본문 바로가기

네트워크

(134)
BFD Part 2 - Cisco Nexus BFD 실제 구성 분석 today keys : BFD, Bidirectional, forwarding, detection,timer, control, hello, echo, holddownEcho 사용 여부와 Down 감지 시간 해석하기Part 1에서는 BFD의 기본 동작 원리와 주요 timer 값을 정리했습니다. 이번 Part 2에서는 실제 Cisco Nexus 장비의 BFD configuration과 show bfd neighbors detail 출력을 기준으로, BFD가 실제로 어떻게 동작하고 있는지 분석합니다.1. 각 장비는 BFD Echo를 사용하고 있는가?2. Hello와 Holdown 값은 각각 무엇을 의미하는가?3. Control packet 기준 Down 감지 시간은 얼마인가?4. Echo를 사용하는 경우 실제..
BFD Part 1 - BFD 동작 원리와 Timer 값 이해 today keys : BFD, Bidirectional, forwarding, detection,timer, control, hello, echo, holddownControl Packet, Echo, Hello, Holdown, Last Packet 해석하기네트워크에서 장애를 빠르게 감지하는 것은 매우 중요합니다. 라우팅 프로토콜이 자체적으로 neighbor 상태를 확인할 수는 있지만, 기본 hello/dead timer만으로는 장애 감지가 늦어질 수 있습니다. 이런 문제를 해결하기 위해 사용하는 대표적인 기술이 BFD, Bidirectional Forwarding Detection입니다.목차BFD란 무엇인가BFD 세션의 기본 구조BFD Control Packet 이해BFD Session StateB..
운영체제(OS)에 따른 traceroute와 tcptraceroute (윈도우/리눅스/Mac OS) Today Keys : traceroute, tracert, tcptraceroute, tcp, syn, icmp, ttl, hop, troubleshooting, windows, linux, mac os 이번 포스팅은 운영체제(OS)에 따라 traceroute 계열 명령이 어떻게 다르게 동작하는지, 그리고 왜 어떤 환경에서는 traceroute는 * * *만 찍히는데 tcptraceroute는 끝까지 보이는지에 대해서 알아보기 위한 포스팅입니다.현업에서는 “경로 추적”을 한다고 하면 traceroute를 떠올리지만, 실제로는 OS마다 기본 구현이 다르고(Windows는 tracert),보안 정책(특히 ICMP 차단)이나 방화벽 정책 때문에 TCP 기반 경로 추적이 더 유효한 상황이 많습니다. 이번 포스..
TCP Handshake에서 보이는 window size / wscale 값, win 값 TCP Window size란?TCP에서 window size(win)는 수신 측이 “내가 지금 더 받을 수 있는 버퍼 여유”를 광고(advertise)하는 값입니다.win이 크다 → 수신 측 버퍼 여유가 많다 → 송신 측이 더 많이 보낼 수 있다win이 작다 → 수신 측 버퍼 여유가 적다 → 송신 측이 천천히 보내야 한다 즉, win은 네트워크 장비의 “대역폭” 같은 개념이 아니라, TCP 수신 버퍼(흐름 제어) 관점의 값입니다. 왜 wscale(Window Scaling)이 필요할까?TCP 헤더의 window 필드는 16비트라서 최대가 65,535입니다.요즘 환경(클라우드, DC, 고대역폭/지연 구간 등)에서는 64KB로는 부족할 수 있기 때문에, TCP는 Handshake(SYN / SYN-ACK)..
TLS SNI(HTTP SNI) 테스트 환경 구성 및 동작 방식의 이해 Today Keys : tls, sni, https, encrypt, certbot, aws, 인증서, ssl, server, name, indication 이번 포스팅에서 TLS SNI 테스트 환경을 구성하고 테스트하면서 TLS SNI에 대한 동작 방식 이해를 해보는 포스팅입니다. 먼저 포스팅에 앞서서 용어부터 정리하면, 흔히 “HTTP SNI”라고 부르지만, SNI(Server Name Indication)는 HTTP 기능이 아니라 TLS ClientHello(핸드셰이크) 확장입니다. TLS 자체만으로는 “클라이언트가 어느 서버 이름(도메인)에 접속하려는지” 서버가 알 방법이 없어서, 가상호스팅(한 IP에 여러 HTTPS 사이트)에서 문제가 생기는데, SNI가 그 정보를 전달해줍니다. 이번 포..
Cisco NX-OS 계정 잠금 설정(보안 기능) aaa authentication rejected란?aaa authentication rejected 명령어는 지정된 시간 동안 로그인 시도를 차단하는 기능특정 시간 내에 로그인 실패가 반복되면, 이후 일정 시간 동안 모든 로그인 시도를 차단즉, 일정 횟수 이상 잘못된 로그인 시도가 감지되면, 시스템이 일시적으로 로그인 잠금 기능 제공IOS나 IOS-XE의 login block-for 기능과 유사 설정 방법aaa authentication rejected in ban 예시> aaa authentication rejected 3 in 30 ban 60rejected 3 → 3번의 로그인 실패가 발생하면in 30 → 위의 실패 시도가 30초 이내에 발생한 경우 차단 조건 충족ban 60→ 로그인 실패가..
Extreme Switch 계정 Password 보안 설정 Today keys : extreme, exos, login, password, policy, 복잡도, 길이, 기간, 비밀번호, 보안, security, 네트워크, networkpassword-policy란?사용자 계정의 비밀번호 정책을 설정하는 기능비밀번호의 길이, 복잡성, 만료 기간 등을 설정하여 장비의 보안을 강화 특정 계정에 적용하거나, 전체 계정에 일괄 적용 가능 사용 목적비밀번호 보안 강화: 모든 사용자 계정에 대해 통일된 비밀번호 정책을 적용하여 보안을 강화네트워크 장비 보호: 비밀번호 복잡성, 만료, 그리고 계정 잠금 기능을 통해 비인가 사용자로부터 장비를 보호브루트포스 공격 방지: 여러 번 실패한 로그인 시도를 제한하여 브루트포스 공격을 차단정기적인 비밀번호 변경 유도: 비밀번호 만료 기..
Cisco IOS/IOS-XE 계정 잠금 설정(보안 기능) Today keys : cisco, login, block, 차단, acl, deny, 접속, 접근, 보안, 네트워크, networklogin block-for란?login block-for 명령어는 지정된 시간 동안 로그인 시도를 차단하는 기능특정 시간 내에 로그인 실패가 반복되면, 이후 일정 시간 동안 모든 로그인 시도를 차단즉, 일정 횟수 이상 잘못된 로그인 시도가 감지되면, 시스템이 일시적으로 로그인 잠금 기능 제공 사용 목적SSH, Telnet 등의 관리 포트에 대한 브루트 포스 공격 차단잘못된 패스워드 입력을 통해 반복 로그인 시도하는 비인가 사용자 방어네트워크 장비 계정 탈취 시도에 대한 1차 방어선 제공 설정 방법login block-for attempts within block-for..