Firewall네트워크 보안을 강화하기 위해 Network Gateway에 설치되는 장치 또는 소프트웨어내부 네트워크와 외부 네트워크 간의 트래픽을 필터링하고, 허용 또는 차단하는 역할미리 설정된 보안 규칙에 따라 들어오고 나가는 트래픽을 제어하여 네트워크를 보호한다. 예시 Router 아래에 방화벽을 설치하여 switch 사이에서 in/outbound 패킷들을 모두 검사한다. Firewall rule-set방화벽이 네트워크 트래픽을 필터링하고 제어하기 위해 설정된 규칙들의 모음이 규칙들을 번호 순서대로 검사하여 트래픽을 처리하는데, 첫 번째로 일치하는 규칙이 우선 적용된다.  First match 규칙 처리 : 규칙이 트래픽에 적용되면, 해당 트래픽에 더 이상의 규칙은 적용되지 않음.Packet Fil..

IP Spoofing공격자가 자신의 IP 주소를 위조하여, 마치 다른 장치에서 온 것처럼 속이는 네트워크 공격.피해자는 신뢰할 수 있는 장치로부터 온 패킷으로 인식하여 이를 처리한다.문제1. DoS / DDoS공격자가 위조된 IP 주소를 사용하여 다량의 요청을 서버에 보내 과부하를 유발시켜, 서버가 더 이상 정상적인 요청을 처리할 수 없도록 만들 수 있다.ex> SYN Flooding, Smurf attack2. 추적 불가위조된 Source IP 주소를 사용하므로, 추적이 불가능하다.Session hijacking   Injecting false routing information   Port Scan공격자가 타겟 시스템에서 열린 포트와 실행 중인 서비스를 확인하기 위해 다양한 포트에 패킷을 보내는 과정..

ARP spoofing공격자가 네트워크에서 자신의 MAC 주소를 피해자의 IP 주소에 매핑하여 패킷을 가로채거나 수정하는 공격 (LAN에서 Data frame을 훑어보는 행위)동작 방식1. 임의의 호스트가 피해자의 MAC 주소를 알기 위해 ARP Request 패킷을 보낸다.2. 이때 공격자가 자신의 MAC 주소를 피해자의 MAC 주소인 것처럼 속인다.종류1. ARP Spoofing : ARP level에서 spoofing하는 것. (데이터 가로채기)2. ARP poisoning : 올바르지 않은 MAC 주소를 담아서 보내는 것.3. ARP flooding : 공격자가 지속적으로 가짜 ARP Reply 패킷을 보내는 것 (자신의 MAC 주소를 담아서 보냄)man in the middle attack공격자..

X.509 Certificate디지털 인증서의 한 형식으로, 공개 키 기반 구조(Public Key Infrastructure, PKI)에서 사용됨.Certificate Authority(CA)에 의해 발급되며, 사용자나 시스템의 신원을 확인하고 해당 주체의 공개 키를 안전하게 전달하는 데 사용된다. 상황Public Key 암호화 알고리즘을 사용하여 통신할 때, 중간에 공격자가 송신자인 척하는 상황이 발생할 수 있다.(Man-In-The-Middle Attack) 이런 상황에 대비하기 위해 인증서가 필요하다.Public Key를 가진 사용자를 식별할 수 있는 수단CA가 해당 Public Key를 서명하여 인증한다.Self-signed Certificate서버 관점에서 새로운 public/private ..

SSL (Secure Socket Layer)Transport layer에서 동작하는 security service이다.TCP 프로토콜을 신뢰할만한 end-to-end service에 제공한다.추후 TLS로 발전했다.TLS (Transport Layer Security)인터넷에서 데이터의 안전한 전송을 보장하기 위해 사용되는 암호화 프로토콜SSL 3.0 이후의 후속작으로 SSL의 여러 보안 취약점을 수정하고 기능을 향상시킨 버전이다.웹 통신의 표준으로 널리 사용되고 있다. 특징TCP layer에서 작동한다.추가적인 alert code를 가진다.application data, handshake message, alert, change cipher spec 총 4개의 record를 가진다.TLS Sessio..

Secret Sharing alogirithms중요한 secret key를 분산하여, n명이 모여야 원래의 secret key를 복원할 수 있게 하는 암호화 기법신뢰할 수 있는 제3자가 없는 상황에서 중요한 데이터를 안전하게 분배하고 관리할 수 있는 방식 방식secret S를 n개로 쪼개어 S1, S2, ..., Sn으로 나눈 뒤, 일정 k개 이상 모이면 S를 만들 수 있게 설계이를 (k, n) secret sharing이라고 한다. 1. shamir의 secret sharing비밀 S를 원래 값으로 갖는 상수항을 포함하여 k-1차 다항식을 세운다.각 참여자 i에게 n개의 (x_i,f(x_i)) 점을 준다.최소 k개의 점이 모이면, 다항식을 완성할 수 있다.예시>Blind Signatures개인의 프라이..

Asymmetric key cryptography대칭키 암호화 알고리즘은 호스트의 수를 N이라고 했을 때, 키 생성 시간이 O(n^2)이 걸리는 단점이 있었다. 이에 대해 공개키 암호화 알고리즘은 키를 공유하지 않고, 각 호스트가 Public Key와 Private Key를 생성한다. public key는 모두에게 공개되어있는 키이고, private key는 오직 자신만 알고 있는 키이다.따라서 키를 생성하는 시간 복잡도는 O(n)으로, 대칭키 암호화 알고리즘의 단점을 해결해준다. 방식1. EncryptionAlice가 Bob에게 보낼 때, Bob의 공개키로 암호화하여 전송Bob은 자신의 개인키로 복호화2. Digital signatureBob이 Alice에게 자신의 개인 키로 암호화 해서 전송.Alic..

Cryptographic hash function임의 길이의 메시지와 고정된 길이의 output을 매핑함 (Message Digest)특징- 단방향 함수 : m을 H(m)으로 하는 것은 가능하지만, H(m)을 통해 m을 뽑아낼 순 없다.종류1. MD52. SHA-13. SHA-256... 작동 방식1. 512 bit만큼 padding을 진행한다. (16 words, 64 octets)2. 메시지를 512bit 단위로 처리하여 Message Digest를 생성한다. Birthday attackHash 함수의 bit수가 낮을수록 Hash 함수 결괏값이 같은 값이 나올 확률이 높다 -> H(m1) = H(m2)[ Hash Collision ] 512bit는 되어야 함. Message Authentication..