의견.png

"종단노드"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
17번째 줄: 17번째 줄:
 
| 파이버 채널(Fibre Channel; FC) 탭 || 파이버 채널(SCSI)의 주소
 
| 파이버 채널(Fibre Channel; FC) 탭 || 파이버 채널(SCSI)의 주소
 
|-
 
|-
| 파이버 분산형 데이터 베이스<br>(Fiber Distributed Data Interface; FDDI) 탭 || 파이버 분산형 데이터 베이스 네트워크의 MAC 주소
+
| 파이버 분산형 데이터베이스<br>(Fiber Distributed Data Interface; FDDI) 탭 || 파이버 분산형 데이터베이스 네트워크의 MAC 주소
 
|-
 
|-
 
| IPv4 탭 || IPv4 주소
 
| IPv4 탭 || IPv4 주소
36번째 줄: 36번째 줄:
  
 
===터널종단노드===
 
===터널종단노드===
터널링 방식은 동종의 네트워크간 통신을 위해 이 기종 네트워크를 경유할 때 사용되는 기술이다. IPv4기반 통신 환경에서 IPv6 단말을 이용하여 IPv6 서버에 접속하기 위해서는 IPv6 오버 IPv4 터널링(over IPv4 Tunneling)을 통해 IPv6 서비스 이용이 가능하다. 이 경우, 터널종단장비가 추가되어야 하며, 터널종단장비는 IPv6 패킷 앞에 IPv4 헤더를 붙여 원격지의 터널종단장비로 송신하는 역할을 한다. 원격지의 터널종단장비는 IPv4 헤더를 제거한 후에 IPv6 패킷을 IPv6 인터넷으로 전달한다.
+
터널링 방식은 동종의 네트워크 간 통신을 위해 이 기종 네트워크를 경유할 때 사용되는 기술이다. IPv4 기반 통신 환경에서 IPv6 단말을 이용하여 IPv6 서버에 접속하기 위해서는 IPv6 오버 IPv4 터널링(over IPv4 Tunneling)을 통해 IPv6 서비스 이용이 가능하다. 이 경우, 터널종단장비가 추가되어야 하며, 터널종단장비는 IPv6 패킷 앞에 IPv4 헤더를 붙여 원격지의 터널종단장비로 송신하는 역할을 한다. 원격지의 터널종단장비는 IPv4 헤더를 제거한 후에 IPv6 패킷을 IPv6 인터넷으로 전달한다.
  
터널링 방식은 설정 터널링(Configured tunneling)과 자동 터널링(Automatic tunneling) 방식으로 구분이 되며, 본 사례집에서는 설정 터널링 방식을 중심으로 설명한다. 설정 터널링은 두 라우터간(혹은 호스트간)의 IPv4 주소를 통해 수동으로 정적 터널을 설정하는 방식으로, 통신을 수행하기 전에 터널 양 종단의 라우터 주소를 미리 알고 있어 라우터 종단간 터널을 설정하는 방식으로 터널을 간단히 구성할 수 있으나 관리자가 일일이 터널을 설정해야 하는 단점이 있다. 설정 터널링의 설정 방법은 다음과 같다.
+
터널링 방식은 설정 터널링(Configured tunneling)과 자동 터널링(Automatic tunneling) 방식으로 구분이 되며, 본 사례집에서는 설정 터널링 방식을 중심으로 설명한다. 설정 터널링은 두 라우터 간(혹은 호스트간)의 IPv4 주소를 통해 수동으로 정적 터널을 설정하는 방식으로, 통신을 수행하기 전에 터널 양 종단의 라우터 주소를 미리 알고 있어 라우터 종단 간 터널을 설정하는 방식으로 터널을 간단히 구성할 수 있으나 관리자가 일일이 터널을 설정해야 하는 단점이 있다. 설정 터널링의 설정 방법은 다음과 같다.
  
 
  '''<small># IPv6 패킷에 대한 포워딩 성능을 높이기 위해 CEF(Cisco Express Forwarding)을 활성화'''
 
  '''<small># IPv6 패킷에 대한 포워딩 성능을 높이기 위해 CEF(Cisco Express Forwarding)을 활성화'''
55번째 줄: 55번째 줄:
 
  IPv6 enable
 
  IPv6 enable
 
   
 
   
  '''# 터널 인터페이스의 MTU 값을 1280바이트 이상으로 설정'''
+
  '''# 터널 인터페이스의 MTU 값을 1,280바이트 이상으로 설정'''
 
  IPv6 mtu 1472
 
  IPv6 mtu 1472
 
   
 
   
71번째 줄: 71번째 줄:
 
  end</small>
 
  end</small>
  
* 참고 : 터널종단노드의 RPF(Reverse Path Forwarding) 기능은 IPv6 망에 대한 Reflection 공격을 막기 위해서 필요하다. 터널종단노드는 수신된 터널 패킷의 소스 IPv4 주소가 설정된 원격지 IPv4 주소가 불일치하면 그 터널 패킷을 불법으로 판단하고 폐기한다. 이것을 RPF check라고 한다. RPF check는 터널에 대한 악의적인 spoofing 공격 및 reflection 공격을 막는데 도움이 된다. 하지만 만약 공격자가 원격지 터널종단노드의 IPv4 주소를 이미 알고 있으면 RPF check만으로는 공격을 막을 수 없다.<ref>〈[https://www.vsix.kr/frt/biz/contents/0000000042/getContents.do 전환기술 활용하기]〉, 《IPv6 종합지원센터》</ref>
+
* 참고 : 터널종단노드의 RPF(Reverse Path Forwarding) 기능은 IPv6 망에 대한 Reflection 공격을 막기 위해서 필요하다. 터널종단노드는 수신된 터널 패킷의 소스 IPv4 주소가 설정된 원격지 IPv4 주소가 불일치하면 그 터널 패킷을 불법으로 판단하고 폐기한다. 이것을 RPF 검사(check)라고 한다. RPF 검사는 터널에 대한 악의적인 spoofing 공격 및 reflection 공격을 막는데 도움이 된다. 하지만 만약 공격자가 원격지 터널종단노드의 IPv4 주소를 이미 알고 있으면 RPF 검사만으로는 공격을 막을 수 없다.<ref>〈[https://www.vsix.kr/frt/biz/contents/0000000042/getContents.do 전환기술 활용하기]〉, 《IPv6 종합지원센터》</ref>
  
 
{| class="wikitable" width=900 style="color:balck; height:250px; text-align:center; background-color:#F8F9FA; margin:20px 15px 15px 25px; "
 
{| class="wikitable" width=900 style="color:balck; height:250px; text-align:center; background-color:#F8F9FA; margin:20px 15px 15px 25px; "
88번째 줄: 88번째 줄:
 
|-
 
|-
 
! IPv6 간의 연결  
 
! IPv6 간의 연결  
| 해당사항 없음 || 해당사항 없음
+
| 해당 사항 없음 || 해당 사항 없음
 
|-
 
|-
 
! IPv6 주소  
 
! IPv6 주소  

2019년 9월 24일 (화) 14:31 판

종단노드(End Node)란 통신의 양 끝단에 해당하는 노드로 최초 송신 노드(최초 출발지)와 최종 수신 노드(최종 목적지)를 말한다.[1]

개요

종단노드는 네트워크의 주변 장치 또는 해당 네트워크 내의 기본 지정 단위이다. IT 전문가와 다른 사람들은 '종단노드'라는 용어를 사용하여 해당 네트워크 시스템 내에서 고유한 역할과 속성을 가진 네트워크의 특정 하드웨어 구성 요소를 지정한다. 종단노드는 포괄적인 네트워크 보안 및 하드웨어 인터페이스의 종류와 관련이 있다. IT 전문가는 최종 사용자에게 제공되는 특정 컴퓨터를 네트워크의 최종 노드로 참조한다. 또한, 전문가들은 '종단노드문제'에 대해 논의 할 수 있는데, 여기에는 네트워크 보안 표준에 맞지 않을 수 있는 개별 종단노드와 관련되어 네트워크를 취약하게 만들 수 있다. 종단노드문제는 클라우드 호스트에서 능동적으로 관리하지 않는 클라우드 컴퓨팅과 관련이 있다. 이러한 네트워크 노드에는 부적절한 소프트웨어 구성, 취약한 보안 및 맬웨어 또는 바이러스의 취약성 또는 기타 보안 문제와 관련된 문제가 있을 수 있다. 요약하면 종단노드는 보안 및 기술 전문가가 네트워크 내에서 보는 가장 약한 링크이다.[2]

특징

  • 리스트 화면
이더넷(Ethernet) 탭에는 이더넷Ⅱ(EthernetⅡ)에 대해 주소별로 패킷 수, 바이트 수, 송신 패킷 수, 송신 바이트 수, 수신 패킷 수, 수신 바이트 수를 확인할 수 있다.
종단노드 리스트 화면의 주요 탭
탭 이름 표시 내용
이더넷(Ethernet) 탭 이더넷Ⅱ(EthernetⅡ)에서의 MAC 주소
파이버 채널(Fibre Channel; FC) 탭 파이버 채널(SCSI)의 주소
파이버 분산형 데이터베이스
(Fiber Distributed Data Interface; FDDI) 탭
파이버 분산형 데이터베이스 네트워크의 MAC 주소
IPv4 탭 IPv4 주소
IPv6 탭 IPv6 주소
전송 제어 프로토콜(Transmission Control Protocol; TCP) 탭 IP 주소와 전송 제어 프로토콜 포트 조합

[3]

종단노드문제

종단노드문제는 개별 컴퓨터가 민감한 작업에 사용되거나, 일시적으로 신뢰할 수 있는 네트워크/클라우드의 일부가 된 후, 더 위험한 활동에 사용되거나 신뢰할 수 없는 네트워크에 가입할 때 발생한다. 종단노드는 종종 신뢰할 수 있는 네트워크의 높은 보안 표준에 맞춰 관리되지 않는다. 종단노드는 약한 소프트웨어, 약한 보안 툴, 과도한 사용 권한, 잘못된 구성, 의심스러운 콘텐츠 및 앱, 은밀한 악용을 가지고 있다. 컴퓨터 시스템 내에서 교차 오염과 무단 데이터 유출이 문제가 된다. 방대한 사이버 생태계 내에서 종단노드는 종종 하나 이상의 클라우드/네트워크에 연결되지만, 일부는 신뢰할 수 있고 일부는 그렇지 않다. 인터넷을 검색하는 기업 데스크톱, 회사 웹 메일, 개인용 컴퓨터, 스마트폰 내의 애플리케이션 등이 몇 가지 예다. 완전히 업데이트되고 잠긴 경우에도, 이러한 노드는 악성코드를 한 네트워크에서 다른 민감한 네트워크로 이동시킬 수 있다. 마찬가지로, 종단노드는 중요한 데이터를 추출할 수 있다. 기기가 완전히 신뢰할 수 있다고 가정할 때, 종단노드는 사용자에게 적절히 인증할 수단을 제공해야 한다. 다른 노드는 신뢰할 수 있는 컴퓨터를 가장하여 장치 인증을 요구할 수 있다. 기기와 사용자는 신뢰할 수 없지만 신뢰할 수 없는 환경 내에서는 내부 센서의 피드백에 의해 판단되기 때문에 신뢰할 수도 있다. 이러한 위험을 종단노드문제라고 한다. 몇 가지 해결책이 있지만, 모두 종단노드에 신뢰를 심어주고 네트워크/클라우드에 신뢰를 전달해야 한다.[4]

활용

중계노드

중계노드(Intermediate Node)란 종단노드와 종단노드 사이에서 패킷 중계를 해주는 노드이다.[5] 중계노드는 인접하지 않은 노드(Node)에 메시지를 라우팅할 수 있다. 예를 들어, 3대의 컴퓨터가 직렬 A-C로 연결되어 있다면, A에서 C로 전송된 데이터는 B를 통해 라우팅 될 수 있다.[6] 또한, 종단노드 사이에 패킷 중계를 해주는 노드를 말한다. 여기서 노드는 네트워크에 연결된 장치(device)를 의미한다. 네트워크에 연결된 컴퓨터를 포함하여 네트워크 프린터와 같은 주변기기, 라우터, 스위치, 허브와 같은 통신 장비를 포함한다. 종단노드는 통신의 양 끝단에 해당하는 노드로 최초 송신 노드(최초 출발지)와 최종 수신 노드(최종 목적지)를 말한다.[1]가기.png 중계노드에 대해 자세히 보기

터널종단노드

터널링 방식은 동종의 네트워크 간 통신을 위해 이 기종 네트워크를 경유할 때 사용되는 기술이다. IPv4 기반 통신 환경에서 IPv6 단말을 이용하여 IPv6 서버에 접속하기 위해서는 IPv6 오버 IPv4 터널링(over IPv4 Tunneling)을 통해 IPv6 서비스 이용이 가능하다. 이 경우, 터널종단장비가 추가되어야 하며, 터널종단장비는 IPv6 패킷 앞에 IPv4 헤더를 붙여 원격지의 터널종단장비로 송신하는 역할을 한다. 원격지의 터널종단장비는 IPv4 헤더를 제거한 후에 IPv6 패킷을 IPv6 인터넷으로 전달한다.

터널링 방식은 설정 터널링(Configured tunneling)과 자동 터널링(Automatic tunneling) 방식으로 구분이 되며, 본 사례집에서는 설정 터널링 방식을 중심으로 설명한다. 설정 터널링은 두 라우터 간(혹은 호스트간)의 IPv4 주소를 통해 수동으로 정적 터널을 설정하는 방식으로, 통신을 수행하기 전에 터널 양 종단의 라우터 주소를 미리 알고 있어 라우터 종단 간 터널을 설정하는 방식으로 터널을 간단히 구성할 수 있으나 관리자가 일일이 터널을 설정해야 하는 단점이 있다. 설정 터널링의 설정 방법은 다음과 같다.

# IPv6 패킷에 대한 포워딩 성능을 높이기 위해 CEF(Cisco Express Forwarding)을 활성화
IPv6 cef

# 터널 인터페이스 설정 모드로 진입
interface Tunnel_interface_ID

# 터널 인터페이스의 IPv4 라우팅을 disable
no ip address

# 터널 인터페이스에 IPv6 주소를 할당
ipv6 address tunnel_end_point_IPv6_address

# 터널 인터페이스의 IPv6 라우팅을 활성화
IPv6 enable

# 터널 인터페이스의 MTU 값을 1,280바이트 이상으로 설정
IPv6 mtu 1472

# RPF(Reverse Path Forwarding) 검사를 하도록 설정(보안)
IPv6 verify unicast reverse-path

# 로컬 터널종단노드의 IPv4 주소를 지정
tunnel source Physical_interface_ID

# 원격지(KISA) 터널종단노드의 IPv4 주소를 지정
tunnel destination 192.0.2.11

# 터널의 encapsulation 형식을 지정
tunnel mode IPv6ip
end
  • 참고 : 터널종단노드의 RPF(Reverse Path Forwarding) 기능은 IPv6 망에 대한 Reflection 공격을 막기 위해서 필요하다. 터널종단노드는 수신된 터널 패킷의 소스 IPv4 주소가 설정된 원격지 IPv4 주소가 불일치하면 그 터널 패킷을 불법으로 판단하고 폐기한다. 이것을 RPF 검사(check)라고 한다. RPF 검사는 터널에 대한 악의적인 spoofing 공격 및 reflection 공격을 막는데 도움이 된다. 하지만 만약 공격자가 원격지 터널종단노드의 IPv4 주소를 이미 알고 있으면 RPF 검사만으로는 공격을 막을 수 없다.[7]
자동 터널링과 설정 터널링 비교
자동 터널링 설정 터널링
적용 범위 호스트(Host) 사이트(Site)
IPv4 연결 IPv6 망간의 IPv4 망으로 연결 제공 IPv6 망간의 IPv4 망으로 연결 제공
IPv4 주소 사이트 당 하나 이상 요구 사이트 당 하나 이상 요구
IPv6 간의 연결 해당 사항 없음 해당 사항 없음
IPv6 주소 IPv4 호환(compatible) 요구사항 없음
호스트 IPv4/IPv6 듀얼 스택 IPv6 스택 또는 IPv4/IPv6 듀얼 스택
라우터 해당 사항 없음 IPv4, IPv6 듀얼 스택

[8]

각주

  1. 1.0 1.1 I can do IT, 〈노드 / 호스트 / 종단 노드 / 중계 노드〉, 《워드프레스 블로그》, 2019-05-15
  2. End Node〉, 《techopedia》
  3. 다케시타 메구미, 〈와이어샤크를 이용한 패킷 캡처 철저 입문〉, 《길벗》, 2016-02-25
  4. End node problem〉, 《위키디피아》
  5. 깡냉스, 〈(정보보안기사) 네트워크(OSI 7계층)〉, 《티스토리》, 2018-05-09
  6. intermediate node routing〉, 《PC magazine》
  7. 전환기술 활용하기〉, 《IPv6 종합지원센터》
  8. 박정수, 신명기, 김용운, 이승윤, 김용진, 〈IPv6/IPv4 변환 기술 및 동향〉, 《선행표준연구팀》

참고자료

같이 보기


  의견.png 이 종단노드 문서는 블록체인 기술에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.