[S3]Chapter6.[네트워크] 심화

박현석·2022년 11월 12일
1

코드스테이츠

목록 보기
27/40
post-thumbnail

TCP/IP

네트워크의 시작

  • 인터넷 프로토콜, 즉 IP 기반의 네트워크는 미 국방성에서 1969년 진행했던 아르파넷(ARPANET) 프로젝트에서 시작

회선교환 방식

  • 발신자와 수신자 사이에 데이터를 전송할 전용선을 미리 할당하고 둘을 연결
  • 내가 연결하고 싶은 상대가 다른 상대와 연결중이라면, 상대방은 이미 다른 상대와의 전용선과 연결되어 있기 때문에 그 연결이 끊어지고 나서야 상대방과 연결할 수 있다.
  • 특정 회선이 끊어지는 경우에는 처음부터 다시 연결을 성립해야한다.
  • 즉시성이 떨어진다.

패킷교환 방식

  • 패킷이라는 단위로 데이터를 잘게 나누어 전송하는 방식(소포를 보내듯이)
  • 각 패킷에는 출발지와 목적지 정보가 있고 이에 따라 패킷이 목적지를 향해 가장 효율적인 방식으로 이동할 수 있다.
  • 특정 회선이 전용선으로 할당되지 않기 때문에 빠르고 효율적으로 데이터를 전송

IP 와 IP Packet

  • 복잡한 인터넷 망 속 수많은 노드들을 지나 어떻게 클라이언트와 서버가 통신할 수 있을까요?
  • IP(인터넷 프로토콜) 주소를 컴퓨터에 부여하여 이를 이용해 통신합니다.
  • IP는 지정한 IP 주소(IP Address)에 패킷(Packet)이라는 통신 단위로 데이터 전달
  • IP 패킷에서 패킷은 pack과 bucket이 합쳐진 단어
  • IP 패킷은 우체국 송장처럼 전송 데이터를 무사히 전송하기 위해 출발지 IP, 목적지 IP와 같은 정보가 포함
  • 패킷 단위로 전송을 하면 노드들은 목적지 IP에 도달하기 위해 서로 데이터를 전달
  • 복잡한 인터넷 망 사이에서도 정확한 목적지로 패킷을 전송할 수 있습니다.
  • 서버 역시 IP 패킷을 이용해 클라이언트에 응답을 전달

IP 와 Packet - IP 한계

  • 비연결성
    - 패킷을 받을 대상이 없거나 서비스 불능 상태여도 패킷 전송
  • 비신뢰성
    - 중간에 패킷이 사라질 수 있음
    • 패킷의 순서를 보장할 수 없음

TCP vs UDP

  • IP 프로토콜 보다 더 높은 계층에 TCP 프로토콜이 존재하기 때문에 앞서 다룬 IP 프로토콜의 한계를 보완
  • TCP/IP 4 계층은 OSI 7 계층보다 먼저 개발되었으며 TCP/IP 프로토콜의 계층은 OSI 모델의 계층과 정확하게 일치하지는 않습니다.
  • 실제 네트워크 표준은 업계표준을 따르는 TCP/IP 4 계층에 가깝습니다.
  • 채팅 프로그램에서 메서지를 보낼때 먼저 HTTP 메세지가 생성되면 Socket(네트워크 환경에 연결 할 수 있게 만들어진 연결부) 을 통해 전달됩니다.
  • IP 패킷을 생성하기 전 TCP 세그먼트를 생성
  • 생성된 TCP/IP 패킷은 LAN 카드와 같은 물리적 계층을 지나기 위해 이더넷 프레임 워크에 포함되어 서버로 전송
  • TCP 세그먼트에는 IP 패킷의 출발지 IP와 목적지 IP 정보를 보완할 수 있는 출발지 PORT, 목적지 PORT, 전송 제어, 순서, 검증 정보 등을 포함

TCP 특징

1. 연결 지향 - TCP 3 way handshake (가상 연결)

  • 장치들 사이에 논리적인 접속을 성립하기 위하여 3 way handshake를 사용하는 연결지향형 프로토콜
  • 클라이언트는 서버에 접속을 요청하는 SYN 패킷을 보냅니다.
  • 서버는 SYN요청을 받고 클라이언트에게 요청을 수락한다는 ACK 와 SYN가 설정된 패킷을 발송하고 클라이언트가 다시 ACK으로 응답하기를 기다립니다.
  • 클라이언트가 서버에게 ACK을 보내면 이 이후로부터 연결이 성립되며 데이터를 전송할 수 있습니다.
  • 만약 서버가 꺼져있다면 클라이언트가 SYN을 보내고 서버에서 응답이 없기 때문에 데이터를 보내지 않습니다.
  • 현재에는 최적화가 이루어져 3번 ACK을 보낼때 데이터를 함께 보내기도 합니다.

2. 데이터 전달 보증

  • TCP는 데이터 전송이 성공적으로 이루어진다면 이에 대한 응답을 돌려주기 때문에 IP 패킷의 한계인 비연결성을 보완

3. 순서 보장 / 4. 신뢰할 수 있는 포로토콜

  • 만약 패킷이 순서대로 도착하지 않는다면 TCP 세그먼트에 있는 정보를 토대로 다시 패킷 전송을 요청
  • 이를 통해 IP 패킷의 한계인 비신뢰성(순서를 보장하지 않음)을 보완할 수 있습니다.

UDP 특징

  • 하얀 도화지에 비유 (기능이 거의 없음)
  • 비 연결지향 - TCP 3 way handshake X
  • 데이터 전달 보증 X
  • 순서 보장 X
  • 데이터 전달 및 순서가 보장되지 않지만, 단순하고 빠름
  • 신뢰성보다는 연속성이 중요한 서비스(e.g. 실시간 스트리밍)에 자주 사용된다.

TCP vs UDP

네트워크 계층 모델

OSI 7계층 모델

  • ISO(International Organization for Standardization)라고 하는 국제표준화기구에서 1984년에 제정한 표준 규격

왜 네트워크에 대한 표준 규격을 정해야만 했을까?

  • 같은 회사에서 만든 컴퓨터끼리만 통신이 가능했던 시절이 있었다.
  • 다른 회사의 시스템이라도 네트워크 유형에 관계없이 상호 통신이 가능한 규약, 즉 프로토콜(Protocol)이 필요
  • 표준화를 통하여 포트, 프로토콜의 호환 문제를 해결
  • 네트워크 시스템에서 일어나는 일을 해당 계층 모델을 이용해 쉽게 설명
  • 네트워크 관리자가 문제가 발생 했을 때 이것이 물리적인 문제인지, 응용 프로그램과 관련이 있는지 등 원인이 어디에 있는지 범위를 좁혀 문제를 쉽게 파악
  • 즉 사이트에 접속되지 않는다고 해서 무작정 컴퓨터를 껐다 키는 일을 피할 수 있습니다.

1계층 - 물리 계층

  • OSI 모델의 맨 밑에 있는 계층으로서, 시스템 간의 물리적인 연결과 전기 신호를 변환 및 제어하는 계층입니다. 주로 물리적 연결과 관련된 정보를 정의합니다. 주로 전기 신호를 전달하는데 초점을 두고, 들어온 전기 신호를 그대로 잘 전달하는 것이 목적
    - e.g. 디지털 또는 아날로그로 신호 변경

2계층 - 데이터링크 계층

  • 네트워크 기기 간의 데이터 전송 및 물리주소(e.g. MAC 주소)를 결정하는 계층입니다. 물리 계층에서 들어온 전기 신호를 모아 알아 볼 수 있는 데이터 형태로 처리 합니다. 이 계층에서는 주소 정보를 정의하고 출발지와 도착지 주소를 확인한 후, 데이터 처리를 수행
    - e.g. 브리지 및 스위치, MAC 주소

3계층 - 네트워크 계층

  • OSI 7 계층에서 가장 복잡한 계층 중 하나로서 실제 네트워크 간에 데이터 라우팅을 담당합니다. 이때 라우팅이란 어떤 네트워크 안에서 통신 데이터를 짜여진 알고리즘에 의해 최대한 빠르게 보낼 최적의 경로를 선택하는 과정을 라우팅
    - e.g. IP 패킷 전송

4계층 - 전송 계층

  • 컴퓨터간 신뢰성 있는 데이터를 서로 주고받을 수 있도록 하는 서비스를 제공하는 계층입니다. 하위 계층에서 신호와 데이터를 올바른 위치로 보내고 신호를 만드는데 집중했다면, 전송 계층에서는 해당 데이터들이 실제로 정상적으로 보내지는지 확인하는 역할을 합니다. 네트워크 계층에서 사용되는 패킷은 유실되거나 순서가 바뀌는 경우가 있는 데, 이를 바로 잡아주는 역할도 담당
    - e.g. TCP/UDP 연결

5계층 - 세션 계층

  • 세션 연결의 설정과 해제, 세션 메시지 전송 등의 기능을 수행하는 계층입니다. 즉, 컴퓨터간의 통신 방식에 대해 결정하는 계층이라고 할 수 있습니다. 쉽게 말해, 양 끝 단의 프로세스가 연결을 성립하도록 도와주고, 작업을 마친 후에는 연결을 끊는 역할

6계층 - 표현 계층

  • 응용 계층으로 전달하거나 전달받는 데이터를 인코딩 또는 디코딩하는 계층입니다. 일종의 번역기 같은 역할을 수행하는 계층
    - e.g. 문자 코드, 압축, 암호화 등의 데이터 변환

7계층 - 응용 계층

  • 최종적으로 사용자와의 인터페이스를 제공하는 계층으로 사용자가 실행하는 응용 프로그램(e.g. Google Chrome)들이 해당 계층
    - e.g. 이메일 및 파일 전송, 웹 사이트 조회

데이터 캡슐화

  • 각 계층은 독립적이므로 데이터가 전달되는 동안에 다른 계층의 영향을 받지 않습니다.
  • 데이터를 전송하는 쪽은 데이터를 보내기 위해서 상위 계층에서 하위 계층으로 데이터를 전달
  • 이때 데이터를 상대방에게 보낼 때 각 계층에서 필요한 정보를 데이터에 추가하는데 이 정보를 헤더(데이터링크 계층에서는 트레일러)라고 합니다.
  • 헤더를 붙여나가는 것을 캡슐화
  • 마지막 물리 계층에 도달하며 송신 측의 데이터링크 계층에서 만들어진 데이터가 전기 신호로 변환되어 수신 측에 전송
  • 데이터를 받는 쪽은 하위 계층에서 상위 계층으로 각 계층을 통해 전달된 데이터를 받게됩니다.
  • 이때 상위 계층으로 데이터를 전달하며 각 계층에서 헤더(데이터링크 계층에서는 트레일러)를 제거해 나가는 것을 역캡슐화
  • 역캡슐화를 거쳐 마지막 응용 계층에 도달하면 드디어 전달하고자 했던 원본 데이터만 남게 됩니다.

TCP/IP 4계층 모델

  • OSI 모델을 기반으로 실무적으로 이용할 수 있도록 현실에 맞춰 단순화된 모델
  • 즉 실용성에 기반을 둔 현대의 인터넷 표준이 TCP/IP 4계층

4계층 - 어플리케이션 계층

  • OSI 계층의 세션 계층, 표현 계층, 응용 계층에 해당하며 TCP/UDP 기반의 응용 프로그램을 구현할 때 사용합니다.
    - e.g. FTP,HTTP,SSH

3계층 - 전송 계층

  • OSI 계층의 전송 계층에 해당하며 통신 노드간의 연결을 제어하고, 신뢰성 있는 데이터 전송을 담당합니다.
    - e.g. TCP/UDP

2계층 - 인터넷 계층

  • OSI 계층의 네트워크 계층에 해당하며 통신 노드 간의 IP 패킷을 전송하는 기능 및 라우팅을 담당합니다.
    - e.g. IP, ARP, RARP

1계층 - 네트워크 인터페이스 계층

  • OSI 계층의 물리 계층과 데이터 링크 계층에 해당하며 물리적인 주소로 MAC을 사용합니다.
    - e.g. LAN, 패킷망 등에 사용됨

응용 계층

HTTP

HTTP 특징

1. 클라이언트 서버 구조

2. 무상태 프로토콜, 비연결성





3. HTTP 메세지

4. 단숨함, 확장 가능

HTTP Headers의 종류와 특징








요청(Request)에서 사용되는 헤더

From: 유저 에이전트의 이메일 정보

  • 일반적으로 잘 사용하지 않음
  • 검색 엔진에서 주로 사용
  • 요청에서 사용

Referer: 이전 웹 페이지 주소

  • 현재 요청된 페이지의 이전 웹 페이지 주소
  • A → B로 이동하는 경우 B를 요청할 때 Referer: A를 포함해서 요청
  • Referer를 사용하면 유입경로 수집 가능
  • 요청에서 사용
  • referer는 단어 referrer의 오탈자이지만 스펙으로 굳어짐

User-Agent: 유저 에이전트 애플리케이션 정보

  • 클라이언트의 애플리케이션 정보(웹 브라우저 정보, 등등)
  • 통계 정보
  • 어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능
  • 요청에서 사용
  • e.g.
    - user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/
    537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36

Host: 요청한 호스트 정보(도메인)

  • 요청에서 사용
  • 필수 헤더
  • 하나의 서버가 여러 도메인을 처리해야 할 때 호스트 정보를 명시하기 위해 사용
  • 하나의 IP 주소에 여러 도메인이 적용되어 있을 때 호스트 정보를 명시하기 위해 사용

Origin: 서버로 POST 요청을 보낼 때, 요청을 시작한 주소를 나타냄

  • 여기서 요청을 보낸 주소와 받는 주소가 다르면 CORS 에러가 발생한다.
  • 응답 헤더의 Access-Control-Allow-Origin와 관련

Authorization: 인증 토큰(e.g. JWT)을 서버로 보낼 때 사용하는 헤더

  • “토큰의 종류(e.g. Basic) + 실제 토큰 문자”를 전송
  • e.g.
    - Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l

응답(Response)에서 사용되는 헤더

Server: 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

  • 응답에서 사용
  • e.g.
    - Server: Apache/2.2.22 (Debian)
    - Server: nginx

Date: 메시지가 발생한 날짜와 시간

  • 응답에서 사용
  • e.g.
    - Date: Tue, 15 Nov 1994 08:12:31 GMT

Location: 페이지 리디렉션

  • 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 리다이렉트(자동 이동)
  • 201(Created): Location 값은 요청에 의해 생성된 리소스 URI
  • 3xx(Redirection): Location 값은 요청을 자동으로 리디렉션하기 위한 대상 리소스를 가리킴

Allow: 허용 가능한 HTTP 메서드

  • 405(Method Not Allowed)에서 응답에 포함
  • e.g.
    - Allow: GET, HEAD, PUT

Retry-After: 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

  • 503(Service Unavailable): 서비스가 언제까지 불능인지 알려줄 수 있음
  • e.g.
    - Retry-After: Fri, 31 Dec 2020 23:59:59 GMT(날짜 표기)
    - Retry-After: 120(초 단위 표기)

콘텐츠 협상 (Content negotiation)

  • Accept: 클라이언트가 선호하는 미디어 타입 전달
  • Accept-Charset: 클라이언트가 선호하는 문자 인코딩
  • Accept-Encoding: 클라이언트가 선호하는 압축 인코딩
  • Accept-Language: 클라이언트가 선호하는 자연 언어
  • 협상 헤더는 요청시에만 사용


HTTPS

  • HTTPS는 HTTP Secure의 약자로, 단어 뜻 그대로 기존의 HTTP 프로토콜을 더 안전하게(Secure) 사용할 수 있음을 의미
  • HTTP 요청 및 응답을 탈취한다면 전달되는 데이터의 내용을 그대로 확인할 수 있다는 뜻이기도 합니다.
  • 데이터를 암호화 시켜주기 때문에 탈취가 되더라도 그 내용을 알아볼 수 없음.

암호화 방식

1. 대칭 키 암호화 방식

  • 두 개의 키를 사용해야하는 공개 키 방식에 비해서 연산 속도가 빠르다는 장점
  • 키를 주고 받는 과정에서 탈취 당했을 경우에는 암호화가 소용없어지기 때문에 키를 관리하는데 신경을 많이 써야 합니다.

2. 공개 키(비대칭 키) 암호화 방식

  • 두 개의 키를 각각 공개 키, 비밀 키 라고 부릅니다.
  • 공개 키는 이름 그대로 공개되어 있기 때문에 누구든지 접근 가능
  • 누구든 이 공개 키를 사용해서 암호화한 데이터를 보내면, 비밀 키를 가진 사람만 그 내용을 복호화할 수 있음
  • 보통 요청을 보내는 사용자가 공개 키를, 요청을 받는 서버가 비밀 키를 가집니다. 이 때, 비밀 키는 서버가 해킹당하는 게 아닌 이상 탈취되지 않습니다.
  • 공개 키 방식은 공개 키를 사용해 암호화한 데이터가 탈취 당한다고 하더라도, 비밀 키가 없다면 복호화할 수 없으므로 대칭 키 방식보다 보안성이 더 좋습니다.
  • 대칭 키 방식 보다 더 복잡한 연산이 필요하여 더 많은 시간을 소모한다는 단점

SSL/TLS 프로토콜

  • HTTPS는 HTTP 통신을 하는 소켓 부분에서 SSL 혹은 TLS라는 프로토콜을 사용하여 서버 인증과 데이터 암호화를 진행
  • SSL이 표준화되며 바뀐 이름이 TLS이므로 같은 사실상 같은 프로토콜

인증서와 CA(Certificate Authority)

  • HTTPS를 사용하면 브라우저가 서버의 응답과 함께 전달된 인증서를 확인할 수 있습니다
  • 인증서는 서버의 신원을 보증
  • 인증서를 발급해주는 공인된 기관들을 Certificate Authority, CA라고 부름
  1. 서버는 인증서를 발급받기 위해서 CA로 서버의 정보와 공개 키를 전달
  2. CA는 서버의 공개 키와 정보를 CA의 비밀 키로 암호화하여 인증서를 발급
  3. 서버는 클라이언트에게 요청을 받으면 CA에게 발급받은 인증서를 보냄 / 사용자가 사용하는 브라우저는 CA들의 리스트와 공개 키를 내장
  4. 우선 해당 인증서가 리스트에 있는 CA가 발급한 인증서인지 확인하고, 리스트에 있는 CA라면 해당하는 CA의 공개 키를 사용해서 인증서의 복호화를 시도
  5. CA의 비밀 키로 암호화된 데이터(인증서)는 CA의 공개 키로만 복호화가 가능하므로, 정말로 CA에서 발급한 인증서가 맞다면 복호화가 성공적으로 진행
  • 복호화가 성공적으로 진행 된다면, 클라이언트는 서버의 정보와 공개 키를 얻게 됨과 동시에 해당 서버가 신뢰할 수 있는 서버임을 알 수 있게 됩니다.
  • 복호화가 실패한다면, 이는 서버가 보내준 인증서가 신뢰할 수 없는 인증서임을 확인하게 됩니다.

대칭 키 전달

  • 공개 키 암호화 방식은 보안은 확실하지만, 복잡한 연산이 필요하여 더 많은 시간을 소모합니다. 따라서 모든 요청에서 공개 키 암호화 방식을 사용하는 것은 효율이 좋지 않습니다.
  • 공개 키는 클라이언트와 서버가 함께 사용하게 될 대칭 키를 주고 받을 때 쓰게 됩니다.
  • 대칭 키는 속도는 빠르지만, 오고 가는 과정에서 탈취될 수 있다는 위험성이 있었습니다. 하지만 클라이언트가 서버로 대칭 키를 보낼 때 서버의 공개 키를 사용해서 암호화하여 보내준다면, 서버의 비밀 키를 가지고 있는게 아닌 이상 해당 대칭 키를 복호화할 수 없으므로 탈취될 위험성이 줄어듭니다.
  • 클라이언트는 데이터를 암호화하여 주고받을 때 사용할 대칭 키를 생성
  • 클라이언트는 생성한 대칭 키를 서버의 공개 키로 암호화하여 전달
  • 서버는 전달받은 데이터를 비밀 키로 복호화하여 대칭 키를 확보합니다. 이렇게 서버와 클라이언트는 동일한 대칭 키를 갖게된다.
  • HTTPS 요청을 주고 받을 때 이 대칭 키를 사용하여 데이터를 암호화하여 전달
  • 대칭 키 자체는 오고 가지 않기 때문에 키가 유출될 위험이 없어짐
  • 요청이 중간에 탈취 되어도 제 3자가 암호화된 데이터를 복호화할 수 없게 됩니다.
  • HTTPS는 이러한 암호화 과정을 통해 더욱 안전한 HTTP보다 안전하게 요청과 응답을 주고받을 수 있게 해줍니다.

정리

  • 이렇게 서버와 클라이언트간의 CA를 통해 서버를 인증하는 과정과 데이터를 암호화하는 과정을 아우른 프로토콜을 SSL 또는 TLS이라고 말하고, HTTP에 SSL/TLS 프로토콜을 더한 것을 HTTPS라고 합니다.
profile
박현석
선한 영향력을 주는 사람
이전 포스트

[S3]Chapter5.[사용자 친화 웹] 웹 표준 & 접근성

다음 포스트

[S3]Chapter7.[Backend] 인증 / 보안

0개의 댓글