제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study
사용자 삽입 이미지
http://forums.iis.net/p/1155312/1893725.aspx

SMB 패킷 기본값과 FTP 와의 다른 차이때문에 발생한다는 이슈라고 나오는거 같습니다. 임시방편으로는 레지스트리에 AFD 패러미터 값에 LargeBufferSize DWORD 값을 생성하고 원하는 값을 넣으면 그만큼 올라갑니다. 32K값을 넣었을때는 30Mbps 정도 나오고 64K값을 넣었을때는 두배 속도가 나옵니다. 100메가 다 땡겨가고 싶다면 그만큼 값을 넣으면 되겠죠? 기본값이 4K라서 4Mbps 즉 400킬로바이드로 다운받는 답답함을 여기서 해결되었습니다.
이거 그냥 패치로 해결해주면 안되는건지 왜 알면서 이렇게 해결 안해주는건가 의문이 갈정도입니다. 이 이슈가 생긴지도 꽤 오래 되었는데도 말이죠.
FTP UNC 경로를 사용하게 되는 이슈가 전에 포스팅을 남긴게 있습니다. 가상디렉토리를 보여줌으로 했을때 발생하는 에러도 참고하면 좋을거 같습니다.

http://blog.sooli.com/475
2012/01/01 17:56 2012/01/01 17:56
Posted
Filed under Study
STATUS:>   Getting listing "/"...
COMMAND:> PASV
  227 Entering Passive Mode (127.0.0.1,200,95).
COMMAND:> LIST
STATUS:>   Connecting FTP data socket 127.0.0.1:51295...
 
550 Keyset does not exist
ERROR:>    Requested action not taken (e.g., file or directory not found, no access).

IIS7 FTP7.5에서 가상디렉토리를 추가하였을경우 2개 이상의 디렉토리에서는 위와같은 에러를 보여줍니다. 가상디렉토리 보여주지 않을시에는 발생하지 않지만 보여주기 옵션을 체크 하였을경우 발생하는 에러입니다.

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

위 경로의 폴더를 사용자 권한을 추가하여 해결했습니다만 이게 맞는건지는 모르겠습니다. 구글링해서 따라해본 결과 이에대한 문제는 해결되었습니다.

http://forums.iis.net/t/1157940.aspx
2011/02/05 13:32 2011/02/05 13:32
Posted
Filed under Study
"사용자

IIS7의 FTP7.5 기능중 가상호스트 기능이 있어서 복수의 FTP사이트를 웹사이트처럼 구성할수 있게 되었습니다. 여러 FTP사이트를 구성할경우 비정규 FTP 사이트를 구성해줘야 하고 패시브 설정을 해줘야 하며 NAT 하위로 구성된 서버라면 중간 프록시 장비에서 FTP 비정규 할당포트를 지원하지 않으면 사용하기 힘든 상황이였습니다. 뭐 복수의 공인IP가 존재한다면 상관이 없겠지만 그에대한 보안설정이나 필터 정책에 많은 부담감이 있는것도 현실입니다. 그래서 필자가 이번에 구성해본 시나리오중 하나가 바로 IIS7의 FTP7.5를 이용한 FTP 통합 게이트웨이를 만들어보자는 상상이였습니다만 정말 생각했던데로 되니까 신기하고 재미있기만 합니다.
일단 FTP서버가 사설단의 서버를 네트워크 드라이브로 붙어야 합니다. 네트워크 드라이브로 붙는거까지는 좋지만 여러가지 보안설정을 해줘야 할 단계가 있습니다.
첫번째가 FTP 메인서버와 네트워크 드라이브로 연결되는 서버의 각 계정이 동일해야 된다는것입니다. A서버의 FTP계정이 B서버의 사용자 계정이 동일하게 맞춰줘야 하는 번거로움이 있습니다.
둘째가 다음그림과 같습니다.
"사용자
네트워크 드라이브로 붙으면서 인증을 받아야 하는 응용APP 풀 ID를 생성해줘야 합니다. 즉 각 계정 전부 접속할수 있는 관리자 계정이거나 그 유저 폴더를 전부 접근할수 있는 계정이라야 하겠죠. 그러면 FTP계정이 APP Pool 인증자격을 타고 해당 서버에 접근이 가능하게 되며 다시 그 폴더의 계정과 맵핑이 되게 됩니다. 그러면 각 계정마다 격리모드로 FTP서버를 구성할수 있게 되죠.
윈도우 서버는 거의 구성이 동일시되서 보안설정만 제대로 잡아주면 구성이 쉽게 됩니다만 리눅스와 연동할려면 참 여러가지 고민거리가 생기더랍니다. 그러나 리눅스도 어려운거 없이 바로 구성이 되었습니다.

"사용자
리눅스는 home 폴더에 각각의 사용자 폴더가 존재합니다. 그리고 삼바서버를 구성하고 각 사용자에게 삼바접근을 위한 설정도 필요하겠죠. 삼바로 접근할때 root 계정으로 지정해줘야 합니다. 다른 방법이 존재하는지는 모르겠지만 리눅스를 잘만지지 못해서 다른 방법을 모르겠습니다. 사용자 격리모드로 구성하기 위해서 가상폴더 이름을 LocalUser 로 만들어 줘야 합니다.

"사용자
원래 root를 사용하면 보안상 좋지 않습니다만 제가 리눅스를 잘몰라서 어쩔수 없이 테스트 시나리오상 중간 브릿지 역할을 하게되는 인증자격을 root로 만들었습니다. 즉 root 계정도 윈도우 계정에 속해 있어야 됩니다. 뭐 리눅스에서 새로운 계정을 생성하고 home 폴더 전부 액세스 권한을 가지게끔 하면 구지 root를 사용할 필요가 없습니다. 리눅스 잘만지는분 피드백 바랍니다.
"사용자
그리고 접속할때는 가상호스트|아이디 이렇게 접속을 해야 합니다. 그러면 리눅스 서버도 완벽하게 격리모드로 접속이 되며 통제는 윈도우 FTP7.5 서버에서 받게됩니다. 약간 복잡한 구성이긴 하지만 재미있고 신기한 기능일수 있습니다. 비정규 포트를 사용하지 않는 시나리오와 중간 통제를 위한 시나리오이긴 합니다.
"사용자
그림과 같이 격리모드로 들어가면 그 어느곳도 접근할수 없고 자신의 공간에서만 FTP 작업을 할수 있습니다.
그럼 FTP가 여러사이트를 통합시켰다고 하면 웹서버는 어떻게 할것인가?라고 의문이 생길것입니다. 제가 예전에도 잠깐 설명을 했었지만 ISA 서버란게 존재합니다.
"사용자
ISA서버의 기능중 하나가 바로 웹서버 퍼블리시 기능입니다. 도메인 단위로 복수의 웹사이트를 생성하고 통제할수가 있습니다. 하나의 공인IP로 패킷요청이 들어오면 ISA서버에서는 어떠한 도메인을 요청하는지 분별하여 해당 사설 웹서버로 붙여주게 됩니다. 중간 프록시 역할을 하는거죠. 이렇게 되면 윈도우 리눅스 유닉스 솔라리스 복수의 웹사이트를 쉽게 관리가 가능하게 되는것입니다.
사용자 삽입 이미지
그리고 위 FTP 사이트중 장점만 있는게 아니고 단점이 존재합니다. 리눅스에서 FTP로 폴더권한을 지정할수 있는것이 윈도우FTP7.5를 타다보니 그 기능을 사용할수가 없습니다. 처음 계정 생성할때 chmod 기능으로 권한지정을 해줘야 하지 않을까 하는 생각을 해봅니다.
둘째가 위에도 언급했지만 계정을 같이 생성해줘야 한다는것입니다. 윈도우 리눅스가
AD접속된 상태라면 이런 문제가 없겠지만 단일서버였을 경우입니다.
단점은 여러가지 편법이나 기술상으로도 보완이 가능할거 같습니다. 필자가 리눅스를 잘알지 못해서 어쩔수 없다는 생각을 해보지만 vhost의 기능으로 보안이 한층더 강화되기도 하였습니다. 아이피접속만으로 되었던 FTP기능이 사전공격의 타겟이 되었던 지금까지 였습니다. 뭐 중간 방화벽 장비에서 이런 룰을 차단하는게 있긴 하지만 대부분 비정규 포트로 우회하는 기능을 사용하는 사용자도 많습니다. 이젠 FTP접속을 IP접속은 없애버리고 가상호스트 접속으로 만드는게 좋은 방법일것이라는 판단을 해보며 재미있는 포스팅을 마칩니다.
2010/09/18 14:13 2010/09/18 14:13
Posted
Filed under Study
"사용자
IIS7 FTP 기능은 기능이 세분화되고 많이 편리해졌습니다. IIS6까지만 해도 메타베이스를 수정해줘야 했던게 예전버젼이였지만 FTP7.5 버젼은 UI로도 환경설정 작업이 쉬워졌습니다.

"사용자
Passive 포트 설정을 저리 쉽게 입력만 해주면 됩니다. IIS6에서는 메타베이스를 편집기로 열어서 포트번호를 입력해줘야 했었는데 저리 단순하게 입력하면 그만입니다.
"사용자
제일 간과하기 쉬운 부분이 이부분입니다. IIS6까지만 해도 서비스를 재시작할때 iisreset 명령어나 아니면 UI에서 서비스 재시작을 하면 환경설정 반영이 금방 되었지만 IIS7 버젼에서는 해당 서비스를 재시작 해줘야 했었습니다. 이거 단순하게 봤다가 왜 안되는가 고민을 하게된 몇시간이였습니다. 또 달라진건 inetinfo.exe에 종속되었던 서비스가 IIS7 버젼부터는 svchost 로 종속되어 운영이 되고 있습니다. FTP뿐만이 아니고 Web서비스도 예전처럼 inetinfo에 종속되지 않습니다. IIS6과는 아예 별개가 되어버린 IIS7 버젼입니다.
"사용자
2008버젼에서는 범위지정이 되지 않았었습니다. 소켓통신의 주체는 프로세스여서 범위지정은 의미가 없나 싶지만 그래도 이렇게 일일이 다입력하지 않아도 범위지정이 되어서 방화벽 허용 룰 규칙 입력이 아주 편해졌습니다. 뭐 리눅스는 원래 된거다라고 하면  할말 없지만 지금까지 윈도우 버젼에 대한 불편함이 2008 R2 버젼에는 별거 아니여도 그나마 많이 편하게 나왔다는것이 장점입니다. 비스타 버리는 모냥 2008 오리지널 버젼 역시도 R2 버젼에 묻히는 기분입니다. 확실히 IIS6 FTP 보다는 응답속도나 체감이 빠릇빠릇 하더군요.
2010/09/09 13:10 2010/09/09 13:10