윈도우 서버 기본인증 및 인증서(SSL)

기본인증에 대해 알아보겠습니다.

인증은 익명의 사용자들을 제외한 인가된 사용자들만이 접속할수있도록 합니다.

기본적인 웹 페이지들은 익명의 사용자들이 들어와서 사용하지만 인트라넷 같은 내부망에는 인증된 사용자만 접근해야하는데 윈도우 서버의 기본인증을 사용해보겠습니다.

기본적인 인트라넷 페이지가 있습니다. 지금은 익명의 사용자들이 들어갈수있는데 기본인증 설정은 윈도우 서버에서 해야합니다.

윈도우 서버의 IIS관리자 창에 보면 인증이 있습니다. 처음 웹서버를 설치할때 옵션에 인증관련 내용이 있는데 이를 체크하고 설치해야 사용가능합니다.

처음 기본값은 익명인증이 사용중인 상태입니다. 작업에 사용안함을 클릭하고 기본인증을 사용하도록 합니다. 

단 주의할 점은 기본인증은 인증 시 아이디와 패스워드를 평문으로 전송하기 때문에 보안에 취약합니다.

시작 -> 관리도구 -> 컴퓨터관리 를 클릭하면 컴퓨터 관리창이 나옵니다 여기서 왼쪽에 보면 로컬 사용자 및 그룹이 있는데 이곳에서 일반사용자의 아이디를 만들어야합니다. 패스워드 설정은 정책에 맞춰 대,소문자, 숫자, 특수문자 중 3가지가 포함되어야합니다.

다시 임의로 만든 인트라넷에 접속하게 되면 아이디와 패스워드를 묻게 되고 인가된 사용자만 사용할수 있게 됩니다.

웹 사이트 인증서(SSL)에 대해 알아보겠습니다.

웹 사이트의 인증서는 공인/사설 인증서로 나눠지며 기업용 공인인증서는 최소가격이 110,000원 합니다.

웹 브라우저에 보면 공인인증서들을 확인할수있는데 인증서를 사용하는 이유는 신뢰성과 보안을 위해서입니다.

지금부터 만들 인증서는 사설인증서이며 같은 인증서지만 공인인증서가 아니기에 웹 사이트에는 안전하지 않는 웹 사이트라는 문구가 뜨게 됩니다.

사설인증서(SSL)를 만들어보겠습니다.

IIS관리자 창에 서버인증서 아이콘을 클릭합니다.

옆에 보면 자체 서명된 인증서 만들기가 사설인증서 만들기 입니다. 이걸로 개인이 인증서를 만들수있습니다.

새롭게 웹사이트를 추가하거나 바인딩 추가에서 https로 바꾸고 방금 만든 사설인증서를 선택합니다.

사설인증서이기 때문에 암호화는 하지만 신뢰할수는 없다고 나옵니다.

계속 탐색을 클릭하면 접속이되며 https로 접속된걸 확인할수있습니다.

공인인증서(SSL)인 경우 보통 1년마다 인증서를 갱신합니다.

Tip

1. 디렉터리 리스닝 제거

디렉터리 리스닝 기능은 웹 서버의 구조를 알수있어 보안에 취약한데 이 기능을 사용하지 않을수있습니다.

IIS관리자 창에 디렉터리 검색이 있는데 여기에서 작업에 사용안함을 클릭하면 디렉터리 리스닝 기능을 사용하지 않을수가 있습니다.

2. HTTP 헤더 응답 추가

HTTP헤더에 응답을 추가하여 누구의 HTTP인지 알기 쉽게 만들수있습니다. 위와 같이 추가하고 BurpSuite로 HTTP헤더를 확인해보겠습니다.

Response에 HTTP헤더 응답 추가한 부분을 확인해볼수있습니다.