해킹 방어를 위한 JAVA 시큐어 코딩 책을 참고하였습니다.
모든 정부의 시스템인 대국민 시스템들은 웹으로 되어있습니다.
그렇기 때문에 내용도 웹 애플리케이션에 대한 시큐어 코딩에 대해 다루도록 하겠습니다.
앞으로는 웹 해킹방어를 위한 자바 시큐어 코딩에 대하여 볼 것입니다.
OSI 7 계층
| 계층 | 이름 | 단위(PDU) | 예시 | 프로토콜(Protocols) | 디바이스(Device) |
| 7 | 응용 계층 (Application Layer) |
Data | 텔넷(Telnet), 구글 크롬, 이메일, 데이터베이스 관리 | HTTP, SMTP, SSH, FTP, Telnet, DNS, modbus, SIP, AFP, APPC, MAP | |
| 6 | 표현 계층 (Presentation Layer) |
Data | 인코딩, 디코딩, 암호화, 복호화 | ASCII, MPEG, JPEG, MIDI, EBCDIC, XDR, AFP, PAP | |
| 5 | 세션 계층 (Session Layer) |
Data | NetBIOS, SAP, SDP, PIPO, SSL, TLS, NWLink, ASP, ADSP, ZIP, DLC | ||
| 4 | 전송 계층 (Transport Layer) |
TCP-Segment, UDP-datagram | 특정 방화벽 및 프록시 서버 | TCP, UDP, SPX, SCTP, NetBEUI, RTP, ATP, NBP, AEP, OSPF | 게이트웨이 |
| 3 | 네트워크 계층 (Network Layer) |
Packet | 라우터 | IP, IPX, IPsec, ICMP, ARP, NetBEUI, RIP, BGP, DDP, PLP | 라우터 |
| 2 | 데이터링크 계층 (DataLink Layer) |
Frame | MAC 주소, 브리지 및 스위치 | Ethernet, Token Ring, AppleTalk, PPP, ATM, MAC, HDLC, FDDI, LLC, ALOHA | 브릿지, 스위치 |
| 1 | 물리 계층 (Physical Layer) |
Bit | 전압, 허브, 네트워크 어댑터, 중계기 및 케이블 사양, 신호 변경(디지털,아날로그) | 10BASE-T, 100BASE-TX, ISDN, wired, wireless, RS-232, DSL, Twina |
DDOS( Distributed Denial of Service ) 실행 공격
-DoS(Denial of Service) 공격은 웹 사이트 또는 애플리케이션과 같은 대상 시스템의 가용성과 합법적인 최종 사용자에게
악영향을 미치려는 악의적인 시도를 말합니다.
-일반적으로 공격자는 대량의 패킷 또는 요청을 생성하여 궁극적으로 대상 시스템을 마비시킵니다.
-DDoS(Distributed Denial of Service) 공격에서는
공격자가 여러 개의 손상된 또는 제어된 소스를 사용하여 공격을 생성합니다.
-일반적으로 DDoS 공격은 공격 대상인 OSI(Open Systems Interconnection) 모델의 계층에 따라 분리 가능을 가집니다.
-DDoS 공격은 네트워크 계층 3), 전송 계층 4), 표현 계층 6) 및 애플리케이션 계층 7) 계층에서 가장 많이 나타납니다.
1. Firewall (방화벽)
-서로 다른 네트워크를 지나는 데이터를 허용 및 거부하거나 검열 또는 수정합니다.
-네트워크에서 보안을 높이기 위한 1 차적인 방법으로,
신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나가는 패킷들에 대한 미리 정한 규칙에 따라
차단하거나 보내주는 기능을 하는 하드웨어 또는 소프트웨어를 뜻합니다.
관리자는 방화벽을 통과시킬 접근과 그렇지 않은 접근을 명시해야 합니다!!
외부 네트워크와 내부 네트워크 사이의 검문소라고 생각하시면 됩니다!!
2. IDS (Intrusion Detection System)
-시스템에 대한 원치 않은 조작을 탐지하는 것으로,
설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입탐지시스템으로 나뉩니다.
3. IPS (Intrusion Preventing System)
공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 설루션으로,
침입탐지 기능을 수행하는 모듈이 패킷을 일일이 검사하여 해당 패턴을 분석한 후,
정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단합니다.
일반적으로 IPS는 방화벽 내부에 설치(방화벽과 연동하여 공격을 탐지할 수 있기 때문)합니다.
패킷은 동영상을 보낼 때 1기가를 한번에 보내려면 너무 길어 지나가기 힘들기 때문에 데이터를
보낼때 조그마한 단위로 쪼개어 보내게 됩니다.
쪼갠 단위가 패킷이라고 합니다.
해당 데이터는 라우터로 여러 군대로 보내지게 되는데, 교통이 분비지 않는 네트워크로 이동을 하게 됩니다.
그리고 나중에 받을 때 한 번에 합치게 됩니다.
그럼 다음시간에는 ICT 시스템에 대한 보안 정책에 대해 알아보도록 하겠습니다.
수고하셨습니다^^
'주니어 기초 코딩공부 > 시큐어코딩 가이드' 카테고리의 다른 글
| 시큐어 코딩 - 시스템 보안 (0) | 2023.03.14 |
|---|---|
| 시큐어 코딩 시작하기 (1) | 2023.03.14 |