HTTP 기반 애플리케이션 방화벽 정책 분석

Source

• Evernote/Inbox/Analysis of Application-Layer Filtering Policies With Application to HTTP.md

Summary

네트워크 방화벽으로 해결되지 않는 HTTP 등 상위 계층 프로토콜 공격을 차단하기 위해 애플리케이션 방화벽이 중요해지고 있다. 그러나 설정 오류는 보안과 가용성에 치명적임에도 불구하고, 설정의 정확성과 일관성을 분석하는 기술이 부재했다. 본 논문은 패킷 필터 분석 모델을 확장하여 애플리케이션 방화벽 정책의 이상(anomaly)을 분석하는 방법을 제시한다. 이를 통해 규칙 쌍(rule-pair) 및 다중 규칙(multirule) 간의 충돌이나 비최적 설정을 감지할 수 있다. 제안된 모델은 Squid 웹 캐싱 프록시의 기능에 대해 검증되었으며, 구현된 도구는 다양한 시나리오에서 양호한 성능을 보였다.

Key Points

• 애플리케이션 방화벽 설정 오류는 서비스 보안 및 가용성에 큰 영향을 미치나, 기존에는 설정 검증 기술이 부족함.
• 패킷 필터 분석 모델을 애플리케이션 계층(HTTP 등)으로 확장하여 정책 이상(anomaly)을 분석.
• 규칙 간 충돌(conflicting) 및 비최적(suboptimal) 구성을 감지하여 설정의 정확성과 일관성 향상.
• Squid 웹 캐싱 프록시를 대상으로 모델의 표현력(expressiveness) 검증 및 도구 성능 테스트 완료.

Related

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 웹 서비스의 테스트 기반 보안 인증 체계

• 카카오 블라인드 공채 플랫폼 취약점 분석 (2017)

• 콘텐츠 중심 네트워킹(CCN)의 네트워크 계층 신뢰 관리

• Kurento WebRTC PaaS의 인증, 인가 및 회계 보안 모델 분석

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)

• WebKit의 웹표준 구현 현황 (2011)

• 웹 애플리케이션 모델 저장소의 텍스트 및 내용 기반 검색

• 봇넷 연구의 라이프사이클 기반 분류 및 서베이

• FSR: 안전한 인터도메인 라우팅을 위한 형식 분석 및 구현 툴킷

• Kinect 기반 고객 쇼핑 행동 분석 도구

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• 모바일 학습(m-learning) 애플리케이션 및 기술의 현황 분석

• 나쁜 인증 시도 방어하기 (1 편)

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• 실용적인 HTTP Host 헤더 공격

• 웹 기반 실시간 통신 보안 (WebRTC)

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• CAMP: Content-Agnostic Malware Protection

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• 웹 서비스에서의 마이크로컴퓨테이션 기반 마이크로페이먼트

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Python 기반 IoT 솔루션의 신속한 프로토타이핑

• 웹 기반 연산 오프로딩 및 상태 시리얼라이제이션 연구 동향

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• Etsy의 비판 없는 사후 분석 (Blameless Postmortem)

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• 검색만으로도 해킹에 노출된 청소년들

• 모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)

• 니들이 해킹을 알어? - 1부 (디스이즈게임 연재)

• CSRF)

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• DDoS 공격 시각화: VideoLAN 사례

• 알람 시계 분해 및 회로 분석

• 미국 침입자 사살 허용설 반박

• 맷 호난(Mat Honan) 아이클라우드 해킹 사건 분석

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• 어나니머스 코리아 실체 논란 및 보안 전문가의 비판

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• Rustle League, Anonymous 관련 계정 해킹

• Please don’t use these passwords. Sincerely, the Internet

• xHelper Android 악성코드: 공장 초기화에도 제거 불가

• 중국 해킹툴 관련 사이트 목록 (2007)

• WPA)

• Authentication at Scale

• Rogue Femtocell Owners: How Mallory Can Monitor My Devices

• 스카이프, 웹 기반 통화 시장에 진출 (2013)

• Cube Slam: WebRTC 기반 실시간 브라우저 게임

• Chromecast 의 설계상 보안 한계

• 엔씨소프트: 공개SW 기반 GFIS를 통한 게임 부정행위 탐지

• 웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구

• APT(지능형 지속 위협) 개요 및 주요 사례

• S-links: 분산 보안 정책과 안전한 소개(Secure Introduction)

• WebRTC 브라우저 간 보안 보장

• 청각 불가청음을 이용한 에어갭 점프 멀웨어

• 분산 구성 문제의 모델링 및 해결: CSP 기반 접근법

• 만화로 보는 DNS over HTTPS (DoH) 소개

• 드론을 위한 엣지 기반 실시간 비디오 분석

• 3: UDP 기반 전송 프로토콜의 등장 배경

• 분산형 평판 기반 신뢰 모델링 (초기 거래용)

• JSWhiz: JavaScript 메모리 누수 정적 분석 도구

• YouTube 영화 리뷰의 오디오-비주얼 맥락 기반 감정 분석

• SSL 의 6 가지 주요 보안 약점 (2014 년 기준)

• 2015 년 최악의 비밀번호 목록 및 보안 권고사항

• Docker 네트워크 기초 및 k8s 네트워크 분석

• BGP 대체 필요성 재고 및 정책 중심 설계 이해

• 일본 LINE 사용자 이용 패턴 분석 (2013)

• Developers don’t understand CORS

• 아두이노 기반 모기 퇴치기

• 오프라인 웹 애플리케이션 만들기 (Mozilla 웹 기술 블로그)

• Drop Messages: 위치 기반 메시지 알림 서비스

• WebRTC 보안 아키텍처와 호환되지 않는 신원 프로토콜의 적응 방안