in Network Security - Leo-Mun/UROP_SDN GitHub Wiki

이 문서는 네트워크 보안과 관련된 용어들을 정리한 문서입니다.

MAC address (Media Access Control address)

• MAC 주소는 네트워크 세그먼트의 데이터 링크 계층에서 통신을 위한 네트워크 인터페이스에 할당된 고유 식별자다.
• MAC 주소는 이더넷과 와이파이를 포함한 대부분의 IEEE 802 네트워크 기술에 네트워크 주소로 사용된다.
• MAC 주소는 매체 접근 제어 프로토콜이라는 OSI 모델의 하위 계층에서 사용된다.
• MAC 주소는 NIC(Network Interface Controller)제조업체가 할당, 하드웨어에 저장, 이후 식별자코드로 인코딩되고 인코딩 것을 BIA(burned-in address)라 부른다.
• 이더넷 하드웨어 주소, 하드웨어 주소, 물리 주소 라 불리기도 한다.

SSL Protocol (Secure Socket Layer)

• Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트의 인증을 하는데 사용.

순서

1. [웹브라우저] SSL로 암호화된 페이지를 요청하게 된다. (일반적으로 https://가 사용된다)

2. [웹서버] Public Key를 인증서와 함께 전송한다.

3. [웹브라우저] 인증서가 자신이 신용있다고 판단한 CA(일반적으로 trusted root CA라고 불림)로부터 서명된 것인지 확인한다. (웹브라우저에는 이미 Verisign, Thawte와 같은 널리 알려진 root CA의 인증서가 설치되어 있다) 또한 날짜가 유효한지, 그리고 인증서가 접속하려는 사이트와 관련되어 있는지 확인한다.

4. [웹브라우저] Public Key를 사용해서 랜덤 대칭 암호화키(Random symmetric encryption key)를 비릇한 URL, http 데이터들을 암호화해서 전송한다.

5. [웹서버] Private Key를 이용해서 랜덤 대칭 암호화키와 URL, http 데이터를 복호화한다.

6. [웹서버] 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 이용하여 암호화해서 브라우저로 전송한다.

7. [웹브라우저] 대칭 키를 이용해서 http 데이터와 html문서를 복호화하고, 화면에 정보를 뿌려준다.

Public Key Cryptography(공개 키 암호화 방식)

• 암호 방식의 한 종류로 사전에 비밀 키를 나눠가지지 않은 사용자들이 안전하게 통신할 수 있도록 한다.
• Private Key는 사용자만 알아야 하는 키, Public Key는 외부에 알려진 키 로써 다른 사용자들은 Public 키를 통해서 암호화된 데이터를 전송, 사용자는 Private 키로 복호화 함으로써 안전한 통신을 제공하는 암호기법.

ICMP(Internet Control Message Protocol, 인터넷 제어 메시지 프로토콜)

• 네트워크 컴퓨터 위에서 돌아가는 운영체제에서 오류 메시지를 전송받는 데 주로 쓰이며 인터넷 프로토콜의 주요 구성원 중 하나로 인터넷 프로토콜에 의존하여 작업을 수행한다.
• 프로토콜 번호 1로 할당되고 시스템 사이에 데이터를 교환하지 않거나 최종 사용자에 적용되지 않는다는 점에서 TCP와 UDP와는 다르다.
• 인터넷 프로토콜에 의존적이라서 IPv4, IPv6에 각각 대응되는 ICMPv4, ICMPv6가 존재

ICMP Echo

• 인터넷상의 연결된 호스트가 정상적으로 작동되고 있는지 확인하기위해 호스트에게 전송하는 메세지 (Echo Request)
• 해당되는 호스트가 정상적으로 잘 작동되고 있다는 응답으로 보내는 메세지 (Echo reply)

Broadcast Address

• 메시지를 네트워크의 모든 시스템에 전달(브로드캐스트)하는 데 사용하는 공통 주소, 브로드캐스트 주소는 네트워크 주소 및 서브넷 마스크를 기초로 한다.

Sniffing (Scenario)

1. 다양한 공격 기법을 통해 실제 공격 대상 시스템에 관리자 권한을 얻어낸 후 스니핑 도구를 설치하여 스니핑
2. 공격 대상 기업의 다른 호스트에 대한 접근 권한을 얻어내서 그 호스트를 이용하여 스니핑
3. ISP 장비에 대한 시스템 권한을 얻어내어 스니핑 도구를 설치하여 스니핑

• 하지만 스니핑은 네트워크 트래픽 분석이나 트러블슈팅 등에 사용되며 그 외에도 네트워크 상에 이루어지는 공격을 탐지하는 침입탐지시스템에 쓰일 수 있다.

Switch, Hub

Hub

• 이더넷 네트워크에서 여러 대의 컴퓨터, 네트워크 장비를 연결하는 장치이다.
• 한대의 허브를 중심으로 여러대의 컴퓨터와 네트워크 장비가 마치 별 모양으로 서로 연결되며, 같은 허브에 연결된 컴퓨터와 네트워크 장비는 모두 상호 간에 통신할 수 있게 된다.
• 허브에 라우터나 Layer 3 스위치 등의 장비가 연결되어 있으면 이를 통해 더 높은 계층의 네트워크(WAN, MAN 등)과도 연결이 가능해진다.

Switch

• 스위치는 각 컴퓨터에서 주고 받는 데이터가 허브처럼 다른 모든 컴퓨터에 전송되는 것이 아니라, 데이터를 필요로 하는 컴퓨터에만 전송되기 때문에 허브보다 더 나은 훨씬 향상된 속도를 제공한다.
• 허브처럼 병목 현상이 쉽게 생기지 않는다.
• 대부분의 스위치는 전이중 통신방식(full duplex)을 지원하기 때문에 송신과 수신이 동시에 일어나는 경우 훨씬 향상된 속도를 제공한다.

port monitoring 기능

• 어떤 한 포트에서 보이는 모든 네트워크 패킷 혹은 전체 VLAN의 모든 패킷들을 다른 모니터링 포트로 복제하는데 사용.
• 주로 침입 탐지 시스템이나 패시브 프로브 또는 애플리케이션 성능 관리(Application Performance Management, APM)에 필요한 실사용자 모니터링(Real User Monitoring, RUM) 기술과 같이 네트워크 트래픽을 모니터링 해야하는 네트워크 장비들에서 사용