none
SQL Server Reporting Service의 virtual directory 보안 취약성 여부 RRS feed

  • 질문

  • 안녕하세요?

    CRM(Customer Relationship Management)을 도입 중에 있는데,

    CRM의 report 기능이 SQL Server 2008 R2 Reporting Service 기반으로 구현되어 있습니다.

    그래서, 웹 기반 CRM에서 보고서를 출력하고자 할 때,

    Web Server의 특정 가상 디렉토리(virtual directory)에 저장된 보고서(.RDL)을 접근하여

    report를 출력하도록 되어 있습니다.

    따라서, virtual directory의 보고서(.RDL)를 접근하기 위해서는

    특정 port(화면에서는 8080 port)를 통하여 open해야 하는 상황입니다.

    문제가 되는 사항은 아래 내용처럼 virtual directory 내용이 웹브라우져를 통하여 보여지는 것인데요.

         =======================================================

         h t t p: // crmsite.com:8080/reportserver?%2fcrs:Command=ListChildre...

         ----------------------------------------------------------------------------------------------

                crmsite.cim/ReportServer - /CRMsite

                ----------------------------------------------

                [부모디렉토리로 이동]

               2012년 7월 31일 화요일 오후 9:01 14293 AScule

               2012년 7월 24일 화요일 오후 11:50 60223 Basic_1

               2012년 7월 24일 화요일 오후 11:50 60223 Campain_DM

                               . . .

                               . . .

                               . . .

               2012년 8월 23일 목요일 오전 1:49 73507 SalesMonthly

               2012년 8월 23일 목요일 오전 1:49      73507 SurveyMis

               2012년 7월 23일 월요일 오후 11:34      <dir> 데이터 원본
               2012년 7월 23일 월요일 오후 11:34      <dir> 데이터 집합

        =====================================================

    이렇게 virtual directory가 보이는 문제가 보안상 문제가 되지는 않는지 궁금합니다.

    보안상 문제가 된다면 어떻게 해결해야 하는지요?

    CRM 업체는 CRM 사용자별로 Window 인증을 할 것을 권고하고 있는데

    CRM 사용자가 너무 많아 관리상 어려움이 예상되고 있습니다.

    보안 취약성을 해결하기 위해 꼭 Window 인증을 해야 하는지?

    다른 방법은 없는지 궁금합니다.

    부탁드립니다.

    2012년 11월 16일 금요일 오전 4:09

답변

  • 1. 보고서 출력을 보고서 뷰어 컨트롤 등으로 제공하지 않는지요? 그렇다면 가상 디렉토리 주소를 액세스 하지는 않게 됩니다.

    그냥 보고서 화면을 보고 출력 버튼을 클릭하는 건데요. ASP.NET 이라면 보고서 뷰어 컨트롤을 활용해보십시오.

    2. URL 에서 바로 출력이 되도록 매개변수를  설정해둘수도 있습니다. CRM 웹에서 링크를 클릭할 경우 바로 출력 창이 뜨게 됩니다.

    3. 윈도우 인증으로 보고서 관리자에서 권한을 설정하게 되면 권한이 없는 메뉴나 보고서는 보이지 않게 됩니다.

    윈도우 그룹을 사용해서 구성하면 관리가 좀더 편리할 수 있습니다.


    Hong-ju

    2012년 11월 16일 금요일 오전 7:02