태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
 

 
블로그 이미지
[www.netrain.co.kr]에서 네트워크/보안을 공부하시는 분들을 위해 서비스를 제공하는 블로그입니다 승진아빠
Follow silpir  on Twitter


CCIE Open-Ended 과연 어려운가? (4)

네트워크 심화 | 2010.04.16 12:15 | Posted by 승진아빠

벌써 Open-Ended 4번째 시간이군요. 좀 만만해 지셨나요? 더 자신이 없어지셨다고요? 이론은 아무것도 아닌데 영아에 자신이 없으신가 보군요. 계속 영작하는 연습을 해보세요.

예를 들면 하루에 2-3개씩 단어를 잡으세요.

단어 : Router, VLAN, Packet

그리고, 그걸 한글로 설명할 수 있도록 요약하시고 영작을 해보세요. '어떻게 설명하는 것이 좋을까...'라고 출퇴근 길에 머리속으로 계속 생각하시다 보면 CCIE에 나오는 시험 정도는 영작하실 수 있을겁니다. 못한다고 하면 평생 못하는거고, 할 수 있다고 생각하면 실패하더라도 한번 해보기라도 하는거 아니겠어요? ^^

차주부터는 시험센터가 운영될 듯 합니다. 저녁 9시에도 시험볼 수 있는 학원, 주말에도 시험볼 수 있는 학원이 되겠다고 메일링 초반에 드렸던 약속을 지키겠습니다. 업무중에 눈치보면서 시험치러 오시지 마시고, 야간이나 주말에 편하게 오셔서 시험보고 가세요. 크지 않은 학원에 6대의 Test PC가 있으니까 왠만하면 자리가 있을겁니다.

급한 사정에 의해 당일 등록하시더라도 시험이 가능하도록 해드릴 생각이지만, 잘못하면 오래 기다리셔야 합니다. 최소 하루전에는 등록해 주시고요. 참고로 시험센터는 VUE 입니다. VUE에서 시험보는 과정만 신청해주세요. ^^

그럼, 오늘도 메일링을 시작해 볼까요?

Q1. What circumstances use the tcp intercept?

TCP intercept가 뭐죠?

답부터 말씀드리면 TCP intercept 기능은 DoS attack과 같은 TCP SYN flooding 공격으로 부터 서버를 보호하기 위한 기술입니다. 어떻게 보호하냐구요?

공격자가 서버를 공격하기 위해 TCP SYN packet을 보내면 서버는 당연히 SYN/ACK를 보내게 될 것입니다. 그런데, 마지막 ACK를 공격자가 보내지 않으면 서버는 Session이 완성될때까지 Memory 등 자원을 사용하며 ACK를 기다리게 되죠.

그런데, 이렇게 기다리는 Session이 많아지게 되면 서버의 자원이 Full 사용되어 정상적인 Session에게 할당할 자원이 부족하여 서비스 제공을 못하게 됩니다.

이때, TCP intercept 기능이 enable되어 있는 Router가 공격자와 서버 사이에 있는 경우, TCP 3-way handshaking 상황을 table에 기록하여 정상적으로 Session이 맺어지는지 모니터링을 합니다.

만일, 일정한 시간내에 정상적으로 Session이 완성되지 않는 경우에는 Session을 종료시켜 버리는 것이죠.

자! 그럼 어떻게 동작하는지 잠깐 살펴보도록 하겠습니다.

1. 공격자가 SYN packet을 서버로 전송합니다.

Router는 SYN 정보를 TCP intercept table에 등록한 후, 서버로 부터 ACK가 날아오는지 확인합니다.

2. 서버가 공격자에게 SYN/ACK packet을 전송합니다.

최초 SYN에 대해 ACK가 전달되었고, 새로운 SYN이 전달되었으므로 Router는 'Half-open connection' 상태가 됩니다. 그리고, 공격자로부터 ACK가 날어오는지 확인을 하게 되죠! 만일, ACK가 날아온다면 'Two half-connections'상태가 되어 문제없이 통신을 하게 되는 것이고, ACK가 날아오지 않는다면 Default로 30초간 기다렸다가 Session을 종료시킵니다. 간단하죠? ^^

보다 저 자세한 내용은 추후에 설명드리기로 하고 오늘은 개념만 설명드리도록 하겠습니다. ^^
이제는 답을 적어야죠!

The TCP intercept feature implements software to protect TCP servers from TCP SYN-flooding attacks, which are a type of denial-of-service attack

너무 길다고 생각이 드시면 [To protect TCP servers from TCP SYN-flooding attacks] 부분이 핵심입니다.


Q2. What mode violation is still permitted to forward traffic?

CCNA 문제군요. [violation]은 Port-security를 적용할 때 많이 사용하는 Option이죠? 실제로 Violation은 Port-security외에도 장비에 어떠한 정책을 수립할 때, 함께 사용됩니다. 수립된 정책을 위반했을 때 어떤 동작으로 취하라는 것을 의미하는 것이죠.

예를 들어 Port-security를 설정하여 특정 MAC-address만 통신이 가능하도록 만들었는데, 허락되지 않은 MAC-address가 유입될 때 동작방법을 명시하게 되는 것입니다. Default mode는 'Shutdown' 상태로 Port를 사용하지 못하도록 차단시켜 버리는 거구요. 그럼, 다른 mode는 어떤게 있나요?

문제를 보면 Port-security 정책을 수립할 때를 묻는것 같군요.

Port-security에서 Violation mode는 다음과 같이 3가지가 있습니다. 

1. Protect
[Port-security maximum] command에 의해 설정된 최대 등록가능한 MAC address 초과시, Port-security table에 등록되지 않은 Frame은 Drop시키는 Mode로 table에 등록된 사용자는 통신이 가능한 mode

2. Restrict
Protect mode와 동일하게 동작하나, Protect mode는 Log를 남기지 않는 반면 Restrict mode는 차단된 Frame에 대한 Log를 기록하여 Log Server에게 전송하며, 차단된 Frame Count를 table에 등록하여 잘못된 Frame이 얼마나 많은지 확인 가능한 mode

3. Shutdown
Port-security table에 등록되어 있지 않은 Frame 유입시 Port를 err-disable 상태로 만들어 Port를 더이상 사용하지 못하도록 하는 mode

쉽죠? 답은 mode를 물었으니 다음과 같이 적으면 되겠군요. 철자가 문제겠군요!

Protect mode and 2. Restrict mode

오늘은 메일링이 많이 늦었죠? 오늘 저녁까지 OO증권 컨설팅 제안서를 만들어야 해서요. 오전까지 달라고 해서 부지런히 밤세 만들었더니, 저녁까지 달라네요. 그래서 메일링을 쓰고 있는 것입니다. 또 작업 들어가야죠.

오늘 하루 힘차게 보내시고요, 내일 뵙도록 하겠습니다. 화이팅!!