본문 바로가기
  • 1+1=3
카테고리 없음

2022-12-25. 메리크리스마스! + L2스위치, 라우터, 프록시 내부구조

by 여스 2022. 12. 25.
반응형

메리크리스마스!!!

어제는 여자친구가 이쁜 코트를 사줬다. 난 편한 옷을 원래 추구해서 포멀한 옷을 많이 입지 않았는데, 여자친구 추천으로 입어보니 역시 태가 났다. 여자친구가 골라주는 옷이랑 음식은 항상 성공한다ㅎㅎ

 

그리고 오늘은 엄마가 교회에서 아침에 성가대 노래를 한다해서 가족들이랑 다같이 아침8시에 교회에 갔다. 취미생활을 잘 하셔서 다행이다. 이번 크리스마스는 나를 포함해서 주변사람들이 모두 행복한 시간을 보내는 것 같아 마음이 좋다.

 

암튼 이제 다시 현실로 돌아와 할일을 해야 한다. 내가 해온것에 비해 해야 할 것들이 너무 많다. 그러다 오늘 말씀처럼 두려움을 이기는 당대함과 하나님이 책임지실 것이라는 자신감으로 하나하나 해결해갈 것이다.

 

 

 

암튼, 일단 그전에 공부한 내용들을 키워드만 정리해보자.

L2스위치, 와이어샤크 기본개념

L2스위치는 크게 두종류가 있다.

  • L2 Access 스위치: 엔드포인트 구분해주는 스위치
  • L2 Distribution 스위치: L2 access스위치를 구분해주는 스위치

uplink: l2 access → l2distribution로 흘러가는거….저위에 그림 보면 공유기에 포트가 16개가 있는데 그중 하나는 uplink 라인용 포트임.

wireshark은 필수….이건 필터를 잘 써야 하는데…이는 정규표현식을 잘 써야 함 ㅈㄴ중요. 또한 16진수 잘써야 함.
L3에서 드라이버로 나가기 직전에 필터가 있음. 여기서 바이패스 또는 드랍을 할 수 있음. 여기서 다 바이패스 시키는걸 감지만 한다는 의미에서 센서라고 함. 이 센서 역할하는게 wireshark임. 얘로 도감청 다가능함.

라우터의 내부구조.(인라인 구조 장치)

라우터란 L3 스위치인데, 이는 즉 패킷가지고 스위칭을 한다는 것임.
L2에서 NIC으로 들어왔어, 그리고 다시 다른 닉으로 보내야 하는데, 만약 안보냈다면 그건 패킷이 잘 가다가 라우터 만나서 드랍된거임.(이유는 ip주소 때문이지 l3니까) 이를 필터링이라 하기도 함. 즉 인라인 장비는 바이패스하거나 드랍을 결정하는데, 라우팅 관련된 것만 하면 이건 라우터고, 보안적인 이유를 가지고 바이패스/드랍을 하면 이건 패킷 필터링 방화벽임.

즉 라우터나 패킷필터링 방화벽은 거의 비슷함.

방화벽과 라우터는 둘다 L3 스위치에 속하고, IP로 통신합니다. 내부적으로 라우터는 by_pass인지 drop인지를 결정하고 어디로 패킷을 보낼지를 지정해줍니다(이 두 과정을 inline 처리라고 합니다) . 패킷을 전송할 때 NIC 수준에서 바로 전송하느냐, IP(L3) 수준에서 처리한 이후 전송하느냐, 사용자 프로세스 수준에서 처리한 이후 전송하느냐에 따라서 라우터는 처리속도가 달라집니다. 기본적으로 low level에서 처리할 수록 빠릅니다. 방화벽이라는 것 또한 L3 스위치의 일종인데, 이친구는 보안적인 이유로 by_pass와 drop을 결정합니다. 기본적으로 내부구조는 거의 동일한데, 판단기준이 라우팅용인가 보안 관리용인가 차이가 있습니다.

그래서 방화벽을 보안 스위치라고 하기도 함.

프록시 구조

외우자 그냥.

유저모드에서 어플리캐이션 프록시로는 소켓을 보고, 이는 곳 스트림 형식의 데이터를 본다는 것임.

인라인 또는 아웃오브패스 방식으로 보는 데이터는 패킷 형태를 본다.

  • 프록시역할: 우회, 분석용
    프록시는 우회용으로도 쓰이지만 다음처럼 분석용으로도 쓰임
    자기 로컬주소의 다른포트로 프록시서버를 설정하면,부 유저모드에서 해당 프록시를 거쳐서 외부로 데이터가 나감. 그럼 ssl로 암호화 되기 전의 평문을 스트림으로 볼 수 있음.
  • 프록시역할: 감시와 보호
    프록시를 거치도록 하면, 악성코드 유입도 막을 수 있고, 회사에 쓴다면 해당 컴터가 어디접속하는지 다 감시 가능. 또한 IPS랑 연동해서 https통신은 IP주소 어디어디만 된다 하면 인터넷 아예 못쓰게 막을 수 있음.

 

  • 프록시역할: 리버스프록시

위 그림에서 5.5.5.5로 구글에 접속하려 하는 것 같지만 사실은 이건 프록시 서버주소임.

프록시와 웹서버 구간은 프라이빗이라 외부접속 차단됨.

이렇게 리버스프록시가 해커들이 공격하는거 식별하고 차단할 수 있음.

이렇게 웹서버 앞에 있는 리버스 프록시를 WAF 프록시라 함. (web application firewall). 얘는 L7에서 소켓 스트림을 감시함. http니까 l7임.(주로 해킹은 몇십메가 짜리 파일을 보내서 공격하기 때문임. 패킷은 넘나 작음)

반응형

댓글

티스토리툴바