Sign in to follow this  
realbum

winscp와 webdav 문제

Recommended Posts

어제까지 winscp로 제 서버에 webdav로 붙어서 공유폴더 접근을 아주 잘 썼습니다.

그러다 어젯밤에 webdav를 https 로 바꾸고 세팅을 완료 한 후 다른 모든 클라이언트에서는 문제 없이 잘 되는 것을 확인했습니다.

 

그리고 오늘 회사에 와서 윈도우의 거의 유일한 프로그램인 winscp로 접속을 하는데 접속은 잘 되나 공유폴더가 안보입니다.

대신 전혀 엉뚱하게 / -> webman -> index.cgi 가 열리네요.. 제가 알기론 이건 그냥 DSM 관리페이지 접속 주소인데 --;;

 

아이폰이나 아이패드에서 쓰는 모든 앱들은 정상작동합니다.. 단지 winscp만 https 로 바꾸고 난뒤에 이러는게 이해가 안되네요.....

혹시 경험 있으신 분들 있으신지요?

 

제 생각은,

1. 회사 방화벽의 이상 동작 - 아예 포트가 막힌것도 아니고 인증 되면서 이러는건 이해가 안되지만.

2. 시놀로지의 비공인 인증서와 관련된 문제 - 이건 아닌거 같고

3. 그냥 winscp가 멍청한 문제...

Share this post


Link to post
Share on other sites

멍청한 글이라 바로 지우려 했지만 놔둡니다. 혹시나 다른분도 비슷한 문제 겪으실까봐.

 

문제는 제가 webdav port가 아닌 관리자 화면 port를 사용했던 말도 안되는 문제였습니다 --

그런데 왜 로긴은 된건지 모르겠지만요. 쩝

Share this post


Link to post
Share on other sites
어젯밤에 webdav를 https 로 바꾸고 세팅을 완료

위에 작성하신 글을 제가 잘 이해를 못해서 여쭙니다. 특히 인용한 부분이요.

제가 알기로는 DSM을 https로 운영하시려면, 웹서버도 그렇지만 정식으로 '보안 SSL 인증서'를 구매하셔야만 가능한 일입니다. 단순하게 특정 서비스에 https 옵션이 있다고해서 설정하면 되는 것도 아니거든요. 세팅을 완료한 후에 모든 클라이언트들에 이상이 없다고 하시는 것을 보아서는 정식으로 '보안 SSL 인증서'를 구매하셔서 DSM을 보안 SSL 서비스로 운영하시는 것으로 이해가 되는데요.

 

시놀로지의 비공인 인증서와 관련된 문제 - 이건 아닌거 같고

다른 문단을 보면 또 위에서처럼 말씀하시는 것으로 보아 정식으로 '보안 SSL 인증서'를 구매하신 것은 아니 것으로 이해가 되네요. '시놀로지의 비공인 인증서'라는게 무엇인가요?

Share this post


Link to post
Share on other sites
어젯밤에 webdav를 https 로 바꾸고 세팅을 완료

위에 작성하신 글을 제가 잘 이해를 못해서 여쭙니다. 특히 인용한 부분이요.

제가 알기로는 DSM을 https로 운영하시려면, 웹서버도 그렇지만 정식으로 '보안 SSL 인증서'를 구매하셔야만 가능한 일입니다. 단순하게 특정 서비스에 https 옵션이 있다고해서 설정하면 되는 것도 아니거든요. 세팅을 완료한 후에 모든 클라이언트들에 이상이 없다고 하시는 것을 보아서는 정식으로 '보안 SSL 인증서'를 구매하셔서 DSM을 보안 SSL 서비스로 운영하시는 것으로 이해가 되는데요.

 

시놀로지의 비공인 인증서와 관련된 문제 - 이건 아닌거 같고

다른 문단을 보면 또 위에서처럼 말씀하시는 것으로 보아 정식으로 '보안 SSL 인증서'를 구매하신 것은 아니 것으로 이해가 되네요. '시놀로지의 비공인 인증서'라는게 무엇인가요?

 

인증서와 HTTPS 관련하여 몇가지 지식을 나누고자 합니다.

 

DSM을 https 방식으로 secure하게 접속하는 것을 허용하려면, " 정식으로 '보안 SSL 인증서' "를 구매해도 되고 안해도 됩니다. 왜냐하면 사설(비공인) 인증서는 누구든지 만들 수 있기 때문이고 시놀로지DSM 에서도 Synology 에서 발행한 비공인 사설 인증서가 이미 포함되어 있습니다. https 방식의 서비스를 제공하는데 필요하기 때문이죠. 그래서 https 서비스를 활성화 시키면 내장되어 있는 시놀로지의 인증서를 우선 사용하게 기본 설정이 되어있고, 별도의 사설인증서를 생성하거나 공인인증서를 불러올 수 있는 옵션도 있습니다.

 

HTTP 프로토콜은 클라이언트와 서버간의 통신내용을 암호화 하지 않은 평문으로 주고받기 때문에 노출될 경우 ID나 암호와 같은 주고받는 중요한 정보등을 중간에서 가로챌 수 있습니다.

 

HTTPS 프로토콜은 위와 같은 위험이 없도록 주고받는 내용을 암호화 해서 전송하도록 만들어지게 된 것 입니다. 이때 사용되는 것이 소위 SSL 인증서 라는 것 입니다.

 

인증서의 역할은 클라이언트가 접속한 서버가 클라이언트가 의도한 서버가 맞는지를 보장해주는 역할을 합니다.

인증서에는 여러가지 정보가 저장되어 있지만, 가장 쉽게 판별할수 있는 정보가 바로 도메인 주소 입니다.

 

예를들어 내가 은행 사이트에 접속했을때, 브라우저는 내가 접속하려고 한 그 사이트가 맞는지 서버에서 제공하는 인증서를 공인 인증기관인 CA에 원본대조하듯이 조회를 하여 결과를 알려줍니다.

 

그래서 사용자는 내가 접속하고자 하는 사이트가 맞는지 안심할 수 있고, 민감한 정보를 입력하고 주고 받는 것에 대해서도 안심할 수 있게 되는 것이지요.

 

 

공인 인증기관에서 일치하는것이 확인이 되면 주소창에 다음과 비슷하게 표시가 될 것이고 (확인된 경우의 예)

1537.gif

 

인증서를 임의로 발행한 사설인증서와 같은 경우, 공인인증기관의 검증을 거치지 않았고 인증서와 서버의 도메인 주소가 일치하지 않으므로, 다음과 같은 표시가 나타날 것입니다.

not_trusted_certificate.png

 

다만 사설 인증서는 주고 받는 내용이 암호화 되기는 하는데... 공인 인증기관으로부터 확인을 할 수 없으니 브라우저에서 경고 메세지를 보내는 것 입니다.

 

Chrome 브라우저는 Proceed Anyway 버튼을 누르면 계속 진행이 됩니다.

 

만약 은행사이트에 접속하는데 저렇게 빨간색이 뜬다면... 절대 개인정보를 입력하지 말고 바로 창을 닫아야 할 것입니다.

 

웹브라우저와 달리 특정 앱이나 프로그램의 경우 공인인증서가 아니거나 인증서가 유효하지 않는 경우, 보안상 아예 서비스 자체를 이용할 수 없게 막아놓는 경우가 있을 수는 있겠습니다.

 

 

시놀로지 DSM에는 기본적으로 비공인 사설인증서가 포함되어 배포되고 있습니다. 이걸 이용해서 https 서비스를 할 수 있도록 하게 해주는 것이지요.

브라우저가 https 방식으로 서버에 접속하면 인증서를 요구하게 되어 있거든요. 브라우저와 같은 클라이언트 프로그램에서는 그걸 받아다가 공인 인증기관에서 확인하는 것입니다.

import_certificate.png

 

그런데 시놀로지 DSM에 포함된 SSL인증서는 발급 대상이 synology.com 으로 되어있고 Self-signed 된 사설인증서 입니다.

 

공인 인증기관이 sign해서 발행한게 아니고, 발급 대상인 DiskStation의 이름은 당연히 synology.com 이 아닐테니...

 

그래서 그런 사설인증서를 사용해서 https 서비스를 하다보니 경고 메세지가 보이는 것입니다.

 

 

사용자는 본인이 직접 구축한 DiskStation에 접속하고 있는 것이기 때문에, 그러한 경고 메세지를 무시하고 진행할 수 있는 것이지요.

 

이렇게 주고 받는 내용을 암호화 하기 위해서 https 서비스를 하고자 할 때 공인인증서를 꼭 구매해야 하느냐?

그렇지 않습니다... 발급기관을 통해 발행한 공인인증서든 개인이 임의로 발행한 사설인증서든 인증서만 서버에 저장되어 구성되어 있으면 https 방식의 서비스는 가능합니다.

 

바꿔 말하자면, https 방식의 서비스를 구축하기 위해서는 공인이든 사설이든 인증서가 서버에 꼭 필요합니다.

 

다만... 웹브라우저와 달리 특정 앱이나 프로그램의 경우 인증서가 유효하지 않을 경우 보안상 아예 서비스 자체를 이용할 수 없게 막아놓는 경우가 있을 수는 있겠습니다.

 

 

 

시놀로지에서 공인인증서를 활용하여 HTTPS 방식으로 서비스를 하는 가장 현실적인 시나리오는 다음과 같습니다.

 

DiskStation에 고정 Real IP를 할당하고(예: 210.12.34.56), 고유한 도메인 주소를 지정하여(예: myserver.com)

본격적으로 외부에서 사용자들이 접속해서 서비스를 할 수 있게 구축하는 경우, 민감한 정보를 보호해야 하기 때문에

공인 인증서를 VeriSign이나 GoDaddy 또는 Comodo 등에서 돈을 지불하고 구매하여 이를 DiskStation에 등록하고...

외부에 각종 서비스 할 때 https 방식으로 서비스 하도록 하여 주고 받는 내용을 암호화 하는 것입니다.

 

 

이에 반해 일반적으로 개인은 도메인을 사서 DiskStation을 가리키도록 NameServer에서 지정할 일도 없거니와,

Real IP (공인IP/사설IP) 와 더불어 공인인증서를 구매한다는것은 비용 대비 효과를 따져봤을때 비효율 적입니다.

 

그냥 Dynamics DNS 서비스를 통해서 IP가 바뀌어도 외부에서 접속할 수 있게끔 하고...

비공인 사설인증서를 이용해서라도 HTTPS 서비스를 가동해서 주고받는 내용을 암호화 하고...

인증서 관련 경고메세지가 떠서 다소 불편하더라도, 무시하고 이용하는 경우가 대부분 입니다.

 

도움이 되었기를...

Share this post


Link to post
Share on other sites

LetITgo <--- 의 글을 안보려고 블럭처리 시켰는데 tapa로는 봐지네요.

realbum님이 어떤 환경 어떤 상태로 https를 세팅 완료하셨는지를 모른다는 것이지, 인증서 개념을 몰라서 질문한게 아닙니다.

 

LetITgo <--- 논점도 모르고 항상 오지랖을 떨어서 문제에요.

정식 SSL 인증서를 얘기하는데, 왜 비공식 사설인증서까지 포함해가지고 그리 아는 척을 하는지 .... 쯔쯔.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this