[SULINUX 강좌#7] 아파치웹서버 추가기능소개

[SULINUX 강좌#7] 아파치웹서버 추가기능소개 

기타 웹서버의 추가 기능 소개

SULinux는 DDOS 공격 방어 및 효율적인 웹서버 운영을 위해 여러 Apache 모듈을 포함하고 있습니다. DDOS 공격에서 가장 많은 타겟이 되고 있는 것이 웹서버이며, 이 웹서버에 대한 보안 설정은 아주 중요합니다. 아래 소개되는 모듈은 Apache 버전에 따라 작동하지 않는 경우도 있으니, 가능한 최신버전의 Apache를 설치해 주시기 바랍니다. 각 모듈의 설정 및 운영 방법은 까다롭고 어려운 부분이 많으니 SULinux 사이트(www.sulinux.net)를 참조하여 설정 및 운영 방법을 충분히 숙지 후 사용해 주시기 바랍니다.

(1) 사용자 트래픽 측정 및 제한 모듈 (mod_cband)

가상호스트 및 사용자 별 트래픽 측정 및 제한을 할 수 있는 모듈입니다. 이 모듈을 사용하여 IP당 접속 수를 제한하고, 한 IP당 트래픽을 제한하여 DDOS를 방어 할 수 있습니다. 이 트래픽 제한 기능은 호스팅을 하기 위해서는 필수적인 기능입니다. 어떤 도메인에서 많은 트래픽을 사용하는지 아는 것은 아주 중요한 일이기 때문입니다.

[주의] cband는 apache 2 모듈입니다. apache 1.3.XX용이 아니며 1.3.XX는 mod_throttle을 사용하시기 바랍니다.

위 그림은 mod_cband를 사용하여 가상호스트 상태를 모니터링 하는 페이지입니다. 위와 같이 일일 트래픽을 확인 할 수 있으며, 여러 가지 정보를 한 눈에 확인할 수 있습니다. 설정파일을 통해 제한을 할 수 있습니다. 또 하나의 기능은 가상호스트 및 사용자별 사용하는 트래픽을 xml형태로 제공하여 데이터를 아주 쉽게 재사용할 수 있습니다.

위 내용은 xml 형태로 출력한 트래픽 사용 상황입니다. 위 내용을 파싱(parsing)하여 사용자에게 트래픽 사용량을 제공하는 등의 페이지를 쉽게 만들 수 있습니다.

주요 기능은 다음과 같습니다.

    * Apache2용 가벼운 트래픽제한 모듈    * 사용자별 대역폭제한 및 모니터링 기능     * 가상호스트별 대역폭제한 및 모니터링 기능    * 목적지별 대역폭제한 및 모니터링 기능    * 제한기능:          o 모든 사용자 대역폭 제한          o 다운로드 속도 제한          o 초당 요청 수 제한          o 아이피 대역별 제한    * 제한결과 웹을 통한 확인 (/cband-status, XML 형태 : /cband-status?xml)     * 각 사용자별 제한 결과 확인(/cband-status-me) 위 기능들을 복합적으로 사용하여 여러 형태의 DDOS 공격을 막을 수 있습니다.

(2) 콘텐츠 압축 모듈 (mod_deflate)

 웹서버에서 제공하는 정보는 여러 가지 형태입니다. 최근에는 멀티미디어 콘텐츠가 많지만 TEXT 형태의 콘텐츠도 많은 비중을 차지합니다. TEXT 형태의 정보는 압축되지 않은 형태로 전송되며 이는 많은 트래픽을 사용합니다. 이 압축되지 않은 TEXT 콘텐츠를 압축하여 전송하기 위한 모듈이 있습니다. mod_deflate는 모든 콘텐츠를 압축하여 전송할 수 있는 모듈입니다.

[주의]  mod_deflate는 아파치 1.3.XX대의 mod_gzip이 변형된 모듈입니다. 만약 아파치 1.3.XX를 사용한다면, mod_gzip을 사용해 보시기 바랍니다.

mod_deflate를 사용하여 TEXT 콘텐츠를 압축하게 되면, 약 70% 이상 압축되며, 그 만큼 트래픽을 절약 할 수 있습니다. 압축되어 전달된 정보는 웹브라우저에 의해서 압축해제 되고 콘텐츠가 보여 지게 됩니다. 대부분의 웹브라우저는 이러한 기능을 제공합니다. 하지만, 오래된 웹브라우저의 경우에는 이 기능이 제공되지 않으며 오래된 브라우저는 압축해서 정보를 전송하지 않게 설정해야 합니다.어떤 형태의 파일들은 압축을 하게 되면 CPU에 부하만 줄 뿐 압축률이 1%도 안 되는 파일이 있습니다. 예를 들면, jpg, gif등의 이미지 파일, pdf등의 압축된 문서 파일, zip 등의 압축파일이 그런 것 입니다. 이런 파일들은 이미 압축이 되어있기 때문에 다시 압축한다고 해도 효율이 좋지 못합니다. 이런 파일을 제외 하고 HTML, TXT, PHP등의 파일에만 mod_deflate를 설정하면 효율적으로 트래픽을 사용할 수 있습니다. 

(3) 품질 보장 모듈 (mod_qos)

mod_qos는 웹서버의 서비스 품질을 보장하기 위한 모듈입니다. 이 모듈은 DDOS 등 악의 적인 공격 및 사용으로부터 안정적인 서비스 품질을 제공하기 위한 것입니다. mod_qos는 잘못된 요청으로부터 서비스를 보호하고, 동적으로 타임아웃을 설정하고, 요청을 지연시키고, 응답 트래픽을 제한하고, TCP 커넥션을 막음으로 DDOS 공격을 방어 할 수 있습니다. mod_qos에 대한 운영 방법은 SULinux 사이트를 참조하시기 바랍니다.

 [주의]  mod_qos는 아파치 버전 2 이후에 제공됩니다. 아파치 1.X 버전을 설치 하셨다면, 지원되지 않으니 가능한 최신버전의 아파치를 설치하시기 바랍니다.

(4) 웹해킹 방어 모듈 (mod_security)

mod_security는 웹 해킹을 방어하기 위한 모듈입니다. mod_security를 사용하면 웹 방화벽을 사용하지 않아도 XSS, SQL Injection, URL Include 등의 웹 해킹을 차단할 수 있습니다. 운영 방법 및 공격 방어 룰에 대해서는 SULinux 사이트를 참조하시여 충분히 숙지 후에 사용하시기 바랍니다.