웹서버의 보안 강화를 위한 SSL / TLS 설정 프로그램 IIS Crypto

한때 SSL 3.0 TLS 1.0 등이 보안에 취약하다고 나타났을 때, 나는 수동으로 레지스트리를 수정하거나 웹서버의 설정에서 낮은 버전의 SSL / TLS를 Disable 시켜 보안을 강화했었다. 지금은 웹서버가 보안에서 취약하다는 이유로 밴더에서 지원 중단을 시켜서 사용할 일이 없지만, 가끔 다른 지역의 SSL / TLS 보안 강화를 위해 IIS Crypto를 사용한다. 이것을 사용하는 이유는, 간편하게 GUI에서 Cipher Suite 값과 Diffie Hellman 키값을 조절할 수 있다.  

 

 

 

 

프로그램 다운로드는 아래 링크에서 가능하다.

Link : https://www.nartac.com/Products/IISCrypto

IIS Crypto. 출처 : nartac.com

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

설치하고 나면 6개의 메뉴가 있다.

About은 쓸필요가 없을 것이므로 5개의 메뉴가 사용 가능하다고 볼 수 있다.

가장 처음에 보이는 Schannel 메뉴와 Cipher Suites가 가장 중요한 메뉴라고 볼 수 있다.

Schannel에서 서버에서 허용할 SSL / TLS를 체크하고 Ciphers에서 취약한 것을 체크 해제하면 된다.

그리고 접속하는 클라이언트에게 허용할 SSL / TLS 버전을 체크하여 제한을 줄 수 있다.

IIS Crypto Schannel

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Cipher Suites 메뉴에서는 암호 도구를 선택할 수 있다.

너무 강력한 암호도구만 체크해둘 경우 클라이언트 PC에서 접근을 못할 수도 있다.

강력한 암호도구만 체크하고 한두개 정도만 살짝 약한 암호도구를 추가해주면 큰 문제없다.

IIS Crypto Cipher Suites

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Advanced에서는 Diffie Hellman 키 길이를 설정할 수 있다.

협상할 때 교환하는 키길이를 의미하는 것이다. 

보통 2048을 많이 한다. 그 이상을 설정해 봤을 때 별로 좋지 않았던 거 같다.

IIS Crypto Advanced

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Site Scanner 메뉴의 경우 다른 사이트를 스캔해 보는 것이다.

QUALYS SSL LABS는 유명한 웹서버 보안 체크 사이트이다.

사이트에 접속해서 자신이 운영하는 Web Server 주소를 입력하면 보안 상태를 볼 수 있다.

IIS Crypto Site Scanner

 

 

 

 

 

 

변경사항이 있다면, Apply를 누르고 PC 또는 서버를 재부팅하면 적용된다.

재부팅 후 사용자의 접속장애가 발생하거나 했을 때 보안 단계를 조금 낮추면 문제를 해결할 수 있다.

물론 사용자가 너무 낮은 버전의 OS 등을 사용한다면, 고민은 좀 해봐야 할 것이다.