C:\>net view \\192.168.10.1  (192.168.10.1 의 공유자원을 보여달라고 요청했다.)

시스템 오류 5이(가) 생겼습니다.

액세스가 거부되었습니다.

C:\>net use \\192.168.10.1 “” /user:”” (익명(Anonymous)의 계정으로 세션을 맺는다.)

명령을 잘 실행했습니다.

C:\>net view \\192.168.10.1 (192.168.10.1 의 공유자원을 보여달라고 요청했다.)

\\192.168.10.1의 공유 리소스

공유 이름   종류   다음으로 사용  설명

----------------------------------------------------------------

networking  Disk

public      Disk

source      Disk

명령을 잘 실행했습니다. (앞에서와는 달리 서버는 자신의 공유자원을 보여준다. 결국 이 서버는 익명의 계정에 대한 연결을 허용하고 있다는 것을 의미한다. 우리가 남의 서버를 이렇게 들여다 보는 것은 흥미있는 일일지는 모르지만 당신의 서버를 누군가 이렇게 보고 있다고 생각하면 기분나쁜 일이다. )

C:\>

-- 레지스트리에서 익명액세스 허용하지 않도록 설정을 바꾼 후 테스트

C:\>net view \\192.168.0.1

시스템 오류 5이(가) 생겼습니다.

액세스가 거부되었습니다.

C:\>net use \\192.168.0.1 “”/user:””(익명으로 접근을 시도하지만 허용되지 않는다.)

시스템 오류 5이(가) 생겼습니다.

액세스가 거부되었습니다.

<참고> 웹서비스와 관련된 폴더 및 파일에 대한 보안설정

1. 웹 애플리케이션(ASP, CGI 등) 파일에는 Everyone 의 퍼미션을 제거하고, 그밖의 파일들에는 Everyone에 대해서 읽기 권한만 가지도록 설정한다.

2. 웹폴더의 각 파일을 파일형식별로 분류하는 것이 좋다. 파일에 대한 퍼미션 관리가 용이하기 때문이다. 예를 들면, 아래와 같은 형식으로 폴더를 구분한다.

-C:\inetpub\wwwroot\mscs.co.kr\static (.html)

-C:\inetpub\wwwroot\ mscs.co.kr\include (.inc)

-C:\inetpub\wwwroot\ mscs.co.kr \script (.asp)

-C:\inetpub\wwwroot\ mscs.co.kr \executable (.dll)

-C:\inetpub\wwwroot\ mscs.co.kr \images (.gif, .jpeg)

3. FTP폴더와 SMTP폴더 권한설정

기본적으로 FTP루트폴더는 C:\inetpub\ftproot 이고, SMTP루트폴더는 C:\inetpub\mailroot 이다. 이 두 폴더에 대한 NTFS권한은 Everyone에게 모든 권한이 부여되어 있다. 필요한 만큼만 퍼미션을 가지도록 구성해야 할 것이다.

쓰기를 지원하도록 하기 위해서 IIS 서버가 설치된 볼륨과 다른 볼륨으로 이동하거나, 또는 Windows 2000의 디스크 할당량을 사용하여 업로드 크기를 제한하는 것은 좋은 방법이다.

4. IIS 로그 파일에 대한 권한설정

해커가 서버에 침입했다면 그는 마지막 작업으로 IIS서버의 로그파일을 지워 자신의 흔적을 없애려는 시도를 할 것이다. IIS에서 생성하는 로그 파일(%Systemroot%\system32\LogFiles)에 대한 NTFS 퍼미션을 아래와 같이 구성한다. - Administrators (모든 권한) , System (모든 권한) , Everyone (RWC)

* 참고자료 : 마이크로소프트 테크넷 홈페이지 (http://www.microsoft.com/korea/technet/security/tools/iis5cl.asp#165330a)

인터넷 서비스 관리자 (ISM)를 열고 기본FTP사이트의 등록정보를 열었다. 몇가지 정보가 보인다. 인터페이스는 기본 웹사이트와 유사하므로 쉽게 접근할 수 있을 것이다. FTP서비스의 기본포트인 TCP포트21번이 설정되어 있다. FTP서버에서 이 TCP포트를 변경하였다면 FTP사용자는 바뀐 포트를 알아야만 FTP서버에 연결할 수 있다.

‘보안계정’탭을 열어보니 ‘익명연결허용’이 선택되어 있는 것이 보인다. 기본적으로 FTP서버에는 어느 누구나 접근하도록 설정되어 있다. 이것을 해제시키라는 것이 아니다. FTP사용을 할 때 보안을 필요로 하다면 ‘디렉터리 보안’ 탭을 이용하여 Access List 를 관리하는 것이 바람직하다.

‘메시지’탭에는 간단한 설정을 할 수 있도록 해 준다. 사용자가 로그인했을때의 메시지, 로그오프할때의 메시지, 허용된 연결을 초과했을때의 메시지 등을 설정한다.

‘홈 디렉터리’탭에서는 FTP서비스를 제공할 폴더를 지정할 수 있고, 해당 디렉터리에 대해서 어떤 권한이 할당되었는지를 보여준다. ‘쓰기’권한은 기본적으로 없다. FTP사용자가 파일 업로드를 할 수 있도록 하기 위해서는 ‘쓰기’를 허용해 주어야 한다. ‘쓰기’허용이 되어 있다고 무조건 FTP사용자가 파일 업로드를 할 수 있는 것은 아니다. FTP사용자는 최종적으로 NTFS파일시스템에 주어진 권한을 따르게 되기 때문에 NTFS파일시스템에 쓰기 권한이 없다면 파일 업로드는 불가능하다.

‘쓰기’권한을 설정할때는 신중을 기해야 한다. NTFS허가, 디스크 할당량 관리 등을 통해서 피해를 최소화할 기본방안은 마련이 되어야 할 것이다.

마지막으로 ‘디렉터리 보안’탭에서는 접근하는 클라이언트의 IP주소에 대해 접근제어를 관리할 수 있다.

D:\> ftp (기본제공되는 ftp 클라이언트 유틸리티를 실행했다.)

ftp> open ftp.windowsnetwork.msft (ftp.windowsnetwork.msft 이름의 FTP서버와 연결을 하고자 한다.)

Connected to ftp.windowsnetwork.msft.

220-Microsoft FTP Service

220 WindowsNetwork FTP Server

User (ftp.windowsnetwork.msft:(none)): anonymous (익명의 사용자로 접속하겠다는 것이다.)

331 Anonymous access allowed, send identity (e-mail name) as password.

Password: (패스워드로써 E-mail 주소를 요구하지만 강제사항은 아니다. 이곳에 기록되는 정보는 FTP서버의 로그에 기록된다.)

230-FTP서버에 성공적으로 접속하셨습니다.

230 Anonymous user logged in.

ftp> ls (FTP서버의 폴더의 목록을 보여달라고 요청하고 있다.)

200 PORT command successful.

150 Opening ASCII mode data connection for file list.

data

ftproot.txt

notice.txt

226 Transfer complete.

ftp: 31 bytes received in 0.01Seconds 3.10Kbytes/sec.

ftp> get notice.txt (notice.txt 파일을 다운로드 하고자 한다.)

200 PORT command successful.

150 Opening ASCII mode data connection for notice.txt(0 bytes).

226 Transfer complete. (다운로드가 완료되었다)

ftp> lcd (FTP클라이언트가 실행되고 있는 로컬경로를 보여준다.)

Local directory now D:\.

ftp> put report.doc (이번에는 로컬디렉터리에 있는 report.doc파일을 FTP서버에 업로드하고자 한다.)

200 PORT command successful.

550 report.doc: Access is denied. (서버로부터 거부되었다. FTP서버의 기본권한은 읽기만 있던 것을 기억하라. )

ftp> put report.doc (FTP서버에서 쓰기 권한을 준 후 다시 시도하였다.)

200 PORT command successful.

150 Opening ASCII mode data connection for report.doc.

226 Transfer complete. (성공적으로 파일이 업로드 되었다.)

ftp> lcd c:\driver (로컬 경로를 변경한다.)

Local directory now C:\driver.

ftp> cd data (로그인한 FTP서버의 현재 위치를 변경한다.)

250 CWD command successful.

ftp> disconnect (FTP서버와의 연결을 끊고 있다.)

221 행복한 하루 되세요.

ftp> bye (FTP클라이언트 유틸리티를 마치고 있다.)

D:\>

일단 FTP사용자를 생성해 보자. 일반서버라면 '관리도구à컴퓨터관리'를 이용하고 도메인 컨트롤러라면 '관리도구àActive Directory 사용자 및 컴퓨터'를 이용하게 된다. 예제에서는 홍길동이라는 이름의 사용자를 'kdhong' 이라는 계정으로 생성하였다. 테스트 환경에서 사용자가 도메인컨트롤러에 구성된 FTP서버로 로그인을 하기 위해서는 서버측의 로컬정책을 수정해 주어야 한다. 이 내용에 대해서는 13장의 “대화형으로 로그온 할 수 없습니다.” 를 참고하라.

FTP 사용자들이 접근하게 될 폴더는 NTFS 파티션에 존재해야 한다. 만일 NTFS파티션이 없다면 새롭게 만들거나, 기존의 FAT 파티션을 NTFS 로 변경해야 한다. 명령프롬프트에서 convert 명령을 사용하여 변경할 수 있다. 테스트 환경에서 D: 는 NTFS 파티션으로 포맷이 되어 있다.

FTP서버의 FTP루트 폴더는 기본적으로 C:\Inetpub\ftproot 폴더이다. Ftproot 의 NTFS퍼미션을 조정하여 Users 그룹을 제거시킨다. 이것은 사용자들이 자신의 FTP홈폴더로 접근한 다음 상위로 이동하여 FTP루트에 접근하는 것을 막아준다.

먼저 NTFS 파티션으로 포맷된 드라이브에 각 사용자별로 폴더를 생성하기 전에 FTP에서 사용자 홈폴더 저장소로 사용될 폴더를 하나 생성한다. 예제에서는 "ftpuser"라는 이름으로 폴더를 생성하였다.

[확인]을 눌러서 설정을 마친다음 'ftpuser'아래에 FTP 사용자 계정과 같은 폴더이름을 생성한다. 홍길동의 사용자 계정이 'kdhong'이었으므로 폴더이름도 'kdhong'이 되어야 한다. 이것이 일치하지 않으면 사용자는 홈폴더를 사용할 수 없게 된다.

위에서 생성한 사용자의 홈폴더인 kdhong의 등록정보를 열어서 모든 기본 사용권한을 제거하고, 홍길동(kdhong@windowsnetwork.msft)에게만 '모든 권한'이 주어질 수 있도록 사용권한 설정을 한다.

폴더설정을 마쳤다. 이제는 IIS의 FTP 서비스 설정을 해야 한다. 관리도구-인터넷 서비스 관리자(ISM)을 실행하고, 기본 FTP사이트를 클릭한 다음 '새로 만들기à가상 디렉터리'를 선택한다.

가상 디렉터리 별칭을 입력한다. 예제에서는 홍길동의 사용자 계정에 해당하는 kdhong을 입력했다.

'FTP사이트 컨텐트 디렉터리'창에서 사용자를 위해 설정했던 물리적인 폴더가 있는 경로를 [찾아보기]를 이용하여 지정해 준다.

가상 디렉터리에 대한 기본 권한은 '읽기(R)'로 되어 있다. 사용자가 파일을 업로드 할 수 있도록 '쓰기(W)'옵션을 체크해 준다. NTFS 퍼미션이 '모든 권한'으로 되어 있더라도 가상 디렉터리에 대한 액세스 권한이 '읽기(R) '만 지정되어 있으면 사용자가 FTP로써 서버에 접속하면 읽기 권한만 가지게 된다.

구성이 완료되었다. [마침]을 눌러서 마법사를 마친다.

마법사를 완료하면 기본 FTP 사이트 아래에 kdhong 의 가상 디렉터리가 생성된 것을 확인할 수 있다. FTP 사이트는 기본적으로 '익명 연결 (Anonymous Access)'을 허용하고 있다. 사용자별로 계정관리를 하려고 하기 때문에 익명연결을 허용하지 않도록 구성해야 한다. 기본 사이트의 등록정보로 접근하여 '보안계정'탭을 누른후 '익명 연결 허용'옵션의 체크박스를 해제한다.

암호화를 하지 않는다는 메시지를 보여준다. 아쉽지만 그렇다. 네트워크 채널 보안을 위해서는 IPSec, VPN 등의 구현을 검토해야 한다. 계속해서 [예]를 선택한다.

(1)   CSR (Certficate Signing Request) 생성

(2)   서버 인증서 발급 요청 및 인증서 설치

(3)   SSL 서버 구성

웹서버에서 SSL을 적용하고자 하는 웹사이트의 등록정보를 연다.

등록정보의 ‘디렉터리 보안’탭을 확인한다. [인증서 보기]가 비활성화되어 있음을 기억하자. [서버인증서]를 클릭한다.

웹 서버 인증서 마법사가 실행된다. [다음]을 누른다.

서버 인증서 화면에서는 ‘새 인증서를 만듭니다.’를 선택한다.

‘요청을 지금 준비하지만 나중에 보냅니다.’를 선택한다. 이 옵션이 CSR을 생성하게 해 준다.

인증서 이름을 입력하고, 인증서 요청에 포함시킬 공개키의 길이를 결정한다. 필자는 1024비트를 선택했다. [다음]으로 진행한다.

인증서에 들어갈 조직, 조직구성단위 등을 입력한다. 나중에 이 웹서버에 연결하는 클라이언트들이 인증서를 통해서 확인하게 될 정보이므로 명확하게 입력할 필요가 있다.

사이트 일반 이름 화면이 열리는데, 아주 중요한 옵션이다. 예제에서는 ssl.windowsnetwork.msft 을 입력했는데 클라이언트는 https://ssl.windowsnetwork.msft  URL을 이용해서 접근하게 될 것이다. 이 이름이 잘못되면 웹서버로 접근하는 클라이언트측에서는 인증서의 이름이 웹사이트의 이름과 맞지 않는다는 에러 메시지를 보여주게 된다.

실제로 웹서비스를 할 웹사이트의 이름을 정확히 입력해 준다. 예를 들어서 쇼핑몰을 운영하는 www.mscs.co.kr 웹사이트가 있다고 가정하자. 클라이언트가 이 쇼핑몰에 처음 접근할 때는 http://www.mscs.co.kr URL을 이용해서 접근할 것이다. 이러한 경우는 암호화된 통신이 이루어지지 않는다. 사용자 계정과 암호를 넣고 로그인을 하는 트래픽도 마찬가지로 대부분의 경우 암호화를 하지 않고 있다. 앞으로 관리자들의 의식이 바뀌어 가고 고쳐가야 할 부분이다.

하지만 사용자가 쇼핑을 하면서 구입하고자 하는 아이템을 장바구니에 담고 최종적으로 결제하고자 할때는 [결제하기]버튼을 누르면 그때는 https 프로토콜을 이용해서 SSL통신을 하게 되는데(모든 쇼핑몰 사이트가 그렇다는 것은 아니다. 안타깝게도 사용자의 신용카드 정보와 유효기간 등을 요구하는 결제페이지가 암호화를 지원하지 않는 사이트도 보았다), 만일 이 회사의 결제 페이지의 이름이 payment.mscs.co.kr 이었다면 그때 클라이언트가 접근하게 되는 URL은 https://payment.mscs.co.kr 이 될 것이다. 그렇다면 인증서에도 발급대상의 이름란에는 payment.mscs.co.kr 가 들어있어야 한다. 이렇게 인증서의 발급대상 주소와 인증서가 실제 사용되는 웹사이트의 주소가 정확하게 일치하지 않으면 이 서버에 접근하는 사용자는 인증서 관련한 에러를 만나게 될 것이고 뭔가 믿음이 가지 않는 꺼름직한 기분을 느끼게 될 것이다.

‘지역정보’란에 회사의 위치에 해당하는 국가명, 시/도, 구/군/시 등의 정보를 입력하고 [다음]으로 진행한다.

인증서 요청 (CSR) 파일을 저장할 위치를 지정하고 요청파일의 이름을 잘 기억해 둔다. 기본적으로 파일이름은 certreq.txt 로 저장된다.

이제 거의 마쳤다. ‘요청 파일 요약’정보를 잘 확인하고 [다음]을 누른다. 잘못 되어서 인증서 재발급을 받아야 한다면 인증서 발급 기관 (CA)에 추가비용을 지불해야 할 것이다. [다음]을 눌러서 마법사를 마친다.

위에서 지정한 위치로 이동하여 certreq.txt 파일을 열어보았더니 알 수 없는 글자가 잔뜩 쓰여진 것을 알 수 있다. ‘------ BEGIN NEW CERTIFICATE REQUEST ------‘로 시작하고, ‘------ END NEW CERTIFICATE REQUEST ------‘ 로 끝나는 메시지를 담고 있다.

인증서 발급 요청을 위해 웹브라우저를 실행하고 http://www.windowsnetwork.msft/certsrv URL을 이용하여 접근하였다. WindowsNetwork CA 가 응답하고 있는 화면이다. ‘인증서 요청’을 선택하고 [다음]을 눌렀다.

요청 유형을 결정하는 화면이 나온다. ‘고급인증서요청’을 선택했다.

‘고급 인증서 요청’ 화면에서 두번째 메뉴인 ‘Base 64 인코딩 CMC 또는 PKCS #10파일을 사용하여…’을 선택하고 [다음]을 누른다.

‘인증서 또는 갱신 요청 제출’화면에서 ‘저장된 요청’상자에 CSR이 생성된 certreq.txt 파일의 내용을<그림10-68> “------ BEGIN NEW CERTIFICATE REQUEST ------‘부터 ‘------ END NEW CERTIFICATE REQUEST ------‘까지 포함하여 복사하여 웹브라우저의 창으로 붙여넣기 하고 [제출]을 누른다.

‘인증서 대기중’화면이 보인다. 인증기관으로 인증요청은 전송되었고 인증기관이 보류중이라는 상태를 보여준다. 이 화면은 인증기관의 정책에 따라 달라질 수 있다. Windows Server 2003 독립실행형 CA의 경우는 기본설정이 인증서 발급요청에 대해 대기중으로 처리된다.

<참고> 윈도우 서버 인증기관(CA)의 인증서 발급과정

웹서버에서 SSL서버를 사용하고자 인증기관으로 인증요청을 보냈을 때 인증기관에서는 어떻게 처리되는지 확인해 보자. 인증기관 서비스가 동작하고 있는 서버에서 ‘관리도구à인증기관’을 실행했다.

<그림10-74. 보류중인 인증서 발급 요청>

예제의 화면에서는 WindowsNetwork CA 의 인증서 관리콘솔을 보여주는데, 보류중인 요청을 보니 오른쪽 패널에 하나의 인증서 발급 요청이 올라와 있는 것을 확인할 수 있다. 마우스 오른쪽 클릭하여 ‘모든 작업à발급’을 선택했다.

이제 발급된 인증서 항목에서 인증서를 확인할 수 있게 되었다.

인증서 발급이 되었는지 확인하기 위하여 다시 웹브라우저를 이용하여 http://www.windowsnetwork.msft/certsrv 로 접근했다. 이번에는 보류중인 인증요청을 확인하려는 것이니 마지막 메뉴인 ‘대기중인 인증서 요청의 상태표시’를 선택하고 [다음]을 누른다.

현재 보류중인 요청을 보여준다. 링크를 클릭한다.

인증서가 발급되었다. 인증서를 다운로드 할 수 있다. ‘인증서 다운로드’를 선택한다.

인증서를 다운로드 한다는 메시지가 팝업되었다. [저장]을 누른다.

저장할 위치를 결정한다. 접근의 편의를 위해서 바탕화면에 저장하였다. 이제 인증서를 발급받는 작업을 마쳤다.

SSL서버를 구성하고자 하는 웹사이트의 등록정보를 열고 ‘보안통신’항목을 연 다음, [서버 인증서]를 클릭한다.

웹서버 인증서 마법사가 열렸다.

처음 CSR을 생성하기 위해 접근했을때와는 다른 화면을 보여준다. 웹서버에서 기존에 CSR을 생성하고 인증서를 설치하기 위해 보류중이기 때문에 다른 화면이 보이는 것이다. ‘보류 중인 요청을 처리한 다음 인증서를 설치합니다.’를 선택하고 [다음]을 누른다.

인증서의 위치를 묻는 화면이 나온다.

바탕화면에 저장해 둔 certnew.cer 파일을 지정해 준 다음 [다음]을 누른다.

SSL통신에 사용할 포트번호를 묻고 있다. 기본포트인 443 포트를 사용하고자 한다.

인증서 요약 정보를 보여준다. 잘 확인해 본 후 [다음]을 누른다. 이제 웹 서버 인증서 마법사를 완료하였다.

<참고> 웹서버에서 ‘신뢰된 루트 인증기관’ 확인

웹서버가 발급받은 인증서를 발급해준 인증기관(CA)이 ‘신뢰된 인증기관’의 목록에 있는지 확인해 보도록 하자. 베리사인 등의 상업용 외부CA로부터 인증서를 발급받았거나, 도메인환경에서 웹서버와 인증기관 모두가 같은 도메인에 있을 때 인증서를 발급받은 것이라면 신뢰된 인증기관의 목록에서 인증기관의 이름을 찾을 수 있을 것이다. 이 경우는 바로 SSL서버구성을 시작해도 좋다.

그렇지만 테스트환경에서 웹서버와 인증기관은 아무런 관계가 없다. 또한 테스트에서 사용한 인증기관은 자체적인 내부CA로 구성된 인증기관이므로 이대로 사용하면 웹서버에서 SSL서버 구성하는 작업을 진행하기 전에 먼저 웹서버에서 자신이 발급받은 인증서를 발급해준 인증기관을 ‘신뢰된 인증기관’의 목록에 추가시키는 작업을 해 줘야 한다. 상업용 CA로부터 받았더라도 아래의 인터페이스를 통해서 확인해 보도록 하자.

<그림10-88. 신뢰된 인증기관 구성1>	‘제어판à인터넷 옵션à내용à인증서’를 클릭한다.
<그림10-89. 신뢰된 인증기관 구성2>	신뢰된 루트 인증기관의 목록을 확인하였다. 당신의 인증서를 발급해준 인증기관의 이름을 찾을 수 있는가? 찾을 수 없다면 [가져오기]를 클릭한다.
<그림10-90. 신뢰된 인증기관 구성3>	인증서 가져오기 마법사가 시작된다.
<그림10-91. 신뢰된 인증기관 구성4>	인증기관으로부터 발급받은 인증서의 위치를 찾는다. 바탕화면에 certnew.cer 로 저장했음을 기억하자. 인증서에는 발급대상의 정보도 있지만 더불어 발급해준 인증기관의 전자서명도 들어있다. 웹서버에서 사용할 인증서를 인증기관이 전자서명을 통해서 ‘신뢰성’을 부여하는 것이다. 가져올 파일의 위치를 잘 확인한 다음 [다음]을 누른다.
<그림10-92. 신뢰된 인증기관 구성6>	인증서 저장소의 위치를 묻는다. ‘모든 인증서를 다음 저장소에 저장’을 선택하고 ‘신뢰된 루트 인증기관’을 선택하였다.
<그림10-93. 신뢰된 인증기관 구성8>	인증서를 저장소에 추가하겠다는 메시지가 나왔다. 잘 읽어보자. [예]를 선택하면 인증서 가져오기가 완료된다. 이제 ‘신뢰된 루트 인증기관’목록에서 Secure.pe.kr CA의 이름을 찾을 수 있다.
이상으로 신뢰된 루트 인증기관 구성을 마쳤다.

계속해서 웹서버에 SSL통신을 하도록 구성을 해 보자.

이제 서버에 인증서가 설치되었으니 이 인증서를 이용해서 SSL통신을 하도록 구성을 하면 되는데, 이것은 웹사이트, 가상 디렉터리, 특별한 파일 하나, 어떠한 부분에서라도 할 수 있다. 웹사이트 전체에서 구현하려면 웹사이트에서 등록정보로 접근하고, 특정 가상디렉터리에만 적용하려면 가상디렉터리에서, 특정 파일만 SSL통신을 하도록 하려면 해당 파일을 클릭하고 등록정보로 접근한다.

예를 들어서 웹서버에 사용자 로그인 처리할때는 SSL통신을 통해서 사용자 정보를 보호하겠다고 생각했다면 로그인을 처리하는 asp파일에만 SSL인증을 구현할 수도 있다.

예제에서는 웹사이트 등록정보를 열고 ‘디렉터리 보안’탭을 열었다. 이제 보안통신 항목에 [인증서 보기]가 활성화된 것을 확인할 수 있다. 인증서를 확인하기 위해서 [인증서 보기]를 눌렀다.

인증서를 확인해 보니, 용도는 ‘원격 컴퓨터의 신분을 확인합니다.’로 되어 있고, 발급대상은 ‘ssl.windowsnetwork.msft’, 발급자는 ‘WindowsNetwork CA’이다. 이상없는 인증서이다. 추가로 자세히탭과 인증경로탭도 확인해 보라. 여러가지 정보를 확인할 수 있을 것이다.

다시 ‘디렉터리 보안’탭으로 돌아와서 ‘보안통신’항목의 [편집]버튼을 클릭했다.

보안통신 화면에서 ‘보안 채널 필요(SSL)’항목을 체크했다. 이제 이 서버는 https 프로토콜을 통해서 접근하는 클라이언의 요청만 받아들일 것이다.

웹브라우저를 열고 http://ssl.windowsnetwork.msft사이트에 접근했다. ‘보안채널을 통해서 보아야 한다’는 메시지를 출력한다. 웹서버에서 <그림10-96>과 같이 ‘보안 채널 필요’를 선택한 결과이다.

다시 https 로 바꿔서 접근해 보았다. https:// ssl.windowsnetwork.msft 를 이용해서 접근했더니 이번에는 그림처럼 ‘보안경고’ 창이 팝업된다. 클라이언트는 https 프로토콜로 접근하고 있고 SSL서버로부터 서버인증서를 확인하였는데, 인증서에 문제가 있음을 알려주는 경고창이다. 3가지 항목중 맨 위의 항목인 ‘신뢰여부를 결정한 적이 없는 회사가 발행한 인증서’라는 경고메시지가 보일 것이다.

클라이언트쪽에는 이미 ‘신뢰된 인증기관’의 목록이 있는데 이 목록에서 ssl.windowsnetwork.msft 사이트에서 가지고 있는 인증서를 발행한 인증기관의 이름을 찾을 수 없었기에 이러한 경고메시지를 내 보내는 것이다.

하지만 경고메시지의 맨 위에있는 내용은 ‘이 사이트와 교환한 정보는 다른 사람이 보거나 변경할 수 없습니다.’라는 내용을 보여준다. 암호화를 통한 SSL통신에는 문제가 없다는 것을 나타낸다.

웹서버의 인증서를 확인하기 위해 [인증서 보기]를 눌렀다. ssl.windowsnetwork.msft 사이트에서 내부CA로부터 발급받은 인증서를 사용했기 때문에 생기는 에러메시지이다. 한가지 사실을 알게 되었다. 내부CA를 사용하더라도 SSL 통신에는 문제가 없다. 다만 가장 중요한 문제는 ‘신뢰성’의 여부에 달려 있는 것이다.

이대로는 뭔가 찜찜한 기분이 남아있다. 어떻게 해결할 것인가? Active Directory 도메인 환경에서는 그룹정책을 이용하여 사용자들의 PC에 인증기관의 인증서를 ‘신뢰할 수 있는 인증기관’에 추가시키는 작업이 가능하다. 그러면 깔끔해지겠지만, 도메인 환경이 아니라면 약간의 작업을 해 줄 필요가 있다. 서버에서 그랬던 것처럼 클라이언트도 동일하게 웹브라우저를 열고 http://www.windowsnetwork.msft/certsrv 인증서 서비스 웹페이지에 접근한 다음 ‘CA인증서, 인증서 체인 또는 CRL다운로드’를 선택한다.

<그림10-101>화면에서 ‘이 CA 인증서 체인을 설치하십시오’ 링크를 클릭한다.

인증서를 추가하도록 [예]를 선택하여 신뢰할 수 있는 루트인증기관에 WindowsNetwork CA를 추가하고자 한다.

설치를 마쳤다.

다시 https://ssl.windowsnetwork.msft 로 접근해 보았다. 아무런 에러 메시지가 없이 SSL웹사이트가 잘 열리는 것을 확인할 수 있다. 웹브라우저 아래의 상태표시줄에 노란 자물쇠를 더블클릭하여 인증서를 확인할 수 있다.

a.com, b.com, c.com 각각의 도메인의 네임서버는 웹서버의 IP 주소로 하나의 웹서버를 가리키고 있어야 하는 것은 당연하다. 예제에서는 하나의 DNS서버에 각각 도메인을 추가해 두었다.

         www.a.com  -> 192.168.0.15

         www.b.com  -> 192.168.0.16

         www.c.com  -> 192.168.0.17

"IP주소 및 포트설정"화면에서 기본설정은 (지정하지 않은 모든 IP) 라는 설정으로 되어 있다. IP주소 드롭다운콤보박스를 클릭하면 앞에서 설정한 IP Address들을 볼 수 있다. www.c.com 웹서버로 할당된 IP Address인 192.168.0.17을 선택한다.

이제 웹사이트가 추가되었고, 잘 동작하고 있음을 보여준다. 웹사이트를 시작하는데 문제가 있었다면 c.com 옆에 (중지됨)이라는 메시지를 보여줄 것이다. 같은 방법으로 나머지 사이트도 추가를 했다.

이제 테스트를 해 보자. 웹 브라우저를 띄우고 URL창에 "http://www.c.com"을 입력해 보았다. DNS를 통해서 www.c.com 의 IP Address가 192.168.0.17인 것을 알아내고, http 프로토콜로서 웹서버에 홈페이지를 요청하는 get 명령어를 전송한다. 페이지를 볼 수가 있게 되었다.

DNS서버의 설정은 www.a.com www.b.com www.c.com 의 DNS호스트 레코드가 더 이상 제각각 다른 IP Address로 설정되어서는 안된다. 192.168.0.16이라는 하나의 IP Address를 가리키도록 설정을 한다. <그림10-49>에서는 Ping 테스트를 이용하여 이들 세개의 호스트이름이 192.168.0.16 이라는 하나의 IP Address로 설정되어 있음을 확인했다.

a.com 웹 사이트에서 접근해 보자. 등록정보를 열고 ‘웹사이트’탭에서 ‘웹 사이트 확인’항목에서 [고급]을 누른다.

‘고급 웹 사이트 확인’화면을 보면 세번째 상자에 ‘호스트 헤더 이름’을 입력할 수 있다. 여기에 www.a.com 이라고 입력한 다음 [확인]을 누른다.

같은 방법으로 www.b.com, www.c.com 도 작업을 마쳤다. 화면에서 보면 세개의 웹사이트는 정상적으로 시작되었고, 오른쪽 패널에서는 호스트 헤더이름들이 설정되어 있음을 보여준다.

http://www.a.com 을 이용해서 테스트해 보았다. a.com 웹사이트가 열린 것을 확인할 수 있다.

이렇게 호스트헤더를 사용했을때는 클라이언트가 다른 호스트이름을 통해서 이 서버에 접근했을 때는 서버는 응답하지 않고 에러메시지를 내 보낸다. 예를 들면 www.b.com 의 IP Address가 192.168.0.16이고, test.b.com 의 IP Address역시 192.168.0.16 이라고 가정했을 때 클라이언트가 http://www.b.com 으로 접근하면 해당 웹사이트가 응답하지만, http://test.b.com 으로 접근을 하면 비록 DNS쿼리가 정상적으로 이루어져 웹서버의 IP Address인 192.168.10.1로 접근이 된다고 하더라도 웹서버는 해당 웹사이트의 홈페이지를 제공하지 않는다.

그렇기 때문에 만일 하나의 웹사이트가 여러 개의 이름으로 접근하도록 설정해야 할 필요가 있다면 호스트헤더를 추가로 입력해 주어야 한다. 예제로 들어보자. www.b.com 사이트에 클라이언트가 http://b.com URL을 이용해서도 웹사이트에 접근하도록 해 주고자 한다.

인터넷 서비스 관리자를 실행하고 b.com 웹사이트의 등록정보를 열고, 호스트헤더 이름항목의 www.b.com 아래에 “b.com”을 추가했다.

DNS서버에서도 한가지 작업이 있어야 한다. b.com은 b.com도메인에 공백의 이름으로 할당된 하나의 호스트레코드이다. DNS관리콘솔을 열고 b.com 관리영역에 호스트이름을 비워두고 192.168.0.16을 가리키도록 A레코드를 생성했다. <그림10-55>를 참고한다.

테스트를 해 보았다. 웹브라우저를 실행하고 http://b.com 으로 접근해도 http://www.b.com 으로 접근할때와 동일한 웹사이트가 펼쳐지는 것을 확인할 수 있다. 실습이 성공했다.

웹사이트를 추가하는 것과는 분명히 구분해야 한다. 가상 디렉터리를 만들고자 하는 웹사이트에서 마우스 오른쪽 클릭하여 ‘새로 만들기à가상 디렉터리’를 선택한다.

가상 디렉터리 별칭을 입력하는 화면이다. 이것은 중요한 이름이다. http://www.windowsnetwork.msft사이트에서 생성되는 wonsuk 이라는 가상디렉터리는 http:// www.windowsnetwork.msft/wonsuk 이라는 URL을 가지게 된다.

Wonsuk 이라는 가상디렉터리를 실제 물리적인 폴더와 연결시켜주어야 한다. 예제에서는 D:\Inetpub\wwwroot\wonsuk 폴더를 선택했다.

액세스 권한은 ‘읽기’와 ‘스크립트 실행’이 기본설정이다. 그대로 두고 [다음]으로 진행하면  가상 디렉터리 생성이 왼료된다.

인터넷 서비스 관리자를 통해서 보면 ‘Wonsuk’이라는 가상 디렉터리가 생성된 화면을 보여준다. 마우스 오른쪽 클릭하여 ‘웹 페이지로 보기’를 선택한다.

웹브라우저가 실행되고, http:// www.windowsnetwork.msft/wonsuk URL을 가리키는 것을 볼 수 있다. 홈페이지가 잘 열리는 것을 볼 수 있다.

사실 IIS는 가상디렉터리 생성작업을 너무나 쉽게 지원해 주고 있다. 이번에는 윈도우 탐색기를 통해서 접근해 보자.

윈도우 탐색기를 열고 가상디렉터리로 만들고자 하는 물리적인 폴더를 찾은 다음 마우스 오른쪽 클릭하여 ‘공유 및 보안’을 선택한다.

‘웹 공유’탭을 선택하고, 공유위치에서는 가상 디렉터리를 생성할 웹 사이트를 선택한 후 ‘별칭’을 결정해 주면 가상디렉터리 생성이 된다. 이것은 인터넷 서비스 관리자(ISM) 관리도구를 이용해서 작업을 하는 것과 동일한 결과를 보여준다.

웹사이트의 인증에 관련된 작업은 웹 사이트 ‘등록정보’의 ‘디렉토리 보안’탭에서 설정할 수 있다. 디렉토리 보안탭은 ‘익명 액세스 및 인증제어’ ‘IP주소 및 도메인 이름 제한’ ‘보안통신” 이라는 3가지 구성으로 되어 있다. 첫번째 [편집]을 눌러 보았다.

‘인증방법’화면으로 접근했더니 ‘익명 액세스’라는 옵션을 볼 수 있다. 기본적으로 체크되어 있다. 윈도우 서버 2003가 설치되면 기본적으로 “IUSR_컴퓨터이름”형식의 계정이 생성되어 있다. 이 계정이 익명액세스를 허용했을 때 사용되는 계정이다. [편집]을 클릭하여 확인할 수 있다.

웹사이트가 회사홍보용이나 상업용이 아닌 내부적으로 사용하기 위한 용도의 컨텐츠를 담고 있다면 익명액세스를 허용하는 것은 바람직하지 않다. 혹은 웹기반의 인트라넷 사이트가 구성되어 직원의 근태관리, 급여관리, 회계관리 등이 이루어진다면 역시 마찬가지이다. 그때는 회사의 직원들이 각각 계정과 암호를 가지고 접근하도록 구성할 필요가 있을 것이다. 익명액세스를 해제하여야 한다. 그러면 계정이 없는 사용자는 더 이상 이 웹사이트에 접근할 수 없다.

인증된 액세스 방법으로는 Windows 통합인증, Windows 도메인 서버의 다이제스트 인증, 기본인증,.NET Passport인증이라는 4가지 방법이 제공되는데 ‘Windows 통합 인증’이 기본값이다. 이 Windows 통합인증은 익명액세스가 허용되지 않는 경우나, 익명액세스가 허용되어 있더라도 웹페이지의 특별한 파일이 IUSR_computer계정에게 NTFS퍼미션이 허용되지 않는 경우에 사용된다. 이름에서 느껴지는 것처럼 Windows 통합인증은 웹사이트에 접근하는 사용자의 현재 Windows 로그온 정보를 그대로 사용한다. 해당 정보를 이용해서 인증에 문제가 있다면 그 때 로그인 창을 팝업시키게 된다. 멤버서버로 설정된 웹서버에 도메인의 계정으로 로그온한 사용자가 접근하고 있다면 사용자는 별도의 인증과정을 거칠 필요 없이 웹서버의 자원에 접근하는 것이 가능하다는 것이다. 이 Windows 통합인증은 Kerberos, NTLM 등의 암호화된 인증을 사용한다. 기본적으로는 Microsoft 의 운영체제에서만 지원한다. 거의 대부분의 회사환경에서 인증을 원한다면 이 Windows 통합인증을 사용하면 무방하다.

“기본인증(암호를 일반 텍스트로 보냄)”옵션은 인증을 하긴 하지만 클라이언트가 서버에게 보내는 인증 요청은 Clear text (평문)로 전송되기 때문에 제3자에 의한 도청의 위험이 있다. 좋지 않은 방법이다. 하지만 가장 뛰어난 호환성이 제공되므로 모든 벤더의 웹브라우저의 버전들과 호환이 된다.

“Windows 도메인 서버의 다이제스트 인증”은 기본인증보다 한단계 향상된 보안을 제공한다. 암호를 전송하기는 하지만 실제로 암호 자체를 전송하는 것이 아니라 MD5 해시함수를 이용한 해시를 인증에 사용하고 있다. 제3자가 도청을 하더라도 해시함수의 특성상 해시를 이용해서 원본을 알기는 어렵기 때문에 안전하다고 할 수 있다. 이 다이제스트 인증을 사용하기 위해서는 Windows 2000 도메인 즉, Active Directory가 필수적으로 있어야 한다. 사용자는 Active Directory에 계정을 가지고 있어야 하며 Active Directory에 저장되는 사용자 계정의 암호는 시스템 자체에서 암호화되지 않은 일반문서 형태로 저장되어 있어야만 사용될 수 있다.

.NET Passport 인증은 IIS6.0에서 추가된 기능이다. 많이들 사용하는 메신저 프로그램인 MSN Messenger를 사용하기 위해서는 MSN, Hotmail등의 계정에 가입하거나 본인의 메일주소를 Passport로 등록해야 한다는 것을 알고 있을 것이다. 그러한 Passport 계정을 IIS6.0에서 인증하도록 하겠다는 것이다. 결국 마이크로소프트에서 전세계 사용자들을 대상으로 등록받은 그야말로 글로벌 디렉터리인  Passport 를 IIS6.0 웹서버에서 인증용으로 사용할 수 있도록 하겠다는 것인데, 참으로 놀라운 일이 아닐 수 없다. 사용자들이 Passport 계정 하나만 가지면 되도록 하겠다는 야심찬 도전이라고 생각된다. 발표당시에는 상당한 이슈가 되었던 것이 사실이지만 현재 시점에서의 보편성에 대해서는 다소 부정적이다. 늘 그렇듯이 새로운 도전이 보편화되기 위해서는 어느 정도 진통을 겪어야 하는 만큼 분위기가 무르익어야 될 것으로 보여진다.

웹서버에서 .NET Passport 인증을 선택했을 때 (익명인증 옵션 제거) 클라이언트가 접근하면 <그림10-22>의 인증창을 볼 수 있다. 기존에 가진 Passport ID와 암호를 입력하면 로그인이 가능하다.

<그림10-23>을 보면 Active Directory 사용자 및 컴퓨터 스냅인을 이용하여 yhsong 이라는 계정의 옵션을 들여다 보고 있다. ‘해독가능한 암호화를 사용하여 암호를 저장합니다.’ 옵션이 체크되어 있어야만 ‘다이제스트 인증’을 사용할 수 있다.

<그림10-20>에서 이번에는 ‘IP주소 및 도메인 이름제한’에 대한 설정을 살펴보자. 유용한 설정이다. 기본적으로 IIS는 IP제한이나 도메인 제한을 전혀 하지 않고 있다. 사내의 게시판을 위해 사용되는 웹서버라면 외부에서는 아예 접속자체를 차단시킬 수 있는 방법이 된다. 혹은 외부의 특별한 몇몇 컴퓨터들의 IP Address를 기준으로 필터링하는 것도 가능하다. 세가지 유형으로 제한할 수 있는데, 특정한 컴퓨터(IP Address), 컴퓨터그룹(네트워크ID), 도메인이름 중 하나를 선택할 수 있다.

대부분의 보안제품들이 그렇듯이 액세스 제한방법은 2가지를 사용할 수 있다. 최대의 보안(모든 것을 막고 필요한 것만 열어주는 방법)과 최소의 보안(모든 것을 열고 필요한 것만 제한하는 방법) 을 사용할 수 있다. 메시지가 다소 헷갈리긴 하지만 논리적으로 생각하면 쉽게 이해할 수 있다. 예제에서는 최소한의 보안을 적용한 것으로 192.168.0.16을 제외한 모든 IP를 허용한 것을 보여준다. 도메인 이름을 이용한 제한을 사용하고자 할때는 DNS서버의 “역방향 조회 영역”의 구성이 되어 있어야 한다.

192.168.0.16 클라이언트에서 해당 웹사이트에 연결하면 <그림10-26>과 같은 에러메시지를 만나게 된다.

이러한 경우 뿐만 아니라 IIS서버에는 다양한 오류 메시지가 미리 정의되어 있다. %WinDir%\Help\iisHelp\common를 확인하면 수많은 html 문서들을 볼 수 있다. 이 html문서를 편집해도 좋고, 새로운 오류 메시지 문서를 만들어서 웹사이트에 연결시킬 수도 있다.

www.secure.pe.kr 로 URL 리디렉션을 담당할 secure.pe.kr 웹사이트를 생성한다. 인터넷 서비스 관리자에서 서버이름을 마우스 오른쪽 클릭하고 ‘새로 만들기à웹사이트’를 선택한다.

웹사이트의 이름으로는 Secure.pe.kr 이라고 입력했다.

IP주소 및 포트 설정 화면에서 ‘이 사이트의 호스트 헤더’란에 ‘Secure.pe.kr’가 들어감을 주의깊게 보라. Secure.pe.kr URL을 통해서 접근하는 클라이언트에게는 이 웹사이트를 열어주겠다는 것을 나타낸다.

홈디렉터리를 결정한다. URL 리디렉션 할 사이트이므로 텅빈 폴더를 사
용해도 좋다.

웹 사이트 액세스 권한을 기본설정을 그대로 두고 [다음]으로 진행하면 웹 사이트 만들기 마법사가 완료된다.

Secure.pe.kr 웹사이트가 추가된 것이 보인다. 웹 사이트의 등록정보를 연다.

등록정보를 열고 ‘홈 디렉터리’탭을 연 다음 ‘URL로 리디렉션’옵션을 지정한다. ‘다음으로 리디렉션’항목에는 http://www.secure.pe.kr 을 입력했다. 클라이언트가 http://secure.pe.kr 로 접근하면 http://www.secure.pe.kr 로 URL 리디렉션이 될 것이다. 클라이언트 웹브라우저의 주소창에는 URL이 전환되는 모습이 보이게 된다.

<HTML>
<HEAD>
<TITLE>안녕하세요. Windows Network 에 오신 것을 환영합니다</TITLE>
</HEAD>
<FRAMESET ROWS="100%,*" border=0>
    <FRAME name="mainpage" src="http://forgarden.tistory.com”>
</FRAMESET>
</HTML>

l  FTP (File Transfer Protocol)서버 : 파일을 주고 받을 때 사용하는 서버.

l  NNTP (Network News Transfer Protocol)서버 : Outlook Express와 같은 뉴스 읽기 프로그램을 사용하여 ‘뉴스그룹’을 이용할 수 있도록 ‘뉴스그룹’게시판을 서비스하는 서버.

l  SMTP (Simple Mail Transfer Protocol)서버 : 전자메일을 발송하는 서버.

l  WWW (World Wide Web)서버 : 웹페이지를 호스팅 하는 서버.