[정보보안기사] 2. 네트워크 보안 - (2) 네트워크 인프라 및 장비 보안

 

2. 네트워크 인프라 및 장비 보안

2.1. L2 데이터링크 계층 보안 및 기술

(1) L2 스위치 전송 방식 (LAN 스위치 방식)

- LAN 환경에서 Ethernet Frame을 MAC 주소 기반으로 전달하는 과정

- 이론 상세 내용 및 관련 개념:

• Store-and-Forward: 스위치가 전체 프레임(64~1518 바이트)을 모두 수신한 후 에러 검출(CRC 체크)을 수행하고 목적지로 전송하는 방식입니다. 지연은 크지만 신뢰성이 가장 높습니다.
• Cut-Through: 프레임의 목적지 MAC 주소(6바이트)만 확인하면 즉시 전송을 시작하는 방식입니다. 지연이 가장 낮지만 에러 처리가 불가능합니다.
• Fragment-Free: Cut-Through의 변형으로, 충돌이 주로 발생하는 프레임의 앞부분 64바이트만 확인하고 전송하는 방식입니다.

(2) VLAN (Virtual LAN)의 개념 및 할당 방식

- VLAN 이란 무엇이고, 왜 사용하며, 종류는 무엇이 있고, 정보 할당 방식과 장단점은 무엇이 있는가?

- 이론 상세 내용 및 관련 개념:

• 개념 및 사용 이유: 물리적 구성과 상관없이 논리적으로 네트워크를 분할하는 기술입니다. 브로드캐스트 도메인을 분리하여 성능을 높이고 보안성을 강화하기 위해 사용합니다.
• VLAN 정보 할당 방식 (한 줄 요약):
  • 포트 기반 VLAN: 스위치 포트를 각 VLAN에 할당하는 방식으로 같은 VLAN에 속한 포트에 연결된 호스트 간에만 통신이 가능한 VLAN입니다. 가장 일반적이고 많이 사용됩니다.
  • MAC 기반 VLAN: 각 호스트의 MAC 주소를 VLAN에 등록하여 같은 VLAN에 속한 MAC 주소의 호스트 간에만 통신이 가능한 VLAN입니다. 호스트의 MAC 주소를 전부 등록하고 관리해야 하는 어려움이 있습니다.
  • 프로토콜 기반 VLAN: 통신 프로토콜별로(TCP/IP, IPX/SPX 등) VLAN을 구성하여 통신 프로토콜을 사용하는 호스트 간에만 통신이 가능한 VLAN입니다.
  • 네트워크 기반 VLAN: 네트워크 주소별로 VLAN을 구성하여 같은 네트워크에 속한 호스트 간에만 통신이 가능한 VLAN입니다. 주로 IP 네트워크 VLAN을 사용합니다.
• 장단점: 네트워크 유연성과 보안 확보가 장점이지만, 설정 오류 시 통신 단절 위험이 있고 관리 복잡도가 증가합니다.

(3) L2 스위치의 주요 기능 (플러딩, 포워딩 포함)

- L2 스위치의 기능은 무엇이 있는지와 설명(플러딩, 포워딩을 포함)

- 이론 상세 내용 및 관련 개념:

• Learning: 유입되는 프레임의 출발지 MAC 주소를 학습하여 MAC Table에 기록합니다.
• Flooding: 목적지 주소를 모르거나 브로드캐스트일 때, 유입 포트를 제외한 모든 포트로 패킷을 전송하는 기능입니다.
  목적지 MAC 주소가 MAC Address Table에 없거나, 브로드캐스트 프레임인 경우 발생합니다.
• Forwarding: 목적지 주소가 테이블에 존재할 때 해당 포트로만 전달하는 기능입니다. 목적지 MAC 주소를 확인한 뒤, 해당 주소가 위치한 특정 포트로만 패킷을 1:1 전달하기 때문에 상대적으로 더미 허브보다 스니핑에 안전합니다.
• Filtering: 목적지가 아닌 포트로 패킷이 전달되지 않도록 차단하여 충돌을 방지합니다.
• Aging: 일정 시간 동안 통신이 없는 MAC 주소를 테이블에서 삭제하여 효율적으로 관리합니다.

(4) 매체 접근 제어: CSMA/CD, CSMA/CA 및 RTS/CTS/NAV

- CSMA/CD와 CSMA/CA 개념, RTS와 CTS, NAV 관련 개념 정리

- 이론 상세 내용 및 관련 개념:

• CSMA/CD: 유선 이더넷 환경에서 사용하며, 데이터 전송 중 충돌을 감지(Detection)하여 재전송을 수행합니다.
• CSMA/CA: 무선 랜 환경에서 사용하며, 충돌을 미리 회피(Avoidance)하기 위해 대기 시간을 가집니다.
• RTS/CTS: 무선 환경의 숨겨진 터미널 문제를 해결하기 위해 송신 요청(Request)과 수락(Clear) 신호를 주고받는 프레임입니다.
• NAV (Network Allocation Vector): 다른 장치가 전송 중임을 인지하고, 전송 완료 시점까지 대기하도록 설정하는 가상의 캐리어 감지 타이머입니다.

(5) 포트 미러링(SPAN)과 허브 비교

- 포트 미러링(SPAN)에 대한 설명 및 허브와 비교

- 이론 상세 내용 및 관련 개념:

• 포트 미러링 (SPAN): 스위치의 특정 포트 트래픽을 모니터링 전용 포트로 복제하여 분석 장비로 보내는 기능입니다.
• 허브와 비교: 허브(더미 허브)는 모든 패킷을 모든 포트로 무조건 뿌리지만, 스위치는 포워딩 기능 때문에 특정 포트의 트래픽을 볼 수 없습니다. 따라서 스위치 환경에서 스니핑이나 트래픽 분석을 위해 인위적으로 SPAN 설정을 수행합니다.

(6) 스니핑 공격 기법 및 상세 원리 (스위치 재밍, Fail Open 포함)

- 스니핑을 위한 대표적인 공격 기법, 공격 원리(스위치 재밍과 Fail Open 개념을 포함하여)

- 이론 상세 내용 및 관련 개념:

• 스위치 재밍 (Switch Jamming / MAC Flooding): 위조된 소스 MAC 주소를 대량으로 보내 스위치의 MAC Table을 오버플로우(고갈)시키는 공격입니다.
  • 공격 원리: 테이블이 가득 차면 스위치가 주소를 학습하지 못해 모든 패킷을 모든 포트로 뿌리는 허브처럼 동작하게 되어 스니핑이 가능해집니다. 스위치는 장애 발생 시 모든 기능을 허용하는 Fail Open 정책을 따르도록 설계되어 있기 때문입니다.
• ARP 스푸핑 (ARP Spoofing / ARP Poisoning): 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위장한  ARP Reply를 보내 타겟의 ARP 캐시를 오염시키는 공격입니다. 특히 통신중인 두 호스트를 대상으로 합니다. MAC Address Table(ARP Cache Table)은 arp -a로 확인 가능하며, 대응방안은 (1) arp -s [IP주소] [MAC주소]와 같은 명령어로 arp 캐시 테이블을 정적으로 생성하여 수정되지 못하게 해야 합니다. (2) Arpwatch 등의 도구를 이용해 ARP 조작 트래픽을 탐지해야 합니다.
• ARP 리다이렉트 (ARP Redirect): 라우터나 게이트웨이 환경에서 주로 사용되는 기법으로, 자신이 게이트웨이(라우터)인 것처럼 MAC 주소를 위조한 ARP Reply 메시지를 보내는 공격입니다. '호스트와 라우터' 사이의 통신 경로를 수정하여 로컬 네트워크의 모든 트래픽이 공격자를 거쳐 외부로 나가게 유도하는 공격으로, 주로 라우터(게이트웨이)를 타겟으로 삼습니다.
• ICMP 리다이렉트 (ICMP Redirect): 공격자가 라우터로 위장하여 희생자의 라우팅 테이블 정보를 조작하는 공격입니다. 즉, "내가 최적의 경로다"라는 ICMP Type 5 메시지를 보내 피해자의 경로를 변조하는 공격입니다. 대응방안은 호스트의 라우팅 테이블 정보가 ICMP Redirect 메시지에 의해 변경되지 않도록 호스트의 ICMP Redirect 옵션을 해제해야 합니다. (방향 전환 허용에 체크 해제)
  

  

  

• 스위치의 포트미러링(SPAN) 기법: 공격자가 관리자 권한을 탈취한 후, SPAN 설정을 통해 모든 트래픽을 자신의 포트로 복제하여 스니핑을 수행하는 방식입니다. 공격자가 모니터링 포트에 접근할 수 있다면 분석 장비를 연결하여 스니핑할 수 있습니다.

(7) Promiscuous 모드

- Promiscuous 모드란?

- 이론 상세 내용:

랜카드에 의해 내 MAC 주소가 목적지가 아닌 프레임도 수신 가능한 모드입니다. 기본적으로 네트워크 인터페이스는 자신에게 할당된 MAC 주소를 목적지로 하는 프레임만을 수신합니다.

- 설정 명령어:

ifconfig eth0 promisc (또는 -promisc로 해제)

- 확인 방법:

/var/log/messages에서 device eth1 entered promiscuous mode 와 같은 출력을 통해 확인 가능합니다.

- 주요 대응방안:

• 네트워크 스니핑을 통해 통신 내용을 알 수 없도록 암호화 프로토콜 또는 암호화 프로그램을 사용하여 통신에 사용되는 모든 데이터를 암호화합니다.
• 더미 허브에 비해 상대적으로 네트워크 스니핑 공격에 안전한 스위칭 허브(스위치) 장비를 이용합니다.
• 스니핑 탐지 도구를 이용하여 악의적인 스니핑이 발생하는지 지속해서 점검합니다.

2.2. L3 라우팅 및 인프라 보안 설정

(1) 라우터(Router)의 정의 및 기능

- 라우터(Router)란 무엇이며 기능에는 무엇이 있는가?

- 이론 상세 내용:

서로 다른 네트워크를 연결하고 목적지 IP를 기반으로 최적의 경로(Best Path)를 결정하여 전송하는 장비입니다. 주요 기능으로 경로 결정, 스위칭, 브로드캐스트 도메인 분리, 패킷 필터링 등이 있습니다.

(2) 라우팅 프로토콜 분류 및 AS 개념

- IGP/EGP 하위 분류, 자율시스템(AS) 의미, 정적/동적 라우팅 및 IGP/EGP 분류 기준(관점)

- 이론 상세 내용 및 관련 개념:

• AS (Autonomous System): 동일한 관리 주체에 의해 운영되는 독립적인 네트워크 도메인입니다.
• IGP (내부 라우팅 프로토콜) 상세 분류:
  • 거리 벡터 (Distance Vector): 인접 라우터와 주기적으로 홉(Hop) 수를 교환하여 경로를 결정합니다. (RIP, RIPv2, IGRP)
  • 링크 상태 (Link State): 네트워크 전체 지도를 작성하고 대역폭 등 상태를 고려하여 최단 경로를 선정합니다. (OSPF, IS-IS)
  • 고급 거리 벡터 (Advanced Distance Vector): 거리 벡터의 효율성과 링크 상태의 빠른 수렴을 합친 하이브리드 방식입니다. (EIGRP)
• EGP (외부 라우팅 프로토콜): AS 간의 라우팅 정보를 교환하기 위해 사용하며 대표적으로 BGP가 있습니다.
• 분류 관점:
  • 정적 vs 동적: 경로를 수동으로 입력하느냐(정적), 프로토콜이 자동으로 갱신하느냐(동적)의 차이.
  • IGP vs EGP: 정보 교환이 AS 내부에서 이루어지느냐, AS 간에 이루어지느냐가 기준입니다.

(3) 라우팅 테이블 해석 (netstat -rn) 및 게이트웨이 선정 원리

- netstat -rn 결과에서 gateway 주소를 찾는 방법(예시 포함), Flags 및 Genmask의 의미

- 이론 상세 내용 및 관련 개념:

• 옵션 의미: -r (라우팅 테이블 표시), -n (IP 주소를 숫자로 표시하여 분석 속도 향상).
• 게이트웨이 결정 상세 로직: 목적지 IP와 라우팅 테이블의 Genmask를 BIT AND 연산하여 결과값이 Destination과 일치하는 행의 Gateway를 선택합니다.
• [문제 예제] 목적지 10.0.96.100으로 패킷 전송 시:

  Destination     Gateway         Genmask         Flags
  10.0.96.0       192.168.1.1     255.255.255.0   UG
  0.0.0.0         192.168.1.254   0.0.0.0         UG

  - 10.0.96.100 AND 255.255.255.0 = 10.0.96.0 (첫 번째 행 일치) - 최종 게이트웨이: 192.168.1.1
• Flags 상세 의미: U(활성화), G(외부 게이트웨이), H(단일 호스트 경로), D(동적 리다이렉트 생성), M(리다이렉트에 의한 수정), !(거부된 경로).

(4) 라우터 네트워크 보안(트래픽 제어, 필터링) 기능

- Ingress, Egress, 블랙홀(NULL 라우팅)의 의미

- 이론 상세 내용:

• Ingress Filtering: 외부에서 내부로 들어오는 트래픽을 검사하여, 출발지 주소가 사설 IP, 루프백, 멀티캐스트, 예약 대역, 또는 내부망 주소처럼 외부에서 들어올 수 없는 주소로 위조된 패킷을 차단하는 기법입니다.
• Egress Filtering: 내부에서 외부로 나가는 트래픽을 검사하여, 출발지 주소가 조직이 실제로 사용하는 내부 IP 대역이 아닌 패킷을 차단하는 기법입니다. 이를 통해 내부망에서 발생하는 IP Spoofing 트래픽이나 감염 단말의 비정상 외부 공격 트래픽을 줄일 수 있습니다.
• 블랙홀(NULL 라우팅): 특정 목적지 또는 특정 조건의 트래픽을 Null0와 같은 폐기 인터페이스로 보내 라우터나 L3 장비에서 패킷을 폐기하는 방식입니다. 단, 폐기해야 할 패킷이 많은 경우 라우터에 과부하를 유발할 수 있으므로 ICMP Unreachable 메시지를 no ip unreachables로 응답하지 않도록 설정해야 합니다. no ip unreachables는 라우터 부하 유발과 공격자의 포트 스캐닝 공격 시 중요정보로 사용되는 것을 방지하기 위해 사용합니다.
  트래픽을 응답 없이 버리기 때문에 DDoS 완화, 악성 목적지 차단, 대량 유해 트래픽 우회 폐기에 사용됩니다.
  일반적으로 ip route 211.1.1.1 255.255.255.255 Null 0처럼 사용합니다.

(5) 라우터 네트워크 보안: uRPF (Unicast Reverse Path Forwarding)

- 요약 키워드: 출발지 IP 검증, FIB 역방향 참조, Strict 모드, Loose 모드, IP 스푸핑 방어

- 이론 상세 내용:

uRPF는 라우터가 패킷을 포워딩할 때 목적지뿐만 아니라 출발지(Source) IP 주소의 타당성을 역으로 검증하여 위조된 패킷을 경계 단에서 차단하는 강력한 IP 스푸핑 방어 기술입니다.

• uRPF 기본 동작 원리: 패킷이 라우터 인터페이스로 유입되면, 패킷의 출발지 IP 주소를 확인하고 라우터의 FIB(Forwarding Information Base, 라우팅 테이블)를 역방향으로 조회합니다. "이 출발지 IP로 패킷을 역송신할 때 현재 유입된 인터페이스를 사용하는 것이 타당한가"를 검증하여, 일치하지 않거나 경로가 없으면 위조 패킷으로 간주하고 즉시 폐기(Drop)합니다.
• Strict Mode (엄격 모드): 출발지 IP가 라우팅 테이블에 존재해야 할 뿐만 아니라, 패킷이 들어온 인터페이스와 라우팅 테이블상의 최적 출력 인터페이스가 '정확히 일치'해야만 통과시킵니다. 보안성이 매우 높지만, 갈 때와 올 때의 경로가 다른 비대칭 라우팅(Asymmetric Routing) 환경에서는 정상 패킷도 차단될 수 있습니다.
• Loose Mode (느슨한 모드): 패킷이 어떤 인터페이스로 유입되었는지는 따지지 않습니다. 오직 라우터의 라우팅 테이블(FIB)에 해당 출발지 IP로 향하는 경로가 '존재'하기만 하면 정상 패킷으로 인정합니다. 비대칭 라우팅 환경에서도 오동작하지 않으며, 주로 대규모 백본망이나 ISP 접경 지역에서 미할당/불법 IP(Bogon IP)를 차단하는 용도로 사용됩니다.

(6) ACL (Access Control List) 설정 가이드 및 예시

- access-list와 access-group 기본/확장 설정 내용 및 설정 방법 예시

- 이론 상세 내용 및 관련 개념:

ACL 기본 작성 규칙: access-list [번호] [permit/deny] [프로토콜] [출발지] [목적지] [옵션]

• 표준(Standard) ACL: 출발지 IP 주소만으로 필터링을 수행합니다 (번호: 1~99).
  • 특정 호스트 지정: access-list 10 permit host 192.168.1.1 (와일드카드 0.0.0.0과 동일)
  • 네트워크 대역 지정: access-list 10 permit 192.168.1.0 0.0.0.255
• 확장(Extended) ACL: 출발지/목적지 IP, 프로토콜 종류, 포트 번호까지 제어합니다 (번호: 100~199).
  • 모든 곳에서 특정 웹서버 허용: access-list 110 permit tcp any host 10.10.10.1 eq 80
  • 192.168.1.0/24 대역에서 서버 10.10.10.10으로 SSH 허용: access-list 110 permit tcp 192.168.1.0 0.0.0.255 host 10.10.10.10 eq 22
  • 특정 서버로의 ICMP ping 차단: access-list 110 deny icmp any host 10.10.10.20 echo
  • 특정 포트 범위 지정: access-list 110 deny udp any host 10.10.10.20 range 100 200
  • 내부 사용자들의 DNS 요청 허용(DNS의 경우는 tcp와 udp 모두 작성해야 함): access-list 110 permit udp 192.168.1.0 0.0.0.255 any eq 53
• 적용(access-group): 리스트 작성 후 인터페이스에 적용해야 하며, ACL에 명시적으로 허용하지 않은 트래픽은 마지막에 모두 차단됩니다. interface GigabitEthernet0/0 ip access-group 110 in

(7) Cisco 라우터 핵심 보안 설정 가이드라인 (명령어 기반)

- 요약 키워드: 관리자 인증 보호, 패스워드 암호화, 원격 Syslog 연동, SNMP 접근 통제

- 이론 상세 내용 및 관련 개념:

라우터 자체의 침해를 방지하고 신뢰성 있는 감사 추적을 수행하기 위해, Cisco IOS 기반 장비에서 필수적으로 적용해야 하는 관리자 모드 보안 및 로깅 설정 명령어입니다.

• 글로벌 설정 모드 진입 및 명령어:
  • en (enable) 및 conf t (configure terminal) 명령어를 통해 일반 사용자 모드에서 최고 관리자(Privileged EXEC) 모드를 거쳐 라우터 설정을 변경하는 글로벌 설정 모드로 진입합니다.
  • service password-encryption: 라우터 설정 파일 내에 평문으로 노출되는 모든 패스워드(일반 enable 패스워드, VTY 패스워드 등)를 디바이스 자체적으로 암호화(Type 7)하여 노출을 방지합니다.
• 관리자 인증 및 원격 접근 제어 (인증 보안):
  • enable secret eheheh78: 관리자 모드 진입 패스워드를 설정합니다. 평문으로 저장되는 구형 enable password와 달리, MD5 등 강력한 일방향 해시 함수(Type 5)로 암호화되어 저장되므로 우선순위를 가지며 안전합니다.
  • line vty 0 및 password soya: 원격 접속을 담당하는 가상 터미널(VTY)의 0번 라인 설정으로 진입하여 접근 인증에 사용할 패스워드를 soya로 지정합니다.
• 로깅 및 감사 추적 설정 (Syslog 서버 연동):
  • logging on: 라우터의 시스템 로그(Syslog) 기록 기능을 활성화합니다.
  • logging trap debugging: 전송할 로그의 보안 레벨을 최상위 단계인 7단계(debugging)로 설정하여 시스템의 사소한 이벤트 및 디버깅 메시지까지 전반적으로 수집합니다.
  • logging 192.168.10.13: 수집된 시스템 로그를 중앙 집중형 로그 관리를 위해 원격 Syslog 로그 서버(192.168.10.13)로 실시간 전송하도록 연동합니다.
• SNMP 네트워크 관리 및 접근 통제 설정:
  • snmp-server community eheheh78 ro 50: SNMP 서비스를 활성화하고 SNMP 인증을 위한 커뮤니티 스트링을 eheheh78로 지정합니다. ro (Read-Only) 옵션으로 모니터링만 가능하도록 제한하고, 사전에 정의된 Access List(ACL) 50번을 적용합니다.
• 참고 (인터페이스 선택): int serial0 (interface serial 0) 명령어를 통해 라우터의 광역망(WAN)을 담당하는 시리얼 0번 인터페이스 모드로 진입하여 개별 IP 할당 및 활성화를 수행할 수 있습니다.