안녕하세요, LoveSpeeD입니다.
PCI DSS 인증을 받기 위해 우선 ASV(승인된 스캔 공급 업체)에서 취약점 스캔을 받았습니다.
2020/09/24 - [업무 및 공부/IT·보안] - [보안] PCI DSS 인증 준비
[보안] PCI DSS 인증 준비
안녕하세요, LoveSpeeD입니다. 저희 회사는 내년 초에 PCI DSS 인증을 받을 수 있도록 준비 중입니다. PCI DSS 인증이라는게 좀 생소하시죠? 간단히 설명하자면, 물품을 판매할때, 결제방식 중 「 카드
lovespeed.tistory.com
저희가 보유하고 있는 서버들에 대해 보안적으로 어떤 취약한 점이 있는지 승인된 업체에서 모의해킹을 해주고 그 결과를 받아봤는데요, 꽤나 많은 부분에서 불합격을 받아 울적하네요.
그래도 PCI DSS 인증을 받아야 하니까 하나씩 차례 차례 클리어해나가려고 합니다.
그럼 FAIL처리된 부분을 살펴보도록 하겠습니다.
암호화되지 않은 자격 정보를 수락하는 원격 관리 서비스 탐지(Remote Management Service Accepting Unencrypted Credentials Detected)
위협:
대상 호스트에서 암호화되지 않은 자격 정보를 수락하는 원격 관리 서비스가 탐지되었다.
기본 인증을 사용하는 Telnet, FTP, HTTP와 같은 서비스가 확인되었다. TFTP와 같은 서비스도 확인되었다.
영향:
악의적인 사용자가 "네트워크 스니퍼"를 사용하여 전송하는 동안 암호화되지 않은 패스워드를 쉽게 가로채 이 데이터를 이용하여 무단 액세스 권한
을 얻을 수 있다.
해결책:
가능한 경우 암호화를 제공하는 대체 서비스를 사용한다. 강력한 암호화를 사용하여 전송하는 동안 모든 인증 자격 정보(예: 패스워드/암호)를 읽을
수 없도록 한다.
결과:
Service name: FTP on TCP port 21.
업체로부터 위와 같은 보고서를 받았습니다.
결과를 보면 어떤 부분때문에 취약하다고 판단됐는지 알 수 있는데요,
저희 서버에서 사용하고 있는 FTP 서비스때문에 불합격을 받은 케이스입니다.
FTP, TELNET 같은 서비스를 사용하게 되면 암호화가 되지 않으므로 해커들이 매우 좋아하는 루트이죠!! 그래서 아예 서비스를 막아야 합니다.
저희서버는 텔넷 등 다른 서비스는 사용하지 않으므로 FTP 서비스에 대해서만 처리해주면 될 것 같습니다.
그럼 해결방법을 살펴보도록 하겠습니다.
참고로 저희는 윈도우서버 2016을 사용하고 있습니다.
Services.msc에서 FTP서비스 중지시키기
Service.msc 창을 열어 「 Microsoft FTP Service 」를 찾습니다.
현재 FTP Service의 Status가 Runing중인게 확인되네요!!
속성으로 들어가서
FTP서비스의 Startup Type을 Manual로 바꾸고, Service Status를 Stop으로 바꾼뒤 적용버튼을 클릭합니다.
위 화면과 같이 Status에 아무것도 안보이고 Startup Type이 Manual로 보여지면 정상적으로 FTP서비스가 중지된 것입니다. Startup Type을 Manual로 바꾼 이유는 서버재부팅시 자동으로 FTP서비스가 올라오는 것을 막기 위해 수동으로 처리하고자 함입니다.
이로써 1개 FAIL건에 대해 클리어했습니다.
그런데, 혹시 이런 경우 겪어보셨나요?
FTP서비스의 Startup Type을 Disabled로 해서 적용을 시켰는데
"Windows is attemping to stop the following service on Local Computer... Microsoft FTP Service"
라고 보여지며 계속 진행바가 보여지길래 다 진행안됐는데 그냥 [ 닫기 ] 버튼을 눌러버렸어요.
그랬더니?
요렇게 FTP서비스의 Status가 Stopping으로 보여지는게 아니겠어요? 뭔가 이상하다 싶어서 다시 시작시키려고 마우스 오른쪽 클릭을 했더니
아무것도 활성화가 되어 있질 않네요!!
정상적으로 Stop이 되었다면 Start 메뉴가 활성화되어있어야 하거든요!!
이상해서 Server Manager를 들어갔더니
FTP서비스가 Stop Pending(보류)이 되어 있어요 ㅠㅠ
제가 아까 FTP 서비스를 Disabled시킬때 다 진행되지도 않았는데 꺼서 그런거 같습니다.
커맨드창(관리자모드)에서 서비스를 중지시키는 명령어인 「 net stop ftpsvc 」와 서비스를 활성화시키는 명령어인 「 net start ftpsvc 」를 입력해봐도 결과는 「 The Service is starting or stopping. Please try again later. 」라는 문구만 나옵니다.
정상적으로 프로세스 종료가 안된거죠!
이 경우, 재부팅하면 자동으로 해결이 되는데요. 문제는 이게 서버라는 것! 그것도 라이브서버!!!!
하 ㅠㅠ 재부팅은 상상도 할 수 없죠.
그러면 어떻게 문제가 되는 프로세스를 종료할 수 있을까요?
일단, FTP서비스의 속성창에서 [ Recovery ]탭을 클릭하고 First Failure, Second Failure, Subsequent Failures에 대한 응답을 [ Take No Action ]으로 바꿔줍니다. 서비스 실패에 대한 반응을 없애기 위함입니다.
요렇게 조치를 취해놓고 나서요,
커맨드창(관리자모드)에서 「 sc queryex ftpsvc 」라고 입력합니다. 그러면 해당 서비스에 대한 PID(프로세스 ID)가 나오는데요, 이 프로세스를 찾아서 강제종료를 해야 합니다.
커맨드창(관리자모드)에 문제가 되는 프로세스(조회결과 PID 1620)를 강제종료하기 위해 「 taskkill /f /pid 1620 」이라고 입력합니다.
요렇게 하고 나서 다시 Service.msc 창을 열어 확인해보면
와우~~ 마우스 오른쪽 클릭했을때 [ Start ] 메뉴가 활성화되어 있는게 보여집니다.
다시 속성창에 들어가서 Startup Type을 [ Automatic ]으로 바꿔주고, Status를 [ Start ]로 바꾼뒤, [ Recovery ]탭을 원복시켜주시면 됩니다.
재부팅을 할 수 없는 환경인 윈도우서버에서 꼭 필요한 기능입니다.
비단 FTP서비스뿐만 아니라 다른 모든 서비스도 위 내용대로 프로세스 ID만 찾아서 강제종료시키면 됩니다.
꼭 기억해두세요^^
읽어주셔서 감사합니다^_______^
'업무 및 공부 > IT·보안' 카테고리의 다른 글
| 윈도우서버 Service Host: Local Service 높은 CPU 점유율 (0) | 2020.11.30 |
|---|---|
| [피싱주의] 암호화폐 거래소 코인원(Coinone) 사칭 스팸 문자 주의 (0) | 2020.11.01 |
| [보안] PCI DSS 인증 준비 (0) | 2020.09.24 |
