인터넷 정보 서비스 보안 설정

Download Report

Transcript 인터넷 정보 서비스 보안 설정 

인터넷 정보 서비스 보안 설정
2008. 03. 12.
부산IT직업전문학교
성명건
목차
 IIS 설치
 기본설정
 웹사이트 생성
 ASP.NET 설정
 보안설정
인터넷 정보 서비스(IIS) 설치
 설치방법
– 프로그램 추가/제거 → Windows 구성요소 추가/제거에 구성요소
마법사를 실행
IIS 구성요소
 인터넷 정보 서비스 스냅인
–File Transfer Protocol(FTP) 서버 : 일반 FTP와 같은 역할을 함
–FrontPage 2000 Server Extensions : 웹 서버 동작 시에 FrontPage를
사용할 수 있게 하기 위한 구성요소. 일반적인 경우에는 사용하지
않고, 취약점이 많은 구성요소
–NNTP Service : 마이크로소프트의 뉴스 서비스를 이용 시 사용
–SMTP Service : 메일 전송 시 사용. 설치할 때는 적절한 보안 설정이
필요함
기본 설정 제거
 기본 설정 제거방법
기본 설정 제거
 기본 웹사이트 삭제
–C:\Inetpub 폴더를 삭제해줌
 가상 디렉토리 및 하위 디렉토리 삭제
–C:\WINDOWS\Help\iisHelp
–C:\WINDOWS\Web\printers
웹 사이트 생성
 새로운 Web 사이트를 생성
웹 사이트 생성
 웹사이트의 이름과 IP, 포트 설정
웹 사이트 생성
 홈 디렉토리 및 권한 설정
기본 문서 설정
 URL(Uniform Resource Locator)
–웹사이트에 접근했을 때 기본으로 선택되어지는 웹 문서
–IIS의 경우에는 ‘Default.htm'과 ’Default.asp'가 기본 문서로 설정됨.
사용하지 않는 기본 문서는 제거해주는 것이 좋음
.NET Framework 2.0 설치
 다운로드 후 설치
–http://www.microsoft.com/ko/kr/default.aspx 에서 .NET
Framework 2.0로 검색 dotnetfx.exe 파일 다운로드
–http://www.microsoft.com/downloads/details.aspx?disp
laylang=ko&FamilyID=0856eacb-4362-4b0d-8eddaab15c5e04f5
ASP.NET 설정
 ASP.NET 탭 확인
–.NET Framework 버전 확인
ASP.NET 설정
 재설정
–시작 → 프로그램 → Microsoft .NET Framework SDK v2.0 → SDK 명
령 프롬프트
실행 권한 설정
 홈 디렉토리
–‘쓰기’ 권한은 파일이 업로드되어 저장되는 디렉토리 이외에는 절대
로 설정되어 있어서는 안 된다.
실행 권한 설정
 ‘디렉토리 검색’
–디렉토리 리스팅을 가능하게 하기 때문에 체크되어 있어서는 안 된
다.
–실행권한’의 경우 ‘없음’ 또는 ‘스크립트’로만 되어 있어야 하며, ‘실
행(스크립트)’ 포함으로 되어 있을 경우 임의의 실행 파일을 웹 서버
에서 구동시킬 수 있으므로 선택해서는 안 된다.
스크립트 매핑과 메소드 설정
 응용 프로그램 구성
–IIS서버에 실행될 수 있는 확장자인 asp, aspx, asa, asax, shtml 등의
실행 설정
–‘동사’ 컬럼에서는 실행될 수 있는 HTTP 메소드가 정의되어 있음을
확인 후 필요없는 메소드는 제거
접근제어의 설정
 디렉토리 보안
–웹 페이지에 대한 접근에 대한 일반 사항을 설정
웹 서버 운영자 설정
 Administrator (X)
–웹 관리자 계정을 Administrators 그룹으로 생성하는 것은 불필요한
권한을 줄 수 있어 바람직하지 못한 결과를 초래할 수 있음
–IIS 6.0에서는 웹 관리자 계정(일반적으로 IUSR_XXX)로 보통 생성되
어 사용할 수 있음
사용자 정의 오류 설정
 보통 기본대로 사용
–그대로 두어도 큰 문제는 없으나, 회사의 정책이나 경고문을 각각의
오류 페이지의 용도에 맞게 바꿀 수도 있음
사용자 정의 HTTP헤더 설정
 기본대로 사용 권장
–ASP.NET의 경우 자동 지정됨 / 현재 IIS버전에서 지원하지 않는
HTML 규격에 지원되지 않는 지시 사항을 보내는데 사용
웹 서버 시스템의 보안 설정
 별도의 서비스와 분리
–불필요한 공유, 불필요한 서비스 등과 분리하는 게 최상
–시스템 권한은 IIS 프로세스가 IIS 서비스 중인 운영체제에 접근할
수 없도록 함
웹 서버 시스템의 보안 설정
 Cacls를 이용한 권한 확인 및 변경
–권한 설정은 윈도우에서 하는 게 편함
웹 서버 시스템의 보안 설정
 해킹에 이용되기 쉬운 시스템 파일
arp.exe
at.exe
cmd.exe
edit.com
edlin.exe
finger.exe
ftp.exe
ipconfig.exe
net.exe
netstat.exe
nslookup.exe
ping.exe
qbasic.exe
rcp.exe
regedit.exe
regedt32.exe
rexec.exe
route.exe
runas.exe
rsh.exe
syskey.exe
telnet.exe
tracert.exe
tftp.exe
xcopy.exe
로그 관리
 로그파일
–C:\WINDOWS\system32\LogFiles