ZunoXI

System Engineering/Server(Web&WAS)

Server #5. IBM HTTP Server(IHS) TLS 프로토콜 설정

ZunoXI 2021. 5. 26.

 

 

개요

IBM HTTP Server(IHS) TLS 프로토콜 설정하기

IBM IHS

IBM이 제공하는 메인프레임 서버 중 AIX UNIX계열의 서버는 일반적으로 웹서버 구동 시, 일반 리눅스에서 사용하는 Apache와 유사한 성능을 보유한 IBM HTTP Server(이하 IHS)를 사용한다. 대부분의 웹서버가 그러하듯 HTTPS 통신에서 취약한 TLS Protocol을 오픈하는 것은 보안상의 위협이 되기 때문에 반드시 Disable 시킬 필요가 있다. 이번 포스팅은 관련 IHS에서의  특정 protocol을 Disable 하는 방법에 대해 기술한다.

 

 

 

 

IHS(IBM HTTPS Server)

 

먼저, IHS는 서두에서 언급했듯이 IBM 서버(AIX OS)에서 구동이 가능한 웹서버이다. WebSphere의 관리 콘솔을 지원하며 IBM unix인 AIX는 물론 Linux, Windows NT 서버에서도 동작한다. Apache 웹서버와 기능이 유사한 이유는 Apache Sotware Foundation의 HTTP 서버를 기반으로 하기 때문이며 IBM에 별도 지불없이 무료로 사용 가능하다. 

 

일반적으로 IHS는 IBM의 Application Server인 WebSphere와 함께 사용되지만 필자의 업무환경은 IHS와 BEA의 WebLogic 조합으로 사용중인 것을 참고하면 좋을 것 같다.

 

 

IBM HTTP Server와 Apache HTTP Server

https://www.ibm.com/docs/ko/ibm-http-server/8.5.5?topic=overview-key-differences-from-apache-http-server 

 

 

 

취약 프로토콜

 

먼저 SSL(Secure Socket Layers)은 Netscape에 의해 개발되었으며 네트워크를 통해 작동하는 서버, 시스템 및 응용프로그램간에 인증 및 데이터 암호화를 제공하는 인터넷 암호화 프로토콜이다. 현재는 SSL 2.0 및 3.0 모두 IETF에 의해 사용이 중지되어있고 Chrome, IE, Edge 등의 브라우저가 TLS 1.0, TLS 1.1 암호화 프로토콜 통신을 중단 혹은 예정이다. 따라서 SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1은 현재 취약버전 프로토콜로 웹서버단에서 차단 조치하는 것을 권장한다.

 

SSL관련 더욱 상세한 정보는 아래 블로그 포스팅을 참고하면 좋을 것 같다.

 

https://zunoxi.github.io/infra/2020/06/24/infra-secure-tls_ssl/

 

Secure 1. TLS와 SSL에 대한 이해

개요 TLS와 SSL에 대한 정의와 그차이 목차 SSL이란? TLS이란? SSL과 TLS 인증서와 프로토콜 SSL 먼저 SSL(Secure Socket Layers)은 Netscape에 의해 개발되었으며 네트워크를 통해 작동하는 서버, 시스템 및 응용

zunoxi.github.io

 

 

 

 

취약 프로토콜 차단

 

1. 설정파일 접근

 

$ vi {IHS 경로}/conf/httpd.conf

 

2. SSLProtocalDiasable 설정

 

일반적으로 여러개의 도메인을 쓰고 있는 경우 virtualhost를 별도 이용하고 있을 텐데, 해당 경우에는 해당하는 virtualhost에 설정해주면 된다. 기존 httpd.conf에 대한 백업은 필수이며 해당 파일의 SSLProtocalDisable 항목을 추가한다.

 

SSLProtocolDisable SSLv2 SSLv3 TLSv10 TLSv11

 

3. IHS 서버 재부팅 및 확인

 

먼저 IHS의 httpd.conf 파일을 수정했지만 현재 구동중인 IHS에는 미반영된 상태이다. 따라서 IHS를 재부팅하기 전 인터넷 옵션(Internet Explore기준) > 고급 메뉴에서 TLS 1.0, 1.1 사용만 체크하고 TLS 1.2 이상은 미사용하도록 조치한 뒤에 재부팅하는 것을 추천한다. 해당 방법을 사용하면 실제 웹서버가 "TLS 1.2로 통신을 하고 있는지? TLS 1.0과 1.1을 차단한 경우 브라우저에서 접근 시 접근되지 않는지?"를 확인할 수 있다.

 

이제 정상 적용되었는지 확인을 위해 IHS를 아래와 같이 재부팅한다.

$ {IHS 경로}/bin/apachectl stop
$ {IHS 경로}/bin/apachectl start

 

필자의 경우는 TLS 1.2 체크해제 후 위 설정대로 웹서버에 설정한 상태로 재부팅하니 웹페이지 접속이 불가한 것을 확인했으며, 취약점 보안조치가 정상적으로 되었음을 판단했다.

 

 

 

 

 

 

 

 

 

반응형
저작자표시

'System Engineering > Server(Web&WAS)' 카테고리의 다른 글

Server #6. Apache ServerTokens 설정  (0) 2022.09.28
Server #4. Tomcat log에 대한 이해와 분리 방법  (0) 2020.07.06
Server #3. Centos7 아파치(웹서버)와 Tomcat(WAS) 연동하기  (0) 2020.05.21
Server #2. CentOS7 tomcat 다중서버 구동하기  (0) 2020.05.13
Server #1. centos7에 apache tomcat 설치  (0) 2020.04.21

댓글

티스토리툴바