Metasploitable, OWASP-ZAP, 그리고 Security Onion으로 공부하기 #1 웹, 네트워크 기초 이론 공부

위의 도구로 실습을 진행하기 전에!

웹이랑 네트워크에 관한 기초적인 내용을 한 번 다잡고 가는 게 좋다는 생각을 해서 정말 간단하게 만들어봤습니다.

(이거 모르면서 웹 공부한다 하면 안 될 것 같은 단어 위주로...)

해당 단어의 내용만 보고 싶을 경우 단어를 클릭하면 이동합니다.

Web-related Information Security Words

1. Web
2. Web Site/Web page
3. HTTP/HTTPS
4. URI/URL
5. OWASP Top 10

Network-related Information Security Words

1. Network
2. OSI 7-Layer
3. NAT
4. IDS/IPS
5. FTP

Web-related Information Security Words

1. Web

 웹과 관련된 공부를 하는데 웹이 뭔지 설명을 할 줄 모른다면 그것만큼 놀랄 일은 없다고 생각합니다.

그래서 찾아보다 제가 제일 놀랐습니다.

인터넷에 연결된 사용자들이 서로의 정보를 공유할 수 있는 공간을 의미합니다.

간단히 줄여서 WWW나 W3라고도 부르며, 간단히 웹(Web)이라고 가장 많이 불립니다.

(출처 : http://www.tcpschool.com/webbasic/www)

여기서 중요한 건 인터넷 즉, 네트워크에 연결된 상태라는 겁니다.

개인이 HTML로 웹 사이트를 만들어도 네트워크에 연결되어있지 않은 로컬환경이라면 그건 웹 사이트가 아닌 HTML문서입니다. 그래서 웹 공부를 한다면 네트워크 공부가 필수로 들어간다고 생각합니다.

 

2. Web Site/Web page

 웹 사이트와 웹 페이지의 차이를 모르고 단어를 혼용하는 경우가 많습니다.

제가 그랬습니다.

웹 사이트는 여러 웹 페이지가 모여있는 공간이고, 웹 페이지는 지금 이 문서를 예시로 들면 될 것 같습니다.

그럼 지금 제 블로그가 웹 사이트이고, 여기에 담겨있는 수많은 문서들을 웹 페이지라고 하면 될 것 같네요.

 

3. HTTP/HTTPS

 인터넷을 쓰는 사람들 중에 이 프로토콜을 한 번도 본 적 없는 사람은 없지요.

이걸 모르면 진짜 문제...

HTTP는 통신 때 요청과 응답을 쓰는 이때 80번 포트를 사용하는 애플리케이션 계층 프로토콜입니다.

(애플리케이션 계층은 모른다면? https://snorlax1224.tistory.com/4)

하지만 HTTP는 통신을 평문으로 진행하기 때문에 스니핑 같은 공격에 취약하기 때문에 보안을 강화해서 나온 프로토콜이 바로 HTTPS입니다.

통신이 평문으로 진행된다면 내 개인정보가 인터넷을 막 돌아다니는 것이기 때문에 가릴 필요가 있습니다.

(마스크 안 쓰고 하품하면 민망하지만 마스크 쓰고 하품하면 안 민망하고 좋잖아요... 입냄새도 안 나가고 비염도 안 나고)

위의 예시에 마스크가 HTTPS의 마지막인 S라고 생각하면 됩니다.

HTTP와 SSL/TLS를 합친 HTTPS로 443번 포트를 사용하는 애플리케이션 계층 프로토콜입니다.

 

4. URI/URL

 URL은 다들 익숙해도 URI는 낯선 사람이 있을 것 같습니다.

둘 차이를 맨날 헷갈리는 사람이 바로 나예요... 그래서 일부러 넣었습니다.

URI는 인터넷에 있는 자원을 고유하게 식별, 지칭하는 용도로 표준 형식을 사용한다고 합니다. URI를 풀어보면 좀 더 이해가 쉬운데

URI : Uniform Resource Identifier; 통합 자원 식별자

URL : Unifrom Resource Locator; 통합 자원 지시자

(출처 : 핸즈온해킹(도서))

URI는 식별에 더 초점을 맞췄고 URL은 자원을 지칭하는 데에 쓰이는 것 같습니다. 그리고 URI안에 URL이 포함됩니다.

 

5. OWASP Top 10

 웹 보안 공부하는 사람이 이걸 모르면 안 되죠!

정말 기본적이고 실무에서도 자주 쓰고 그냥 주구장창 듣는 단어입니다.

해당 내용은 이전에 작성한 내용이 있어 링크를 달아놓습니다. 

https://snorlax1224.tistory.com/10

OWASP TOP 10 설명

자세한 설명은 해당 링크에서 보시면 됩니다.

간단히 설명을 하면 OWASP는 비영리 단체로 3~4년 10대 웹 애플리케이션의 취약점을 발표합니다.

 

Network-related Information Security Words

1. Network

 네트워크에 대해 찾아보는데 양이 너무 많아서 최대한 "Network"에 대해서만 말하자면

Net + work의 합성어로 번역하면 그물망이라고 합니다. 그물 + 일이 합쳐졌는데 왜 지금은 그물망, 통신망이 되었는지 궁금해져서 찾아봤는데 이 단어가 처음 나온 건 1550년대로 정말 그물처럼 서로 연결된 것을 의미하는 단어였으나,

1839년에 "Network"가 강과 운하와 같은 교통수단의 복잡한 연결 시스템을 설명하는 데 사용되었다고 합니다.

이후 다양한 분야에 사용되면서 통신망이나 인터넷 같은 복잡하게 연결된 시스템을 의미하게 되었다고 합니다.

신기하네요.... 더 궁금하신 분들은 아래 링크로 들어가셔서 보면 될 것 같습니다. (영어입니다.)

https://www.etymonline.com/word/network

network | Etymology, origin and meaning of network by etymonline

 

2. OSI 7-Layer

 위의 HTTP/HTTPS를 소개할 때 잠깐 나온 OSI 7 계층입니다.

네트워크기초나 정보보안개론이나 IT관련 학과에서 빠질 수 없는 중요한 단어이죠!

누군 모델이라 하고 누군 프레임워크라 하고 헷갈렸는데요! 그래서 이건 빙한테 물어봤습니다.

그렇다고 합니다... 제 개인적인 생각에는 모델이라고 부르는 게 더 나을 것 같네요.

보통 프레임워크는 Express 같은걸 프레임워크라고 하니까 헷갈릴 것 같습니다.

상세 설명은 아래 링크에 달린 글을 봐주시면 이해가 빠를 것 같습니다.

https://snorlax1224.tistory.com/4

OSI 7계층

 

3. NAT

 NAT은 Network Address Translation의 약자로 내부 IP 주소를 단일 외부 IP 주소로 매핑하여 작동하게 하는 기술입니다. 그렇기에 NAT를 이용하면 로컬 네트워크의 여러 장치가 하나의 공용 IP 주소를 공유하여 인터넷에 접속할 수 있게 합니다. 내용을 찾다가 잘 정리되어 있는 곳이 있어 공유합니다. (다른 단어들도 자세히 잘 정리되어 있는 곳...)

http://www.ktword.co.kr/test/view/view.php?no=1676

NAT

 

4. IDS/IPS

 IDS(Intrusion Detection System. 칩입 방지 시스템), IPS(Intrusion Prevention System. 칩입 차단 시스템)을 말합니다.

둘의 차이는 방지와 차단에 있는데 IDS는 네트워크 트래픽과 시스템 활동을 모니터링하여 잠재적인 위협과 보안 침해를 감지하며 막는 수동적인 역할이 주라면, IPS는 감지된 위협을 활성적으로 차단하거나 방지하여 네트워크 보안을 강화하는 능동적인 역할이 주인 시스템입니다.

 

5. FTP

 PuTTY나 Moba 같은 도구를 사용해 보셨다면 아마 익숙하실 단어입니다!

FTP는 File Transfer Protocol이라는 뜻을 가진 프로토콜입니다. 22번 포트를 주로 사용하는 프로토콜이기도 하기도 합니다.

파일 공유나 웹 사이트 유지보수에 주로 사용된다고 합니다.

 

전... Web이 확실히 재밌나 보네요...