보안관리 - 네트워크 보안(이론)

라우팅

 - 패킷을 전송하기 위해 송신측에서 목적지까지의 경로를 정하고 정해진 경로를 따라 패킷을 전달하는 일련의 과정

 - 네트워크 계층 주소(IP주소) 참조

 - 라우팅 알고리즘 : 라우팅 테이블 설정

  1. 정적 라우팅 알고리즘 : 관리자가 라우팅 테이블을 직접 설정 

  2. 동적 라우팅 알고리즘 : 네트워크 환경 변화에 따라 능동적으로 재구성 

 

AS(Autonomous System)

 - 하나의 관리 도메인에 속해 있는 라우터들의 집합

 - IGP(Interior Gateway Protocol)

  1. AS 내에서 라우팅 정보 교환

  2. RIP, OSPF가 IGP에 속한다.

 - EGP

  1. AS간 라우팅 정보 교환

  2. BGP가 EGP에 속함

AS와 EGP, IGP

라우팅 알고리즘 종류

1. 거리벡터 라우팅(DV, Distance-Vector)

 - 거리와 방향을 위주로 만들어진 라우팅 알고리즘

 - 목적지까지의 모든 경로를 자신의 라우팅 테이블에 저장하는 것이 아니라, 목적지까지의 거리(홉 카운트)와 그목적지 까지 가려면 어떤 인접 라우터를 거쳐야 하는 방향만을 저장

 - RIP, IGRP가 거리벡터 라우팅 알고리즘을 사용

거리-벡터 알고리즘

2. 링크 상태 라우팅(LSDB Link-State-DataBase)

 - 자신을 중심으로 전체 네트워크의 토폴로지를 그릴 수 있는 정보DB

   -> 목적지까지 모든 경로 정보를 알고 있다.

 - OSPF가 링크상태 라우팅 알고리즘

링크상태 알고리즘

3. 경로 벡터 라우팅(PV, Path-vector)

 - 소스부터 목적지까지의 경로는 스패닝 트리에 의해 결정

 - 스패닝 트리 : 루프 구조를 가지는 네트워크서 무한루프(무한 뺑뺑이)가 걸리는것을 억제하는 것

 - 최단경로의 에러가 발생시 자동으로 경로를 전환하여 네트워크의 중복 보장의 수단으로 이용

 - 스패닝 트리는 최소비용 트리는 아니다.

 - BGP가 경로벡터 라우팅 알고리즘

 

라우터

 - 동일한 전송 프로토콜을 사용하는 분리된 네트워크를 연결하는 장치

 - 네트워크 계층간 서로 연결

 - 여러 경로 중 가장 효율적인 경로를 선택

 

Cisco ACL(접근통제 리스트) 생성

 - 표준 ACL 

  1. 출발지 주소만으로 ACL 생성

  2. ACL_NO = 1 ~ 99, 1300 ~ 1999

  3. source-wildcard 생략시 0.0.0.0으로 간주

    ※ wildcard mask : 서브넷 마스크를 이진수로 풀었을 때 0으로 된 부분을 모두 1로, 1로 된 부분을 모두 0으로 표기 

  

  - 확장 ACL 

   1. 확장된 필터 제공

   2. 출발지 및 목적지 IP주소와 TCP, UDP, 포트번호를 참조해 패킷 필터링

   3. ACL = 100 ~ 199, 2000 ~ 2699번 사용

 

  - Named ACL

   1. 선언시 번호가 아닌 사용자가 지정한 값을 사용

   2. 빈칸 사용 x, 영문자로 시작해야함 

 

ACL 생성/적용 규칙

 - ACL은 윗줄부터 하나씩 차례로 수행

 - ACL 맨 마지막 라인에 "permit any"를 넣지 않는 경우 default로 어느 ACL과 매치되지 않은 나머지 주소가 deny된다.

   (default = deny all)

 - ACL 새로운 규칙은 맨 마지막에 추가  -> 선택적 추가 / 제거 불가능

 - ACL이 정의되어있지 않는 경우 default = permit any

표준 ACL

확장 ACL

ingress / egress 필터링

 - ingress : 네트워크로 유입되는 패킷에 대한 필터링 작업 수행

 - egress : 네트워크 외부로 나가는 패킷에 대한 필터링 작업 수행

 

null routing

 - 라우터 내부 프로세스에 존재하는 논리 인터페이스

 - 패킷을 논리 인터페이스로 보낸다는 의미 : 패킷을 폐기한다

 - 차단하고자 하는 목적지 IP 또는 IP대역을 null routing으로 설정하면 차단이 가능

 

디폴트 라우팅

 - 경로를 찾을수 없는 경우 모든 패킷을 전송하는 주소

 

RIP

 - IP 통신망의 경로 지정 통신 규약

 - 경유하는 라우터의 대수에 따라 최단경로를 동적으로 결정하는 거리벡터 알고리즘 사용

 - 일반 기업의 구내 정보 통신망(LAN)에 이용되는 경우가 많다

 - RIP version

  1. RIP version 1

    - 인터넷, 인트라넷에 널리 사용되가 있으며 UNIX의 routed가 유명하다.

    - RFC 1058

  2. RIP version 2

    - CIDR에 대응될 수 있도록 기능이 확장

     ※ CIDR : IP 주소 클래스가 없는 도메인간 라우팅 기법, 기존 방식보다 유연성 좋음

    - RFC 1723으로 각각 규정되어 있음