Security Diary

인증 - 다단계 : 1차 인증 후 2차 인증을 하는 방식 (종류 관계없음) ex) i-pin - 다요소 : 서로 다른 종류의 인증을 하는 방식 ex) 계좌이체 : 공인인증서+비밀번호+OTP AWS에 회원 가입을 하면 계정 생성 (Root 계정) (p.100) - Root 계정으로 사용자 생성 → IAM계정(User, 사용자) - Role(역할)은 서비스나 프로그램에 부여 - Policy(정책)을 Role or User에게 부여 CloudWatch - 리소스를 Monitoring하면서 상태 Graph로 표시 - 서비스 지표, 로그 등을 수집, 기록 - 임계값을 넘으면 특정 동작이 일어나도록 설정 ex) 10만원이 넘으면 Mail로 보내라 - CPU 사용률, 볼륨의 읽기 쓰기 횟수나 바이트 수, 네트워크 송..

클라우드 특징 (p.19~23) - 확장성, 유연성 - 종량제 : 사용한 만큼 비용을 지불 - Multi-tenancy : 복수 점유 S3 클래스에서 보관 비용 순서 (인출 비용은 역순) S3 Standard > S3 Standard-IA > S3 One Zone-IA > Glacier instant retrieval > Glacier flexible retrieval > Glacier Deep Archive VPN (Virtual Private Network) : 네트워크 암호화 통신하는 서비스 - Public Network (공중망) : ISP(Internet Service Provider)들이 제공하는 네트워크 → 저렴하지만 안전하지 않음 (침해사고 발생) - Private Network (사설망)..

Hash Function 활용법 - 출IP, 출Port, 목IP, 목Port 고려해 Hash 값 계산 → 일치될 경우 같은 서버에 계속 고정해 연결 유지 ALB와 NLB - ALB는 URL, HTTP 헤더에 따라 분산, 먼저 출시, Round Robin 지원 - NLB는 목적지 Port를 보고 분산, 나중 출시, Hash Function 지원(Sticky Session), EIP 부여 가능 EIP (Elastic IP Address) - 탄력적 IP 주소 (탄력 : 변하지 않는다란 의미로 고정IP란 뜻) - IP 주소가 바뀌지 않고 계속 같은 IP를 사용할 수 있는 서비스 - 용도 : 도메인 네임에 고정해놓을 때 Bastion Host 생성 실습) - Public Subnet으로 생성 (Public, P..

RDS - Database 서버를 클라우드에서 동작시키고, 이용자는 Database만 사용 → PaaS - 장점 : DB 서버 관리 안 해도 됨 (DB 대용량으로 관리 전부 AWS에서 함) - DB는 로드밸런서를 사용하기 어려움(★★★) : Master DB에서 수행하기 때문 (데이터 일관성) → 대용량 사용 Slave DB는 Master DB에서 정보를 받고 사용자들이 읽기 요청 시 처리 - Database에 대한 root권한 없음 (높은 권한 사용자만 권한 주어짐) - Database가 설치된 서버에 대한 통제권 없음 (OS 권한 없음) (★★) 서버, 가상머신(EC2), 컨테이너, Lamda 부족 시 Auto Scaling 통해 자동 확장 가능, 로드 밸런서 사용 컴퓨팅 설비 운영 방식 - On-P..

Windows Server 생성) 더보기 ① 인스턴스 시작 ① EC2 목록 클릭 후 인스턴스 시작 클릭 ② 이름 (gnuboard) 작성 후 OS 선택 (Windows 2016 base) ③ 네트워크 설정에서 생성한 VPC, 서브넷 클릭 ④ 방화벽 보안 그룹 생성 클릭 ⑤ RDP 트래픽 허용 (위치 무관 → 내 IP) ⑥ 인터넷에서 HTTP , HTTPs 트래픽 허용 ⑦ 설명 - 필수에 (web_server)로 변경 ⑧ 인스턴스 시작 클릭 ⑨ 연결 > RDP 클라이언트 > 암호 가져오기 클릭 ⑩ 키 페어로 이동 Browse로 (aws_gnuboardkey) 가져온 후 암호 해독 클릭 ⑪ 암호 복사 후 원격 데스크톱 연결 > 옵션 표시 > 컴퓨터에 전부 복붙 > 연결 ⑫ 연결된 윈도우에서 Server Ma..

S3 Storage - 데이터 저장 공간, 비교적 저렴 - Private 저장 : 외부 공개X 비공개로 저장 - Public 저장 : 객체 공개해 많은 사용자에게 전달 - 정적 웹사이트 : index.html과 이미지 업로드해 간단한 웹사이트 만들기 가능 S3 Class - Standard : 저장비용 비쌈, 언제든 인출 가능, 인출 비용 없음 - Standard-IA : 저장비용이 저렴하나 약간의 인출 비용 부과 - One Zone-IA : 하나의 Zone에만 저장, 비용 저렴 - Glacier : 오랫동안 보관할 데이터 저장(저장 비용 저렴), 인출 시간 오래 걸림, 인출 비용 높음 수명주기 관리 (Life Cycle) → 스케줄링 - 일반적 데이터 특징 : 처음엔 자주 사용하다 시간 지나면 잘 사용..

클라우드 - 네트워크에 대한 이해 - 서버를 운영하는 능력 (주로 Linux 사용) - Database 잘 사용해야 함 - 약간의 스크립트 작성 능력 - 클라우드의 특징에 대한 이해 4차 산업혁명 - Cloud는 IoT, Blockchain, Machine Learning, AI 모두 뒷받침하는 기반 기술 클라우드 서비스 업체 직접 관리 - 서버를 운영할 공간, 인력 서버 호스팅(Server Hosting) - 서버 관리를 전문업체에 위탁 관리시키는 것 - 서버 자체가 담보 역할 → 렌탈 기념 - 대규모로 운영하면 단가가 내려감 웹 호스팅(Web Hosting) - 웹 서비스만 해주는 방식 - 서버 1대에 여러 웹사이트 운영 가능 - 비용 절감 Cloud - 서버에 가상머신을 운영 (가상머신이 서버 역할..

취약점 분석 및 진단 ⑴ 포트 스캐닝 - 열린 포트 확인 : 어떤 서비스가 실행 중인가 파악 (관리자가 실행하지 않은 서비스가 실행 중일 시 매우 위험) - 오래되어서 취약한 서비스 확인 : 버전 확인 - 종류 : IP스캔, TCP스캔(Open), SYN스캔(Half-Open), UDP스캔, X-mas/FIN/Null, OS, Version, All scan 등 ※ 참고 사람 앞에 Black or White를 붙이면 안됨 White hacker (백인 해커) Black hacker (흑인 해커) White hat or Black hat → > O ⑵ 취약점에 대한 조사 - 구글 - 취약점 제보 사이트 : http://www.exploit-db.com (Offensive Security에서 운영) - 취약..

공개키 방식 - 개인키(Private Key)와 공개키(Public Key) 한쌍으로 이루어져 있음 - 개인키는 자기 혼자만 보유, 공개키는 누구에게나 제공 가능 - 개인키로 공개키를 연산해 내는 것은 쉬운데, 공개키로 개인키를 알아내는 것은 불가능 1) Diffie-Hellman - 대칭키 교환 문제를 해결 : 서로 공개키를 교환하고, 자신의 개인키와 연산해 대칭키(세션키) 생성 - 이산대수의 어려움에 근거 : 한쪽 방향으로 계산하기 쉬움 (검증), 반대 방향으로는 계산하기 어려움 2) RSA (Rivest, Shamir, Adleman) - 기밀성 : 수신자의 공개키로 암호화해 보냄 - 인증 : 송신자의 개인키로 암호화해서 보냄 - 소인수분해의 어려움 - 특징 : Boss (개인키,공개키) , Kil..

1) 암호화 대칭키 방식 - 치환(S)과 순열(P) → 현재 SPN방식 사용 ( N : 네트워크) - 암호화 키와 복호화 키 서로 대칭 → 대칭키(Symmetric Key) - 암호화 키 알면 복호화 키 알 수 있음 ----> 단일키(Single Key) - 대칭키는 다른 사람이 알면 안 됨 ----------> 비밀키(Secret Key) - 한 번의 세션에서만 사용 -------------------> 세션키(Session Key) Matrix 방식 - 암호화 : 가로로 쓰고 세로로 읽어 들임 - 복호화 : 세로로 쓰고 가로로 읽어 들임 ROT13 방식의 단점 - 영어만 암호화 (숫자, 특수문자 암호화 X) → ROT47 방식 등장 ROT47 - 대/소/숫/특수문자 94개를 반으로 나눠 섞어 사용 더..