한국어

네트워킹

온누리070 플레이스토어 다운로드
    acrobits softphone
     온누리 070 카카오 프러스 친구추가온누리 070 카카오 프러스 친구추가친추
     카카오톡 채팅 상담 카카오톡 채팅 상담카톡
    
     라인상담
     라인으로 공유

     페북공유

   ◎위챗 : speedseoul


  
     PAYPAL
     
     PRICE
     

pixel.gif

    before pay call 0088 from app


 기존의 IPv4의 문제점

1. IP 주소 부족 - 32비트 주소공간이기 떄문에

2. 멀티미디어 데이터에 대한 QoS 불만족

3. 보안문제 - 패킷을 가공없이 전송


 IPv6와 IPv4의 차이점

1. 라우팅과 주소지정 기능 확장

2. 헤더 형식의 단순화

3. 옵션기능의 개선

4. QoS 제어기능

5. 인증 및 보안 기능 강화


 


6.1 개요

(1) IPv6 개요 

◈ IPv6의 발생 배경

○ 기존의 IPv4를 사용하고 있는 인터넷에서 향후 주소가 부족할 것으로 예상

○ 새로운 멀티미디어 트래픽을 효과적으로 수용을 위한 개정 필요 


※ 위의 문제에 대하여,

○ IETF는 1992년 7월 차세대 인터넷 프로토콜 IPng(IP next generation)[1]에 대한 제안 요구

○ IETF IPng Area는 여러 제안 중 RFC 1550에서 제시한 3가지 (CATNIP, SIPP, TUBA)를 평가

○ IPng는 1994년 7월 IPng Area Director에 의해 추천되었으며 11월 IESG(Internet Engineering Steering Group)에 승인을 받아 "Proposed Standard"로 작성

○ 1995년 1월 "The Recommendation for the IP Next Generation Protocol"로 발표 되었으며, 이후 IPv6의 PDU 형식, 주소체계, 라우팅, 정보보호 등에 대한 표준 명시

○ 기존의 Internet Protocol이 버전 4인 이유로, IPng의 공식적인 명칭은 IPv6로 확정

 

 

IPv6가 제공하는 중요한 특징은 다음과 같다. 

◈ IPv6의 주요 특징

○ 향후 30년 동안 사용해도 충분할 주소공간 제공(주소공간이 128비트이므로 2^128개의 주소공간 제공) 

○ IPv6는 IPv4의 주소 클래스 개념보다는 프리픽스 개념에 기반한 유일하고 계층적인 주소 체계이기 때문에 라우팅 테이블의 크기가 적고 백본 라우팅이 IPv4보다 효율적

○ 네트워크 인터페이스의 자동설정기능 

○ IPv4등과 같은 프로토콜들을 캡슐화할 수 있는 기능 

○ 데이터의 형태에 따라 구별되는 서비스 제공 기능 

○ 향상된 멀티캐스트 라우팅 지원 

○ IPv4로부터의 이전기능 제공 

○ 자체내장된 인증과 암호기능 제공 

○ IPv4와 통신할거나 공존할 수 있는 호환성 제공 

○ IPv6는 데이터그램(datagram)이라는 용어보다는 패킷(Packet)이라는 용어를 사용하며, IPv6가 실행되는 모든 시스템들에(호스트, 라우터 등) 대해서는 노드(Node)라는 용어 사용 

 

6.2 TCP/IP 보안 취약성
□ IP 주소 
 IP 주소만으로 실제 호스트를 식별하기 어렵다. PPP/SLIP, DHCP, CIDR등은 목적에 따라 IP 주소를 동적으로 할당할 수 있게 한다. 또한 침입 차단시스템, 프락시 소켓서버 등은 서로 다른 호스트가 동일한 IP 주소를 가지거나 다른 IP 주소가 같은 호스트에서 사용할 수 있게 해준다. 그러므로 IP 주소는 더 이상 유일한 호스트 식별 정보가 아니며 IP 주소에 기초한 정보보호 정책은 취약성을 가진다.  
 
□ TCP 순서번호 
 비연결 서비스인 IP 상위에서 동작하는 TCP는 패킷을 식별하고 순서대로 응용계층에 전송됨을 보장하기 위하여 TCP 세그먼트로 순서번호를 제공한다. 순서번호는 일반적으로 랜덤을 사용하며 32비트로 구성되어 정확한 초기순서번호(Initial Sequence Number)를 추측하기가 대단히 어렵다. 그러나 현재 구현된 제품들은 일정한 양으로 순서번호가 증가한다. BSD 4.2의 경우 전역 카운터는 매초 128씩 증가하고 초기순서번호가 할당될 때마다 64씩 증가한다.이처럼 순서번호가 일정하게 증가하면 순서번호를 추측하여 정당한 사용자의 패킷으로 가장할 수 있으므로 스푸핑이나 하이잭킹 공격에 이용된다. 
 
□ TCP 상태전이와 타이머 
  TCP 상태도에서 ,논리적으로 각 접속은 CLOSED 상태에서 출발하고 연결이 해제된 후 TCP는 CLOSED 상태로 되돌아온다. TCP 상태와 가장 밀접한 관계가 있는 것이 타이머이다. 접속설정 및 접속 해제에 관련된 것은 접속설정 타이머, FIN-WAIT 타이머, 
TIME-WAIT 타이머, KEEP-ALIVE 타이머 등으로 일반적으로 상태와 연관된 타이머가 
부족하다. 표준에서 각 상태에 대한 타이머를 모두 정의하고 있지 않으며 대부분 
개별적인 구현으로 남겨 두고 있다. 하지만 대부분 업체들은 표준에서 정의한 타이머와 필요한 몇몇 타이머만을 구현하여 사용한다. 이는 공격자가 접속을 위하여 사용되는 TCP상태를 영원히 그러한 상태에 머물게 만들 수 있다는 것을 의미한다. 서비스 거부 
공격들은 대부분 어느 정도 시간 동안 TCP 상태 천이를 멎게 하는 공격이다.  
  
□ 접속 설정 
 대부분 네트워크 프로토콜은 신뢰할 수 없는 네트워크 상에서 연결 설정 및 해제를 위하여 3방향 핸드쉐이크를 사용한다. 3방향 핸드쉐이크에서 호스트가 SYN 요구를 받으면 부분적으로 접속이 열린 상태가 되며, 접속설정타이머가 동작하는 동안 패킷은 큐에 저장된다. 이는 다양한 접속 거리, 네트워크 지연 등을 고려하여 성공적으로 접속이 설립되도록 한다.공격자는 다수의 SYN 요청을 하나의 호스트에 보내고 호스트가 보낸 SYN + ACK에 응답하지 않음으로써 작은 이즈의 큐를 공격할 수 있다. 대부분의 시스템들이 TCP/IP를 사용하고 있으며 접속 거리가 다양하기 때문에 SYN 공격을 막기는 힘들다. 
 
□ 동시 연결 설정 
두 호스트가 연결 설정을 원하고 동시에 이 두 호스트가 핸드쉐이크를 시작할 때 동시 연결 설정의 경우가 발생한다. 이 경우 TCP 상태천이도에서 SYN_RCVD 상태에 두 호스트가 머물게 된다. 이것은 ftp와 같은 프로토콜을 사용하는 호스트의 포트를 동작하지 못하게 할 수 있다. 
 
6.3 IPSec

 

 
(1) IPsec의 개요 및 등장 배경 
◈ IETF의 네트워크 보안 프로토콜 표준화 진행 방향
○ IPsec
-TCP/IP 프로토콜의 IP 계층에서 보안 서비스를 제공
○ TLS(Transport Layer Security)
-TCP계층 위에서 클라이언트/서버 어플리케이션 사이에 보안 서비스를 제공 
 
                               [그림 7.5]IPsec과 TLS 프로토콜



IPsec은 IETF에서 1995년 8월 IPsec을 RFC(Request For Comment)로 채택된 이후 IP 보안 프토토콜 작업그룹(IPSEC Work Group)에서 현재까지 표준화가 진행중이다. TLS는 현재 널리 이용되고 있는 네스케이프사에서 개발한 SSL V3를 개정하여 IETF TLS 작업반에서 인터넷 드래프트로 채택된 상태이다. 
현재 인터넷에서 이용되고 있는 IP 프로토콜은 패킷 교환망에서 단순히 데이터의 신뢰성 있는 전송만을 고려하고 개발한 것이기 때문에 설계당시 보안에 관한 사항은 고려되지 않았다. 그래서 IP 데이터그램의 주소를 변조하는 IP 스푸핑이나 IP 데이터그램을 도청하는 IP 스니핑과 같은 보안 허점이 생겨나고, 이를 악용하는 사례가 빈번하게 발생한다. 이러한 문제점을 해결하기 위한 방안으로 IP계층에서 보안 서비스를 제공할 수 있는 IPsec이 등장하였다. IETF 도큐먼트는 현재 RFC로 17개, 드래프트로 27개가 있으며 그림 7.5과 같이 크게 7가지로 구성된다.

 

□ IPsec 구성 일반 
 
- 아키텍쳐: 일반적인 개념 , 보안 요구사항, 정의 , 메카니즘 등을 기술 
- ESP: 암호화를 위하여 ESP 사용과 관련된 패킷 형식 등
- AH: 인증을 위하여 AH 사용과 관련된 패킷 형식 등
- 암호 알고리즘 :ESP에서 암호 알고리즘의 사용 방법 
- 인증 알고리즘: AH와 ESP에서 인증 알고리즘의 사용 방법 
- DOI(Domain of Interpretation) : 암호 / 인증 알고리즘 식별자 등 여러 도큐먼트에서 공통적으로 사용되는 값 
- 키 관리: 키 관리 방안 
 




                               [그림 7.6]IPsec과 TLS 프로토콜

조회 수 :
20846
등록일 :
2018.04.15
16:38:44 (*.160.88.18)
엮인글 :
http://webs.co.kr/index.php?document_srl=3314421&act=trackback&key=956
게시글 주소 :
http://webs.co.kr/index.php?document_srl=3314421
List of Articles