목차
1. 간단한 필기
2. 세팅연습
- WEB 서버
- MAIL 서버
- CIFS
3. 웹 사이트 관련 설정
- 실제 디렉터리
- 가상 디렉터리
- HTTP 리디렉션
- IP 주소 및 도메인 제한
필기 내용
윈도우 서버 사용 이유
- 액티브 디렉터리를 통한 인증
- 그룹 정책을 통한 관리
세팅 연습
- 어제 포스팅에 이어 진행할꼐요!
설계
윈도우 서버 세팅
W12K19-AD 세팅
WEB-MAIN 서버
웹 컨텐츠를 저장할 루트 디렉터리 생성
서비스할 HTML을 babo.html로 설정
IIS 관리자 - 웹 사이트 추가
- 실제 경로에 루트 디렉터리 경로 추가
서비스할 메인페이지를 babo.html을 기본문서에 추가해준다
- 새로 추가한 것은 바로 최상단에 올라가진다
- 모든 윈도우 서버에 똑같이 추가해준다
테스트
10.0.0.1 테스트
10.0.0.2 테스트
10.0.0.3 테스트
도메인 이름으로 테스트
도메인 이름으로 테스트
- 알다시피 도메인 이름으로 접속은 3개중 랜덤으로 나온다!
WEB-BLOG 설정
메인과 마찬가지로 루트 디렉터리 생성 후, babo.html 작성
IIS 관리자 - 웹 사이트 추가
- 콘텐츠 디렉터리의 경로 설정
- 가상 호스트 설정을 여기서 바로 진행이 가능
- 여기서 하지 않으면 IIS 관리자에서 바인딩 편집도 가능
blog 사이트 설정된 것 확인
CIFS
- 예전에 공유폴더 많이했으므로 다시 기억되살려보자!
테스트를 위해 CIFS_TEST 폴더를 생성 후, 공유
- 공유는 네트워크 접근을 위해 열어주는 것이기 때문에 Everyone에 모든 권한 부여
NTFS 권한 설정(관리자, a 사용자만 접근 가능하도록 설정)
- a 사용자에 대해 읽기 권한 부여
W11-1에서 \\10.0.0.1을 통해 공유폴더 접속
- a 사용자나 관리자를 제외하고는 접근이 불가
W10-1에서는 Administrator로 접속하여서 쓰기까지 전부 가능
W11-1에서 a사용자로 접속하여 공유 폴더에 접근
공유 폴더에서 txt 파일을 생성하려는데 권한을 요구
- a 사용자는 NTFS 설정 때 읽기 권한만 줬으므로, 쓰기 불가능
a 사용자에게 쓰기 권한 부여
a 사용자가 공유 폴더에 쓰기가 가능해짐
W10-1의 관리자가 생성한 heelo파일도 삭제가 가능
W12K19-MEM1 세팅
WEB-BLOG, INTRA 설정
똑같이 생성 후, 확인
INTRA 사이트 인증 추가
IIS 관리자 - Intra - 인증
- 기본 인증을 사용으로 변경하고, 익명 인증은 사용 안함으로 변경
- 기본인증은 평문이고 Windows 인증은 그나마 보안이 조금 된다
- 평문 사용함으로 지정하여, 우측 상단에 경고 메세지가 뜨는 것!
테스트를 위해 사용자 a, b 생성
NTFS에 기본적으로 Users 그룹이 생성되어 있다
- 사용자가 생성되면 자동적으로 Users 그룹에 등록되기 때문에 따로 안해도 비번물어보게 되는 것
테스트
W10-1에서 blog.knlee.xyz 접속 후 확인
W10-1에서 intra.knlee.xyz 접속 후 확인
intra 페이지 접속 시 로그인해야 접속이 가능해짐
W12K19-MEM2 세팅
WEB-INTRA 설정
똑같이 생성 후, 확인
INTRA 사이트 인증 추가
마찬가지로 똑같이 진행해 준다
Mail 서버 설정
hMailServer 다운로드
hMailServer에는 server와 administrative tools가 존재
- Server : SMTP, POP3의 기능을 사용
- Administrative tools : 메일 서버를 관리하는 GUI 툴
- 보통 둘을 나눠 설치하는 것이 좋지만, 쉽게 하기위해 한 곳에 설치 진행
역할 및 기능 추가 - .NET Framework 3.5 설치
- hMailServer 설치시, .NET Framework 3.5가 필요한데 hMailServer 마법사에서
설치시 오래걸리게 되므로 서버 관리자에서 설치해주는게 더 효율적이다
만약 설치 오류가 발생하면, 대체 원본 경로 지정을 해줘야 한다
- 설치 진행하는 동안 오류가 생기면 당황하지 말고 다시 해보자!
- 오류가 생기는데에는 다 이유가 있는 것을 알자
윈도우 CD의 sources 폴더에 sxs폴더를 경로로 지정
- 경로를 지정해줬다면, 설치가 말끔히 진행될 것이다
방화벽 포트 개방
메일 서버 사용을 위해 방화벽 포트를 열어준다
hMailServer 세팅
도메인 추가
사용하는 도메인을 추가해주고, 꼭 save하자!
메일 서버에서 계정 생성
원하는 메일 주소와 비밀번호를 입력 후 Save
메일을 주고 받아 보기 위해 사용자 하나 더 생성
사용하는 프로토콜 3개가 전부 체크되어져 있다(default)
로그 사용을 위해 체크 후 save
Auto-ban 설정
- 패스워드가 많이 틀리게 되면 오토밴 걸리게 된다
- IP Ranges에서 삭제 해줘야 다시 사용이 가능하다
- 로그인 시도 횟수를 5로 변경해서 웬만하면 안걸리게 설정
테스트
- Linux 메일 서버 설계 시 테스트를 위해 사용했던 썬더 버드 사용!
썬더버드에서 메일 생성 및 메일 서버 테스트
- Windows는 리눅스와 달리 Username에 @도메인 주소를 붙여줘야 한다
a사용자의 메일을 만들어 자기 자신에게 메일을 보내 테스트
메일을 주고 받아 보기 위해 b 사용자 메일도 생성
b사용자의 메일을 만들어 자기 자신에게 메일을 보내 테스트
b 사용자가 a 사용자에게 메일 보내 테스트
a 사용자에게 메일이 잘 보내진 것을 확인
실제 디렉터리
웹 루트 디렉터리 밑에 폴더 생성(리얼 디렉터리임)
1폴더에 index.html이 없어 오류가 나는거지 이동은 됨
디렉터리 리스닝 기능 활성화
- 디렉터리 리스닝 기능 : 파일 디렉터리 목록 나열
테스트를 위해 웹 루트 디렉터리 아래 1 폴더에 텍스트 파일 생성
디렉터리 리스닝 기능이 활성화 되어 디렉터리 확인이 가능해짐
- 단점 : 컨텐츠 디렉터리 밑에 1이 있다고 판단이 쉽게되기 때문에 위험
테스트
만든 하위 폴더를 IIS 관리자에서도 확인 가능(실제 디렉터리)
실제 디렉터리 테스트
가상 디렉터리
- 보안상 설정하는 디렉터리
테스트를 위해 WEB_V 생성 후, 아래 폴더 및 파일 생성
IIS 관리자 - 웹 사이트(Main) - 가상 디렉터리 추가
별칭은 아무거나 정한 후, 경로에 WEB_V 경로 추가
디렉터리 안에 내용이 보여진다
- 컨텐츠 디렉터리 밑에 있는것처럼 보이지만 실상은 그렇지 않음
- 공격자에게 혼란을 줄 수 있다
- 쉽게 생각하면 a라는 아이콘을 만든 느낌이다
테스트
만든 하위 폴더를 IIS 관리자에서도 확인 가능(가상 디렉터리)
- 가상 디렉터리는 아이콘 모양이 조금 다른 것을 확인
가상 디렉터리 테스트
HTTP 리디렉션
- 페이지 공사 중이거나 합병으로 사이트 주소가 통합될 때 많이 사용
메인 웹 페이지인 www.knlee.xyz 접속 시, www.naver.com으로 접속이 되도록 적용
- 하위 폴더들에도 모두 적용
디렉터리를 보기 위해 www.knlee.xyz/a/ 접속 시, www.naver.com으로 접속이 되도록 적용
테스트
메인 웹페이지가 네이버로 접속되는 것 확인
디렉터리 페이지가 네이버로 접속되는 것 확인
IP 주소 및 도메인 제한
IP 주소 및 도메인 제한의 거부 항목에 W10-1의 IP 추가
테스트
W10-1에서 10.0.0.1 접속이 거부되는 것 확인