한빛출판네트워크

by 스테판 노르베리, 역 한빛리포터 2기 신동섭 마이크로소프트의 네트워크 운영체제는 사용하기 편리하기 때문에 네트워크 운영체제 시장에서 성공할 수 있었다. 윈도우 NT/2000은 모든 사용자가 쉽게 사용할 수 있도록 친숙한 사용자 인터페이스를 제공하며 이를 설치하기 위하여 운영체제에 대한 많은 지식이 필요하지도 않다. 즉 개인용 운영체제인 윈도우 9x처럼 대부분의 컴포넌트는 자동으로 설치되고 실행된다. 윈도우 서버의 이러한 특징으로 인해 외부 네트워크의 직접적인 공격이 없는 파일 서버나 프린트 서버로 자주 사용되었지만 인터넷에 연결하여 고객과 파트너에게 정보를 제공하는 웹 서버는 다른 설정이 필요하다. 외부와 연결된 시스템은 필요한 서비스(DNS, 메일 등)만 제공해야 하며 안전한 시스템이 되기 위해 적절하게 구성해야 한다. 이러한 형태의 시스템을 베스천 호스트라고 한다.

		윈도우 NT/2000 서버 보안 - 인터넷 편

윈도우 NT/2000 베스천 호스트를 설정할 때 다음의 팁을 참고한다.

1. 필요한 소프트웨어만 설치한다. 베스천 호스트는 많은 프로그램이 필요하지 않다. 예를 들어, 마이크로소프트 오피스는 베스천 호스트에 설치하지 않아도 된다. 그리고 운영체제와 함께 설치된 프로그램은 사용하지 않는다면 제거한다.
2. 불필요한 서비스는 비활성화한다. 윈도우 NT/2000 시스템은 초기 설정에 따라 많은 서비스를 자동으로 실행한다. 이러한 서비스는 네트워크를 통해 공격받을 수 있으므로 불필요한 서비스는 모두 비활성화해야 한다. 이렇게 하면 공격 포인트를 제한할 수 있으며 현재 실행 중인 서비스에 집중할 수 있다.
3. 권한을 철저하게 설정한다. 기본 파일 시스템, 운영체제와 애플리케이션에 대한 레지스트리 권한 설정을 항상 확인한다. 공격자가 여러분의 시스템에 침입한다면 다른 자원을 보호하기 위하여 파일 시스템과 레지스트리 권한을 설정해야 한다.
4. 보호 계층을 추가로 설정한다. 윈도우 NT/2000 베스천 호스트를 책에서 설명하는 대로 구성한다 해도 보안 계층의 추가 수단으로서 방화벽이 필요하다. 방화벽은 공격자가 파일 내용을 바꾸거나 셸 접근의 시도를 어렵게 할 것이다.
5. 입증된 사항만 신뢰한다. 매뉴얼이나 GUI의 체크 목록, 동작 방식에 대한 벤더의 설명을 그대로 믿어서는 안 된다. 모든 사항은 여러분 자신이 검사하고 수정해야 한다.

   참고: 이 사항은 『인터넷 방화벽 구축하기, 개정 증보판』(한빛미디어, 2001)의 저자가 방화벽 구축에 관한 12가지 팁에서 처음 발표했다.

6. 로컬 시스템으로 소프트웨어를 실행하지 않는다. 윈도우 NT/2000에서 로컬 시스템 권한이 필요한 소프트웨어는 가능한 피한다. 공격자가 이 애플리케이션으로 침입한다면 시스템에 관한 모든 일을 할 수 있을 것이다.
7. NetBIOS/SMB를 실행하지 않는다. 즉 경계선 네트워크에서 NetBIOS나 SMB의 실행은 피한다. NetBIOS는 보안을 고려하여 설계되지 않았기 때문에 시스템이 피해를 입는다면 방화벽은 다른 호스트를 보호하지 못할 것이다. 대신 윈도우 2000 터미널 서비스, pcAnyWhere, OpenSSH/VNC 등을 이용하여 호스트를 관리할 수 있다.
8. 클럭을 동기화한다. 같은 시간으로 모든 시스템을 유지하기 위해 클럭 동기화 소프트웨어를 사용한다. 이것은 다른 시스템에서 로그를 비교해야 한다면 중요한 사항이다.
9. 감사 기능을 설정한다. 윈도우 NT와 2000은 훌륭한 감사 기능을 제공한다. 따라서 시스템에 감사 기능을 설정하고 활성화한다. 감사 기능을 이용하면 시스템에서 발생한 변경 사항을 추적할 수 있다.
10. 원격 로그인을 사용한다. 공격자는 그들이 침입한 시스템의 로그 파일을 제거함으로써 자신의 흔적을 없앤다. 따라서 시스템의 로그 엔트리를 즉시 얻으려면 원격 로그인 메커니즘을 사용해야 한다.

베스천 호스트에는 최소의 서비스와 컴포넌트를 유지해야 한다. 그리고 여러분이 하고 있는 일을 알고 있어야 한다. 시스템을 사용하기 쉽고 안전하게 구성하는 것은 어려운 일이기 때문이다.