-
웹서버의 보안 강화를 위한 SSL / TLS 설정 프로그램 IIS CryptoSecurity 2023. 8. 7. 19:01반응형
한때 SSL 3.0 TLS 1.0 등이 보안에 취약하다고 나타났을 때, 나는 수동으로 레지스트리를 수정하거나 웹서버의 설정에서 낮은 버전의 SSL / TLS를 Disable 시켜 보안을 강화했었다. 지금은 웹서버가 보안에서 취약하다는 이유로 밴더에서 지원 중단을 시켜서 사용할 일이 없지만, 가끔 다른 지역의 SSL / TLS 보안 강화를 위해 IIS Crypto를 사용한다. 이것을 사용하는 이유는, 간편하게 GUI에서 Cipher Suite 값과 Diffie Hellman 키값을 조절할 수 있다.
프로그램 다운로드는 아래 링크에서 가능하다.
Link : https://www.nartac.com/Products/IISCrypto
설치하고 나면 6개의 메뉴가 있다.
About은 쓸필요가 없을 것이므로 5개의 메뉴가 사용 가능하다고 볼 수 있다.
가장 처음에 보이는 Schannel 메뉴와 Cipher Suites가 가장 중요한 메뉴라고 볼 수 있다.
Schannel에서 서버에서 허용할 SSL / TLS를 체크하고 Ciphers에서 취약한 것을 체크 해제하면 된다.
그리고 접속하는 클라이언트에게 허용할 SSL / TLS 버전을 체크하여 제한을 줄 수 있다.
Cipher Suites 메뉴에서는 암호 도구를 선택할 수 있다.
너무 강력한 암호도구만 체크해둘 경우 클라이언트 PC에서 접근을 못할 수도 있다.
강력한 암호도구만 체크하고 한두개 정도만 살짝 약한 암호도구를 추가해주면 큰 문제없다.
Advanced에서는 Diffie Hellman 키 길이를 설정할 수 있다.
협상할 때 교환하는 키길이를 의미하는 것이다.
보통 2048을 많이 한다. 그 이상을 설정해 봤을 때 별로 좋지 않았던 거 같다.
Site Scanner 메뉴의 경우 다른 사이트를 스캔해 보는 것이다.
QUALYS SSL LABS는 유명한 웹서버 보안 체크 사이트이다.
사이트에 접속해서 자신이 운영하는 Web Server 주소를 입력하면 보안 상태를 볼 수 있다.
변경사항이 있다면, Apply를 누르고 PC 또는 서버를 재부팅하면 적용된다.
재부팅 후 사용자의 접속장애가 발생하거나 했을 때 보안 단계를 조금 낮추면 문제를 해결할 수 있다.
물론 사용자가 너무 낮은 버전의 OS 등을 사용한다면, 고민은 좀 해봐야 할 것이다.
반응형'Security' 카테고리의 다른 글
aitm(adversary-in-the-middle) 공격 (0) 2023.08.08 Microsoft Defender 알림 설정 (0) 2023.08.04 CVE-2022-3786 CVE-2022-3602 취약점 해결 방법 (0) 2022.11.02 macOS 7000번 포트는 어디에 사용하는 것일까? (0) 2022.11.01 Samba 4.0 일부 버전 취약점 (0) 2022.10.18