취약점 개요
점검내용
- FTP 홈 디렉토리의 접근 권한 적절성 점검
점검목적
- FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 등의 보안 사고를 방지하고자 함
보안위협
- FTP 홈 디렉토리에 과도한 권한(예. Everyone Full Control)이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보유출, 파일 위, 변조 등의 위험 존재
참고
- 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야 함
- 관련 점검 항목 : W-27(상), W-28(상)
점검대상 및 판단기준
대상
- Windows NT, 2000, 2003, 2008, 2012
판단기준
- 양호 : FTP 홈 디렉토리에 Everyone 권한이 없는 경우
- 취약 : FTP 홈 디렉토리에 Everyone 권한이 있는 경우
조치방법
- FTP 홈 디렉토리에 Everyone 권한 삭제, 각 사용자에게 적절한 권한 부여
점검 및 조치 사례
- Windows NT(IIS 4.0), 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 인터넷 정보 서비스(IIS) 관리 > FTP 사이트 > 해당 FTP 사이트 > 속성 > [홈 디렉토리] 탭에서 FTP 홈 디렉토리 확인
Step 2) 탐색기 > 홈 디렉토리 > 속성 > [보안] 탭에서 Everyone 권한 제거
- Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트 > 마우스 우클릭 > FTP 게시 추가
Step 2) 이후 진행 과정에서 권한 부여 화면의 액세스 허용 대상 선정 시 [지정한 사용자]만 선택
*IIS 7 이상 버전에서는 FTP 사이트를 별도로 생성하지 않고 기존 웹 사이트에 FTP 사이트를 바인딩하여 사용함
(관리도구 > 인터넷 정보 서비스(IIS) 6.0 관리자에서 FTP 설정 가능)
조치 시 영향
- 일반적인 경우 영향 없음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| W-27(상) 2. 서비스 관리 > 2.21 Anonymous FTP 금지 (0) | 2020.03.18 |
|---|---|
| W-25(상) 2. 서비스 관리 > 2.19 FTP 서비스 구동 점검 (0) | 2020.03.04 |
| W-24(상) 2. 서비스 관리 > 2.18 NetBIOS 바인딩 서비스 구동 점검 (0) | 2020.03.03 |
| W-23(상) 2. 서비스 관리 > 2.17 IIS WebDAV 비활성화 (0) | 2020.03.02 |
| W-22(상) 2. 서비스 관리 > 2.16 IIS Exec 명령어 쉘 호출 진단 (0) | 2020.02.27 |
댓글