반응형
보안서버 구축 후, 일반 사용자에게 암호화 되고있는 효과를 보여주기 위해서는 http 패킷을 보여줘야 한다.
(http가 plain text로 통신되며 안전하지 않은 것을 눈으로 보여주기 위해서 이 문서를 작성.)

http로 통신되는 내용을 보기위한 방법은 여러가지 존재하는데
그 중 윈도우 사용자를위한 패킷분석도구를 사용해서 http를 살펴보자.
libpcap, ehtreal 기반의 훌륭한 패킷분석도구가 오픈소스로 제공되니 설치해보자.

Packetyzer - 패킷분석기

http://sourceforge.net/projects/packetyzer/


설치를 일반적인 윈도우 프로그램과 동일하게 진행하고 난 후
아래의 아이콘을 클릭하면 패킷을 분석하기 시작한다.



이 상태에서 브라우저를 열고 대상사이트를 방문하여, 로그인 같은 과정을 진행한다.
그리고 위의 버튼을 한번더 클릭하면 패킷분석이 중단된다.

여러가지 네트워크 관련 트래픽이 일어나는 pc의 경우라면 많은 내용이 빠르게 흘러가면서 캡처될것이다.
그 중 원하는 내용만 별도로 보기위해서 프로그램 하단의 filter를 이용하자.


설정한 주소만 보여달라는 필터를 설정을 한 후 apply버튼을 누르면 해당하는 ip의 내용만 나타난다.

아주 다양한 유형의 필터를 설정해서 볼수 있으므로,
필터의 상세한 내용은 프로그램 상단메뉴의 > Windows > Show FilterList 를 보자.

내용을 살펴보면 아래처럼 아이디와 비밀번호를 평문으로 전달하고 있는것을 볼 수 있다.




이번에는 브라우저의 주소를 보안서버가 적용된 https로 접속하여 패킷을 분석해보자.
그 결과 전달된 내용이 암호화 되고 있음을 볼 수 있다.


반응형
반응형
보안서버에 대해서 잘 모른다면 http://www.kisa.or.kr/jsp/notice/notice_detail.jsp?b_No=4&d_No=143 에서
보안서버구축가이드를 다운로드 받아서 읽어보시기 바랍니다.

보안서버를 구축하기 위해서는 신뢰할수있는 root CA가 발급한 인증서가 필요하죠.
무료로 보안서버를 구축하기 위해서는 인증서가 필요한데
startssl 사이트에서 인증서를 발급받아서 사용가능합니다.

startssl 사이트에 방문해서 몇가지 절차를 거치면 보안서버에 사용가능한 인증서가 발급 됩니다.
(발급과정은 http://www.lovelgw.com/Blog/194 참고)

이메일용 또는 도메인용으로 발급받아서 사용 가능한데 ,
우선 이메일용을 먼저 발급받아서 도메인까지 사용하도록 변경해야 합니다.

그리고, 도메인에 ssl 인증서로 사용할 목적인 경우에는 도메인소유자의 이메일주소가 필요하며,
인증을 모두 받아서 정상적으로 로그인하면 아래와같은 제어판을 사용가능 합니다.



발급과정에서 획득되는 key 와 crt 파일을 이용해서 웹서버에 SSL 인증을 위한 준비를 진행합니다.
(Apache 서버의 ssl 적용은 많은 글들이 있으니 다루지 않습니다.)


SSL 서버를 구축한 후 불여우, 오페라, IE7 으로 테스트 해보니
IE를 제외한 다른 브라우저는 추가 설치없이 무리없이 사용가능한데...ie사용자를 생각하면 우리나라에서 그냥 쓸수 없다는 말..
구글링을 해보니 ie의 경우 root CA를 업데이트 해주고 나서 정상적으로 사용가능한것을 알았습니다.
(http://www.istartedsomething.com/20091010/microsoft-free-root-certificate-authority-windows/)
- 최근의 운영체제들은 대부분 사용가능하지만, 제 개발환경의 경우 CA업데이트가 아직 적용안된상태네요.

제 경우처럼 IE에 StartSSL이 Root 인증기관으로 등록되어 있지 않아서 인증서를 사용할 수없는 사람은
오류메세지를 만나게 될것입니다.

IE의 root CA를 업데이트 하지 않아서 신뢰할수 없는 인증서라는 메세지를 만나는 경우라면
아래의 경로 IE의 root CA를 업데이트 하고 난 후 정상사용 가능합니다.(아래 링크를 참고하세요)
http://support.microsoft.com/kb/931125

업데이트파일 :
IE로 서비스중인 도메인에 https로 접속을 해서
보안되지 않은 내용을 포함하고 있다는 메세지를 만난다면, 브라우저의 보안설정을 아래와 같이 변경해주시기 바랍니다.



모든 설정을 완료했다면, 웹페이지 하단에 아래와 같은 스크립트를 삽입해서 SSL작동되고 있는 모습을 알려주면 좋겠죠

<script type="text/javascript" src="https://www.startssl.com/seal.js"></script>

접속 후 아래와 같은 로고를 볼수있습니다.
(제 경우는 IE에서 스크롤링 스크립트가 문제가 있네요.)

다른 모양의 로고를 삽립하기 위해서는 https://www.startssl.com/?app=24 를 방문해보면 여러가지 모양의 이미지가 있으니 사이트에 적용해 보세요.


IE에서 본 인증서


반응형

'오픈소스SW' 카테고리의 다른 글

웹어플리케이션 테스트  (0) 2010.06.16
http 패킷 보기  (1) 2010.06.13
iptable rule  (0) 2010.06.10
CentOS 5.2.x PHP UPDATE  (0) 2010.06.09
Apache 웹방화벽 ModSecurity 사용하기  (1) 2010.06.08

+ Recent posts