Archives

보안 및 네트워크 관리자 과정]  서브넷   

서브넷, 서브네팅  

 * 서브넷 마스크(Subnet Mask) 를 이용하여 부족한 IP 주소를 쪼개 쓰기 위한 방법     

   IPv4 의 한정적인 숫자 때문에 만들어졌다. 

   Ip 주소개수가 충분히 많은 Ipv6 에서는 필요없지만 기존에 설치된 망에 구성되어있는 

  서브넷 구분이 어떤건지 읽을수는 있어야 한다. 

 Ex)  

원본 네트워크   61.0.0.0/8     A 클래스의 IP로  2^24 개의 주소가 포함된 거대한 한덩이 IP   

61.0.0.0 을 풀어서 쓰면 

00111101.00000000.00000000.00000000  

앞의 00111101 은 네트워크 IP 뒤의   000~ 이 호스트 IP    

예를들어 이 원본 네트워크를 8조각으로 서브네팅 한다고 하면 

  8 = 2^3  

IP       : 00111101.000 00000.00000000.00000000  

  ex)  필요한 IP 115개  =>   최소 X = 7    

     원본 네트워크 =  123.112.208.0 / 22        

    원본 IP     123.112.11010000.00000000   

서브넷마스크 255.255.11110000.00000000         

   VLSM       123.112.1101 0000.0 0000000       

서브넷마스크 255.255.1111 1111.1 0000000  = 255.255.255.128 /25 

123.112.1101 0000.0 0000000  123.112.208.0 /25 부터 

123.112.1101 1111.1 0000000  123.112.223.128 /25 까지    

VLSM 개수는   2^(늘어난 네트워크IP) 만큼 생긴다  

여기서는 2^5 = 32개가 생김!     

*IP 숫자 계산할때 2^x-2 인 이유는  

뒷자리 비트가 전부 0 인 IP 는 해당 서브넷의 네트워크 이름 

뒷자비 비트가 전부 1인  IP 는 그 서브넷브로드캐스트 주소     

여서 장치에 IP 설정이 불가능하기 때문에 2개를 빼고 계산한다  

10여년전? 에는  서브넷 계산 직접 하는게 중요했지만 

지금은 이미 다 나눠서 세팅되있는 상황이라  

기존에 설치된  IP를 보고 그 IP의 네트워크 이름을 읽을수 있는게 중요하다고 함.  

보안 및 네트워크 관리자 과정]  IP Address 

OSI 7 Layer   

  * 데이터 생성 및 전송 과정을 7개 레이어로 체계화시킨 모델 

  * 장애 처리 접근 방법 제시 가능  

      - ex) ping이 게이트웨이까지는 나가는데 외부 연결 안됨  = Layer 3 문제 (IP)   

      - ex2) 게이트웨이까지 연결 되는데 내부망의 다른 PC 연결 안됨 -> Layer 1 부터 접근 

(해당 PC  UTP 케이블 연결 여부, 랜카드 확인 등 )  

● 데이터 이름

TCP | HTTP                -> 세그먼트

IP | TCP | HTTP           -> 패킷

ETH | IP | TCP | HTTP    -> 프레임

   * 주로 패킷이 많이 쓰임 

● 어플리케이션 프로토콜/서비스

TCP  HTTP(80), HTTPs/ssl (443) telnet(23) ssh(22) ftp(21) ftp-data(20) smtp(25) pop3(110) 

   UDP dns(53), dhcp server/client((67/68), tftp(69) syslog(514), ntp(123), snmp(161)

    ->  데이터 정보들을 담고 있는 프로토콜     

● ICMP

*       IP 프로토콜을 이용하여 데이터 전송 여부를 테스트할 때 사용하는 메시지 프로토콜 

*       메시지 , Echo-Request(8), Echo-Reply(0), ICMP-Unreachable(3) 

*       명령어 : ping, tracert (traceroute)

● ARP 

*       목적지 IP 주소에 대한 MAC주소를 설정해주는 프로그램

*       목적지 IP 주소에 대한 MAC 주소 정보가 없는 경우, ARP 요청/응답 실시

*       메시지 : ARP 요청(브로드 캐스트), ARP응답(유니캐스트)

*       명령어 : ARP –a, Arp –d 

● IP  ( Internet Protocol ) 

 * Layer 3 계층 주소

 * IP 헤더 안에 포함된 주소

 * 주소 체계 : 32bit (2^32개 = 4,294,967,296개)

 * IP 주소 현황 : 2011년 2월 고갈 발표

 * IP 주소 고갈 문제 대책 : 서브넷 마스크, 서브넷팅, VLSM, 사설 IP 주소&NAT, 

                                   IPv6 주소 전환

     -> 이전부터 고갈 예상하고 준비& 사용함   

 * IP 주소는 임대 서비스이다. (임대 과정 : IANA -> APNIC -> KRNIC(KISA) -> ISP -> 사용자)

 * 참조 사이트 : www.iana.com     = ICANN  

● 서브넷 마스크(Subnet Mask)

 * IP 주소 고갈 방지 대책 , 네트워크/호스트 구분 및 IP주소 개수 측정 

 * 특징 :  맨 앞 비트부터  '1' 이 연속되어있어야 한다  

     ex) 11111111.11110000.0.0 = 맞음   

          11111111.11001111.0.0 = 서브넷 마스크 아님  

11111111 = 255

11111110 = 254

11111100 = 252

11111000 = 248

11110000 = 240

11100000 = 224

11000000 = 192

10000000 = 128

00000000 = 0

       네트워크 아이디  : 1   , 호스트 아이디 0     

     NNNNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHH   

     111111111.11111111.00000000.00000000

   ->  255.255.0.0

● IP address class   

   -> A, B, C, D, E   

  1. 유니캐스트 주소  

       -> 유니캐스트(1:1) 전송때 사용하는 주소, 실제 장치에 설정하는 주소  

* A Class (0~127)  : 맨 앞 비트가 '0'인 공통 비트 클래스   

 0.0.0.0               ~     127.255.255.255   

 00000000.0.0.0    ~     01111111.255.255.255   

 * 기본 서브넷 마스크  : 255.0.0.0   

 * 네트워크 아이디당 IP 주소 개수 : 2^24개 = 16,777,216개  

* B Class (128 ~ 191) : 맨 앞 비트가 '10'인 공통 비트 클래스  

  128.0.0.0            ~         191.255.255.255

 10000000.0.0.0     ~          10111111.255.255.255 

 * 기본 서브넷 마스크 : 255.255.0.0

 * 네트워크 아이디당 IP 주소 개수 : 2^16 개 = 65,536개 

* C Class (192~223)  : 맨 앞 비트가 '110'인 공통 비트 클래스  

 192.0.0.0            ~            223.255.255.255

 11000000.0.0.0    ~            11011111.255.255.255 

.

 2. 멀티 캐스트 주소 

      -> 멀티캐스트 전송때 사용하는 주소, 장치에 설정 안됨   

 * D Class (224~239) :맨 앞 비트가 '1110'인 공통 비트 클래스 

    224.0.0.0        ~           239.255.255.255

   11100000.0.0.0   ~          11101111.255.255.255

  3. IANA 예비용 예약 주소 

           -> 예비용으로 예약되있어서 사용, 설정이 안됨  

  * E Class (240 ~255)  

240.0.0.0         ~         255.255.255.255

  ● 네트워크 이름 & 서브넷 브로드캐스트 주소 

   * 네트워크 이름 =  호스트쪽 주소가 전부 0    

ex) 142.167.24.0  

   * 서브넷 브로드캐스트 주소  = 호스트쪽 주소가 전부 11

     ex)  142.167.24.255

  ● 공인 IP 주소 & 사설 IP 주소  

    * 공인 IP 주소  

        -ISP 업체로부터 할당받은 인터넷이 가능한 주소  

        - 공인 IP 네트워크 정보는 ISP 업체 라우터 장비에 등록 O

        - 현재 고갈됨 .. 

    * 사설 IP 주소 

        -ISP 업체 임대와 관계없이 내부용으로 사용하는 주소  

     * NAT  =   공인 IP 와 내부 사설 IP 자동 교환 기능  

보안 및 네트워크 관리자 과정] 03. 데이터 전송 프로토콜  

TCP, UDP, IP, ETH     4가지  -> 실제 데이터 전송용!  

icmp , arp - 사전준비? 보조용  

1. TCP (Transmission Control Protocol) 

  * 20 바이트   

  * Layer 4계층 프로토콜  

  * 연결 지향성 - 먼저 통신연결 수립 후 데이터 전송함  (Like 전화 ) 

  * 3-way 핸드 쉐이킹'  실시

 - 데이터 스트림 서비스 : 데이터를 세그먼트 단위로 생성(분할)하여 전송 및 수신 처리 실시

       Sequence number ( 순서번호)      Acknowledgement number (확인번호)

 - 전송효율, CPU처리효율 up  

  *흐름 제어 기능   

      1) stop & wait : 송신한 세그먼트에 대한 Ack를 수신해야, 다음 세그먼트 전송 

         세그먼트 송신처리 지연 발생가능  및  Ack 양 너무 많이 발생   

 2) 슬라이딩 윈도우 :수신측에서 세그먼트 처리양 맞게 전송 세그먼트양 조절해서 전송 

*윈도우 : 송수신 가능한 세그먼트 양  

  * 혼잡 제어 기능 : 혼잡 발생시 전송률을 최소화 하는 기능

-> Flag에 CWR, Ecn-echo 2개 있긴 한데 잘 안씀 

  * Layer 3계층 프로토콜  

  * 로컬 환경에서 리모트환경(외부)로 데이터 전송 담당!  <- IP의 존재 이유 

  * TTL (Time to Live) : 8bit (0~255), 거리측정 및 패킷루프방지 기능.  

 패킷루프(루핑) -> 데이터 루프 -> 과부하 발생)  -> TTL이 0이되면 드랍

  -> 루핑 완전 해결은 못해도 완화 가능  

     - TTL 기본값    Cisco : 255 , Window : 128 , Linux : 64  

      거리측정 = 라우터 단위  

 4. ICMP (Internet Control Message Protocol)

  * IP 이용한 데이터 전송 가능여부 테스트 하는 프로토콜   

  * 'Ping" , 'tracert'   

  * Ping   :  TCP, IP 없이 ETH | ICMP 만 담아서 보냄   

     ICMP Echo-Request (tpye 8)  -> 보내는 쪽에서 요청  

     ICMP Echo-Reply (type0)      -> 핑 받은 쪽에서 응답 

     ICMP Unreachable              -> 목적지까지 도달 불가능 

ping     -t       핑 계속 보냄  중지는 Ctrl + E  

-i       핑 TTL 조절 

-l       송신 버퍼 크기 조절

  * tracert  : 해당 IP 까지 가는 경로 추적    

         - 요청 시간이 만료되었습니다 -> 보안 정책상 응답 안해주는 경우도 있음  

       Ping of Death  (ICMP 공격) 방지 위해서 대부분 포탈사이트들 방화벽에서 막아둠

       (구글은 작은 바이트& 횟수는 받음, 크거나 많아지면 그때 차단)  

 5. ARP (Address Resolution Protocol) 

       ETH 보조용  

  * 목적지 IP 주소에 대한 MAC주소를 설정해주는 프로토콜  

  * 사용한 주소에대한 MAC 주소를 자동학습해서 기억해둠, 없을경우 ARP요청 실시함   

  * ARP -a   - 테이블 확인    

    ARP Request 

( 192.168.1.1, MAC ?) ->    

    SA AA-BB-CC-DD-EE-91

    DA FF-FF-FF-FF-FF-FF          

                      * ARP 요청은브로드캐스트 -> 수신주소 전부1로 세팅 = FF  

ARP Response 

<-( 192.168.1.1, MAC : 12-34-56-78-90-ab )

SA 12-34-56-78-90-ab

DA AA-BB-CC-DD-EE-91

*ARP 응답은 해당 IP 에서 유니캐스트로