Domain 4. Communication & Network Security(ISO 의 OSI 7 Layer)

ㅁL7-Application layer : 해당 어플리케이션 (Email.ftp,http 등 ) 에 맞게 사용자 인터페이스(User-to-process Interface) 를 degin 하는 layer

ㅁL6-Presentation layer : 주로 표준화와 관련 있으며 , 암호/복호(encryption/decryption), 인코딩/디코딩을 수행하는 layer -> 포맷의 정의 

ㅁL5-Session layer: 두 어플리케이션간의 대화(dialog)를 어떻게 수행할 건지를 결정하는 layer 로써, Session 의 생성,유지,종료를 수행한다.

- 대화 방법 : full-duplex,half-duplex,simplex

*DNS(domain name system)

1)Dns query

- domain name 을 ip address 로 변환

- UDP 53 포트 사용 

 - iterative query- client 요청 정보 응답

 - recursive query - 다른 DNS 서버 연결

2)zone transfer

-> dns 서버는 가용성을 위하여 이중화를 이용 하며, primary 와 slave간의 동기화를 zone transfer 라고 한다.

2-1) tcp 53 포트 사용 

2-2)기밀성:X. 인증 X 

2-3)공격형태 : dns cache poisoning (흔히 파밍으로 응용)=> cline cache 정보 변조 =>Redirection 현상 발생 

2-4)해결책:DNSSEC(대칭키데이터암호화->기밀성O,인증성 사용 ->인증O)

Q. DNS 가 UDP 를 사용 할 때는 ? =>dns query 사용시 

Q Dns cache posioning 이란 ? =? redirection 발생

*SMTP(simple mail transfer protocol)

- TCP 25 포트 사용, DNS MX record 이용

- SMTP 보안적 문제점

-> authentication 및 encryption 취약 =>ESMTP 지원 가능=>PEM,PGP,S/MIME

-> mail relay(open되지 않도록 처리)->Bad system administration

-> email spoofing

- SPAM

-> sent with invalid sender adress

->send through open mail relay

->sent via virus-infected,backddored hosts

==> 가용성의 문제가 가장 큼 => 예방통제로 관리 필요 => 보안 인식교육(or 훈련)==>관리적으로 처리 해야함 (security awareness)

-Spim: 메신저를 통한 spam

- pop3/imap4=> smtp와 동일하게 취약=>PEM,PGP,S/MIME

*FTP protocol

-transfer mode : active/passive

-tcp 21포트 : 접속 /인증할 때 사용 :control channel

-tcp 20포트:데이터 전송: data channel

-ftp문제점 : 도청가능,평문통신 => SSH(SFTP)사용

-tftp (UDP69 포트) :no authentication

- rlogin , rsh,rcp,telnet 취약 -> ssh 사용

*HTTP(hypertext transfer protocol)

- Stateless => 클라이언트가 서버로 접속 하면 서버는 클라이언트의 정보를 기억 하지 않는다 -> statefull 하게 하기 위해 coockie 사용 

- does not natively support encryption->has a fairely simple authentication mechanism based on domain

- HTTP proxy

- open proxy server-> 인터넷으로 부터 비인가된 접근 요청 -> reverse proxy 사용 

*SNMP (simple naetwork management protocol)

- tcp/udp 161~162

- 오류 발생시 조치가능 =>제어가 가능 

- community string => 변경 필요 

*SSL

- ssl 과 tls의 역할은 거의 유사 하다.

- ssl protocol

1) ssl handshake protocol

=> 보안을 정의 함=> 암호화,키 등=> master(seed key ) 는 client 가 server 에 전송

2) ssl change cipher spec protocol

3) ssl alert protocol

4) http

- 대칭키와 공개키를 혼합합 형태로 운영

실제 데이터 전송은 대칭키를 통해 전달 (공개키가 더 안전 하지만 컴퓨팅 자원을 아끼기 위해서)

ㅁL4 transport layer

-> tcp와 udp 과 같은 성질이 있음 ,pdu: segment, port

- tcp : connection-oriented ,reliable,재전송 ,flow-control(window size)

- udp : connection-less , best-effort

TIP ) L4 -transport-port-segment

        L3-network -ip -packet

        L2-data-line-mac-frame

-flow control :buffer 에 쌓일수 있는 수치->window size->sliding window

udp : kerberos radius tacas

tcp : diameter tacas+

ㅁ L3  network layer :  라우팅을 결정 하는 layer (addressing, fragmentation)

- rip v1: distance vector algoritm, hop count (15) classful

- ripv2: distance vector algoritm hopcount (15) classless

- ospf : link state algoritm,very efficient, large amount of cpu power and memory

* secure /deterministic routing

-> statcic routing

* boundary routuing

-> 내부와 외부를 연결-> 외부 트래픽에 대한 필터링

non-blind-spoofing : 공격자와 희생자가 동일한 서브넷 -> seq,ack number 의 도청 및 예측을 수행

blind-spoofing : ack, seq number 도청 및 예측이 어려움

* ipv6 128bit , with ipsec

* private adress

10.0.0.0 ~10.255.255.255

172.16.0,0~172.31.255.255

192.168.0.0~ 192.168.255.255

A class : 0.0.0.0 ~127.255.255.255

B class : 128.0.0.0~191.255.255.255

c class : 192.0.0.0 ~223.255.255.255

* internet control message protocol

- 패킷이 전송 과정에서 문제점이  발생 하면 해당 시스템이나 라우터가 icmp 메시지를 출발지 시스템에 error 메시지 전송

- 오류만 repoting 해결은 못함 (snmp는 오류 해결 가능)

icmp type 5 -> redirection

==> 누군가 라우팅 테이블을 변경하지 않는 이상 발생 하지 않음 ==> icmp redirection attack

ㅁL2 datalink : physical layer 가 인식 할 수 있도록 header 를 추가 해주는기능 수행 (ethernet , csma/cd)-> frame, 브릿지, 스위치

토폴로지 : bus,tokenring,ring,star,mash 등

*오류탐지:parity check , block sum check , crc

*오류수정

Forewrd error correctionL FEC: 수신측에서 오류 보정 (ex : 벡터 알고리즘)

Backward error correction BEC :재전송

* wan encapsulation : 서로 다른 wan protocol 을 사용하기 위해 header를 encapsulation

* X,25 사용 장비 => PAD

* ISDN ( 전화망 이용 회선 ) 백업으로 사용 됨

=> BRI: 2B+1D

=>PRI:23B+1D

internet : public or pricate with vpn

* Mac : 48bit 의 하드웨어 주소

* ARP : ip 를 가지고 상대방의 Mac 확인

* RARP : mac주소를 가지고 ip 확인

* arp 공격 형태

1) arp cache poisoning=> client or 스위치 의 arp cache 변조 -> redirecton 유발-> arp cache 의 static

2) arp jamming => arp cache table buffer 를 과부하를 통항 broadcast 유발 -> reboot되게 설정 변경

* braodcast 의 문제점 : dos 유발 (FF:FF:FF:FF:FF:FF)

ㅁL1 phsical layer : 상위의 frame 을 bit 로 전송 (repeater, dummy hub, cabling)

* Cabling(유선의 의미)

-종류

--> twist-pair(쌍꼬임선) : utp,stp

--> coax(동축케이블): 가격저렴

--> fiber-optic(광섬유) : 가격이비싸지만 도청 불가능

- cabling issue

1) nosie : 케이블 길수록 발생

==> emc(전자파상쇄) = emc(전자파 받는것)+emi(전자파 보내는것)

2) attenuation(감쇄): 케이블 길수록 signal -> repeater

3) crosstalk(혼선):ghost signal

==> sheiding,twisting or separation

stp: sheiding twist pair

utp : unsheiding twist pair

-tempast: 전자파 채널을 맞추어 전파 수신기로 정보를 해독

Q) tapping 하기 힘들고 emi 없고 케이블 길게 쓸수 있는 것은 ? => fiber-optic

Q)전선 다발 형태로 있을때 발생은 => crosstalk

* Collision domain 과 broadcast domain

collision domain 분리 : repeater 불가능 switch, bridge, router , switch(vlan) 가능

broadcast domain 분리 : repeater,switch,bridge 불가능 , router , switch(vlan) 가능

vlan -> create software-base segment-> 논리적으로 브로드케스트영역을 나눔

do not guarantee a network's security-> vlan hopping

-> vlan tag를 null 로 만들어 vlan 을 무시=> negative vlan 의 필요성

network storage= das(direct), nas(file i/o), san(blcok i/o), ip-san(FCIP,IFCP)

MPLS(multi protocol label switching)

-> 2.5 layer label swiching

MPLS VPN-> 가용성, 기밀성

1)  mpls pseudo-wire

2) mpls l3 vpn

3) mpls vpns

voip (voice over internet protocol)

문제점 : 도청 가능 , 품질 저하

--> voip 는 ip 기반의 보안툴과 금융기관에서 사용하는 공인전자 인증서 수준의 보안대책이 필요 하다

cable tv-> docsic

osi         tcp/ip

=========================

application     application

presentation

session               

transport        host to host

network         internet

datalink        netwrok access           

pysical