W-24: FTP 접근 제어 설정
분류: Windows
중요도: 상
개요
점검 내용
FTP 접속 가능한 IP주소 지정 여부 점검
점검 목적
FTP 접근 시 특정 IP주소에 대해 콘텐츠 접근을 허용하여 서비스 보안성을 강화하기 위함
보안 위협
FTP 프로토콜은 로그온 시 지정된 자격 증명이나 데이터 자체가 암호화되지 않고 모든 자격 증명을 일반 텍스트로 네트워크를 통해 전송되는 특성상 서버 클라이언트 간 트래픽 스니핑을 통해 인증 정보가 쉽게 노출될 위험이 존재함
참고
참고
- 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용해야 함
- 관련 점검항목: W-21(상), W-22(상), W-23(상)
점검 대상 및 판단 기준
대상
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단 기준
✅ 양호: 특정 IP주소에서만 FTP 서버에 접속하도록 접근 제어 설정을 적용한 경우
❌ 취약: 특정 IP주소에서만 FTP 서버에 접속하도록 접근 제어 설정을 적용하지 않는 경우
조치 시 마스터 속성과 모든 사이트에 적용함
조치 방법
특정 IP주소에서만 FTP 서버에 접속하도록 접근 제어 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Windows NT(IIS 4.0), 2000(IIS 5.0), 2003(IIS 6.0)
- 인터넷 정보 서비스(IIS) 관리 > FTP 사이트 > 속성 > [디렉터리 보안] 탭에서 "액세스 거부" 선택 후 접근 가능 IP주소 추가
- 만약 개별 FTP 사이트에 적용할 경우 해당 사이트에만 설정이 적용되고, 기본 설정 은 적용받지 않음
- 액세스 허가: 모든 액세스를 허용 후 액세스를 거부할 컴퓨터, 그룹, 도메인 추가
- 액세스 거부: 모든 액세스를 거부 후 액세스를 허용할 컴퓨터, 그룹, 도메인 추가
Windows 2008(IIS 7.0), 2012(IIS 8.0), 2016, 2019, 2022(IIS 10.0)
- 제어판 > 관리 도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 FTP 사이트 > FTP IPv4 주소 및 도메인 제한
- [작업]의 허용 항목 추가에서 FTP 접속을 허용할 IP 입력
- [작업]의 기능 설정 편집에서 지정되지 않은 클라이언트에 대한 액세스를 거부 선택
[ FTP IP주소 및 도메인 제한 설정 ]
[ 허용 IP주소 설정 ]