나라의 IT 잡아먹기

이번 포스팅에서는 Web Server SSL 취약점으로 분석되는 디피 헬만 키에 대해 살펴보겠습니다. 1. 디피 헬만 키 취약점 분석 디피 헬만(Diffie-Hellman) 키 교환 프로토콜을 사용하는 TLS 연결에 취약점이 발견되었습니다. 바로 Logjam이라는 TLS 취약점인데요. https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf 상세한 사항은 위 논문을 참고하시구요. 대략적인 이야기만 하자면, 취약한 DHE 연결의 오프라인 암호 해독이 가능하거나, DHE_EXPORT 다운그레이드(의도적으로 512로 다운그레이드) 및 TLS False Start 확장 오프라인 해독 공격, DHE_EXPORT 다운그레이드 및 중간자가 서버 자격을 변경하는 등의 공격 시나..

본 포스팅은 apache LogFormat 설정 관련 자료입니다.apache httpd.conf에 설정가능한 LogFormat에 대한 가이드입니다. $APACHE_HOME/conf/httpd.conf...... # # The following directives define some format nicknames for use with # a CustomLog directive (see below). # LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%l %h %u %t \"%r\" %>s %b" common # You need to enable mod_logio.c to use %I ..

본 포스팅은 Apache에서 다중프로세스를 기동하여 사용하는 가이드입니다. 기존 설치되어있는 Apache에서 다중프로세스를 기동할수있도록 설정하도록 하겠습니다.한대의 Apache 설치만으로 다중 Apache 프로세스를 띄우고자 할때는 아래와 같은 설정이 필요합니다.A. 각 프로세스의 Port 설정B. 각 프로세스의 pid 파일이 생성되는 디렉토리 설정 C. 각 프로세스가 참조하는 설정파일 필요-httpd.conf ( +내부에서 참조되는 설정 파일 또는 로그경로는 모두 프로세스별로 달라야합니다.) 그럼 진행하도록 하겠습니다. * 시나리오-Apache 버전 : httpd-2.4.34-프로세스별 구성은 아래와 같습니다. 프로세스명 Port PidFile 설정파일명 httpd1 80 run/httpd1.pid$..

본 포스팅은 Apache에서 SSL을 적용하는 가이드입니다. 기존 설치되어있는 Apache에서 SSL 인증서를 만들고, 적용하여 HTTP>HTTPS로의 Rewrite를 테스트해보도록 하겠습니다. Apache 웹서버에 SSL를 적용하기 위해 아래 두 항목이 웹서버에 설치되어 있어야 합니다. - Openssl 암호화 라이브러리 - Mod_ssl 모듈 위 두 항목이 웹서버에 설치되어 있다면 개인키를 생성하고 생성된 개인키를 바탕으로 CSR 파일을 생성합니다. 생성된 CSR 파일을 공식 인증기관에 접수하여 정식 인증서를 발급받습니다. 발급된 인증서를 웹서버에 설치하게 되면 SSL 설정을 완료하게 됩니다. 위 일련의 진행사항은 아래와 같은 절차를 따르게 됩니다. 1. openssl 라이브러리 설치상태 확인 2. ..

본 포스팅에서는 Apache (httpd-2.4.34) 설치를 해보겠습니다. 앞으로 httpd-2.4.X 버전부터는 apr과 apr-util,pcre 를 별도로 설치하여야 apache 설치가 완료됩니다. APR(아파치 포터블 런타임)는 아파치 HTTP 서버 2.x.의 핵심이며 휴대용 라이브러리입니다. 이런 APR은 고급 IO 기능(예:sendfile, epoll and OpenSSL 등)에 대한 접근을 포함하여 OS 수준의 기능 (난수 생성, 시스템 상태), 그리고 기본 프로세스 처리(공유 메모리, NT 파이프와 유닉스 소켓) 등 많은 용도로 사용되고 있습니다. PCRE( Perl Compatible Regular Expressions )는 펄 호환 정규 표현식으로서, 정규식 패턴 일치를 구현하는 함수의..

본 포스팅은 WebtoB ProxySSL, Apache 상호인증 설정 및 테스트에 대해 알아보겠습니다. 최근 사이버 공격은 대부분 홈페이지 보안 취약점을 악용한 해킹을 통해 정보시스템 파괴, 개인정보 유출, 홈페이지 위·변조 등의 피해를 발생시켜 정보시스템을 운영하는 기관의 대외 신뢰 하락과 많은 손실을 끼치고 있습니다. 이에 따라, 홈페이지 관리자는 홈페이지 및 웹 서버에서 발생하는 보안취약점에 대한 점검과 대응방안에 대해 숙지하고 미리 제거해 홈페이지 서비스의 안전성과 신뢰성을 확보하는 것이 매우 중요합니다. 본 가이드는 WebtoB를 기준으로 다른 웹 서버와 상호인증에 대한 설정 방법을 담고 있으며 해당 설정에 대한 옵션 설명이 일부 포함되어 있습니다. 해당 테스트는 WebtoB 4.1.8.1 이상..

본 포스팅은 Sticky Session을 사용하여 요청을 처리하는 방식을 가이드합니다. Sticky session이란 쿠키 또는 세션을 사용하여 트래픽을 분산하는 기능입니다. 즉, 특정 사용자가 접속을 시도 했을때 처음 접속된 서버로 계속해서 접속되도록 트래픽을 처리하는 방식입니다. 이번 가이드에서는 Sticky Session을 설정하고 테스트해보도록 하겠습니다. 진행하기 전에 mod_jk 를 이용한 Web-WAS 연동과, Standalone Mode에서의 Clustering환경 구성이 필요하니, 지난 포스팅을 꼭 참고해주세요. [Wildfly] Clustering in Standalone Mode [wildfly] apache 연동 가이드 테스트 시나리오 a.클러스터링된 2개의 노드에 각 하나의 app..

본 포스팅에서는 Apache의 Web Console기능을 통해 모니터링 하는 법을 알아봅니다. Apache HTTP Server에서도 모듈 추가와 간단한 설정만으로 손쉽게 현재 상황에 대한 모니터링이 가능합니다. 이번 포스팅에서는 해당 내용에 대한 설정을 가이드합니다. 1. 서버모니터링은 mod_status.c라는 모듈에 의한 기능을 사용합니다. - httpd.conf LoadModule status_module modules/mod_status.so 2.httpd.conf 설정 - httpd.conf SetHandler server-status order deny, allow deny from all allow from www.domain.com or IP주소 - allow from yourdomain..

본 포스팅은 mod proxy balancer 를 이용한 Active/Passive 구성 가이드입니다. Apache와 WildFly의 연동방식으로는 mod_jk를 사용하는 방법 이외에도 mod_proxy를 사용하여 연동할수도 있습니다. 또한 mod_proxy_balancer라는 모듈을 추가하여 LoadBalancing 및 Active/Passive 구성이 가능합니다. mod_jk 를 이용한 Web-WAS 연동가이드는 아래 포스팅에서 참고하세요. [Wildfly] Clustering in Standalone Mode 진행하기 전에 Standalone Mode에서의 Clustering환경 구성이 필요하니, 지난 포스팅을 꼭 참고해주세요. [wildfly] apache 연동 가이드 1.Apache-WildFl..

본 포스팅은 Apache의 Load Balancing에 대한 가이드입니다. 본 포스팅은 Apache의 worker별 load balancing 을 구성하는 시나리오입니다. 먼저 Standalone Mode에서의 Clustering환경 구성과 Apache와의 연동이 필요하니, 지난 포스팅을 꼭 참고해주세요. [Wildfly] Clustering in Standalone Mode [wildfly] apache 연동 가이드 Apache 구성파트입니다. 1.부하 분산을 위해 요청을 마운트할 worker는 load_balancer 입니다. 이를 httpd.conf 에 설정합니다. - httpd.conf .. ###AJP13 Setting For Node1,2 LoadModule jk_module /home/tes..