사랑이네 ㅇㅂㅇ

목차

1. 2018.04.09 트러스트
2. 2018.04.05 VPN
3. 2018.04.04 IPsec
4. 2018.04.03 SSL2
5. 2018.04.02 암호화, SSL
6. 2018.03.30 DNS+Hmail+DHCP+NAT+WWW
7. 2018.03.29 DNS+Hmail+DHCP+FTP 실습
8. 2018.03.28 메일 서버 구축
9. 2018.03.27 전달자, 루트힌트, 위임
10. 2018.03.26 라운드 로빈/ 하위 도메인, 영역 위임
11. 2018.03.23 DNS 관련 메뉴창/ 주,보조영역 영역전송, ixfr 패킷 확인/ 조건부 전달자
12. 2018.03.22 DNS 이론
13. 2018.03.21 이중화 작업
14. 2018.03.20 NAT + DHCP
15. 2018.03.19 DHCP Relay Agent
16. 2018.03.16 0316-① Routing(static)&NAT, ②DHCP(dynamic)
17. 2018.03.15 0315-① Static, ② NAT (1)
18. 2018.03.14 0314- srvx1, memx1, clix1 셋팅 이후/ 네트워크 구성도
19. 2018.03.13 0313-OT

* 수업 자료

S-01 Defining VLANs.pdf

※ 개념

ppt.16

LAN안에 또 다른 LAN 만듦
그런데 이렇게 잘라서 쓰지는 않음
잘 나누지는 않음.
사설 ip를 가지는게 더 많기 때문에

ex> C클래스 ip개수:  256
    호스트수: 256-2
네트웍10개 => 10*254 = 2540
     100   =>         25400
     200   =>         50800 

vlan 1 == b.c. domain 1 == 1 subnet == lan 1

ㆍ Segmentation
ㆍ Flexibility
ㆍ Security

----------------------------------------------

ppt.17

----------------------------------------------

ppt.18

L2 Switch로 연결한 것과, L3 Switch로 연결된 것의 차의점 유의.

End-to-End VLANs : L2 Switch, 다른 네트웍대랑 통신하려면 L3 장비 필요(라우터), 동일 정책 적용 받음
                
  ∧
  ∧
  ∧

Local VLANs : L3 Switch

Cisco Enterprise Campus
Cisco에서 사용하는 대형망을 구축하는 조직체
----------------------------------------------

ppt.19

◆ End-to-End VLANs

+장점:
ㆍ똑같은 vlan에 소속되 있는 b.c.domain에 포함되어 있는 멤버
세그먼트: 연결된 링크

-단점:
ㆍ모든 VLAN의 정보를 동일하게 갖고 있어야..,
ㆍBroadcast 메시지를 모든 스위치로 Flood 한다.
  => b.c.domain 크다.
  => 전체가 하나의 b.c.domain이 되어버림.

ㆍTroubleshooting이 매우 어렵다.
  => 문제점 해결 어려움. 모든 switch 다 확인해봐야..,

특징:
- Static한 ip 주소 지정

- 네트워크 트래픽의 80(내부)/20(외부) 규칙 적용
=> 우리나라 실정에는 안 맞음!

why???

1) 예전에는 회사 안에 전산실이 있었음. 내부 처리 가능
옛날엔 End-to-End

2) 지금은 서버가 다 외부에 있음(IDC)
목적: 1.관리 / 2.보안(서버에 접근할 수 있는 수가 제한적)

지금은 20(내부)/80(외부)

3) 땅 덩이가 작음.

내부 << 외부 통신
층 별로 구분 많이 함.

◆ Local VLANs

+장점:
ㆍ디자인 확장이 용이.
=> 모든 공간이 다 다른 Vlan으로 인식됨.
ㆍ트래픽 흐름을 예측 가능.
ㆍ이중화 경로(Redundant Path)구축이 쉽다.

cf. Switch 사용 목적
내부 통신(LAN) 확장 위함

cf. 이중화 경로 구축법
1> clustering: 2개의 구축선이 똑같은 서비스 제공
               2개가 같이 돌음. 한쪽이 고장나면 나머지 쪽이 한쪽 몫 다함.

2> tail over: 2개의 구축선이 똑같은 서비스 제공
               한쪽만 계속 사용. 고장나면 나머지 선이 돌기 시작.

----------------------------------------------

ppt.20

End-to-End VLAN

Basic task:
ㆍ어느 정도의 IP Subnets(data, voice, etc) 필요?
  우선순위: voice (혼선문제, delay문제..,)

cf. Trunk : vlan 통신 연결 링크
cf. VTP: virtual trunck ptc.

----------------------------------------------

ppt.21

※ 실습-GNS3

*** 설치 관련

* GNS3 설치 관련

GNS3 1.3.13 설정.pdf

! 설치 시 주의 사항

- 폴더 만들 때 한글 문자로 만들지 말것! (외국꺼라 한글말 지원 안됨!)

* ios 이미지

- 강사님 블로그 링크: https://drive.google.com/drive/folders/1-p-JIHVdN0HeWz0Ak6fPXZPtjCARevuf 

- 내꺼 드라이브: https://onedrive.live.com/?id=83BC60E47B8BE0EA%21748&cid=83BC60E47B8BE0EA

c1700-y-mz.123-3i.bin

=> c1700, c3450

- 적용 방법

Edit> Preferences> IOS router> New

1) c1700 => PC       // 위 적용 순서 따라 하면 됨

2) c3450 => Ethernet Switch  ↓↓↓

* Xshell5 설치

https://drive.google.com/drive/folders/1bH9LenMFI8tN5KektHzz9k3EUM0Fhe9N

! 설치 시 주의 사항

- 보통 가정이나 학교에서는 공짜이기 때문에 설치 시 상용으로 하지말고 깔면 공짜로 기간 없이 쓸 수 있음!

- 적용 방법

* 토폴로지

2. VLAN 생성 및 access 설정.txt

ESW1

conf t
vlan 10
 name red
 exit
!
vlan 20
 name blue
 exit
!
int f1/0
 switchport mode access
 ! access : vlan이 하나만 전송되는 인터페이스
 switchport access vlan 10
 ! vlan 10 만 전송
 exit
!
int f1/1
 switchport mode access
 switchport access vlan 20
 ! vlan 20 만 전송
 exit
!

-------------------------
R1
conf t
int f0
 ip add 1.1.1.1 255.255.255.0
 no sh
 exit
! 서로 ping이 안되야 정상임(vlan 설정 했으므로..,)
-------------------------
!
R2
conf t
int f0
 ip add 1.1.1.2 255.255.255.0
 no sh
 exit
===========================

ESW1

conf t
default int f1/0
default int f1/1
! 인터페이스 설정 초기화(이전 설정 다 지움)
! 활성화가 되어 있으면 비활성화는 되지 않는다.(no sh (x) -> sh )

!추가 작업

1> R3, R4 ip setting
2> ES 추가 vlan 설정

[확인]

R1-R3, R2-R4 ping 통신

안되면,
ESW1 오.버> Reload

3> ESW1 vlan 설정 처음부터 다시!

!확인
show vlan-switch

=====================================

ESW1

! 강사님 풀이

conf t
int range f1/0 ,f1/2
! 원래는 붙여써야.., (패킷트레이서는 제대로 인식함)
switchport mode access
switchport access vlan 10
exit
int range f1/1 ,f1/3
switchport mode access
switchport access vlan 20
exit

!int range f1/0 -2
! f1/0 ~ 1/2

! 주의 사항

- GNS3 설정 저장 방법

> copy r s    // 모든 장비에 저장 명령어

> 바로 정지    // ■,   reload 금지!
> Save project as 해줘야..,!

* 도메인 로그인 [Review]

[dsa.msc]
srv12 : s1 계정 생성
mem12에서 로그인

조건 : 같은 도메인 내에서만 가능!
즉, srv12 계정 생성한 것을 다른 pc(srv13)에서는 로긴 할 수 없다!

* 트러스트 관계 만들기
1> 개념
서로의 자원을 공유 할 수 있다.
도메인과 도메인을 서로 자료 공유 시키는 것.

ex>
인수,합병
A pc 계정 <= B pc에서 로긴
B pc 계정 <= A pc에서 로긴

2> 종류
- 단방향 트러스트 <= 안쓰임!

액세스 방향 ←
트러스트 방향 ←

- 양방향 트러스트
   1) 비전이적 트러스트
     - 1:1
     - 트러스트 진행 하고 있는 녀석들 끼리만
        ex> 바로가기 트러스트  ★★★
  2) 전이적 트러스트
    - 덩어리 vs 덩어리
    - A와 연관있는 모든 도메인, 도메인 1과 연관 있는 모든 도메인과 관계 맺기
       ex> 포리스트 트러스트  ★★★

* 실습

1> 실습 방법

1. 바로가기 (1:1)
  srv1 <-> srv2

2. 포리스트 (m:n)
  srv1    <-> srv2
  mem1(자식) mem2(자식)
  

2> 부모(srv12)-자식(mem12) 관계 만들기

1) mem12 : workgroup으로 스냅샷 돌리기
2) mem12 : 자식 도메인 구성
  - [서버관리자]> Active Directory 도메인 서비스 설치
  - [깃발] 도메인 컨트롤러(DC)로 승격
 > 기존 포리스트에 새 도메인을 추가.
     (이미 도메인이 있고 기존에 있는 상태에서 도메인 추가하는 것이기 때문에)
 > 부모 도메인 이름: itbank12.edu ,
          새 도메인 이름: eu12 ,
          자격 증명 : itbank12\administrator / P@$$w0rd
 > 설치

3) 로긴 화면
우리가 방금 만든 도메인 계정으로 접속
=> EU12\Administrator
멤버에서 만든 자식 도메인 계정으로 로긴

4) 자식 도메인(mem12)에서 부모 계정으로 로긴 도 가능
=> itbank12\administrator

5) srv12 에서
eu12\administrator (X)

자식 개체가 부모 개체의 계정을 관리 할 수는 없다!!!
계정 기준 말고 서버 기준으로???

==> 위 작업 마치면 srv12, mem12 둘 다 AD2로 스냅샷 추가 해주기!

6) srv13-mem13도

위 1) ~ 2) 작업 후 AD2로 스냅샷 추가 해주기!

* 실습 1 - 트러스트-바로가기

// 위에 부모-자식 관계 먼저 만들어줘야..,

// 필요 서버 srv12-srv13

* 실습 2 - 트러스트- 포리스트

// snapshot AD2로 다시 돌리고 할것!

// 필요 서버 srv12-mem12   -  srv13-mem13

// 현재 AD2는 srv12-mem12 부모-자식 관계 만드는 과정까지는 만들어져 있는 상태이므로, 이 다음 단계부터

   진행 할 것!

// => 따라서 실제 작업은 srv12, srv13에서만 추가로 해주면 됨!

VPN(Virtual Private Network)

VPN?
Internet과 같은 공중 네트워크를 전용 회선처럼 사용 할 수 있게 해주는 기술 또는 네트워크 공중망을 통해
사용자와 사용자 간 그룹과 그룹 간 네트워크와 네트워크 간의 사설 보안망을 설정.
주소 및 Router 체계의 비공개, 데이터 암호화, 사용자 인증 및 엑세스 권한 제한 기능
전용선의 장점을 모아놓은 기술로 실제 전용선을 설치하게 되면 비용발생이 크므로 VPN을 선호.

- 속도는 포기.
+ 안정성 확보

방식
공중 => 보안 ↓
가상의 터널을 뚫음. => 보안 ↑ => 안전한 네트워크 확보
중국 => 한국 네이버 서버 접근 안됨
방법? VPN 뚫어야..,
중국 => 우리나라 집 => 네이버로 가게끔

공중 네트워크(Public Network)
+ 나만의 케이블 라인을 딴다. ==> 전용선
- 돈이 많이 듬
ex> 인터넷 망

사설 네트워크(Private Network)
+ 속도 빠름
- 네트웍은 제한됨
ex> 강의장

VPN의 장점
ISP가 제공하는 인터넷 Network를 사용하믈 전용선에 비해 가격이 훨씬 낮다.
ISP망이 구축되어 있는 곳이라면 어디든 VPN을 이용 가능.
Private Network를 구성하는 장비를 ISP에서 직접 관리하므로 관리 비용이 줄어 든다.

VPN의 특징
1.기존의 Private Network의 서비스를 그대로 제공. => 사설 네트워크 이용
2.Network를 통해 전달되는 DATA의 안정성을 제공.
3.터널링 및 인증&암호화 기술이 요구.

VPN 터널링 & 암호화 & 인증
터널링 : 송신측과 수신측이 연결되는 터널을 구성 터널 외부에서 터널의 내부를 볼 수 없게 한다.
암호화 : 다수의 터널을 분리하여 터널 내부를 숨기는 역할. 송신측은 데이터를 보내기전 암호화 수신측은 복호화를 진행.
인증 : VPN 내부 자원에 대한 접근을 통제 하며 인증을 거친 후에 사용 가능. Peer-to-Peer 방식과 Client-Server 방식이 있다.

VPN의 종류

[작업순서]

1) PPTP : 터널만 뚫음
2) L2TP : VPN(터널링) + IPsec(암호화)
3) SSTP : VPN + 인증서 서비스

L2TP   PPTP   SSTP
 |          |         |
 |          |      HTTPS
 |          |         |
UDP    GRE    TCP

* VPN 실습

1> VPN - PPTP.txt

VPN - PPTP.txt

[테스트]

원격접속 되고, ping 통신 되면 되고, ping 했을 때 해당 패킷들이 나오는지만 확인하면 됨

2> VPN - L2TP.txt

VPN - L2TP.txt

[테스트]

wireshark 실행

filter : isakmp or esp

3> VPN - SSTP.txt

VPN - SSTP.txt

*** 빠트린거

// # 주석 풀어주기

// 도메인으로도 ping 되야함!!!

// vpn 연결 : vpn / P@$$w0rd    // 생성한 계정으로 ~!

* 강사님 정리 노트

04-05.txt

ospf설정.txt

- 내가 한거

0405_me.txt

* 실습 자료

0403_test7.egg

* 참고 자료

8장 Routing protocol(OSPF).ppt

* link state

1> OSPF

:  interface bandwidth

topology table(링크 상태 파악), 연산 소스를 전송  → 연산 부하 ↑ 

// TIP. 연산 부하를 고민해야 한다.
     1. 계층구조 관리 ***
  

1. 연동되는 라우터들 사이에서
    DR(designated router) /BDR(backupDR) - DRother
    1-1. 링크 효율 1-2. 통신 일관성

2. area 만들기 [backbone area = area 0 /normal area]

DR / DP / DIS / D ...,  = boss

2> ospf packet

(224.0.0.5 : DR/BDR -> DRouter / 224.0.0.6 : DRother -> DR/BDR)

1) hello [10/40, 30/120]
     1. neighbor 검색용
     2. keepalive -> healthing check
2) DBD : database descriptor : ospf 요약 패킷
3) LSR : link state request 상세정보 요쳥
4) LSU : link state update 상세정보 요청에 대한 응답
5) LSAck : ospf 패킷 정상적 수신 응답

3> ospf neighbor 절차

1) Down : ospf hello를 전송하고 있는 상태
2) Init : hello 수신/ 수신한 hello 안에 내 router-id가 없다.
   attempt (지금 무시)
3) 2 way : 서로 router id 교환  --> DR/BDR 선출
4) Exstart : master/slave
5) Exchange : DBD를 교환
6) Loading : LSDB : link state database
7) Full → SPF(shortest path first 최단경로알고리즘 : dijkstra algorithm)

4> ospf network-type

1) BMA(broadcast multi access)
 10/40, DR/BDR 선출

ex) Ethernet

2) NBMA(non broadcast multi access)
 30/120, DR/BDR 선출

ex) ATM, X.25, Frame Relay

3) point-to-point(HDLC, PPP...)
10/40, DR/BDR 미선출

4) point-to-multi
30/120, DR/BDR 미선출

ex) HDLC, PPP, F/R의 sub interface  중 point-to-point

5> ospf metric 계산식

(cisco ospf 기준 대역폭 100M = 10^8)
     
    10^8
-------------
 대역폭(bps)

6> LSA-type (link state advertisement)

= ospf packets

ospf에서의 라우팅 정보

LSA-1 동일 AREA 안에서 모든 OSPF 라우터가 생성한 LSA
LSA-2 동일 AREA 안에서 DR/BDR이 생성한 LSA
      동일 AREA 정보, 다른 AREA로 flooding 되지 않는다.
      ospf routing table에서 O라고 표기되는 정보
LSA-3 : ABR 라우터가 알려준 다른 AREA 요약 정보
LSA-4 : ABR 라우터가 알려준 ASBR의 위치정보
        다른 AREA 정보
        ospf routing table에서 IA라고 표기되는 정보
LSA-5 : ASBR라우터가 알려준 다른 도메인 정보(재분배되어진 정보)
        ospf routing table에서 E라고 표기되는 정보

7> OSPF Router의 종류

Backbone Router : Backbone Area (Area 0)에 소속된 Router.

Internal(내부) Router : 하나의 Area에만 소속된 Router.

ABR (Area Border Router) : 두 개 이상의 Area에 소속된 Area 경계 Router.

ASBR (AS boundary Router) : OSPF 네트워크와 다른 Routing protocol이

설정된 네트워크를 연결하는 AS 경계 Router.

8> DR/BDR

- 중계 역할을 하는 DR(Designated Router)를 선출하고, DR에 문제가 발생할
경우를 대비해서 Backup용으로 BDR(Backup DR)을 선출한다.

- DR, BDR은 Broadcast 및 Non Broadcast 네트워크에서만 사용.
(Point-to-Point 네트워크에서는 사용하지 않는다.)

※ IPsec(Internet Protocol Security)

IPsec이란?

프라이버시 보호를 위한 사용자의 데이터를 암호화 진행 하는 것.
즉, 메시지 무결성을 인증하여 데이터가 중간에 변조되지 않았음을 보장해 주고
재생공격과 같은 특정 종류의 공격으로부터 사용자의 데이터를 보호.

데이터 통신 안전하게 하기 위해서 사용함.

IPsec의 등장 배경

IP의 약점으로는 전송되는 데이터가 암호화 되지 않아 보호되지 않는다는 점.
IPsec의 경우 처음에는 IPv4의 고갈 문제로 인해 IPv6개발시 IP의 단점인 보안 문제를 해결하기 위해
처음 등장한 프로토콜.
현재는 이것을 발전시켜 IPv4에도 적용하여 사용한다.
IPsec의 경우 IP계층에서 동작하기 때문에 상위 게층의 프로토콜도 보호 할 수 있다.
IPsec은 주로 VPN과 같이 사용.

IP/IPSec :  AH, ESP Header 추가
  => 무결성 및 기밀성 제공
  => L4 ~ L7 전부 다 암호화 됨
  => 보안에 짱!

IPv4 vs. IPv6
          IPv4  |       IPv6
보안 IPsec 프로토콜 별도 설치 | IPsec 자체 지원

IPsec에서 사용하는 알고리즘
1. 암호화 알고리즘 : DES, << 3DES
2. 무결성 알고리즘 : HMAC-SHA1, HMAC-MD5   // hash값 만듦
3. 보안 파라미터 협상 프로토콜 : IKE(Internet Key Exchange)
4. 공유 비밀 키 분배 프로토콜 : Diffe-Hellman 키 교환 방식

IPsec의 모드

- 전송 모드
둘다 가능 뭐가???

- 터널 모드
IPsec지원 게이트웨이 사용해야만 가능!
한쪽만 가능
가상 터널 뚫음 (VPN)
게이트웨이 장비들.
보내는 쪽 평문 전송, 자기가 IPsec 제공?
받는 쪽 게이트웨이 장비가 복호화 진행.

IPsec Protocol(AH & ESP)

1. AH(Authentication Header) : 무결성, 인증
2. ESP(encapsulation Security Payload): 기밀성 제공
ESP + AH : ESP 패킷에 AH 헤더를 추가 시킴으로써 기밀성과 무결성을 제공

IPsec Protocol 협상 과정

L7(응용)
IKE 1단계 : ISAKPM 보안 연결
IKE 2단계 : IPSEC 보안 연결

L3(네트워크)
AH/ESP <----> AH/ESP
      IPSEC

* 적용 방법 => 실습할 거~!

IPsec 통신 - IP 보안 정책.txt
IPsec 통신 - AD.txt   // kerberos
IPsec 통신 - CA.txt

1> IPsec 통신 - IP 보안 정책

* 참고 파일 :

IPsec 통신 - IP 보안 정책.txt

[테스트]

wireshark 실행
filter : isakmp or esp or icmp
ping > main mode, quick mode, esp 확인

>ping 10.12.0.110

을 해주면 esp 패킷이 날라댕김

필터 목록, 필터 동작 잘못 만들었을 경우
로컬 보안 정책 (secpol.msc) >
 IP 필터 목록 및 필터 동작 관리 >
  IP 필터 목록 > 항목 편집 or 모두 삭제
  필터 동작 관리 > 항목 편집 or 모두 삭제

2> IPsec 통신 - AD.txt   // kerberos

* 실습 파일

0403_test7.egg

* 참고 자료

D:\3월 네트웍기초 서정아\수업자료\PDF
=> 7장 Routing protocol(EIGRP).ppt

7장 Routing protocol(EIGRP).ppt

* 강사님 필기 자료

04-04.txt

EIGRP설정.txt

* EIGRP :

  cisco 전용 [cdp, vtp, pvst+, IGRP ...]
  IGRP --> enhanced IGRP -> EIGRP
  distance vector -> advanced distance vector

1> distance vector의 특징

distance vector[연산 부하 ↓]
1. hop count 제한
2. auto-summary
3. split horizon
4. route poison
5. poison reverse
6. hold time
7. 연산 결과 주기

2> rip vs. eigrp

3> eigrp 장.단점

eigrp 장점
- topology table 보유
- fast convergence [AD(RD) < FD] --> FS(대체경로) 존재
  FS가 없을 때 => diffusing (query) -> loop free 보장
- OSPF에 비해 설정이 간단

eigrp 단점
- Cisco전용 Routing protocol이기 때문에 Cisco Router에서만 동작
- 중,소규모 네트워크에서는 잘 돌아가지만 대규모 네트워크에서는
  관리가 힘들다. (SIA 현상이 발생할 수 있다.)

cf. SIA (stuck in active)
대형망에 사용하지 않는다./ 정보 요약/
 eigrp stub --> query를 면제 받는 구간 설정 가능

ex>
Hub - spoke

1. neighbor
2. query ↔ ack(reply)

cf. www.cisco.com

3> L3(Network), port num

L2 헤더 [ether-type] | L3헤더[ip protocol number] | L4 헤더 [port number] |...
88 : eigrp / 89 : ospf

cf.
hop by hop, node to node // 나중에
end to end, host to host // 지금
process to process -> ICANN > IANA

4> eigrp packets

hello
    - 1. neighbor 검색용 --> show ip eigrp neighbor 
    - 2. healthing check [5/15 60/180]
update : 링크상태 변화[metric 변화], network 정보 추가, 삭제   
query : 질의
reply :  응답
ack   :  확인

cf. sleep mode [대기모드] / 구독

5> k-value

==> show ip protocol [k1,k2,k3,k4,k5 = 대로지신m]
      설정 순서 : 대지신부m

k1 대역폭
k2 로드. 부하
k3 지연값
k4 신뢰도
k5 MTU

6> eigrp matric 계산식

       10^7           총 지연의 합   
[(--------------) + (--------------)] * 256
  최소 대역폭(kbps)      10
<----------------------------------->
    IGRP metric 계산식 = 2^24  // 메모리 size
<------------------------------------------->
    EIGRP  metric 계산식 = 2^32

// eigrp는 대역폭과 지연을 고려한다.

cf. RIP = 2^4

7> Dual(Diffusing Update Algorithm)

successor [S]              // 주 경로
feasible successor [FS]  // 대체 경로(비상구)
feasible distance  [FD]  // metric이 2개 존재
advertise distance [AD] // 광고 거리값
reported distance [RD]
AD = RD

EIGRP AD 90 [internal 정보] 170 [external 정보]
               5 [summary를 했을 때 해당 장비에서 자동 생성되는 null 인터페이스] ***

AS 조직 식별번호 --> 2^16 [1-65535]   --> 32bit

R1                       R2
show run              show run
router eigrp 10      router eigrp 55
...                        ...
exi                      exi

=> AS가 달라 서로 다른 조직 따라서 정보 공유 못함

RIP version 1 : 255.255.255.255 // broadcast
RIP version 2 : 224.0.0.9          // multicast
eigrp : 224.0.0.10                   // multicast
ospf : 224.0.0.5 /224.0.0.6        // multicast

*** 면접 질문

L7 : GOAP   //http, web
L2 ~ L3 ??? : GLoWPAN, RESTful
L3 : RPL

cf. cisco 본사
Lua, IoT 기본 개념, 라우팅, 스위칭 기본 개념 OSI 7 layer,...

cf. kt, lg, skt.., traffic 계산시 활용
확률 통계 : 푸아송 이론, 마코브 체인, 큐잉 이론

* 실습

[gns3]

// 모든 장비

show ip protocols
conf t
no router rip

* 참고 자료:

IIS SSL.txt

*** 어제꺼 리뷰..,

=> <실습 1>

// PC 1개로 SSL 셋팅

[srv12]

1) CA 인증서 서비스, dns 관리자 설치
2) 인증기관 웹 등록- 엔터프라이즈 기본 설정
3) dns관리자 www : 10.0.13.110 추가

[srv13]

4) CA 인증서 설치
- inetcpl.cpl 보안 설정
- http://10.0.x1.110/certsrv >
  administrator / P@$$w0rd

5) web site 구성
- 사이트 추가
- 서버 인증서 만들기
  - 인증서를 다운 받았는지 확인하고
  - IIS 껏다 키면 활성화 됨???

[cli13]

6) CA 인증서 설치

- 테스트
[wireshark] : ssl

TLSv1 : 서로간의 인증서 교환 과정 나옴, 키 값 교환 과정..,

<실습 2>

// PC 2개로 SSL 셋팅

- 작업 환경

srv12 :  CA 인증기관 // snapshot : AD,     ★★★ snapshot AD 이므로 이미 DC 임!!!

srv13 : 웹 서버 // snapshot : Work,

cli13 : client // Work

- 작업 순서

[srv12]

* 설치 pg : AD 인증서 서비스, DNS 관리자, 원격 액세스(routing)

1) 라우팅

3) dns 관리자 :  새 호스트 : www, 10.0.13.110 추가!

5) CA 인증서 발급 받기 (서버관리자> 깃발) 

[srv13]

* 설치 pg : 웹 서버(IIS), 원격 액세스(routing)

1-2) 라우팅

2) ncpa.cpl : dns 서버를 10.0.12.110 으로 !!!

4) sysdm.cpl > 변경 버튼 클릭> [소속 그룹]: 도메인: itbank12.edu

다시 시작되고 재 로그인     // DC 가입

cf) DC 가입 관련

http://checkit3625.tistory.com/188?category=723644

6) inetcpl.cpl > 보안 탭 설정

7) http://10.0.12.110/certsrv > administrator/P@$$w0rd

==> CA 인증서 다운

8) SSL 웹 사이트 구성

==> IIS 관리자 에서

- 서버 인증서 발급

   도메인 인증서 일반 이름에서 풀 네임으로 해줄것!!! => www.itbank12.edu

- index.html 사이트 생성

[cli13]

2-2) ncpa.cpl : dns 서버를 10.0.12.110 으로 !!!

9) inetcpl.cpl > 보안 탭 설정

10) http://10.0.12.110/certsrv > administrator/p@$$w0rd

- clix1 사용자 인증서 설치

[테스트]

https://www.itbankx1.edu> 인증서 확인> 확인

* 강사님 필기 노트

0403.txt

- 내가 한거

0403_me.txt

* 실습 파일

0403_test7.gns3     // 어제 수업 마무리 된 부분까지~!!! 이것만으로는 안돌아감!!!

0403_test7.egg

- review

vpcs.zip

0404_test7_review.zip

...

* 토폴로지

S1

// 확인
show version
show ip int brief
show int description
show ip access-list
show ip route
show ip protocol
...

로그, 백업

==============================================

[Review]

*** 다시 처음부터 구성

[작업순서]

0) 토폴로지 구성
1) ip 셋팅
2) S1#ping 44.1.1.1을 하기 위해서 dynamic routing 설정
=> RipV1

S1
conf t
router rip                  // 1> 사용할 routing protocol 호출
                              // 2> 조정
network 11.0.0.0         // 3> 사용하려는 인터페이스 선언 -> network ***

// 모든 장비들 S1 처럼
router rip 선언하고
network 영역대 지정하기! // classful로!!!

// 확인
show run | sec router rip

S1
ping 44.1.1.1 / 33.1.1.1 / 22.1.1.1 
S2
ping 44.1.1.1 / 33.1.1.1 / 11.1.1.1 
S3
ping 44.1.1.1 / 22.1.1.1 / 11.1.1.1 
S4
ping 33.1.1.1 / 22.1.1.1 / 11.1.1.1 

cf. classful(prefix)

A
0~127    (/8)
B
128~191 (/16)
C
192~223 (/24)

// 4> 광고할 고객 정보 선언하기(lo 설정 => network ~)

S1
conf t
interface Loopback1

ip address 1.1.0.1 255.255.255.0
ip address 1.1.1.1 255.255.255.0 secondary
ip address 1.1.2.1 255.255.255.0 secondary
ip address 1.1.3.1 255.255.255.0 secondary
ip address 1.1.4.1 255.255.255.0 secondary
ip address 1.1.5.1 255.255.255.0 secondary
exi
router rip
net 1.0.0.0 --> 이 정보를 내가 줄께
passive-interface loopback 1 **************
// net 11.0.0.0 --> 이 인터페이스로 rip을 통해서 정보를 교환
exi

cf. passive-interface
서버들끼리만 서로 정보를 공유하되,

고객들은 (loopback == End device) rip ptc.을 광고는 하되,
정보를 받아서는 안된다.
따라서 loopback들은(고객들) 데이타 수신정보 받지 못하도록
차단하는 기능이 passive-interface임!

ex> kt 기지국은 국정원의 정보를 쏘지 않는다. (설명 부족 -_;)

S2
conf t
interface Loopback2

ip address 2.1.0.1 255.255.255.0
ip address 2.1.1.1 255.255.255.0 secondary
ip address 2.1.2.1 255.255.255.0 secondary
ip address 2.1.3.1 255.255.255.0 secondary
exi
router rip
net 2.0.0.0
passive-inter lo 2
end

S3
conf t
interface Loopback3

ip address 3.1.0.1 255.255.255.0
ip address 3.1.1.1 255.255.255.0 secondary
ip address 3.1.2.1 255.255.255.0 secondary
ip address 3.1.3.1 255.255.255.0 secondary
ip address 3.1.4.1 255.255.255.0 secondary
ip address 3.1.5.1 255.255.255.0 secondary
exi
router rip
net 3.0.0.0
passive-inter lo 3
end

S4
conf t
interface Loopback4

ip address 4.1.0.1 255.255.255.0
ip address 4.1.1.1 255.255.255.0 secondary
ip address 4.1.2.1 255.255.255.0 secondary
exi
router rip
net 4.0.0.0
passive-inter lo 4
end

// 확인

show ip int brief
show run | section router rip
show ip route rip
show running-config

==============================================

!오늘 수업 기본 흐름!

ip 설정 잘못 해서..,  // 일부러..,

1) classful => classless로 바꾸고
2) auto-summary도 해제한 후
3) supernetting으로 ip들 다시 합쳐줌

우리는 실습상 일부러 ip 설정을 잘못 한거고, (1.~, 2.~ 네트웍들 겹침)

실무에서 제대로 셋팅된 ip를 일부러 classless로 바꾸거나, 

auto-summary 해체하지 말것!!!

[실습1]

모든 장비

conf t
router rip
timers basic 1 6 0 8
// 확인

show run | section router rip
//=> 다른 데에도 전부 다 똑같이 기록 (S1 ~ S4, R1 ~ R5)

**** 경로 필터링, 경로 조정, 경로 요약, 인증  ****

경로 필터링 →  distribute-list
경로 조정    →  offset-list
경로 요약    → summary
인증           → key chain

[실습3]

경로 필터링 ->  distribute-list ★
경로 조정 -> offset-list
경로 요약 -> summary
인증 -> key chain 

// 현재 route table

=> Server(S1~S4)는 고객 주소나(loopback), router 주소를 받으면 안됨(인접된 경로 아닌 애들)

// 제거 IP 리스트

1.1.12.0
150.1.15.0
200.1.25.0
2.3.23.0
1.1.34.0
170.1.0.0
199.1.45.0

1. 정책 적용 대상 지정 --> acl
2. 정책 적용 인터페이스 --> router rip
3. 정책 문법 --> (routing update 필터링) distribute-list

R1/4
// 제대로 삭제될수 있게 끝자리까지 다 표시
conf t
access-list 11 deny 1.1.12.0 0.0.0.255
access-list 11 deny 150.1.15.0 0.0.0.255

access-list 11 deny 200.1.25.0 0.0.0.255
access-list 11 deny 2.3.23.0 0.0.0.255

access-list 11 deny 1.1.34.0 0.0.0.255
access-list 11 deny 170.1.35.0 0.0.0.255
access-list 11 deny 199.1.45.0 0.0.0.255
access-list 11 permit any
------------------
router rip
------------------
distribute-list 11 out fa 0/0
end

R2/3
conf t
access-list 11 deny 1.1.12.0 0.0.0.255  
access-list 11 deny 150.1.15.0 0.0.0.255

access-list 11 deny 200.1.25.0 0.0.0.255
access-list 11 deny 2.3.23.0 0.0.0.255

access-list 11 deny 1.1.34.0 0.0.0.255
access-list 11 deny 170.1.35.0 0.0.0.255
access-list 11 deny 199.1.45.0 0.0.0.255
access-list 11 permit any
router rip
distribute-list 11 out fa 2/0
end

// 확인
show run | in access-list

S1
show ip route rip

clear ip route *
ping 170.1.35.3   // ping이 안되야 정상

ping 44.1.1.1     // (○)
ping 33.1.1.1     // (○)
ping 22.1.1.1     // (○)

// 통신하고자 하는 고객 정보만 남음

// 보안관련 통신, 특정 라우터와도 통신 해야 할 경우
ipsec vpn
특정 ip 영역대 permit 해줘야..,

[실습4]

경로 필터링 ->  distribute-list
경로 조정 -> offset-list ★
경로 요약 -> summary
인증 -> key chain

* 암호학

1> 암호학 :
암호학은 정보를 보호하기 위한 언어학적 및 수학적 방법론을 다루는 학문으로 수학을 중심으로 컴퓨터, 통신 등
여러 학문 분야에서 공통으로 연구, 개발중..,

2> 암호체계 :
암호와 매개체?
ex> 고대 그리스- 스키테일 암호체계,
    제 2차 세계대전 - 애니그마 (독일: 핀 배열 변경 암호화)
   ↔ 앨런 튜닝 : 디지털 컴퓨터 개발(연산 자동 처리 기계) => 암호 해독 성공~!!!
    현재- Steganography
      고양이 → 나무로???
        픽셀 변경

암호화(encryption)/ 복호화(decryption)
원문(plaintext) / 변경된 문서(ciphertext)

암호화: 평문(plain text; 원문)를 긴 문장(cryper text?)으로 변경 작업
복호화: 긴 문자를 원래 문자로 변경

3> 암호학에서 중요한 4가지 범주

1. 기밀성: 부적절한 노출 방지/허가받은 사용자만 접근 가능 ===> 데이터 암호화
★★★ 2. 무결성: 부적절한 변경 방지/ 허가받은 사용자만 내용 변경 가능 ===> 데이터 위변조 방지 // 데이터 원본 유지되야..,
 ex> Hash 알고리즘, 해시값.., 어떻게 ??? 무결성 푸는 열쇠
3. 가용성: 사용을 원할 때 즉시 사용이 가능하도록 자원을 제공할 수 있는 성질
  ↔ 적절한 시간에 접근 가능
★★4. 부인방지: 통신이나 데이터의 송수신이 완료된 후 데이터의 송신 또는 수신의 여부를 부인하는 것을 방지
 ex> 송신자 --------- 수신자
       ↑해커// 데이타 못 받았어 다시 보내줘~!!!

(1) 대칭키 암호화 시스템

대칭이 되는 키를 가지고 암호화를 진행하는 시스템

단점

모든 클라이언트들이 키를 만들지 않기 때문에 서버가 만들어서 전달해줌
키 교환 과정에서 악의적인 사용자가 키를 가로챌 경우 악의적인 사용자가 모든 데이터 암호를 복호화를 할 수 있다.
사용자마다 키를 다 다르게 설정해줘야..,

장점

암호화 통신시 속도 빠름 (공개키, ssl에 비해서)
같은 키를 가지고 암.복호화 진행해서 컴퓨터가 연산하는 처리가 적기 때문에

- 종류
① DES, 3DES
  - DES : 데이타 쪼개고 블록단위로 암호화. 요샌 해독 쉬워 안쓰임
  - 3DES : 쪼개고 암호화 쪼개고 암호화 쪼개고 암호화 전달 (DES 3번 반복)
② AES : (== Advenced dES) DES 대체 현재 쓰이고 있는거임.
③ SEED : 우리나라꺼

*** Diffie Hellman Key Exchange
: Hash 키 교환 방법 핵심

ex> 앨리스(srv) - 밥(cli)
앨리스와 밥은 p=23, g=5를 사용하기로 합의.
앨리스가 비밀 정보를 전송하기 위해 임의의 정수 a=6을 고른 후, 밥에게 A= g^a mod p 을 전송

   A = 5^6 mod 23
   A = 15,625 mod 23
   A = 8
 
   B = 5^16 mod 23
   B = 30,517,578,125 mod 23
   B = 19

   ...
   S = 2 (비밀키)

ex> OTP 시스템

(2) 공개키 암호화 시스템(비대칭키 암호화 시스템)

공개키 : 암호화, 개인키 : 복호화
중간자 개입 가능성 있음.

** RSA (Ron Rivest, Adi Shamir, Leonard Adleman)

개인키 : 암호화 , 공개키 : 복호화 // 공개키 시스템과 반대임!
중간자 공격 막을 수 있음.

(3) SSL 통신   ?????

대칭키 + 공개키

사용자 A : 공개키, 개인키, 공유키(실제 암호화 통신할 때 필요)
사용자 B : 공개키, 개인키

사용자 A : 공개키 안에 공유키 넣고 => 사용자 B : 개인 키로 풀음

공개키 : 키 교환용     // 공개키
공유키 : 실제 암호화 통신때 이용   // 대칭키 방식?

장점:
키를 안전하게 공유 가능
대칭키 + 공개키 장점 모아둠
리소스 소모량 줄어들음? 안전하게 교환해서?(같은키로)

<====> SSL 스트림? // 취약점???

* SSL 통신 작업 순서

 
1) Site 공개키 전달(, 개인키 있음)
2) Site 정보와 공개키 + 인증기관 개인키 = 인증서 생성 후 Site에 전달(CA 인증 기관에 전달)
-  CA 인증기관에서 사이트 인증서 발급받아야 함. => 돈 들음.., 도메인 사는 것보단 비쌈..,
-  CA 기관에서 합법적 사이트인지 검토함
3) 인증기관 공개키 사용자 A에게 전달
-  CA 기관에서 받은 인증서로 웹 // 개인키로 암호화 되있음

4) Site 접속
- 사용자에게 사이트 인증서 전달
5)인증서 전달
- 공개키를 가져와 사이트 인증서 풀면 사이트 정보 나옴
6) CA 공개키로 인증서 복호화 Site 정보, 공개키 획득
- 사용자는 공유키 만들어서 Site에 다시 전달
7)공유키 생성
- 자기 개인키로 암호화된 공유키를 복호화해 공유키 획득~!
8) site 공개키에 사용자 공유키 암호화 하여 Site에 전송
9) Site 개인키를 이용 암호화된 공유키를 복호화 하여 공유키 획득

* 실습

- 참고 파일: IIS SSL.txt

srv : CA 인증기관
mem : 웹 서버 역할 (ssl 통신 하는)
cli : 웹 서버 접속 cli 역할

q1> AD 환경에서 자동으로 생성됨. (도메인)