컴퓨터와 네트워크
IT(Information Technology) - 컴퓨터에 관련된 기술 분야. ICT(Information Communication Technology)- 컴퓨터에 통신을 조합해서 구현할 수 있는 기술 분야 네트워크 - 애플리케이션끼리 무엇을 하기 위해 데이터를 주고받을 수 있도록 하는 것. 통신 프로토콜 - 양쪽 컴퓨터가 상호 간에 따르는 규칙
통신 프로토콜은 데이터 형식과 통신 절차로 이뤄진다. 데이터 형식은 주고받을 데이터가 어떤 형식일지, 통신 절차는 어떤 절차로 무엇을 주고받을지 결정한다. 이 순서와 규약이 방대해서 보통 프로토콜들을 쪼개서 조합해서 사용한다. 이것을 스위트 프로토콜이라고 한다.
이 프로토콜들은 IETF 와 RFC라는 불리는 대서 표준화를 한다.
프로토콜은 계층 구조를 쓴다. 층을 만들고 보다 공통적인 기능을 아래에 두고 더 개별적인 기능을 위에 둬서 상위에서 하위를 쓰는 방법이다. 이렇게 작성 함으로써 우리는 SoC를 이루고 보다 더 공통적인 것을 반복해서 쓸 수 있고 추상화할 수 있어서 구조를 나눠서 쓴다.
OSI(Open Systems Interconnection) 참조 모델은 컴퓨터 네트워크에서 필요로 하는 기능을 일곱 개의 계층을 이용해서 정리한 것이다. 물리 계층(커넥터/핀 등), 데이터링크(직접 접속된 기기 간의 통신 구현), 네트워크(중계 등에 임의의 기기 간의 통신), 전송(사용자들이 신뢰성 있는 데이터를 주고받을 수 있도록 해 준다), 세션(사용자들끼리 통신 절차 유지 및 관리), 표현(데이터를 받고 적절히 표시), 응용(구체적인 통신 서비스)(L1~7). 이러한 모델을 참고해서 만든 체계를 네트워크 아키텍처라고 한다.
LAN(Local Area Network) - 한 거점 한 군데 내의 네트워크
WAN(Wide Area Network) - 거점과 거점을 연결하기 위한 네트워크
인터넷은 WAN은 아니지만 WAN을 사용하고 있다.
인터 네트워킹 - 네트워크끼리 서로 연결하는 것.
인터 네트워킹은 TCP/IP의 통신 프로토콜을 써서 네트워크끼리 연결하는 기능을 가능케 만든다. 네트워크 주소를 라우팅 함으로써 다른 대상의 네트워크까지 정보를 전달하고 개인 컴퓨터에도 IP 주소를 부여하고 식별해준다.
인터넷을 하기 위해서 광회선 ONU(Optical Network Unit)라는 기기를 거쳐 라우터 또는 각종 네트워크 기기에 연결해서 쓰인다. 이 연결되는 곳이 액세스 회선을 제공하는 ISP와의 연결이 된다. 이후에는 ISP 네트워크로 들어간다. ISP 끼리 접속되어서 비록 인터넷이 완성된다.
광역 인터넷 서비스 - 거점끼리 이더넷으로 직접 연결할 수 있는 서비스
VPN(Virtual Private Network) - 네트워크 내에서 별개의 가상 네트워크 만드는 기술.
인트라넷 - 인터넷 기술을 활용해서 구축하는 조직 내 전산망.
엑스트라넷 - 인터넷 기술을 활용하지만 다른 조직의 인트라넷들과 접속해서 서로 정보 주고받을 수 있는 전산망.
클라이언트 서버 - 주요 처리를 서버에서 수행하고 클라이언트에서 단순 작업 처리를 하는 통신망 특징.
p2p - 고정적인 역할을 할당하지 않고 각 컴퓨터를 동등한 관계를 형성한 통신망이다.
회선 교환 - 통신회선 자체를 정해서 설정하는 방식
패킷 교환 - 주고받고자 하는 데이터를 패킷이라고 불리는 작은 크기의 데이터로 작게 나눠서 이것을 공용 통신회선을 통해서 운반한다.
패킷 - 한 묶음의 데이터를 나눠서 작게 분할한 것. 헤더(전 송천 주소)와 페이로드(데이터)로 구성되어 있다.
프레임 - 네트워크 인터페이스 규격의 하나인 이더넷에서는 동일하게 데이터를 작게 자른 것.
PDU(Protocol Data Unit) - 패킷이나 프레임 같은 것을 말함.
이진수
숫자를 0과 1로 표현한 곳 십진수인 1000을 12^3 + 02^2 +02^1 +02^0으로 2진수로 표현할 수 있다. 네트워크 아닌 곳에서는 0을 OFF 1을 ON이라고 취급한다.
16진수
숫자를 0~F로 표현한 것이다. F인 십진수에선 15를 넘어가면 자릿수가 늘어난다. 십진수 16은 16진수에서 10이다.
ch2
TCP/IP 기초 지식
TCP/IP 에 대해 그 구조, 각 부분의 동작, 요소 기술의 개요, 이용되는 기기의 위치와 기능 등을 다룬다.
TCP/IP(transmssion control protocol/ internet protocol)
consists of 4 layer.
application layer, transportation layer, internet layer, network interface later.
network interface - 직접 접속된 기기간의 통신을 구현한다. ex) ethernet, ARP/RARP
internet layer - 중계등에 의해 임의의 기기간의 통신을 구현한다. 직접 연결 안되어있을때 기능을 추가해서 다른 네트워크 대상과 통신할수 있는 기능을 구현. ex) ip, icmp
transportation layer - 고 신뢰도 등 목적에 맞는 통신 품질을 구현한다. ex)tcp, udp
application layer - 구체적인 서비스를 구현한다. ex) http, smtp, pop3
tcp - 재전송 등을 수행하여 신뢰도가 높은 통신을 구현한다. (재전송-> 데이터가 갔는지 확인등을 해서 안됫으면 다시 보내는 등…)
upd - 데이터가 잘 갔던 말던 그냥 보냄( 게임처럼 렉걸리면 그냥 다음 장면으로 넘어가는 등 으로 한 예 라고 할수 있다.)
예제) |층 |웹 서버로 접속| 동영상 시청 등 | |—|— | —| |application|http|RTP| |transportation| TCP| UDP| |internet| IP|IP| |network interface| 인터넷| 인터넷|
웹 을 접속 하면 데이터는 기달리면 뜬다.
인터넷 동영상 시청하다가 중간에 렉 같은게 생기면 그 딜레이에 발생했던 영상은 그냥 넘어간다.
OSI
계층 1: 물리 계층(Physical layer)
계층 2: 데이터 링크 계층(Data link layer)
계층 3: 네트워크 계층(Network layer)
계층 4: 전송 계층(Transport layer)
계층 5: 세션 계층(Session layer)
계층 6: 표현 계층(Presentation layer)
계층 7: 응용 계층(Application layer)
복잡해서 요즘은 다 TCP/IP을 씀.
네트워크 아키텍처를 통일할 목적으로 만들어졌었다.
계층 5~7 = TCP/IP 의 application layer 이다.
session layer - 접속등의 관리.
presentation layer - 문자 코드 등 표현형식 반환
application layer - 개별 애플리케이션의 기능을 각각 구현
TCP/IP
network interface layer - 네트워크 인터페이스층은 네트워크용 하드웨어에 직접 연결되어 있는 컴퓨터 끼리 서로 통신할 수 있도록 하는 기능을 구현한다.
이더넷 - 유선lan에서 가장 주류인 네트워크 규격
PPPoE(point-to-point Protocol overEthernet) - 이더넷을 사용하게 해서 1:1로 접속하게 하는 프로토콜, 주로 인터넷 접속 서비스 이용자 인증에 사용됨.
mac 주소- 하드웨어 식별 주소
ARP(Address Resolution Protocol) - ip 주소에서 mac 주소를 얻기 위한 프로토콜
RARP(Reverse Address Resolution Protocol) - ARP 반대
internet layer - 인터넷층은 인터네트워킹, 복수 개의 네트워크를 연결해서 서로 패킷을 교환하는 기능을 구현한다.
라우팅- 페킷을 중계해서 소정의 방향으로 전송하는것.
인터넷 층에서도 한가지 더 중요한것을 접속한 컴퓨터를 식별하기 위한 주소를 부여하는 것이다. 이 주소는 네트워크 인터페이스 층의 프로토콜과 하드웨어 주소와 상관없이 컴퓨터 하나하나 식별이 가능해야한다.
IP(internet Protocol) - 직접 연결되어 있지 않은 네트워크끼리 패킷을 라우팅하는 기능을 제공하는 프로토콜. 이 동작에 따라 직접 연결 여부에ㅐ 관계없이 임의의 컴퓨터와 통신할 수 있다.
ICMP - IP의 동작을 보조하기 위한 특수 기능을 보유한 프로토콜, 임의의 대상에게 도달할 수 있을지 검사 도착할 수 없는 경우의 이유를 통지하는 등에 사용된다.
transportation layer- 트랜포트 층은 인터넷층이 만들어낸 임의의 컴퓨터끼리의 통신기능을 기반으로 해서 네트워크의 사용 목적에 따른 특성을 가진 통신을 구현한다. 신뢰도가 높은ㅇ 통신을 가능하게 하거나 신뢰도가 낮더라도 재빨리 패킷을 전송하게 한다.
TCP(transmssion control protocol)- 신뢰도 높은 통신을 구현하는 프로토콜.
통신을 하기 위해서 먼저 대상끼리 연결시켜야 한다. 임의의 컴퓨터 끼리 하는 통신으로 고 신뢰도를 보장하는 프로토콜. 초기 연결하여 통신이 완료되면 연결을 끊는다. 재전송이나 순서 재배치 등으로 실시간 작업에 맞지 않다.
User Datagram Protocol- 통신의 신뢰도를 높이는 작업은 전혀하지 않지만 바로 사용할 수 있는 가벼운 통신 기능을 제공한다. 인터넷층의 기능을 대부분 그대로 사용하고 사전 준비가 필요하지 않으며 간단한 통신을 구현하는 프로토콜. 필요할 때 대상ㅇ한태 바로 데이터를 보내고 도착한 데이터는 바로 애플리케이션으로 전달한다.
신로도를 구현하는 TCP의 통신 절차.
TCP는 대상이 응답이 하든말든 일정한 범위까지 마음대로 데이터를 보내는 방법을 채택하며 신뢰도가 높고 효율이 좋은 통신을 구현하고 있다. 슬라이딩 윈도우를 쓴다.
TCP 연결과 해제 절차
3웨이 핸드쉐이크를 쓴다.
- sync ->
- <— ack+syn
- ack->
애플리케이션 층은 개별ㄹ 애플리케이션이 갖고 있는 기능을 구현하는 층이다. 애플리케이션 목적에 맞는 트랜스포트층의 기능을 사용해서 애플리케이션 프로그램 끼리 데이터 주고 받는다.
애플리케이션의 주요 프로토콜
http- web에 접속한다. 모바일 애플리케이션 통신등에 사용한다.
smtp- 메일 송신이나 서버간의 전송을 한다
pop3- 메일함에서 메일을 꺼낸다
imap4 - 메일함의 메일을 읽는ㄴ다.
ftp- 파일을 전송한다
ssh- 문자 기반으로 서버 등에 명령을 ㅏㅎ고 결과를 본다.
dns- 도메인명과 ip 주소를 상호 변환한다.
ntp- 컴퓨터의 시간을 맞춘다.
레이어별 처리와 패킷의 관계 데ㅣ터를 전송하는 츠게서는 사위츠ㅔ서 바든 데이틀르 기반으로 ㅓ떤 혀태로든 통신을 ㅊ처리하며 그 통ㅇ신 처ㅓ리ㅔ 필요한 종 정보를 데이터본체 앞ㅇ으로 추가한다. 이것을 헤더라고 부룬다. 애플리케이션에서 패킷을 만들고 그 하위 층인 tcp 에 패킷을 보내면 tcp에선 헤더를 붙이고 ip 에다가 보낸다 그럼 인터넷층에서도 헤더를 추가 하고 보낸다 등등.. 받을때는 역으로 때면서 올려보낸다. 네트워크 인터페이스 층에서는 P 프리앰블, 데이터 시작을 알리는 헤더와 f 인프레임 체크 시퀀스인 오류 검출용 비트를 뒤에 추가 해서 보낸다.
ip 주소란 ip 라고 불리는 프로토콜을 사용하는 네트워크에서 각 컴퓨터를 식별하기 위해 컴퓨터에 부여된 번호이다. 보통 인터넷 규칙에 맞춰서 ip 를 할당한다. ip는 ICANN 이라는 곳에서 관리 할당을 한다.
포트 번호는 트랜스포트 층에서 tcp 또는 udp 가 제공하는 기능이 대상이 갖고 있는 어떤 기능과 접속할지 지정하기 위해 사용한다. IP 주소와 포트 번호 들다 이요ㅕㅇ함으로써 어떤 컴퓨터의 어떤 기능의 사용과 같은 형식을 지정할 수 있게 된다.
포트 번화는 간단한 숫자 한개로 표현된다 0~65535 까지. 0~1023 은 잘알려진 포트로 주요 애플리케이션 별로 번호가 할당된다. 예를 들어서 80 은 http 프로토콜을 쓰고 web접속에 쓰인다.
동일하게 대상 ip주소, 대상 포트 번호, 자신의 ip 주소 자신의 포트 번호 이렇게 사용된다. 그러나 udp는 연결의 개념이 없으므로 자신의 포트 번호에 따라 접속 여부를 구분 하지 않는다.
ip 주소는 인터넷에 접속하는 컴퓨터를 식별하는 기능잉 이씅며 다른데와 중복되지 않도록 할당한다.
전 셰게에서 유일한 전자는 전역IP 주소
그렇지 않은것은 사설 IP 주소라고 불린다. 이것은 가정 등의 내부 네트워크 등 조직에서 사용된다.
전역IP 주소가 고갈됨면서 IPv4를 쓰던것을 IPv6인 새로운 주소를 만들면서 주소가 많아 졌다.
ip 주소는 32개의 비트로 앞 24 비트는 네트워크부, 뒤 8 비트는 호스트부이다. 네트워크 부는 어느 네트워크 인지 식별하는 비트, 뒤 8 비트는 그 네트위크 안에서 식별 비트이다.
ip주소에 클래스 개념이 있는데 이것은 네트워크부 비트와 호스트부 비트의 차이에 따라 나눠진다.
넷마스크라는 개념이 있는데 네트워크부를 1로 다주고 호스트부를 0으로 다줘서 ip 주소 && 넷마스크 해서 네트워크 주소를 뽑아낼 수 있다.
네트워크 장애가 발생한 경우를 고려하면 장애의 영항 범위를 최소한도를ㄹ 줄이는것이 상책이다 이러한 점에서 거대한 ㅔㄴ트워크를 만들지 않고 물리적인 배치 조직등을 단위로 해서 작은 네트워크를 만들고 이들을 연결 시키는 구성이 일반ㅇ으로 이용된다.
작은 네트워크로 나눠서 이들을 연결하는 구성을 서브넷화 라고 한다. 호스트 일부까지 네트워크 부로 사용한다. 서브네트마스크 또한 연장이 된다.
1대1 통신을 유니캐스트라고 부르는 반면 동일한 이더넷 접속해 있는 컴퓨터 전체로 데이터를 보내는 통신을 브로드 캐스트라고 한다.
255.255.255.255로 패킷을 보내거나 ip 주소의 호스트부 전체를 1로만든 주소 로 패킷을 보낸다.
멀티캐스트 는 어떤 그룹에 포함된 특정한 컴퓨터에 한정해서 데이터를 보내는것이다.
허브 스위치 데이터 전송 기능 이나 각종 관리기능이나 valn 등의 기능을 가지고 있는것. 달려있는 포트에 컴퓨터를 연결해서 네트워크를 현성한다.
이것들은 이더넷으로 인터넷 프레임을 전송한다.
라우터는 네트워크의 중심적인 역할을 담담하는 기기이다. 서로 돌깁되어 있는 이더텟 네트워크 사이에서 양쪽의 패킷정보를 중계한다.
ch3
가변길이 서브넷 마스크는 서브넷 마스크 길이를 자유롭게 바꿀수 있고 컴퓨터 수를 유연하게 결정 할 수 있다.
CID은 가변 길이 서브넷 마스크를 기반으로 하는 기술로 기능의 관점에서 가변 길이 서브넷 마스크와 매우 유사하지만 원래 약간 다른 방식을 사용한다. IP주소의 클래스와 무관하게ㅐ 네트워크 부를 짧다고 간주함으로써 여러개의 네트워크로의 전송에 대해 한개의 전송 규칙을 맞출 수 있는 기술이다.
mac주소느ㅡ 이더넷 등의 네트워크 하드웨어에 하나씩 할당되어 있는 주소로 원칙적으로 다른것과 중복되지 않은 유일한 값을 가진다. 물리 주소이다.
ip 패킷을 상대에게 보내기 위해 컴퓨터는 ip 주소 내의 네트워크 주소를 보고 그 전송처를 결정한다. 이때 전송처의 네트워크 주소가 자신의 것과 동일하면 대상과 자신과 동일한 네트워큭이며 물리적으로 이더넷 등에 연결되어 있다고 판단한다. 이렇게 판단하면 컴퓨터는 이어서 ip 주소에서 mac주소를 도출하는 동작을 수행한다. 또한 대상이 다른 네트워크에 있는 경우엥는 ip 패킷을 다음 라우터로 넘겨야한다. 이때 라우터의 ip 주소에서 mac주소를 얻을 필요가 있다. 이동작에 arp 가 필요하다. arp는 브로드캐스트를 사용한다. 요청을 보내고 응답을 받아서 주솔르 얻어서 보낸다.
ip를 인간이 이해하기 어려워서 그 표현을 친숙하게 만들어 표시하는게 도메인 명이다. www.google.com에서www는 3단계 도메인, google은 2단계도메인(SLD) .com 은 최상위 도메인TLD. gTld(분야별)이고 ccTLD(국가별) 이다.
라우터로 패킷 전송하는게 라우팅이다. 전송 규칙을 결정 하는 요소가 라우팅 테이블이다. 이것에는 수신처의 네트워크와 그 네트워크에 대한 발송 방법이 등록 되어 있다.
기본 게이트웨이는 자신이 소속된 네트워크 이외에 보내려는 패킷에 대해 어디로 보내면 좋을지 정보를 갖고 있는 곳이다. 고로, 보낼 곳을 모를때에 우선 전송해두는곳이다.
네트워크 구성이 변하면 라우팅 테이블 갱신이 필요하다. 이것을 수동으로 관리하면 정적 라우팅이다. 아니면 자동으로 관리하면 동적 라우팅이다. 주변 라우터에 정보 등을 보내서 라우터의 라우팅 테이블을 작성하는 방법이다.
라우팅 프로토콜으로 라우터 끼리 경로 정보 교환한다. 수집한 경로 정보에서 최적 열로를 골라낸다. IGP 와EGP 로 나눠 져있다. IPG에는 RIP/RIP2OSPF 등이 있고 EGP 는 BGP를 쓴다.
DGCP 는 자동으로 네트워크를 설정하는 구조이다. 컴퓨터가 연결되면 브로드캐스트를 해서 DHCP 서버를 찾아 정보를 받아서 설정정보를 갖는다.
인터넷 접속한 컴퓨터는 자기 잣긴을 나타내는 IP 주소로 전 새계에서 유일한 프로토콜IP 주소를 사용해야한다. 두방법이 있다. NAT SNS사설 IP 주소와 라우터가 풀로 보유하고 있는 전역 IP 주소를 1대1로 대응시킨다. IP주소를 전부 사용하면 그 이상으로 연결 안된다. NAPT는 포트 번호를 이용해서 여려개으 ㅣ사설 IP 주소와 한개의 전역 IP 주소를 대응시킨다.
ch4
이더넷으니 전 세계에서 폭 넓게 이용되고 있는 네트워크 규격이다. 선 혹은 랜 또한 규격이 있다 이것을 카테고리CAT라는 형태로 표시한다.
이더넷은 접속을 작게 분할해서 프레임이라고 부른다. 전기 신호나 광신호로 변환해서 통신 매체로 송출한다.
허브, 스위치, l2스위치 거의 동일하다. L2스위치는 수신처 mac 주소를 보고 그 기기가 연결되어 있는 포트로 데이터를 전송한다. ㅅ찾으면 접속 되어 있는 포트로 데이터를 전송한다. 테이블에 없을경우 플러딩이라는 동작을 한다. 프레임이 도달한 포트 이외으 포트 전체에 그 프레임을 송출한다.l3 스위치는 ip패킷을 처라하는 스위치다. 스위치 내에 만든 vlan 끼리 연결하기 위해 스취이에 라우터 기능을 넣는것이 l3 스위치의 시작이다. 그후 ip의 ip주소를 보고 할당을 한다. L3 스위치에 문제가 생기면 라우팅 기능과 스위치 기능 양쪽 기능을 못쓰게 된다.
무선 LAN은 LAN케이블 대신 무선을 사용해서 네트워크 접속하는 기술이다. 상호 접속 인정에 합격한 기기만이 연결이 가능하다. 일반적으로 유선보다 보안이 약하다. 그래서 보안 알고리즘들이 나왔는대 보안 방식 WEP WPA WPA2 등이 있다.
VPN이란 물리적으로 한개의 네트워크를 논리적으로 여려 개의 네트워크로 분할하는 기술이다. 포트 기반과 태그 기반. 포트 기반은 포트 를 그룹해서 나눠서 그 그룹한 만큼 네트워크화 하는것다. 태그는 랜 케이블 하나로 다수 랜 정보를 흘려 보내는거다. 터널 기술로 논리적인 회선을 만들어 낸다. ISPEC/L2TP등으로 만들어낸 기밀성이 보장된 논리적 회선과 그밖에 물리적인 회선으로 만들어 져있다. ISPEC의 주요 구성 요소는 IKE, EXP, AH(암호화 키 교환 프로토콜, 데이터 암호화 해서 주고 받는 구조, 인증과 조작을 검사하는 구조) 등이 있다.
가상화란 물리적인 네트워크나 컴퓨터를 사용해서 논리적인 네트워크나 컴퓨터를 만들어내는 기술이다.
가상화의 장점으로는 물리적인 장비의 대수나 장소에 제약을 받지 않고 기능을 이용할 수 있다는 점, 장비의 처리 능력을 효과적으로 활용할 수 있다는 점, 장비 각각이 갖고 있느 것이상의 처리 능력을 보일 수 있다는점, 필요에 따라 규모확장 축소하기 쉽다는 점들이 있다.
클라우드 컴퓨팅 도 가상화의 한 부분이다. 가상화된 컴퓨터를 쓰는것이다.
클라우드란 이용자가 직접 WEB 화면 등을 통해 컴퓨터, 네트워크, 각종 서비스를 자유롭게 조합해서 필요한 시스템이나 서비스를 구성한 후 이걸 네트워크를 경유하여 이용할 수 있다.
클라우드 종류는 IAAS(가상화된 컴퓨터나 네트워크를 제공한다), PAAS( 시스템을 구성하는데 필요한 각종 기능을 제공한다), SAAS(소프트웨어를 제공한다).
CH 5
WEB에서 하이퍼링크로 연계된 하이퍼텍스트를 따라 찾아서 열람할 수 있다. HTTP:///WWW.ASD.COM/INDEX.HTML 에서 HTTP 는 스킴, WWW.ASD.COM은 호스트명, INDEX.HTML 은 패스. 스킴은 사용 프로토콜을 지정한다. 호스트명은 접속한 컴퓨터의 명칭이나 IP 주소를 지정한다. 패스는 서버 내의 저장 위치이며, 생략된 경우 디폴트 문서가 지정된다.
콘텐츠 별로 정적이랑 동적 콘텐츠로 나눠진다. 정적 콘텐츠는 미리 제작해서 서버에 보존되어 있는것이고 동적은 접속할때 마다 결과가 바뀔 가능성이 있는것이다. HTTP는 웹 서버와 웹 클라이언트 간에 웹 정보를 주고 받기 위한 프로토콜이다. 요청 한번에 응답 한번을 되돌려 준다는 규칙이 있다. 응답이 항상 동일하다. 간결하고 단순한 특성을 갖고 이것을 RESTAPI 특징중 하나다. HTTP 요청을 서버에 보내면 이걸 받아 HTTP 응답을 한다.
HTTPS는 GTTP에서의 통신을 안전하게 보호하기 위한 구조이다. SSL이라는 불리는 프로토콜이 만들어내는 안전한 연결 방법을 사용하고 이를 기반으로 HTTP에 따른 통신을 한다. 누가 도중에 통신 내용을 변경하여 조작한 사항을 검사할수 있고 접속 하고 있는 웹 서버가 진짜인지 아닌지 여부를 검증하는 기능도 있다. SSL/TLS는 대상의 특정이나 암호키 교환 정보의 암호화에 사용하는 각 알고리즘 을 여러개 중 선택한다. 서버와 클라이언트가 서로 대화하여 상호 공통으로 대응 할수 있는것을 선택하는 게 바로 교섭이다.
SMTP는 전자 메일 전송에 사용되는 프로토콜이다. 25번 포트를 쓰고 HTTP 처럼 요청 한번에 응답 한번을 되돌려주고 끝내는게 아니라 연결하고 있는 동안 여러번 명령과 응답을 교환한다.
POP3 IMAP4는 메일함을 읽는 프로토콜이다. POP3는 메일함의 메일을 PC에 넣고 PCP 내에서 정리나 열람하는 형태이다. IMAP4는 메일을 서버상의 메일함에 둔 상태에서 정리나 열람하는 형태이다.
FTP는 파일을 전송하기 위한 프로토콜이다. 전송제어와 전송 데이터를 위해 포트 2개를 쓴다. 전송 도중에 제어도 가능하다.
FTP 액티브 모드 - 제어용으로 연결하고 각종 명령어를 보낸다. 그 후 데이터용 연결을 서버에서 만들려고 한다.
FTP 패시브 모드 - 제어용으로 연결하고 각종 명령어를 보낸다. 그 후 데이터용 연결을 클라이언트에서 보낸다.
SSH는 서버나 네트워크 기기에 접속해서 대상을 CUI로 조작하는데 사용하는 프로토콜 및 그걸 하기 위한 프로그램의 명칭이다. 교환시 암호화 되어 있으므로 안전하게 대상을 조작할 수 있다. 공개 키와 비밀키를 이용하면 더욱 보안이 강화된것을 쓸 수 있다.
DNS 는 도메인명. 도메인명에서 IP 주소를 찾는것 혹은 반대로 IP 주소에서 도메인 명을 찾는것을 이믈 분석이라고한다. DNS 구성하는 서버에서 콘텐츠 서버, 캐시 서버가 있다.
NTP는 네트워크 연결된 컴퓨터의 시간을 맞추기 위한 프로토콜이다. 이것은 계층구조를 채용하고 있다 STRATUM 0~N 해서 정확한 시간원천등을 구성하고 있다.
컴퓨터 끼리 네트워크애 연결 되어 있고 경유해서 서비스를 제공하는 사업자나 서비스를 ASP 라고 한다.
REST API 는 상태를 갖지 않은 프로토콜이다.
HTML은 웹에서 사용하는 문서를 기술하는 언어이다. 태그를 써서 명령ㅇ어로 사용해서 컨탠츠를 관리한다. 이런 언어를 마크업 언어라고한다. XML 이 있지만 이들은 마크업 언어를 정의하기 위한 범용적인 규칙을 정의한것으로 작성 규칙이 엄격하게 정해져 있다.
컴퓨터가 다룰 수 있는 데이터는 그 구조에서 수치로 제한 된다. 그 수치와 문잘르 대응 시킨 문자 코드가 정의 되어 있기 때문에 쓸 수 있다. 2바이트 이상의 값을 가진 문자 코드를 멀티 바이트 라고 하고 아닌 것은 반각 이라고 한다. 반각은 ASCII 코드, 멀티 바이트는 보통 유니코드이다. 동일한 문자 코드를 사용하지 않으면 문자 코드 깨짐 현상이 일어난다.
ch 6
정보 보안은 기밀성, 부결성 가용성을 균형 있게 유지 해야한다. 기말성은 허가를 받은 사람만 정보를 이용할 수 있다. 무결성은 정보가 본래의 내용으로 유지 된다. 가용성은 정보가 적절하게 사용할 수 있는 상태이다. 세가지 요소를 유지하면 좋지만 이걸 방해하는 리스크가 있다 리스크는 위협과 취약성으로 분류 할수 있는데 위협은 어떤 위해를 당할 우려이고 취약성은 위협에 대해 내제되어 있는 약점이다. 리스크를 낮추기 위해 구체적인 대책을 관리 대첵이다.
정보를 암호로 만들때나 암호화된 정보를 원래대로 되돌릴(복호화) 때에는 암호 알고리즘과 암호 키를 사용한다. 암호키는 패스워드 같은 거다. 데이터 암호화와 복호화에 동일한 키를 사용하는 것을 공통키 암호라고 한다. 키를 인터넷으로 보내면 의미가 없어서 나온게 공개키와 비밀키이다. 비밀키로 공개키를 만들어 공개 키를 보내여 그 공개키로 만든 데이터를 받아와 비밀 키로 풀어서 데이터 안정성을 유지 한다. 전자증명서인 디지털 서명을 한것을 보냄으로써 상대의 올바른 공개키를 손에 넣는다는 보장을 한다.
부정 침입이란 시스템이 갖고 있는 취약성이나 설정 마비 등을 노리고 정규 접속 권한이 없음에도 불구하고 사내 네트워크 또는 컴퓨터에 숨어 들어가는 것을 가리킨다. 인터넷 등의 네트워크를 경유해서, 물리적으로 사무실로 침입해서, 무선 랜을 부정 사용 등으로 뚫을 수 있다. 이러한 대처하기 위해서 가장 즁요한것은 부정하게 침입 당하지 않는것이다. 그렇게 하려면 장금 장치나 금고에 넣어두면 된다.
부정 프로그램은 컴퓨터나 네트워크 기기에 대해 어떤 악의를 갖고 위해를 가하는 소프트웨를 총칭해서 부정 프로그램 또는 악성 소프트웨어 라고 한다.
바이러스- 파일에 감염해서 다른 컴퓨터로의 감염을 확대한다.
웜 - 바이러스와 달리 주로 네트워크 접속을 통해 감염된다.
트로이 목마 - 애플리케이션 등을 설치하는 형대 등으로 컴퓨터에 내장 시킨다.
스파이웨어 - 파일 몰래 보기, 키조작 기록과 송신등 스파이 행위를 하는 부정프로그램이다.
랜섬웨어 - 파일을 이용 불가로 만들고 금액을 요구한다
애드웨어 - 광고를 표시하는등의 스파이 행위랄 한다.
방화벽과 DMZ
방화벽은 주로 패킷 필터형으로 되어 있다. 이것은 인터넷과 내부 네트워크의 경계에 설치해서 패킷의 IP 주소와 포트번호를 조건으로 통신을 허가/거부한다.
정적 필터링 - 항상 고정된 조건으로 방화벽에서의 통과와 차단에 대한 판단
동적 필터링 - 통신 진행 상황에 따라 시시각각 조건을 변경 하는 것을 동적 필터링
스테이트풀 패킷 인스펙션 - TCP 프로토콜의 올바른 동작에 부합하는지 여부를 확인.
DMZ- 인터넷에 완전히 드라난것과 내부 네트워크처럼 단단히 보호된 것 사이의 딱 준간 보호 상태의 네트워크.
백신
바이러스의 특징을 기록한 패턴 파일을 비교한 시그니처방법
안전한 상태로 바이러스를 구동시켜보고 행동을 조사하는 휴리스틱 방법.
콘텐츠 필터링은 지정 조건을 만족하는 웹 콘텐츠의 관람을 제한하는 기능이다.
IDS 침입 탐지시스템
IPS 침입 방지 시스템
IDS는 이상을 검출하면 시스템 관리자에 메일등으로 통보 한다.
IPS는 이상한 접속을 즉시 차단함과 동시에 시스템 관리자에게 메일 등으로 통보한다.
둘다 감지 접근방법은 시그너처에 따른 부정 검출과평소와 다른 상황을 헤아리는 이상 감지가 있다.
UTM은 방화벽, 백신 콘텐츠 필터링, 등 기능을 모아둔 기기다.
차세대 방화벽이란 보통 방화벽은 모든 애플리케이션을 80 포트로 받는것과 달리 어떤 애플리케이션인지 구분이 가능하다.
소셜 엔지니어링은 컴퓨터나 네트워크 등의 기술을 사용하지 않고 옛날부터의 긴간 대 인간의 교환을 통해 기밀정보를 유출 하는 것을 가리킨다.
보안 정책이랑 조직의 보안을 양호하게 유지하기 위한 방침이나 행동을 모은 일련의 약속이다.
이정보 보안을 유지 하기 위한 대책을 관리 대책이라고 한다. 관리 대책은 기술적인 대책(방화벽,백신등 ), 물리적인 대책(입퇴실 관리, 서버실 장금), 인적 대책(PC나 미디어 반입 반출 제한) 으로 구성 되어 있다. 이것을 PDCA주기로 계속 해야 한다.
CH 7
네트워크 구축은 설계부터 잘 해야한다. 이용현황조사, LAN 구성 설계, WAN구성 설계, 보안 설계, 모니터링 설계의 흐름으로 설계해야한다. 사전 조사해야 할것은 이용자 수, 이용할 애플리케이션, 시간대, WAN 회선, 접속 단말수, 보안상 주의사항, 접속 방법, 이용자 종류 등을 봐야한다.
서브넷 구성을 할때 일반적으로는 동일한 부서를 서브넷 하나로 묶는다. 그리고 부서별 단말에 맞춰 IP 주소에 충반한 여유가 있도록 서브넷 마스크를 결정한다.
서브를 선택도 해야하는데 클라우드로 할지, 온프리미스로 할지도 검토해야한다. 클라우드는 사양의 일부를 자유롭게 변경 할 수 있다. 온프레미스는 그만큼 싸다.
인터넷과의 접속을 할려면 엑세스 회선 서비스와 IPS 서비스 두가지가 필요하다. ISP를 고를때는 설치장소가 서비스 제공 지역인지, 필요 시기까지 개통 가능 여부, 라우터를 사용하고 그 특성이 부합하는지, 설치장소 배선의 종류등을 보고 골라야한다.
조직의 건물 내에 서버 공개하고 서버를 두는 경우 안전한 공조와 전원을 확보할 수 있는 공간에 서버를 둠과 동시에 방화벽에 DMZ를 설정해서 여기에 서버를 연결 시킨다. 또한 부하 분산을 위한 로드 밸런서 를 설치 해야 할수도 있다. 고정된 전역 IP 주소가 할당된다.그리고 도메인명을 할당한다. 이것은 대항사에서 신청한다. 도메인명 취득후 서버의 준바와 설정하고 DNS 서버의 등록을 하면 된다.
윈도우 워크그룹에는 워크 그룹과 도메인이라는 두종류의 이용자 관리 스타일이 있다. 워크 그룹은 이용자 아이디와 암호를 개별 컴퓨터에서 관리하고 도메인은 도메인에서 관리한다.
디렉토리 서비스는 컴퓨터나 네트워크 기기의 소재, 고유정보, 설정등의 대응 정보를 축적 시켜두고 그걸 제공하는 서비스이다.
로그인 할때 참조되는게 이거다.
안전적인 전원의 확보 전원에 대해 일어날 수 있는 문제에는 정전, 순단 전압강하, 노이즈, 스파이크나 서지 등이 있다. 이러한 문제를 대항하기 위해서 노이즈 필터나 서지 프로텍터를 구비하거나 UPS 를 쓴다.
브로드캐스트 스톰이란 랜 접속을 루프를 해서 브로드 캐스트가 멈출수 없게 되고 네트워크 부하를 높이는 현상이다. 이것을 막기 위해서 스패닝 트리 프로토콜을 쓴다.(루프가 생기는 포트를 무효로 해준다). 스위치 스태킹등도 사용된다. 스위치를 스택으로 쌓아 올려서 한대의 스위치처럼 보이게끔 만드는것이다.
네트워크가 정상적으로 동작하고 있는지 여부를 감시하는것을 네트워크 모니터링이라고 한다.
외부 기기에서 모니터링 할때 사활감시와 상태 감시가 있다. 사활 감시는 응답이 있는지 여부만 확인하고 상태 감시는 각종 내부 상태를 읽어서 상세히 모니터링한다.
SNMP는 상태 감시에서 통계 정보 읽는 수단으로 쓰이는 프로토콜이다. 풀링으로 정기적으로 정보를 읽고 트랩으로 기기가 자율적으로 오류등을 통지한다.
트러블 발생시에는 분리를 한다. 분리란 오류가 발생했을때 정상적으로 동작하고 있는 부분과 오류가 있는 부분을 경계를 명확히 해서 그 경계를 조금씩 이동 시켜 나가면서 오류가 있는 요소를 좁혀나가는 특징이다. PING 명령어를 보내어 어떤 기기까지 응답이 있는지 살펴봄으로 분리를 할수 있다. 다른 방법은 dig 나 nslookup로 어디까지 갔는지 확인 하는 것 또한 분리의 방법이다.