네트워크관리사 2급 기출, 요약 정리

네트워크 일반 

LAN과 WAN의 차이

	LAN	WAN
정의	제한된 지역에서 작동하는 네트워크	광범위한 지역에서 작동하는 네트워크
범위	작은 지역 (가정, 사무실 등)	넓은 지역 (지역, 국가, 대륙 등)
기술	이더넷, 와이파이 등	광섬유, 인공위성, 전화선, 무선 등
속도	빠름	느림
비용	적음	많음
사용	컴퓨터, 프린터, 서버 등	인터넷, 클라우드, 원격 접속, VPN 등
보안	상대적으로 쉬움	상대적으로 어려움
유지보수	상대적으로 용이함	복잡하며 비용이 많이 들 수 있음

 

LAN 

토폴로지 종류	구조	장점
버스 토폴로지	모든 컴퓨터가 하나의 케이블에 연결	컴퓨터 추가가 쉽고 비용이 적음,
링 토폴로지	컴퓨터들이 원형으로 연결	데이터 충돌이 적고 성능이 좋음
Start bus 토폴로지	시작점과 종점이 있는 버스 토폴로지에 링 토폴로지의 아이디어를 결합	컴퓨터 추가가 쉽고 데이터 충돌이나 오류 방지 가능

 

OSI 7 & TCP/IP 4 

응용 계층	사용자와 직접적으로 상호작용하는 계층으로, 웹 브라우저, 이메일 클라이언트 등의 응용 프로그램이 위치합니다.
표현 계층	데이터의 형식을 변환하는 계층으로, 데이터의 인코딩, 암호화, 데이터 형식의 변환 등을 수행합니다.
세션 계층	데이터 전송 중 세션을 관리하는 계층으로, 데이터 전송 중 오류 처리, 중단 등의 문제에 대응합니다.
전송 계층	프로세스 간의 통신을 위한 계층으로, 데이터를 송수신하는 양쪽의 프로세스 간에 연결을 설정하고, 신뢰성 있는 데이터 전송을 보장합니다.
네트워크 계층	다른 네트워크 간의 통신을 위해 데이터를 라우팅하고 전송하는 계층입니다. IP 주소와 같은 논리적인 주소를 사용하여 데이터를 보낼 위치를 결정합니다.
데이터 링크 계층	물리 계층에서 전송되는 데이터를 프레임(frame)이라는 작은 단위로 나누어 전송하는 계층입니다. 프레임의 오류를 검사하고 수정합니다.
물리 계층	데이터를 전송하기 위한 물리적인 매체를 제공하는 계층으로, 전기적인 신호나 광신호로 변환하여 전송합니다.

 

계층	설명
네트워크 접속 계층	물리적인 매체와 네트워크 장비를 이용하여 데이터 전송
인터넷 계층	IP 프로토콜을 이용하여 패킷 단위로 데이터 전송
전송 계층	프로세스 간의 통신을 위한 신뢰성 있는 데이터 전송 보장
응용 계층	사용자와 상호작용하며 웹 브라우저, 이메일 클라이언트 등의 앱

 

 

응용 계층(Application Layer)	응용 계층(Application Layer)	HTTP, FTP, SMTP, DNS
표현 계층(Presentation Layer)	-	-
세션 계층(Session Layer)	-	-
전송 계층(Transport Layer)	전송 계층(Transport Layer)	TCP, UDP
네트워크 계층(Network Layer)	인터넷 계층(Internet Layer)	IP, ICMP
데이터 링크 계층(Data Link Layer)	네트워크 접속 계층(Network Access Layer)	Ethernet, Wi-Fi
물리 계층(Physical Layer)	-	-

 

 

3Way - Hands - Shake

3-way handshake	클라이언트와 서버 간 연결 설정 과정
SYN	클라이언트가 서버에게 연결 요청 (SYN 패킷 전송)
SYN-ACK	서버가 클라이언트에게 요청 수락 및 연결 설정 (SYN+ACK 패킷 전송)
ACK	클라이언트가 서버에게 수락 및 연결 설정 완료 (ACK 패킷 전송)
4-way handshake	클라이언트와 서버 간 연결 해제 과정
FIN	클라이언트 또는 서버가 연결 종료 요청 (FIN 패킷 전송)
ACK	상대방이 FIN 패킷을 수신하고 확인 응답 (ACK 패킷 전송)
FIN	연결 종료 요청에 대한 응답 (FIN 패킷 전송)
ACK	상대방이 FIN 패킷을 수신하고 확인 응답 (ACK 패킷 전송)

 

단계	주체	전송 내용	시퀀스 #	어큐뮬레이터 #
1 (SYN)	클라이언트	SYN=1, random sequence number (ClientISN)	ISS
2 (SYN + ACK)	서버	SYN=1, ACK=1, ACKnowledgment number (ClientISN+1), random sequence number (ServerISN)	ISS+1	IRS+1
3 (ACK)	클라이언트	ACK=1, ACKnowledgment number (ServerISN+1)	ISS+1	IRS+1

 

IP

대역	시작 주소	끝 주소
10.0.0.0/8	10.0.0.0	10.255.255.255
172.16.0.0/12	172.16.0.0	172.31.255.255
192.168.0.0/16	192.168.0.0	192.168.255.255

 

Essential Protocol

프로토콜	용도	특징	계층
ARP	IP 주소를 물리적 MAC 주소로 변환하는 프로토콜	브로드캐스트를 통해 전체 네트워크에 ARP 요청을 보내고, 해당하는 MAC 주소를 가진 호스트의 IP 주소를 찾아낸다.	링크 계층
RARP	물리적 MAC 주소를 IP 주소로 변환하는 프로토콜	브로드캐스트를 통해 전체 네트워크에 RARP 요청을 보내고, 해당하는 IP 주소를 가진 호스트의 MAC 주소를 찾아낸다.	링크 계층
UDP	비 연결형 데이터그램 전송을 지원하는 프로토콜	연결 설정 과정 없이 데이터를 전송하며, 오류 검출을 위한 체크섬을 제공한다.	전송 계층
ICMP	에러 메시지 전송 및 네트워크 상태 확인 프로토콜	오류 발생 시 에러 메시지를 전송하여 문제를 파악하고, Ping 등을 통해 호스트의 상태를 확인할 수 있다.	인터넷 계층
IGMP	멀티캐스트 그룹 관리 프로토콜	멀티캐스트 그룹에 속한 호스트를 관리하며, 그룹 참여 및 탈퇴 등의 기능을 제공한다.	인터넷 계층

 

NAT

역할	설명
IP 주소 변환	사설 IP 주소를 공인 IP 주소로 변환하여 외부와 통신할 수 있도록 한다.
포트 번호 변환	하나의 공인 IP 주소를 여러 개의 사설 IP 주소와 연결할 수 있도록 하기 위해, 포트 번호를 이용하여 내부 네트워크의 서버나 클라이언트를 구분한다. 외부에서 접근하는 데이터 패킷의 포트 번호를 변환하여 내부 네트워크의 서버나 클라이언트로 전달한다.
보안 기능	외부에서 내부로의 접근을 제한하고, 내부에서 외부로의 접근을 제어하여 보안을 강화한다.
네트워크 연결성	여러 개의 내부 네트워크를 하나의 공인 IP 주소로 연결하여, 외부 네트워크와 통신할 수 있도록 한다.

반응형

IP 주소와 도메인 이름을 관리하는 프로토콜

서비스	DHCP (Dynamic Host Configuration Protocol)	DNS (Domain Name System)
역할	클라이언트에게 자동으로 IP 주소, 서브넷 마스크, 기본 게이트웨이, DNS 서버 등을 할당해준다.	도메인 이름을 IP 주소로 변환하여 네트워크 통신을 가능하게 한다.
프로토콜	UDP	UDP
포트 번호	67 (서버), 68 (클라이언트)	53
동작 방식	클라이언트가 네트워크에 접속하면, DHCP 서버에서 클라이언트의 요청에 따라 IP 주소와 관련 정보를 제공한다.	클라이언트가 도메인 이름을 입력하면, DNS 서버가 해당 도메인 이름의 IP 주소를 반환한다.
IP 주소 할당	동적 할당, 정적 할당, 예약 할당	-
기본 게이트웨이	할당 가능	-
주요 기능	IP 주소 자동 할당, IP 주소 관리, 네트워크 구성	도메인 이름 해석, 호스트 이름 해석, 로드 밸런싱, 캐싱 등

 

기능/특징	라우터 (Router)	허브 (Hub)	스위치 (Switch)
종류	라우팅 스위치, 멀티레이어 스위치(Multilayer Switch)	-	L2 스위치 (Layer 2 Switch), L3 스위치 (Layer 3 Switch), L4 스위치 (Layer 4 Switch), L7 멀티레이어 스위치 (Layer 7 Multilayer Switch)
기능	패킷을 분석하여 목적지 주소에 따라 최적의 경로를 선택하고 전송하는 역할을 한다.	데이터를 수신하면, 모든 포트로 브로드캐스트하여 해당 데이터의 목적지를 찾도록 한다.	스위치 포트간의 통신 경로를 학습하여 전송하며, 충돌 도메인 분리, VLAN 지원, QoS(품질 보증) 등의 기능을 제공한다.
프로토콜	IP, TCP, ARP, ICMP, OSPF 등	-	Ethernet, VLAN, STP, LACP 등
주요 기능	패킷 전송, 라우팅, 패킷 필터링, 포트 포워딩, NAT, QoS 등	데이터 전송, 브로드캐스트, 패킷 중복, 충돌 처리 등	포트간 통신 경로 학습, 충돌 도메인 분리, VLAN, QoS 등
특징	라우팅 테이블, ACL 등을 이용하여 효율적인 패킷 전송 및 보안성 강화 가능	모든 데이터를 모든 포트로 브로드캐스트하기 때문에, 대역폭이 많이 필요하다.	스위치 포트간 통신 경로 학습으로 인한 높은 전송 속도와 충돌 도메인 분리로 인한 네트워크 안정성 보장 가능
계층	네트워크 계층	물리 계층	데이터 링크 계층

 

NIDS / IPS 

	In-line 방식	Mirroring 방식	Tap 방식
설명	네트워크 트래픽을 가로채서 인바운드와 아웃바운드 모두에서 패킷을 검사한다.	네트워크 트래픽을 복제해서 NIDS/IPS로 전달하며, 원래 트래픽은 그대로 흐른다.	네트워크 트래픽을 Tap 장비로 복제해서 NIDS/IPS로 전달한다. 원래 트래픽은 그대로 흐르며, Tap 장비는 트래픽을 복제하기만 한다.
구성 요소	NIDS/IPS, 인라인 장비	NIDS/IPS, 미러링 장비	NIDS/IPS, Tap 장비
장점	보안성이 높다.	별도의 장비 필요 없이 구성이 쉽다.	원래 네트워크 구조를 바꾸지 않으므로, 구성이 쉽고 유연하다.
단점	장비의 신뢰성에 따라 네트워크 장애가 발생할 수 있다.	미러링 장비가 네트워크 병목 현상을 유발할 수 있다.	물리적인 장비 설치가 필요하며, 트래픽 복제를 위해 추가적인 대역폭이 필요하다.
주요 용도	보안성이 중요한 곳에서 사용한다.	별도의 장비 없이 간단하게 구성할 수 있는 경우 사용한다.	원래 네트워크 구조를 바꾸지 않고 NIDS/IPS를 구성하고자 할 때 사용한다.

 

	Snort / Suricata
설명	오픈 소스 기반의 NIDS(네트워크 기반 침입 탐지 시스템)
액션	Alert, Log, Pass, Drop, Reject
헤더	alert [프로토콜] [소스 IP] [소스 포트] -> [대상 IP] [대상 포트] (msg:"[메시지]"; sid:[알람 ID]; rev:[룰 버전];)
룰	Rule의 구조 : 액션 + 프로토콜 + 소스 IP + 소스 포트 + 방향 + 대상 IP + 대상 포트 + 규칙 옵션

 

TCP/IP 헤더 Detection 

헤더 필드	내용
TTL	TTL 값이 작을 경우, 패킷의 경로를 추적하여 공격 탐지
Source Port	출발지 포트 번호 분석으로 악성 트래픽 탐지 가능
Dest Port	목적지 포트 번호 분석으로 악성 트래픽 탐지 가능
IP_proto	프로토콜 종류 분석으로 부적절한 트래픽 탐지 가능
GeoIP	IP 주소의 위치 정보를 이용하여 지역별 악성 트래픽 탐지 가능
Payload	패킷의 내용을 분석하여 악성 코드 탐지 가능

 

Payload - Content 

옵션	설명
Content	Payload 내의 Content 문자열 검사
Nocase	대소문자 구분 없이 검사
Depth	검사 시작 위치에서부터 Payload의 길이
Offset	검사 시작 위치
Distance	Content 문자열과 일정한 거리가 있는 경우 검사하기 위한 옵션
Within	Content 문자열이 Payload 내에서 몇 번째 Byte 위치하는지 설정
Http_raw	HTTP Header가 아닌 Body 내에서 검사하기 위한 옵션
Http_uri	HTTP URI에서 Content 문자열 검사
Http_host	HTTP Host Header에서 Content 문자열 검사
Http_stat	HTTP Status Line에서 Content 문자열 검사

 

옵션	설명
Limit	임계치 초과 시 해당 패킷의 정보만 로그에 기록
Threshold	임계치 초과 시 해당 패킷의 정보뿐 아니라 패킷 전체를 로그에 기록
Both	Limit와 Threshold를 모두 적용하여 임계치 초과 시 해당 패킷의 정보뿐 아니라 패킷 전체를 로그에 기록

 

HIDS - OSSEC

항목	내용
개요	오픈 소스 기반의 호스트 기반 침입 탐지 시스템
기능	로그 수집 및 분석, 파일 시스템 모니터링, 루트킷 탐지, 악성 코드 검출, 권한 변경 탐지 등
로그	Syslog, JSON, ASCII, CSV 등 다양한 형식의 로그 지원
룰	다양한 룰 적용 가능(예: 정규식, 시그니처 등)
대응	이메일, SMS, Slack 등 다양한 경고 수단 지원
플러그인	OSSEC 외부 툴과 연계하기 위한 플러그인 지원(예: Elasticsearch, Suricata 등)

 

웹방화벽	설명
WAF (Web Application Firewall)	웹 어플리케이션에서 발생할 수 있는 다양한 보안 위협에 대해 대응하기 위한 방화벽
Reverse Proxy	클라이언트의 요청을 대신 받아 웹 서버로 전달하는 방식으로 공격자로부터 서버를 보호하는 역할
SSL/TLS Offloading	SSL/TLS 암호화를 처리하는 기능을 웹방화벽이 대신 처리하여 서버의 부하를 줄이는 역할
DDoS Protection	대량의 요청이나 트래픽 등 공격자로부터의 공격을 방어하는 기능
정책 기반 접근 제어	웹 어플리케이션의 보안 정책에 따라 특정한 조건을 만족하는 요청만을 허용하는 기능
인증 및 접근 제어	사용자 인증 및 권한에 따라 접근을 제어하는 기능
웹 취약점 대응	웹 취약점을 탐지하고 대응하는 기능을 제공