망 분리하기

통신망

심층 방어 - Defence in depth(Computing)

(왜 망 분리를 해야 하는가?)

개인 정보를 다루는 DB 서버 등을 위한 내부망과 사용자가 접근하는 웹 서버를 위한 외부망을 나눠 구성하는 것

•

여러 겹의 복잡한 방어를 통해 최적화되고 강력한 보안체계를 구축하는 것.

•

보안 제어가 실패하거나 시스템 수명주기 동안 직원, 절차차, 기술 및 물리적 보안 측면을 취약성이 악용될 경우 중복성을 제공하는것이 목적이다.

•

원래 시간을 벌기 위해 공간을 제공함으로써 예방보다는 지연을 목적으로 한다. 

Defense In Depth For Web Applications

In today's complex ecosystem, the importance of application security has emerged as a leading factor to maintain the trustworthy image of a company. One little crack in the system is enough to drop the stock price of a company and it is not just a potential problem for Tech companies but it is a common issue for everyone who has a connection to the Internet.

https://medium.com/insa-tc/defense-in-depth-for-web-applications-38178696f833

통신망이란 무엇인가?

노드들과 노드를 연결하는 링크들로 구성된 하나의 시스템

여기서 노드란 IP로 식별할 수 있는 대상을 지칭하며, 링크는 물리적 회선을 말한다.

즉, 하나의 Subnet을 하나의 망이라 칭할 수 있다.

AWS에서의 망

•

Region : 국가 / 지역

•

Availability Zone(가용성 존): 데이터 센터

⇒ ap-northeast-2a

⇒ ap-northeast-2b

•

VPC

⇒ 하나의 Region에 종속

⇒ 다수의 AZ 설정 가능

⇒ VPC IP 대역 내에서 망 구성

L2 Switch

개요

•

Multiple Access를 위한 장비

•

서버에는 Network Interface Card가 있다.

•

Network Interface Card에는 MAC 주소가 있다.

(f0:18:98:58:a5:fb - 앞 6자리는 제조사, 뒤는 식별자)

•

Fail open 형 장비이다.

•

Broadcast 데이터를 Flooding하기 때문에 Broadcast domain을 확장한다.

통신 방식

•

MAC 테이블에 정보가 있을 경우에는 Forwarding

•

MAC 테이블에 정보가 없을 경우에는 Flooding

◦

응답하는 장비가 있으면 그 포트에 장비가 있다고 인지하고 MAC 테이블에 등록한다. 

Router

•

서로 다른 네트워크간의 통신을 중계하는 장비

•

MAC 테이블에 정보가 있을 경우에는 Forwarding

•

MAC 테이블에 정보가 없을 경우에는 Drop

•

라우팅 프로토콜을 활용해 어떤 대역으로 패킷을 보내는게 최적 경로인지 학습한다.

•

Fail Drop 형 장비

•

Broadcast 데이터를 drop하기에 Broadcast domain을 나눈다.

인터넷 통신

•

외부 네트워크와 통신하기 위해서는 Public IP가 있어야 한다.

•

라우터는 Private IP가 목적지일 경우 인터넷 구간으로 보내지않는다.

따라서 Private IP를 Public IP로 변환해주어야 한다(NAT)

•

자신이 속한 subnet(172.16.0.0/24)서버는 가상 스위치를 통해 직접 통신한다.

•

자신이 속하지 않은 subnet(172.16.1.0/24)은 가상 라우터를 통해 직접 통신한다.

•

그외의 0.0.0.0/0 (전체 대역)은 Internet Gateway로 통신을 보내도록 학습

네트워크 장비

Collision Domain & Broadcast Domain

•

Collision Domain이란 Half Duplex로 다중접속환경(Multiple Access)을 구성했을 때, 데이터를 동시에 전송했을때 충돌이 발생할 수 있는 영역을 의미한다.

⇒ 허브를 통해 MA를 만들었을 경우 1계층 장비이기에 신호 증폭, 즉, Collision Domain을 확장시킨다.

⇒ 스위치를 통해 MA를 구성할 경우 2계층 장비이기에 신호증폭 및 2계층 헤더를 열어 MAC주소를 확인해 전송해서 Port별로 Collision Domain을 나눈다.

•

즉, Multiple Access로 구성하는 상황에서는 스위치를 사용해야 한다. 

•

Broadcast Domain이란 Broadcast 데이터가 전달되는 범위

범위 내에 있는 단말은 직접 통신이 가능하며, 허용영역은 라우터를 기준으로 분할된다.

Broadcast 해야 할 데이터가 많으면 통신망에 부하를 주기에 Broadcast 허용영역을 적절히 분할되도록 라우터를 배치해 통신망의 부하를 줄여야 한다.

VPC 생성

•

하나의 서비스를 위한 네트워크를 다루는 단위

•

서브넷과 라우팅 테이블, 인터넷 게이트웨이 등을 설정할 수 있다.

⇒ 서브넷은 VPC에 설정한 네트워크 대역을 세분화한 네트워크다.

⇒ 라우팅 테이블은 서브넷이 다른 서브넷 혹은 외부망과 통신하기 위한 정보를 가지고 있다.

⇒ 인터넷 게이트웨이는 외부망과의 연결을 담당한다.

참고 주소

•

NextStep 망 분리하기 - https://edu.nextstep.camp/

•

네트워크(L1, L2)의 다중화 - https://brainbackdoor.tistory.com/115