랜카드
랜카드는 단순히 PC 혹은 네트워크에서 전달되는 정보를 상호 교환할 수 있도록 만들어 준다. PC에서 전송 요구가 발생하면 랜카드로 정보를 일정한 형태로 만들어 보내고 랜카드에서는 이 정보를 일단 버퍼에 저장한 다음 네트워크에 맞는 형태로 보낸다.
여기서 PC와 랜카드 사이를 논리적으로 묶어주는 소프트웨어가 필요한데 이를 네트워크 드라이버라고 한다.
허브(Hub)
허브는 오직 물리 계층에서만 동작하는 장치다. 네트워크 내에서 정보를 전달하는 신호는 신호 감쇠가 데이터 무결성을 훼손하기 전까지 고정된 거리를 이동할 수 있다.
리피터는 신호가 너무 약하거나 훼손되기 전에 신호를 수신하여 원래의 비트를 재생하고 증폭시킨다.
현재는 리피터의 기능을 허브, 스위치, 라우터에 공통으로 들어가는 기능이 되어 리피터 단독으로는 찾아보기 힘들다.
허브는 다중 포트 장치로써 필터링 기능이 없으며 어느 포트로 프레임을 전달할지 결정하는 기능도 없다.
브리지(Bridge)
브리지는 패킷 프레임에 대한 인지능력이 있고 OSI의 데이터링크 계층인 MAC에서 동작하며 둘 또는 그 이상의 네트워크를 연결하는데 사용한다.
브리지를 사용하는 목적은 네트워크를 확장시키고 네트워크 통신을 격리시키기 위한 것이다.
네트워크에 장비의 수가 늘어나면 충돌이 발생할 확률도 높아지게 되어 통신속도와 효율이 저하될 수 있다. 따라서 네트워크를 확장하기 위해 충돌 도메인을 나눌 장비가 필요한데 이 장비가 브리지이다.
네트워크를 분산 구성함으로써 보안성을 높일 수 있다.
브리지는 MAC 주소를 기반으로 전송 포트를 결정한다.
스위치(Switch)
스위치는 리피터처럼 전기적 신호를 증폭하며 브리지의 내장 회로와 기능을 가진다.
스위치는 개별 컴퓨터 또는 다른 허브 및 스위치를 연결하는 다중 포트 장비다. 한 포트에 연결된 장치는 다른 포트에 연결된 장치와 고유한 가상 사설 링크를 통하여 통신한다.
스위치 환경에서 특정 포트를 모니터링 하고자 한다면 모니터링 포트 또는 네트워크 트래픽을 모니터링 할 수 있는 탭 장비를 통해 패킷을 복제해서 트래픽 분석 장치로 전달한다.
+ 모니터링 포트
스위치 장비에서 제공해주는 포트로 스위치를 통과하는 모든 패킷의 내용을 복제해서 전달해주는 포트를 말한다. 관리 목적으로 사용되지만 공격자가 물리적으로 스위치 장비에 접근할 수 있다면 스니핑이 가능하므로 취약점이 될 수 있다.
- 스위치의 종류
· 2계층 스위치
모든 포트에 연결된 호스트의 MAC 주소를 학습하며 스위칭 테이블을 생성·갱신한다. 스위치는 이 테이블을 기초로 하여 프레임을 전달한다.
· 3계층 스위치
하드웨어를 사용한 라우터의 한 형태이다.(라우팅 스위치라고도 불림)
크로스바 스위치 같은 ASIC 스위칭 기술을 이용한다.
· 4계층 스위치
포트 번호를 기준으로 패킷을 전송하며 주로 네트워크의 암호화나 애플리케이션 프로토콜에 대한 패킷 필터링에 사용된다.
전송 계층 포트 번호를 통해 응용 계층 서비스를 구분하고 L4 스위치가 관리하고 있는 서버의 부하에 따라 세그먼트를 적절히 배분한다. 이러한 기능을 SLB라고 하며 SLB의 기본 구성은 가상 서버 부분과 실 서버 부분으로 나뉜다.
· 7계층 스위치
L4 스위치가 0~1023번까지의 포트만을 인식하는데 비해 L7 스위치는 그 이외의 포트번호에 대해서도 인식이 가능하다.
L4 스위치와 차이점을 보자면 L4 스위치는 포트 정보를 분석해 해당 패킷이 현재 사용하는 서비스 종류 별로 패킷을 처리하는 반면 L7 스위치는 트래픽의 내용 패턴 등을 분석하여 패킷을 처리한다.
- 스위칭 방법에 따른 분류
스위칭 기술은 전송로직, 스위칭 방법에 따라 Store-and-Forward, Cut-Through, Fragment-Free 방식 등으로 구분한다.
· Store-and-Forward
스위치나 브리지가 일단 들어오는 프레임을 전부 받아들인 다음에 처리를 시작하는 방식이다.
만약 이때 에러가 발견되면 브리지나 스위치는 이 프레임을 버리고 재전송을 요구하기 때문에 복구능력이 뛰어나다.
· Cut-Through
프레임이 다 들어오기를 기다리지 않고 앞에 들어오는 목적지 주소만을 본 다음에 바로 목적지로 전송하기 때문에 처음 48비트(dest addr)만을 보게 된다. 따라서 이전 방식에 비해서 처리가 훨씬 빨라진다는 장점이 있지만 프레임에서 에러를 찾아내기 쉽지 않기 때문에 에러 복구 능력은 약하다.
· Fragment-Free
위의 두 방식의 장점을 결합한 방식으로 전체 프레임이 다 들어올 때까지 기다릴 필요가 없다는 측면에서는 Cut-Through 방식과 유사하지만 처음 48비트만을 보는 것이 아닌 512비트를 보게 된다.(에러 감지 능력이 Cut-Through 보다는 우수)
라우터(Router)
라우터는 3계층 장치로 물리, 데이터 링크, 네트워크 계층에서 동작한다.
라우터를 사용하여 LAN을 구성할 때 라우터는 이기종 LAN 과의 연결, LAN을 WAN에 연결, 라우팅 기능, 에러 패킷에 대한 폐기 등의 기능을 수행한다.
브리지와 다르게 라우터는 네트워크 세그먼트 내부에서 발생하는 브로드캐스팅과 멀티캐스팅 패킷을 모두 차단하여 다른 네트워크 세그먼트로 전달되는 것을 방지하기에 회선을 효율적으로 사용할 수 있다.
라우터는 접근 통제 목록(ACL)에 기반을 두어 트래픽을 필터하고 필요하다면 패킷을 분할할 수 있다.
라우터는 라우팅 프로토콜을 통하여 경로와 네트워크에서 발생하는 변경에 대한 정보를 발견한다. 라우팅 프로토콜들은 라우터에게 링크가 다운되었는지, 특정 경로가 혼잡한지, 다른 경로가 보다 경제적인지를 알려준다.
게이트웨이(Gateway)
게이트웨이는 두 개의 서로 다른 환경을 연결하는 장비에서 실행되는 소프트웨어를 위한 일반적 용어이며 한 환경이 다른 언어를 말하는 경우 번역자로 동작하고 상호작용을 제한하는 역할도 수행한다.
OSI 참조모델의 모든 계층을 포함하여 동작하는 네트워크 장비로서 두 개의 완전히 다른 네트워크 사이의 데이터 형식을 변환하는 기능을 수행한다. 다만 여러 계층의 프로토콜 변환기능을 수행하므로 네트워크 내에 병목현상을 일으키는 지점이 될 수 있다.
VLAN의 구성 및 관리
가상 근거리 네트워크(VLAN)를 물리적인 선이 아닌 스프트웨어에 의해 구성한 근거리 네트워크로 정의할 수 있다.
VLAN 기술의 전체 개념은 LAN을 물리적인 세그먼트가 아닌 논리적인 세그먼트로 분할하는 것이다.
- 특징
데이터링크 계층에서 브로드캐스트 도메인을 나누기 위해 사용하는 기술이다.
스위치는 VLAN 태그가 상이한 네트워크로의 접근을 근본적으로 차단하여 보안성을 유지하게 된다.
VLAN은 관리자가 서로 다른 논리적 그룹에 대해 서로 다른 보안 정책을 적용할 수 있게 한다.
- 종류
· Port 기반 VLAN
포트기반 VLAN은 스위치 포트를 각 VLAN에 할당하는 것으로 같은 VLAN에 속한 포트에 연결된 호스트들 간에만 통신이 가능하다.
· MAC 기반 VLAN
맥어드레스 VLAN은 각 호스트의 맥어드레스를 VLAN에 등록하여 같은 VLAN에 속한 맥어드레스들 간에만 통신이 되도록 하는 방법이다. 이 VLAN은 각 호스트의 맥어드레스를 전부 등록해야 하기 때문에 자주 사용되지는 않는다.
· 네트워크주소 기반 VLAN
네트워크주소별로 VLAN을 구성하여 같은 네트워크에 속한 호스트들 간에만 통신이 가능하도록 구성한 VLAN이다. 주로 IP 네트워크 VLAN을 사용한다.
· 프로토콜기반 VLAN
같은 통신 프로토콜을 가진 호스트들 간에만 통신이 가능하도록 구성된 VLAN이다.
· 멀티캐스트 IP 기반 VLAN
VLAN은 한 그룹에서 다른 그룹으로 이동하는 장비를 줄일 수 있다. 물리적인 재구성은 시간이 걸리며 경비도 많이 들지만 소프트웨어를 이용하면 훨씬 쉬우며 빠르다.
VLAN은 특별한 보안을 제공한다. 같은 그룹에 속한 사람들은 다른 그룹의 사용자들이 메시지를 수신하지 못한다. 확실한 보장 하에 브로드캐스트 메시지를 송신할 수 있다.
'정보보안기사' 카테고리의 다른 글
| 무선통신 보안 - 2 (0) | 2023.04.15 |
|---|---|
| 무선통신 보안 - 1 (0) | 2023.04.13 |
| 라우팅 (0) | 2023.04.09 |
| TCP/IP (0) | 2023.04.07 |
| 네트워크 개요 (0) | 2023.04.04 |
