m1ndy5's coding blog

OAuth 2.0(Open Authorization 2.0)은 인증을 위한 개방형 표준 프로토콜 이 프로토콜에서는 Third-Party 프로그램에게 리소스 소유자를 대신하여 리소스 서버에서 제공하는 자원에 대한 접근 권한을 위임하는 방식을 제공 대표적으로 구글, 페이스북, 카카오, 네이버 등에서 제공하고 있다. 권한 부여 방식 Authorization Code Grant 권한 부여 승인 코드 방식 권한 부여 승인을 위해 자체 생성한 Authorization Code를 전달하는 방식으로 많이 쓰이고 기본이 되는 방식 간편 로그인 기능에서 사용되는 방식으로 클라이언트가 사용자를 대신하여 특정 자원에 접근을 요청할 때 사용되는 방식 보통 타사의 클라이언트에게 보호된 자원을 제공하기 위한 인증에 사용된다. Re..

기본 하이브리드 암호화의 위험 A(수신자), B(발신자), C(해커)라고 가정 A가 A Public Key, A Private Key를 만들고 A Public Key를 B에게 전달한다. 이때 C가 C Public Key, C Private Key를 만들고 A Public Key 대신 자신의 C Public Key를 전달한다. B는 C Public Key가 A가 보낸 것인 줄 알고 Secret Key를 C Public Key로 암호화해서 A에게 전달한다. C가 C Private Key를 이용해 Secret Key를 획득하고 다시 A Public Key로 암호화해서 A에게 전달한다. A는 A Private Key로 Secret Key를 획득하게 되고 제 3자가 Secret Key를 갖게 됐지만 문제가 없다고..

VPC에 관련해서 몇가지 질문이 있었다. 만약 Private Subnet에 Instance가 공인 ip를 가지고 인바운드 규칙도 열려있다면 통신이 가능할까? 공인 ip가 없는 private subnet에 있는 instance를 관리자가 어떻게 관리할까?해답 private subnet에 있는 instance가 공인 ip를 가지고 있고 인바운드 규칙이 열려있다고 해서 통신이 가능하지 x -> private subnet에 있는 instance는 nat gateway를 통해 외부와 통신하는데 nat gateway는 요청이 나가거나 나가는 요청에 대한 응답만 돌아올 수 있고 그냥 오는 요청은 받을 수 없기 때문. -> 따라서 로드밸러서를 사용해서 어떤 요청이 오면 어떤 인스턴스로 보낼지 설정을 해줘야함 ex. T..

시스템 강화란? 공격자가 공격할 만한 취약점을 줄여서 시스템을 보호하는 것 시스템에서 실행되는 서비스의 수를 줄이거나 구성을 변경하여 시스템을 보호하는 것 하지만 시스템의 기본 구성을 자주 변경한다면 제대로 작동하지 않을 수 있음 시스템에는 데스크톱, 휴대폰을 포함한 서버, 애플리케이션, 스위치, 라우터, 무선 액세스 포인트, 원격 게이트웨이 등 다양한 종류가 있음보안의 기준은? 정상적인 조건의 네트워크가 그 기준 처음 정상일 때의 해시값과 비교하는 시스템의 해시값을 비교했을 때 달라진 게 있다? -> 초기 백업 해시값으로 재변경시스템을 강화하는 방법 사용하지 않는 서비스는 종료 그룹 정책으로 컴퓨터 운영을 제어 -> 하나의 동일한 정책으로 전체 시스템 제어 주기적으로 보안 업데이트와 패치를 적용패치 소..

AAA(Authentication Authorization Accounting) 인증(Authentication): 사용자나 프로세스의 신분을 확인하는 것 권한부여(Authorization) : 검증된 사용자에게 어떤 수준의 권한과 서비스를 허용하는 것 계정관리(Accounting) : 사용자의 자원에 대한 사용 정보를 감사하는 것 사용자의 권한 수준에 맞는 작업만 할 수 있게 해줌 각 사용자가 어떤 활동을 했는지 로깅해줌 로그는 반드시 실시간 백업이 필요함!! 이유는 어떤 변화들이 있었는지 꼭 알아야 복구할 수 있기 때문!!*방화벽 방화벽은 컴퓨터 네트워크에서 불법적인 접근 및 외부로부터의 보안 위협으로부터 시스템을 보호하는 장치 이를 위해 방화벽은 네트워크에서 통신하는 데이터를 모니터링하고, 허용되지..

보안이 가져야할 특징 기밀성 : 정해진 사용자들 외에는 접근이 불가해야함 -> 데이터 암호화 무결성 : 데이터의 위변조를 방지하고 확인 -> 해싱 가용성 : 권한이 있는 사용자가 필요할 때 데이터에 엑세스 가능해야함 -> 사용자 인증보안 위험 아이덴티티 도난 : 개인정보(id, 패스워드, 계좌번호 등)을 도난 당하는 것 데이터 도난 : 기업의 기밀 데이터나 지적 재산을 훔치는 것 네트워크 서비스 손실 : 네트워크 서비스가 중단되면 비즈니스에 치명적인 영향이 감 기업 방해, 간첩 활동 : 경쟁에서 우위를 선점하기 위해 방해하거나, 간첩활동으로 사건을 벌이거나 데이터를 빼낼 수 있음보안 위협의 유형 Malware : Malicious Software(악성 소프트웨어)의 줄임말, 컴퓨터 혹은 네트워크를 손상,..

보안그룹 인스턴스 레벨의 가상 방화벽이라고 생각하면 됨 인바운드 규칙과 아웃바운드 규칙 설정하여 트래픽을 제어할 수 있음보안 그룹 특성 기본적으로 모든 인바운드 규칙은 차단되어 있음. 따라서 허용할 규칙들만 허용할 수 있음 아웃바운드는 기본적으로 모두 허용되어 있음 거부 규칙은 생성할 수 없다. only 허용 규칙만! 상태 기반임(나가는 요청에 관련된 응답은 인바운드 규칙에 상관없이 응답이 들어옴)네트워크 ACL 서브넷 레벨의 방화벽 무상태 방식임 (세션이 저장이 안되기 때문에 응답트래픽을 허용해주어야함) 기본 NACL은 모든 트래픽을 허용, 그렇지만 특정 트래픽을 허용하거나 거부하는 규칙 추가 가능 사용자가 ACL을 생성할경우, 기본적으로 모든 트래픽을 거부네트워크 ACL 규칙 별도의 인바운드/아웃바운..