방화벽의 활용 운영체제에서 동작하는 서버의 방화벽은 서버 보안을 강화하기 위해 최소한의 서비스 포트만 열어둔 채 대부분의 서비스는 차단한다. 방화벽은 일반적으로 필요한 IP 주소와 서비스 포트에 대해서만 열어주고 나머지는 모두 차단하는 화이트리스트 기반으로 정책을 관리한다. 서버에서 동작하는 방화벽도 마찬가지로 운용할 수 있지만 경우에 따라 ssh(22), oracle(1521), mysql(3306)이나 윈도의 공유용으로 사용되는 135,139,445와 같은 주요 포트에 대해서만 차단하는 블랙리스트로 운용할 수도 있다. 방화벽을 반드시 사용해야 하는 경우 서버 방화벽은 운용상의 불편함 때문에 기능 자체를 끄고 사용하는 경우도 있지만 반드시 사용해야 하는 경우도 있다. 데이터 센터 서버의 접근 제한 및 ..
정보 보안의 정의 3대 보안 정의 기밀성(Confidentiality) 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업 무결성(Integrity) 정확하고 완전한 정보 유지 가용성(Availability) 접근 허락 네트워크 보안의 주요 개념 네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것이다. 이때 외부로부터 보호받아야 할 네트워크를 Trust 네트워크, 신뢰할 수 없는 외부 네트워크를 Untrust 네트워크로 구분한다. 한 단계 나아가 우리가 운영하는 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방해야 하는 서비스 네트워크인 경우 DMZ(DeMilitarized Zone) 네트워크라고 부르며, 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다. 네..
가장 기본적인 네트워크 설정 : IP 주소, 서브넷, 게이트웨이, DNS IP 주소 다양한 정보를 많은 네트워크 장치에 설정하는 것이 번거로워 이런 필수 정보를 자동으로 설정해주는 DHCP 기술이 주로 사용됨 서버의 라우팅 테이블 네트워크 장비와 같이 서버에서도 외부 네트워크와 통신하기 위해 라우팅 테이블을 가지고 있음 네트워크 어댑터를 두 개 이상 사용하는 경우 라우팅 테이블 조정 필요 목적지, 서브넷, 게이트웨이, 인터페이스, 우선순위 설정 네트워크 확인을 위한 명령어 ping IP 네트워크를 통해 특정 목적지까지 네트워크가 잘 동작하고 있는지 확인하는 네트워크 명령어 ICMP 인터넷 프로토콜 사용. ICMP의 제어 메시지를 통해 여러 가지 네트워크 상태 파악 가능 tcping tcping을 통해 p..
DNS 소개 데이터 프로토콜이 잘 동작하도록 도와주는 컨트롤 프로토콜임. 도메인 주소를 IP 주소로 변환 구조와 명명 규칙 각 계층의 도메인은 “.”으로 경계를 표시함 뒤에서부터 Root(.)(생략함), Top-Level Domain(TLD), Second-Level Domain, Third-Level Domain 최대 128계층까지 구성할 수 있고, 계층별 길이는 최대 63바이트까지 사용할 수 있음 구분자 “.”를 포함한 전체 도메인 네임의 길이는 최대 255바이트까지 사용할 수 있음 동작 방식 DNS 서버에 도메인 쿼리 DNS 서버 없이 로컬에 도메인과 IP 주소를 직접 설정해 사용 클라이언트에서 처음 질의를 받은 DNS가 중심이 되어 책임지고 루트 DNS부터 상위 DNS에 차근차근 쿼리를 보내 결괏..
4계층 장비는 TCP와 같은 4계층 헤더에 있는 정보를 이해하고 이를 기반으로 동작함, 세션 테이블과 그 안에서 관리하는 세션 정보가 중요함 세션 장비가 최우선적으로 고려할 요소 세션 테이블 세션 장비는 세션 테이블 기반으로 운영됨 세션 정보를 저장, 확인하는 작업 전반에 대한 이해가 필요함 세션 정보는 세션 테이블에 남아 있는 라이프타임이 존재함. 이 부분에 대한 고려가 필요함 Symmetric(대칭) 경로 요구 Inbound와 Outbound 경로가 일치해야 함 정보 변경(로드 밸런서의 경우) IP 주소가 변경되며 확장된 L7 로드 밸런서(ADC)는 애플리케이션 프로토콜 정보도 변경됨 로드밸런서 서버나 장비의 부하를 분산하기 위해 사용하는 장비 L4 로드밸런서, L7 로드밸런서로 나눌 수 있음 L4 ..
최근 기술의 발달로 라우터와 L3 스위치를 구분하기는 어려움 라우터의 동작 방식과 역할 경로 지정 라우팅/스위칭 홉-바이-홉 라우팅 라우팅 다이렉트 커넥티드 : IP 주소를 입력할 때 IP 주소와 속한 네트워크 정보를 알 수 있고, 라우터나 PC에서 이 정보로 라우팅 테이블 자동 생성 스태틱 라우팅 : 관리자가 목적지 네트워크와 넥스트 홉을 라우터에 직접 지정 다이나믹 라우팅 : 라우터끼리 자신이 알고 있는 경로 정보나 링크 상태 정보를 교환해 전체 네트워크 정보를 학습함 스위칭 패킷이 들어와 라우팅 테이블을 참조하고 최적의 경로를 찾아 라우팅 외부로 포워딩 롱기스트 프리픽스 매치로 가장 가까운 경로 선택 라우팅, 스위칭 우선순위 존재 가중치 존재 브로드캐스트 컨트롤 : 들어온 패킷의 목적지 주소가 라우..
스위치 장비 동작 방식 플러딩 어드레스 러닝 포워딩/필터링 VLAN 포트 기반 VLAN MAC 기반 VLAN VLAN 모드 동작 방식 한 대의 스위치에 연결되더라도 서로 다른 VLAN이 설정된 포트 간에는 통신이 불가능함. 서로 다른 VLAN 간 통신을 위해서는 3계층 장비를 사용해야 함 스위치 포트에 VLAN을 설정하여 네트워크를 분리 여러 개의 VLAN이 존재하는 상황에서 스위치를 서로 연결해야 하는 경우에는 각 VLAN끼리 통신하려면 VLAN 개수 만큼 포트가 필요함 → 해결책이 태그 포트, 해결책이 태그 포트 태그 포트는 통신할 때 이더넷 프레임 중간에 VLAN ID 필드를 끼워 넣어 이 정보를 이용함 STP 스위치 두 대로 네트워크를 디자인하지만, 두 대 이상의 스위치로 디자인하면 패킷이 네트워..
