IIS 8.0 FTP 로그온 시도 제한

작성자 : Robert McMurray

호환성

버전	참고
IIS 8.0	FTP 로그온 시도 제한은 IIS 8.0에서 도입되었습니다.
IIS 7.5	FTP 로그온 시도 제한은 IIS 7.0 또는 IIS 7.5에서 지원되지 않았습니다.
IIS 7.0

문제

서버에 대한 한 가지 가능한 취약성은 FTP 서비스를 통한 무차별 암호 대입 공격입니다. FTP에 사용되는 계정은 호스트 운영 체제의 실제 사용자 계정인 경우가 많기 때문에 FTP 서버 유형을 결정한 후에는 이론적으로 관리 사용자 이름을 추측할 수 있습니다. 계정 이름이 검색되면 악의적인 클라이언트가 서버에 연결하여 해당 계정에 대한 무차별 암호 대입 공격을 시도할 수 있습니다. (예: Windows 시스템의 경우 "관리자", UNIX 시스템의 경우 "루트")

IIS 7.5에서 FTP 서비스는 개발자가 사용자 지정 인증 공급자를 만들 수 있는 확장성 API를 도입했으며, 이를 통해 비 Windows 계정에서 FTP에 액세스할 수 있습니다. 이렇게 하면 FTP 계정이 유효한 Windows 계정이 아니므로 FTP 서비스 외부의 리소스에 액세스할 수 없으므로 FTP 서비스의 노출 영역이 크게 줄어듭니다. MICROSOFT는 IIS 7.5에서 FTP 인증 확장성 기능을 사용하여 관리자가 사용자 지정 인증 공급자를 만들어 비 Windows 계정에 대한 무차별 암호 대입 공격 가능성을 줄이는 방법을 제공했습니다. 이 정보는 다음 문서에 설명되어 있습니다.

관리 코드(C#)를 사용하여 동적 IP 제한을 사용하여 FTP 인증 공급자를 만드는 방법

솔루션

Windows Server 2012용 IIS 8.0에서 Microsoft는 사용자 지정 인증 공급자를 만들 필요 없이 모든 로그인에 이 기능을 제공하는 기본 제공 네트워크 보안 기능을 추가했습니다. 이 연습에서는 서버에서 무차별 암호 대입 공격을 방지하기 위해 FTP 로그인 제한을 사용하도록 설정하는 데 필요한 단계를 살펴봅니다.

단계별 지침

필수 조건:

• IIS 8.0 및 FTP 서비스가 이미 설치된 Windows Server 2012 컴퓨터.

알려진 버그에 대한 해결 방법:

현재 이 기능에 대한 알려진 버그가 없습니다.

무차별 암호 대입 공격을 방지하도록 FTP 구성

FTP 클라이언트가 사용자 지정 기간 내에 인증에 실패한 횟수에 따라 FTP 서비스에 대한 액세스를 거부하도록 FTP 서비스를 구성할 수 있습니다. 실패한 로그인 시도 횟수에 도달하면 서버는 FTP 연결을 강제로 닫고 FTP 클라이언트의 IP 주소가 시간 제한 기간 동안 FTP 서비스에 액세스하지 못하도록 차단됩니다.

악의적인 사용자가 FTP 서비스에 액세스하는 것을 거부하도록 FTP 서비스를 구성하려면 다음 단계를 사용합니다.

1. Windows Server 2012 컴퓨터에서 관리자 권한으로 로그인합니다.
2. IIS(인터넷 정보 서비스) 관리자를 엽니다.
3. 연결 창에서 서버 이름을 강조 표시한 다음 기능 목록에서 FTP 로그온 시도 제한을 두 번 클릭합니다.
   
4. FTP 로그온 시도 제한 사용 확인란을 선택하고 FTP 서비스에서 FTP 클라이언트에 대한 액세스를 차단할지 여부를 결정하는 데 사용하는 실패한 로그인 시도 횟수 및 기간을 지정합니다.
   
5. 적용을 클릭합니다.

"로그에만 쓰기" 옵션은 로그온 시도를 차단하지 않습니다. 대신 조건이 충족되었음을 기록합니다. 그런 다음 IT 관리자는 다른 구성 매개 변수를 시도하여 설정을 적용하기 전에 설정이 사용자에게 미치는 영향을 평가할 수 있습니다.

요약

이 연습에서는 Windows Server 2012에서 새 FTP 로그온 시도 제한 기능을 구성하여 악의적인 클라이언트가 FTP 서버를 공격하는 것을 거부하도록 FTP 서비스를 구성하는 방법을 살펴보았습니다.

FTP 로그온 시도 제한은 서버 수준 설정입니다. 사이트별로 별도의 로그온 제한을 설정할 수 없습니다. 공격자가 단일 사이트가 아닌 서버에 대한 액세스 권한을 얻으려고 하기 때문에 FTP 서비스는 서버 수준에서 악의적인 사용자에 대한 액세스를 차단합니다.