이제까지 앞에 이야기 한 것을 잘 해서 봤다면 WebKnight가 정상적으로 동작할 것이고 로그를 꽤 많이 쌓고 있을 것이다. 로그를 잘 보자. 작게는 몇십 kb에서 많게는 몇십메가까지 쌓일것이다. (보통 하루에 몇메가 정도 쌓인다) 마음에 걸리지 않는가? 저 수많은 공격들이 하루에 들어오고 있었다니 말이다.
그러면 들어온 데이터를 기준으로 얼마나 더 필터링을 해야하는가를 확인해보자.
일단 SQL Injection을 부분이 많이 부족하다.
SQL Injection과 URL Denied Sequences에 다음 항목을 추가해보자.
xp_
cmdshell
dirtree
%20and
char(124)
char(94)
%2Buser%2B
;=
=;
%20%20
cmdshell
dirtree
%20and
char(124)
char(94)
%2Buser%2B
;=
=;
%20%20
위의 것은 SQL Injection을 가능하게하는 프로그램을 통해서 돌릴 때 남는 로그를 기반으로 찾아낸거다. 설정해보고 역시 며칠동안 자자.... 로그의 쌓이는 양이 늘었다. 여기서 재미를 더 붙이면 더 많이 막을 수 있다. 이번에는 조금 더 생각해서 다음 항목을 활성화 시켜두자.
Deny Cookie SQL Injection : 활성화
Deny Cookie Encoding Exploits : 활성화
Deny Header SQL Injection : 활성화
Deny Header Encoding Exploits : 활성화
Deny Postdate SQL Injection : 활성화
Deny Cookie Encoding Exploits : 활성화
Deny Header SQL Injection : 활성화
Deny Header Encoding Exploits : 활성화
Deny Postdate SQL Injection : 활성화
자... 이제 조금씩 설정이 끝나간다. 하지만 방심은 금물. 아직도 갈길이 멀다. 로그를 한번 봐주고 문제가 생길 때까지 또 자자.... 이번에는 꽤 많이 설정을 변경했기에 로그 보기를 조금 자주하길 바란다.
나머지 내용은 다음 문서로 이어집니다.
참고 자료
- UrlScan : http://www.microsoft.com/technet/security/tools/urlscan.mspx
- WebKnight : http://www.aqtronix.com/?PageID=99
PS. 본 문서는 WebKnight 1.3버전을 기준으로 작성되었습니다.
'웹방화벽(트릿센트리) > 웹나이트-공개웹방화벽' 카테고리의 다른 글
| WebKnight (IIS 웹 서버용 공개 웹방화벽) 기술문서 다운로드 (3) | 2007/04/10 |
|---|---|
| WebKnight 보안관련 웹 서버용 ISAPI 필터 #5 (0) | 2007/04/07 |
| WebKnight 보안관련 웹 서버용 ISAPI 필터 #4 (0) | 2007/04/07 |
| WebKnight 보안관련 웹 서버용 ISAPI 필터 #3 (0) | 2007/04/07 |
| WebKnight 보안관련 웹 서버용 ISAPI 필터 #2 (0) | 2007/04/06 |
| WebKnight 보안관련 웹 서버용 ISAPI 필터 #1 (0) | 2007/04/06 |
댓글을 달아 주세요