정보보안기사 필기 3-1. 네트워크 보안(OSI 7 Layer, 캡슐화, 다중화)

정보보안기사 필기 3-1. 네트워크 보안(OSI 7 Layer, 캡슐화, 다중화)

1. 프로토콜(Protocol)

데이터를 주고받기 위해서는 어떤 형식의 데이터를 어떻게 주고받을 지에 대한  '약속'이 필요하다. 

 1) 개요

• 시스템 간에 통신을 하기 위한 규약(약속)
• 프로토콜은 구문, 의미, 타이밍으로 이루어져 있다.

 2) 프로토콜의 구성요소

• 구문 : 송수신 데이터 포맷을 의미한다.
• 의미 : 데이터의 각 항목이 가지는 의미를 의미한다.
• 타이핑 : 데이터 송수신 동작방식을 정의하는 것을 의미한다.

 

2. OSI 7 Layer

[ 그림 2-1. OSI 7 Layer ]

 1) 개요

• 국제 표준화 기구(ISO)에서 제정한 개방형 시스템간의 상호연결(OSI:Open System Interconnection) 모델

개방형 시스템 : 인터페이스와 프로토콜이 표준화 되어 이기종(다른) 시스템과 상호연동이 가능한 시스템을 말한다.

• 분산된, 이기종 시스템간의 네트워크 상호호환을 위해 필요한 표준 아키텍처를 정의한 참조모델
• 어떤 목적을 위해서 하나의 큰 프로토콜을 설계하는 것이 아닌, 계층적으로 나누어진 여러 프로토콜을 조합하여 그 목적을 수행하는 방식으로, 어려운 문제를 잘게 나누어 해결한다는 의미의 '분할 정복' 접근 방식이라고도 한다.
• 각 계층별로 표준화를 함으로써 상/하위 계층 간에 인터페이스만 충족시켜주면 다양한 제조사(Vendor)들에 의한 독자적인 계층별 프로토콜의 구현 및 발전을 이룰 수 있다.
• 상/하위 인터페이스를 맞춰 큰 프레임을 완성시키면서 기능을 세분화시키게되면 각 계층별 독자적인 발전을 이룰 수 있다는 의미이다.

---

 2) 계층별 특징

  2-1) 물리 계층(Physical Layer, L1)

• 물리적 장치의 전기적, 전자적 연결에 대한 명세
• 디지털 데이터를 물리적인 연결경로를 통해서 LAN카드에 전압을 발생시켜 전송하게 되는데 이러한 전기적인 신호로 변환하여 입출력을 담당하는 계층이다.
• 1계층은 주소정보가 없어 목적지를 인식할 수 없으며 전기적인 신호만을 연결된 모든 노드에게 전달한다.
• PDU(Protocol Data Unit) : 비트(bit) 또는 signal

주요 네트워크 장비

• HUB(허브) : 들어온 신호를 연결된 모든 포트로 전달하는 중계장치이다. EX) 더미허브(Dummy Hub)
• REPEATER(리피터) : 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계장치 이다.
• NIC(Network Interface Card)
  • 일반/기본 모드 : 패킷을 수신하였는데 목적지 MAC 주소가 수신한 PC의 MAC 주소가 아니면 폐기해버린다.
  • Promiscuous(무차별) / Promisc 모드 : 수신된 패킷은 수신한 PC의 MAC 주소가 아니더라도 무조건 수신하게된다. → 더미 허브 환경에서 손쉽게 스니핑할 수 있게 된다.

 

---

 

  2-2) 데이터링크 계층(Datalink Layer, L2)

• Node-To-Node Delivery, 인접한 노드간의 신뢰성 있는 프레임 전송을 담당하는 계층이다.
• 인접노드(adjacent node)간의 신뢰성 있는 통신을 담당하며 최종 목적지 노드에 도달하기 위해서는 각각의 노드 간에 프레임에 대한 주소설정(MAC 주소)이 이루어진다. (End-To-End 간의 신뢰성 있는 통신을 담당하지 않는다.)

[ 그림 2-2. Node to Node Delivery ]

• MAC(Media Access Control) 주소 
  • 물리적인 주소 : 하드웨어에 직접 설정되어 변경이 불가능한 주소를 말하며 NIC 내 정보가 들어있다.
  • 48 bit(6 byte)로 구성되어 있으며, 상위 24 bit(3 byte)는 제조사 식별코드, 하위 24 bit(3 byte)는 제조사 일련번호를 조합하여 유니크한 주소를 생성한다.
  • 논리적인 주소 : 사용자가 설정 및 변경이 가능한 주소, 즉 논리적인 주소를 가지고는 목적지를 찾아갈 수 없다.
• IEEE 802 표준에서는 LAN상의 데이터링크 계층을 LLC(Logical Link Control)와 MAC(Media Access Control)의 두 하위 계층으로 세분화한다.
  • LLC(Logical Link Control) : 네트워크 계층과의 연결을 담당하는 계층으로 상위 계층으로 안전하고 정상적인 데이터를 전달하기 위해 데이터 오류 검출 및 상위 프로토콜에 대한 타입 확인을 진행한다.
  • MAC(Media Access Control) : 물리적 계층과의 연결을 담당하는 계층으로 신호변환을 통해 물리적 계층과 연결하고 MAC 주소를 통해 주소를 확인하여 정상적으로 데이터가 송수신되고 있는지 확인한다.
• PDU(Protocol Data Unit) : 프레임(Frame)

Preable (7)

SFD (1)

DST Address (6)

SRC Address (6)

Length/Type (2)

Payload (46-1500)

Frame Check Sequence (CRC)(4)

• 대표적인 프로토콜 : Ethernet, TokenRing, FDDI, X.25 등
• 신뢰성 있는 전송이란, 데이터를 목적지까지 오류나 손실 없이 전달되는 것을 보장하는 것으로 인접노드간의 신뢰성 있는 통신을 보장해준다.

신뢰성 전송을 보장해주는 기능

• 흐름제어(Flow Control) : 수신노드의 처리속도를 고려하여 이를 초과하지 않도록 전송을 제어한다.
  • 정지 - 대기(Stop and Wait) 방식 : 송신측에서 프레임을 전송한 후 확인응답(ACK)을 받을 때까지 대기하는 방식
  • 슬라이딩 윈도우(Sliding Window) 빙식 : 수신측의 수신가능한 범위내에서 여러 프레임을 전송하는 방식
• 오류제어(Error Control) : 전송중에 여러가지 원인에 의한 오류나 손실발생시 이를 해결하기 위한 제어방식
  • 후진오류수정방식(BEC, Backward Error Correction) : 송신측에서 데이터 전송시 오류를 검출할 수 있는 부가정보를 함께 전송하여 수신측에서 이를 점검하여 오류가 발생시 재전송을 요청하는 방식. (ARQ:Automactic Repeat Request)라고도 한다.
  • 전진오류수정방식(FEC, Forward Error Correction) : 재전송이 불필요한 전송방식으로 송신측에서 데이터 송신시에 오류의 검출 및 수정까지 가능한 부가정보를 담아서 보내는 방식.
• 회선제어(Line Control)
  • 회선구성방식 : 둘 이상의 장치가 하나의 링크에 연결되는 방식. (점대점, 다중점 등)
  • 전송방식 : 연결된 두 개의 장치간에 신호 흐름의 방향을 정의. (단방향, 반이중, 전이중)

주요 네트워크 장비

• L2 Switch(스위치)
  • 스위치는 내부적으로 스위치 포트에 연결된 노드의 MAC 정보를 가지고 있는 MAC Address Table을 가지고 있다. 이 정보를 참조하여 목적지 MAC주소의 포트에 연결된 노드에게만 패킷을 전송한다.
  • 스위치 환경에서는 기본적으로 목적지로만 패킷을 전송하기 때문에 스니핑이 불가능하다.
  • 이러한 환경에서 스니핑을 하기위해서는 스위치 재밍, ARP Spoofing 등 다양한 공격기법이 존재한다.
  • 또한 스위치 장비에는 관리목적으로 스위치를 통과하는 모든 패킷의 내용을 복제해서 전달하는 SPAN/Monitoring 포트가 있다. 
• TAP,Test Access Port 장비
  • 네트워크 상에서 전송되는 패킷을 네트워크 흐름에 영향을 주지 않고 중단없이 모니터링하기 위한 장비

스위치 환경에서의 스니핑 기법

• 스위치 재밍(Swtich Jamming) / MAC Flooding 기법
  • 스위치 MAC Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법
  • 스위치는 FailSafe/Open 정책을 따르는 장비로, 장애가 발생하면 더미허브처럼 연결된 모든 노드에게 패킷을 전송한다.
  • 네트워크 장비 장애 관련 보안정책
    1. Fail Safe (장애안전) : 장애 시 모든 기능을 허용하는 정책. (가용성 > 보안성)
    2. Fail Secure (장애보안) : 장애 시 모든 기능을 차단하는 정책. (가용성 < 보안성)
• ARP 스푸핑(Spoofing) 공격
  • 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 지속적으로 피해자에게 전송하게 되면 피해자의 ARP Cache Table에 특정 호스트의 MAC 정보가 공격자의 MAC 정보로 변경된다.
  • 희생자들이 스니핑을 인식하지 못하고 정상적인 통신이 될 수 있도록 IP Forward 기능을 활성화시켜준다.
  • IP Forward 기능을 활성화하면 라우터처럼 동작하여 자신의 목적지가 아닌 패킷에 대해서 폐기가 아닌 라우팅테이블을 참조하여 해당 목적지로 전송하게 된다.
• ARP 리다이렉트(Redirect) 공격
  • 공격자가 단말기들의 외부로 통신하는 패킷을 스니핑하고 싶을때, 자신이 라우터/게이트웨이인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 대상 네트워크에 지속적으로 브로드캐스트하면 해당 로컬 네트워크의 모든 호스트의 ARP Cache Table에 라우터/게이트웨이의 MAC 정보가 공격자의 MAC 정보로 변경된다. 
• ICMP 리다이렉트(Redirect) 공격
  • ICMP Redirection 메시지는 호스트 라우터 또는 라우터간에 라우팅 경로를 재설정하기 위해 전송하는 메시지이다.
  • 특정 IP 또는 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 피해자에게 전송함으로써 피해자의 라우팅 테이블을 변조하여 패킷을 스니핑하는 공격기법이다.
  • 실제 운영체제에서 default로 허용하지 않아 거의 불가능한 공격기법이다.
  • 다른 공격과 다르게 해당 공격은 피해자의 ARP Cache Table이 아닌 Routing Table에 대한 공격기법이다.

 

---

 

  2-3) 네트워크 계층(Network Layer, L3)

• End-To-End Delivery, End 노드간의 라우팅을 담당하는 계층으로, Host-To-Host Delivery 라고도 한다.
• End 노드와 End 노드간 데이터 경로를 설정해서 전달해주는 역할이 네트워크 계층의 역할이다.
• 또한 최종 목적지 노드를 찾아가기 위해서 노드에 대한 논리적인 주소가 필요한데 TCP/IP 프로토콜에서는 IP주소가 이 역할을 수행하고 있다.
• 경로가 잡혔으면, 실제로 노드간의 데이터 전송을 담당하는 계층은 MAC 주소를 이용하여 데이터 링크 계층에서 이루어진다.
• PDU(Protocol Data Unit) : 패킷(Packet)

주요 네트워크 장비

• Router(라우터) / L3 Switch
  • 라우팅(라우팅 프로토콜을 이용하여 최적의 경로를 선정해서 패킷을 포워딩하는 기능)을 담당하는 장비
  • 데이터 링크 계층의 브로드캐스트와 멀티 캐스트를 포워딩하지 않으며, 서로 다른 VLAN간의 통신을 가능하게 하고, 기본적인 보안기능(ACL)과 QoS 관련 기능을 지원한다.
• VLAN 나누는 기법
  • 포트기반의 VLAN, MAC 기반의 VLAN, 네트워크 ID 기반의 VLAN, 프로토콜 기반의 VLAN

 

---

 

  2-4) 전송 계층(Transport Layer, L4) 

• End-To-End Reliable Delivery, End 노드간의 신뢰성 있는 데이터 전송을 담당하는 계층
• 각 End 노드의 해당 Process간 신뢰성 있는 데이터 전송을 담당하는 계층으로 Process-To-Process Communication이라고도 한다.
• 목적지 노드(Process)를 찾아가기 위해서는 Process를 식별하기 위한 논리적인 주소가 필요하며 TCP/IP 프로토콜에서는 Port Address(2 byte)가 이 역할을 수행한다.
• PDU(Protocol Data Unit) : 세그먼트(Segment)

[ 그림 2-3. 계층간 통신 영역 ]

Port Number

• Well-Known Port : 0 ~ 1023, 서비스 할당
• Registered Port : 1024 ~ 49151, 제조사 할당
• Dynamic Port : 49152 ~ 65535, 사용자 할당

신뢰성 있는 데이터 전송을 보장하기 위한 기능

• 분할(Segmentation)과 재조합(Reassembly) : 조건에 따라 원본 데이터를 전송가능한 세그먼트 단위로 분할하여 전송하면 목적지에서는 이를 재조합하여 원본 데이터를 복원한다.
• 연결제어(Connection Control) : 연결지향(TCP)과 비연결지향(UDP) 방식을 제공한다.
• 흐름제어(Flow Control) : 양 종단 노드간에 수신할 수 있는 만큼의 데이터만 전송하여 제어하는 방식
• 오류제어(Error Control), 혼잡제어(Congestion Control)

주요 네트워크 장비

• L4 Switch : SLB(Server Load Balancing) 즉 서버 트래픽 부하분산과 Failover(장애극복) 기능을 제공하는 장비

 

---

  2-5) 세션 계층(Session Layer, L5)

• Application 간 물리적인 연결인 세션의 생성, 관리 및 종료를 담당하는 계층

---

  2-6) 표현 계층(Presentation Layer, L6)

• 데이터 표현방식 변환을 담당하는 계층
• 인코딩, 디코딩, 압축 등

---

  2-7) 응용 계층(Application Layer, L7)

• 사용자가 네트워크에 접근할 수 있는 인터페이스를 담당한다.
• 5 ~ 7계층 데이터 단위를 데이터라고 한다.

 

3. OSI 모델 데이터 교환 방식

 1) 캡슐화(Encapsulation) / 역캡슐화(Decapsulation)

• 상위 계층의 데이터가 하위 계층으로 보내지면, 하위 계층 프로토콜은 자신의 기능 수행을 위해 필요한 부가정보(헤더)를 추가해서 새롭게 전송 메시지를 만들어 하위 계층으로 보내는 기능을 캡슐화라고 한다.
• 수신측에서 상위 계층으로 데이터를 보낼때 하위 계층의 헤더정보를 확인한 후 이를 제거하고 상위 계층으로 데이터를 보내는데 이를 역캡슐화라고 한다.

 

 2) 다중화(Multiplexing) / 역다중화(Demultiplexing)

• 다중화는 하나의 기능(매체)을 여러 영역에서 동시에 사용하는 기법
• 역다중화는 공유하는 기능(매체)으로부터 개별영역으로 분할하는 기법을 의미한다.

TCP/IP 계층별 다중화/역다중화 프로토콜 식별자

• Network Interface Layer(1~2 계층) - Internet Layer(3계층)
  • Frame 헤더의 Type 필드에 상위 프로토콜(IP, ARP, RARP) 식별자가 들어있다.
• Internet Layer(3계층) - Transport Layer(4계층)
  • IP 헤더의 Protocol 필드에 상위 프로토콜(TCP, UDP, ICMP) 식별자가 들어있다. 
• Transport(4계층) Layer - Application Layer(5~7계층)
  • TCP/UDP 헤더의 DST Port 필드에 상위 프로토콜(FTP, HTTP 등) 식별자가 들어있다.