본문 바로가기

컴퓨터 엔지니어/운영체제/컴퓨터

보안 세팅 교육 자료

보안 세팅 교육 자료

 

1 IIS 파일 매핑 제거

웹을 통해 실행되는 모든 파일은 이곳의 링크된 시스템파일의 실행에 의해서 해당 확장자가 실행이 되고 그에 따라 이러한 외부 실행권한을 획득함으로서 보안 취약점이 노출되는 계기가 된다. 불필요한 파일 매핑을 제거함으로서 외부의 접근을 막도록 한다.

       

 

2.[로컬 보안정책]을 통한 포트 필터링을 한다

특히 불필요한 포트를 차단함으로서 시스템 내부의 접근을 원천 봉쇄한다.

           

3.아래 포트 표를 보고 자신의 서버에서 제공되는 서비스에 따라 해당 포트를 막도록 한다.

TCP

UDP

9

9

7

7

6666

138

515

137(sql 때문에 체크 해제)

445

 

23

 

27

 

139(파일 공유를 위해 해제)

 

135

 

13

 

7007

 

548

주의를 해야한다.

 어떤 포트들은 서로 종속적이기 때문에 하나 잘못 막으면 시스템에 지장을 줄수가 있다.

 

3389(터미널 접속을 위해 해체)

137

1032

1025

17

 

107

 

79

 

19

 

1031

 

dos

 

25 --------이까지

 

디비서버의 경우 아래 포트도 필터링 대상

 

21

 

80

 

110 (pop3)

 

109 (pop2)

 

53

 

443

 

42

 

1029

 

1755

 

3372

 

3.ASP 소스 공개가 되는 유니코드 버그를 방지 하기 위해 CMD.EXE 의 권한을

admin을 제외하고 모두 삭제한다.

       

4.IIS 샘플 파일들을 모두 삭제한다.

       

5.drwtsn32.exe 에도 취약점이 발견된다 아래 크래쉬덤프 파일 만들기를 해체한다.

       

6.runas 명령어를 통한 불법접근을 방지하기 위해 권한을 재설정한다.

Runas 명령어는 리눅스의 su 명령어와 유사하며 일반사용자 계정으로 admin권한의 작업을 할수 있는 막강한 명령어이다.

       

 

7.터미널 서비스 구성 에서 권한 재설정 대부분 admin만이 터미널 접속을 하므로 admin을 제외하고 나머지 권한은 제거하도록 한다.

       

8. 웹서버 보안 규칙

1.디렉터리를 webroot 외부에 생성한다.


2.첫번째는 웹사이트를 저장해야 할 곳을 준비하는 것이다.

이 장소는 당연히 webroot의 외부에 위치해야 하며 ACL이 계획된 위치이어야 한다.(이말은 NTFS 볼륨상에 위치해야 한다는 뜻임) webroot 아래에 구버전, 백업, 샘플, 문서, 임시 파일을 두지 말고 C:\Inetpub\Other 와 같이 webroot이외의 장소에 위치시켜야 한다. 만약 현재 사이트를 운영중이라면 Old, Temp, Backup과 같은 디렉터리가 webroot내에 있는지 찾아보아 다른 곳으로 이동시키는 것을 고려해 본다.

3.관리용 웹서버에 샘플파일을 그대로 놔두지 말 것
새롭게 설치를 하고 웹 사이트를 적절한 위치에 놓은 다음에 먼저 할일은 어떤 파일을 제거할 지 보는 것이다. IIS의 운영 경험상 기본적인 설치에 포함되어 있는 샘플 파일을 먼저 제거하는 것이 좋다.
많은 관리자들이 이 단순한 원칙을 따르지 않고 있다. 사용자가 설치한 위치에 기초하여 다음과 같은 샘플 디렉터리 및 파일을 삭제해야 한다.

       

4.웹컨텐츠와 관계없는 나머지 파일들을 정기적으로 삭제한다.

 
현장용 웹서버 상의 파일들을 직접 편집하는 좋은 방법이 아니지만, 페이지를 빨리 수정할 경우에 유용한 방법이다. 어떤 에디터를 사용하느냐에 따라 다르지만 편집기를 사용하면 웹 상에 추가적인 임시파일이나 백업 파일을 남길 수 있다. 예를 들어, UltraEdit를 사용하여 ASP 스크립트를 편집한다고 가정하자. 버그가 있는 스크립트를 수정할 때 UltraEdit .bak 확장자를 가지는 백업파일을 생성한다는 것을 알지도 모른다. 하지만, 기본 IIS .bak 확장자를 가진 파일에 매칭되어 있지 않다면, 공격자는 스크립트의 내용을 보고 사이트의 보안의 취약점을 찾기 위한 정보를 수집할 수도 있다.

웹 편집이 오프라인에서 이루어진다 하더라도, 웹 서버상에서 이런 임시 파일이나 백업파일들을 여전히 찾을 수 있을 것이다. 이 파일들을 처리하는 방법은 정기적으로 webroot를 검색하여 파일들을 지워주는 스크립트를 스케쥴에 포함시키는 것이다.

이제 사용자의 webroot 디렉터리를 살펴보아 어떤 파일을 지워야 하는지 찾아보자. 다음 중에는 위험에 쳐할 수 있는 몇가지 일반적인 파일들이 있다.

*.bak
*.old
*.tmp
*.temp
*.backup
*.??0
ws_ftp.log

또한, webroot 에 있는 *.txt, *log 파일들을 제거 또는 이름변경을 고려하는 것이 좋다.

5.사용하지 않는 모든 스크립트와 실행파일들을 제거한다.

아주 중요한 항목이지만 많은 관리자들이 나중에 사용할 지도 모를 일반적인 실행파일(executables)을 웹사이트상에 남겨둔다. 가장 좋은 예가 counter.exe이다. 만약 웹 페이지상에 counter.exe를 사용하지 않는다면 지워야 한다. 지우기가 곤란하다면 다른 디렉터리를 생성하여 그곳에 넣어두는 것을 고려하는 것도 좋다.
Webroot
에 있는 모든 스크립트와 실행파일을 살펴서 사용하지 않는다면 지우거나 webroot외의 다른 위치로 이동신다. 게다가 Scripts 또는 CGI-BIN 과 같이 실행디렉터리에 있는 파일을 사용하지 않는다면 디렉터리 전체를 삭제 또는 이동하는 것을 고려해야 한다.

6.FrontPage server extensions를 사용하지 않는다면 제거한다.

이전 항목들과 연관되지만 더 많은 파일들에 해당한다. 인터넷 상의 많은 웹사이트에는 Frontpage server extension이 설치되어 있지만 website를 저작(author)하는데 사용 또는 Frontpage WebBots를 사용하지 않는다. 사용자의 사이트가 그런 경우라면 이 Frontpage server extensions를 완벽하게 제거하는 것을 고려해야 한다. 만약 Frontpage를 사용하지만 WebBots를 사용하지 않는다면, 부분적으로 제거할 수 있다.

7.Remove or patch all known vulnerabilities 알려진 모든 취약점을 패치 또는 제거한다.
공짜로 제공되는 CGI 스캐너를 사용하여 웹사이트를 정기적으로 스캔하여 알려진 취약점이 있는지 검사한다. 만약 이러한 스캐너로 알려진 취약점을 발견한다면, 이들을 삭제, 패치 또는 이름변경(rename)한다.

8.사용하지 않는 가상 루트 디렉터리를 제거한다..

정기적으로 웹 루트에 있는 가상 디렉터리의 목록을 살펴보아야 한다. 샘플 디렉터리에 대한 몇가지 파일/디렉터리는 이미 제거했지만, 또한 그 디렉터리에 매핑된 것은 반드시 제거해야 한다.
Windows 2000
에서는 인터넷 서비스 관리자를 열어 웹사이트가 아닌 가상 디렉터리를 제거할 수 있다. 원격 관리 서비스를 사용하지 않는다면 IISAdmin에 매핑된 것을 제거하는 것을 고려한다.


9.업그레이드하기전에 항상 제거(Uninstall)한다.

CGI
스크립트, ISAPI extensions, 또는 IIS 자체를 업그레이드할 때, 새로운 것을 설치하기 전에 먼저 제거하는 것을 고려해야 한다. 이 이유는 업그레이드를 통해 이전 버전에 존재할 수도 있는 취약점이 남아 있을 수 있기 때문이다. 가장 좋은 예가 ism.dll 취약점(http://www.cerberus-infosec.co.uk/adviis3to4.txt)이다. 공격자가 IIS 4에서 사용되지 않는 IIS 3 애플리케이션을 공격할 수 있지만, 업그레이드 과정에서 삭제되지 않는다.

다음은 웹 애플리케이션을 업그레이드하는 적절한 과정이다.
1. webroot
와 애플리케이션에서 사용되는 다른 모든 디렉터리를 백업한다.
2.
개발자가 추천하는 방법을 사용하여 애플리케이션을 제거한다.
3.
제거를 통해 남아있는 파일( config, log 파일을 포함)들을 모두 삭제한다.
4.
새로운 버전의 애플리케이션을 설치한다.
5.
백업에서 필요한 각각의 파일들을 복원한다.

10.모든 테스트용 파일들을 재배치 한다.

  
현장용 웹서버를 사용하여 새로운 스크립트를 테스트해서는 안된다. 만약 rootroot에 샘플 cgi   테스트 파일이 있는 것을 발견했다면, 테스트하기위한 새로운 스크립트와 실행파일을 다른 서버로 옮겨 세팅하거나 적어도 다른 webroot 디렉터리로 옮기는 것을 고려해야 한다.
가장 좋은 방법은 개발용 및 테스트 용 웹서버를 새롭게 생성하여 여기서 테스트하는 것이다. 이 서버는 인터넷 상에서 액세스할 수 없어야 하며 IP 주소 제한을 두어 구현해야 한다. 만약 분리된 서버를 사용할 수 없다면, 테스트 목적을 위해 새로운 웹사이트를 생성하여 적절한 ACL 할당 및 IP 주소 제한을 적용해야 한다.

11.운영중인 사이트에 포함된 파일들을 주의깊게 살펴보아야 한다.
이 항목은 웹 사이트를 호스팅 업체에 위탁하는 사람들에게만 해당되지만 아주 일반적인 내용이기 때문에 설명하게 되었다. 많은 호스팅 서비스 업체에서는 공짜로 제공되는 많은 수의 CGI 스크립트나 admin(관리도구)를 고객들에게 제공하고 있다. 때때로 이 스크립트들은 취약점을 가지고 있을 수 있지만 정식적인 채털을 통해 소개될 만큼 넓게 알려지지는 않았다. 웹 호스팅 업체에서 미리 설치한 스크립트를 주의깊게 살펴보자. 만약 이것들을 지우기가 곤란하다면 적어도 이름 변경을 고려해야 한다.

 

12.가상 디렉터리에 적절한 ACL을 설정한다

파일 종류와 애플리케이션에 따라 다르지만, 기본적으로 다음과 같은 기준으로 ACL을 설정한다.(여기서 System 권한도 가급적이면 삭제한다.)

       

13.파일 종류에 따라 기본 ACL을 설정한다

 각각의 파일에 ACL을 설정하는 것보다 각각의 파일 종류에 따라 새로운 디렉터리에 정리하여 배치하고, 디렉터리에 ACL을 설정하여 ACL을 상속받드록 하는 것이 관리하기 편하다. 예를 들면,

 

    • c:\inetpub\wwwroot\myserver\static (.html)
    • c:\inetpub\wwwroot\myserver\include (.inc)
    • c:\inetpub\wwwroot\myserver\script (.asp)
    • c:\inetpub\wwwroot\myserver\executable (.dll)
    • c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)



또한, IIS 관련 폴더 외에도 FTP, SMTP 서버에 관련된 폴더들도 주의깊게 설정해야 하는 것을 잊지 말자.

    • c:\inetpub\ftproot (FTP server)
    • c:\inetpub\mailroot (SMTP server)

 

14.로깅을 사용하기

 서버가 공격받는지 여부를 판단하려면 로그 기록을 남기도록 해야 한다. 다음과 같은 과정을 통해 W3C Extended 로깅 포맷을 사용해야 한다.

 

    • IIS 서비스 도구를 실행한다.
    • 해당 사이트를 오른클릭하고 팝업 메뉴에서 등록정보를 선택한다.
    • 웹사이트 탭을 클릭한다.
    • Enable Logging 체크박스를 선택한다.
    • Active Log Format 드롭다운 목록에서 W3C Extended Log File Format을 선택한다.
    • 등록정보를 클릭한다.
    • 고급 등록정보 탭을 클릭하고 다음과 같은 등록정보들을 설정한다.

 

      • Client IP Address
      • User Name
      • Method
      • URI Stem
      • HTTP Status
      • Win32 Status
      • User Agent
      • Server IP Address
      • Server Port

 


마지막 두가지 항목은 한대의 컴퓨터에서 여러 개의 웹서버를 운영할 때만 유용하게 사용할 수 있다. Win32 Status 등록정보는 디버깅 목적으로 사용할 때 유용하다. 로그를 판단할 때, error 5가 있다면 액세스 거부를 나타낸다. 다른 Win32 에러들은 명령 프롬프트에서 net helpmsg err 을 입력하여 무슨 뜻인지 확인할 수 있다.

15.IP/DNS 주소 제한하기

 일반적으로는 사용되지 않지만, 특정한 사용자에게 웹사이트 사용을 제한하려고 할 때 사용할 수 있다.

16.실행 컨텐츠를 믿을 수 있는지 확인하기

실행 컨텐츠(executable Contents)를 믿을 수 있는 확인하기는 매우 어렵다. 가장 간단한 테스트는 실행 컨텐츠가 특정 API를 호출하는지 여부를 보기 위해 DumpBin 도구를 사용하는 것이다. 예를 들어, MyISAPI.dll RevertToSelf를 호출하는지 알아보려면 다음과 같은 문법을 사용한다.

 

    • Dumpbin /imports MYISAPI.dll | find “RevertToSelf”



만약 화면에 아무런 결과가 나타나지 않는다면, MyISAPI.dll Revertoself를 호출하지 않는 것이다. LoadLibrary를 통해 API를 호출할 수도 있으므로 이러한 호출을 찾기 위해 비슷한 명령어를 사용할 수 있다

17.IIS 서버에 Root CA 인증서를 업데이트하기

 두가지 과정이 있는데, 첫번째는 관리자가 신뢰하는(Microsoft Certificate Services 2.0을 사용하여 생성한 새로운 루트 CA 인증서) 새로운 루트 CA(Certificate Authority)를 추가한다. 두번째 과정은 믿을 수 없는 모든 루트 CA 인증서를 제거하는 것이다. 만약 루트 인증서를 발급한 회사의 이름을 알수 없다면 그것들을 믿어서는 안된다.

다음과 같은 과정을 통해 모든 루트 CA 인증서를 액세스할 수 있다.

 

    • MMC 콘솔을 연다
    • 콘솔 메뉴에서 Add/Remove Snap-in을 선택하고 추가 버튼을 클릭한다.
    • Certificates를 선택하고 추가 버튼을 클릭한다.
    • Computer Account 옵션 버튼을 클릭한다.
    • Next를 클릭한다.
    • 해당 서버를 선택한다.
    • Finish를 클릭한다.
    • Close를 클릭하고 OK를 클릭한다.
    • Certificates 노드를 확장한다.
    • Trusted Root Certification Authorities를 확장한다.
    • Certificates를 선택한다.

           
오른쪽 창에서는 현재 트러스트된 모든 root CA certificates들이 나타난다. 사용자가 원한다면 여러 개의 certificates를 삭제할 수 있다.

주의 : Microsoft VeriSign roots는 삭제하면 안된다. 이유는 운영체제에서 사용되기 때문이다.

18.모든 샘플 애플리케이션을 사용안함으로 설정하거나 제거하기

 샘플은 말그대로 샘플일 뿐이다. 기본적으로 설치되지는 않지만 실제 환경에서는 절대 설치되어서는 안된다.

주의 : 몇몇 샘플들은 http://127.0.0.1 또는 http://localhost에서만 액세스할 수 있다. 하지만 이러한 샘플들도 제거되어야 한다.

기본으로 설치되는 몇가지 샘플들은 다음과 같다.

               

19.필요없는 COM 구성요소를 사용안함으로 설정하거나 제거하기

 몇몇 COM 구성요소들은 대부분의 애플리케이션에서 필요하지 않고 삭제되어야 한다. 대부분 File System 개체 구성요소를 사용안함으로 설정하는 것을 고려하지만 또한 Dictionary 개체도 제거되어야 하는 것을 주의한다. 몇몇 프로그램들은 사용자가 사용안함으로 설정한 개체들을 필요로 할 수도 있다. 예를 들어 Site Server 3.0 File System 개체를 사용한다. 다음 명령어는 File System 개체를 사용안함으로 설정하는 예이다.

 

    • regsvr32 scrrun.dll /u

 

20.IISADMPWD 가상 디렉터리 제거하기

 이 디렉터리는 Windows NT 2000 암호를 리셋할 수 있게 해준다. 주로 인트라넷 용으로 설계되었으며 IIS 5 의 일부로 설치되지 않는다. 하지만 IIS 4 서버를 IIS 5로 업그레이드할 때 삭제되지 않는다. 만약 사용자가 인트라넷을 사용하지 않거나 서버를 웹 상으로 연결한다면 반드시 제거되어야 한다. 자세한 정보는 Microsoft Knowledge Base Q184619 를 참고한다.

21.사용하지 않는 스크립트 매핑 제거하기

 IIS .asp, .shtml 과 같은 일반적인 파일이름 확장자를 지원하도록 미리 구성되어 있다. IIS가 이러한 파일종류중 하나에 대한 요청을 받을 때, 호출은 DLL에 의해 처리된다. 만약 이러한 파일종류 또는 기능을 사용하지 않는다면, 다음과 같은 과정을 통해 제거해야 한다.

 

    • Internet Services Manager를 연다
    • Web Server에서 오른클릭하고 팝업메뉴에서 등록정보를 선택한다.
    • Master Properities를 선택한다.
    • WWW Service | Edit | HomeDirectory | Configuration 을 선택한다.



           

중요 : .htr 기능을 사용할 중요한 이유가 없다면 .htr extension을 반드시 제거해야한다.

22.Parent Paths 사용안함으로 설정하기

 Parent Paths 옵션은 MapPath와 같은 기능을 호출하는데 사용자가 “..”를 사용할 수 있게 해준다. 기본적으로 이옵션은 사용할 수 있게 되어 있지만 반드시 사용안함으로 설정해야 한다. 방법은 다음과 같다.

 

    • 웹사이트의 루트에서 오른클릭을 하고 팝업메뉴에서 등록정보를 선택한다.
    • Home Directory 탭을 클릭한다.
    • Configuration을 클릭한다.
    • App Options 탭을 클릭한다.
    • Enable Parent Paths 체크박스를 해제한다.

23. SYN Attack 방어하기 위해서 아래 레지스터리를 수정한다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

           SynAttackProtect
-
형식 : REG_DWORD
-
범위 : 0 – SynAttack 프로텍션을 사용하지 않음.
1 –
재전송 시도를 줄이고, TcpMaxHalfOpen TcpMaxHalfOpenRetried 설정이 만족한다면 RCE(route cache entry)를 지연시킴
2 – 1
기능외에도 Winsock 에 대한 지시(indication)를 지연시킴
-
기본 : 0
-
추천 : 2
-
설명 : SynAttack을 막는 방법은 SYN-ACKs 의 재전송을 줄이는 것입니다. 연결이 구축될때까지 RCE(route cache entry) 자원의 할당을 지연시킵니다. 만약 값 2를 적용한다면 3 handshake가 완료될 때까지 AFD의 연결 indication이 지연됩니다. 또한 TcpMaxHalfOpen TcpMaxHalfOpenRetried 설정과 함께 사용되어야 합니다.

           TcpMaxHalfOpen
-
형식 : REG_DWORD
-
범위 : 100–0xFFFF
-
기본: 100 (Professional, Server), 500 (advanced server)
-
추천 : 기본값
-
설명 : 이 패러미터는 SYN-ATTACK 공격이 동작하기 전에 SYN-RCVD 상태에서 연결되는 개수를 제한합니다. 만약 SynAttackProtect 1로 설정되면 이 값은 AFD가 청취하는 보호하려는 포트의 Backlog보다 작은 값이어야 합니다.( Backlog에 대한 자세한 정보는 Backlog Parameters를 참고하세요.)

           TcpMaxHalfOpenRetried
-
형식 : REG_DWORD
-
범위 : 80–0xFFFF
-
기본 : 80 (Professional, Server), 400 (Advanced Server)
-
추천 : 기본값
-
설명 : 이 값은 SYN-RCVD 상태에서 연결되는 개수를 제어합니다. SYN-RCVD SYN-ATTACK 방어가 동작하기 전에 적어도 한번의 SYN 플래그를 재전송합니다. 이 값을 적용하기 전에 먼저 충분한 테스트를 거쳐 적절한 값을 얻어야 합니다.

           EnablePMTUDiscovery
-
형식 : REG_DWORD
-
범위 : 0, 1 (False, True)
-
기본 : 1 (True)
-
추천 : 0
-
설명 : 이 값이 1로 설정되면 원격 호스트에 이르는 경로에 MTU 또는 최대 패킷사이즈를 찾으려고 시도합니다. 경로 MTU를 찾고 및 TCP 세그먼트를 이 크기로 제한함으로써 TCP는 다양한 MTU로 연결된 네트워크에 있는 라우터의 분산(fragmentation)을 막을 수 있습니다. Fragmentation TCP 처리량과 네트워크 부하에 영향을 미칩니다. 이 값을 0으로 설정하면 로컬 서브넷에 있지 않은 호스트에 연결되는데 MTU 576바이트로 설정하게 됩니다.

           NoNameReleaseOnDemand
-
형식 : REG_DWORD
-
범위 : 0, 1 (False, True)
-
기본 : 0 (False)
-
추천 : 1
-
설명 : 이 값은 네트워크에서 이름-해제 요청을 받았을 때 컴퓨터가 NetBIOS 이름을 해제할 지 여부를 결정하게 됩니다. 이 값을 설정함으로서 이름-해제(name-release) 공격에 대비할 수 있습니다.

           EnableDeadGWDetect
-
형식 : REG_DWORD
-
범위 : 0, 1 (False, True)
-
범위 : 0,1 (False, True)
-
기본 : 1 (True)
-
추천 : 0
-
설명 : 이 값을 1로 설정하면 TCP dead-gateway 탐지를 수행하게 됩니다. 이 기능을 활성화하면 많은 수의 연결이 어려울 때 TCP IP에 백업 게이트웨이로 바꿀 것인지 물을 수도 있습니다. 백업게이트웨이는 TCP 등록정보의 고급 설정부분에서 지정할 수 있습니다.

           KeepAliveTime
-
형식 :REG_DWORD - 밀리세컨드
-
범위 : 1–0xFFFFFFFF
-
기본 : 7,200,000 (2시간)
-
추천 : 300,000
-
설명 : 노는 연결(idle connection) keep-alive 패킷을 전송함으로써 계속 유지되는지 확인하려고 할 때 종종 사용됩니다. 만약 원격 시스템에 여전히 도달할 수 있고 동작한다면 keep-alive 전송을 승인합니다. Keep-alive 패킷은 기본적으로 전송되지 않습니다. 이 기능은 애플리케이션에 의해 사용되는 연결에서도 활성화될 수 있습니다.

           PerformRouterDiscovery
-
형식 : REG_DWORD
-
범위 : 0,1,2
0 (disabled)
1 (enabled)
2 (
만약 DCHP router discover option을 전송는 경우에만 활성화됨)
-
기본 :
-
추천 : 0
-
설명 : Windows 2000에서 인터페이스 카드 기반으로 RFC 1256에 해당하는 router discovery 를 수행하게 할지를 제어합니다.

           EnableICMPRedirects
-
형식 : REG_DWORD
-
범위 : 0, 1 (False, True)
-
기본 : 1 (True)
-
추천 : 0 (False)
-
설명 : ICMP는 인터넷프로토콜에서 문제가 생기면 보고해주는 프로토콜로서 예를 들어 네트워크 접속문제인 "Echo Reply", "Destination Unreachable" 혹은 네트워크 라우팅 문제 인 "Redirect" 등을 알려준다. ICMP Redirect메시지는 호스트가 목적지 주소로 연결하고자할 때, 해당 라우터가 최적의 경로임을 호스트에게 알려주기 위하여 라우터로부터 호스트로 보내어진다.

 

 

24. Windows 2000 기본권한 복구방법
1. MMC.EXE
를 시작한다.
2.
콘솔 메뉴에서 Add/Remove Snap-in을 선택한다.
3. Security Configuration and Analysis Snap-in
을 추가한다.
4. Close
를 클릭하고 OK를 클릭한다.
5. Security Configuration and Analysis root
에서 오른클릭하고 Open database를 선택한다.
6.
새로운 데이터 베이스의 이름을 입력하고 OK를 클릭한다.
7. “basicwk.inf”
템플릿을 선택하고 OK를 클릭한다.
8.
다시 노드에서 오른클릭하고 “Configure Computer Now”를 선택한다

       

25. 필요없는 SubSystem 제거하기  

Windows NT 계열에는 운영체제 구성상 POSIX OS/2에 대한 서브 시스템이 포함되어 있습니다. 하지만, 실제로 별로 사용이 안되기 때문에 삭제해도 무방합니다.
이 항목은 다음의 레지스트리에 있습니다.
HKKM/System/CurrentControlSet/Control/Session Manager/SubSystems
레지스트리를 지우고, %systemroot%/system32 폴더에서 os2*, posix*, psx* 파일들을 삭제합니다.

 

 

 

 

 

 

 

26. 컴퓨터 간의 트래픽 방어

보안된(secured) 트래픽의 보기 위해서는 Windows 2000에 포함되어 있는 ping 명령어를 사용할 수 있다.

IPSec
정책을 구현하기 전에 연결 테스트

Computer1
에서:
1. Start
를 클릭하고, Programs를 클릭하고, Accessories를 클릭하고, Command Prompt를 클릭한다.
2.
명령 프롬프트에서 ping 을 입력하여 Computer2 가 제대로 응답하는지 확인한다.
3. Computer1
의 기본 게이트웨이의 IP주소에 핑을 테스트하여 응답하는지 확인한다.


27.
트래픽을 보호하기 위해 로컬 IPSec 정책을 구성하기

컴퓨터1 과 컴퓨터2 에서 :
1. Start
를 클릭하고, Run을 클릭하고, MMC를 입력하고 OK를 클릭한다.
2. MMC
에서 Console을 클릭하고 Add/Remove Snap-in을 클릭하고, Add를 클릭한다.
3. IP Security Policy Management
를 클릭하고, Add를 클릭한다.
4. This computer
를 클릭한다.
5. Finish
를 클릭하고, Close를 클릭하고 OK를 클릭한다.
6. IP Security Policies on Local Machine
을 오른클릭하고 Create IP Security Policy를 클릭하고 Next를 클릭한다.
7. IP Security Policy Name
에서 Secure Traffic을 입력하고, Next를 클릭한다.
8. Requests for Secure Communication
에서 Activate the default response rule 체크박스를 해제하고 Next를 클릭하고, Finish를 클릭한다.
9. Secure Traffic
등록정보 대화상자의 Rules 탭에서 Add를 클릭하고 Next를 클릭한다.
10. Tunnel Endpoint
에서 Next를 클릭한다.
11. Network Type
에서 Next를 클릭한다.
12. Authentication Method
에서 Use this key to protect the key exchange(preshared key)를 클릭하고 미리공유한 키(preshared key) 123456789와 같이 입력하고 Next를 클릭한다.
13. IP Filter List
에서 All IP Traffic을 클릭하고 Next를 클릭한다.
14. Filter Action
에서 Require Security를 클릭하고, Next를 클릭한다.
15. Finish
를 클릭하고, Close를 클릭한다.
16.
내용 창(contents pane)에서 Secure Traffic을 오른클릭하고 Assign을 클릭한다.



28.IPSec
정책 구현이후에 연결 테스트하기

Computer1
에서:
1.
명령 프롬프트에서 Computer2 IP주소로 Ping을 하여 “Negotiating IP Security” 메시지가 나오는지 확인한다.
2. Computer2
에 한번 더 Ping을 실행하여 응답을 하는지 확인한다. 이제 Computer1 Computer2간에는 IPSec 암호화를 통해 보안이 유지된다.
3. Computer1
의 기본 게이트웨이 주소에 Ping을 해본다. “Negotiating IP security” 메시지가 나타나는지 확인한다.
4. Computer1
의 기본게이트웨이 주소에 다시 한번 Ping을 해본다. “Negotiating IP security” 메시지가 나타나는지 확인한다. Computer1 Computer1의 기본 게이트웨이 간에는 통신을 할 수 없는데 그 이유는 기본게이트웨이에는 Computer1과 협상(negotiate)와 트래픽을 보호하는데 사용되는 IPSec 정책이 구성되지 않았기 때문이다.
5. Start
를 클릭하고, Run을 클릭하고, ipsecmon을 입력하고 OK를 클릭한다.
6. Computer2
에 관련된 보안과 Computer1 Computer2간의 보안트래픽 통계를 보려면 IP Security Monitor를 사용한다.



28
포트 차단


포트를 차단하려면 IPSec 필터를 사용하고 Windows 2000에 포함된 Simple TCP/IP 서비스 옵션 네트워킹 구성요소를 사용한다.

Simple TCP/IP
서비스 설치하기

Computer2
에서:
1. Start
를 클릭하고 Settings를 클릭하고 Control Panel을 클릭한다.
2. Add/Remove Programs
를 더블클릭한다.
3. Add/Remove Windows Components
를 클릭한다.
4. Components
에서 Networking Services를 클릭하고 Details를 클릭한다.
5. Subcomponents of Networking Services
에서 Simple TCP/IP Services를 클릭하고, OK를 클릭하고, Next를 클릭한다.
6.
프롬프트가 나오면 배포 파일의 경로를 입력하고 OK를 클릭한다.(역자주: Windows 2000 시디를 입력하고 경로를 지정한다.)
7. Windows Compoenets Wizard
에서 나머지 화면의 과정을 완료하고 Finish를 클릭한다.

29.TCP/IP
서비스 테스트하기

Computer1
에서:
1.
명령프롬프트에서 telnet daytime 를 입력하고 날짜와 시간이 출력되는 것을 확인한다.
2.
명령프롬프트에서 telnet quote 를 입력하고 literary quote(문자열)가 나오는지 확인한다.


Daytime
quote 서비스 포트를 차단하기 위해 로컬 IPSec 정책 재구성하기

Computer2
에서 :
1. IP Security Policies on Local Machine MMC
콘솔에서 Secure Traffic 정책을 오른클릭하고, Properies를 클릭하고 Add를 클릭한다.
2. Security Rule Wizard
에서 Next를 클릭한다.
3. Tunnel Endpoint
에서 Next를 클릭한다.
4. Network Type
에서 Next를 클릭한다.
5. Authentication Method
에서 Next를 클릭한다.
6. IP Filter List
에서 Add를 클릭한다.
7. IP Filter List
대화상자에서 Name 부분에 Daytime and Quote protocols를 입력한다.
8. IP Filter List
대화상자에서 Add를 클릭한다.
9. IP Filter Wizard
에서 Next를 클릭한다.
10. IP Traffic Source
에서 Source Address 부분에서 Any IP Address를 클릭하고 Next를 클릭한다.
11. IP Traffic Destination
에서 Destination Address 부분에서 My IP Address를 클릭하고 Next를 클릭한다.
12. IP Protocol Type
에서 Select a protocol type 부분에서 TCP를 클릭하고 Next를 클릭한다.
13. IP Protocol Port
에서 Set the IP protocol port 부분에서 To this port를 클릭하고 13을 입력하고 Next를 클릭한다.
14. Finish
를 클릭한다.
15. IP Filter List
대화상자에서 Add를 클릭한다.
16. IP Filter Wizard
에서 Next를 클릭한다.
17. IP Traffic Source
에서 Source Address 부분에서 Any IP Address를 클릭하고 Next를 클릭한다.
18. IP Traffic Destination
에서 Destination Address 부분에서 My IP Address를 클릭하고 Next를 클릭한다.
19. IP Protocol Type
에서 Select a protocol type 부분에서 TCP를 클릭하고 Next를 입력한다.
20. IP Protocol Port
에서 Set the IP protocol type 부분에서 To this port를 클릭하고 17을 입력하고 Next를 클릭한다.
21. Finish
를 클릭하고 OK를 클릭한다.
22. IP Filter List
에서 Daytime and Quote protocols를 클릭하고 Next를 클릭한다.
23. Filter Action
에서 Add를 클릭한다.
24. Filter Action Wizard
에서 Next를 클릭한다.
25. Filter Action Name
에서 Name 부분에 Blocking을 입력하고 Next를 클릭한다.
26. Filter Action General Options
에서 Block을 클릭하고 Next를 클릭하고 Finish를 클릭한다.
27. Filter Action
에서 Blocking을 클릭하고 Next를 클릭한다.
28. Finish
를 클릭하고 Close를 클릭한다.


30.IPSec
정책 구성 후에 트래픽 전송하기


Computer1
에서 :
1.
명령프롬프트에서 telnet daytime 을 입력한다. 연결 실패 메시지를 볼 수 있을 것이다.
2.
명령프롬프트에서 telnet quote 를 입력한다. 연결 실패 메시지를 볼 수 있을 것이다.
3.
명령프롬프트에서 ping Computer 2 를 해본다. 응답이 성공했다는 메시지를 볼 것이다.


Computer 2
에 할당된 IPSec 정책에 새로운 규칙을 추가하여 TCP 13번포트(daytime 서비스에 사용됨)를 통하는 모든 트래픽을 차단하고 TCP 17번포트(quote 서비스에 사용됨)를 통하는 모든 트래픽을 차단한다. 하지만, 다른 보안 트래픽은 모두 허용된다.

31.
네트워크 연결 복원(Restore network connectivity)


Computer 1
Computer 2에서 :
1. IP Security Policies on Local Machine MMC
콘솔에서 Secure Traffic 정책을 오른클릭하고 Unassign을 클릭한다.

Secure Traffic
정책을 할당하지 않음으로써 Computer 1 Computer 2 간 그리고 다른 모든 네트워크 노드간의 보통(보안되지 않은) 네트워크 연결을 복원할 수 있다.