시스템/Windows Server

Windows IIS6.0 보안 서비스 강화 설정하기

달빛궁전- 2012. 8. 8. 10:11

회사에서 CMS리포트를 작성하기 위해 만든 것입니다.

IIS로 웹 사이트를 운영하시는 분은 참고해 보시면 좋으실 겁니다.

- 불펌은 절대 금지입니다~!

 

  1. 문서 설정 항목에서 이용하지 않는 기본 페이지 제거

초기 설정시 IIS는 Default.htm / Default.asp등 기본페이지로 설정되어있습니다.

추측성 공격을 피하기 위해 실제 메인 페이지로 사용하는 것 외에는 제거시켜주시는 것이 좋습니다.

 

  1. 오류 발생시 IIS에서 응답하는 기본 에러 페이지를 수정 해보자

흔히 인터넷 페이지가 열리지 않으면, 응답코드로 HTTP 400 / 500 응답코드 에러 메시지가 나오게 됩니다.

 

400 응답코드는 클라이언트가 잘못된 요청을 하여 발생합니다 하지만, 500 응답코드는 서버 자체의 문제로 에러코드 메시지로 서버의 정보를 유추할 수 있습니다..

에러 페이지만으로 웹 응용 프로그램 재실행 중임을 알 수 있습니다.

 

이를 방지하기 위해 별도 에러페이지를 작성하여, 교체해 주시는 것이 좋습니다.

교체 방법은 다음과 같습니다.

사용자 지정 오류 탭으로 이동합니다.

 

사용자 지정 오류 탭으로 이동하여, 500응답코드 에러를 선택하시고, 편집선택 후 에러페이지를 작성한 경로를 지정합니다.

 

  1. 확장자별로 실행 가능한 응용 프로그램에서 사용하지 않는 응용 프로그램은 삭제하자

 

IIS에서 홈 디렉토리 탭을 선택합니다.

실행 권한 부분에서 구성을 선택합니다.

 

프로그램을 매핑 할 수 있는 설정 창 입니다.

사용하는 확장자명 (ex: .asp, .php .aspx, ,asa) 을 제외한 것들은 삭제합니다.

사용하지 않는 것 외에 불필요한 파일을 실행방지하기 위한 방법 입니다.

.

절대 경로 사용시에 보안 방법 입니다.

 

Windows 2000에서는 부모경로사용 부분이 활성화 되어있었으나, windows 2003 IIS6.0부터 기본 설정이 비활성화로 되어있습니다.

웹사이트 개발시 상대경로로 개발하시면, 체크를 하셔야 정상동작 되며, 만약 절대경로로 개발하셨다면 체크를 해지해 주시는 것이 좋습니다.

절대경로로 개발 후 부모경로를 사용하게 되면, 웹상에서 디렉토리를 볼 수 있습니다.

 

디렉토리 검색 체크 해제를 통한 보안 방법 입니다.

 

위치는 홈 디렉터리에 있으며, 기본으로 체크가 해지되어 있습니다.

 

디렉터리 검색에 체크가 되어있다면, 위 그림과 같이 경로를 입력하는 것만으로도 사이트에 있는 파일 목록을 모두 볼 수 있습니다.

 

위험한 이유는 구글, bing과 같은 검색엔진 봇이 기본적으로 모두 검색을 하는데,

이때 검색엔진을 거부하는 robots.txt파일이 설정되어 있지 않으면 검색결과로 보여지고, 웹 사이트의 구조 및 파일의 다운로드도 가능하게 됩니다.

 

  1. 업로드 폴더에 대해서는 실행 권한을 제거하자

 

업로드 폴더는 다른 서비스 폴더와 다르게, 자료 첨부를 위해 사용자들에게 쓰기 권한이 필요합니다.

실행권한이 있으면, 쉽게 웹셀 등을 이용한 해킹의 위협이 많은 곳입니다.

Upload폴더에서 속성을 선택하여 주시고, 빨간색 박스로 되어있는 실행 권한 부분에서 없음을 선택하면, Upload 폴더 에서의 실행은 불가 합니다.

 

  1. IP접근제한을 통해 일반 사용자가 접근하지 말아야 할 페이지(관리자 페이지)에 대해 제한하기

관리를 위한 페이지는 IP제한을 통해 보안을 강화할 수 있습니다.

관리자 페이지가 있는 폴더에서 속성을 선택합니다.

디렉토리 보안 탭에서 IP주소 및 도메인 이름제한 편집을 선택합니다.

 

위와 같이 엑세스 허가에서 엑세스 거부로 선택하고, 관리할 IP를 추가하면, 해당IP외에는 관리페이지가 접근 불가 합니다.

 

  1. 로그파일 기록 위치 변경하기

로그는 해킹을 당했더라도 어디에서 들어왔는지, 정보를 알게 해주는 단서 입니다.

웹사이트 탭에서 빨간 박스로 체크되어 있는 속성을 선택합니다.

 

위와 같이 기본적으로 %systemroot%system32로 지정이 되어있습니다.

경로를 알기 쉽도록 다른 곳에 지정합니다. 웹서비스가 운영되는 디렉토리 하위에 있는 것을 추천 드립니다.

저작자표시 비영리 변경금지

'시스템 > Windows Server' 카테고리의 다른 글

Windows Performance Recorder  (0) 2020.10.25
IIS 구성정보 백업/복구 이전하기  (1) 2010.03.30
MS 원격보안점검 Tool (Microsoft Baseline Security analyzer)  (0) 2009.12.21
Windows System Utility (1) Process Explorer  (0) 2009.12.16
Windows Secpol을 이용한 보안 방법  (2) 2009.12.06
WindowsServer - 2  (0) 2008.10.16
WindowsServer 2003 - 1  (0) 2008.10.15

'시스템/Windows Server'의 다른글

  • 현재글Windows IIS6.0 보안 서비스 강화 설정하기

관련글

댓글

티스토리툴바