다운로드
https://www.aqtronix.com/?PageID=136
설치 후 작업 안내
1. 폴더권한 작성
나. WebKnight 폴더 권한 부여 (응용 프로그램 풀 계정)
1) 탐색기를 실행하여 C:\Program files\AQTRONIX WebKnight 폴더에 대해서 속성 – 보안 – 추가
가) IIS 7.0 환경인 경우 : NETWORK SERVICE 계정 추가
나) IIS 7.5 환경인 경우 : IIS_USERS 계정 추가
다. IIS 서비스 재시작
2. 로그모드로 설정
IIS 7.0 이상의 환경에서는 Global Filter 기능을 지원하지 않기 때문에 체크를 해제해야
한다. 이로 인해, OnReadRawData 이벤트를 확인할 수 없어 POST 메소드의 Body에 포
함된 공격을 탐지할 수 없는 한계가 있다
Global Filter Capabilites -> Is Installed As Global Filter 체크 해제
Incident Response Handling -> Response Log Only 체크 해제
—-
기본설정
BLOCKED: Not in allowed path list ‘D:\xinet_kr/www’
AQTRONIX WebKnight – WebKnight Configuration – WebKnight.xml
-> Mapped Path – Use Allowed Paths – 홈 디렉터리 경로 추가
-> Mapped Path 부분에서 use Allowed Paths 부분을 해제하거나
Allowd Paths 부분에 경로를 추가해 준다
나. WebKnight 폴더 권한 부여 (응용 프로그램 풀 계정)
1) 탐색기를 실행하여 C:\Program files\AQTRONIX WebKnight 폴더에 대해서 속성 – 보안 – 추가
가) IIS 7.0 환경인 경우 : NETWORK SERVICE 계정 추가
나) IIS 7.5 환경인 경우 : IIS_USERS 계정 추가
다. IIS 서비스 재시작
———————————————————————–
BLOCKED: ‘/config/’ not allowed in URL
URL Scanning > Use Denied Url Sequences
–> 해당 경로를 추가해주거나 /config/
체크 해지
————————————————————————
BLOCKED: accessing/running ‘.inc’ file
Requested File > Use Denied Files
—> 아이템을 추가해주거나 .inc
Use Denied Files -> 체크해지
Use Denied Extensions -> 체크
————————————————————————–
BLOCKED: ‘Visa’ information disclosure
—> response monitor -> use deny information disclosure
삭제하거나 체크 해지
————————————————————————–
BLOCKED: Content-Type ‘text/html’ not allowed
-> Content-Type > Use Allowed/Denied Content Types 설정
—————————————————————————
BLOCKED: Header ‘User-Agent:’ too long
–> Request Limits > Use Max Headers
—————————————————————————
BLOCKED: ‘=’ not allowed in path
Mapped Path > Deny Characters (경로명에 허용되지 않은 문자열이 포함되어 차단)
—————————————————————————
BLOCKED: Not in allowed path list ‘c:\inetpub\shop’
–> Mapped Path > Use Allowed Paths
허용하고자 하는 를 입력하며 하위 폴더까지 포함하고 싶을 땐 해당 폴더의 Full Path Root
경로를 입력한다.
ex) ‘C:\Web\Site_1\bbs’ bbs Site_1 → 폴더에만 접근가능하며 의다른 폴더는 접근 불가
‘C:\Web\Site_1\’ Site_1 → 의 하위폴더에 모두 접근 가능
—————————————————————————
BLOCKED: ‘<‘ not allowed in filename
파일명에 허용되지 않은 문자열이 포함되어 차단
Requested File > Deny Filename Character
—————————————————————————
BLOCKED: HTTP VERB not allowed
허용되지 않은 를 사용하여 접근하였기 때문에 차단
Methods > Use Allowed Verbs
—————————————————————————
MONITORED: IP address (previous alert)
한번 에 의해 필터링이 발생한 는 이후의 접근은 모두 모니터링 된다
Incident Response Handling > Response Monitor IP
—————————————————————————
BLOCKED: Possible SQL injection in data
POST SQL Injection 2 값을 이용한 폼 데이터 중에 공격이 가능한 키워드가 개 이상 매치된 경우
—> Global Filter Capabilities > Deny Postdata SQL Injection
—————————————————————————
BLOCKED: ‘%u’ not allowed in headers
Header에 허용되지 않은 문자열이 매치되어 차단된 메시지
Headers > Use Denied Headers Sequences
—————————————————————————
BLOCKED: URL is not RFC compliant!
URL RFC 의 내용이 규약을 따르지 않아 차단된 메시지
URL Scanning > RFC Compliant Ur
—————————————————————————
BLOCKED: Encoding exploit in cookie (embedded encoding)
v2.2 : Cookie > Deny Cookie Encoding Exploits
—————————————————————————