[ Se - 02 ] OSI 7 Layer

OSI 7 계층

• 국제표준기구 (ISO)에서 제정한 개방형 시스템 간의 상호 연결 (Open System  interconnection) 모델
• 기능에 따라 계층적으로 표준화
• 어떤 목적을 수행하기 위해 하나의 큰 프로토콜을 설계하는 것이 아닌 계층적으로 나눠진 여러 프로토콜을 조합하여 그 목적을 수행 

 

1. Physical Layer (물리계층 L1)

개요

• 디지털 데이터를 전기적, 광학적 신호로 변환하여 입출력
• 1계층에는 주소 정보가 없어, 목적지를 인식할 수 없고 전기적인 신호만 연결된 모든 노드에 전달
• 물리 계층의 데이터 단위는 비트(bit)
• 더미 허브는 전달받은 패킷을 단순히 연결된 모든 노드로 전송, 따라서 허브에 연결되어 있는 모든 노드는 스니핑이 용이

 주요 네트워크 장비

• 허브 : 들어온 신호를 연결된 모든 포트로 전달하는 중계 장치
• 리피터 : 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계 장치

 

 

2. Data Link Layer (데이터링크 계층, L2)

개요

• Node To Node Delivery, 인접한 노드간의 신뢰성 있는 프레임 전송 담당 계층
• 목적지 노드를 찾아가기 위해선 물리적인 주소가 필요
• 네트워크 카드(NIC)의 MAC 주소가 해당 역할을 수행
• 네트워크 카드의 기본 동작 모드는 자신의 목적지 주소인 패킷(MAC 주소)가 아니면 모두 폐기
• Ethernet, TokenRing

신뢰성 있는 전송

• 데이터의 안전한 전송을 보장해준단 의미

주요 네트워크 장비

1. L2 Switch(스위치)

• 스위치 장비는 내부적으로 MAC Address Table을 가짐
• 해당 테이블에 스위치 포트에 연결된 노드의 MAC 정보를 담고 있음
• 스위치 환경에서 기본적으로 목적지로만 패킷을 전송하기 때문에 스니핑 불가능
• 공격기법으로는 Switch Jamming, ARP Spooping, ARP Redirect 등이 있음

2. Bridge (브릿지)

• 물리적으로 떨어진 동일한 LAN을 연결해주는 장비

스위치 환경에서의 스니핑 공격 기법

1. 스위치 재밍(Switch Jamming) / MAC Flooding 공격

• 스위치 MAC Address Table를 오버플로우 시켜서 스위치가 허브처럼 강제적으로 동작시키는 기법
• 스위치는 Fail Safe/Open 정책에 따르는 장비로 장애가 발생하면 더미 허브처럼 연결된 모든 노드에 패킷 전송
• MAC Address Table을 채우기 위해 Source MAC 주소를 계속 변경하며 패킷을 지속적으로 전송하는 방식

2. ARP 스푸핑(Spoofing) 공격

• 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply패킷을 만들어 희생자에게 지속적으로 전송하면 희생자 ARP Cache Table에 특정 호스트로 나가는 패킷을 공격자로 향하도록 스니핑하는 기법
• 희생자들이 스니핑을 인식하지 못하고 정상적인 통신이 될 수 있도록 IP Forward 기능을 활성화

3. ARP 리다이렉트(Redirect) 공격

• ARP 스푸핑 공격의 일종, 공격자가 자신이 게이트웨이, 라우터 인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 대상 네트워크에 지속적으로 브로드캐스팅하면 해당 로컬 네트워크의 모든 호스트의 ARP Cache Table에 MAC 정보가 공격자의 MAC 정보로 변경
• 호스트에서 라우터로 나가는 패킷을 공격자가 스니핑하는 기법

4. ICMP 리다이렉트(Redirect) 공격

• ICMP Redirection 메시지는 호스트-라우터 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지
• 특정 IP 또는 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 희생자에게 전송하므로 희생자의 라우팅 테이블을 변조하여 패킷을 스니핑하는 공격기법

5. 스위치의 SPAN / Port Mirroring 기능 이용

• 스위치를 통과하는 모든 트래픽을 볼 수 있는 기능으로 특정 포트에 분석 장비를 접속하고 다른 포트의 트래픽을 분석장비로 자동 복사해주는 기술

 

 

3. Network Layer ( 네트워크 계층, L3)

개요

• End To End Delivery (Host To Host Delivery), End 노드(종단 노드)간의 라우팅을 담당하는 계층
• Routing이란 목적지로 전송하기 위한 최적의 경로를 설정하고 패킷을 교환하는 기능을 제공
• 최종 목적지 노드를 찾아가기 위해서는 노드에 대한 논리적 주소가 필요한데 TCP/IP 프로토콜에서는 IP주소가 이 역할을 수행
• 네트워크 계층의 데이터 단위는 패킷(Packet)
• 대표적 프로토콜로 IP(TCP/IP), ARP, ICMP

주요 네트워크 장비

1. 라우터 (Router) / L3 Switch

• 라우팅(최적의 경로를 선정해서 패킷을 포워딩하는 기능)을 담당하는 장비
• 데이터 링크 계층의 브로드캐스트와 멀티캐스트를 포워딩하지 않음
• 서로 다른 VLAN간에 통신을 가능하게 함
• 기본적인 보안 기능과 QoS관련 기능을 지원
• QoS(Quality of Service)는 다른 응용 프로그램, 사용자, 데이터 흐름 등에 우선 순위를 정하여, 데이터 전송에 특정 수준의 성능을 보장하기 위한 능력

 

 

4. Transport Layer (전송 계층, L4)

개요

• End To End Reliable Delivery, End 노드간의 신뢰성 있는 데이터 전송을 담당
• 목적지 Node를 찾아가기 위해서는 Process를 식별하기 위한 논리적인 주소가 필요하며 TCP/IP 프로토콜에서는 Port Address가 이 역할을 수행
• 전송 계층의 데이터 단위는 세그먼트(Segment)
• 대표적 프로토콜로 TCP, UDP

신뢰성 있는 데이터전송을 보장하기위한 기능

1. 분할(Segmentation)과 재조합(Reassembly)

• 조건에 따라 원본 데이터를 전송 가능한 세그먼트 단위로 분할하여 전송하면 목적지에서는 이를 재조합(Reassembly)하여 원본 데이터를 복원

2. 연결 제어 (Connection Control)

• 연결지향과 비연결지향 방식을 제공
• 연결지향 : 양 호스트 사이에 데이터 송수신이 이루어지기 전에 필요한 정보를 주고 받는 연결설정과 연결종료 과정 (TCP)
• 비연결지향 : 연결지향과 달리 양 호스트 사이에 연결설정 및 종료과정이 없는 프로토콜의 특성 (UDP)

3. 흐름 제어 (Flow Control)

• 흐름제어를 한다는 것을 상호간에 수신할 수 있는 만큼만 전송해서 데이터의 손실이 발생하지 않도록 하는 제어 방식
• 종단(End)노드 간 흐름제어를 수행
• 데이터링크 계층은 바로 인접한 노드 간 흐름제어를 했다면 전송계층에서는 양 종단 노드간에 흐름제어 수행

4. 오류 제어 (Error Control)

• 종단(End)노드 간 전송 중 오류 발생 시 이를 교정

5. 혼잡 제어 (Congestion Control)

• 네트워크 혼잡도를 계산하여 전송량을 제어

주요 네트워크 장비

• L4 Switch : SLB(Sever Load Balancing) 즉 서버 트래픽 부하분산과 Failover 기능을 제공

 

 

5.Session Layer (세션 계층, L5)

• Application 간 논리적인 연결인 세션의 생성, 관리 및 종료를 담당하는 계층

 

 

6. Presentation Layer (표현 계층, L6)

• 데이터 표현방식 변환을 담당하는 계층
• 인코딩/디코딩, 압축/압축해제, 암호화/복호화 등을 담당

 

 

7. Application Layer (응용 계층, L7)

• 사용자가 네트워크에 접근할 수 있는 인터페이스를 담당하는 계층
• 네트워크 서버/클라이언트 프로그램
• 응용 계층의 데이터 단위는 데이터 (Data)
• 일반적으로 5,6,7 계층 단위를 모두 데이터라 함