[윈도우/서비스 관리] IIS 파일 업로드 및 다운로드 제한 (W-17)

IIS 파일 업로드 및 다운로드 제한

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 사용해야 하는 경우, 파일의 용량제한을 설정하고 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함

■ 보안 위협
- 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애를 유발할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : 웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는 경우
- 취약 : 웹 프로세스의 서버 자원을 관리하지 않는 경우(용량 미 제한)

■ 조치 방법
● Windows NT, 2000, 2003
Step 1) 시작 > 실행 > SERVICEMSC > IISADMIN > 속성 > 일반 탭에서 서비스 중지
Step 2) %systemroot%\system32\inetsrv\MetaBase.xml 파일을 찾아 편집기로 OPEN
Step 3) AspMaxRequestEntityAllowed 값을 찾아 파일 업로드 용량을 최소 범위로 제한
Step 4) AspBufferingLimit 값을 찾아 파일 다운로드 용량을 최소 범위로 제한
Step 5) 시작 > 실행 > SERVICE.MSC > IISADMIN > 속성 > 일반 탭에서 서비스 시작

● Windows 2008, 2012
Step 1) 등록된 웹 사이트의 루트 디렉토리, 디렉토리에 있는 web.config 파일 내 아래 항목 추가

[upload 및 download 용량 제한 - web.config 파일 편집]

Step 2) %systemroot% \system32\inetsrv \config \ applicationHost.config 파일 내 아래 항목 추가

[upload 및 download 용량 제한 - applicationHost.config 파일 편집]

Default 설정 값
1) maxAllowedContentLength 콘텐츠 용량 -> 30MB
2) MaxRequestEntityAllowed 파일. 업로드 용량 -> 200000byte
3) bufferinglimit 파일 다운로드 용량 -> 4MB


■ 스크립트

echo. W-29 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-29 "IIS 파일 업로드 및 다운로드 제한" ]                                                         >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. #파일 업로드 #                                                                                >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type c:\Windows\System32\Inetsrv\config\applicationHost.config | findstr /i "RequestEntityAllowed"     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. #파일 다운로드 #                                                                               >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type c:\Windows\System32\Inetsrv\config\applicationHost.config | findstr /i "BufferingLimit"    >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-29 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt

■ 용어 설명 / 팁
IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어, 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요