한국어

네트워킹

온누리070 플레이스토어 다운로드
    acrobits softphone
     온누리 070 카카오 프러스 친구추가온누리 070 카카오 프러스 친구추가친추
     카카오톡 채팅 상담 카카오톡 채팅 상담카톡
    
     라인상담
     라인으로 공유

     페북공유
    
     PAYPAL
     
     PRICE
     

pixel.gif

    before pay call 0088 from app


 기존의 IPv4의 문제점

1. IP 주소 부족 - 32비트 주소공간이기 떄문에

2. 멀티미디어 데이터에 대한 QoS 불만족

3. 보안문제 - 패킷을 가공없이 전송


 IPv6와 IPv4의 차이점

1. 라우팅과 주소지정 기능 확장

2. 헤더 형식의 단순화

3. 옵션기능의 개선

4. QoS 제어기능

5. 인증 및 보안 기능 강화


 


6.1 개요

(1) IPv6 개요 

◈ IPv6의 발생 배경

○ 기존의 IPv4를 사용하고 있는 인터넷에서 향후 주소가 부족할 것으로 예상

○ 새로운 멀티미디어 트래픽을 효과적으로 수용을 위한 개정 필요 


※ 위의 문제에 대하여,

○ IETF는 1992년 7월 차세대 인터넷 프로토콜 IPng(IP next generation)[1]에 대한 제안 요구

○ IETF IPng Area는 여러 제안 중 RFC 1550에서 제시한 3가지 (CATNIP, SIPP, TUBA)를 평가

○ IPng는 1994년 7월 IPng Area Director에 의해 추천되었으며 11월 IESG(Internet Engineering Steering Group)에 승인을 받아 "Proposed Standard"로 작성

○ 1995년 1월 "The Recommendation for the IP Next Generation Protocol"로 발표 되었으며, 이후 IPv6의 PDU 형식, 주소체계, 라우팅, 정보보호 등에 대한 표준 명시

○ 기존의 Internet Protocol이 버전 4인 이유로, IPng의 공식적인 명칭은 IPv6로 확정

 

 

IPv6가 제공하는 중요한 특징은 다음과 같다. 

◈ IPv6의 주요 특징

○ 향후 30년 동안 사용해도 충분할 주소공간 제공(주소공간이 128비트이므로 2^128개의 주소공간 제공) 

○ IPv6는 IPv4의 주소 클래스 개념보다는 프리픽스 개념에 기반한 유일하고 계층적인 주소 체계이기 때문에 라우팅 테이블의 크기가 적고 백본 라우팅이 IPv4보다 효율적

○ 네트워크 인터페이스의 자동설정기능 

○ IPv4등과 같은 프로토콜들을 캡슐화할 수 있는 기능 

○ 데이터의 형태에 따라 구별되는 서비스 제공 기능 

○ 향상된 멀티캐스트 라우팅 지원 

○ IPv4로부터의 이전기능 제공 

○ 자체내장된 인증과 암호기능 제공 

○ IPv4와 통신할거나 공존할 수 있는 호환성 제공 

○ IPv6는 데이터그램(datagram)이라는 용어보다는 패킷(Packet)이라는 용어를 사용하며, IPv6가 실행되는 모든 시스템들에(호스트, 라우터 등) 대해서는 노드(Node)라는 용어 사용 

 

6.2 TCP/IP 보안 취약성
□ IP 주소 
 IP 주소만으로 실제 호스트를 식별하기 어렵다. PPP/SLIP, DHCP, CIDR등은 목적에 따라 IP 주소를 동적으로 할당할 수 있게 한다. 또한 침입 차단시스템, 프락시 소켓서버 등은 서로 다른 호스트가 동일한 IP 주소를 가지거나 다른 IP 주소가 같은 호스트에서 사용할 수 있게 해준다. 그러므로 IP 주소는 더 이상 유일한 호스트 식별 정보가 아니며 IP 주소에 기초한 정보보호 정책은 취약성을 가진다.  
 
□ TCP 순서번호 
 비연결 서비스인 IP 상위에서 동작하는 TCP는 패킷을 식별하고 순서대로 응용계층에 전송됨을 보장하기 위하여 TCP 세그먼트로 순서번호를 제공한다. 순서번호는 일반적으로 랜덤을 사용하며 32비트로 구성되어 정확한 초기순서번호(Initial Sequence Number)를 추측하기가 대단히 어렵다. 그러나 현재 구현된 제품들은 일정한 양으로 순서번호가 증가한다. BSD 4.2의 경우 전역 카운터는 매초 128씩 증가하고 초기순서번호가 할당될 때마다 64씩 증가한다.이처럼 순서번호가 일정하게 증가하면 순서번호를 추측하여 정당한 사용자의 패킷으로 가장할 수 있으므로 스푸핑이나 하이잭킹 공격에 이용된다. 
 
□ TCP 상태전이와 타이머 
  TCP 상태도에서 ,논리적으로 각 접속은 CLOSED 상태에서 출발하고 연결이 해제된 후 TCP는 CLOSED 상태로 되돌아온다. TCP 상태와 가장 밀접한 관계가 있는 것이 타이머이다. 접속설정 및 접속 해제에 관련된 것은 접속설정 타이머, FIN-WAIT 타이머, 
TIME-WAIT 타이머, KEEP-ALIVE 타이머 등으로 일반적으로 상태와 연관된 타이머가 
부족하다. 표준에서 각 상태에 대한 타이머를 모두 정의하고 있지 않으며 대부분 
개별적인 구현으로 남겨 두고 있다. 하지만 대부분 업체들은 표준에서 정의한 타이머와 필요한 몇몇 타이머만을 구현하여 사용한다. 이는 공격자가 접속을 위하여 사용되는 TCP상태를 영원히 그러한 상태에 머물게 만들 수 있다는 것을 의미한다. 서비스 거부 
공격들은 대부분 어느 정도 시간 동안 TCP 상태 천이를 멎게 하는 공격이다.  
  
□ 접속 설정 
 대부분 네트워크 프로토콜은 신뢰할 수 없는 네트워크 상에서 연결 설정 및 해제를 위하여 3방향 핸드쉐이크를 사용한다. 3방향 핸드쉐이크에서 호스트가 SYN 요구를 받으면 부분적으로 접속이 열린 상태가 되며, 접속설정타이머가 동작하는 동안 패킷은 큐에 저장된다. 이는 다양한 접속 거리, 네트워크 지연 등을 고려하여 성공적으로 접속이 설립되도록 한다.공격자는 다수의 SYN 요청을 하나의 호스트에 보내고 호스트가 보낸 SYN + ACK에 응답하지 않음으로써 작은 이즈의 큐를 공격할 수 있다. 대부분의 시스템들이 TCP/IP를 사용하고 있으며 접속 거리가 다양하기 때문에 SYN 공격을 막기는 힘들다. 
 
□ 동시 연결 설정 
두 호스트가 연결 설정을 원하고 동시에 이 두 호스트가 핸드쉐이크를 시작할 때 동시 연결 설정의 경우가 발생한다. 이 경우 TCP 상태천이도에서 SYN_RCVD 상태에 두 호스트가 머물게 된다. 이것은 ftp와 같은 프로토콜을 사용하는 호스트의 포트를 동작하지 못하게 할 수 있다. 
 
6.3 IPSec

 

 
(1) IPsec의 개요 및 등장 배경 
◈ IETF의 네트워크 보안 프로토콜 표준화 진행 방향
○ IPsec
-TCP/IP 프로토콜의 IP 계층에서 보안 서비스를 제공
○ TLS(Transport Layer Security)
-TCP계층 위에서 클라이언트/서버 어플리케이션 사이에 보안 서비스를 제공 
 
                               [그림 7.5]IPsec과 TLS 프로토콜



IPsec은 IETF에서 1995년 8월 IPsec을 RFC(Request For Comment)로 채택된 이후 IP 보안 프토토콜 작업그룹(IPSEC Work Group)에서 현재까지 표준화가 진행중이다. TLS는 현재 널리 이용되고 있는 네스케이프사에서 개발한 SSL V3를 개정하여 IETF TLS 작업반에서 인터넷 드래프트로 채택된 상태이다. 
현재 인터넷에서 이용되고 있는 IP 프로토콜은 패킷 교환망에서 단순히 데이터의 신뢰성 있는 전송만을 고려하고 개발한 것이기 때문에 설계당시 보안에 관한 사항은 고려되지 않았다. 그래서 IP 데이터그램의 주소를 변조하는 IP 스푸핑이나 IP 데이터그램을 도청하는 IP 스니핑과 같은 보안 허점이 생겨나고, 이를 악용하는 사례가 빈번하게 발생한다. 이러한 문제점을 해결하기 위한 방안으로 IP계층에서 보안 서비스를 제공할 수 있는 IPsec이 등장하였다. IETF 도큐먼트는 현재 RFC로 17개, 드래프트로 27개가 있으며 그림 7.5과 같이 크게 7가지로 구성된다.

 

□ IPsec 구성 일반 
 
- 아키텍쳐: 일반적인 개념 , 보안 요구사항, 정의 , 메카니즘 등을 기술 
- ESP: 암호화를 위하여 ESP 사용과 관련된 패킷 형식 등
- AH: 인증을 위하여 AH 사용과 관련된 패킷 형식 등
- 암호 알고리즘 :ESP에서 암호 알고리즘의 사용 방법 
- 인증 알고리즘: AH와 ESP에서 인증 알고리즘의 사용 방법 
- DOI(Domain of Interpretation) : 암호 / 인증 알고리즘 식별자 등 여러 도큐먼트에서 공통적으로 사용되는 값 
- 키 관리: 키 관리 방안 
 




                               [그림 7.6]IPsec과 TLS 프로토콜

조회 수 :
1318
등록일 :
2018.04.15
16:38:44 (*.160.88.18)
엮인글 :
http://webs.co.kr/index.php?document_srl=3314421&act=trackback&key=838
게시글 주소 :
http://webs.co.kr/index.php?document_srl=3314421
List of Articles
번호 제목 글쓴이 날짜 조회 수
60 route 및 iptables를 이용한 리눅스 특정 IP 접속 차단하는 법 admin 2018-04-15 1321
» IPv6와 IPv4의 차이점 기존의 IPv4의 문제점 admin 2018-04-15 1318
58 유용한 네트워크 분석 도구 소개와 패킷분석 입문 admin 2018-04-15 1248
57 실시간 120만개의 패킷분석 - OpenSOC 프로젝트 admin 2018-04-15 1061
56 사례를 통해 알아가는 실전 패킷분석 A 기업의 UDP 트래픽 급증의 원인은 admin 2018-04-15 1071
55 리눅스 linux 현재 사용중인 랜카드 트래픽 대역폭 확인 프로그램 nload admin 2017-11-04 3809
54 whois site ip owner check admin 2015-08-03 4896
53 How to reduce DDOS attack admin 2015-06-24 5070
52 Collection of basic Linux Firewall iptables rules all you need admin 2015-06-16 4755
51 TCP flag(URG, ACK, PSH, RST, SYN, FIN) admin 2014-04-05 12217
50 HowTo Disable ipv6 Lenny squeeze admin 2014-02-25 10362
49 ping 핑 에 의한 패킷 전송 10 단계 그림으로 설명 file admin 2014-02-13 13735
48 whois IP Domain admin 2014-02-10 10975
47 Cisco - CCNP, CCIE - QoS. Quality Of Service admin 2013-08-29 16423
46 Easy Steps to Cisco Extended Access List file admin 2013-08-02 12806
45 Securing Networks Access List Implementation on Cisco Routers admin 2013-08-02 41736
44 Analyzing High CPU Utilization Issues on Cisco Catalyst 6500 Series admin 2013-08-01 14234
43 Basic Configuration of VLANS, Switchports and InterVLAN Routing admin 2013-08-01 12294
42 다산 스위치 Dasan L3 Switch manuall 및 명령어 v6424 V5424 등 file admin 2013-07-14 27922
41 Intel Network Adapter Drivers for Windows Server 2003*, Final Release file admin 2013-06-22 12675
40 ping 설명 ICMP Internet Control Message Protocol 설명 여러가지 admin 2013-05-09 51417
39 네트웍을 공부하려고 하는분 네이버 네트워크 전문가 따라 잡기 카페 admin 2013-04-20 22457
38 List of TCP and UDP port numbers admin 2013-04-16 35254
37 Juniper QFabric, Junosphere, Automation, and More admin 2013-03-31 13975
36 Cisco ASA Packet Captures for Fun and Profit admin 2013-03-31 12900
35 3com tftp damon program 3cdv2r10 file admin 2013-03-17 13415
34 VLAN Tagging - Understanding VLANs Ethernet Frames admin 2013-03-11 32712
33 Cisco Catalyst Fixed Configuration Layer 2 and Layer 3 Switches admin 2013-01-30 28174
32 Quality of Service Guide - QOS admin 2012-01-06 54624
31 dscp ef admin 2012-01-06 15884
30 DSCP(분화된 서비스 코드 포인트) 개요 admin 2012-01-06 17692
29 IP Precedence, TOS & DSCP admin 2012-01-06 22815
28 컴퓨터 네트워크의 기초 강의 – 네트워크 관련 윈도우 명령어 admin 2012-01-02 16550
27 국내 IPv6 자료 한국 인터넷진흥원 admin 2012-01-02 13530
26 World BGP Report admin 2011-12-28 13589
25 BGP AS4766 Korea Telecom IPv4 Route Propagation file admin 2011-12-28 15286
24 Introduction to MPLS admin 2011-12-25 14023
23 Protocol BGP Lab 1 Part 1 AS Path Local Preference Route Reflectors admin 2011-12-25 14681
22 IPSec Site to Site VPN tunnels admin 2011-12-25 14365
21 CONFIGURING STATIC ROUTING RIP IGRP OSPF ON CISCO ROUTER admin 2011-12-25 14624
20 BGP Study 유튜브 동영상 admin 2011-12-25 14469
19 Question about no ip-directed broadcast admin 2011-12-23 16846
18 IPv6 환경의 보안 위협 및 공격 분석 file admin 2011-12-22 13740
17 [Cisco] NAT Config 해설 admin 2011-12-19 87244
16 자이온의 실전! QoS 강좌 1 admin 2011-12-19 18302
15 3com 스위칭허브 스위칭용량및 속도 총정리 file admin 2011-12-16 19913
14 트래픽관리를 위한 MRTG 서버구축 admin 2011-12-16 17820
13 Brocade FastIron GS Series manuall file admin 2011-12-16 34856
12 CAT.6 UTP 케이블링 작업 요령 file admin 2011-12-16 19649
11 윈도우에서 특정아이피 차단 설정 하기 admin 2011-12-16 21777
10 정의랑의 네트워크이야기 - 네트워크 전반적인 분야 고수 admin 2011-12-16 13637
9 GRE Tunnel /VPN admin 2011-12-16 13948
8 VLAN과 TRUNK admin 2011-12-16 13303
7 와룡의 네트워크 카페에서 라우팅 ,스위칭공부 admin 2011-12-16 14029
6 방화벽 자료 admin 2011-12-16 13873
5 Subnet Mask Cheat Sheet admin 2011-12-16 14041
4 서브넷마스크 와일드마스크 계산기 file admin 2011-12-16 98048
3 KT 보안관제센터 직원들이 네트워크 감시 근무자 모니터 화면 admin 2011-12-16 16936
2 Juniper Training Courses admin 2011-12-16 16134
1 기간망의 네트워크 운용실의 대형 라우터장비 예 admin 2011-12-16 13326