인프라 진단/전자금융기반시설(서버) - IIS2 SRV-021 (IIS) FTP 서비스 접근 제어 설정 미비 SRV-021 (IIS) FTP 서비스 접근 제어 설정 미비 【 상세설명 】 FTP는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하며, 적절한 접근통제 정책 미적용 시 비인가자에게 시스템 파일이 노출될 수 있으므로 FTP 접근 제어 설정의 적절성 여부를 점검 【 판단기준 】 - 양호 : 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용한 경우 - 취약 : 특정 IP 주소 또는 호스트에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우 【 판단방법 】 1. FTP 서비스 구동 확인 ※ 『시작 유형」 "사용 안 함" 설정 후 『서비스 상태」 "중지" 설정 확인 2. FTP 서버 접근 제어 설정 확인 ※ "metabase.xml".. 2024. 1. 5. SRV-013 (IIS) Anonymous 계정의 FTP 서비스 접속 제한 미비 SRV-013 (IIS) Anonymous 계정의 FTP 서비스 접속 제한 미비 【 상세설명 】 FTP 서비스는 파일을 전송하기 위한 프로토콜을 기반으로 하는 서비스로, 임의의 사용자가 FTP 서비스를 이용할 수 있는 익명(Anonymous) FTP 기능이 활성화된 경우 악의적인 사용자도 손쉽게 접근이 가능하므로 해당 기능의 허용 여부를 점검 【 판단기준 】 - 양호 : FTP 서비스 미사용 또는 Anonymous 설정 비활성화 - 취약 : Anonymous FTP 설정 활성화 【 판단방법 】 1. FTP 서비스 구동 확인 ※ 『시작 유형」 "사용 안 함" 설정 후 『서비스 상태」 "중지" 설정 확인 2. "익명 연결 허용" 체크 해제 또는 "익명 인증" 모드 "사용 안 함" 설정 확인 ※ "metaba.. 2024. 1. 5. 이전 1 다음