[SK shieldus Rookies 29기] 15일차

어제에 이어서 마저 네트워크 설정을 시작하자!
Kali, Meatasploitable2 네트워크 설정은 어제 것을 보자
오늘은 윈도우 네트워크 설정이다.

네트워크관리사 실기 시험 준비하신 분들은 아시죠...

다 설정했으면 이제 ping을 날려서 제대로 되는지 확인을 합니다.

어..? 왜 안됨???

윈도우는 기본적으로 방화벽이 작동되고 있기 때문에 안 된다.
따라서 사용 안함으로 변경을 해주자!

정상적으로 작동됨을 확인할 수 있다.

---

이제 실습을 한 번 해보자.

관리자 권한으로 진행을 해보자

ARP packet이 엄청 많다. 왜 많을까?

시스템은 특정 IP 주소로 ICMP 에코 요청을 보내기 전에 먼저 해당 IP를 소유한 장치의 MAC 주소를 알아야 한다.
ARP는 로컬 네트워크의 IP 주소를 MAC 주소로 매핑하는 데 사용된다.

ping을 시도하는 각 IP 에 대해 Kali는 다음을 수행: fping

ARP 요청 보내기 : "192.168.10.X를 사용하는 사람은 누구인가요? MAC 주소를 알려주세요."

호스트가 존재하면 ARP 응답 으로 응답

해당 IP에 호스트가 없는 경우에도 ARP 요청 브로드캐스트는 계속 표시됨
(하지만 응답은 없습니다!).

arp.opcode == 2(reply), arp.opcode == 1(request)

---

---

3-way handshake 1단계

3-way handshake 2단계

---

Port Scan 공격 개요

Port Scan이란?

정의: 실제 공격 방법을 결정하거나 공격에 이용될 수 있는 네트워크 구조, 시스템이 제공하는 서비스 등의 정보를 얻기 위해 수행되는 방법

목적:

• 공격 대상 보안 장비 사용 현황 파악
• 우회 가능 네트워크 구조 확인
• 시스템 플랫폼 형태 파악
• 시스템 운영체제의 커널 버전 종류 확인
• 제공 서비스 종류 파악

Port Scan
├─ Sweeps
│   ├─ ICMP Sweep
│   ├─ TCP Sweep
│   └─ UDP Sweep
│
├─ Open Scan
│   ├─ TCP Scan
│   └─ UDP Scan
│
├─ Stealth Scan
│   ├─ FIN Scan
│   ├─ XMAS Scan
│   ├─ NULL Scan
│   └─ ACK Scan
│
└─ Security Scan
    ├─ OS/System
    ├─ Network Device
    └─ Application

---

Nmap 스캔 도구

Nmap (Network Mapper)

정의: 스캔 도구로 운영체제 종류 및 사용 서비스에 대한 정보를 수집하는 도구

---

📊 Nmap 스캔 옵션

옵션	내용
-sT	connect() 함수를 이용한 Open 스캔
-sS	세션을 성립시키지 않는 TCP SYN 스캔
-sF	FIN 패킷을 이용한 스캔
-sN	NULL 패킷을 이용한 스캔
-sX	XMAS 패킷을 이용한 스캔
-sU	UDP 포트 스캔
-sA	ACK 패킷에 대한 TTL 값의 분석

---

TCP Full Open Scan

TCP Full Open Scan 개념

정의: 스캔하고자 하는 포트에 접속을 시도해 완전한 TCP 연결을 맺어 신뢰성 있는 결과를 얻는 방법

특징:

• 포트가 열려있는 경우 SYN/ACK 패킷 수신
• SYN/ACK에 ACK 패킷을 전송하여 연결 완료
• 속도가 느리고 로그를 남겨 탐지 가능하다는 단점

---

TCP Full Open Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap TCP Full Open Scan 명령어

$ nmap -sT -O 192.168.10.20

결과 :

---

Wireshark 패킷 분석

Wireshark 분석 방법:

Statistics > Conversations > TCP > Port Number
→ 어떤 포트를 대상으로 스캔이 시도되었는지 쉽게 확인 가능

---

TCP Half Open Scan (SYN Scan)

TCP Half Open Scan 개념

정의: 세션에 대한 로그가 남는 TCP Full Open Scan을 보완하기 위한 기법

특징:

• 공격 대상으로부터 SYN/ACK 패킷을 받으면 공격자는 RST 패킷을 보내 연결을 끊음
• 세션을 완전히 연결하지 않음
• 로그를 남기지 않아 추적이 불가능하도록 하는 기법

---

📌 TCP Half Open Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap TCP Half Open Scan 명령어

$ nmap -sS 192.168.10.20

결과 :

---

Stealth Scan (스텔스 스캔)

Stealth Scan 개념

정의: 3-Way Handshaking 연결 기법을 이용한 것이 아닌, TCP 헤더를 조작하여 특수한 패킷을 만들어 스캔 대상의 시스템에 보내어 그 응답으로 포트 활성화 여부를 알아내는 기법

특징:

• 세션을 성립하지 않고 공격 대상 시스템 포트 활성화 여부를 알아냄
• 공격 대상 시스템에 로그를 남기지 않음
• 공격 대상의 시스템 관리자는 어떤 IP를 가진 공격자가 시스템을 스캔했는지 확인할 수 없음

---

FIN Scan

FIN Scan 개념

정의: TCP 헤더 내에서 FIN 플래그를 설정하여 공격 대상으로 메시지를 전송

특징:

• 포트가 열려있는 경우 응답이 없음
• 포트가 닫혀있는 경우 RST-ACK 응답

---

FIN Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap FIN Scan 명령어

$ nmap -sF 192.168.10.20

결과:

---

XMAS Scan

XMAS Scan 개념

정의: TCP 헤더 내에서 URG, PSH, FIN을 동시에 설정해서 전송

특징:

• 포트가 열려있는 경우 응답이 없음
• 포트가 닫혀있는 경우 RST-ACK 응답
• 크리스마스 트리처럼 여러 플래그가 켜져있다고 해서 XMAS라고 명명

---

XMAS Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap XMAS Scan 명령어

$ nmap -sX 192.168.10.20

결과:

---

XMAS Scan Wireshark 분석

TCP Flags 확인:

Flags: 0x029 (FIN, PSH, URG)

· Urgent: Set
· Acknowledgment: Not set
· Push: Set
· Reset: Not set
· Syn: Not set
· Fin: Set

---

NULL Scan

NULL Scan 개념

정의: TCP 헤더 내에 플래그 값을 설정하지 않고 패킷을 전송

특징:

• 포트가 열려있는 경우 응답이 없음
• 포트가 닫혀있는 경우 RST-ACK 응답

---

NULL Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap NULL Scan 명령어

$ nmap -sN 192.168.10.20

결과:

None으로 뜨는 것을 확인

---

UDP Scan

UDP Scan 개념

정의: UDP는 3-Way Handshake와 같은 절차가 없어 UDP 패킷을 전송 시 열려있는 포트로부터 특정 UDP 응답값으로 수신

특징:

• 수신측의 포트가 닫혀있는 경우 ICMP Port Unreachable 에러 메시지를 통해 포트 활성화 유무 확인

---

UDP Scan 동작

열린 포트인 경우

---

닫힌 포트인 경우

---

차단 정책으로 차단되어 있는 경우

---

Nmap UDP Scan 명령어

$ nmap -sU 192.168.10.20

---

Pharming 공격

Pharming 공격 개념

정의: 피싱(Phishing) + 조작(Farming)의 합성어

목적: 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융 거래 정보를 빼낸 후 금전적인 피해를 입히는 사기 수법

---

파밍 피해 흐름도

정상 흐름:
사용자 → 정상 웹사이트 접속 → 정상 서비스 이용

파밍 공격 흐름:
사용자 → DNS 조작 or ARP 조작
     → 가짜 웹사이트로 접속
     → 개인정보 탈취
     → 금전적 피해 발생

---

Spoofing 공격

Spoofing 개념

정의: '속이다'는 의미로 인터넷이나 로컬에서 존재하는 모든 연결에 Spoofing 가능

목적:

• 정보를 얻어내기 위한 중간 단계의 기술로 사용
• 시스템을 마비시키는데 사용

종류:

• ARP Spoofing
• DNS Spoofing

---

ARP Spoofing

ARP Spoofing 개념

정의: MAC 주소를 속이는 것

특징:

• 2계층에서 작동
• 공격 대상이 같은 LAN에 있어야 함

---

ARP Spoofing 동작 과정

정상 상태:
PC A (10.1.1.2, MAC: 00:00:10:00:00:20)
Router R1 (10.1.1.1, MAC: 00:00:ff:ff:00:00)

공격 시작:
1️⃣ PC A가 ARP Request 송신
   "누가 10.1.1.1을 가지고 있나요?"

2️⃣ Attacker (10.1.1.3, MAC: 00:00:aa:aa:fa:fa)가
   거짓 ARP Reply 송신
   "10.1.1.1은 00:00:aa:aa:fa:fa입니다" (거짓)

3️⃣ PC A의 ARP Table이 오염됨
   10.1.1.1 → 00:00:aa:aa:fa:fa (잘못된 매핑)

4️⃣ Router R1도 ARP Table이 오염됨
   10.1.1.2 → 00:00:aa:aa:fa:fa (잘못된 매핑)

결과:
PC A와 Router 간의 통신이 Attacker를 거치게 됨
Attacker는 모든 패킷을 가로챌 수 있음

---

ARP Spoofing 명령어

# arpspoof -i eth0 -t 192.168.10.40 192.168.10.2

옵션:
-i eth0              : 네트워크 인터페이스
-t 192.168.10.40     : 피해자 IP
192.168.10.2         : 위장할 IP (게이트웨이)

실습

Client의 Mac address를 확인해보자

공격 진행!

공격이 성공한 것을 확인!
이제 게이트웨이 나갈 때 Kali를 경유(Arp spoofing)

---

DNS Spoofing

DNS Spoofing 개념

정의: 실제 DNS 서버보다 빠르게 위조된 DNS Response 패킷을 보내 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 만드는 공격 방법

특징:

• 클라이언트는 이미 DNS Response를 받았으므로 정상 DNS Response는 Drop

---

DNS Spoofing 공격 시나리오

공격 전 정상 상태:

PC (192.168.1.20)
├─ Gateway: 192.168.1.254
├─ DNS: 192.168.5.250
└─ ARP Table: 192.168.1.254 → 7777.7777.7777 (라우터 MAC)

DNS Server (192.168.5.250)
└─ 192.168.100.10 → www.test.com

Web Server (www.test.com)
└─ 192.168.100.10, MAC: 1111.1111.1111

---

공격 시작:

Attacker (192.168.1.44, MAC: 4444.4444.4444)

1️⃣ ARP Spoofing 수행
   PC의 ARP Table 오염:
   192.168.1.254 → 5555.5555.5555 (위조 웹서버 MAC)

2️⃣ 위조 Web Server 준비
   192.168.1.50 (위조 서버)
   www.test.com으로 위장

3️⃣ DNS Spoofing 수행
   PC가 DNS 쿼리 송신:
   "www.test.com의 IP는?"

   Attacker가 빠르게 위조 응답:
   "www.test.com은 192.168.1.50입니다"

4️⃣ PC의 DNS Cache Table 오염
   192.168.1.50 → www.test.com (잘못된 매핑)

---

결과:

PC → www.test.com 접속 시도
  → DNS Cache: 192.168.1.50
  → ARP Table: 192.168.1.254 → 5555.5555.5555
  → 위조 웹서버 (192.168.1.50)로 접속
  → 개인정보 탈취

---

DNS Spoofing 명령어

# DNS Table 생성
# cd /
# nano /dns
192.168.10.10 www.sks.com


# DNS Spoofing 수행
# dnsspoof -f /dns

실습

칼리가 dns server가 아닌데 마치 dns server처럼 대답할 것임.

루트 칼리 창 2개 띄우고 하나는 arpspoof 계속 돌림
dnsspoof지금 대기 중~

실행된 것을 확인!

---

DDoS 공격 개요

DDoS 정의

DDoS (Distributed Denial of Service)

정의: 과도한 트래픽을 공격 대상에게 전송하여 서비스를 불가하게 하는 공격 기법

특징:

• 과도한 트래픽 또는 부하를 발생시켜 정상적인 통신이 불가능하게 만드는 통신 유형

---

DDoS 공격 원리

통신 기본 3요소

① 전송 매체 (회선)
   └─ End-to-End 연결 통로
   └─ 각 전송 매체별로 수용 가능한 대역폭 보유

② 정보원 (송수신자)
   └─ End-to-End 연결 중계 장비
   └─ 각각 처리할 수 있는 최대 성능 존재
   └─ 최대 성능은 CPU/메모리 등에 따라 달라짐

③ 프로토콜
   └─ 통신 규약
   └─ 정상적인 통신을 위해 미리 정의된 규약
   └─ TCP, UDP, ICMP 등

---

DDoS 공격 원리 - 전송 매체 공격

전송 매체별 대역폭 초과:

Optical Cable (10G 수용)
└─ 20G Traffic 발생 → 10G 초과 → 통신 마비

UTP Cable (1G 수용)
└─ 1.5G Traffic 발생 → 1G 초과 → 통신 마비

결과:
전송 매체가 수용할 수 있는 대역폭 이상의 트래픽 발생
→ 정상적인 통신 불가능

---

DDoS 공격 원리 - 정보원 공격

고성능 서버 (1초에 100만개 처리 가능)
└─ 1초에 500만개 업무 요청 발생
└─ 처리 능력 초과
└─ 서비스 불가능

결과:
각 정보원이 처리 가능한 성능 이상의 요청 발생
→ 정상적인 통신 불가능

---

DDoS 공격 원리 - 프로토콜 공격

Attacker → Target (미존재 IP로 위장)
└─ 프로토콜의 허점 이용
└─ 운영체제 또는 애플리케이션 비정상 상태
└─ 서비스 불가능

예시:
SYN Flooding:
미존재 IP로 SYN 패킷 다량 전송
→ Target이 SYN-ACK 응답 대기
→ 연결 대기 큐 가득 참
→ 정상 사용자 연결 불가

---

DDoS 공격 목적

DDoS 공격 목적

1️⃣ 금전 요구
   └─ 공격 중단 대가로 금전 요구

2️⃣ 개인적 원한
   └─ 보복 또는 불만

3️⃣ 경쟁사에 의한 공격/청부
   └─ 경쟁 업체 공격

4️⃣ 핵티비즘 (Hacktivism)
   └─ 정치적/사회적 목적

5️⃣ 시스템 침투
   └─ 파일 유출 또는 변조

---

DoS vs DDoS

DoS (Denial of Service)

정의: 특정 공격 PC 또는 서버 1대에서 공격 대상 서버 1대로 과도한 트래픽 또는 패킷을 전송하는 ** 1:1 형태**

Attacker (1대)
    ↓
과도한 트래픽
    ↓
Target Server (1대)

---

DDoS (Distributed Denial of Service)

정의: 악성코드에 감염된 여러 대의 좀비들을 이용하여 동시에 공격하므로** N:1 형태**

C&C Server (명령 서버)
    ↓
명령 전달
    ↓
좀비(봇넷) 1 ─┐
좀비(봇넷) 2 ─┤
좀비(봇넷) 3 ─┼→ 동시 공격
좀비(봇넷) 4 ─┤
좀비(봇넷) N ─┘
    ↓
과도한 트래픽
    ↓
Target Server

특징:
서버와 차단 장비의 성능이 높아짐에 따라
DoS 같은 1:1 공격은 더 큰 효과를 낼 수 없게 됨
→ 공격 성능 증대를 위해 DDoS 탄생

---

DDoS 대역폭 공격

DDoS 대역폭 공격 개념

목적: 대용량의 트래픽 전송으로 인한 네트워크 회선 대역폭 고갈

영향: 회선 대역폭 고갈로 인한 정상 사용자 접속 불가

주요 프로토콜: UDP, ICMP

특징: 주로 위조된 큰 크기의 패킷과 위조된 출발지 IP 사용

---

📊 대역폭 공격 유형

구분	내용
대표적인 공격 유형	UDP Flooding, ICMP Flooding, Fragment Flooding
공격 목적	회선 대역폭 잠식
공격 대상	bps (bit per second)
공격 기법	네트워크 계층 (Layer 3/4)

---

Fragmentation Flooding Attack

개념: 네트워크 기기가 전송할 수 있는 최대 전송 단위 MTU 이상의 크기의 패킷을 전송 시, 패킷이 분할되는 단편화(Fragmentation)의 특징을 이용한 공격 유형

명령어:

# hping3 --icmp --rand-source 192.168.10.20 -d 65000 --flood

옵션:
--icmp                 : ICMP 프로토콜 사용
--rand-source          : 출발지 IP 랜덤 생성
192.168.10.20          : 공격 대상 IP
-d 65000               : 데이터 크기 65000 바이트
--flood                : 플러딩 공격

결과:
)

Attacker
    ↓
65000 바이트 ICMP 패킷 전송
    ↓
단편화 발생 (MTU 1500 기준)
├─ Fragment 1: 1500 bytes
├─ Fragment 2: 1500 bytes
├─ Fragment 3: 1500 bytes
├─ ...
└─ Fragment N: 나머지 bytes
    ↓
Target에서 재조립 필요
    ↓
CPU/메모리 자원 소모
    ↓
서비스 마비

---

DDoS 자원 고갈 공격

DDoS 자원 고갈 공격 개념

목적: 정상 혹은 비정상적인 TCP Flag가 설정된 패킷을 서버 또는 네트워크 장비로 전송하여 장비의 자원 고갈

영향: 장비의 특정 자원이 고갈되어 정상적인 운영 불가

주요 프로토콜: TCP

특징: TCP Flag를 이용하여 위조된 IP 사용

---

📊 자원 고갈 공격 유형

구분	내용
대표적인 공격 유형	SYN Flooding, ACK Flooding, Fragment Flooding
공격 목적	서버 및 네트워크 장비의 자원 고갈로 인한 장비 운영 불가
공격 대상	PPS (Packet Per Second)
공격 기법	네트워크 계층 (Layer 3/4)

---

SYN Flooding Attack

개념: TCP의 3-Way-Handshake 과정에서 발생 가능한 취약점을 이용한 공격 유형

Attacker (미존재 IP 위장)
    ↓
① SYN 패킷 대량 전송
    ↓
Target Server
    ↓
② SYN-ACK 응답 전송 (미존재 IP로)
    ↓
③ ACK 응답 대기 (계속 대기)
    ↓
연결 대기 큐가 가득 참
    ↓
Half-Open 연결 누적
    ↓
정상 사용자 연결 불가
    ↓
서비스 마비

---

명령어:

# hping3 --rand-source 192.168.10.20 -p 80 -S --flood

옵션:
--rand-source          : 출발지 IP 랜덤 생성
192.168.10.20          : 공격 대상 IP
-p 80                  : 대상 포트 (HTTP)
-S                     : SYN 플래그 설정
--flood                : 플러딩 공격

효과:
10초 내에 패킷 50만 개 이상의 SYN 전송
→ Web Server의 HTTP 서비스 지연 또는 정지

)

---

✅ Port Scan 필수 암기

1. TCP Full Open Scan: 3-Way 완료, 로그 남김
2. TCP Half Open Scan: SYN-SYN/ACK-RST, 로그 안남김
3. FIN Scan: FIN 플래그, 열린 포트는 응답 없음
4. XMAS Scan: FIN+PSH+URG, 열린 포트는 응답 없음
5. NULL Scan: 모든 플래그 0, 열린 포트는 응답 없음
6. UDP Scan: 닫힌 포트는 ICMP Port Unreachable

---

✅ Pharming 공격 필수 암기

1. ARP Spoofing: MAC 주소 위조, 2계층 공격
2. DNS Spoofing: DNS 응답 위조, 가짜 IP 제공

---

✅ DDoS 공격 필수 암기

1. DoS: 1:1 공격
2. DDoS: N:1 공격 (좀비 PC 이용)
3. 대역폭 공격: UDP/ICMP, bps 목표
4. 자원 고갈 공격: TCP, pps 목표
5. SYN Flooding: 3-Way 취약점 이용

---

다계층 스위치 (Multilayer Switch)

Multilayer Switch 개념

정의: OSI 7계층 중 여러 계층에서 동작하는 스위치

---

📊 계층별 스위치 비교

스위치	OSI 계층	주요 기능	주요 용도
L2 Switch	2계층 (MAC Address)	Learning, Forwarding, Filtering	Frame 전송
L3 Switch	3계층 (Network)	Routing, Switching	Packet 전송
L4 Switch	4계층 (Session)	Load Balance, Switching, Security	FLB, SLB, Security
L7 Switch	7계층 (Content)	Content 인식, 로드 밸런싱	Content 관리

---

L2 Switch

L2 Switch 개념

정의: 2계층(Data Link)에서 동작하며 MAC 주소를 기반으로 프레임을 전송

기능:

• Learning (학습): MAC 주소 학습
• Forwarding (전송): 프레임 전송
• Filtering (필터링): 브로드캐스트 도메인 분리

---

L3 Switch

L3 Switch 개념

정의: 3계층(Network)에서 동작하며 IP 주소를 기반으로 패킷을 라우팅

기능:

• Routing (라우팅): IP 기반 경로 결정
• Switching (스위칭): 고속 전환

---

L4 Switch

L4 Switch 개념

정의: 4계층(Transport)에서 동작하며 포트 번호와 IP 주소를 기반으로 로드 밸런싱

특징:

• 세션(Session) 기반 처리
• 송신지 IP, 수신지 IP, 송신 포트, 수신 포트 분석
• Sticky Mode를 통해 동일 세션을 같은 서버로 연결

---

L4 Switch 로드 밸런싱

목적:

• 외부 VIP (Virtual IP): 200.1.1.10:80
• HTTP 요청을 여러 웹서버로 분산
• 각 요청마다 서버 선택

---

L4 Switch HTTP/HTTPS 분산

클라이언트 요청:
http://200.1.1.10
https://200.1.1.10

L4 Switch 분산:
├─ HTTP (포트 80)
│  ├─ 192.168.10.10 (Web#1)
│  ├─ 192.168.10.20 (Web#2)
│  ├─ 192.168.10.30 (Web#3)
│  └─ 192.168.10.40 (Web#4)
│
└─ HTTPS (포트 443)
   ├─ 192.168.10.10 (Web#1)
   ├─ 192.168.10.20 (Web#2)
   ├─ 192.168.10.30 (Web#3)
   └─ 192.168.10.40 (Web#4)

결과: 포트 기반 분산으로 부하 균등 분배

---

L7 Switch

L7 Switch 개념

정의: 7계층(Application)에서 동작하며 URL 또는 도메인명을 기반으로 라우팅

특징:

• 콘텐츠 기반 라우팅
• 도메인명 또는 URL 패턴 인식
• 더 정교한 로드 밸런싱 가능

---

L7 Switch 콘텐츠 기반 분산

클라이언트 요청:
https://www.test.com
https://m.test.com(m은 mobile; 휴대폰으로 보면 주소가 m으로 나타남)

L7 Switch 분산 (도메인명 기반):
├─ www.test.com 요청
│  ├─ 192.168.10.10 (Web#1)
│  ├─ 192.168.10.20 (Web#2)
│  ├─ 192.168.10.30 (Web#3)
│  └─ 192.168.10.40 (Web#4)
│
└─ m.test.com 요청 (모바일)
   ├─ 192.168.10.30 (Web#3 모바일 서버)
   └─ 192.168.10.40 (Web#4 모바일 서버)

결과: URL 기반 분산으로 서비스별 최적화

---

L4 Switch 로드 밸런싱

FLB (Firewall Load Balancing)

정의: 방화벽 레벨에서의 로드 밸런싱

인터넷 (LG)
    ↓
Router
    ↓
L4 Switch (Active)
    ↓
방화벽 (Active)

인터넷 (KT)
    ↓
Router
    ↓
L4 Switch (Backup)
    ↓
방화벽 (Backup)

DMZ (내부 네트워크)
    ↓
Switch
    ↓
Web Servers

---

SLB (Server Load Balancing)

정의: 서버 레벨에서의 로드 밸런싱

인터넷 (LG)
    ↓
Router
    ↓
L4 Switch (Active)
    ↓
방화벽 (Active)

인터넷 (KT)
    ↓
Router
    ↓
L4 Switch (Backup)
    ↓
방화벽 (Backup)

내부 DMZ
    ↓
L4 Switch (서버 분산)
    ├─ Web Server 1
    ├─ Web Server 2
    ├─ Web Server 3
    └─ Web Server 4

---

사내망 구성 - 기본

3계층 네트워크 구조

Internet
    ↓
Core Layer (코어 계층)
├─ 고속 스위칭
├─ 백본 연결
└─ 신뢰성 높음
    ↓
Distribution Layer (분배 계층)
├─ Policy-Based Connectivity
├─ Edge Distribution Module
└─ 부서별 스위치 블록
    ↓
Access Layer (접근 계층)
├─ Workgroup Access
├─ 부서별 스위치
└─ 엔드 디바이스 연결

---

사내망 구성 - IP 대역

계층별 서브넷 구성

Core Layer (핵심)
Core Router

배분 된 IP 대역:
├─ 10.1.1.0 ~ 10.1.4.0/24
├─ 10.2.1.0 ~ 10.2.4.0/24
└─ 10.3.1.0 ~ 10.3.4.0/24

Distribution Layer
├─ 부서별 서브넷
└─ 각 부서 4개 C클래스

Access Layer
├─ 부서 스위치
└─ 최종 사용자 단말

---

사내망 구성 - 멀티 건물

건물 간 연결

Building 1
├─ 로컬 스위치
└─ 사용자 단말

Building 2
├─ 로컬 스위치
└─ 사용자 단말

Building 3
├─ 로컬 스위치
└─ 사용자 단말

Building 4
├─ 로컬 스위치
└─ 사용자 단말

모든 건물이 Core Router를 통해 연결

---

사내망 구성 - 복합 시스템

실제 기업 네트워크 예시

Internet ← → 과천센터 (C7513, C4000)

방화벽 (PIX520)
    ↓
Back Bone (C6509)
    ↓
17층 ~ 14층
├─ C4201 (14층)
├─ C2980 (4층)
└─ 스위치들

Back Bone (계속)
    ↓
3층 (메인 스위치)
    ↓
2층
    ↓
1층 (C3548XL)
    ↓
4층 서버팜 (26대 서버)

---

보안 솔루션 개요

보안 솔루션 분류

보안 솔루션
├─ 경계 보안
│   ├─ 방화벽 (Firewall)
│   ├─ IDS/IPS
│   ├─ WAF (Web Application Firewall)
│   ├─ NAC (Network Access Control)
│   └─ VPN
│
├─ 침투 방지
│   ├─ 악성코드 탐지
│   ├─ 침입 탐지
│   └─ 실시간 차단
│
└─ 통합 관리
    ├─ UTM (Universal Threat Management)
    ├─ SIEM (Security Information & Event Management)
    └─ ESM (Enterprise Security Manager)

---

네트워크 구성도 - 4 Zone

4가지 보안 존(Zone) 개념

---

📊 각 Zone의 특징

① Internet (Untrust Zone)
   └─ 인터넷을 통해 외부에서 직접 접근 가능한 구간
   └─ 가장 위험한 영역

② DMZ (Public/Service Zone)
   └─ 외부망과 내부망 사이에 위치한 중간지점
   └─ 접근 통제시스템을 통해 접근 통제 수행
   └─ 외부 서비스 제공 (Web, Mail, DNS 등)
   └─ 내부 자원/시스템 보호

③ Intranet (Private/Trust Zone)
   └─ 물리적으로 분리된 망 (물리적 망분리)
   └─ 접근 통제시스템에 의해 인터넷으로 직접 접근 불가
   └─ 기업 내부 데이터베이스, 파일 서버 위치
   └─ 가장 보호되는 영역

④ Extranet (대외망)
   └─ 회사 대 회사로 서비스 연동 필요한 경우
   └─ 인터넷, 전용선, VPN 등으로 연동

---

네트워크 구성도 - DMZ 상세

DMZ를 활용한 보안 아키텍처

외부 네트워크
    ↓
Router
    ↓
방화벽 (접근 통제)
    ↓
DMZ 네트워크 1 (Servers)
├─ Web Server
├─ Mail Server
└─ DNS Server
    ↓
Switch
    ↓
방화벽 (내부 접근 통제)
    ↓
내부 네트워크 (Intranet)
├─ DB Server
├─ 파일 서버
└─ 내부 서비스 서버

---

보안 장비 설치 모드

2가지 설치 방식

① In-Line 모드
   ├─ 물리적 네트워크 경로상에 설치
   ├─ IPS, Anti-DDoS, Firewall
   └─ 실시간 차단 가능

② Out-of-Path (Mirror) 모드
   ├─ TAP 또는 SPAN 사용
   ├─ IDS, Anti-APT, Network Forensic
   └─ 실시간 차단 어려움

---

In-Line 모드

In-Line 모드 상세

정의: 물리적 네트워크 경로상에 보안장비를 설치

특징:

• 모든 트래픽이 보안장비를 거침
• 패킷 차단 목적의 장비 적용

장점:

• ✅ 실시간 패킷 탐지 및 차단
• ✅ 차단 기능 보유

단점:

• ❌ 장애 발생 시 전체 네트워크 장애로 확산
• ❌ 전체 네트워크 가용성에 영향

적용 장비:

• Anti-DDoS
• Firewall
• IPS

---

Out-of-Path (Mirror) 모드

Out-of-Path 모드 상세

정의: 미러링 장비(예: TAP)를 통해 복제된 패킷을 받아서 탐지

특징:

• 네트워크 경로를 벗어난 곳에 위치
• 복제된 패킷 분석

장점:

• ✅ 전체 네트워크 가용성에 영향 없음
• ✅ 네트워크 장애와 무관

단점:

• ❌ 복제 패킷 분석이므로 실시간 차단 어려움
• ❌ 차단 기능 부재

적용 장비:

• IDS
• Anti-APT
• Network Forensic
• NIDS (Network-based IDS)

---

방화벽 (Firewall)

방화벽 개념

정의: IP 주소와 포트 번호를 기반으로 방화벽 rule set(필터링 정책)에 따라 패킷 필터링을 수행하는 보안장비

---

방화벽 주요 기능

① 접근제어 (Access Control) / 패킷필터링
   └─ IP, 포트 기반 필터링

② NAT (Network Address Translation)
   └─ 사설/공개 IP 변환

③ 액세스 기록 기능
   └─ 로그 기록

④ 사용자 인증 (Authentication)
   └─ 사용자 관리

⑤ 암호화 + 터널링
   └─ VPN 지원

---

방화벽 정책 설정 (Rule Set)

방화벽 Rule Set 정책표

주요 정책:

외부 → 내부:
└─ 대부분 거부 (Deny)
└─ HTTP, SMTP, POP3 등 특정 서비스만 허용

외부 → DMZ:
└─ HTTP, SMTP, POP3 허용
└─ 시간 제한 가능

내부 → 외부:
└─ HTTP, SMTP, POP3 허용
└─ 모든 시간대 허용

내부 → DMZ:
└─ 인증된 사용자만 허용
└─ HTTP, SMTP, POP3

DMZ → 외부:
└─ VoIP SIP 제외 모든 서비스 거부

DMZ → 내부:
└─ 대부분 모든 포트 허용 (백업 등)
└─ 의심 포트 제외

---

방화벽 한계

방화벽이 막을 수 없는 공격

① 내부 네트워크에 존재하는 악의적인 공격
   └─ 내부 사용자의 공격은 탐지 불가

② 방화벽을 경유하지 않는 공격
   └─ 우회 경로를 통한 공격

③ 방화벽 방어 규칙에 포함되지 않는 공격
   └─ 신종 공격에 대한 대응 불가

④ 데이터에 실려있는 악성코드나 바이러스
   └─ 메일에 첨부된 악성코드 미탐지

⑤ DoS와 DDoS 공격
   └─ 대량의 정상 트래픽으로 가장

---

침입탐지시스템 (IDS)

IDS 개념

정의: 공격을 탐지하고 관리자에게 공격 알림을 통해 공격에 대처할 수 있게 해주는 보안시스템

기능:

• 전달하는 패킷의 내용이나 로그 분석
• 악성코드 탐지 가능
• 공격 패턴 인식

---

📊 IDS 분류

분류	설명	위치
HIDS	Host-based IDS	개별 서버 설치
NIDS	Network-based IDS	네트워크 세그먼트

---

HIDS (Host-based IDS)

HIDS 개념

정의: 서버에 직접 설치되며 호스트의 자원 사용 실태, 로그 등을 분석하여 침입 여부를 탐지

특징:

• 서버에 직접 설치
• 네트워크 환경과 무관
• 무결성 검사(Integrity Check) 주요 기능

---

HIDS 무결성 검사

동작:

1️⃣ 최초 설치 시
   └─ 중요 파일들에 대한 해시값 계산 및 저장

2️⃣ 정기적 검사
   └─ 중요 파일의 해시값 변조 유무 검사

3️⃣ 변조 감지
   └─ 해시값 불일치 → 침입 의심
   └─ 분석 및 결과 보고

오픈소스:

• Tripwire (트립와이어)

---

NIDS (Network-based IDS)

NIDS 개념

정의: 네트워크상에서 일어나는 침입 시도를 탐지

특징:

• 네트워크 세그먼트당 하나만 설치
• 설치 용이
• 미러링(Mirroring) 기능 활용

---

NIDS 패킷 수집

미러링 프로세스:

1️⃣ 패킷 복사
   └─ 스위치의 미러링 포트 또는 TAP 장비 사용

2️⃣ 패킷 전달
   └─ 복사된 패킷을 NIDS로 전달

3️⃣ 필터링
   └─ 불요한 정보 제거
   └─ 지정된 수준의 데이터만 수집

4️⃣ 축약 (Reduction)
   └─ 통계적/수학적 기법 적용
   └─ 반복되는 데이터 제거

오픈소스:

• Snort

---

IDS 탐지 방법 - 이상탐지

이상탐지 (Anomaly Detection)

정의: 행동 기반의 탐지, 정상 범위를 벗어나는 데이터를 탐지

특징:

• 정량적 분석, 통계적 분석 사용
• 형태 관찰, 프로파일 생성
• 프로파일 기반 이상 여부 확인

데이터 예시:

• I/O 사용량
• 로그인 횟수
• 패킷 양

장점:

• ✅ 미탐률 (False Negative) 낮음
• ✅ 인공지능 알고리즘 사용으로 자동 판단
• ✅ 패턴 업데이트 불필요
• ✅ 알려지지 않은 새로운 공격 탐지 가능

단점:

• ❌ 오탐률 (False Positive) 높음
• ❌ 정상과 비정상 구분을 위한 임계치 설정 어려움

---

IDS 탐지 방법 - 오용탐지

오용탐지 (Misuse Detection)

정의: 시그니처 기반의 탐지, 알려진 공격법이나 보안정책 위반 행동에 대한 패턴 탐지

특징:

• 공격 분석 결과를 바탕으로 패턴 설정
• 패턴(시그니처)과 비교
• 일치하는 경우 불법 침입으로 간주

장점:

• ✅ 오탐률 (False Positive) 낮음
• ✅ 트로이목마, 백도어 공격 탐지 가능

단점:

• ❌ 미탐률 (False Negative) 높음
• ❌ 새로운 공격 탐지를 위해 지속적인 패턴 갱신 필요
• ❌ 패턴에 없는 새로운 공격은 탐지 불가능

---

False Negative & False Positive

탐지 오류 개념

미탐지 (False Negative):

정의: 공격을 탐지하지 못하는 경우
위험도: 높음 (공격이 통과함)

특징:
- 시그니처 기반 탐지 시스템에서 높음
- 알려지지 않은 공격에서 발생

오탐지 (False Positive):

정의: 공격이 아닌 것을 공격으로 탐지하는 경우
영향: 운영 비효율

특징:
- 행동 기반 탐지 시스템에서 높음
- 정상 행위를 비정상으로 판단

정보기 준비하는 사람들은 익숙한 그래프이다.
볼 때마다 헷갈림...

---

IDS 한계

IDS가 처리할 수 없는 공격

① 오탐지 (False Positive)와 미탐지 (False Negative) 문제
   └─ 공격 패턴을 모르면 분석과 탐지 어려움

② 실시간 공격을 막을 수 없음
   └─ 탐지 후 사후 조치만 가능

③ 단편화(Fragmentation), 난독화, 암호화 감지 어려움
   └─ 패킷 변조 공격 탐지 불가

④ 사후 대응만 가능
   └─ 공격이 이미 발생 후 탐지

---

침입방지시스템 (IPS)

IPS 개념

정의: 침입탐지시스템(IDS)의 탐지 기능과 방화벽의 차단 기능을 결합

특징:

• Detection (탐지) + Blocking (차단)
• 이상 행위 탐지 (Anomaly Detection)를 통해 알려지지 않은 공격 대응
• In-Line 방식으로 설치 및 운영
• 능동형 보안 솔루션

---

📊 IDS vs IPS 비교

구분	IDS	IPS
기능	탐지만	탐지 + 차단
설치 방식	Out-of-Path	In-Line
시점	사후 조치	사전 조치
특징	반응형	능동형
인터넷 웜 차단	❌	✅
악성코드 차단	❌	✅

---

IPS 침입차단 필터

IPS 7가지 필터

#	필터	기능
1	방화벽 필터	액세스 제어, 패킷 필터링 (IP, 포트)
2	트래픽 모니터링 및 QoS 필터	프로토콜별, 서비스별, IP 영역별 QoS
3	프로토콜 무결성 확인 필터	FTP, DNS, 메일, 웹 프로토콜 표준 위반 검사
4	Signature 이상감시 필터	악성코드, 취약성, 웜 탐지 및 차단
5	DoS/DDoS 스캔 필터	DoS/DDoS 공격 탐지 및 차단
6	L7 필터	TCP/IP 단편화, 웹 우회 공격 등 L7 디코딩
7	데이터 콘텐츠 필터	데이터 내용 기준으로 필터링

---

IPS 필터 동작

패킷 입력
    ↓
공격 검사 필터
├─ 악의적 패킷 탐지
└─ 정상 패킷 판별
    ↓
무결성 검사 필터
├─ 유해 패킷 차단
├─ 정상 패킷 허용
└─ 결함 패킷 분석
    ↓
필터링 결과 출력
├─ 허용 또는 차단
└─ 로그 기록

---

보안망 구성도 예시

실제 구축된 보안 네트워크

Internet
    ↓
DDoS 방화벽
    ↓
방화벽 (L2)
    ↓
L2 백본 스위치
    ↓
├─ DMZ Zone
│  ├─ WAF (Web Application Firewall)
│  ├─ 스팸 차단 시스템
│  ├─ Web Server
│  ├─ Mail Server
│  └─ IDS/IPS
│
├─ Internal Zone (Intranet)
│  ├─ L3 Switch
│  ├─ 방화벽
│  ├─ 사용자 PC
│  └─ DB 서버
│
└─ Server Zone
   ├─ 통합 서버
   ├─ DB 서버
   ├─ Storage (SAN/NAS)
   ├─ L4 Switch
   └─ 관리 서버 (ESM, SMS, NMS)

---

✅ 스위치 종류

1. L2 Switch: MAC 기반, Frame 전송
2. L3 Switch: IP 기반, Routing
3. L4 Switch: 포트 기반, 로드 밸런싱
4. L7 Switch: URL(text) 기반, 콘텐츠 라우팅

✅ 보안 존 (4 Zone)

1. Internet (Untrust): 외부 네트워크
2. DMZ (Public): 중간 보안 영역
3. Intranet (Trust): 내부 네트워크
4. Extranet (대외망): 파트너 연결

✅ 보안 장비 설치 모드

• In-Line: 경로상 설치, 실시간 차단 가능 (IPS, Firewall)
• Out-of-Path: 경로 외 설치, 차단 불가능 (IDS)

✅ IDS vs IPS

• IDS: 탐지만, Out-of-Path, 사후 조치
• IPS: 탐지+차단, In-Line, 사전 예방

---

아....힘들어 벌써 10시야... 복습 빡세다