IEEE 802.11i 무선 LAN 보안 유선 LAN과 다른무선 LAN만의 특징이 있습니다 다른 장비의 통신 범위 내에 들어오는 모든 지국은 송신이 가능합니다. 무선 신호 범위에 들어 있는 모든 지국은 수신이 가능합니다. 무선 LAN의 취약점 무선 LAN의 경우 강한 보안 서비스와 보안 메커니즘이 필요합니다. 원래 802.11 규격에 명시된 프라이버시와 인증을 위한 보안 기능은 매우 취약합니다. 802.11: WEP(Wired Equivalent Privacy) 알고리즘을 정의합니다. 802.11i 작업 그룹: WEP 개발 이후 WLAN 보안 문제를 해결하기 위해 여러 가지 기능을 개발합니다. Wi-Fi 연합: Wi-Fi 표준인 WPA(Wi-Fi Protected Access)를 공표합니다. IEEE 8..
개발/보안
모바일 장치 보안 스마트폰 사용 이전 조직 컴퓨터 및 네트워크 보안 패러다임은 아래와 같다 IT에 대한 완벽한 통제 사용자 장치는 주로 윈도우 PC 비즈니스 응용프로그램도 IT 부서에서 통제 네트워크 보안은 신뢰영역과 비신뢰영역 사이에서 구현 즉 Trust Zone을 만들어서 조직 내 보안 패러다임을 유지하였다 하지만 스마트폰, 사용 이후 환경이 변화하였다 새로운 장비 사용 증대(Growing use of new devices) 모바일 기기 증대 클라우드-기반 응용 프로그램(Cloud-based applications) 모바일 가상 서버, 클라우드 서버 활용 경계 붕괴(De-perimeterization) 기기, 응용프로그램, 사용자, 데이터에 대한 다수의 네트워크 경계가 다이나믹하고 수시로 변경 외적 ..
무선 보안 무선 네트워크 보안 위협 요소 채널 도청이나 재밍에 훨씬 취약하다 무선 네트워크는 일반적으로 브로드 캐스팅 통신시 유넌 네트워크보다 취약하기 때문이다 이동성 실제로 사용하는 무선 장치는 유선 장치보다 휴대가 간편하고 이동이 수월 이런 이동성 때문에 여러가지 위협이 발생한다 자원 스마트폰이나 태블릿의 경우, 메모리와 프로세싱 자원이 제한적이다 서비스 거부 공격이나 악성 소프트웨어 위협에 대처가 어렵다 접근성 센서나 로봇 같은 일부 무선 장치는 직접 관리가 어려운 원격지에 있거나 혹독한 환경에 있다 즉, 물리적 공격에 매우 취약하다 무선 환경의 공격 대상 요소 무선 클라이언트 셀폰, wifi 기능을 가진 랩톱, 태블릿, 블루투스 장치 등 무선 접속점 유선 LAN이나 WAN에 연결된 셀 탑, wif..
페이로드-공격 에이전트-좀비, 봇 페이로드 부류는 악성 소프트웨어가 컴퓨터나 감염된 시스템 네트워크 자원을 공격자가 사용하기 위해 전복 시킨다. 인터넷에 연결된 컴퓨터를 비밀리에 장악하고, 그 컴퓨터를 이용해 공격을 수행하고 관리한다. 봇 작성자를 추적하기 어렵다 보통 공격자는 봇넷을 형성해서 공격한다. 주로 무결성과 가용성을 공격한다 봇 활용 Distributed Denial-of-service Attack (DDoS) (분산 서비스 거부 공격) DDoS 공격은 엄청난 양의 요청 또는 트래픽으로 네트워크, 서비스 또는 웹 사이트를 압도하여 정상적인 기능을 방해하려는 시도입니다. 웹사이트의 서버를 여러 소스에서 유입되는 대량의 트래픽으로 압도하여 합법적인 사용자가 웹사이트에 액세스할 수 없도록 합니다. ..
SSH SSH(Secure Shell)는 클라이언트-서버 모델을 사용하여 한 컴퓨터에서 다른 컴퓨터로 보안 원격 로그인을 위한 프로토콜입니다. SSSH 클라이언트/서버 응용은 대부분의 운영체제에서 광범위하게 수용됩니다 SSH 프토토콜 스택 SSH 프로토콜 스택의 구성은 크게 3가지로 나뉜다 전송 계층 프로토콜(Transport Layer Protocol) 전방향 기밀(즉 한 세션에서 세션 키나 영구 개인키가 손상되더라도, 이전 세션의 기밀성에 영향을 미치지 않는다)을 만족하는 서버 인증, 데이터 기밀성과 데이터 무결성을 제공한다 전송 계층에서는 옵션으로 압축도 가능하다 사용자 인증 프로토콜(User Authentication Protocol) 서버에게 사용자를 인증한다 연결 프로토콜(Connection ..
HTTPS(HTTP Over TLS) HTTPS는 SSL을 통한 HTTP로, 웹 브라우저와 웹 서버 간의 보안 통신을 제공합니다. 모든 웹 브라우저에 내장 되어 있습니다. HTTPS URL 주소는 "https://"로 시작하며, HTTPS는 보안 통신을 위해 SSL을 활용하여 포트 443에서 작동합니다. 암호화 요소 요청 문서 URL 문서 내용 (브라우저 사용자가 입력한) 브라우저 양식 내용 브라우저가 서버에게 보낸 쿠키와 서버가 브라우저로 보낸 쿠키 HTTP 헤더 내용 연결 개시 HTTP 클라이언트(TLS 클라이언트)는 적절한 포트를 통해 서버에 연결을 시작하고, TLS 핸드쉐이크를 시작하기 위해 TLS ClientHello를 전송한다 TLS 핸드쉐이크가 마무리되면, 첫 번재 HTTP 요청을 전송한다...
TLS(전송 계층 보안) TLS(전송 계층 보안) 프로토콜은 컴퓨터 네트워크를 통해 통신 보안을 제공합니다. 둘 이상의 통신 응용 프로그램 간에 개인 정보 보호 및 데이터 무결성을 제공하도록 설계되었습니다. TLS는 웹 브라우저와 웹 서버, 이메일 및 기타 데이터 전송을 보호하는 데 널리 사용됩니다. TLS 핵심 개념 TLS 연결 연결은 적절한 서비스를 제공하는 전송(OSI 계층 모델 정의)를 말한다 TLS에 있어서 이러한 연결은 대등-대-대등 관계이다. 연결은 일시적이며, 모든 연결은 한 개의 세션에 연관 되어 있다. TLS 세션 한 클라이언트와 한 서버 사이의 연관을 말한다 세션 시작은 핸드쉐이크 프로토콜을 이용한다 세션 시 암호적 보안 매개변수를 정의한다 매 연결시 보안 매개변수 협상을 새로 하지 ..
핸드 쉐이크 프로토콜 서버와 클라이언트가 상호 인증 암호, MAC 알고리즘, SSL 레코드 안 데이터를 보호하는 데 사용할 암호키 협상 핸드 쉐이크 프로토콜은 클라이언트와 서버가 교환한 ;연속 된 여러 메시지로 구성 된다 각 메시지는 아래 3개의 필드로 구성 길이(Length)(3바이트) 내용(Content)(≥0바이트) 유형(Type)(1바이트) 단계 1. 보안 기능 설정 이 단계는 논리적 연결을 시작하고 이 연결과 연관될 보안 기능을 설정합니다 클라이언트는 아래 매개 변수를 갖는 client_hello_message를 보내는 것으로 교환을 시작한다 버전 : 클라이언트가 수용할 수 있는 가장 높은 SSL 버전 랜덤 클라이언트가 생성한 랜덤값 32-비트 타임스탬프와 안전한 난수 생성기로 생성한 28바이트..
Base64 Base64는 바이너리 데이터를 ASCII 문자열로 변환하는 인코딩 방식입니다. 이 방식은 바이너리 데이터를 텍스트 형식으로 안전하게 전송하거나 저장할 수 있게 해줍니다. Base64는 주로 이메일 메시지의 첨부파일, 웹에서 이미지 데이터를 전송하거나, 복잡한 정보를 URL 안에 인코딩하는 데 사용됩니다. Base64 인코딩은 바이너리 데이터를 6비트 단위로 잘라서 64개의 인코딩된 문자 중 하나를 대응시킵니다. 만약 입력 데이터의 길이가 6비트가 안되어 공백을 채워야 한다면, 패딩 문자 '='가 추가됩니다. 예제 : Base64를 HTML 소스로 바로 입력해보자 Base64 Encoded Image An image from Base64 data: img 태그의 src 속성에서 "data:i..
BlindTok (4) - Entity와 Service를 너머 API까지 Entity와 Service를 생성하며, 특이 사항들을 기록합니다. 파일을 어떻게 저장했는지, 친구 관계들을 어떻게 인덱스 하나로 처리했는지 등 제가 겪은 어려움을 기록합니다 File 기능 구현의 어려움 저희 서비스에서는 user의 이미지와 음악 파일들을 저장해야하기에 기존의 music 테이블을 지우고, file 테이블을 생성하도록 하였습니다. File Id에 UUID부여 uudi를 사용한 이유는 uuid를 사용하면 전역적으로 유니크한 아이디를 가지기 때문에 테이블에서 중복 문제를 해결 할 수 있습니다. 또한 pk를 자동으로 증가시키는 것보다 추측이나 예측이 어렵기 때문에 보안이 강화됩니다 import {v4 as uuidv4} f..
