(1) [10분 테코톡] ⛄️ 에드의 네트워크 보안 - YouTube
보안은 자산을 외부 위협으로 부터 보호한다.
네트워크 보안은 TCP/IP (1980년대)
보안의 3요서는 기밀성, 무결성, 가용성인데,
네트워크 공격 유형으로 스니핑(패킷 도청으로 기밀성 해침) ,스푸핑(패킷변조로 무결성 해침), Dos(Denial of Service -가용성을 해침)
TLS(Transport Layer Security)는 전송계층의 보안 프로토콜로, 대칭키를 통한 암호화를 제공하고, 메시지 인증코드(MAC)을 통한 데이터 인증을 제공한다. 연결과정에서 서버 인증제공한다.
TLS의 연결과정 handshaking - client 생성한랜덤값, 암호화 방식 목록, tls인증서
TCP뿐만 아니라 UDP까지 포호하는 IPsec이 있는데 AH와 ESP프로토콜이다.
방화벽은 트래픽 차단 및 필터링, 접근제어 , 외부 불법 침입 차단, 내부 정보 유출방지, 내/외부 네트워크 상호간의 영향을 차단하기 위해 존재한다.
방화벽 구축후 IDS 와 IPS 방식이 있는데
IDS는 침입을 탐지하고 IPS는 침입을 막는다.
이 IPS는 방화벽과 함께 사용하면 효율적이다.
이 외에도 망분리를 하면 보안이 강화된다.
물리적으로 망분리하면 가장 강력하나
PC기반 가상화나 네트워크 서버기반으로 가상화로 논리적 망분리를 할 수도 있다.
(1) [10분 테코톡] 바니의 웹 보안 - YouTube
웹보안 SQL INJECTION 과 XSS!!
OWASP( Open Web Application Security Project) 라는 비영리 보안 프로젝트 재단.
SQL Injection은 코드 인젝션의 기법 중 하나로,
클라이언트의 입력값 조작을 통해 서버의 Database를 공격하는 방식이다.
에러메세지 노출을 차단해야한다.
입력값에서 사용가능한 특수문자 제한~!
특수문자(-- , (, ), , ) 필터링
Prepared Statements (JDBC Template 이 이것을 사용 , JPA도 파라미터 바운딩을 통해 SQL인젝션에 대응)
Cross Site Scripting - XSS
Reflected XSS- 공격자가 사용자에게 악성 스크립를 메일이나 웹사이트를 통해 전달하고 사용자가 실행하도록 하는 공격 기법
XSS 대응 방안은 입/출력 값 검증 필터링~! ( 특수문자를 자동으로 변환)
'4차산업혁명의 일꾼 > 웹개발' 카테고리의 다른 글
| 3초만에 확인하는 내 AWS 계정 보안 (0) | 2023.06.29 |
|---|---|
| 우아한테크코스 - 암호 (0) | 2023.06.29 |
| Redis와 ElasticCache (cache) (0) | 2023.06.29 |
| 우아한테크코스 - Web Socket (0) | 2023.06.28 |
| 우아한테크코스 - MVC패턴 (0) | 2023.06.28 |