해당 명령어들은 네트워크에 서버를 처음 연결할 때 서버의 네트워크 설정을 확인하기 위해 사용하기도 하지만 갑자기 서버가 정상적으로 통신되지 않을 때 유용하게 사용 가능하다. ping(Packet IntetNet Groper) ping은 IP 네트워크를 통해 특정 목적지까지 네트워크가 잘 동작하고 있는지 확인하는 명령어이다. 상대방 호스트가 살아 있는지 , 두 호스크 간의 통신을 위한 라우팅 경로가 정상인지 확인하는 것이 목표이며 ICMP(Internet Control Message Protocol)라는 인터넷 프로토콜을 사용한다. ICMP : 인터넷 프로토콜의 비신뢰적인 특성을 보완하기 위한 프로토콜로 IP 패킷 전송 중 에러 발생 시 에러 발생 원인을 알려주거나 네트워크 상태를 진단해주는 기능을 제공(..
VPN은 물리적 전용선이 아닌 공중망을 이용해 논리적으로 직접 연결한 것처럼 망을 구성하는 기술이다. 이렇게 논리적으로 만들어주는 통로를 터널(Tunnel) 이라 하며 VPN을 이용하기 위해 터널을 이용한다. 주로 인터넷과 같은 공중망을 전용선과 같은 사설망처럼 사용하므로 강력한 보안을 제공해야 한다. 그래서 IPSEC, SSL 과 같은 암호화 기법을 제공하는 프로토콜이 적용된다. 전용 회선과 VPN 전용 회선은 종단 간에 직접 연결하지만 데이터가 그대로 흐르므로 암호화가 되지않는다. 그래서 VPN을 추가로 구성하여 데이터를 암호화한다. 이때 데이터 암호화는 VPN 장빅 아닌 애플리케이션 단에서도 가능하다. 일반적으로 본사-지사처럼 네트워크 대 네트워크 연결에는 IPSEC VPN 기술이 사용되고 개인 사..
방화벽이 대중화되면서 새로운 형태의 공격이 나타났는데 이 공격의 목적은 정상적인 서비스가 불가능하도록 방해하는데 초점이 맞추어져 있다. 이를 DoS(Denial of Service) 공격이라 한다. 여기서 더 발전해 다수의 공격자를 만들어 동시에 DoS 공격을 하는 분산형 DoS인 DDoS 공격방식이 등장해 이를 방어하기 위해 DDoS 전용 장비가 만들어졌다. DDoS 방어 장비의 정의 초기 DDoS 공격은 시스템이나 네트워크 장비의 취약점이 타깃이였지만 점점 인프라 기반 서비스 제공 영역까지 확대되었을뿐더러 다양한 방식의 DDoS 공격까지 나오며 대응하기 어려웠다. 이를 대응하기 위해 다양한 DDoS 공격을 방어하기 위한 전문적인 장비의 필요성이 대두됬고 이때 DDoS 방어 장비가 등장했다. DDoS ..
방화벽은 네트워크 보안을 위해 필수 솔루션이지만 3, 4 계층만 방어하므로 애플리케이션 계층에서 이루어지는 공격을 방어할 수 없다. 여기서 애플리케이션 공격이라 함은 예를 들어 웹 서비스를 제공하기 위해 TCP 80 포트를 외부 사용자에게 공개해야 하는데 Apache나 IIS 서버의 취약점을 악용한 공격을 할 수 있는 것을 말한다. 이때 방화벽에서 구분해 필터링하고 모니터링 할 수 없다. 이를 개선하기 위해 IDS와 IPS가 개발되었다. IPS, IDS의 정의 IDS(Intrusion Detection System:침입 방지 시스템)는 공격자가 시스템을 해킹할 때 탐지를 목적으로 개발된 시스템이다. 공격에 직접 개입, 방어하지 않고 트래픽을 복제해 검토하여 침입 여부를 판별한다. IPS(Intrusion..
방화벽의 정의 네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 주어진 정책 조건에 맞추어 허용하거나 차단하는 장비를 방화벽이라 한다. 일반적으로 방화벽은 네트워크 3, 4 계층에서 동작하며 세션을 인지하는 상태 기반 엔진(Stateful Packet Inspection, SPI)으로 동작한다. 초기 방화벽 초기에는 패킷의 인과 관계를 확인하지 못하고 장비에 등록된 정책만으로 단순히 패킷을 필터링했다. 이러한 방화벽을 스테이트리스(Stateless) 또는 패킷 필터(Packet Filter) 방화벽이라고 한다. 패킷이 장비에 인입되면 해당 패킷이 방화벽에 설정된 정책에 일치되는 것이 있는지 확인하는데 이때 참고하는 조건을 5-튜플(5-Tuple)이라고 한다. 5-튜플은 패킷의 3, 4계층 헤더..
정보 보안의 정의 IT에서의 정보 보안은 "우리가 생산하거나 유지해야 할 정보에 위험이 발생하거나 사고가 날 염려 없이 편안하고 온전한 상태를 유지하는 일련의 활동"을 말한다. 다음과 같은 3대 보안 정의를 보안의 필수 요소라 볼 수 있다. 기밀성(Confidentiality) : 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업. 대표적으로 암호화 작업이 존재 무결성(Integrity) : 정확하고 완전한 정보 유지에 필요한 모든 작업, 즉 변경이 가해지지 못하게 하는 작업. 대표적으로 MD5, SHA와 같은 해시 함수를 이용해 변경 여부 파악 가용성(Availability) : 정보가 필요할 때, 접근을 허락하는 일련의 작업. 이외에도 진정성, 책임성, 부인 방지, 신뢰성 유지가 존재한다. ..
DHCP는 IP를 동적으로 할당하는 데 사용되는 프로토콜이다. 여기서 동적 할당이란 IP와 네트워크 정보를 자동으로 설정하는 것이다. 반대로 수동으로 설정하는 것을 정적 할당이라고 한다. 핸드폰, PC 대부분은 동적 할당 방식을 이용하면서 보안을 강화하고 쉽게 관리하도록 도와주는 서비스와 장비가 대중화되어 동적 할당 방식이 많이 사용되고 있다. DHCP를 사용하면 사용자가 직접 입력해야 하는 IP 주소, 서브넷 마스크, 게이트웨이, DNS 정보를 자동으로 할당받아 사용할 수 있다. 또한 IP가 자동으로 관리되므로 설정 정보 오류나 중복 IP 할당과 같은 문제를 예방할 수 있다. DHCP 프로토콜 DHCP는 BOOTP(Bootstrap Protocol)에서 지원되지 않는 몇 가지 기능이 추가된 확장 프로토..
DNS에서 동일한 레코드 이름으로 서로 다른 IP 주소를 동시에 설정해 도메인 질의에 따라 로드 밸런싱할 수 있다. 하지만 DNS는 설정된 서비스 상태의 정상 여부를 확인하지 않고 도메인 질의에 무조건 응답하는 문제점이 있다. 그림처럼 서버 2에 문제가 있지만 DNS 서버가 이를 감지하지 못해 비정상적인 서비스 IP 주소를 응답하여 사용자가 해당 서비스에 접근할 수 없다. 즉 DNS 서버에서는 각 레코드에 대한 서비스 체크가 이루어지지 않고 설정값에 따라 동작해서 서비스 가용성 향상 방법으로는 부적합하다. GSLB(Global Server/Service Load Balancing)는 이러한 DNS 문제점을 해결할 수 있다. GSLB는 DNS에 동일하게 도메인 질의응답 역할에서 추가로 등록된 도메인에 연결..