데이터와 인공지능 훑어보기

OSI(Open System Interconnection) 7 Layer 국제표준화기구(ISO, International Organization for Standardization)에서 개발한 모델로서, 네트워크 프로토콜 디자인과 통신을 계층으로 나눠 설명한 것 레벨 계층 기능 7계층, Application 응용 계층 프로토콜: DHCP, DNS, FTP, HTTP, Telnet, SMTP 사용자들이 사용할 수 있게 서비스를 제공 6계층, Presentation 표현 계층 프로토콜: SMB, AFP 두 응용 계층 사이의 데이터 표현방식을 관리하고, 정보 변환 서비스를 제공 5계층, Session 세션 계층 프로토콜: SSH, TLS 응용간의 질서 제어 두 응용간의 대화를 제어하는 역할을 담당하고, 통신에..

IP, Internet Protocol 패킷 교환 네트워크(인터넷)에서 데이터를 주고 받을 때의 통신 규약 IP Address 네트워크(인터넷) 상에서 데이터를 주고받기 위해 모든 컴퓨터들은 각자의 주소를 가지는데 그 주소가 IP 주소 IP=프로토콜, IP 주소=주소 IP에 의한 패킷 교환을 위한 컴퓨터의 네트워크 상의 고유 주소 IPv4 32비트로 구성, 8비트씩 4개 구간으로 나뉨 Octet 32비트의 IP 주소를 8비트로 나누는 단위, 10진수로 0 ~ 255값을 가짐 IPv6 IPv4 방식의 IP 주소 고갈에 따라 등장 128비트로 확장 2옥텟(16비트) 단위로 8등분하여 표기 Network Class 이미 구성된 인프라를 최대한 활용하기 위해서 IPv4체계의 IP주소를 사용하는 네트워크의 규모에..

네트워크 종류 PAN. Personal Area Network 가장 작은 규모의 네트워크 LAN, Local Area Network 근거리 영역 네트워크 네트워크 기기에 상관없이 서로 통신 가능 광역 전송매체의 사용으로 고속통신 가능 많은 사용자가 단일 매체로 지연없이 데이터 교환 가능 MAN, Metropolitan Area Network 대도시 영역 네트워크 WAN, Wide Area Network 광대역 네트워크 두개 이상의 근거리 네트워크 연결 VAN, Value Area Network 부가가치 통신망 정보의 추적과 제공, 통신 속도와 형식의 변화, 통신 경로의 선택 등 여러 종류의 정보서비스가 부가된 통신망 ISDN, Integrated Services Digital Network 종합정보 통신..

IP Internet Protocol 송신 호스트와 수신 호스트가 패킷 교환 네트워크(패킷 스위칭 네트워크, Packet Switching Network)에서 정보를 주고받는 데 사용하는 정보 위주의 규약(프로토콜, Protocol) OSI 네트워크 계층에서 호스트의 주소지정과 패킷 분할 및 조립 기능을 담당 OSI의 Layer 3(Network Layer)와 Internet Protocol Suite의 Layer 3(Internet Layer)에 위치하는 프로토콜 IP의 정보는 패킷 혹은 데이터그램이라고 하는 덩어리로 나뉘어 전송 비신뢰성(unreliability)과 비연결성(connectionlessness)이 특징 비신뢰성은 흐름에 관여하지 않기 때문에 보낸 정보가 제대로 갔는지 보장하지 않는다 I..

UDP Flooding의 공격 대상 시스템은 많은 수의 UDP 패킷을 처리하고 ICMP 패킷을 보내느라 시스템 자원을 소비하게 되어 다른 클라이언트 요청에 대해 서비스를 못하는 상태(DoS)가 됨 대량의 UDP 패킷을 만들어 보내 상대방이 정상적인 서비스를 하지 못하도록 시스템을 공격 IP Spoofing과 함께 사용됨 특정 타겟을 목표로 하는 것이 아니라 네트워크 전체 대역폭에 대한 공격 (네트워크 bandwidth 를 소모시키는 것이 목적) 공격자가 대량의 UDP 패킷을 임의의 포트 번호로 보내면 패킷 받은 시스템은 사용하는 어플리케이션 없다는 것을 확인 후 ICMP(Internet Control Message Protocol) Destination Unreachable 패킷을 공격자가 보낸 패킷 출..

TCP vs UDP [AWS Solution Architect/IP Network] - TCP vs UDP SYN Flooding TCP 3-way-handshake 과정의 두번째 과정에 집중된다. "② Server는 SYN 패킷과 ACK 패킷을 Client에게 전달합니다. 그리고 Server는 Client의 접속을 받아들이기 위해, RAM(메모리)에 일정 공간을 확보해둡니다." Client가 ①SYN 패킷만을 계속적으로 보내고 ③ACK 패킷을 안보내게 되면, Server는 Client의 연결을 받아들이기 위해 RAM(메모리) 공간을 점점 더 많이 확보해둔 상태에서 대기합니다. 그리고 Server의 RAM이 꽉 차게 되면 더이상 연결을 받아들일 수 없게되고, Server는 서비스를 서비스를 계속할 수가 ..

SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터가 비 공개로 유지 TLS(Transport Layer Security)라고도 함 SSL 동작 원리 TLS 단계 기본 절차 지원 가능한 알고리즘 서로 교환 키 교환, 인증 대칭키 암호로 암호화하고 메시지 인증 SSL 인증서 클라이언트와 서버간의 통신을 제3자가 보증해주는 전자화된 문서 클라이언트가 서버에 접속한 직후에 서버는 클라이언트에게 이 인증서 정보를 전달 클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지를 검증 한 후에 다음 절차를 수행 SSL 인증서는..

CDN Content Delivery Network 콘텐츠를 효율적으로 전달하기 위해 여러 노드를 가진 네트워크에 데이터를 저장하여 제공하는 시스템 인터넷 서비스 제공자에 직접 연결되어 데이터를 전송하므로, 콘텐츠 병목을 피할 수 있는 장점 목적은 높은 사용성과 효율로 사용자에게 컨텐츠를 전달 Content: 웹 요소 (텍스트, 그래픽, 스크립트), 다운로드 가능한 요소 (미디어 파일, 소프트웨어, 문서), 애플리케이션 (전자상거래, 포털), 실시간 미디어, 주문형 스트리밍, 그리고 소셜 네트워크 보안 https://docs.aws.amazon.com/ko_kr/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html AWS CloudFront 보안 구성 ..

UTM 에 탑재 되는 보안 모듈 Unified Threat Management 방화벽, 가상 전용 네트워크, 침입 차단 시스템, 웹 컨텐츠 필터링, 안티스팸 소프트웨어 등을 포함하는 여러 개의 보안 도구를 이용한 관리 시스템 비용 절감, 관리 능력이 향상되는 포괄적인 관리 시스템 Network Firewall 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안시스템 1세대-패킷 필터 패킷 자체만을 보고 미리 설정된 정책에 따라 허용 또는 거부를 결정하는 초창기 방화벽 특정한 IP를 허용 또는 거부하거나 특정한 포트를 허용 또는 거부하는 용도로 사용 2세대-스테이트풀 인스펙션 세션 단위의 검사를 하는 스테이트풀 검사 패킷 필터의 단점 보안 모든 패킷이 모..

SQL Injection 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법 Blind SQL injection 평범한 SQL injection과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 기술 Database 메시지가 공격자에게 보이지 않을 때 사용 평범한 SQL injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 데에 비해 Blind SQL 삽입은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 기술 방어 준비된 선언(Prepared statement): 사용자의 입력이 쿼리문(SQL 선언 템플릿)으로부터 분리되기 때문에 SQL 삽입을 효과적으로 방어..

DDoS (Distributed Denial of Service) 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격하는 방법 서비스 거부 공격 또는 디오에스/도스는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격 공격 분류 인프라 계층 공격 계층 3과 4에 대한 공격은 일반적으로 인프라 계층 공격으로 분류 가장 일반적인 유형의 DDoS 공격이며, SYN(동기화된) 플러드 같은 벡터 그리고 UDP(User Datagram Packet) 플러드 같은 기타 반사 공격을 포함 대개 볼륨이 상당히 크고, 네트워크 또는 애플리케이션 서버 용량에 과부하가 걸리게 하는 것을 목표 이러한 공격 유형은 징후가 분명하고 감지하기가 좀 더 쉬움 애플리케..

IDS Intrusion Detection System 컴퓨터나 전산망의 비정상적인 사용이나 오남용과 같은 잠재적인 침입 시도 등을 실시간으로 탐지하기 위한 시스템 컴퓨터 시스템에서 발생하는 서비스 거부 공격 등과 같은 네트워크 공격에 대비하여 기밀성, 무결성, 가용성 등을 제공하기 위해 만들어진 시스템 네트워크 규모의 확대와 정보시스템들의 통합은 막대한 양의 시스템 로그 및 감사 자료를 발생시키기 때문에 관리자에게 정형화된 형태로 필요한 정보만 선택할 수 있는 역할을 담당 IPS Intrusion Prevention System 공격 피해를 최소화할 수 있는 능동적 보안시스템 IDS는 탐지하는 역할까지만 담당하고 탐지한 자료를 바탕으로 차단을 할 것인지 통과를 시킬 것인지는 IPS가 담당 잠재적 위협을..

Hypervisor (하이퍼바이져) 호스트 컴퓨터에서 다수의 운영 체제를 동시에 실행하기 위한 논리적 플랫폼 가상화 머신 모니터 또는 가상화 머신 매니저라고도 불림 Amazon EC2(Elastic Compute Cloud) Hypervisor 종류 Native 또는 Bare-Metal 운영 체제가 프로그램을 제어하듯이 하이퍼바이저가 해당 하드웨어에서 직접 실행되며 게스트 운영 체제는 하드웨어 위에서 2번째 수준으로 실행 IBM Xen, Citrix의 XenServer, VMWare의 ESX Server, TRANGO, Miscrosoft의 Hiper-V Hosted 하이퍼바이저는 일반 프로그램과 같이 호스트 운영 체제에서 실행되며 VM 내부에서 동작되는 게스트 운영 체제는 하드웨어에서 3번째 수준으로 ..

Amazon EC2 Amazon Elastic Compute Cloud(Amazon EC2)는 Amazon Web Services(AWS) 클라우드에서 확장식 컴퓨팅을 제공 인스턴스: 가상 컴퓨팅 환경 Amazon 머신 이미지(AMI): 서버에 필요한 운영체제와 여러 소프트웨어들이 적절히 구성된 상태로 제공되는 템플릿으로 인스턴스를 쉽게 만들 수 있습니다. 인스턴스 유형: 인스턴스를 위한 CPU, 메모리, 스토리지, 네트워킹 용량의 여러 가지 구성 제공 키 페어를 사용하여 인스턴스 로그인 정보 보호(AWS는 퍼블릭 키를 저장하고 사용자는 개인 키를 안전한 장소에 보관하는 방식) 인스턴스 스토어 볼륨: 임시 데이터를 저장하는 스토리지 볼륨으로 인스턴스 종료 시 삭제됨 Amazon Elastic Block ..

Amazon CloudWatch 클라우드 리소스 및 애플리케이션에 대한 완전한 가시성 개발자, 시스템 운영자, 사이트 안정성 엔지니어(SRE) 및 IT 관리자를 위해 구축된 모니터링 및 관리 서비스 로그, 지표 및 이벤트 형태로 모니터링 및 운영 데이터를 수집하여 AWS와 온프레미스 서버에서 실행되는 AWS 리소스, 애플리케이션 및 서비스에 대한 통합된 뷰를 제공 단일 플랫폼에서 모든 데이터에 액세스 AWS와 온프레미스 서버에서 실행되는 모든 AWS 리소스, 애플리케이션 및 서비스에서 지표 및 로그를 수집할 수 있으므로 데이터 사일로를 세분화하여 쉽게 시스템 전체에 대한 가시성을 확보 AWS 리소스에 대한 맞춤형 세분화된 지표를 수집하는 가장 쉬운 방법 mazon EC2, Amazon DynamoDB, ..