http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf

이젠 SSL도 안전하지 않군요...SSL과 HTTPS 프로토콜에 대하여 다시 한번 깊이 있게 연구 해 보아야겠습니다.

 
http://www.leviathansecurity.com/research.html   SSL MITM

http://www.leviathansecurity.com/pdf/Renegotiating_TLS.pdf

http://www.leviathansecurity.com/pdf/ssltlstest.zip



Posted by 엔시스
TAG https, SSL

검색하다가 보니 재미있는 기사 하나를 발견하였다.  우리는 흔히 데이터를 암호만 하면 안전하다고 하는데 조금 다른 시각으로 접근하였던거 같다.  분명히 SSL 암호화하는 것은 안전하다. 하지만 또다른 시각으로 바라본다고 필자는 말하고 있다.

그리고 한가지 더 팁이 있는데 중요한 문서를 메일로 전송할경우 문서 자체를 압축하고 그것을 다시 암호를 걸어서 전송하면  해킹으로 인한 확률을 많이 낮출수 있다고 한다.

기본적인 사항이지만 한번더 생각함으로서 실천에 옮길수 있을 것이다.  늘상 이야기 하지만 정보보호의 기초는 실천이다.
Posted by 엔시스
TAG SSL, 암호화

아파치2 에 SSL 프로토콜을 이용한 방법을
스탭 바이 스탭으로 설명하고 있습니다....
설명이 비교적 잘 되어 있습니다...프로그래밍 하시는분들이나
서버 관리자분들은 한번씩 읽어 보세요 ^^;

관련 자료 :http://www.securityfocus.com/infocus/1818

Posted by 엔시스
TAG Apache, SSL

웹은 인터넷을 통해 제공되는 가장 대표적인 서비스이다. 이러한 웹은 전자상거래 분야와 밀접한 관련이 있기 때문에 웹 보안은 안전한 전자상거래를 실현하기 위해 반드시 제공되어야 한다. 먼저 보안 서비스를 제공하기 위한 범위를 정의할 필요가 있다.

웹 서비스는 그림 1-21에서 보는 바와 같이 HTTP 프로토콜을 이용하는 클라이언트(웹 브라우저)와 웹 서버 어플리케이션을 통해 제공되는데, 이러한 어플리케이션들은 TCP/IP 네트워크를 이용해 동작한다. 이것은 크게 서비스를 제공하는 어플리케이션 부분과 데이터 전송 기능을 하는 TCP/IP 네트워크 부분으로 구분할 수 있다.


그림 1-21 인터넷을 이용한 웹 서비스 환경


대부분의 보안 기술은 어플리케이션 또는 네트워크 부분에서 보안 서비스를 제공하기 위한 접근방식을 취하고 있다. 즉 네트워크를 안전하게 만들거나 또는 어플리케이션을 안전하게 만드는 것이다.

현재 네트워크 부분에서 보안을 제공하는 대표적인 기술로는 그림 1-22에서와 같이 SSL(Secure Socket Layer) 및 TLS(Transport Layser Security), IPSec이 있으며, 어플리케이션 부분은 그림 1-23과 같이 S/MIME과 PGP(Pretty Good Security) 등을 통해 보안을 제공할 수 있다.


그림 1-22 네트워크 부분            그림 1-23 어플리케이션 부분


여기에서는 인터넷 및 웹 보안을 제공하기 위한 보안 기술을 크게 네트워크 부분과 시스템 보안부분으로 구분하여 SSL과 IPSec을 기반으로 한 네트워크 보안을 설명하고, 인터넷에 연결된 비공개 네트워크의 보호를 위해 가장 널리 사용되는 침입차단시스템을 설명한다. 각 개요를 소개하면 다음과 같다.


(1) Secure Socket Layer(SSL)


웹 브라우저로 잘 알려진 넷스케이프사에서 제안한 SSL은 TCP 계층 위에서 위치하여 보안 서비스를 제공한다. 이 보안 메커니즘은 웹 클라이언트/서버에 최초로 구현함으로써 웹 보안을 위한 가장 대표적인 기술로 손꼽히고 있다. TLS는 SSL을 표준화하기 위해 IETF에서 제안한 네트워크 보안 프로토콜로써 SSL 3.0 버전을 개정한 것이다.


(2) IP 보안 프로토콜(IPSec)


1995년도에 등장한 IPSec은 최근 들어 네트워크 보안 분야에서 가장 주목을 받고 있는 보안 프로토콜인데, 이것은 기존의 IP계층에서 보안기능을 제공할 수 있는 기술이다. 이와 같이 네트워크 부분에서 보안 기능을 제공하는 기술은 다양한 어플리케이션이 공통적으로 이용할 수 있는 특성으로 인해 앞으로 인터넷에서 널리 채택될 것으로 보인다.


(3) 침입차단시스템(Firewall)


의부의 침입으로부터 조직 내의 컴퓨터 시스템 및 정보를 보호하기 위해 가장 널리 사용되고 있는 것이 침입차단시스템이다. 인트라넷과 같은 비공개 네트워크와 인터넷 사이에 위치하여 외부로부터 접근하는 연결을 감시하고, 접근제어를 할 수 있는 시스템이다. 또한 둘 이상의 침입차단시스템 사이에서 VPN (Virtual Private Network) 서비스를 제공할 수 있도록 개발하고 있다.


Posted by 엔시스