베지밀

방화벽이나 L3 장비 이중화를 구성할 때, 종종 헷갈리는 개념이 있다. 바로 VRRP와 HA이다.겉보기엔 둘 다 이중화처럼 보이지만, 목적도 다르고 구성 방식도 완전히 다르다.이번 포스팅을 통해 VRRP와 HA의 차이를 명확하게 정리해보자. VRRPL3 계층에서 가상 IP를 공유하여 게이트웨이 이중화를 구현하는 RFC 기반 표준 프로토콜이다. (RFC 5798)'표준'이기 때문에 라우터, 스위치, 방화벽 등 다양한 장비에서 사용이 가능하며 이기종 장비 간에도 연동이 가능하다.다만, 단순히 VIP(가상 IP)의 소유권을 넘겨주는 역할이기 때문에 세션 상태나 설정은 동기화되지 않는다. HA반면 HA는 특정 벤더에서 제공하는 장비 이중화 구성이기 때문에, 동일한 장비끼리만 호환이 가능하다.VIP 이상으로 ..

RFC 2544란IETF에서 1999년 제정한 RFC 표준으로, 네트워크 장비(스위치, 라우터, 방화벽 등)의 성능을 표준화된 방법으로 측정하기 위한 벤치마크 테스트 절차를 정의한 문서이다. 새로운 네트워크 장비를 도입하거나 비교할 때 객관적인 성능 지표를 제공할 수 있으며, 테스트 결과를 통해 PoC 측정 및 벤더 간 비교에 활용할 수 있다. 주요 테스트 항목RFC 2544는 네트워크 장비의 성능을 평가하기 위해 다음과 같은 6가지 주요 테스트 항목을 정의한다.테스트 항목설명Throughput장비가 패킷 손실 없이 처리할 수 있는 최대 전송 속도Latency패킷이 장비를 통과하는 데 걸리는 시간Frame Loss지정된 부하 조건에서 장비가 드롭한 패킷의 비율Back to Back Frames장비가 손..

흔히 로드밸런싱이라고 하면 서버에 트래픽을 전달하는 것이라고 생각한다.하지만 방화벽도 예외는 아니다. 방화벽을 대상으로 한 로드밸런싱, FLB에 대해 알아보자. FLB란?FLB는 Firewall Load Balancing의 약자로,방화벽 앞 뒤에 L4 스위치가 트래픽을 균등하게 분산시켜 장애 복구와 고가용성을 보장하기 위한 방화벽 이중화 기술이다.서버 로드밸런싱과 달리, 방화벽 장비 자체를 부하분산하는 데 초점을 맞춘다. 일반적인 구성 특징은 다음과 같다.방화벽 상/하단에 L4 스위치를 배치방화벽은 A-A 구성으로 운용고성능 트래픽 분산 + 이중화 장애 대응 가능 FLB가 필요한 이유?방화벽의 부하를 줄일 수 있고, Fail-over에도 용이하며, 클라우드나 대규모 환경에서 A-A 구성을 활용하는 방안..

🧩 TLS 통신 과정https는 http에 TLS 암호화를 더하여 애플리케이션 데이터를 안전하게 전송하기 위해 고안된 프로토콜이다. 다음과 같이 3-way Handshake 이후 키를 협상하고, 키 협상 이후의 패킷은 대칭키로 암호화되어 통신한다. Client는 Server의 인증서를 받아 Root CA를 통해 검증한다.Server 인증이 완료되면 클라이언트는 대칭키 생성을 위한 키 교환을 수행한다.이후부터 https 패킷은 해당 대칭키로 암호화되어 통신한다. 🧩 어떻게 복호화할까?TLS 통신은 대칭키 암호화를 사용하기 때문에 해당 키만 확보하면 Wireshark에서 복호화가 가능하다. TLS 핸드셰이크 중 생성되는 세션키인 Pre-Master Secret을 로그파일로 로깅하고, 이 키를 참조하여 ..

빠르게 변화하는 디지털 환경 속에서 기업의 업무는 더이상 사무실이라는 물리적 공간에 머무르지 않는다.클라우드 기반 SaaS 서비스의 확산, 재택 근무, 지사 운영 등 복잡한 연결이 일상이 되면서 기존 네트워크 구조로는 한계가 드러난다.이러한 배경 속에서 등장한 것이 바로 SD-WAN(Software-Defined WAN)이다.이 글에서 SD-WAN이 무엇인지, 기존 WAN과 무엇이 다른지, 어떤 용도로 활용되는지를 중심으로 설명한다. 기존 WAN과 SD-WAN의 차이점항목기존 WAN(MPLS 중심)SD-WAN기본 개념본사와 지사/원격지 연결 시 전용선(MLPS) 중심으로 연결소프트웨어 기반 가상 WAN 아키텍처로 여러 회선을 활용해 연결MPLS, 인터넷, LTE/5G 등 다양한 회선 조합 가능비용고가저..

Kali Linux와 Bee box 웹서버를 띄워서 DoS 공격 실습을 진행해보자.실습은 동일한 host PC의 가상머신에서 NAT 네트워크로 진행했다. 0. 실습 구성 공격자(Kali Linux) : 192.168.46.130희생자(Bee box) : 192.168.46.129 공격 툴 : nikto, hping3 1. 통신 확인칼리에서 비박스 ip로 웹 접속이 잘 된 것을 확인했다.  2. nikto로 취약점 스캔$ nikto -h  비박스의 접속 로그를 확인하면 칼리의 공격 내용을 확인할 수 있다.  3. 포트스캔# hping3 --scan 1-1024 -S 위 명령을 통해 웹 서버의 열린 포트들을 확인할 수 있다.서버에서 wireshark 확인 결과 포트 1번부터 순차적으로 SYN을 보내고 있다...

1. 지난 25일 시험 응시 예정이었던 나는 일정을 뒤로 미루기 위해 Reschedule하였다.2. 그러나 별도의 메일을 받지 못했고 (제대로 처리가 되지 않았고) 이를 몰랐기 때문에 바꾼 날짜인 30일에 응시하려다가 시험 링크가 안열린다는 사실을 알게 되었다. Status가 No Show라는 것을 시험 15분전에 알았다.3. 그래서 급하게 당일 가장 빠른 시간으로 다시 예약해서 시험을 보게 되었다.4. 시험이 끝난 후, 날짜가 변경되지 않은 25일 시험에 대해 환불을 요청하는 메일을 작성하게 되었다.  시스코 홈페이지가 매우 복잡하고, 피어슨뷰라는 업체에서 시험을 보는 형태였기 때문에 나와 같은 사람들이 비슷한 실수를 하지 않기 바라며 글을 작성한다.  1. CCNA 시험 일정 변경하는 법 (Cisco..

앞선 포스팅에 이어서, SSL Handshake는 클라이언트와 서버가 서로를 인증하고 안전한 통신을 위해 대칭키를 교환하는 과정이다. 즉, 서로 믿을 수 있는지 확인하고 암호화 통신 준비를 하는 과정이다. SSL Handshake 과정을 요약한 그림이다. 실제 https 트래픽을 발생시켜 wireshark로 확인해보면 다음과 같다.handshake를 한 이후에는 교환한 공개키로 암호화해서 데이터를 전송한다.(암호화된 데이터를 복호화해서 http 트래픽으로 바꾸는 과정은 나중에 포스팅하겠다.) 이제 각 과정이 어떤 것을 의미하는지 하나하나 뜯어보자. 1. Client Hello : 클라이언트가 서버에 연결을 시도한다.클라이언트가 브라우저 주소창에 https://www.naver.com을 치면 ..

인터넷에서 주고 받는 모든 데이터는 제 3자의 위협에 노출될 수 있다. 특히 로그인 정보, 개인정보 등 민감한 정보는 암호화된 통신이 필수적이다.인터넷 상에서 암호화 통신을 가능하게 해주는 핵심 요소가 바로 SSL/TLS 인증서이다. 🛡️인증서의 개념과 역할 SSL 인증서는 클라이언트와 서버 간 통신이 안전하게 이루어질 수 있도록 신뢰를 보증해주는 문서이다.서버는 인증서를 통해 자신이 신뢰할 수 있는 주체임을 증명하고, 클라이언트는 이 정보를 바탕으로 서버의 진위 여부를 판단한 뒤, 안전한 통신을 진행한다. 간단한 인증서 동작 과정 클라이언트가 서버에 접속서버가 자신의 인증서(서버 인증서)를 클라이언트에 전달클라이언트는 이 인증서를 검증 (CA 서명 확인, CN 확인 등)인증이 완료되면, 인증서에 포..

실무 관점에서 GRE over IPSec을 구현하며, 어떤 흐름으로 패킷이 캡슐화되는지, 그리고 어떻게 터널링되는지 간단하게 알아보고자 한다. GRE다른 계층 혹은 다른 프로토콜 트래픽을 캡슐화하여 IP 기반 전송이 가능하도록 하는 터널링 기법.트래픽을 GRE 터널 헤더로 패킷을 캡슐화하고, 그 위에 IP 헤더를 추가하여 최종적으로 인터넷 통신이 가능한 IP 패킷으로 만든다. GRE가 필요한 환경은 다음과 같다OSPF, RIP 등 멀티캐스트 기반 동적 라우팅 환경동적 라우팅 환경에서는 브로드캐스트가 아닌 이웃 라우터들에게 전송하는 '멀티 캐스트'로 동작한다.그러나 인터넷은 기본적으로 멀티캐스트를 지원하지 않는다.따라서 GRE를 통해 이웃 라우터들과 각각 GRE 터널을 맺어서 유니캐스트로 라우팅 정보를 ..

통신 상태 및 패킷 분석을 위해 사용할 간단한 FTP 서버를 구축해보자.FTP 서버를 통해 유선 연결만으로도 쉽게 파일을 공유할 수 있다. 순서 : IIS 설치 및 FTP 서버 추가 > 계정 추가 > 권한 설정 > IP 주소 설정 1. FTP 서비스 설치작업표시줄의 검색창에서 Windows 기능 켜기/끄기 실행 IIS(인터넷 정보 서비스)의 FTP 서비스 기능 체크 후 확인 2. FTP 사이트 추가검색창에서 IIS 관리자 실행 후좌측 사이트 우클릭 > FTP 사이트 추가 FTP 서버 이름과 공유할 폴더 위치 지정 간단하게 파일 공유에 사용할 것이므로IP 주소는 지정하지 않은 모든 IP로 설정하고 SSL은 사용하지 않음 마침 3. User 계정 생성익명 접근도 불가능한 것은 아니지만, anonymous의 ..

Center : 10.10.11.254Branch : 10.10.11.253ikev2_init[I]Initiator → Responder지점이 센터에게 IKE SA 설정 요청 전송IKE Phase1 (SA 협상, Diffie-Hellman 키 교환, 암호 알고리즘 협상) 시작ikev2_init[R]Responder → Initiator센터가 응답을 수락하며 IKE SA 생성ikev2_auth[I]Initiator → Responder지점이 IPSec SA 설정 요청 전송IKE Phase2 (인증 수행, 암호화 세션 키 생성) 시작ikev2_auth[R]Responder → Initiator센터가 인증정보 검증 및 IPSec SA 설정 완료터널 활성화 여기서 잠깐!!테스트 환경에서는 장비의 제약으로 ..

VRRP란 가상 라우터 다중화 프로토콜(가상 라우터 장애 복구 프로토콜)이다. VRRP를 설명하기에 앞서 FHRP에 대해 알아보자. FHRP란?FHRP(First Hop Redundancy Protocol)이란 게이트웨이 이중화 프로토콜이다.First Hop은 말 그대로 패킷이 처음으로 통과하는 곳, 게이트웨이이다. 게이트웨이(라우터)에 장애가 발생하면 엔드포인트 입장에서는 동적 라우팅을 할 수 없기 때문에 게이트웨이의 장애를 인지할 수 없다. 따라서 2대의 장비를 사용하여 하나의 게이트웨이가 Down이 되어도 다른 장비가 게이트웨이로 동작하여 네트워크가 끊기지 않도록 하는 '게이트웨이 이중화'가 필요하다. FHRP는 이러한 게이트웨이 이중화에 사용하는 프로토콜이다. 게이트웨이 이중화를 통해 고가용성을 ..

앞서 리눅스 간 WireGuard 구성을 간단히 진행해보았다. 이번에는 스위치/VPN 서버/PC 간 WireGuard 터널링 구성을 진행해보도록 하자. VPN 서버는 각각 Windows 11 WireGuard, Ubuntu 24.04 를 이용하여 구축하였고각 보라색 선은 서로 다른 LAN을 의미한다.(참고로 스위치에서는 VLAN을 통해 LAN을 구분하였다. PC1에 FTP 서버를 구성한 뒤, VPN 터널을 통해 데이터를 주고 받는 과정을 확인해보자. 기본 설정스위치각 스위치에는 Vlan을 할당하고 라우팅 설정을 통해 통신이 가능하도록 구성했다. 각 PC 방화벽 해제 테스트를 위해 ICMP 트래픽에 대해 임시로 허용해주도록 하자.(기본적으로 Windows에서는 icmp 트래픽이 차단되어있다.) 마찬가..

WireGuard란? WireGuard는 최근 등장한 새로운 VPN 프로토콜로, 기존 VPN과 달리 코드 라인 수가 4000줄 정도로 간결하다는 특징이 있다. WireGuard의 특징?암호화 프로토콜은 ChaCha20, Poly1305, Curve25519로 고정되어있다.사전 공유키 방식을 사용하며, 최신 암호화 프로토콜로 안전하고 빠른 암/복호화가 가능하다.UDP에서만 동작하며, IPv6도 지원이 가능하다.UDP를 사용하기 때문에 가볍고 빠르다는 장점이 있다.사전 공유키 방식을 활용한 단순한 키 교환 프로세스를 사용한다.기존 VPN과 달리 단 한 번의 요청/응답으로 키를 교환할 수 있다.커널 수준에서 작동하기 때문에 높은 성능과 효율성을 가진다.관리가 용이하다.SSO 인증 없이 공개키로 Peer를 증명..