[주제]
- IIS(Internet Information Sevices) 디렉토리 리스팅 설정
[환경]
- Windows > IIS
[Preview]
1. 우리는 인터넷을 통한 다양한 웹서비스를 접속하고 있습니다.
2. 다양한 웹서비스(네이버, 구글, lotte.net 등)은 Tomcat, JEUS 같은 WAS와 Apache, IIS 같은 WEB 서버를 구성하여 서비스하고 있습니다.
3. 웹서비스에서 보안에 문제될 수 있는 디렉토리 리스팅에 대해 아래 사례를 통해 알아보도록 하겠습니다.
[사전지식]
1. IIS(Internet Information Sevices) 란?
A. 마이크로소프트의 윈도우에서 무료로 지원되는 웹 서버
B. 전반적인 웹사이트 용어 안에서, 아파치 웹 서버에 이어 세계에서 두 번째로 가장 잘 알려진 웹 서버
C. Microsoft의 제품이므로 Microsoft Windows OS에서만 실행
D. 윈도우를 사용하여 쉽게 설치가 가능하며, 시각적으로 창에서 작업하는 경우가 많아서 용이한 작업이 가능
E. 웹 프로그램을 쉽게 설치 및 관리가 가능하고 설정 및 확인이 쉬움
2. 디렉토리 리스팅 이란?
A. 디렉토리 리스팅 이란 웹서버를 디렉토리로 접속할 때 해당 디렉토리 내의 파일과 디렉토리를 리스트로 보여주는 기능
B. 이런 디렉토리 리스팅은 서버를 공격하려는 공격자에게 매우 유용한 정보가 될 수 있으므로, 될 수 있으면 막아주는 것을 권고
C. 디렉토리 리스팅 예제
1. 디렉토리 리스팅 기능 활성화 불가 조치 방법
2. 해당 기능 제거 시, 종속 기능인 [웹 서버(IIS) 지원] 항목도 삭제 영향도 문의
[해결방안]
1. 1차 답변 :
A. 요청하신 IIS 디렉토리 탐색기능에 대한 제어 및 제한에 관한 관제 등에 사항은 확인되지 않습니다.
B. 실제 다른 고객 사례에서도 해당 이슈로 인한 제한 정책을 사용하는 곳은 보고된 내용이 없습니다.
C. 다만 해당 기능을 제어하기 보다는 IIS 기능 설치 시 해당 기능을 제거하는 방법을 사용하실 수 있습니다.
D. 해당 기능을 IIS 기능에서 제거하면(기본 설치됨) 구성 및 활성화를 할 수 없게 되므로 실수로 활성화하는 등에 작업이 불가하게 됩니다.
E. 참고 자료 :
i. https://docs.microsoft.com/ko-kr/iis/configuration/system.webserver/directorybrowse
F. 제거 방법
i. 서버 관리자를 실행하고 ‘관리-역할 및 기능 제거’ 선택
ii. 웹 서버(IIS) – 일반적인 HTTP 기능 – 디렉터리 검색’ 체크 해제.
iii. 다음으로 진행한 후 ‘제거’ 작업 진행.
2. 2차 답변 :
A. ‘웹 서버(IIS) 지원’ 기능은 IIS 웹 게시나 마이그레이션 등을 지원하는 기능입니다.
B. 웹 소스를 이관하거나 관리하는 기반 기능으로 해당 기능을 사용하지 않으신 경우에는 제거 하셔도 무방합니다.
C. 웹 서버(IIS) 지원 관련 자료
i. https://forsenergy.com/ko-kr/appserver/html/576a9735-7a72-4c42-826e-77baa2029093.htm
D. 만약 MS 서버 제품(Exchange) 등에 기반으로 IIS가 구성된 경우라면 해당 서버 기능에 기본으로 필요한 기능이 디렉터리 검색 기능에 종속되어 제거하실 수 없으므로 참고하시기 바랍니다.
E. 별도 서버 기능이 아닌 순수 웹 서버용에 IIS에서 ‘디렉터리 검색’ 기능 제거 시 나타나는 종속 기능에 대해서는 별도로 사용 여부에 대한 확인하는 작업을 진행하셔야 합니다.
F. (아래 캡쳐는 MS Exchange2016 서버에 디렉터리 검색 기능을 제거하려고 할 때 종속 기능으로 Exchange 기능에 필수인 ‘RPC over HTTP 프록시’가 종속됨을 뜻합니다. 따라서 이 서버에서는 제거 불가!!)
[사례요약]
1. 1차 문의: 디렉토리 리스팅 기능 활성화 불가 조치 방법
2. 1차 답변: 해당 기능 제거를 통한 사용 불가 처리
3. 2차 문의: 해당 기능 제거 시 종속 기능까지 제거 영향 문의
4. 2차 답변:
A. MS 서버 제품(Exchange) 등에 기반으로 IIS가 구성된 경우
기본 필수 기능에 종속되어 있으면 제거 불가
B. 별도 서버 기능이 아닌 순수 웹 서버용에 IIS에서 기능 제거 시
종속 되어 있는 기능들이 사용 중 인지 확인 후 제거
[추가 지식]
1. Apache 디렉토리 리스팅 활성화 제거
A. Default로 디렉토리 리스팅이 활성화 되어 있으므로, 설치 후 조치 필수
B. Apache 설정파일 수정
C. /etc/httpd/conf/httpd.conf(리눅스), 윈도우 시 설치 폴더 안의 Conf 폴더
D. Indexes 설정 삭제
i. 삭제 전
ii. 삭제 후
E. 서비스 재기동
2. Tomcat 디렉토리 리스팅 활성화 제거
A. Default로 디렉토리 리스팅이 비활성화 되어 있음
B. Tomcat 설정파일 수정
C. 설치폴더/conf/web.xml
D. True à false 수정 시 비활성화 적용
- False로 변경 필요
'일 > 개발, IT정보' 카테고리의 다른 글
| Windows 온라인, 오프라인 언어팩 설치 방법 (0) | 2024.06.02 |
|---|---|
| Windows Server 스토리지 오류 / 백업 실패 현상 (0) | 2024.06.01 |
| Windows 파일 삭제한 계정 찾기 (0) | 2024.05.30 |
| 가상화 솔루션 스펙 비교 2위 MS, 3위 redhat, 1위는 ??? (0) | 2024.05.29 |
| 프록시 서버(Proxy Server)란 무엇인가? (0) | 2024.05.28 |
