🔒 IIS 보안 설정에 필요한 핵심 사항 - 자료실

- 설명

IIS(Internet Information Services) 서버의 보안을 강화하기 위해 필수적으로 고려해야 할 사항들을 역할별로 나누어 안내해 드립니다.

uploadImage

IIS 자체 설정 이전에 서버 운영체제(OS) 수준에서 기본 보안을 강화해야 합니다.

정기적인 패치 및 업데이트: Windows Server 및 IIS를 최신 상태로 유지하여 알려진 취약점을 방어합니다.
방화벽 설정: 필요한 포트(80, 443)만 외부로 개방하고, 관리 포트(3389)는 특정 IP 대역에서만 접근하도록 제한합니다.
최소 권한 원칙:
- 웹 애플리케이션 풀(Application Pool)은 전용 계정을 사용하며, 이 계정에는 **필요한 폴더(로그, 업로드 등)에만 최소한의 권한(읽기, 쓰기)**을 부여합니다.
- 관리자(Administrator) 계정을 웹 애플리케이션 실행에 사용하지 않습니다.

암호화된 통신은 웹 서버 보안의 기본입니다.

HTTPS 사용 강제: 모든 트래픽을 **HTTP 대신 HTTPS(443 포트)**를 사용하도록 강제 전환(리다이렉션)합니다.
TLS 버전 관리: SSL v2/v3 및 TLS 1.0/1.1과 같은 구형 프로토콜을 비활성화하고, TLS 1.2 또는 TLS 1.3만 사용하도록 설정합니다.
강력한 암호화 스위트(Cipher Suites): 취약한 암호화 알고리즘은 비활성화하고, AES와 같은 강력한 암호화 방식만 허용합니다.

가장 중요한 IIS 관리자 내부 설정입니다.

익명 인증: 외부 사용자에게 웹사이트를 공개하는 경우 기본으로 설정합니다. 익명 사용자 계정(IUSR)의 권한은 최소화해야 합니다.
폴더 권한 제한:
- 스크립트/코드 폴더: 실행 권한을 제외한 읽기 권한만 부여합니다.
- 업로드 폴더: 쓰기 권한만 부여하고, 실행 권한은 반드시 제거합니다.

이 기능은 악의적인 HTTP 요청으로부터 서버를 보호하는 핵심 방어벽입니다.

파일 확장자 차단: 실행될 필요가 없는 확장자(.bak, .config, .pdb, .rsp 등)를 차단하여, 설정 파일 노출이나 원격 코드 실행을 방지합니다.
숨겨진 세그먼트 차단: bin 폴더나 .svn, .git 폴더와 같이 웹 브라우저로 접근할 필요가 없는 디렉터리를 차단합니다.
최대 요청 크기 제한: **maxAllowedContentLength**와 **maxRequestLength**를 설정하여 DDoS 공격이나 대용량 악성 파일 업로드를 방지합니다.

민감한 정보 제거: HTTP 응답 헤더에서 X-Powered-By (예: ASP.NET 버전), Server (예: IIS/10.0)와 같이 서버 정보를 노출하는 헤더를 제거합니다.
보안 헤더 추가: X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Content-Security-Policy 등의 보안 관련 HTTP 헤더를 추가하여 XSS 및 Clickjacking 공격을 방어합니다.

보안 이벤트 발생 시 원인을 파악하고 추후 감사를 위해 필수적입니다.

동적 IP 제한 (Dynamic IP Restrictions, DIR): 짧은 시간 내에 비정상적으로 많은 요청을 보내는 IP 주소를 자동으로 차단하여 DDoS 공격으로부터 서버를 보호합니다.
URL 재작성 모듈 (URL Rewrite Module): 복잡한 보안 규칙을 적용하거나 악성 요청 패턴을 차단하는 데 사용할 수 있습니다.