네트워크 보안 운영

방화벽: 관리자가 허용하는 패킷만 내부 전송 및 외부 전송을 허용하는 방식으로, 가장 기본적인 개념의 네트 워크 보안 솔루션 
IDS: 네트워크 공격 형태를 사전에 분석하여 규칙을 만들어 놓고, 이상 패킷을 실시간으로 감지하여 관리 자에게 통보해 공격에 대응하는 네트워크 보안 솔루션 
IPS: IDS+침입 탐지 시스템에 방지 기능까지 자동으로 수행하는 네트워크 보안 솔루션
VPN: 정보를 암호화하여 공중망을 통하여 전송함으로써 정보를 가로채기 당하더라도 데이터 유출을 차단 시키는 네트워크 보안 솔루션 
SPAN: 네트워크 스위치에서 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법으로 Cisco Catalyst 스위치에서 사용

보안 취약점 점검 위치 4가지: 네트워크 구조 식별->어플리케이션 스캐닝->네트워크 취약점 점검->시스템 취약점 점검
SNORT 의 구조: Sniffer->preprocessor->Detection Enfine->Alert/Logging
DHCP 임대 관리 주기: 주소 바인딩 → 갱신 → 리 바인딩 → 해제
DHCP 서버 주소 받는 임대과정 4가지: 주소 바인딩(시스템에서 DHCP 서버로 부터 획득한 IP(정보)를 실제로 사용하는 단계), 갱신 (할당 받은 서버에게 임대시간 연장을 요청하는 단계,  임대 시간의 50% , 갱신이 완료되면 임대 시간을 재 할당 받음), 리바인딩 (갱신 단계가 실패한 경우 모든 DHCP 서버에게 IP 재할당을 요청 하는 단계, 임대 시간의 87.5%, 리 바인딩이 완료되면 임대 시간을 재 할당 받음), 해제 (할당 받은 정보의 임대기간이 종료된 단계, 리 바인딩 실패, 클라이언트의 강제 해제)
DHCP 의 갱신(renewal): 할당 받은 서버에게 임대 시간의 50%가 지나면 연장을 요청, 갱신이 완료되면 임대 시간을 재 할당 받음
DHCP 서비스의 필요성: BOOTP의 정적 주소할당의 문제점을 해결하고 동적 주소할당 방식을 지원하기 위해 개발 됨
DHCP relay agent: DHCP 서버가 같은 네트워크 영역에 없는 경우 DHCP 메시지를 전달해 주는 기능, DHCP 메시지는 기본 Broadcast 로 전달 되기 때문에 Router를 통과할 수 없음, Router에서 특정 인터페이스로 DHCP Broadcast 메시지가 들어왔을 때 지정된 DHCP서버로 전달

지식 기반 탐지: 오용 침입 탐지, Signature 기반으로 비정상적인 트래픽을 탐지, 오 탐 가능성이 낮으며 백신처럼 트로이목마, 백도어 등의 공격도 탐지 가능, signature가 없는 공격에 대한 대응이 불가능, 부정 오류(False Negative) → 미 탐 가능성이 높음
행위 기반 탐지: 비정상 행위 탐지, 정상적인 상황의 트래픽에 위배되는 급격한 변화가 발견되면 위협으로 판단하는 탐지 기법, 정량적 분석, 통계적 분석 기법을 사용, 관리자가 상황에 따른 프로필을 제작할 수 있으며 IDS장비 자체가 인공지능(학습능력)을 지원 함, zero-day Attack에 대해 탐지 가능, 긍정 오류(False Positive) → 오 탐 가능성이 높음
N-IDS 의 장/단점: O: 호스트 기반 IDS 에서는 탐지 불가능한 침입을 탐지, 포트 스캐닝, Land Attack 등의 공격 탐지, 전체 네트워크에 대한 침입 탐지, 기존 네트워크 환경을 변경할 필요가 없음/ X: 탐지된 침입의 공격 성공여부를 알지 못함, 다양한 우회 가능성이 존재 함 
H-IDS 의 장/단점: O: 네트워크 기반 IDS에서 탐지 불가능한 침입 탐지 : 트로이목마, Race Condition 등 X: 모든 개별 호스트에 대한 설치/관리가 어려움, IDS가 설치된 플랫폼의 성능 저하, IDS가 설치된 플랫폼 자체가 침입에 노출 됨 
IP spoofing 의 목적: Dos 공격에서 공격자를 은닉하기 위해 Source IP주소를 변조 함, 접근 제어 정책을 우회하기 위해 허용된 Source IP주소로 변조하여 통신 함 
IP Forwarding 의 필요성: Forwarding을 수행하지 않으면 Dos 공격이 됨
ICMP Redirect: Router에서 특정 목적지 네트워크 또는 호스트로 갈 수 있는 더 효율적인(짧은) 경로를 알리는 메시지, 동일한 네트워크에 여러 대의 Router가 연결되어 있을 때 잘못 설정된 Default Route를 알림

NIC 동작모드 2가지: Bypass mode (일반적인 NIC의 기본 동작 모드, Filtering 동작하는 모드 → 목적지 MAC주소가 자신 또는 Broadcast인 데이터만 받아들이는 모드), Promiscuous mode (Filtering 해제 모드 → 목적지 MAC주소와 상관없이 NIC에 도달한 모든 데이터를 받아들이는 모드 , Software를 이용하여 Promiscuous Mode를 활성화 함)
sniffing 공격조건: Media 공유, 공격자 시스템의 NIC가 Promiscuous 모드로 동작해야 함, 공격자 시스템에서 Sniffer 프로그램을 사용해야 함, Sniffing할 데이터가 암호화 되지 않아야 함
APIPA: MS에서 구현한 자동 사설 IP 주소 지정 방식, OS에 지정된 네트워크 대역 중에서 하나의 IP를 선택 함, ARP Request를 이용하여 해당 IP가 사용중인 확인 함, ARP Reply가 없으면 선택한 IP를 클라이언트에 Binding하여 내부 통신을 지원 함, 주기적으로 DHCP Discover 메시지를 전달하여 IP 할당을 시도 함