이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

 

 

 

 







 작성자: 정웅구
 편집자: 엔시스

 

안녕하세요. 정웅구입니다. 첫번째 포스팅에 이어 윈도우 시스템 보안 설정에 관해 포스팅하겠습니다. ^^

03. 데몬관리

1. 데몬이란?

 - 시스템의 사용자가 인터페이스에는 나타나지 않지만 서비스가 요청되었을 때, 이에 반응할 수 있도록 항상 실행되어 있는 프로그램

 - 데몬 실행 -> 포트 열림 -> 서비스 제공

2. 주요 포트와 서비스

 포트번호  서비스  설명 
 20  FTP  File Transfer Protocol - Datagram
 FTP 연결 시 데이터 전송
 21  FTP  File Transfer Protocol - Control
 FTP 연결 시 인증과 컨트롤
 23  Telnet  원격지 서버의 실행 창을 얻어냄
 25  SMTP  Simple Mail Transfer Protocol
 메일을 보낼 때 사용하는 서비스
 53  DNS  Domain Name Service
 이름을 해석하는데 사용하는 서비스
 69  TFTP  Trivial File Transfer Protocol
 인증이 없는 파일 전송 서비스
 80  HTTP  Hyper Text Transfer Protocol
 웹 서비스
 110  POP3  Post Office Protocol
 메일 서버로 전송된 메일을 읽을 때 사용하는 서비스
 111  RPC  Remote Procedure Call(Sun)
 원격에서 서버의 프로세스를 실행할 수 있게 한 서비스
 138  NetBIOS  Network Basic Input Output Service
 윈도우에서 파일 공유을 위한 서비스
 143  IMAP  Internet Message Access Protocol
 POP3와 같으나 메일을 읽고 난 후 메일이 서버에 남는다
 161  SNMP  Simple Network Management Protocol
 네트워크 관리와 모니터링



 (1). FTP(포트 21)

   - 제어판 -> 관리 도구 -> 인터넷 정보 서비스에서 설정


   - 기본 FTP 사이트에서 오른쪽 버튼 클릭 -> 새로만들기 -> 가상디렉토리를 통해 새로운 FTP 서비스 생성 가능

   - 보안 설정

   ①. FTP 사이트 탭

     - FTP 서버의 IP, TCP 포트 설정

     - 세션에 대한 제한 설정

     - 로그 설정


  
   ②. 보안 계정 탭

     - 익명 계정의 사용에 대한 제한 설정


   ③. 메시지 탭

     - FTP 접속 시 출력되는 메시지 지정


   ④. 홈 디렉토리 탭

     - FTP의 기본 디렉터리 지정

     - 디렉터리에 대한 FTP 계정의 권한 설정


   ⑤. 디렉터리 보안 탭

     - 특정 IP에 대해 엑세스 허가/거부 설정

 (2). SMTP(포트 25)

   - 이메일 전송을 위한 프로토콜

   - 보안 설정

     ①. 일반 탭 -> 로깅사용

     ②. 엑세스 탭 -> 연결 제어 -> 특정 IP와 네트워커에 대한 접근 제어

     ③. 엑세스 탭 -> 릴레이 제한 -> 자신에게 전달되어 오는 메일을 다른 메일 서버로 전달하는 설정

 (3). HTTP(포트 80)

   - 웹 서비스를 위한 포트

   -  시작 ->설정 ->제어판 -> 관리 도구 -> 인터넷 서비스 관리자 -> 기본 웹 사이트 -> 오른쪽 클릭 -> 등록정보
    
     ①. 웹 사이트 탭

       - 서비스 포트, 연결 제한, 로깅에 대한 설정


     ②. 홈디렉터리 탭

       - 웹 서비스 페이지가 저장되어 있는 기본 경로 설정

       - 디렉터리에 대한 권한 설정

       - 디렉터리 리스팅 방지를 위한 디렉터리 검색 설정


     ③. 디렉터리 보안 탭

       - 익명 엑세스 및 인증 제어

       - IP 주소 및 도메인 이름 제한

       - 보안 통신 설정


 (4).HTTPS(포트 443)

   - HTTP Secure or HTTP SSL

   - 암호화된 웹 접속을 할 수 있게 한다.(공인 인증기관에서 발행한 인증서가 필요)

   - HTTPS 설정

     ①. 인증 서버의 설치

     ②. 웹 서버에서 인증 서버로 인증서 발급 요청

     ③. 인증 서버에서 웹 서버의 인증서 요청 승인

     ④. 인증 서버에서 승인받은 인증서를 웹 서버에 설치

     ⑤. 클라이언트 웹 브라우저 인증서 발급 요청

     ⑥. 인증 서버에서 클라이언트 웹 브라우저 인증서 승인

     ⑦. 클라이언트에 승인받은 인증서 설치

     ⑧. 클라이언트로부터 웹 서버로 HTTPS를 이용한 접속





 (5). LOC-SRV(포트 135), NetBIOS(포트 139), SMB(포트 445)

   - 위의 포트들은 NetBIOS 프로토콜로 묶일 수 있다.

   - 윈도우 NetBIOS 관련 프로토콜

 프로토콜  포트  서비스
 TCP  135  RPC/DCE Endpoint Mapper
 UDP  137  NetBIOS 이름 해석 서비스
 UDP  138  NetBIOS 데이터그램 서비스
 TCP  139  NetBIOS 세션 서비스
(SMB/CIFS over NetBIOS)
 TCP/UDP  445  Direct Host
(SMB/CIFS over TCP)


   - NetBIOS에 의한 취약점 및 보안 설정

     ①. 널 세션

       => HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous -> 2로 설정

     ②. 관리자 공유

       => 제어판 -> 관리 도구 -> 컴퓨터 관리 -> 시스템 공유 -> 공유 폴더 -> 공유 -> 공유 중지

       => 재부팅 시 관라자 공유가 활성화되므로 재부팅할 때마다 이를 제거

     ③. 원격 셸을 생성

       => 제어판 -> 네트워크 설정 -> Microsoft 네트워크용 파일 및 프린터 공유 사용X

04. 접근 제어

05. 파일 및 디렉터리 관리

 - 사용 권한

   ①. 모든 권한 : 디렉터리에 대한 접근 권한과 소유권을 변경할 수 있으며 서브디렉터리와 파일을 삭제할 수 있다.

   ②. 수정 : 폴더를 삭제할 수 있으며 수정의 권한이 있으면 '읽기' 및 '실행' 그리고 '쓰기' 권한이 주어진 것과 같다.

   ③. 읽기 및 실행 : 읽기를 수행할 수 있으며 디렉터리나 파일을 이동할 수 있다.

   ④. 폴더 내용 보기 : 디렉터리 내의 파일이나 서브디렉터리의 이름을 볼 수 있다.

   ⑤. 읽기 : 디렉터리 안의 내용을 읽을 수만 있다.

   ⑥. 쓰기 : 해당 디렉터리의 서브디렉터리와 파일을 생성할 수 있으며, 소유권이나 접근 권한의 설정 내용을 확인할 수 있다.

 - 디렉터리 및 파일에 대한 접근 권한 설정 규칙

   ①. NTFS 접근 권한은 누적된다.

   ②. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한을 우선한다.

   ③. '허용' 보다는 '거부' 가 우선한다.

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.29 07:36 신고  댓글주소  수정/삭제  댓글쓰기

    정웅구님~! 이번에도 수고하셨습니다.
    잘~~ 보고 갑니다..^_^*

  2. Favicon of https://boanin.tistory.com BlogIcon 보안인닷컴 2009.04.29 09:47 신고  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다..앞으로 지속적으로 포스팅 부탁드립니다.

  3. Favicon of https://boanin.tistory.com BlogIcon John_G 2009.04.29 23:59 신고  댓글주소  수정/삭제  댓글쓰기

    하하.. 타이트한 블로깅이네요 ^^
    친절하게 캡쳐 그림까지 ^^;
    캡쳐해서 붙이기가 여간 귀찮은 일이 아니죠 하핫;;
    (하지만 양질의 블로그를 위해서라면 +_+)

    글 잘 읽어 보았습니다 ^^

  4. Favicon of http://www.francaise2012.com/ BlogIcon francaise 2012 2012.06.28 00:11  댓글주소  수정/삭제  댓글쓰기

    성된 것 Wow. This blog is truly a gold mine. I have been wallowing on this for quite sometime and here I am reading about it! I will actually try these tips and let you know how they work out! Thanks again mate. I want to know where to find francaise 2012, do you?