W-40(상) FTP 접근 제어 설정

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Windows 서버 점검 항목

■ 취약점 개요

○ 점검개요 : FTP 접속 가능한 IP 주소 지정 여부 점검

○ 점검목적 : FTP 접근 시 특정 IP 주소에 대해 콘텐츠 액세스를 허용하여 서비스 보안성을 강화하고자 함

○ 보안위협 : FTP 프로토콜은 로그온에 지정된 자격 증명이나 데이터 자체가 암호화 되지 않고 모든 자격 증명을 일반 텍스트로 네트워크를 통해 전송되는 특성상 서버 클라이언트간 트래픽 스니핑을 통해 인증정보가 쉽게 노출되므로 접속 허용된 사용자 IP를 지정하여 접속자를 제한할 것을 권고

○ 점검대상 : Windows NT, 2000, 2003, 2008, 2012, 2016 등

○ 판단기준

- 양호 : 특정 IP 주소에서만 FTP 서버에 접속하도록 접근제어 설정을 적용한 경우

- 취약 : 특정 IP 주소에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우

※ 조치 시 마스터 속성과 모든 사이트에 적용함

 

■ 점검방법

○ Window NT(IIS 4.0), 2000(IIS 5.0), 2003(IIS 6.0)

Step 1

아래 경로를 참고하여 설정 확인 인터넷 정보 서비스(IIS) 관리> FTP 사이트> 속성> [디렉토리 보안] 탭에서 “액세스 거부” 설정 확인

○ Window 2008(IIS 7.0), 2012(IIS 8.0)

Step 1

아래 경로를 참고하여 설정 확인 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트> FTP IPv4 주소 및 도메인 제한

※ IIS 7.0 이상 버전에서는 FTP 사이트를 별도로 생성하지 않고 기존 웹 사이트에 FTP 사이트를 바인딩하여 사용함(관리 도구> 인터넷 정보 서비스(IIS) 6.0 관리자에서 FTP 설정 가능)

 

■ 조치방안

○ Window NT(IIS 4.0), 2000(IIS 5.0), 2003(IIS 6.0)

Step 1	아래 경로를 참고하여 설정 확인 인터넷 정보 서비스(IIS) 관리> FTP 사이트> 속성> [디렉토리 보안] 탭에서 “액세스 거부” 설정 확인
Step 2	[디렉토리 보안] 랩에서 "액세스 거부" 선택 후 접근 가능 IP 주소 추가 (만약 개별 FTP 사이트에 적용할 경우 해당 사이트에만 설정이 적용되고, 기본 설정은 적용 받지 않음)

■ [참고]

○ 액세스 허가: 모든 액세스를 허용 후 액세스를 거부할 컴퓨터, 그룹, 도메인 추가

○ 액세스 거부: 모든 액세스를 거부 후 액세스를 허용할 컴퓨터, 그룹, 도메인 추가

 

■ Window 2008(IIS 7.0), 2012(IIS 8.0)

Step 1	아래 경로를 참고하여 설정 확인 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트> FTP IPv4 주소 및 도메인 제한
Step 2	[작업]의 허용 항목 추가에서 FTP 접속을 허용할 IP 입력
Step 3	[작업] 의 기능 설정 편집에서 지정되지 않은 클라이언트에 대한 액세스를 거부 선택

 

■ 조치 시 영향

일반적인 경우 무관

■ 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야 함

※ 관련 점검 항목 : W-39(상), W-40(상)