SSL : Secure Socket Layer
TLS : Transport Layer Security
Network를 통해 작동하는 server, system, 응용프로그램 간 인증 및 데이터 암호화를 제공하는 암호화 프로토콜
L4
, Transport layer
에서 동작
web server <-> client
혹은 server <-> server
사이에 전송된 데이터를 암호화
하여 인터넷 보안 연결을 유지하는 표준 기술
netscapte
가 개발SSL 2.0
, SSL 3.0
보안상 결함으로 사용 중지SSL 3.0
기반) 대칭키암호
, 공개키암호
, 단방향 해시함수
, MAC
, RNG
전자서명
을 조합하여 안전한 통신 수행SSL/TLS
로 함께 묶여 분류Client-Server 통신 시, 도청
, 간섭
, 위조
를 방지하기 위해 설계
모든 종류의 Internet traffic
을 암호화
HTTPS (Hyper Text Protocol Secure)
URL창에 표시
TLS Layer
1) Handshake : 보안 협상
을 위한 프로토콜
2) Change Cipher Spec : 보안 파라미터를 변경하거나 적용
할 때 사용
3) Alert : 오류 전송
할 때 사용되는 프로토콜
4) Application Data : 실제 데이터가 전송될 때
사용되는 프로토콜
5) Recode : 암/복호화, 무결성 검증
등을 수행하는 프로토콜
SSL 2.0
, SSL 3.0
보안상 결함으로 사용 중지 )TLS v1.2
취약점 = 기존의 암호화 기술 사용 허용
MITM 공격
에 특히 취약
기존 암호화 기술들은 컴퓨터 발전으로 더욱 공격에 취약해짐
TLS v1.3 (보안성 강화)
레거시 암호화 시스템에 대한 불필요한 자원 모두 제거
server에서 인증서를 암호화하여 전달
최초 연결 시 암호화 통신 개시 절차 간소화
오래된 암호 기술 폐기
1. 지원 가능한 알고리즘 교환
2. 키 교환, 인증
3. 대칭키 암호로 암호화 후 메시지 인증
HMAC 해시 함수
로 메시지 인증 코드 만들기Handshake
TlS에서 보안 채널을 만들기 위해, 실제 데이터를 보내기 전 서로 합의하며 준비하는 과정
보안 채널 설정
신원 파악
암호화 방식
결정파라미터
합의 및 세션키
생성web server의 역할 = 각 기업들의 중요 정보를 접근하기 위한 진입점
, 실제 서비스를 제공하는 서비스 주체
web server의 보안 취약점
동적 콘텐츠
를 만드는 부분client side
에서 실행되는 script
(CSS)디렉터리 검색 Directory listing = web browser -> web server 디렉터리 정보 요청했을 때, 디렉터리 내의 모든 파일 목록을 보여주는 기능
보안 위험성
web server 설치 시, 기본적으로 제공되는 메뉴얼파일 및 예제스크립트 파일
등은 web server의 정보 및 OS에 대한 정보 제공
Apache = 설치 디렉터리 바로 밑에 있는 매뉴얼 파일
- /htdocs/manual
혹은 /manual
등
IIS = 예제 스크립트 파일
- C:\inetpubs\iissamples
- C:\winnt\help\iishelp
- C:\Program files\common files\system\msadc\sample
IIS 7.0 이상 : 예제 스크립트 파일
기본 제공 X
IP 주소
등을 통해 통제DELETE
: server 측의 주요 자원이 삭제될 위험 존재GET
, POST
, HEAD
등만 허용W3C format
NCSA format
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{User-Agent}i\" %T" combined