Linux Advanced Routing & Traffic Control HOWTO (1) 2006. 5.30 성 백 동

Slides:



Advertisements
Similar presentations
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
Advertisements

멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
2012 년 2 학기 중부대학교 정보보호학과 이병천 교수.  공중망 (Public Network) ◦ 가격이 저렴 ◦ 네트워크를 공동으로 이용. 보안에 취약  사설망 (Private Network) ◦ 공중망보다 가격이 비쌈 ◦ 네트워크를 독립적으로 이용. 보안성이.
조준희 (Cho, Junhee) TCP/IP 조준희 (Cho, Junhee)
Building Enterprise VPNs
Chapter 7 ARP and RARP.
TCP/IP 통신망 특론 3장 인터넷프로토콜( IP ).
Internet Protocol Version4
Mobile IPv 여지민 송구득 박근홍 (수)
컴퓨터 네트워크 Chapter 5-2 컴퓨터 네트워크.
Next Generation: IPv6 and ICMPv6
IPv 노경태 한종우 김지원 장종곤.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
IPsec 석진선.
Network Security - Ethereal 실습
11장. WAN 기술 (PPP, Frame-Relay)
Network Security - Wired Sniffing 실습
Linux LVS Tutorial Austin.
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
Virtual Private Networks
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
IPv6 도입과 동향.
20 장 네트워크층 프로토콜 : ARP, IPv4, ICMP, IPv6, ICMPv6
Internet Group Management Protocol (IGMP)
Internet Control Message Protocol (ICMP)
ARP TARM PROJECT 1조 신영민.
LOGO 네트워크 운용(2).
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
IPv 문은영 김은혜 류현미.
10. About TCP / IP SPARCS 08 우성필.
라우팅의 기술 RIP과 OSPF의 개요 및 동작과정 1조 : 박지훈, 최정연, 추태영 RIP과 OSPF의 개요 및 동작과정.
Routing Protocol (OSPF)
Chapter 02 네트워크에 대한 이해.
Part 라우터 1. 라우터 장비의 이해 2. 라우터 네트워크 환경 설정 3. 라우팅 테이블 설정과 점검.
IPv6 (Internet Protocol Version 6) 백상현 김아름
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 2 OSI 모델과 TCP/IP 프로토콜.
라우터 프로토콜을 이용한 네트워크 구축 실습.
Part 06 네트워크 운영장비 1. Repeater 2. Bridge 3. HUB, SWITCH 4. Router
(Next Generation Internet Protocol)
Chapter 3 3 모바일인터넷 구성 기술.
프로토콜 (Protocol) 발표 : 2008년 7월 18일 이 재 정
Chapter 19 솔라리스 네트워크 관리 Solaris2 . 네트워크 관리 명령어
16 장 LAN 연결, 백본망과 가상 LAN 16.1 연결장비 16.2 백본 네트워크 16.3 가상랜 16.4 요약.
19장 네트워크 연결장치, 백본망, 가상 LAN 19.1 연결장비 19.2 백본 네트워크 19.3 가상 LAN 19.4 요약.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Routing Protocol - Router의 주 목적 중 하나는 Routing
Processing resulting output
Routing Protocol (OSPF)
IPSec (Internet Protocol Security protocol)
Network Management 김대환 김태훈 김숙흔 이근민.
Network Layer: ARP, ICMP (IGMP).
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
TCP/IP 통신망 특론 2장 Link Layer 컴퓨터 네트워크 실험실 이희규.
11장. WAN 기술 (PPP, Frame-Relay)
6장. EIGRP 중부대학교 정보보호학과 이병천 교수.
IP(Internet Protocol)
9장 데이터링크층 소개 (Introduction To Data-Link Layer)
Part 05 정보 보호 개론 NOS 보안 보안 프로토콜 및 암호와 네트워크 보안 및 정보 보호 제도.
IPv 이 동 주 HONGIK UNIVERSITY.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
FireWall / VPN Solution
Chapter 4 네트워크 계층 소개.
6장. EIGRP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Internet & WWW Protocols
14 방화벽.
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
7/25/2019 경계선 방어 기술 공급원 May
IPv 이 동 주.
Presentation transcript:

Linux Advanced Routing & Traffic Control HOWTO (1) 성 백 동

2 Contents Introduction Exploring your current configuration Rules-routing policy database GRE and other tunnels IPSEC : secure IP over the Internet Multicast routing

3 introduction 리눅스 2.2/2.4 기반 리눅스, 유닉스 시스템은 arp, ifconfig,route 명령어를 사용 커널 2.2 이후 리눅스에서는 의도하지 않은 동작을 보인다.  GRE 터널은 라우팅을 구성하는 한 부부이지만 완벽히 다른 도구를 필요로 한다. Iproute2 리눅스는 트래픽 제어라 부르는 매우 정교한 대역폭 시스템을 가짐  대역폭 분류, 우선권 제공, 분배, 트래픽 제한이 가능

4 테스트 환경

5 Exploring your current configuration Ip shows us our links Link – network device ip shows us our IP addresses

6 Exploring your current configuration ip shows us our routes

7 Exploring your current configuration ARP(Address Resolution Protocol) 주소결정 프로토콜 네트워크에 연결된 컴퓨터가 같은 지역 네트워크에 존재하는 다른 컴퓨터의 하드웨어 위치 / 주소를 알아내는데 사용 ARP cache entry

8 Chap 4. Rules-routing policy database IP RULE rule in routing policy database. Control the route selection algorithm. Classic rouing algorithm 은 패킷 의 destination address 을 기반으로 라우팅을 결정.  다양한 방법으로 라우팅을 결정할 수 있도록 하기 위해서 Policy routing rule 은 selector 와 action predicate 로 구성. 각 selector 는 source address, destination address, incoming interface, tos, fwmark 를 적용한다.  Selector 에 맞는 패킷이 있다면 해당하는 action 을 수행한다. Default rule priority selector action Lookup routing table local reserved The normal routing table containing all non-policy routes.

9 Simple source policy routing local table Main table 새로운 Rule 생성

10 Routing for multiple uplinks/providers 지역 네트워크를 인터넷에 연결하는데 사업자가 두개 일 때 사용되는 설정 Split access Load balancing 지역망 인터넷

11 Split Access 특정 서비스 제공자를 통해서 패킷이 온 경우 같은 서비스 제공자를 통해 응답해야 한다. 경로 설정 예제 (IF – 인터페이스, IP- IF 에 할당된 IP 주소, P – Provider 의 gateway IP address, P-NET – P 에 있는 IP 네트워크, T – routing table) ip route add $P1_NET dev $IF1 src $IP1 table T1 ip route add default via $P1 table T1 ip route add $P2_NET dev $IF2 src $IP2 table T2 ip route add default via $P2 table T2 Gateway 로 가는 경로를 하나 만들고 gateway 를 통해 기본 경로를 설정한다.

12 Split Access Main routing table 설정 인터페이스에 연결된 이웃에게 직접 라우팅 ‘src’ 인수 사용 나가는 IP 주소 지정  ip route add $P1_NET dev $IF1 src $IP1  ip route add $P2_NET dev $IF2 src $IP2 기본 라우팅 경로 설정  Ip route add default via $P1 Routing rule 설정 ip rule add from $IP1 table T1 ip rule add from $IP2 table T2

13 Load balancing 두 서비스 제공자를 통해 나가는 흐름의 양을 조절하는 방법 하나를 기본 경로로 설정하는 대신 기본 경로를 다중 경로로 지정 Ip route add default scpe global nexthop via $P1 dev $IF1 weight nexthop via $P2 dev $IF2 weight 1 Weight 인수는 선호하는 provider 로 조정 가능 Load balancing 은 route 를 기반으로 하고 route 들이 캐시되기 때문에 불완전하다.  만약 자주 방문하는 사이트는 항상 같은 provider 를 통해서만 연결 될 수도 있다.

14 Chap 5. GRE and other tunnels 리눅스 터널 IP in IP 터널링 GRE 터널링 커널 외부의 터널 (PPTP[point-to-point tunneling protocol] 와 유사 ) 터널링의 특징 간접 비용 증가  IP 헤더가 추가 – 패킷당 20 바이트 MTU 가 1500 바이트일때 터널을 통과할 수 있는 패킷은 1480 바이트가 한계 터널을 만드는데 가장 빠른 방법은 양쪽을 파면 된다.

15 IP in IP tunneling 리눅스에서 오래전 부터 지원 커널 모듈 필요 Ipip.o, new_tunnel.o IP-in-IP 터널을 통해서 IPv6 나 broadcast 트래픽을 포워딩할 수 없다. 리눅스의 IP-in-IP 터널링은 다른 운영체제나 라우터와 같이 사용할 수 없다.

16 IP in IP tunneling 테스트 환경 네트워크 C 에 대해서는 네트워크 A 와 B 의 패킷들을 서로간에 전달해준다. 네트워크 B Network Netmask Router Network Netmask Router 네트워크 A 네트워크 C

17 IP in IP tunneling 모듈 설치 Insmod ipip.o ipip.ko Insmod new_tunnel.o fedora4 에서는 없는 모듈. 네트워크 A 의 라우터 Ifconfig tun pointopoint Route add –net netmask dev tun10 네트워크 B 의 라우터 Ifconfig tun pointopoint Route add –net netmask dev tun 10 터널을 끝내려면 Ifconfig tun10 down

18 GRE tunneling Cisco 에서 개발한 터널링 프로토콜 멀티캐스트나 IPv6 처리 가능 모듈 필요 ip_gre.o IPv4 터널링 네트워크 B Network Netmask Router Network Netmask Router netanetb 네트워크 A 네트워크 C

19 IPv4 터널링 네트워크 A 의 라우터 설정 Netb 라는 터널 장치 추가, GRE 프로토콜을 사용, 원격지 주소 , 터널을 지나는 패킷이 에서 출발 장치 활성화 새로운 netb 에 주소를 로 지정  터널링 장치를 위해 다른 IP 대역을 사용하는 것을 생각해 볼 수 있다. 네트워크 B 로 가는 경로 지정

20 IPv4 터널링 네트워크 B 의 라우터 설정 라우터 A 에서 터널을 없앨 때

21 IPv4 터널링

22 IPv6 Tunneling 다음과 같은 IPv6 newtork 이 있고, 6bone 에 연결하려면 ?? 네트워크의 IPv4 주소는 이고, 6bone 라우터의 IPv4 주소는 IPv4 IPv6

23 Chap 6. IPv4 tunneling with Cisco and/or 6bone IPv6 Tunneling IPv6 address have Some rules  처음에 오는 0 을 쓰지 않는다.  16 비트 or 두 바이트를 나우기 위해 콜론 사용  연속적인 0 을 가지면 :: 을 쓸 수 있다. 주소에서 오직 한번만 쓰고, 적어도 16 비트 이상이 되어야 한다.  2002:836b:9820:0000:0000:0000:836b:9886  2002:836b:9820::836b:9886 IPv6 네트워크은 이미 있는 IPv4 인프라를 통해 IPv6 프로토콜을 IPv4 패킷에 싸서 보내는 식으로 연결한다.

24 IPv6 Tunneling IPv4 address – bone 라우터 IPv4 address – IP forwaring 을 위해서 IPv6 를 위한 router advertisement daemon

25 IPSEC : secure IP over the Internet IPSec(IP Security) IP 레이어에서의 패킷 교환이 안전하게 이루어 질 수 있도록 하기 위하여 IETF 에서 개발한 프로토콜 가상적인 전용회선을 구축 사용자 측 단말기에 탑재, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPSec 으로 데이터를 주고 받을 수 있다 IPSec 의 주요 장점  Transparency  IPSec 은 network layer 에서 동작하므로, application 과는 무관하게 동작  Network Topology 의존성이 없다  TCP/IP 프로토콜을 사용하므로 Ethernet, TokenRing, PPP 등 모든 network topology 에 사용 가능.  표준화  표준화된 tunneling, authentication, encryption 방법을 사용한다.  Multiprotocol  IPSec 은 tunneling mode 를 사용할 경우 여러 프로토콜과도 동작할 수 있다.

26 IPSEC : secure IP over the Internet IPSec operation mode 전송모드  IP payload 만 encrypt.  IP Header 는 보전되므로 public network 상의 모든 장비가 해당 패킷의 최종 destination 을 알 수 있다.  Clear 한 상태의 IP Header 로 인해 attacker 의 트래픽 분석 가능  각 endpoint 가 IPSec 를 이해 터널모드  모든 초기의 datagram 이 encrypt, 새로운 IP packet 의 header 가 만들어짐  라우터와 같은 장비가 IPSec Proxy 로 동작 가능  Source 의 라우터가 IPSec tunnel 을 통해서 패킷을 encrypt 하여 forward  Destination 라우터는 초기 IP 패킷을 decrypt 해서 최종 목적지로 forward  전체 패킷을 encript.  실질적인 source 와 destination 은 노출되지 않음

27 IPSEC : secure IP over the Internet IPSec components IPSec 은 2 개의 protocol – AH, ESP 로 구성  AH – authentication 과 data integrity 를 위해 동작  ESP – confidentiality 를 위해 서비스 Database 에 저장되어 있는 policy – SPD(Security Policy Database)  System manager 에 의해 변경 가능 IKE 프로토콜은 암호화 키의 관리에 사용

28 IPSec components SAD(Security Association Database) SA 는 IPSec 을 사용하는 두 peer 간의 협약을 의미  Peer 간에 사용되는 암호화 알고리즘  사용되는 key  SA life time  최대 전송 byte 를 정의 설정 방법은 manual 과 automatic SPD(Security Policy Database) System manager 에 의해 정의 Traffic 에 대하여 security 서비스가 사용되어야 할 지 정의.

29 IPSec components AH(Authentication Header) IP extension Header 로서 IP packet 에 대한 인증 여부를 제공 전체 패킷에 대한 인증 여부를 결정 Transport mode 의 경우 AH 는 IP Header 와 Payload 사이에 위치하여 전체 IP Packet 을 인증 Tunnel mode 의 경우 새로운 IP Header 와 AH 가 앞 부분에 첨가

30 IPSec components ESP(Encapsulating Security Payload) 다수의 security service 를 제공  Confidentiality, origin authentication, data integrity 를 제공  Authentication 없이 confidentaility 를 제공 가능  Transport mode 의 경우 IP Header 뒤에 나타나며, IP Payload 는 ESP Payload 에 의해 encapsulate 된다.  Tunnel mode 일 경우 payload 는 원본 IP 패킷이 된다.

31 Chap 7. IPSEC : secure IP over the Internet 리눅스에서는 두 가지 종류의 IPSEC 을 사용할 수 있다. 2.2 및 2.4 에는 최초의 메이저 구현물인 FreeS/WAN 이 있다. 리눅스 커널에 아주 잘 통합되지는 않으며, 실제 merge 의 좋은 후보가 되지 못함 리눅스 의 경우 커널 내에 자체적인 IPSEC 구현이 있다 의 경우 IPSEC 는 추가적인 패치 없이도 동작한다.

32 Intro with Manual Keying Iptable 에서 IPSEC 패킷을 차단 시키므로 다음과 같은 설정을 필요. iptable –A xxx –p 50 –j ACCEPT iptable –a xxx –p 51 –j ACCEPT IPSEC 은 Internet Protocol 의 보안 버전을 제공 보안 - 암호화 (encryption) 과 인증 (Authentication) IPSEC 은 암호화를 위한 “ESP” 와 “AH” 를 지원한다. ESP 와 AH 는 security association(SA) 에 의존한다. SA 는 source 와 destination, instruction 으로 구성  대칭적  통신하는 양쪽에서 정확히 동일한 SA 를 공유  양방향 트래픽을 위해서는 두 개의 SA 가 필요. SPI(Security Parameter Index) ID Secret key

33 Intro with Manual Keying 암호화를 위한 Policy 의 필요성 간단한 Security Policy(SP) Security Policy specifies WHAT we want; a Security Association describes HOW we want it. 나가는 패킷에는 SA SPI 가 있어서 이를 통해 원격지에 대응하는 verification 과 decryption instruction 을 찾을 수 있다 에서 로 암호화 및 인증을 통해 통신을 하는 단순한 구성

34 Intro with Manual Keying /sbin/setkey –f filename Security Policy

35 Intro with Manual Keying

36 Automatic Keying 안전한 상태 유지를 위해 암호화 구성을 신뢰할 수 있는 경로를 통해 전달할 필요가 있다. 비밀값이 공유되기에 비밀이 아니다. 모든 상대와의 통신에서 서로 다른 비밀값을 사용하도록 해야한다. Key rollover 일정시간마다 새로운 키로 옮겨야 한다. 좀더 일반적인 키 정책을 기술할 수 있게 되야 한다. 정확하게 Internet Key Exchange 프로토콜 제공 난수적으로 생성된 키를 자동으로 교환 협상된 알고리즘 세부 사항에 따라서 비대칭 암호화 기술을 이용해 전송 IPSEC 구현은 KAME ‘racoon’ IKE 데몬으로 동작한다. key manage protocol

37 Automatic Keying Security Association 을 만들어 주고 policy 는 유저가 설정 Racoon 설정 – racoon.conf & psk.txt passwd Other host Psk.txt 의 파일의 소유자는 root 모드는 600 으로 설정되어야 한다.

38 Automatic Keying Security policy

39 Automatic keying using X.509 certificates 비 대칭 암호화 기술 IPSEC 참가자가 public key 와 private key 를 만든다. openssl 도구로 키를 만든다.

40 IPSEC tunnels Tunnel 모드 라우터만 IPSEC 에 대해서 알고 다른 호스트들을 대신해서 필요한 작업들을 한다. Proxy ESP 라고도 함. Example  에서 을 거쳐 /16 으로 가는 모든 트래픽이 터널을 통하기 위해서 /16

41 IPSEC tunnels 에서의 설정 ESP 암호화 SA 를 구성 실제 터널 구성

42 Chap 8. Multicast routing 멀티캐스트 라우팅을 위해서는 자신이 원하는 종류를 지원하도록 리눅스 커널을 구성해야 한다. DVMRP(RIP 유니캐스트 프로토콜의 멀티캐스트 버전 ), MOSPF(OSPF), PIM-SM(Protocol Independent Multicast-Sparse Mode), PIM-DM(Protocol Independent Multicast-Dense Mode) 멀티캐스트를 활성화 시킨후 라우터 테이블에 멀티캐스트 가상 네트워크를 추가

43 Multicast routing 리눅스 패킷 포워딩 설정 Eth0 에서 멀티캐스팅을 하고 있다고 가정