OSI 7 Layer Model
> 국제 표준화 기구(ISO)가 1984년 발표
> 통신이 일어나는 괒어을 7단계로 구분하여 한눈에 들어올 수 있도록 보여줌
> 컴퓨터 통신 구조의 모델과 앞으로 개발될 프로토콜의 표준적인 뼈대를 제공하기 위해 개발된 참조 모델.
TCP/IP Model
> 미국에서 개발한 인터넷의 기본 통신 프로토콜, DOM Model(미국방성 모델) 을 기반으로 개발.
TCP
> 연결지향형 프로토콜
> 세션의 연결과 종료, 흐름제어, 패킷의 분할 및 재조립에 사용
IP
> 비 연결지향형 프로토콜
> 데이터 전송에 사용
> OSI 7 Layer는 장비 개발자들이 어떻게 표준을 잡을지 결정하기 위해 많이 사용(구조가 나뉘어 있어 공부 할 때 많이 사용)
> TCP/IP는 현재 실질적으로 사용되고 있는 프로토콜(일반적으로 널리 퍼져있으며 편리함으로 인해)
OSI 7 Layer Model
> 데이터 흐름이 한눈에 보임.
> 계층을 7단계로 구분하고 각 층별로 표준화를 했기 때문에 여러 회사 장비를 사용해도 네트워크에 이상이 없음.
> 상위 계층과 하위 계층으로 나뉨.
상위 > 7 6 5
하위 > 4 3 2 1
7 계층 : Application Layer(응용 계층)
> 사용자 인터페이스의 역할을 담당하는 계층 ( 즉, 사용자가 이용하는 네트워크 응용프로그램)
EX) Internet Explorer
> 사용자와 가장 가까운 프로토콜을 정의
EX) HTTP(80), FTP(20,21), Telnet(23), SMTP(25), DNS(53), TFTP(69) 등
6 계층 : Presentation Layer(표현 계층)
> 전송하는 데이터의 Format(구성 방식)을 결정하는 계층
> 다양한 데이터 Format을 일관되게 상호 변환, 압축 및 암호화, 복호화 기능을 수행
EX) ASCII, EBCDIC, CIF, JPEG, AVI, MPEG 등
5 계층 : Session Layer(세션 계층) ★중요
> 네트워크 상에서 통신을 할 경우 양쪽 host간 최초 연결이 되게 하고 통신 중 연결이 지속되도록 시켜주는 역할을 하는 계층.
> 통신을 하는 두 host사이에 세션을 열고, 닫고, 관리하는 기능을 담당.
> 데이터 동기화와 네트워크 오류 이벤트 검사, 오류가 발생한 지점 이후의 데이터만 재전송 보장.
> 데이터 송수신 방식(Duplex), 반 이중 방식(Half Duplex), 전 이중 방식(Full Duplex)의 통신과 함께, 체크 포인팅과 유휴, 종료, 다시 시작 과정을 수행/
7 6 5계층을 통하여 data가 만들어 짐.
===============================================================
4 계층 : Transport Layer(전송 계층)
> 정보를 분할하고, 상대편에 도달하기 전에 다시 합치는 과정을 담당하는 계층
4계층의 단위 : Segment
> 목적지 컴퓨터에서 발신지 컴퓨터 간의 통신에 있어 Error control(에러제어)와 Flow control(흐름 제어)를 담당.
> 전송 방식을 결정
EX) 포트번호나 TCP/UDP 등
> 4계층 프로토콜 : TCP, UDP
TCP - 신뢰성, 비연결지향성 프로토콜, Connection-ful(연결을 유지하며 전송하는 방식)
UDP - 비 신뢰성, 비 연결지향성 프로토콜, Connection-less(연결을 유지하지 않고 전송하는 방식, data손실을 신경쓰지 않음)
3 계층 : Network Layer(네트워크 계층)
> Logical address(IP, IPX)를 담당하고, 패킷의 이동경로를 결정하는 계층
3계층의 단위 : Packet
> 경로선택, 라우팅, 논리적인주소(IP)를 정의하는 계층
> Routing Protocol을 이용하여 최적경로를 선택
3계층 장비 : Router
2 계층 : Data Link Layer(데이터링크 계층)
> 물리적 계층을 통한 데이터 전송에 신뢰성을 제공
>> 이러한 서비스를 위해 물리적 주소(MAC) 지정, 네트워크 토폴로지, 오류통지, 프레임의 순차적 전송, 흐름제어 등의 기능을 가짐.
> 직접 연결되어 있지 않은 네트워크에 대해서는 상위 계층에서 오류 제어를 담당.
> 두가지 하위 게층이 존재
Logical Link contorl - 통신 장치간의 연결을 설정하고 관리하는 책임
Media Access Control - 다중 장치가 같은 미디어 채널을 공유, 제어(Block ID + Device ID)
2계층 장비 : Switch, Bridge
1 계층 : Physical Layer(물리 계층)
> 네트워크 통신을 위한 물리적인 표준을 정의하는 계층
> 두 컴퓨터 간의 전기적, 기계적, 절차적인 연결을 정의하는 계층
>> 케이블 종류, 데이터 송수신 속도, 신호의 전기 전압 등
1 계층 장비 : Hub, Repeater
|
Layer |
Data Unit |
Protocol Example |
Network Device | |
|
Host Layer |
7. Application |
Data |
HTTP/HTTPS, FTP, SMTP, SSH, TELNET |
L7 |
|
6. Presentation |
HTML, CSS, GIF |
| ||
|
5. Session |
RPC, PAP, SSL/TLS, SQL |
| ||
|
4. Transport |
Segments |
TCP, UDP, NETBEUI |
L4 | |
|
Media Layer |
3. Network |
Packet/Datagram |
IPv4/v6, IPsec, ICMP, AplleTalk |
L3, Router |
|
2. Data Link |
Bit/Frame |
PPP, IEEE 802.2, L2TP/PPTP, MAC, LLDP |
L2, Bridge | |
|
1. Physical |
Bit |
DSL, USB, ISDN, DOCSIS |
Hub, | |
HTTPS
> 기존의 HTTP는 도청, 위장, 변조의 약점을 가짐.
> 공통키 암호와 공개키 암호의 양쪽 성질을 가진 하이브리드 암호 시스템.
> 키를 교환하는 곳에서는 공개키 암호를 사용하고 그 후의 통신에서 메시지를 교환하는 곳에서는 공통키 암호를 사용
[참고] http://blog.sonim1.com/99
SSL/TLS
> SSL/TLS 프로토콜을 사용하면 두 당사자가 기밀성과 데이터 무결성이 보장된 상태로 서로 식별 및 인증하고 통신할 수 있음.
> TLS 프로토콜은 Netscape SSL 3.0 프로토콜에서 발전되었으나 TLS 및 SSL이 상호 운영되지는 않음.
> SSL/TLS 프로토콜은 인터넷을 통한 통신 보안을 제공하며 클라이언트/서버 애플리케이션이 비밀이 유지되고 안정적인 방식으로 통신할 수 있도록 해줌.
> 레코드 프로토콜과 데이터 교환 프로토콜의 두 개의 계층이 있으며 이들은 TCP/IP등과 같은 전송 프로토콜 위에 계층을 이루고 있음.
> 비대칭 및 대칭 암호화 기술 모두 사용.
> SSL은 HTTP와 독립된 프로토콜 SMTP나 Telnet에서도 이용될 수 있고, 세계 어느곳에서도 널리 사용할 수 있음.
> SSL 또는 TLS 연결은 애플리케이션에 의해 시작되고 이는 SSL 또는 TLS클라이언트가 됨.
> 연결을 수신하는 애플리케이션은 SSL 또는 TLS 서버가 됨.
> 모든 새 세션은 SSL 또는 TLS 프로토콜에 정의된 대로 데이터 교환으로 시작됨.
> http://zrungee.tistory.com/147 참고.
[참고] https://www.ibm.com/support/knowledgecenter/ko/SSFKSJ_7.1.0/com.ibm.mq.doc/sy10660_.htm
스위치의 분류
L2 : OSI Layer 2에 속하는 MAC 어드레스를 참조하여 스위칭하는 장비
L3 : OSI Layer 3에 속하는 IP주소를 참조하여 스위칭하는 장비
L4 : OSI Layer 3~4에 속하는 IP주소 및 TCP/UDP 포트정보를 참조하여 스위칭 하는 장비
L7 : OSI Layer 3~7에 속하는 IP주소, TCP/UDP 포트정보 및 패킷 내용까지 참조하여 스위칭 하는 장비
L4/L7의 용도
> 일반적으로 서버들의 로드밸런싱을 위해 사용.
> 복수개의 웹서버가 있을 때, 임의의 웹서버에 접속을 시도하면, 스위치가 각 서버의 부하를 고려하여 적당한 서버와 연결.
> 설정에 따라 순차적 연결, 접속이 가장 작은 서버에 연결하는 방식이 있음.
L4 스위치
> 4계층에서 패킷을 확인하고 세션을 고나리하며, 로드밸런싱을 제공하는 스위치
> TCP/UDP 패킷 정보를 분석해서 해당 패킷이 사용하는 서비스 종류 별로 처리(HTTP, FTP, SMTP...)
> 세션관리, 서버/방화벽 로드밸런싱, 네트워크 서비스 품질 보장
L7 스위치
> L4스위치의 서비스 단위 로드밸런싱을 극복하기 위해 포트+데이터 페이로드 패턴을 이용한 패킷 스위치(e-mail 내용/제목, URL..)
> connection pooling(시스템 부하감소), Traffic Compression(컨텐츠 압축 전송), 보안기능
> URL 기반
[참고] http://freeism.co.kr/tc/657
L2 스위치
> 가장 흔하게 볼 수 있는 스위치. 가격이 저렴.
> L2주소는 MAC주소.
> MAC 주소를 읽어 스위칭을 하고, 이것을 어떤 포트로 보낼 것인지 스위칭(컨트롤)하는 징비.
> 스위치는 MAC 테이블을 가지고 있어서 이것을 기준으로 패킷을 해당 포트로 전달.
> 라우팅 불가능, 상위 레이어 프로토콜을 이용한 스위칭 불가능.
L3 스위치(라우팅)
> IP 또는 IPX 주소를 읽어서 스위칭
> 네트워크상에 흘러가는 패킷이 들어오면 L3 스위치는 목적이 IP주소를 보고 적절한 포트로 패킷을 전송(라우팅).
> A라는 IP는 일로가라 B라는 IP는 일로가라
IPsec
> 네트워크계층(IP계층) 상에서 IP패킷 단위로 인증, 암호화, 키관리 를 하는 프로토콜
> 보안 통신의 기본 요소 제공 이외에도 IP Spoofing 공격에 대한 방어 수단이 됨
> 통신을 위해 Hand Shaking 과정을 통한 네트워크 계층 논리 연결(SA : Security Association)을 확립.
> 그리고 만들어진 SA를 통해 키, 암호화 알고리즘을 공유 및 상호간 인증.
> VPN을 통한 원격접속, 본사와 자사간의 안전한 연결, 전자상거래 보안 등에 활용.
> 접근 제어, 메시지인증, 개체인증, 기밀성, 재전송 공격방지 서비스 제공
L2TP(Layer Two Tunneling Protocol)/PPTP(Point-to-Point Tunneloing Protocol)
L2TP
> L2F 프로토콜과 PPTP프로토콜을 결합한 형태
> PPP 지원
> 기밀성을 제공하지 않기 때문에 IPSec과 함께 사용
> 인증서를 통해 인증서비스 제공
PPTP
> MS사의 RAS(원격접근서비스)에 기반
> 컴퓨터와 컴퓨터가 1:1 방식으로 데이터전송 -> 양방향 tunnel 형성
> RC4알고리즘(암호화)으로 기밀성 제공
> PPP인증을 통해 사용자 인증 제공
[참고] http://zrungee.tistory.com/158
'보안과정 > 네트워크' 카테고리의 다른 글
| IP주소 (0) | 2017.10.18 |
|---|---|
| ARP, ARP Spoofing (0) | 2017.10.17 |
| 네트워크 인터페이스 계층(Network Interface Layer) (0) | 2017.10.17 |
| TCP/IP 4계층 (0) | 2017.10.16 |
| 보안관련용어들 (0) | 2017.10.16 |
