갱스터의 블로그

방화벽(Firewall) 외부에서 내부로 많은 패킷이 이동하는데, 이때 위험하거나 이상한 패킷이 들어올 수도 있다. 사설 네트워크에서 데이터를 받을 때, 일부 패킷은 통과시키고 다른 패킷을 차단시키는 기능을 방화벽이라고 한다. 이러한 방화벽은 안전한 시스템을 구축하기 위한 목적이다. Firewalls: why 이러한 방화벽은 왜 도입되었을까? - 서비스 거부 공격 방지 SYN flooding는 TCP 연결 시 사용되는 SYN 신호를 이용하여 공격하는 방법이다. TCP에서 SYN 신호는 TCP 연결을 생성하겠다는 의미이기 때문에 SYN 하나 당 소켓을 하나씩 사용하게 된다. 따라서 SYN 신호를 계속 전송하여 TCP 연결 요청이 많이 오게 되면 그 서버가 죽을 수도 있다. 지금은 이러한 공격은 운영체제 차..

IP Sec IP Sec(IP Security)은 IP 패킷 자체를 암호화하는 알고리즘이다. encryption(암호화), authentication(인증), integrity(무결성)를 제공한다. TCP 연결 시 TLS를 사용하여 암호화를 진행하지만, BGP라우터 또는 DNS에 패킷을 가로챌 수 있다. TLS 1.2의 경우 데이터가 암호화되어 내용이 보이진 않지만 SNI 필드로 인해 해당 패킷이 어디를 향하는지 확인할 수 있다. 이러한 상황을 ip단에서 막기 위해 등장하였다. IPSec은 두 가지 모드가 있다. - transport mode PC 사이 즉 호스트 간의 통신 시의 트랜스포트를 암호화한 것이다. 즉, 데이터그램의 페이로드 부분만을 암호화 및 인증한다. - tunnel mode 도메인 간 라..

기밀성(confidentiality) 메일과 같은 메세지 전송 시 내용을 키를 사용하여 암호화를 진행한다. 메세지 수신자는 메세지의 내용을 읽기 위해 키가 필요한데, 키를 전달하기 위해 공개키 알고리즘을 이용한다. 이때, 메세지의 내용은 개인키 또는 대칭키로 암호화/복호화가 가능하다. 보통은 대칭키를 생성한 후, 이 대칭키로 메세지 내용을 암호화한 후 대칭키를 공개키로 암호화한다. 암호화된 대칭키는 메세지와 함께 전송된다. Secure e-mail: 무결성(integrity), 인증(authentication) 이 시나리오는 무결성과 인증까지 보장하는 시나리오다. 1. 송신자는 메세지를 해시하여 MAC를 획득한다. 2. MAC를 개인키로 암호화한다. (전자서명) 3. 메세지와 서명한 MAC를 대칭키 Ks..

Digital Signatures 앞 포스트에서 언급했듯이 사용자를 증명하기 위해 전자서명이 사용된다. 그런데, 전자서명으로 인증할 때에 일부 데이터를 해싱하여 사용한다고 언급하였다. 일부 데이터를 해싱 함수에 넣은 결과값을 digest(다이제스트)라고 한다. 디지털 서명을 송신하기 위한 간단한 방법은 아래와 같다. 이 결과값이 수신자와 동일하면 데이터가 손상이 되지 않았다는 의미로 무결성이 보장됐다는 의미이다. 서명된 디지털 문서는 검증이 가능하고, 위조 불가능하다는 특징을 갖고 있다. 서명된 문서를 받은 수신자는 송신자 제외 그 누구로 디지털 문서에 서명하지 않았음을 증명할 수 있다. 메세지 m에 대한 디지털 서명은 송신자의 개인키 암호화가 진행되는데, 송신자의 개인키로 암호화를 진행하는 것이 디지털..

암호(cryptography) 기초 용어 - m: plaintext message (평문) - KA(m): ciphertext (암호문), 키 KA로 암호화 - m = KB(KA(m)) -> 복호화 암호 깨기 암호문을 전문적으로 깨는 방법(cipher-text only attack)이 존재하는데, 두 가지의 접근 방법이 있다. - brute force 무차별 대입법이라고도 불리는 이 방법은 말 그대로 나올 수 있는 경우의 수들을 모두 대입해보는 방법이다. - statistical analysis 통계적 분석 방법은 쓰이는 알파벳이나 단어들을 우선적으로 대입해보는 방식이다. 그 외에도 아래와 같은 방법이 존재한다. - known-plaintext attack 공격자가 평문(plaintext)과 암호문(ci..

Transport-layer security (TLS) http 등 응용 계층 등에서 보안이 필요하다. 이런 경우 응용단 하나를 만들 때 암호화 기능 하나씩 생성하면 필요성이 만족된다. 하지만, 표준이 존재하면 각자 암호화를 하는 수고를 덜 수 있는데, 전송 계층에서 사용할 수 있는 보안 표준이 TLS이다. 전송 계층에서의 보안은 여러 가지 응용의 보안을 지원하는데, 온라인 웹에서는 은행, 상거래, 이메일 등에도 구현이 되어 있다. 암호화는 보통 대칭키를 사용한다. 대칭키로 서로 대응되는 암호화 키와 복호화 키를 사용해 암호화를 진행한다. 대칭키를 통해 암호화를 진행하여 데이터의 기밀성이 지켜져야 한다. 암호화가 만족되기 위해서는 데이터에 대해 무결성(integrity)이 지켜져야 한다. 무결성이란 데이..

우리는 앞선 포스트를 통해 intra-AS routing 방법인 RIP와 OSPF에 대해 학습하였다. RIP와 OSPF는 도메인 내에서 패킷을 전달할 수 있는 최단경로를 찾는다. Inter-AS routing: BGP BGP는 Border Gateway Protocol의 약어로 inter domain routing protocol, 즉 도메인 간의 라우팅 프로토콜이다. 예를 들어 충남대 KT, KT SKT 브로드밴드 등과 같다. 이때, 외부 인터넷과 연결되는 사이 라우터를 Gateway라고 한다. BGP 프로토콜은 아래와 같이 두 가지로 나뉜다. - eBGP eBGP는 external BGP로 외부 라우터와 subnet reachability information을 전달받는다. 따라서 외부와 연결되어 있..

Autonomous System(AS)은 하나의 관리자에 의해 운영되는 자유롭게 네트워크를 꾸밀 수 있는 권한이 있는 구간이다. AS는 아래와 같이 두 가지로 나뉜다. intra-AS (= intra domain) AS의 모든 라우터는 동일한 도메인 내의 프로토콜을 실행해야 한다. 서로 다른 AS의 라우터의 동작법은 서로 다를 수 있다. gateway router를 통해 다른 intra domain과 연결될 수 있다. inter-AS (= inter domain) gateway는 도메인 간 라우팅(및 도메인 내 라우팅)을 수행한다. 위 사진에서 각각 AS1, AS2, AS3은 intra AS이다. 그리고 각각 intra AS를 이어주는 것이 inter AS인데, 해당 라우터에는 Intra-AS routi..

네트워크 계층 함수 - forwarding (data plane) 라우터의 입력으로 들어온 패킷을 적절한 라우터 출력으로 이동시킨다.(HW) - routing (control plane) 출발지에서 목적지까지 패킷의 경로를 지정해준다.(SW) 네트워크의 제어 영역을 구성하는 방법으로는 두 가지 접근방식이 존재한다, 1. per-router control (traditional) 2. logically centralized control (software defined networking) Per-router control plane 위 알고리즘은 각 라우터마다 라우팅 알고리즘을 수행한다. 따라서 모든 라우터는 각각의 라우팅 알고리즘과 포워딩 테이블을 보유하고 있어 모두 직접 라우팅을 통해 경로를 찾으면 ..

공유기(Network Address Translator) 공유기는 공인 IP 주소와 사설 IP 주소를 서로 변환해주는 역할을 한다. Network Address Translator(NAT)가 이용하는 사설 IP 주소는 아래와 같다. 위 사진은 NAT를 통해 사설 IP와 공인 IP를 변환해주는 모습이다. 주소 번역 예 사설 IP 주소 + 포트 번호 변경 (사설 -> 공유기) 위 그림에서도 NAT를 통해 사설 IP가 공인 IP로 변환되고 있는 모습을 보여준다. 이때 IP 뿐만 아니라 포트번호도 함께 변화하고 있다. 사설 IP 주소 + 포트 번호 변경 (외부 -> 공유기) 위 그림에서도 마찬가지로 NAT를 통해 공인 IP가 사설 IP로 변환되고 있는 모습을 보여준다. 포트 변호도 함께 변환되고 있으며 이러한 ..