Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
Web ServerWeb Server 보안보안
022ITI11 김지원
012ITI18 현수영
원, 현수
웹서버 보안
2
차차
1. 웹 개
2. 웹 취 점
3. 웹 보
4. 웹 전 책
5. 전 상거래 사 트 보
6. OWA 보
7. IISLockDown Tool
8. 웹사 추적 (Squid)
9. Reverse Proxy
10.시스 가 드
원, 현수
웹서버 보안
3
웹웹 개개
1. 웹 개① HTTP 규 원하는 프트웨 , html과 CGI 등 하는 프트웨
② 브라 저 프 그램 해 컨 주고 수 비스 제공
2. 웹 비스 필수HTTP(Hypertext Transfer Protocol)
HTML(HyperText Markup Language)
Web Server/Web Client
3. 웹 동 원
4. 웹 종Apache,IIS(Internet Information Server),NCSA,Netscape,CERN
Internet
Web Server
http://www.ewha.ac.kr
웹 문서Client
WebFile
원, 현수
웹서버 보안
4
웹웹 보보 과과 취 점취 점무결 (비 ) 비스거
사
조,
트 ,
브라 저,
훼 ,
전 시 조
네트워크에 청,
정보 난,
네트워크
정보 출
사 프 스 정 ,
정 청 시스플 ,
스트, 플 ,
DNS 공격 시스 접상
정당한
사 사과조
결과 료 실,
계 상,
든 다 에 한취
정보 실
개 정보 ,해
정상 동 비스 해 사 료조
책 암호화 체크 ,웹 프 시 다 술
1. 원 : 넷 개 ( 라 결제,개 정보)
2. 상 : 시스 체제, 플 프트웨 보 허점
3. 웹 ,
4. 특정 다수 비스 -> 차단 , 접근제 식 수
5. 적 보 , 시스 문제점
원, 현수
웹서버 보안
5
웹웹 보보 문제점문제점1. 상 : 웹 비스 경
2. C G I : 내 에 접근, 수행
3. 상 : Interpreter , 수행 한, 나 접근 한
4. 클라 트 문제
5. 과 연계 문제
6. 상( 체) 문제① Windows NT Netscape Communication 문제
② Windows NT/95 Web site
③ MS IIS 웹
④ NCSA 웹
⑤ Apache 웹
CGI 취 점① 사 에게 스트 정보 출
② 사 실행 가능
보 취 점 CGI nph-test-cgi ,phf, php, finger, web-dist, wrap , view-source, jj, query,
wwwcount, handler, guestbook, websendmail, campas, webgais, Glimpse,
Stronghold, test-cgi, AnyForm, FormMail, Excite, pfdisplay, info2www,
htmlscript
원, 현수
웹서버 보안
6
웹웹 보보 책책
취 점 결과 책
그 www 그 수행, 비스 거공격 가능
신 전
CGI 사 수행
내 열람가능
/cgi-bin/에 취약한 cgi 프 그램 삭제
문제 www 적절한 에 문 접근 www , 시 보 능 강
비스거 공격
SYN Flooding 또는 IIS 그 등 비스 거 공격에 www 비스 해
공격 탐 술 적
스트 원격공격 에 , 시스 루트 한 득
스트 비스 능 삭제, www 비스만
웹 상 취 점 주 사항
① 루트 큐 트 루트 접근 한
② 동 스
③ 심볼 크
④ 사
⑤ 웹 루트 한
원, 현수
웹서버 보안
7
IIS IIS Apache Apache 웹웹 비비IIS 웹 Apache 웹
개 체 Microsoft 웹 픈 스 개 식
사 툴 HTML, ASP, 윈도우용 Perl, C, C++, gcc SSI
HTML, Perl, PHP, C, C++, gcc SSl
사 DB MS-SQL My-SQL, Oracle, etc
보
책
-.최 한 넷 비스 제공
-.IIS 그
(튜닝과 공격 탐 에 적)
-. 샘플 에플 제거
-. RDS 제거
-. 값 점검
-. 접근 한 제한
-. 필 한 CGI 스크 트 제거
-.HTML 문 트
든 필 한 들 제거
-.PUT과 POST 제한
-.헤 정보 숨
RDS (Remote Data Services) : Microsoft Data Access Components 하나로 서비스 공격 나 원격 한로 령 실행할 수 는 취약점 다.
원, 현수
웹서버 보안
8
전 상거래사 트전 상거래사 트 보보 (1)(1)
1. 해① DOS (DDOS)
② 상,
③ 짐
2. 시스① Basic Disjointed
Traffic 단순, 연
저 비 , 최 H/W
Network 보 과 DB보 연계가 루
원, 현수
웹서버 보안
9
전 상거래사 트전 상거래사 트 보보 (2)(2)
2. Filtered Disjointed
3. Application Protection
• 축,문제점 해결
• Firewall:수행능 저하
• Low level Application
Protection
• Network, Application
다 높 보
• Application Filtering
• 프락시 :수행능 향상
• 문제점 해결과
• H/W 초 비 큼
• Filtering 사 : 능 저하
• 전체적 시스 고 개
원, 현수
웹서버 보안
10
OWA OWA 보보 (1)(1)
1. OWA (Outlook Web Access) 2000 개① 처 에 ASP 짠 단순 프 그램 -> ISAPI 비스
② 플랫폼에 적 ( Windows, UNIX, Macintosh 가능 )
③ Web Browser 비스
④ Outlook 2000보다 능 적 나 견고한 제
⑤ IIS Exchange 사 신 다루는 DLL 채택.
⑥ 엔드 에 davex.dll , 프 트엔드 에 exprox.dll
⑦ Exchange 2000 시 동
2. OWA 본
ISAPI[아 사피]는 CGI 보다 빠 게 실행 는 웹서버 프로그램 성할 수 록 해주는 련 프로그램 호출 다.
원, 현수
웹서버 보안
11
OWA OWA 보보 (2)(2)
3. OWA 키 처
4. OWA가 보① 프런트 엔드
② Window 2000 시 주 점
든 티 : NTFS
TCP/IP 프 만 시키고
Netbios 비
File과 프 공
. Exchange 2000 능 IIS에 실행
. ISAPI필 : IIS 청 Exchange 청
-> davex.dll 나exprox.dll 에게 전달
. davex.dll EXIPC를 통해 실행 -> IIS프 스 실행
. 접 프런트 엔드 exprox.dll 엔드
를 찾아 사 청 정보를 건
NTFS(NT file system ) 암호화가 계속적 로 다
원, 현수
웹서버 보안
12
IISLockdown Tool to IIS (1)IISLockdown Tool to IIS (1)
1. IISLockdown 개① 2001년 8월 동 사
② IIS에 폴트 능 사 하 는 비스 제거
③ File 미 수정
④ Registry setting 수정
⑤ 공격에 취 점 는 application 제거
2. IIS 취 점
최근에 Sadmin/IIS,CodeRed I & Ⅱ, Nimda
원, 현수
웹서버 보안
13
IISLockdown Tool to IIS (2)IISLockdown Tool to IIS (2)
3. 순
View Option 비스 택 Script Maps 제거( 래 View Template setting 에 체크)
가적 보 정 URLScan option 정
원, 현수
웹서버 보안
14
웹웹 사사 추적추적: Squid (1): Squid (1)
1. 추적 적적 무처 웹개 해 사 웹 습
2. Checkpoint Firewall 사 과 문제점
한계 해 사 웹 습 적 처 하 에 적합
원, 현수
웹서버 보안
15
웹웹 사사 추적추적: Squid (2): Squid (2)
3. Squid Squid 는 Open Source Solution 눅스에 돌 가는 무료 툴 다.
①
. Apache, openSSl: 단 눗스
. Application
-. Squid Web Cache Proxy
-. Apache htpasswd
(username/password) utility
-. SARG
(Squid Analysis report Generator)
. Squid 가 NIC에 물 고
network 에 웹 ,
. 네트워크주 한다고 가정
원, 현수
웹서버 보안
16
웹웹 사사 추적추적: Squid (3): Squid (3)
4.① 다 Squid rpm 프 에 저 한다 실행시
② PORT 경 : Squid는 폴트 3128TCP포트에 는 8080 꿈
③ 프럭시 setup 해 프 그램 사 할 것 가 정
④ ACL추가
원, 현수
웹서버 보안
17
웹웹 사사 추적추적: Squid (4): Squid (4)
5. SARG 포트
1 Monitoring 약
User별 약 User별 상세 내역
원, 현수
웹서버 보안
18
Reverse Proxy (1)Reverse Proxy (1)
1. 능① 넷 싱 웹 동 한 곳에
② HTTP 엔드 사
③ 특정 다수가 내 웹 접 시 신 비스 제공
④ Traffic 하 감 시키고 과적 content delivery 제공
2. 점과 단점
점
-. 클라 트가 Http 웹 에 single point access함
-. HTTP 공격 시 한 개 보 게
-. 엔드 꾸거나 스트 네 꾸 가 쉽다.
-. 견상 하나 보 는 시스 에 다 Os에 돌 가는 다 한 Application 처 능
-. 사 내 사 가 동 한 사 하므 H/W비 수 다.
-. 엔드 타 스 노출시키 전 높 다.
단점
-. Reverse Proxy 공격 공 -> HTTP 내 조 -> , 내 network 공격 가능
-. Reverse Proxy 간 저하
-. HTTP 프 공격 는 숨 수 다.
원, 현수
웹서버 보안
19
Reverse Proxy (2)Reverse Proxy (2)
2.
-- 성1 --
-. HTTP서버는 방화벽 내 에 놓고 Proxy는 DMZ에 놓는다.
-. Site www.mysite.com , 실제 IP address는 198.162.0.1
-. Ste NAT address는 Reverse Proxy Address 로 함
-. Firewall 내 서버는 myserver.mysite.com 고
NAT addr는 10.100.0.1 고 IP addr 는 198.162.10.1
-. 80번 포트 열어 놓고 든 80번 트레픽
198.162.0.1 로 forwarding 시킴
-- 보안 해 --
-. 든 서버 참조가 NAT 주소로 루어 게 해야 함
-. 방화벽 setting 시 든 HTTP트래픽 Reverse Proxy 로
통하게 해서 단 점에서 트래픽 감시하 록 함
-. Reverse Proxy wild 한 터넷에 알
-- 성2 --
-. HTTP server Reverse server가 DMZ에 놓
-. HTTP 백엔드 서버 주소 NAT로 한다.
-. Reverse Proxy로 청 접 백엔드 서버로 보낸다.
-. Network 내 가 전히 -> 공격 가 내 알 어렵다
-. 단점: HTTP 서버 process 내 서버에 동시 복제해야
-. 서버 : H/W, , 등 비 높
NAT : 공 IP 주 만 알 지게 하고, 내 에 는 사 IP 주 만 사 하여 필 시에 변환한다. 라 가공격하 해 는 사 망 내 사 IP 주 를 알아야 하 문에 공격 가능해지므 내 트워크를 보호할 수 다.
1
원, 현수
웹서버 보안
20
시스시스 가 드가 드 (1)(1)
1. 개 과 상① 개 계 단계 보 ,
② 원접근 (SQL server, Directory Services, files, UNC shares ) 협
2. 보 초
① OS 전하게필 한 비스나 비스 제거 (IIS 과정 꼭 필 )
가 닌 경 NSA에 2000 보 set 제공
② IIS 전하게 한다IISLockdown
( 전 스트 경에 보 사항 체크해 함)
웹 사 트 할 것 할 것 고 한다.
스크상 전체 pages를 암호화하는 것도 가능하다.
③ DNS 보 전략 다..해당 site DNS host는 누가? : NSA site에 2000 DNS 보 가 드
리눅스 BIND 보안 정 :
( www.linuxsecurity.com/resource files/server security/bind-8.x.txt )
NSA : National Security Agency
원, 현수
웹서버 보안
21
시스시스 가 드가 드 (2)(2)
3. 엔드 보전 상거래 사 심 동적 사 트 : 엔드 보 가
① SQL DB 보 사항DMZ에 놓거나 web application과 같 에 는가?
web application과 다 무슨 프 사 하는가?
시 IIS SQL 사 에 Window2000 IPSec 사 고 하는가?
• 적절한가? (웹 접근 허 , 다 접근 허)
• 타 스 접근에 한 타 ?
• MS SQl경 : NT 나 NT SQl 합 사
② 비스 과 SQL 플 트• Kaiten, W32/Voyager,W32/cblade.worm 스워드 blank ID sa 가 상
• 스워드 blank ID sa 경 접근 제한
③ 정보는 에 는가?• Hidden HTML 태그나 URL Querystring에 그 나타난다.
• global.asa 에 DB연결 플 정 하고 다.
• IIS metabase나 Registry에 보 하는 것 global.asa 보다 전하다.
• Registry에 보 하는 것 COM+ 개체가 필 하다.
④ DB 미 ?• 한만
• 그 만 ,쓰 한 여
원, 현수
웹서버 보안
22
시스시스 가 드가 드 (3)(3)
4. COM+ 보 과
① COM+ 개
COM+ (Microsoft Component Object Model) 는 빈처럼
Microsoft Transaction server, Microsoft Message Queue server, MicrosoftDistributed Transaction Coordinator등 다 한 비스상 연게 는 제공한다.
COM+ 체가 보 갖고 다.
COM+ 개체 MMC 에 함 (IIS에 함)
② 가 COM+ application 사 시 고 사항
Security ( Declarative security, Programmatic security )
COM+ 비스나 application, 시스 에 접근하는가?
(최 접근)
COM+ application 스트 헀나? ( 플 에러 나 쉬 )
MMC(Microsoft Management Console)는 콘솔 라는 만들고 저 하고 여는
원, 현수
웹서버 보안
23
결결
1 보 웹 단순한 만 끝나 는다.
2. 네트워크 , 웹 스천 스트 축,
전한 웹 축 , 보 한 보 강 해
적 웹 보 보다 높 보 경 축할 수 다
3. 개 시스 한 상 하 개 루 져한다.
4. 새 보 사고 에 처하 해 노 해 한다.