보안관제 면접질문

 

7계층 정리

OSI 7계층은 기종이 다른 시스템간의 네트워크 호환을 위해 필요한 표준 아키텍처 모델.

1. 물리 계층 : 전기적 신호를 전달해주는 계층. 단위는 비트. 대표적 장비로 더미허브, 리피터

더미허브는 연결된 모든 노드로 전달하는데 호스트의 NIC에서 일반모드일 경우

자신을 목적지로 하는 것이 아니면 모두 폐기. 무차별모드의 경우 받아들임.

 

2. 데이터링크 계층 : 인접 노드 간의 신뢰성있는 통신을 하는 계층. 단위는 프레임. 대표적 장비로 L2 스위치와 브릿지.

L2 스위치는 MAC Address Table을 가짐. 스위치 환경에서는 목적지로만 패킷을 전송하기 때문에

스니핑이 불가능하지만 여기서 스니핑하는 4가지 방법이 있지롱~.

스위치재밍, arp 스푸핑, arp 리다이렉트, icmp 리다이렉트

브릿지는 물리적으로 떨어져있는 동일 랜을 이어줌.

네트워크 계층과 연결하는 LLC와 물리계층과 연결하는 MAC로 세분화 가능.

목적지 노드를 찾아가기 위해서는 호스트 랜카드의 MAC주소가 필요하다.

흐름제어로 슬라이딩윈도우, 정지대기방식.

오류제어로 후진오류수정방식(재전송요청)과 전진오류수정방식(수정정보까지보냄).

회선제어로 회선 구성 방식과 전송 방식을 제어

프로토콜로 이더넷, 토큰링, HDLC, FrameRelay

 

3. 네트워크 계층 : 종단 노드간 “라우팅‘을 담당하는 계층. 단위는 패킷, 대표적 장비로 라우터

라우터는 라우팅 테이블을 이용하며, 최적의 경로를 찾아 패킷을 포워딩

해주는 역할을 하는 장비. Access Control List을 이용하여 기본

적인 보안 기능을 제공.

프로토콜로 IP(TCP/IP), IPX

 

4. 전송 계층 : 종단 노드의 프로세스간 “신뢰성 있는 데이터 전송“을 담당. 단위는 세그먼트

주요 장비로는 L4 스위치. L4 스위치는 서버 로드밸런싱과 페일오버 기능제공.

목적지 프로세스를 찾아가기 위해서 TCP/IP 프로토콜에서는 포트번호를 사용함.

세그먼테이션과 재조합으로 신뢰성보장. 연결지향인 TCP, 비연결지향인 UDP,

종단 노드간 흐름제어, 오류제어, 혼잡제어를 한다.

프로토콜로 TCP, UDP

 

5. 세션 계층 : 어플리케이션간 논리적 연결인 세션 생성,관리, 종료 담당하는 계층

 

6. 표현 계층 : 데이터 표현 방식 변환을 담당하는 계층. 인코딩/디코딩, 압축/해제, 암호화/

복호화

 

7. 어플리케이션 계층 : 사용자가 네트워크에 접근할 수 있는 인터페이스를 담당하는 계층.

네트워크 서버/클라이언트 프로그램. 5,6,7 계층은 전송단위 보통

데이터라고한다.

 

ICMP 프로토콜 : 3계층의 IP 프로토콜은 신뢰할 수 없는 프로토콜이다. 이 단점을 보완하기 위해 나온 것이 ICMP 프로토콜. 네트워크 상태를 진단하거나 오류를 알려준다.

타입3 데스티네이션 언리처블, 타입5 리다이렉션 타입11 타임익시디드

타입8 에코 리퀘스트 타입0 에코 리플라이. (TTL이 윈도우 128 리눅스 64 유닉스 255)

 

IP프로토콜 : 단편화 필드. 3BIT(X Y Z, X : 의미없는필드 Y : don't fragments Z : more

fragments)

 

TCP프로토콜 : stream기반. 연결지향 통신(가상회선의 터널이 연결된 것처럼 통신)

신뢰성. 흐름제어(슬라이딩 윈도우 사용), 오류제어(재전송), 혼잡제어(

UAPRSF. seq넘버와 ack넘버를 통해 순서제어.

 

 

3 way-handshaking : 클라이언트는 요청을 위한 Active Open 상태. 서버는 Passive Open상태.

클라이언트는 SYN 패킷을 보내고 클라소켓은 SYN_SENT 상태.

서버는 SYN 패킷을 받고 SYN_RCVD 상태가되고 SYN+ACK 패킷전송

클라이언트는 SYN+ACK 패킷 받고 ESTABLISHED 상태가 되고. ACK 전송

서버는 ACK를 받고 ESTABLISHED 상태가됨. (소켓의 상태 말하는거)

 

TCP의 재전송과 빠른 재전송. (RTO)

 

4 way-handshaking : 클라이언트는 종료요청을 위한 Active Close 상태. 서버는 Passive Close

클라이언트는 FIN+ACK를 보내고 FIN_WAIT1돌입.

서버는 FIN+ACK를 받고 ACK를 보낸후 CLOSE_WAIT상태가 되고,

클라이언트는 ACK를 받고 FIN_WAIT2상태 돌입. 어플리케이션에서 TCP 연결을 종료하기를 대기.

종료 시 LAST_ACK 상태가 되고 FIN+ACK를 보냄 클라는 FIN+ACK받고

TIME_WAIT 상태가 되고 ACK를 보내고 2 곱하기 (최대 세그먼트 라이프타임)동안

대기 서버는 CLOSE상태가 됨.

(WHY? 마지막 ACK 응답이 서버에 안전하게 전송되었는지 확인. 서버에서 ACK를 받지 못

했다고 FIN+ACK 재전송 할것임)

TCP 세션 하이재킹 – ACK스톰발생 (why? 공격자의 패킷에 대한 응답이 공격자와 클라이언트 둘다에게 전송되면서

교정을위한 ack 패킷을 서로 계속 보내기 때문에 발생.)

UDP프로토콜 : Datagram기반.

 

slow http post dos(rudy) : content-length : 999999

slow http header dos(slowloris) : 헤더 이후 0d 0a를 하나만 줘서 헤더가 안끝났다고 혼동줌.

VPN이란? 공용망을 이용하여 사설망과 같은 서비스를 제공할 수 있도록 구축한 망을 말한다.

터널링: 송신자와 수신자간 외부로부터의 침입을 막기위한 일종의 파이프를 구성하는 것.

VPN프로토콜 종류

OpenVPN : 가장 많이 쓰는 VPN 프로토콜. 무려 오픈소스!

IKEv2 : 기능은 좋으나 많이 사용하지는 않는다. 오픈VPN은 오픈소스. 이건 소스공개X

SSTP : 성능은 좋지만 마이크로소프트 태생..

L2TP : 자체 보안기능이 없어 IPsec과 같이 사용함., CPU부하가 큰 편.

PPTP : 요즘은 사용하지 않는다. MS CHAPv2를 이용하여 취약함.

전송계층보안 SSL/TLS

94년 넷스케이프사. 웹브라우저를 위한 보안 프로토콜로 제안 96년 3.0버전까지 발표

99년에 3.0 버전을 표준화시킨 TLS 1.0 발표

TCP 기반의 어플리케이션의 종단간 보안을 위한 전송계층 보안 프로토콜.

https 443, smtps 465, ftps 990, telnets 992

기밀성, 무결성, 인증을 제공.

SSL/TLS는 크게 2계층으로 나누어진 프로토콜.

1. 상위계층

Handshake : 종단간 보안 파라미터 협상 (

완전 협상 : 세션을 생성

client_hello

server_hello

server_certificate

server_key_exchange

certificate request

server hello done

client_certificate

client_key_exchange

certificate verify

change cipher spec

finished

change cipher spec

finished

단축 협상 : 세션 정보를 공유하는 다수의 연결 생성.

Change Cipher Spec : 보안 파라미터를 적용/변경을 알리기 위한 프로토콜

Alert : SSL/TLS 통신과정중 오류를 통보하기위한 프로토콜

Application Data 프로토콜 : 응용계층의 데이터를 전달하기위한 프로토콜

2. 하위계층

Record 프로토콜 : 적용된 보안 파라미터를 통해 실제 암호화, 압축, 무결성보호

(단편화 압축 MAC추가 암호화)

완전 순방향 비밀성(PFS)

SSL/TLS 통신의 서버 개인키 노출시 문제점 : 과거의 자료를 복호화 할 수 있게됨.

=> 이러한 문제점을 해결하기 위해 등장한 성질. 완전 순방향 비밀성.

키교환시마다 새로운 키를 생성하는 임시디피헬만 키교환, 서버 개인키는 디피헬만 파라미터

를 인증하는 목적으로만 사용. 서버개인키가 노출되어도 통신 내용을 알 수 없게됨.