routing Protocol)
- Cisco’s FHRP
- Router 이중화 & L3Switch 이중화 가능
(2). VRRP(Virtual Router Redundancy Protocol)
- IBM에서 개발한 표준 Protocol (RFC3768)
+ 물리적 Link에서 같은 IP 사용 시, 충돌 발생
-> 이중화된 Router들에 같은 IP 부여 불가
Ex. 이중화된 Router들의 각각 IP들을 (가상 라우터의 IP로) 묶어서 G/W로 사용
+ VLAN(; Network) 별로 (Virtual Router를 구성하는) Group이 만들어지고
-> VLAN 별 VR의 방식(Ex. Active-Hot standby)으로 번갈아서 Routing 가능
-> 요즘은, Active-Active 방식 선호
※ NAT는 Src IP Dst IP 변환해서 통신! vs tunneling
<- NAT는 패킷의 정보를 변환해서 진행 but, tunneling은 encapsulation을 통해 패킷을 래핑해서 진행
※ 특수 예외 상황. 호텔 솔루션의 각각 방의 PC의 경우, Subnetting으로 하게 되면 /30으로 하게 되면 가용 가능한 IP가 GW와 PC가 되면서 나머지 2개는 NetworkIP, BroadcastIP이기에 Subnetting 사용 불가
-> VLAN으로 같은 네트워크에서 사용 <- Router에서 같은 네트워크의 VLAN을 처리해서 Routing하는 기능을 별도로 가져야 한다.
※ HSRP & VRRP에서, 외부 내부 인터페이스들을 내부끼리 외부끼리 HSRP를 진행하여 Ethernet 안에서는 가능하지만(; ethernet안에서는 가상의 Router의 MAC을 임의로 생성하여 사용 하기에), WAN과 연결된 경우에는 가상의 MAC 주소를 사용하지 못하여 Protocol이 동작하지 못하게 된다.(; WAN으로부터 내부로 Inbound 흐름에서)
<VPN>
+ VPN
(1). 사설 IP ~ tunneling
Ex. L2TP ~ L2 tunneling
<- 암호화(; 인증관련) 지원 X
(2). 보안 ~ IPsec ~인증기관과 인증서를 통한 통신
+ Roaming
(~ 보통 Client의 이동성을 위해서 지원했지만,
지금은 가상화 서버 구현으로 인해 서버 또한 Roaming 필요로 하게 되었다)
(1). 이동성
(2). 서비스 연결성
(서비스 지속성; SrcIP를 기반으로 서비스하는데, 이동으로 인해 SrcIP로 인해 서비스 연결성을 놓치게 되는데
-> 그래서 이동전 네트워크와 이동후 네트워크가 같게 해서 서비스 연결성을 유지한다)
-> L2TP로 물리적으로 분리 되어 있어도 같은 네트워크로 유지
Ex. IPsec VPN & SSL VPN(; 공개키 기반 암호화에서 VPN 형성)
Ref. 둘의 차이: IPsec VPN vs SSL VPN
IPsec VPN <- Network:Network
df. SSL VPN <- Client:Network
+ web browser를 이용하거나 별도의 client 프로그램을 통해 접속 가능한 SSL VPN 환경 ~ 개인이 접근하기에 용이
+ IPsec VPN은 본사와 지사 간의 연결에 용이하다보니까, (인터넷 망을 통해 연결되기 위해)
+ (ISAKMP와 IPsec에 사용되는) IKE(Internet Key Exchange) Protocol
안정적으로 연결되기 위해 IKE protocol 사용
<- IKE Phase1. tunnel 구성 & Phase2를 더 안정화한 암호화를 위해 인증, 키전달방식 등에 대한 협상(negotiate)
IKE Phase2. 키와 알고리즘(;데이터를 암호화히기 위한)으로 암호화된 데이터 송수신
※ ISAKMP <- 실질적인 암호화하는 과정
Ref. IPsec이 모든 데이터를 암호화하지는 않는다
- ASP <- 인증서만
- ESP <- 데이터의 암호화와 인증을 동시에 진행
-> 안전한 암호화를 위해
※ L2TP와 IPsec을 결합하기도 한다
L2TP는 암호화 없이 L2에서 캡슐화해서만 터널에서 통신하기에
+ Topo. HSRP & Tunneling: (Cisco Packet Tracer) 실습
Ref. Topo.HSRP & Tunneling의 경우처럼 이중화된 BBSW와 Systems의 연결에서 중간에 L2SW가 있는 경우, L2SW에서 어느 G/W로 가느냐?에서 HSRP/VRRP를 사용하면, L2SW에서 Management(; 흐름제어)면에서 장점을 가진다
+ Syslog
각 장비마다 syslog 기능을 키고 syslog 기능의 서버에서 수집 가능
-> 서버’s Service에 Syslog ON
-> SW1 & SW2 & BBSW1 & BBSW2 & ServerSW
(config)# logging on
(config)# logging host 192.168.30.80
-> 로그 통합적으로 확인 및 전체 환경에서 이벤트 파악 가능
로그 기록을 가지고 그래픽컬하게 볼 수있는 서버 또한 있기에
-> 추가적으로 시간 설정을 해야한다 ! ex. Command: clock set or NTP(Network Time Protocol)으로 NTP서버를 두고 Network 장비가 서버로부터 시간 정보를 받아 각각 시간 정보 동기화로 진행
+ NTP
Server’s Service ntp ON
SW1 <- ntp 서버 설정 명령어 없다
BBSW1 <- 유
ntp server 192.168.30.80
sh clock <- 확인
※ IX(Internet eXchange): 인터넷 사용을 위해 ISP를 통해 연결하게 되는데, 이때 연결대상이 다른 ISP를 사용할 경우 ISP간의 연결에서, ISP간의 각 연결을 중계해주는 장치
※ 참고 자료
standby <groupNUM> ip <IPv4> <- 가상 SW 생성 ~groupNUM을 VLAN과 동일화해서 # 부여 가능
standby <groupNUM> priority <Value-Priority> <- default value: 100 ~동일 Priority에서는 IP가 높은 Router가 Active
standby <groupNUM> preempt <- 우선 순위에 의해 장애 시, standby 상태에게 접근해서 대응 작동 <- "active가 고장나면 가져오겠다"는 의미
~preempt; “경쟁”하겠다 의미 -> 장애 발생 후, 대응 이후 재경쟁 진행
※ Topo.HSRP&Tunneling. 참고 Script
BBSW1 Terminal
en
conf t
vlan 10
vlan 20
vlan 30
exit
ip routing -> 3L 장비로 기능 시작
hostname BBSW1
int f0/4
switch trunk encap dot1q <- L3SW에서는 ISL(;Cisco) vs dot1q 중에서 골라야한다
switch mode trunk
int f0/2
switch trunk encap dot1q
switch mode trunk
int f0/3
switch access vlan 30
int f0/1
no switch <- L3 포트로 IP 할당해서 사용할 것 선언
ip addr 192.168.11.2 255.255.255.0
no shut
-> BBSW2 동일 진행
int f0/1
no switch
ip addr 192.168.21.2 255.255.255.0
BBSW1 interVLAN
int vlan 1
ip addr 192.168.1.253 255.255.255.0
n sh
int vlan 10
ip addr 192.168.10.253 255.255.255.0
int vlan 20
ip addr 192.168.20.253 255.255.255.0
int vlan 30
ip addr 192.168.30.253 255.255.255.0
BBSW2 interVLAN
int vlan 1
ip addr 192.168.1.254 255.255.255.0
int vlan 10
ip addr 192.168.10.254 255.255.255.0
int vlan 20
ip addr 192.168.20.254 255.255.255.0
int vlan 30
ip addr 192.168.30.254 255.255.255.0
BBSW1 HSRP (; vlan 1&10 -> BBSW1 ACTIVE
int vlan 1
standby 1 ip 192.168.1.1
stan 1 prio 110
stan 1 preempt
int vlan 10
stan 10 ip 192.168.10.1
stan 10 prio 110
stan 10 preempt
int vlan 20
stan 20 ip 192.168.20.1
stan 20 preempt
int vlan 30
stan 30 ip 192.168.30.1
stan 30 preempt
-> BBSW2 동일 but, VLAN 20&30 ACTIVE
int vlan 1
standby 1 ip 192.168.1.1
stan 1 preempt
int vlan 10
stan 10 ip 192.168.10.1
stan 10 preempt
int vlan 20
stan 20 ip 192.168.20.1
stan 20 prio 110
stan 20 preempt
int vlan 30
stan 30 ip 192.168.30.1
stan 30 prio 110
stan 30 preempt
R1
hostname HQ
int f0/1
ip addr 192.168.11.1 255.255.255.0
n sh
int f0/0
ip addr 192.168.21.1 255.255.255.0
n sh
BBSWs의 Default Route
BBSW 1
ip route 0.0.0.0 0.0.0.0 192.168.11.1
BBSW 2
ip route 0.0.0.0 0.0.0.0 192.168.21.1
Internet Area에서 InternetRouter int IP 설정 & HQ, DR int IP 설정
라우터 3개의 영역은 internet Area
HQ Terminal
ip route 10.2.20.0 255.255.255.0 10.1.10.2
DR Terminal
ip route 10.1.10.0 255.255.255.0 10.2.20.2
※ [HQ - InternetRouter - BR] Tunnel 구성 Script <- 사설IP끼리 통신하기 위해
HQ
int tun 1
ip addr 172.16.0.1 255.255.255.0
n sh
BR
int tun 1
ip addr 172.16.0.2 255.255.255.0
n sh
HQ
tunnel source e0/0/0
tunnel des 10.2.20.1
BR
tunnel source f0/0
tunnel des 10.1.10.1
# 어떤 데이터가 오면 tunnel을 통해서 보내라
HQ
ip route 192.168.100.0 255.255.255.0 172.16.0.2
BR
ip route 192.168.10.0 255.255.255.0 172.16.0.1
-> A와C는 E와 통신 가능 but, B와D는 E와 통신 X
->> HQ
router rip
ver 2
net 192.168.0.0 0.0.255.255
no router rip
BR
router rip
ver 2
net 192.168.0.0 0.0.255.255
no router rip
HQ
ip route 192.168.10.0 255.255.255.0 192.168.11.2
