독까의 이야기

윈도우 이야기/Webknight +2

( 1 ) Scanning Engine

     Allow Late Scanning : 낮은 우선순위로 스캔

     Scan Non Secure Port : 비보안 포트 스캔

     Scan Secure Port : 보안 포트 스캔

     Use Excluded Web Instances : 특정 웹 인스턴스 제외

     Use Excluded IP Addresses : 차단 제외 IP 등록

 

( 2 ) Incident Response Handling

     Response Directly : 공격 감지시 표준 메시지 응답

     Response Redirect : 사용자 지정 메시지 응답

     Use Response Status :공격 감지시 클라이언트에게Response Status의 메시지 전송

     Response Drop Connection : 공격​ 감지시 연결 드롭

     Response Log Only : 공격 감지시 로그 남기고 차단하지 않음

 

( 3 ) Logging

     Enabled : 로그 기록 확인

     Use GMT : 시스템의 시간으로 기록할지 확인

     Per Process Logging : 로그를 몇일 보관 할지 결정(기본 28)

     Log Client IP : Client IP 기록할지 확인

     Log User Name : User Name 기록할지 확인

     Log User Agent : User Agent 기록할지 확인

     Log HTTP Server Errors : HTTP Server Errors 기록할지 확인

 

( 4 ) Connection

     Use Monitored IP Addresses : 지정한 IP의 트래픽 로그 기록

     Use Denied IP Addresses : 지정한 IP를 차단하고로그 기록

     Use Connection Requests Limit : IP주소 연결요청 수 제한

 

( 5 ) Authentication

     Scan Authentication Excluded Web Instances : 인증 스캐닝

     Deny Blank Passwords : 공백 암호 차단

     Deny Same Password As Username : id와 같은 password 차단

     Use Denied Default Passwords : 지정된 Password 차단

     Deny System Accounts : 시스템 계정 접근 거부

     Use Deny Account Brute Force Attack : 특정 시간 내에 인증시도 횟수 탐지

     Use Allowed Accounts : 등록된 계정만 인증 허락

     Use Denied Accounts : 등록된 계정 차단

     Scan Account All Events : 다른 ISAPI 이벤트에 사용된 계정 스캔

 

( 6 ) Request Limits

     Limit Content Length : Content 길이 한도

     Limit URL : URL 길이 한도

     Limit Querystring : 검색어 길이 한도

     Limit HTTP Version : HTTP Version Limit 길이 지정

     Use Allowed HTTP Versions : 사용 가능한 HTTP Versions 지정

     Use Max Headers : Header의 최대 길이 지정

 

( 7 ) URL Scanning

     RFC Compliant Url : URL에 한글이 들어가는 경우 체크 해제

     RFC Compliant HTTP Url : HTTP Url이 정상 RFC인지 검사

     Deny Url Encoding Exploits : Url Encoding 공격 차단

     Deny Url Parent Path : 부모경로 사용 차단

     Deny Url Trailing Dot In Dir : “./” 사용 차단

     Deny Url Backslash : “\” 사용 차단

     Deny Url Alternate Stream : “:” 사용 차단

     Deny Url Escaping : “%” 사용 차단

     Deny Url Running Multiple CGI : 차단할 문자 지정

     Deny Url HighBitShellcode : 한글 파일명 사용할 경우 체크 해제

     Use Denied Url Sequences : URL Sequences 차단

     Use Allowed Url Starts : 사용할 URL 지정

 

( 8 ) Mapped Path

     Deny Parent Path : 부모경로 차단

     Deny Backspace : Backspace 차단

     Deny Carriage Return : 개행 차단

     Deny New Line : New Line 차단

     Deny Escaping : “%” 차단

     Deny Dot In Path : 지정한 문자 차단

     Use Allowed Paths : 지정한 경로 사용

 

( 9 ) Requested File

     Use Filename Raw Scan : 처리되지 않은 파일 이름 검사

     Deny Default Document : 기본문서 차단

     Use Denied Files : 등록된 파일 차단

     Use Monitored Files : 등록된 파일 Access를 모니터

     Use Allowed Extensions : 등록된 확장자 사용

     Use Denied Extensions : 등록된 확장자 차단

 

( 10 ) Robots

     Allow Bots Robots File : Robots 차단에 대한 파일 요청 허용

     Deny Bots All : 모든 Bot 차단

     Deny Bots Bad : 등록된 Bot 차단

     Use Deny Bots Aggressive : 공격적인 Bot(요청이 많은차단

     Block Bots Data Mining Commercial : 알려진 Bot Data 차단

     Block Bots Data Mining Public : 비영리 공공 로봇 Data채굴 차단

     Block Bots Download Managers : 다운로드 bot 차단

     Block Bots Email Harvesting : Email 거둬들이는 bot 차단

     Block Bots Guestbook Spammers : 방명록 스팸bot 차단

     Block Bots Hack Tools : Hack Tool bot 차단

     Block Bots Iamge Downloaders : 이미지 다운로더bot 차단

     Block Bots Indexing : 색인된 bot 차단

     Block Bots Monitoring : 모니터링 bot 차단

     Block Bots Offline Browsers : Offline Browser bot 차단

     Block Bots Other Bad : 그 외 Bad bot 차단

 

( 11 ) Robots

     Block Bots Trademark : 저작권 있는 bot 차단

     Block Bots Validation Tools : 검증도구 bot 차단

     Block Bots Link Checking : Link Check bot 차단

     Block Bots Browsers : Browser Bot 차단

     Block Bots Medai Players : Media Players bot 차단

     Block Bots Proxies : Proxie 서버 bot 차단

     Block Bots Adware : Adware bot 차단

     Block Bots Browser Extensions : Browser 확장 bot 차단

     Block Bots Spyware : Spyware bot 차단

     Block Bots Editing : Web/html edit 차단

     Block Bots Device : Device bot 차단

     Block Bots News Feed : News Feed bot 차단

     Block Bots Search Engines : 검색엔진 bot 차단

     Block Bots Filtering Software : 필터링 소프트웨어bot 차단

     Block Bots Software Component : 특정 소프트웨어 구성성분 차단

 

( 12 ) Headers

     Remove Server Header : Server Header 삭제

     Change Server Header : 지정한 Header 정보로 변경

     Deny Cookie SQL Injection : Cookie SQL Injection 차단

     Deny Cookie Encoding Exploits : 쿠키 인코딩 공격 차단

     RFC Compliant Host Header : 호스트 헤더 준수

     Use Denied Headers : 지정한 헤더 거부

     Use Allowed Content Types : 지정한 Content Type 허용

     Deny Header SQL Injection : Header SQL Injection 차단

     Deny Header Encoding Exploits : Header 인코딩 공격 차단

     Deny Header Directory Traversal : 부모경로 사용 차단

     Deny Header High Bit Shellcode : Header의 Shellcode 차단

     Use Denied Header Sequences : 지정한 Header Sequences 차단

 

( 13 ) Referrer

     Use Referrer Scanning : 외부링크 scan 사용

     Refferer URL RFC Compliant : 한글 URL 그림이 로드 안될 경우 해제

     Deny Referrer Encoding Exploits : 외부링크 인코딩 공격 차단

     Deny Referrer Hot Linking : 지정한 확장자 파일을 외부에서 링크하지 못하게 함(불필요한 트래픽 제어)

     Use Referrer Hot Linking Allow Domains : 지정한 도메인 외부링크 허용

     Use Referrer Hot Linking Deny Domains : 지정한 도메인 외부링크 차단

 

( 14 ) User Agent : 모든 Agent를 조사하기 어려워 끄는걸 추천

     Deny User Agent Empty : Empty User Agent 차단

     Deny User Agent Non RFC : 지정한 문자 포함한 Agent 차단

     Use Denied User Agents : 지정한 User Agent 차단

     Use Denied User Agent Sequences : 지정한 User Agent Sequences차단

 

( 15 )Methods

     Use Allowed Verbs : 지정한 동작만 허용 (Get, Post, Head)

     Use Denied Verbs : 지정한 동작 차단

 

( 16 ) Querystring

     Use Querystring Raw Scan : 가공되지 않은 Querystring scan

     Deny Querystring SQL Injection : Querystring SQL Injection 차단

     Deny Querystring Encoding Exploits : Querystring 인코딩 공격 차단

     Deny Querystiring Directory Traversal : 부모 경로 사용 차단

     Deny Querystring High Bit Shellcode : Querystring Shellcode 차단

     Use Denied Querystring Sequences : 지정한 Querystring Sequence 차단

 

( 17 ) Global Filter Capabilities

     Is Installed As Global Filter : Global Filter Install

     Deny Postdata SQL Injection : Postdata SQL Injection 차단

     Deny Postdata Encoding Exploits : Postdata 인코딩 공격 차단

     Deny Postdata Directory Traversal : 부모경로 사용 차단

     Deny Postdata High Bit Shellcode : Postdata Shellcode 사용 차단

     Use Denied Post Sequences : 지정한 Post Sequences 차단

     SQL Injection : 지정한 문자가 포함된 SQL Injection 차단

 

( 18 ) Web Applications

     Allow File Uploads : HTTP POST 사용 파일 업로드 허용

     Allow Unicode : URL에 Unicode encoding와 다른 데이터 허용

     Allow Outlook Web Access : Outlook Web Access 허용

     Allow Outlook Mobile Access : Outlook Mobile Access 허용


'윈도우 이야기 > Webknight' 카테고리의 다른 글

Webknight 의 config 내용 안내  (0) 2016.07.20

구 분기 능확인 사항
Scanning Engine

   암호화 포트(HTTPS), 비암호화 포트(HTTP)에 대한

   모니터링 기능 설정

 
Incident Response
Handling

   공격 발생시 WebKnight가 어떻게 행동할지를 결정하며,

   기본적으로 경고화면인 nohack.htm으로 redirect하고

   웹요청을 차단하지만,

   차단하지 않고 로그만 남기게 할 수도 있음

 
Logging

   로깅 여부, 로그 시간대,

   로그 항목(클라이언트 IP, 사용자 명 등) 등을 설정

“USE GMT”

 항목

disable 권고

(시스템 시간

 사용)

Request Limits   컨텐츠 길이, URL 길이, 쿼리스트링 길이 등을 제한 
URL Scanning

   URL Encoding 공격 차단, 상위 패스(..) 차단,

   URL 백슬래쉬(\) 차단, URL 인코딩(%) 차단,

   특정 URL 스트링 차단 등 URL 입력 모니터링 및 차단

“URL

 Denied

Sequences”

 항목 확인

 필요

Mapped Path

   경로에 상위 패스, 백슬래쉬(\) 등

   차단 및 로컬 파일시스템의 허용하는 경로 정의

“Allowed

 Paths”에서

 웹컨텐츠가

 있는 위치

 확인 및 지정

 필요

Requested File   차단시킬 파일 목록과 차단·허용할 파일 확장자 정의

정상적인 요청이 차단될 수

있으므로 반드시 확인필요

Headers   서버 헤더 정보 변경, 특정 헤더 차단 등 설정 
Methods

   허용 또는 차단할 Method를 결정 (예 : GET, HEAD,

   POST은 허용하고 DELETE, PUT 등은 차단)

 
Querystring   특정 query 스트링(xp_cmdshell, cmd.exe 등) 차단,
   query 스트링에서 SQL Injection 차단 등 설정
 
Global Filter
Capabilities

   글로벌 필터 적용 여부, 특정 헤더 스트링(xp_cmdshell,

   cmd.exe 등) 차단 등 결정

 
SQL Injection

   SQL Injection 공격에 이용되는 키워드 정의

   (‘ ; select insert xp_ 등)

공격에 이용될 수 있는 수십개의 키워드가

정의되어 있으나 확장저장프로시져의 사용

유무 등을 고려하여추가/

삭제 필요

Web Applications   WebDAV, IISADMPWD 등 웹애플리케이션의 허용유무 결정

기본적으로

모두 사용하지

않는 것으로

설정되어 있음

 


'윈도우 이야기 > Webknight' 카테고리의 다른 글

WebKnight.xml 설명  (0) 2016.07.20