- 예상 면접 질문2022년 09월 18일
- 59lee
- 작성자
- 2022.09.18.:37
WAF(Web Application Firewall)와 일반 방화벽(Firewall)은 네트워크 보안에서 서로 다른 역할을 수행합니다. 여기서 말씀하신 내용을 바탕으로 두 시스템의 차이점을 정리하겠습니다.
WAF (Web Application Firewall)
- 주 목적: 웹 애플리케이션과 관련된 취약점을 보호하고 공격을 방어합니다.
- 보호 대상: 웹 애플리케이션과 웹 서버.
- 초점: SQL 인젝션, 크로스사이트 스크립팅(XSS), 세션 하이재킹 등 웹 애플리케이션 고유의 취약점을 방어합니다.
- OSI 모델: 주로 응용 계층(계층 7)에서 작동합니다.
- 보안 방식: HTTP/HTTPS 트래픽을 모니터링하고 애플리케이션 레벨에서 발생하는 공격을 차단합니다.
일반 방화벽 (Firewall)
- 주 목적: 네트워크를 보호하고 외부로부터의 무단 접근을 차단합니다.
- 보호 대상: 전체 네트워크 시스템.
- 초점: IP 주소, 포트 번호 등을 기반으로 네트워크 트래픽을 필터링합니다.
- OSI 모델: 주로 네트워크 계층(계층 3)에서 작동합니다.
- 보안 방식: IP 주소 및 포트 기반의 규칙을 이용하여 네트워크 트래픽을 제어합니다.
추가 정보 및 자원
- 웹 취약점 학습: PortSwigger Academy를 통해 웹 취약점에 대해 학습할 수 있습니다.
- 실습 서버: 'Free Hacking Zone' 등에서 실제 해킹 실습을 경험할 수 있습니다.
- 개인정보 보호: 각 사이트의 개인정보보호 지침을 읽는 것도 유용합니다.
- 모의해킹과 개인정보 보호: 두 분야는 서로 다른 직무이므로 선택과 집중이 필요합니다.
- JWT 보안 취약점: 클라이언트 사이드에서의 재사용, 약한 시크릿 키 사용 등이 주요 취약점입니다.
결론
- WAF는 웹 애플리케이션의 특정 취약점을 대상으로 하며, 일반 방화벽은 네트워크 전반의 보안을 관리합니다.
- OSI 계층에서 WAF는 주로 응용 계층(계층 7)을, 방화벽은 네트워크 계층(계층 3)을 담당합니다.
- 웹 취약점 학습 및 실습은 웹 보안의 이해를 깊게 하는데 도움이 됩니다.
WAF와 FIREWALL의 차이가 뭐죠?
웹방화벽은 일단 sql 인젝션 같이 웹 취약점에 대한 룰이 더 집중해서 되어 있습니다. 그리고
방화벽은 5튜플 테이블과 패킷의 인과관계를 보고 완전하게 차단할지 안 차단할지 결정하는 거입니다
틀렸어요. 방화벽이 더 넓은 카테고리, waf는 web application firewall이니까 하위 카테고리죠아직 TCP와 HTTP를 잘 이해몬하신듯
L4/L7 로드밸런싱 쉽게 이해하기 (tistory.com)
L4/L7 로드밸런싱 쉽게 이해하기
이번 문서 'L4/L7 로드밸런싱 쉽게 이해하기'와 '서버 부하 분산 쉽게 이해하기', 'L4 스위치 쉽게 이해하기'는 L4/L7 Network Swtich인 'F5 Networks' 장비를 기준으로 설명합니다. Alteon(Radware), Brocade, Ci..
aws-hyoh.tistory.com
https://aws-hyoh.tistory.com/102
L4 스위치 쉽게 이해하기 #8(Health Check / Connection / Sticky)
이번 문서 'L4 스위치 쉽기 이해하기'와 '서버 부하 분산 쉽게 이해하기', 다음에 이어질 문서인 'L4/L7 로드밸런싱 쉽게 이해하기'는 L4/L7 Network Swtich인 'F5 Networks' 장비를 기준으로 설명합니다. Alteo
aws-hyoh.tistory.com
쉽게 말하자면 방화벽은 가장 오래된 정보보호시스템으로 TCP/IP레벨에서 IP/PORT 신뢰 여부를 기준으로 구분해주는 접근제어기반의 보안솔루션, 웹은 웹서버만을 보호하기 위해 설계된 정보보호 시스템이다.
근데 차이점을 딱 하나 집자면 OSI계층에서 방화벽은 네트워크 계층 3 을, 웹방화벽은 응용계층 7을 방어한다고 보면 되즁
추가사항
웹취약점은 포트스웨거 아카데미나 이런거 잡고 한번 쭉 풀어보세요.
블로그에 보니까 저건 진짜 응용패턴에 대해서 하나도 대응이 안됨
포트스웨거 카테고리별로 잡고 꾸준히 풀면 개념 이해하기 좋아요.
https://portswigger.net/web-security
Web Security Academy: Free Online Training from PortSwigger
The Web Security Academy is a free online training center for web application security, brought to you by PortSwigger. Create an account to get started.
portswigger.net
꾸준히 신규 업데이트도 잘되고, 해킹존 가입해서 실 사이트에다 연습(?)도 해보고,
Free Hacking Zone [프리해킹존] 해킹실습서버
현재 페이지에서 당신은 자유이며, 자유롭게 해킹을 시도하며 연습할 수 있습니다. 자유는 타인을 존중하는 것에서 옵니다. 타인을 괴롭히면 언젠간 보복받습니다. * 현재 사용가능한 대표적인
www.stechstar.com
남들 취약점 찾는거보면 어디서 실무에서 취약점 잘 생기는지도 알게되고 좋아요
아니면 법령으로 갈거면 각 주요 사이트 개인정보보호 지침이나 방침들 읽어보는것고 도움됨
방향을 잘 잡아야되요 개인정보보호랑 모의해킹은 직무가 완전 분리되기땜에 선택과 집중이 필요해요
10/5
생일공격은 암호학적 해시충돌을 찾아내는 암호해독 공격
즉 임의로 모인 23명에서 생일이 같은 사람이 있을 확률이 50% 이상이나 된다는 것을 이용한 것임
https://www.aladin.co.kr/shop/UsedShop/wuseditemall.aspx?ItemId=408091 코드북
Scrypt bcrypt pbkdf2 요즘은 사실 이거3개만 다룰수있으면 뭐 사는데 크게 지장없어요
질문
JWT가 가지는 보안적 취약점과 이를 응용한 공격의 종류를 서술하시오
JWT는 많이쓰는데 서버에서 검증을 안하기때문에 클라이언트 사이드에서 사이닝을 새로한다던가, 아니면 시크릿이 너무 부실해서 부르트포스로 시크릿이 뚫려버린다던가, 별생각 안하고쓰면 은근 구멍이 잘나요
JWT토큰을 검증하는게 발행키로 만료일. 유효성 외에도 더 있나보군ㅇ7
'보안컨설팅' 카테고리의 다른 글
팀의 작업 편의성과 법적 요구사항의 균형 (0) 2023.11.22 데브옵스 팀을 활용한 지속적인 개인정보 보호(면접) (0) 2023.11.22 데브옵스 없는 환경에서의 개인정보 보호(면접) (0) 2023.11.22 보안 관제 면접 질문 (0) 2022.10.18 다음글이전글이전 글이 없습니다.댓글