1

Web ServerWeb Server 보안보안

022ITI11 김지원

012ITI18 현수영

원, 현수

웹서버 보안

2

차차

1. 웹 개

2. 웹 취 점

3. 웹 보

4. 웹 전 책

5. 전 상거래 사 트 보

6. OWA 보

7. IISLockDown Tool

8. 웹사 추적 (Squid)

9. Reverse Proxy

10.시스 가 드

원, 현수

웹서버 보안

3

웹웹 개개

1. 웹 개① HTTP 규 원하는 프트웨 , html과 CGI 등 하는 프트웨

② 브라 저 프 그램 해 컨 주고 수 비스 제공

2. 웹 비스 필수HTTP(Hypertext Transfer Protocol)

HTML(HyperText Markup Language)

Web Server/Web Client

3. 웹 동 원

4. 웹 종Apache,IIS(Internet Information Server),NCSA,Netscape,CERN

Internet

Web Server

http://www.ewha.ac.kr

웹 문서Client

WebFile

원, 현수

웹서버 보안

4

웹웹 보보 과과 취 점취 점무결 (비 ) 비스거

사

조,

트 ,

브라 저,

훼 ,

전 시 조

네트워크에 청,

정보 난,

네트워크

정보 출

사 프 스 정 ,

정 청 시스플 ,

스트, 플 ,

DNS 공격 시스 접상

정당한

사 사과조

결과 료 실,

계 상,

든 다 에 한취

정보 실

개 정보 ,해

정상 동 비스 해 사 료조

책 암호화 체크 ,웹 프 시 다 술

1. 원 : 넷 개 ( 라 결제,개 정보)

2. 상 : 시스 체제, 플 프트웨 보 허점

3. 웹 ,

4. 특정 다수 비스 -> 차단 , 접근제 식 수

5. 적 보 , 시스 문제점

원, 현수

웹서버 보안

5

웹웹 보보 문제점문제점1. 상 : 웹 비스 경

2. C G I : 내 에 접근, 수행

3. 상 : Interpreter , 수행 한, 나 접근 한

4. 클라 트 문제

5. 과 연계 문제

6. 상( 체) 문제① Windows NT Netscape Communication 문제

② Windows NT/95 Web site

③ MS IIS 웹

④ NCSA 웹

⑤ Apache 웹

CGI 취 점① 사 에게 스트 정보 출

② 사 실행 가능

보 취 점 CGI nph-test-cgi ,phf, php, finger, web-dist, wrap , view-source, jj, query,

wwwcount, handler, guestbook, websendmail, campas, webgais, Glimpse,

Stronghold, test-cgi, AnyForm, FormMail, Excite, pfdisplay, info2www,

htmlscript

원, 현수

웹서버 보안

6

웹웹 보보 책책

취 점 결과 책

그 www 그 수행, 비스 거공격 가능

신 전

CGI 사 수행

내 열람가능

/cgi-bin/에 취약한 cgi 프 그램 삭제

문제 www 적절한 에 문 접근 www , 시 보 능 강

비스거 공격

SYN Flooding 또는 IIS 그 등 비스 거 공격에 www 비스 해

공격 탐 술 적

스트 원격공격 에 , 시스 루트 한 득

스트 비스 능 삭제, www 비스만

웹 상 취 점 주 사항

① 루트 큐 트 루트 접근 한

② 동 스

③ 심볼 크

④ 사

⑤ 웹 루트 한

원, 현수

웹서버 보안

7

IIS IIS Apache Apache 웹웹 비비IIS 웹 Apache 웹

개 체 Microsoft 웹 픈 스 개 식

사 툴 HTML, ASP, 윈도우용 Perl, C, C++, gcc SSI

HTML, Perl, PHP, C, C++, gcc SSl

사 DB MS-SQL My-SQL, Oracle, etc

보

책

-.최 한 넷 비스 제공

-.IIS 그

(튜닝과 공격 탐 에 적)

-. 샘플 에플 제거

-. RDS 제거

-. 값 점검

-. 접근 한 제한

-. 필 한 CGI 스크 트 제거

-.HTML 문 트

든 필 한 들 제거

-.PUT과 POST 제한

-.헤 정보 숨

RDS (Remote Data Services) : Microsoft Data Access Components 하나로 서비스 공격 나 원격 한로 령 실행할 수 는 취약점 다.

원, 현수

웹서버 보안

8

전 상거래사 트전 상거래사 트 보보 (1)(1)

1. 해① DOS (DDOS)

② 상,

③ 짐

2. 시스① Basic Disjointed

Traffic 단순, 연

저 비 , 최 H/W

Network 보 과 DB보 연계가 루

원, 현수

웹서버 보안

9

전 상거래사 트전 상거래사 트 보보 (2)(2)

2. Filtered Disjointed

3. Application Protection

• 축,문제점 해결

• Firewall:수행능 저하

• Low level Application

Protection

• Network, Application

다 높 보

• Application Filtering

• 프락시 :수행능 향상

• 문제점 해결과

• H/W 초 비 큼

• Filtering 사 : 능 저하

• 전체적 시스 고 개

원, 현수

웹서버 보안

10

OWA OWA 보보 (1)(1)

1. OWA (Outlook Web Access) 2000 개① 처 에 ASP 짠 단순 프 그램 -> ISAPI 비스

② 플랫폼에 적 ( Windows, UNIX, Macintosh 가능 )

③ Web Browser 비스

④ Outlook 2000보다 능 적 나 견고한 제

⑤ IIS Exchange 사 신 다루는 DLL 채택.

⑥ 엔드 에 davex.dll , 프 트엔드 에 exprox.dll

⑦ Exchange 2000 시 동

2. OWA 본

ISAPI[아 사피]는 CGI 보다 빠 게 실행 는 웹서버 프로그램 성할 수 록 해주는 련 프로그램 호출 다.

원, 현수

웹서버 보안

11

OWA OWA 보보 (2)(2)

3. OWA 키 처

4. OWA가 보① 프런트 엔드

② Window 2000 시 주 점

든 티 : NTFS

TCP/IP 프 만 시키고

Netbios 비

File과 프 공

. Exchange 2000 능 IIS에 실행

. ISAPI필 : IIS 청 Exchange 청

-> davex.dll 나exprox.dll 에게 전달

. davex.dll EXIPC를 통해 실행 -> IIS프 스 실행

. 접 프런트 엔드 exprox.dll 엔드

를 찾아 사 청 정보를 건

NTFS(NT file system ) 암호화가 계속적 로 다

원, 현수

웹서버 보안

12

IISLockdown Tool to IIS (1)IISLockdown Tool to IIS (1)

1. IISLockdown 개① 2001년 8월 동 사

② IIS에 폴트 능 사 하 는 비스 제거

③ File 미 수정

④ Registry setting 수정

⑤ 공격에 취 점 는 application 제거

2. IIS 취 점

최근에 Sadmin/IIS,CodeRed I & Ⅱ, Nimda

원, 현수

웹서버 보안

13

IISLockdown Tool to IIS (2)IISLockdown Tool to IIS (2)

3. 순

View Option 비스 택 Script Maps 제거( 래 View Template setting 에 체크)

가적 보 정 URLScan option 정

원, 현수

웹서버 보안

14

웹웹 사사 추적추적: Squid (1): Squid (1)

1. 추적 적적 무처 웹개 해 사 웹 습

2. Checkpoint Firewall 사 과 문제점

한계 해 사 웹 습 적 처 하 에 적합

원, 현수

웹서버 보안

15

웹웹 사사 추적추적: Squid (2): Squid (2)

3. Squid Squid 는 Open Source Solution 눅스에 돌 가는 무료 툴 다.

①

. Apache, openSSl: 단 눗스

. Application

-. Squid Web Cache Proxy

-. Apache htpasswd

(username/password) utility

-. SARG

(Squid Analysis report Generator)

. Squid 가 NIC에 물 고

network 에 웹 ,

. 네트워크주 한다고 가정

원, 현수

웹서버 보안

16

웹웹 사사 추적추적: Squid (3): Squid (3)

4.① 다 Squid rpm 프 에 저 한다 실행시

② PORT 경 : Squid는 폴트 3128TCP포트에 는 8080 꿈

③ 프럭시 setup 해 프 그램 사 할 것 가 정

④ ACL추가

원, 현수

웹서버 보안

17

웹웹 사사 추적추적: Squid (4): Squid (4)

5. SARG 포트

1 Monitoring 약

User별 약 User별 상세 내역

원, 현수

웹서버 보안

18

Reverse Proxy (1)Reverse Proxy (1)

1. 능① 넷 싱 웹 동 한 곳에

② HTTP 엔드 사

③ 특정 다수가 내 웹 접 시 신 비스 제공

④ Traffic 하 감 시키고 과적 content delivery 제공

2. 점과 단점

점

-. 클라 트가 Http 웹 에 single point access함

-. HTTP 공격 시 한 개 보 게

-. 엔드 꾸거나 스트 네 꾸 가 쉽다.

-. 견상 하나 보 는 시스 에 다 Os에 돌 가는 다 한 Application 처 능

-. 사 내 사 가 동 한 사 하므 H/W비 수 다.

-. 엔드 타 스 노출시키 전 높 다.

단점

-. Reverse Proxy 공격 공 -> HTTP 내 조 -> , 내 network 공격 가능

-. Reverse Proxy 간 저하

-. HTTP 프 공격 는 숨 수 다.

원, 현수

웹서버 보안

19

Reverse Proxy (2)Reverse Proxy (2)

2.

-- 성1 --

-. HTTP서버는 방화벽 내 에 놓고 Proxy는 DMZ에 놓는다.

-. Site www.mysite.com , 실제 IP address는 198.162.0.1

-. Ste NAT address는 Reverse Proxy Address 로 함

-. Firewall 내 서버는 myserver.mysite.com 고

NAT addr는 10.100.0.1 고 IP addr 는 198.162.10.1

-. 80번 포트 열어 놓고 든 80번 트레픽

198.162.0.1 로 forwarding 시킴

-- 보안 해 --

-. 든 서버 참조가 NAT 주소로 루어 게 해야 함

-. 방화벽 setting 시 든 HTTP트래픽 Reverse Proxy 로

통하게 해서 단 점에서 트래픽 감시하 록 함

-. Reverse Proxy wild 한 터넷에 알

-- 성2 --

-. HTTP server Reverse server가 DMZ에 놓

-. HTTP 백엔드 서버 주소 NAT로 한다.

-. Reverse Proxy로 청 접 백엔드 서버로 보낸다.

-. Network 내 가 전히 -> 공격 가 내 알 어렵다

-. 단점: HTTP 서버 process 내 서버에 동시 복제해야

-. 서버 : H/W, , 등 비 높

NAT : 공 IP 주 만 알 지게 하고, 내 에 는 사 IP 주 만 사 하여 필 시에 변환한다. 라 가공격하 해 는 사 망 내 사 IP 주 를 알아야 하 문에 공격 가능해지므 내 트워크를 보호할 수 다.

1

원, 현수

웹서버 보안

20

시스시스 가 드가 드 (1)(1)

1. 개 과 상① 개 계 단계 보 ,

② 원접근 (SQL server, Directory Services, files, UNC shares ) 협

2. 보 초

① OS 전하게필 한 비스나 비스 제거 (IIS 과정 꼭 필 )

가 닌 경 NSA에 2000 보 set 제공

② IIS 전하게 한다IISLockdown

( 전 스트 경에 보 사항 체크해 함)

웹 사 트 할 것 할 것 고 한다.

스크상 전체 pages를 암호화하는 것도 가능하다.

③ DNS 보 전략 다..해당 site DNS host는 누가? : NSA site에 2000 DNS 보 가 드

리눅스 BIND 보안 정 :

( www.linuxsecurity.com/resource files/server security/bind-8.x.txt )

NSA : National Security Agency

원, 현수

웹서버 보안

21

시스시스 가 드가 드 (2)(2)

3. 엔드 보전 상거래 사 심 동적 사 트 : 엔드 보 가

① SQL DB 보 사항DMZ에 놓거나 web application과 같 에 는가?

web application과 다 무슨 프 사 하는가?

시 IIS SQL 사 에 Window2000 IPSec 사 고 하는가?

• 적절한가? (웹 접근 허 , 다 접근 허)

• 타 스 접근에 한 타 ?

• MS SQl경 : NT 나 NT SQl 합 사

② 비스 과 SQL 플 트• Kaiten, W32/Voyager,W32/cblade.worm 스워드 blank ID sa 가 상

• 스워드 blank ID sa 경 접근 제한

③ 정보는 에 는가?• Hidden HTML 태그나 URL Querystring에 그 나타난다.

• global.asa 에 DB연결 플 정 하고 다.

• IIS metabase나 Registry에 보 하는 것 global.asa 보다 전하다.

• Registry에 보 하는 것 COM+ 개체가 필 하다.

④ DB 미 ?• 한만

• 그 만 ,쓰 한 여

원, 현수

웹서버 보안

22

시스시스 가 드가 드 (3)(3)

4. COM+ 보 과

① COM+ 개

COM+ (Microsoft Component Object Model) 는 빈처럼

Microsoft Transaction server, Microsoft Message Queue server, MicrosoftDistributed Transaction Coordinator등 다 한 비스상 연게 는 제공한다.

COM+ 체가 보 갖고 다.

COM+ 개체 MMC 에 함 (IIS에 함)

② 가 COM+ application 사 시 고 사항

Security ( Declarative security, Programmatic security )

COM+ 비스나 application, 시스 에 접근하는가?

(최 접근)

COM+ application 스트 헀나? ( 플 에러 나 쉬 )

MMC(Microsoft Management Console)는 콘솔 라는 만들고 저 하고 여는

원, 현수

웹서버 보안

23

결결

1 보 웹 단순한 만 끝나 는다.

2. 네트워크 , 웹 스천 스트 축,

전한 웹 축 , 보 한 보 강 해

적 웹 보 보다 높 보 경 축할 수 다

3. 개 시스 한 상 하 개 루 져한다.

4. 새 보 사고 에 처하 해 노 해 한다.