DHCP
(Dynamic Host Configuration Protocol) IP주소 자동 할당 프로토콜이다. 한 네트워크에서 클라이언트는 DHCP서버의 관리하에 서버의 DHCP설정에 따라 IP주소를 자동으로 할당받는다.
클라이언트는 네트워크 부팅과정에서 DHCP서버에게 IP주소를 요청하고 IP주소를 할당받는다.
서브네팅
2^32승 개수에도 불구하고 IT가 발전함에 따라 수많은 PC뿐만 아니라 IP를 갖고 있는 많은 IoT들도 늘어남에 따라 서브넷 개념이 등장하였다.
ipv4 주소 고갈문제에 따른 네트워크 IP를 나누어서 사용한다.
참고 : https://travislife.tistory.com/53
게이트웨이
게이트웨이(gateway: 망관문)는 컴퓨터 네트워크에서 서로 다른 통신망, 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 컴퓨터나 소프트웨어를 두루 일컫는 용어, 즉 다른 네트워크로 들어가는 입구 역할을 하는 네트워크 포인트이다. 넓은 의미로는 종류가 다른 네트워크 간의 통로의 역할을 하는 장치이다. 또한 게이트웨이를 지날 때마다 트래픽(traffic)도 증가하기 때문에 속도가 느려질 수 있다. 쉽게 예를 들자면 해외여행을 들 수 있는데 해외로 나가기 위해서 꼭 통과해야 하는 공항이 게이트웨이와 같은 개념이다.
게이트웨이는 서로 다른 네트워크상의 통신 프로토콜(protocol,통신규약)을 적절히 변환해 주는 역할을 한다.
게이트웨이는 하나 이상의 프로토콜을 사용하여 통신한다는 면에서 라우터,스위치와는 구별되며 OSI 참조 모델 7 계층 가운데 어느 곳에서도 동작이 가능하므로 전송방식이 다른 통신망도 흡수함으로써 서로 다른 기종끼리도 접속을 가능하게 한다.
라우터
참조 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=dreamxpeed&logNo=221671848467
스위치
소규모 비즈니스 네트워크 안에서 컴퓨터, 프린터, 서버 등 모든 디바이스를 서로 연결함으로써 리소스를 쉽게 공유할 수 있도록 합니다. 스위치 덕분에 이러한 연결된 디바이스들은 건물 안이건 캠퍼스 안이건 관계없이 정보를 공유하고 서로 간에 통신할 수 있습니다. 디바이스를 서로 연결하는 스위치 없이 소규모 비즈니스 네트워크를 구축하는 것이 불가능합니다.
SSL인증
(SECURE SOCKETS LAYER)
SSL은 웹사이트와 브라우저 사이(또는 두 서버 사이)에 전송되는 데이터를 암호화하여 인터넷 연결을 보호하기 위한 표준 기술입니다. 이 기술은 해커가 개인 데이터나 금융 데이터 등의 전송되는 정보를 보거나 훔치는 것을 방지한다.
openssl
openssl 은 데이터통신을 위한 TLS, SSL 프로토콜을 이용할 수 있는 오픈소스 라이브러리입니다.
SSL은 1994년 netscape사의 웹 브라우저 보안 프로토콜로 처음 고안되어 1996년까지 버전 3.0까지 발표되었는데,
3.0을 국제표준화 기구에서 새로 정립한 것을 TLS라고 합니다. 즉 TLS 1.0 은 SSL 3.0과 같습니다.
통상적으로 SSL과 TLS는 같은 의미로 사용되지만 SSL이 더 익숙한 느낌이 있습니다.
쉽게 설명하면 http 통신을 안전하게 하기 위한 프로토콜로 만들어진 게 SSL이고
이것은 실제 https, sftp와 같은 표준 프로토콜에 적용된 기술입니다.
ssl이나 https 모두 프로토콜인데,
웹 접속(HTTP)이 인터넷을 이용해서 구현된 서비스 중의 하나인 것처럼
HTTPS도 SSL 프로토콜을 이용한 서비스 중 하나라고 이해하면 됩니다.
SSL 은 암호화 통신을 위해 대칭키, 비대칭키 방식을 혼용하여 사용합니다.
이것은 공개키, 개인키를 활용하는 ssh 통신의 원리와 거의 같은 방식입니다.
차이점은 SSL 통신에는 디지털 인증서가 필요하다는 점입니다.
프록시
프록시(Proxy)는 "대리"의 의미로, 인터넷과 관련해서 쓰이는 경우, 특히 내부 네트워크에서 인터넷 접속을 할 때에, 빠른 액세스나 안전한 통신등을 확보하기 위한 중계서버를 "프록시 서버"라고 일컫는다. 클라이언트와 Web서버의 중간에 위치하고 있어, 대신 통신을 받아 주는 것이 프록시 서버이다.
프록시(Proxy)는 포워드 프록시와 리버스 프록시로 나뉘어져, 기본적으로 포워드 프록시는 클라이언트쪽, 리버스 프록시는 서버 쪽의 설정을 한다.
포워드 프록시의 장점 1 캐시저장 : 리워드 새로고침 했을 때 캐시가 남아있기에 접속하는 속도가 빨라진다.
참조 : https://engineer-mole.tistory.com/288
Single Sign On
하나의 아이디 및 패스워드를 통해 여러 시스템에 접근할 수 있는 통합 로그인(인증) 솔루션
AP통신
패킷트레이서 DHCP / Route / Switch구성
DHCP 서버 구축
1.DHCP 패키지 설치
rpm -qa | grep dhcp
2.DHCP 패키지 설치
yum install -y dhcp
3.설정파일 org 복사 후 예비설정 파일 카피
mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.org
cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
ls -al /etc/dhcp/
[root@localhost dhcp]# ls -al /etc/dhcp/
합계 24
drwxr-x---. 5 root root 127 2월 17 10:36 .
drwxr-xr-x. 140 root root 8192 2월 17 10:18 ..
drwxr-xr-x. 2 root root 28 2월 17 10:18 dhclient-exit-hooks.d
56
drwxr-xr-x. 2 root root 23 6월 10 2021 dhclient.d
-rw-r--r--. 1 root root 3262 2월 17 10:36 dhcpd.conf
-rw-r--r--. 1 root root 117 6월 10 2021 dhcpd.conf.org
-rw-r--r--. 1 root root 120 6월 10 2021 dhcpd6.conf
drwxr-x---. 2 root dhcpd 28 2월 17 10:18 scripts
4. vi /etc/dhcp/dhcpd.conf
운용할 IP 범위는 100 ~ 200
Gateway 주소, 서브넷마스크, 네임서버 주소, 브로드캐스트 주소를 옵션으로 지정해주고 default-lease-time을 6000으로 잡아준다.
subnet 192.168.174.0 netmask 255.255.255.0 {
range 192.168.174.100 192.168.174.200;
option subnet-mask 255.255.255.0;
option routers 192.168.174.2;
option broadcast-address 192.168.174.255;
option domain-name-servers 8.8.8.8;
57
default-lease-time 6000;
5.dhcp 재시작
systemctl restart dhcpd
systemctl status dhcpd
6.방화벽 포트 허용 #udp를 쓰는가?
firewall-cmd --permanent --zone=public --add-port=67/udp
firewall-cmd --reload
firewall-cmd --list-port
7.로그 확인
tailf /var/log/messages
6.클라이언트 redhat에서 게이트웨이를 서버로 변경후
DHCP서버로 부터 자동할당 받은 IP변경된것을 확인
DNS
DNS(Domain Name Service)
모든 사이트의 IP주소를 외울 수가 없기에 우리는 도메인 네임으로 검색해서 들어간다 ex) www.naver.com
이때 사용되는 것이 DNS 기능이다. 우리가 도메인을 쳤을 때
IP 주소로 변환해 주거나 IP주소를 도메인 이름으로 변환해 주는 서비스이다.
초기 단계
- 클라이언트가 'www.example.com'이란 도메인 주소로 접속하고자 한다.
- DNS Resolver로 도메인 주소를 전달. ( 자신의 DNS Cache와 Host file을 조회 후 없으면 DNS 서버로 Query를 시작)
DNS Query
- Root Name Server로 'www.example.com'에 대한 질의를 보낸다.
- Root Name Server는 질의를 받으면 '. com'의 Name Server 위치를 알려준다..com Name Server는 'example.com'의 Name Server 위치를 알려준다. ( Amazon Route 53 name server로 가시오. )
- Route 53 Name server는 질의를 받으면 'www.example.com'에 대한 IP주소 192.0.2.44를 알려주며 응답한다.
- IP주소를 받은 DNS Resolver는 Client에게 통보한다.
Mater server / Slave server
우선적으로 DNS Server는 1개만 존재해도 무방하지만 백업 목적으로 Master 서버와 N개의 Slave 서버를 두곤 한다. Master 서버는 Primary Server (주 서버)로써 평상시에 작동하는 서버를 말하며 만약 Master Server가 고장이 났을 시를 대비하여 Secondary Server(보조 서버)로써 Slave Server를 두게 된다.
Forward Zond file / Reverse Zone file
Reverse Zone File은 Forward Zone File과 반대로 IP 주소를 도메인 이름으로 변경하는 역할
DNS 서버 구성
1.dns서버 구축
서버 CentOs7 192.168.111.150
클라 RedHat 192.168.111.151
[BIND9 구성]
yum install -y bind-*
systemctl status named
//////////
cp /etc/named.conf /etc/named.conf.org
ls -al /etc/named.conf.org
vi /etc/named.conf
----------------
12 options {
13 // listen-on port 53 { 127.0.0.1; };
14 listen-on port 53 { any; };
35 recursion no;
----------------
이 파일에서 중요한 것은 33번에 작성된 "recursion no;" 입니다.(Default yes)
recursion 옵션을 no로 설정시 일반도메인 질의에 대한 응답은 하지 않고
서버에 작성된 zone파일에 내용에 대해서만 응답을 하는 설정입니다.
Yes로 설정 할 경우 DNS Cache Poisoning 공격에 취약할 수 있습니다.
생략
OS 취약점 진단