제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

21번 FTP 서비스포트를 이용하면 공격 타겟이 되고 사전공격 인증에서 시간이 지나게 되면 털리게 되는것이 지금의 보안문제입니다. IIS7.5 부터는 가상호스트 기능이 추가가 되어 ID 인증 방식이 아닌 가상사이트 도메인 인증방식으로 할수 있는 장점이 있으며 IIS8 버젼부터는 비정상적으로 로그인 시도를 할경우 IP를 차단하는 기능도 추가가 되었습니다.

"사용자

"사용자
정해진 수만큼 인증에 실패하면 FTP 소켓세션을 유지할수가 없고 차단이 되어버립니다. 그리고 인증시도도 이루어질수가 없으므로 보호를 할수가 있습니다. 기간을 많이 늘린만큼 더더욱 보호가 되겠지만 정말 실수로 인증 실패한 사용자들에게 치명타가 될수 있으니 적당히 기간을 조정해야 합니다.

"사용자
위기능이 생기고 난후부터 구지 포트를 변경하지 않더라도 21번 포트로 FTP사이트를 많이 생성할수가 있게 되었습니다. 물론 보안까지도 더욱 강화되었습니다.
혹시나 싶어서 한번 로그인 시도를 해볼려고 ID만 입력했더니 호스트정보 입력안했다고 바로 끊어버리더군요.
21번 취약한 서비스포트에 부담이 가는 현실이지만 이기능으로 인하여 안전한 FTP서버를 운영하게 되었습니다. 물론 외부 포트막고 VPN쓰면 되지라고 하면 할말없지만 모든 사람들에게 VPN계정을 만들어줘야 하며 그에대한 절차가 많아질수 있기 때문에 외부노출 FTP서버에 보안 및 기능개선에 한번 포스팅을 남겨봅니다.

2013/12/11 20:51 2013/12/11 20:51
Posted
Filed under Study
사용자 삽입 이미지
http://forums.iis.net/p/1155312/1893725.aspx

SMB 패킷 기본값과 FTP 와의 다른 차이때문에 발생한다는 이슈라고 나오는거 같습니다. 임시방편으로는 레지스트리에 AFD 패러미터 값에 LargeBufferSize DWORD 값을 생성하고 원하는 값을 넣으면 그만큼 올라갑니다. 32K값을 넣었을때는 30Mbps 정도 나오고 64K값을 넣었을때는 두배 속도가 나옵니다. 100메가 다 땡겨가고 싶다면 그만큼 값을 넣으면 되겠죠? 기본값이 4K라서 4Mbps 즉 400킬로바이드로 다운받는 답답함을 여기서 해결되었습니다.
이거 그냥 패치로 해결해주면 안되는건지 왜 알면서 이렇게 해결 안해주는건가 의문이 갈정도입니다. 이 이슈가 생긴지도 꽤 오래 되었는데도 말이죠.
FTP UNC 경로를 사용하게 되는 이슈가 전에 포스팅을 남긴게 있습니다. 가상디렉토리를 보여줌으로 했을때 발생하는 에러도 참고하면 좋을거 같습니다.

http://blog.sooli.com/475
2012/01/01 17:56 2012/01/01 17:56
Posted
Filed under Study

IIS7에서 지원한다는 FLV,MP4 화일을 스트림 해줄수 있는 웹플레이어 입니다. 껍데기는 플래쉬로 되어서 어느 브라우져든 스트리밍 플레이가 가능합니다.

많은 동영상중에 하필 이런거를 소스로 삼냐고 묻는다면…(본능입니다)

실버라이트 플레이어는 64비트 미지원과 모바일 지원이 아직 안된관계로 현재로서 IIS7의 스트리밍 서비스를 활용할수 있는 클라이언트 웹플레이어를 만이 고민하게 되었습니다. avi는 Windows7 이상 미디어 플레이어와 곰플레이어 KMP 플레이만 지원되고 웹보드에서는 아직까지 곰플레이어만 지원되니 Active X 가 지원되지 않는 익스플로러를 제외한 모든 브라우져에는 장벽이 있는게 현실입니다.

이놈의 동영상 표준규격이 정해지지 않는 덕분에 미디어서비스 플랫폼을 정하기도 갈팡질팡하게되는 요즘입니다. IIS7이 만은 화일 포맷을 지원하길 바랄뿐입니다.

2011/04/12 17:56 2011/04/12 17:56
Posted
Filed under Study
STATUS:>   Getting listing "/"...
COMMAND:> PASV
  227 Entering Passive Mode (127.0.0.1,200,95).
COMMAND:> LIST
STATUS:>   Connecting FTP data socket 127.0.0.1:51295...
 
550 Keyset does not exist
ERROR:>    Requested action not taken (e.g., file or directory not found, no access).

IIS7 FTP7.5에서 가상디렉토리를 추가하였을경우 2개 이상의 디렉토리에서는 위와같은 에러를 보여줍니다. 가상디렉토리 보여주지 않을시에는 발생하지 않지만 보여주기 옵션을 체크 하였을경우 발생하는 에러입니다.

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

위 경로의 폴더를 사용자 권한을 추가하여 해결했습니다만 이게 맞는건지는 모르겠습니다. 구글링해서 따라해본 결과 이에대한 문제는 해결되었습니다.

http://forums.iis.net/t/1157940.aspx
2011/02/05 13:32 2011/02/05 13:32
Posted
Filed under Study

"사용자
IIS7에는 위그림과 같이 관리기능 서비스가 존재합니다. 즉 관리자 권한이 있는 사용자는 터미널로 접속을 하지 않아도 IIS7의 관리를 할수 있으며 사이트 관리자는 그 해당 사이트만 관리 및 기능을 사용할수 있도록 지정할수 있습니다. 이러한 기능이 나온 이유를 잠깐 생각해보면 개발자와 관리자와의 업무 통제와 관리 보안에 주 목적을 두지 않았나 하는 생각을 해봅니다.
"사용자
일단 서버역할에 웹서버를 추가했었던 상태에서는 해당서비스 역할추가 기능을 이용하여 관리서비스를 추가해야 합니다.
"사용자
기본 접속 포트는 8172이지만 관리자나 운영자가 원하는 포트로 변경할수 있습니다. 접속의 흔적 역시도 로그로 기록할수 있습니다.
"사용자

http://www.iis.net/download/IISManager

위 사이트가서 관리서비스 툴킷을 다운 받아야 합니다. 2008 서버군은 존재합니다만 윈도우 XP,2003,VISTA,7 은 위 경로로 다운받고 설치하면 위 IIS7 관리 매니지 먼트가 설치 됩니다.

"사용자
"사용자
"사용자
일반 사용자에게는 사이트와 기능위임을 전달할수 있습니다. 일반 유저권한으로 한 사이트 권한을 주고나서 접속을 하게 되면 위 그림처럼 한사이트의 위임해준 모든기능을 UI로 관리를 할수 있게 됩니다.
즉 이 방법은 어떤때 사용할까라고 생각해보면 web.config 수정을 원할히 할수 없는 사용자나 개발자, UI에 익숙한 사용자에게 이 기능을 위임하여 사이트 운영에 도움을 줄수가 있습니다.
"사용자
서버의 관리자 권한이 존재하는 계정으로 접속을 하면 서비스 재시작부터 여러가지 관리 권한을 사용할수가 있습니다.
IIS7과 Windows Server 2008과의 완전 독립선언을 한 기능중에 하나라고 생각도 하게 됩니다.

대부분 개발자가 서버에 터미널접속을 하여 IIS 관리를 하게되는게 현실입니다. 큰사이트나 일부 NT 관리 및 엔지니어가 존재했을때만 통제하에 업무 프로세스가 나누어졌지만 대부분 개발자가 다 알아서 합니다. 그렇기 때문에 보안적인 이슈도 발생하고 서버의 관리 차원에서도 여러가지 문제를 경험했던 필자였습니다.
그래서 IIS7으로 전환을 하고 업무프로세스를 재정의하고 서버 관리자 및 엔지니어와 개발자 사이의 업무통제와 효율성에 목적을 둘수 있는 기능이라고 말하고 싶습니다. IIS7으로 전환을 했다고 해서 예전버젼 사이트가 호환성 문제로 안되거나 하는 일은 없을것이라는 필자의 생각이 있지만 아직까지 그게 현실적으로 쉽지 않다는 우려의 여론도 종종 듣기도 합니다.

2010/11/26 11:14 2010/11/26 11:14