2007~2011/IIS2010.11.22 15:36

오늘부터 시작하는 Chapter 4에서는 IIS 7 의 보안과 관련된 주제로 포스팅을 이어갈 계획입니다. 

웹 서버를 운영하는 경우 일반적으로 잘 알려진 DOS(Denial-of-Service) 공격, 취약점을 노린 권한 상승 공격, 스니핑 등의 외부 위험 요소에 노출될 수 있습니다. 우리는 이러한 공격으로부터 보호받기 위해 IIS 가 설치된 Windows Server 컴퓨터의 보안, 서버가 위치한 네트워크 인프라 환경, 그리고 IIS 보안 기능을 사용한 다양한 보안 정책을 수립하는 것이 필요합니다. 

Windows Server 2008 환경에서는 보안과 관련하여 IPsec, NAP(Network Access Protection), Active Directory Federation Services 등을 제공하며 앞으로 살펴볼 IIS 7 의 향상된 보안 기능과 함께 사용하여 위험 요소로부터 보호할 수 있습니다. 

IIS 보안에도 인증, 권한부여, 인증서, ISAPI 와 CGI 제한, SSL, HTTP 필터, 역할, 트러스트 레벨 등 알아야 할 게 너무 많습니다만 Chapter 4 에서는 IIS 의 보안과 관련된 주요 몇 가지 기능에 대해서 살펴보고 예제를 통해 테스트를 해 보도록 하겠습니다. 


참고로 Microsoft Security TechCenter 웹 사이트를 통해서 Microsoft 제품에 대한 최신 보안 정보와 보안을 위한 다양한 가이드라인을 제공하고 있으니 아래 링크를 참조해 보시기 바랍니다.
http://technet.microsoft.com/ko-kr/security/default.aspx 


이번 시간에 설명 드릴 IIS 의 보안 기능 중 첫 번째는 "IP 주소 및 도메인 제한 사항" 기능입니다. 이름에서 알 수 있듯이 지정된 IP Address (또는 대역)와 도메인 이름에 대해서 웹 서버 접근을 허용하거나 거부할 수 있는 기능을 제공합니다. 



[IP 주소 및 도메인 제한] 
IP 주소 및 도메인 제한 기능을 설치하고 테스트를 통해 기능에 대해서 살펴 보도록 하겠습니다. 

1. 기능 설치
 가. Windows Server 2008 R2 
 서버 관리자 - 역할 - 웹 서버 - 웹 서버 역할 서비스 추가 - 웹 IP 및 도메인 제한 사항 선택 

나. Windows 7 (영문)
Control panel - Program - Turn Windows features on or off - Internet Information Services - World Wide Web Services - Security - IP Security 

설치가 완료되면 IIS 정보 관리자에서 아래와 같이 'IP 주소 및 도메인 제한' 기능이 추가된 것을 확인할 수 있습니다. 



2. 기본 정책 설정
 가. 기본값으로 지정되지 않은 클라이언트에 대한 액세스를 '허용' 할 것인지 또는 '거부' 할 것인지 결정할 수 있습니다. (기본값은 허용)
 나. IIS 관리자 - IP 주소 및 도메인 제한 - 기본 설정 편집


 다. 기본 정책으로 '거부'를 선택한다면 '허용 항목 추가'를 하기 전엔 모든 액세스를 차단하게 됩니다.
 라. '도메인 이름으로 제한 사용' 옵션을 사용할 경우 DNS 에 역방향 조회가 설정되어 있어야 하며 역방향 조회는 서버의 성능에 영향을 미칠 수 있습니다.
 마. 정책이나 제한 설정은 변경 즉시 반영됩니다. (서비스 재시작 필요 없음) 



3. 규칙 제한 설정
 가. IP 주소 거부 설정
  1) 기본값은 지정되지 않은 클라이언트에 대한 액세스가 '허용' 되어 있으므로 아래와 같이 로컬호스트에 정상적으로 액세스가 가능합니다. 

 
  
2) IP 주소 및 도메인 제한 - 거부 항목 추가 - 특정 IP 주소 : 127.0.0.1 등록 


설정은 즉시 반영되며 아래와 '새로고침' 하였을 때 아래와 같이 접속이 차단되었음을 확인할 수 있습니다. 



4. 규칙 우선 순위
중복된 IP 대역에 대해서 '허용'과 '거부'를 동시에 등록하면 어떻게 규칙이 반영될까요? 결론부터 알려 드리면 우선 순위에 영향을 받습니다. NTFS 파일시스템 권한처럼 '거부' 설정이 무조건 적용되지 않습니다. 아래 시나리오를 통해 확인할 수 있습니다. 

 
가. 중복된 IP 대역 규칙 생성
  1) 거부 : 127.0.0.1
  2) 허용 : 127.0.0.0 (mask : 255.0.0.0) 

 
 
나. 우선 순위 설정 
  1) 작업 - 정렬된 목록 보기 


  2) 앞서 생성한 허용 또는 거부 규칙에 대해서 '위', '아래' 이동 메뉴를 사용하여 규칙 우선 순위를 부여할 수 있습니다.
  3) 중복된 IP 대역인 경우 '허용' 이 상위에 있을 경우 '거부' 규칙에 등록되어 있을지라도 우선순위가 높기 때문에 해당 클라이언트 IP 주소에서 제한 없이 액세스가 가능합니다. 


이와 같이 IP 주소 및 도메인 제한 기능을 사용할 경우 각각의 웹 사이트별 규칙을 적용할 수 있습니다. FTP 는 이 기능과 상관없이 'FTP IPv4 주소 및 도메인 제한' 기능을 사용하여 규칙을 생성할 수 있습니다.


작성자 : Lai Go / 작성일자 : 2010.11.22

Posted by Lai Go