Network 2

SSH 구성

SSH (Secure Shell) 특징

• 원격 접근 안전하게 가능
• Username, password 요구
• 로컬DB를 이용한 인증 가능
• 암호화된 형태로 전송

SSH 구성 방식

1. ssh 설정 확인 (#sh ip ssh)
2. 도메인 설정( (config)# ip domain-name cisco.com)
3. RSA key pair 생성 및 ssh enable ((config)#crypto key generate rsa)
4. line vty 설정 변경

• sw(config)# line vty 0 15
• sw(config-line)# login local
• sw(config-line)# transport input ssh

5. username/password 설정 및 ssh 설정 확인

실습0

Router1에서 SSH 설정하기

! domain 설정
R1(config)#ip domain-name test.com
! RSA key pair 생성
R1(config)#crypto key generate rsa
The name for the keys will be: R1.test.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.
  ! [Enter] 키 눌러서 default 값으로 설정
How many bits in the modulus [512]: 
% Generating 512 bit RSA keys, keys will be non-exportable...[OK]
! line vty 설정 변경
! 최신 버전은 2인데, default값으로 설정했기 떄문에 1.5버전으로 적용됨
R1(config)#line vty 0 15
*3 1 0:2:0.412:  RSA key size needs to be at least 768 bits for ssh version 2
*3 1 0:2:0.412:  %SSH-5-ENABLED: SSH 1.5 has been enabled 
R1(config-line)#transport input ssh
R1(config-line)#end
R1#
%SYS-5-CONFIG_I: Configured from console by console
! ssh 설정 확인
R1#show ip ssh
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3

Router1 ssh 설정 후, Router 2에서 접근하기

! ssh -l [username] [ip addr]
R2#ssh -l user1 192.168.1.1
Open
Password: 

review

• L1 장비 - 허브
  • 동작 방식: Flooding
  • 허브는 모든 데이터를 모든 포트로 단순히 전달하는 장비이다. 주소 개념이 없다.
• L2 장비 - 스위치
  • 동작 방식: L2 Switching
  • MAC 주소를 보고 데이터를 전달한다. 각 포트에 어떤 장비가 연결되어 있는 MAC address table에 기록해둔다.
• L3 장비 - 라우터, L3 스위치
  • 동작 방식: L3 Switching
  • IP address로 시스템을 구분한다. 다른 네트워크 간 통신을 가능하게 한다.
• L4 장비 - L4 스위치, Load Balancer
  • 동작 방식: L4 Switching
  • L3의 IP 주소와 함께 Port 번호를 확인한다. 이를 통해 하나의 시스템 위에 있는 서비스를 구분하기 위한 요청을 처리한다.
  • 기능
    • Load Balancing : 여러 서버에 들어오는 트래픽을 IP와 포트 번호를 보고 분산시켜 서버의 과부하를 막는다.
    • 보안 : 특정 포트로 들어오는 비정상적인 접근 차단하는 등 보안 정책을 적용할 수 있다.
• L7 장비 - L7 스위치, ADC
  • 동작 방식: L7 Switching (콘텐츠 스위칭)
  • 데이터 패킷의 내용인 콘텐츠까지 확인한다. 같은 웹 서버 요청이라도 URL, HTTP 헤더, 쿠키 정보 등을 분석하여 다르게 처리한다.
  • 기능
    • Load Balancing : 이미지 파일 요청은 이미지로, 동영상 요청은 비디오 서버로 보내는 등 콘텐츠 종류에 따라 트래픽을 정교하게 분산한다.
    • 보안 : 애플리케이션 레벨의 공격(SQL Injection, DDoS 등)을 탐지하고 차단하는 웹 방화벽 기능을 수행한다.

DHCP

Client --------Relay Agent --------Server

DHCP는 브로드캐스트 패킷으로 전송이 되기 때문에 client와 server가 반드시 같은 네트워크 상에 존재해야 한다.
하지만, Relay Agent를 사용함으로써 별도의 서버를 두지 않고서 이를 해결할 수 있게 된다.
Relay Agent는 서로 다른 네트워크에 있는 클라이언트의 DHCP 요청(브로드캐스트)을 수신해 DHCP 서버로 전달(유니캐스트)하는 L3 장비이다.

• 중앙 서버 팜(Server Farm) : 각 네트워크마다 DHCP 서버를 둘 필요 없이, 서버 팜에서 여러 네트워크의 IP 주소를 통합적으로 관리할 수 있게 된다.
• 보안 강화 : 허가되지 않은 사설 DHCP 서버인 'Rogue DHCP 서버'의 활동을 효과적으로 차단하고 관리할 수 있다.

DHCP snooping

• IP starvation attack : IP가 필요없음에도 불구하고 ip를 부여해달라고 해서 dhcp가 가지고 있는 pool을 고갈시켜서 원활한 서비스가 어렵도록 하는 공격
  -> rate limit을 걸어서 내가 지정한 limit보다 많은 요청이 들어오면 포트를 차단하는 정책을 통해 IP Starvation attack을 방어

DNS

Client --------DNS Forwarder --------Server

네트워크 내부의 모든 기기가 외부 DNS 서버에 요청을 보내게 된다면 반복적인 요청으로 트래픽이 증가하게 되고, 클라이언트 자체 정보에 대한 노출이 발생할 수 있게 된다.
이 문제를 해결하기 위해 DNS Forwarder를 사용한다.
DNS Forwarder는 내부 네트워크와 외부 DNS 서버 사이에 위치하는 중계 서버이다.

• Caching을 통한 트래픽 감소
  내부 클라이언트가 특정 사이트에 대한 DNS 조회를 요청하면, 포워더가 대신 외부 DNS 서버에 물어보게 된다. 그리고 해당 결과를 자신의 cache에 저장을 한다. 이후 다른 클라이언트가 또 다시 같은 사이트에 대한 정보를 요청할 경우, 캐시에 저장되어 있던 정보를 바로 전달해준다. 이로 인해 응답 속도가 빨라지고 전체적인 트래픽이 감소하게 된다.
• 클라이언트 정보 노출 최소화
  포워더를 사용하면 모든 DNS 요청이 포워더의 IP 주소로 외부 서버에 전달된다. 외부에서는 어떤 클라이언트가 요청했는지 알 수 없기 때문에 내부 네트워크의 IP 주소와 같은 정보 노출을 최소화할 수 있다.

DNS Forwarder와 유사한 기능으로는 Proxy

• 클라이언트의 요청을 대신 처리해주고 실제 클라이언트의 정보를 알 수 없도록 해준다.
• 웹 페이지 접속(HTTP/HTTPS)과 같은 실제 웹 콘텐츠 요청을 처리해준다.

FireWall

방화벽은 미리 정해진 보안 규칙에 따라 네트워크 트래픽을 감시하고 제어하는 보안 시스템이다.

Network Firewall (경계 방화벽)

외부망에서 내부망으로 들어오는 트래픽을 차단한다.
방화벽을 통과한 트래픽은 내부망 안에서 자유롭게 이동할 수 있다. 내부 시스템 간의 통신은 감시하거나 제어하기 어렵다.

Host- based(System) Firewall

경계 방화벽의 한계를 보완하기 위해 개별 시스템(서버, PC 등)에 직접 설치하는 방화벽이다. 대표적인 예시로는 Windows FireWall이 있다.

가상화 환경과 방화벽

오늘날 클라우드와 가상화 환경이 보편화되면서 많은 가상 머신이 동적으로 생성, 복제, 이동하고 있기 때문에 트래픽 병목 현상이나 정책 관리의 어려움을 겪게 된다.

이러한 문제를 해결하기 위해 분산 방화벽(Distributed Firewall) 기술이 등장한다. 예를 들어 VMware의 NSX 솔루션 등이 있다.

VM

NOS 대신 VOS라고 하는 Virtual OS가 설치된다.
가상화 환경을 지원해준다. Hypervisor라고도 한다.

• Dare metal : 물리적인 시스템에 직접 설치하는 방식
  • Windows의 Hyper-V, Linux의 KVM
• Host based : Windows 기반의 특정 어플리케이션을 설치하는 방식
  • Test 환경에서 사용하는 것으로 VM Workstation, Virtual Box -> nested 환경
  • 가상화 환경 안의 가상화 환경 같은 것

관리해주는 매니지먼트 시스템을 두게 된다.

• vCenter Server (중앙집중관리)
  • 중간에서 Configuration, Monitoring, trouble shooting

-> vCenter server에서 F/W에 대한 규칙을 정의하게 되면, 모든 host로 분산된다. VM의 앞단에 firewall이 배치된다.

서버대로 그룹으로 묶게 되고, 각 그룹에 대한 정책을 정의한다. 정책과 관련되어진 가장 기본적인 룰을 Access List라고 한다.

Container

먼저 가상화에는 두가지가 있다.

• Full Virtualization : 완벽하게 가상화를 지원한다. 각각의 VM이 물리적인 시스템이라고 생각한다.
  • VM의 ESXi, Hyper-V
  • VM의 box를 정의하고, 그 위에 OS를 설치한다.
  • 그 밑에 애플리케이션 등을 설치하는 방식...
  • 리소스 관리하는 커널 : Virutal CPU, Memory, Hard disk 등등..
• Para Virtualization

반면에 컨테이너는 Application 중심이다.
그 애플리케이션 개발 환경에서 세팅이 된 것이다.
애플리케이션이 실행되기 위한 라이브러리, 바이너리 파일까지 모든 환경을 지원해주기 위한 환경을 같이 탑재해주는 것이다.