독까의 이야기

IIS + ModSecurity 설치 - 2

윈도우 이야기/Web Server2023. 10. 25. 16:12

이전 글에서는 Custom 설정으로 진행했고, 이번에는 Default 로 진행하려고 한다. 

우선 Modsecurity 설치 후 프로그램 삭제해도, applicationHost.config 에는 Modesecurity 모듈이 남아 있다.

따라서, 해당 항목을 찾아서 직접 삭제해줘야 깨끗하게 테스트 가능하다.

            <add name="ModSecurity IIS" image="C:\Windows\System32\inetsrv\ModSecurityIIS.dll"/>

                <add name="ModSecurity IIS"/>

 

1. ModSecurity 설치

처음부터 끝까지 Default 로 진행하면 된다. 이전 글에서 체크 해제 했던 부분도 기본으로 한다.

 

2. IIS 설정 파일 확인 및 수정

C:\Windows\System32\inetsrv\config\applicationHost.config

설치형으로 진행하면, 모듈 및 전역 설정이 포함되어 있다. 

일부 값을 수정 및 전역 설정 삭제 한다. 

        <section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere" /></sectionGroup>

            <add name="ModSecurity IIS (32bits)" image="%SystemRoot%\SysWOW64\inetsrv\ModSecurityIIS.dll" preCondition="bitness32" />
            <add name="ModSecurity IIS (64bits)" image="%SystemRoot%\System32\inetsrv\ModSecurityIIS.dll" preCondition="bitness64" />

        <ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity_iis.conf" />


                <add name="ModSecurity IIS (32bits)" preCondition="bitness32" />
                <add name="ModSecurity IIS (64bits)" preCondition="bitness64" />


수정 : Deny 일 경우, 차단 정책이 적용되지 않음
<section name="modsecurity" overridemodedefault="Allow" allowdefinition="everywhere" >

삭제 : Web 전역 설정이 적용되어 정상 호출값도 차단 됨 
        <modsecurity enabled="true" configfile="c:\program files\modsecurity iis\modsecurity_iis.conf" >

 

3. modsecurity.conf 수정

C:\Program Files\ModSecurity IIS\modsecurity.conf

SecRuleEngine DetectionOnly 주석 처리 

SecRuleEngine On : 구문 추가

차단 테스트 항목 추가
SecRule ARGS:param "@contains test" "id:1,deny,status:401"
SecRule ARGS:param "@contains cmd" "id:2,deny,status:402"
SecRule ARGS:param "@contains gunnm" "id:3,deny,status:403"

 

4. 웹사이트 web.config 수정

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <directoryBrowse enabled="true" />
        <ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity.conf" />
    </system.webServer>
</configuration>

 

5. 테스트

이전 글과 동일하게 입력 및 확인

개별 conf 파일 적용 확인

저작자표시 비영리 동일조건

'윈도우 이야기 > Web Server' 카테고리의 다른 글

IIS + ModSecurity 설치 - 1  (0) 2023.10.25
윈도우 서버 PHP v7.2 & CakePHP 3.7.9 설치하기 / Windows Server PHP v7.2 & CakePHP 3.7.9 Install  (0) 2020.04.27
SNI (Server Name Indication) / 서버 이름 표시를 이용한 https 443 포트 다중 사용  (0) 2018.09.17
Windows Server 2016 미디어 서비스 설치하기 #2 (실시간 스트리밍 / Expression Encoder 4)  (1) 2018.07.20
Windows Server 2016 미디어 서비스 설치하기 #1 (IIS + Media Service)  (7) 2018.07.19

IIS + ModSecurity 설치 - 1

윈도우 이야기/Web Server2023. 10. 25. 15:21

IIS 웹서버에 ModSecurity 모듈을 추가하려고 한다.

IIS 전용 웹방화벽 Webkinght 가 있지만, 추가 모듈 적용 여부도 테스트해야 한다. 

 

1. ModSecurity 설치 (ModSecurityIIS_2.9.1-64b.msi)

 

ModSecurityIIS_2.9.1-64b.msi
6.45MB

 

체크 박스 선택이 "Default" 인데, custom 설정 예정이라 체크 해제.

 

2. IIS 설정 파일 확인 및 수정

C:\Windows\System32\inetsrv\config\applicationHost.config

    <configSections>

        <section name="ModSecurity" overrideModeDefault="Deny" allowDefinition="Everywhere"/></sectionGroup>
    </configSections>


수정
        
<section name="modsecurity" overridemodedefault="Allow" allowdefinition="everywhere">

 

 

3. IIS 에 ModSecurity 모듈 추가하기

appcmd.exe install module /name:"ModSecurity IIS" /image:"C:\Windows\System32\inetsrv\ModSecurityIIS.dll"

 

 

4. IIS 설정 파일 재확인

C:\Windows\System32\inetsrv\config\applicationHost.config 추가 등록 내역 확인

        <globalModules>
            <add name="ModSecurity IIS" image="C:\Windows\System32\inetsrv\ModSecurityIIS.dll" />
        </globalModules>
....
        <modules>
                <add name="ModSecurity IIS" />
        </modules>

 

5. IIS 재시작

iisreset

 

6. modsecurity.conf 수정

C:\Program Files\ModSecurity IIS\modsecurity.conf

SecRuleEngine DetectionOnly 주석 처리 

SecRuleEngine On : 구문 추가

차단 테스트 항목 추가
SecRule ARGS:param "@contains test" "id:1,deny,status:401"
SecRule ARGS:param "@contains cmd" "id:2,deny,status:402"
SecRule ARGS:param "@contains gunnm" "id:3,deny,status:403"

 

7. 웹사이트 web.config 수정

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <directoryBrowse enabled="true" />
        <ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity.conf" />
    </system.webServer>
</configuration>

 

8. 서버 로컬에서 테스트

차단룰 : SecRule ARGS:param "@contains test" "id:1,deny,status:401"
차단룰 : SecRule ARGS:param "@contains cmd" "id:2,deny,status:402"
차단룰 : SecRule ARGS:param "@contains gunnm" "id:3,deny,status:403"

 

모듈 적용이 잘 됨. 

 

이제는 테스트의 주 목적인 개별 ModSecurity.conf 를 적용하는 테스트를 한다.

일반적으로 웹서버에서 한 개의 사이트만 구동하는 것이 아니므로, 사이트별 정책 적용을 목적으로 한다.

 

9. C:\Program Files\ModSecurity IIS\TESTmodsecurity.conf 생성 및 수정

기존 modsecurity.conf 파일 복사 후 수정

SecRule ARGS:param "@contains Mod" "id:1,deny,status:404"
SecRule ARGS:param "@contains Sec" "id:2,deny,status:405"
SecRule ARGS:param "@contains Test" "id:3,deny,status:406"

 

10. C:\Program Files\ModSecurity IIS\modsecurity_iis.conf 수정

Include modsecurity.conf
Include modsecurity_crs_10_setup.conf
Include owasp_crs\activated_rules\*.conf
Include owasp_crs\base_rules\*.conf

추가
Include TESTmodsecurity.conf

 

11. web.config 수정

 

        <ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity.conf" />        

수정
        <ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\TESTmodsecurity.conf" />        

 

12. 서버 로컬에서 테스트

 

로깅 설정이나 추가 차단 정책 설정은 차후에 테스트 한다. 

저작자표시 비영리 동일조건

'윈도우 이야기 > Web Server' 카테고리의 다른 글

IIS + ModSecurity 설치 - 2  (0) 2023.10.25
윈도우 서버 PHP v7.2 & CakePHP 3.7.9 설치하기 / Windows Server PHP v7.2 & CakePHP 3.7.9 Install  (0) 2020.04.27
SNI (Server Name Indication) / 서버 이름 표시를 이용한 https 443 포트 다중 사용  (0) 2018.09.17
Windows Server 2016 미디어 서비스 설치하기 #2 (실시간 스트리밍 / Expression Encoder 4)  (1) 2018.07.20
Windows Server 2016 미디어 서비스 설치하기 #1 (IIS + Media Service)  (7) 2018.07.19

MSSQL 업그레이드

Database/MS-SQL2022. 11. 4. 11:56

# MSSQL 버전 업그레이드 테스트



1. 기존 MSSQL 2014 를 MSSQL 2017 로 업그레이드 테스트

현재 버전 : Microsoft SQL Server 2014 (SP1-GDR) (KB4019091) - 12.0.4237.0 (X64) 

 

2. MSSQL 2017 iso 파일 삽입 후 setup.exe 실행 

 

3. 이전 버전의 SQL Server 에서 업그레이드 선택 후 순차 진행.

업그레이드 진행 중에는 SQL 및 에이전트 서비스가 중지되었다가 재실행 되므로, 실제 운영 중인 DB 서버에서 진행시 외부 연결 차단 후 진행을 권장. 

 

4. 상위 버전의 SSMS 설치 


설치 된 SQL 버전보다 낮은 버전의 SSMS 로 작업시 오류 발생함. 
참고 : https://gunnm.tistory.com/40

 

SQL 2014 로 DB 이전 후 테이블 행 편집시 나오는 에러 문구

웹호스팅 서비스 이전을 진행하면서 DB 접속 시 발생하는 에러 확인 신규 서버에 설치 된 SQL 의 버전은 MS-SQL 2014 1. 2005 SSMS 에서 접속 2005 SSMS 에서는 MS-SQL 2008 이상에 접속 불가 2. 2008 SSMS 에서 접

gunnm.tistory.com

 

5. DB 버전 및 데이타 확인 

변경 된 버전 : Microsoft SQL Server 2017 (RTM) - 14.0.1000.169 (X64)

 

저작자표시 비영리 동일조건

'Database > MS-SQL' 카테고리의 다른 글

MSSQL DML 로그 저장 설정  (0) 2024.06.28
AlwaysOn 가용성 그룹 구축 # 2 : Windows Server 2016 + MS SQL 2016 / None AD  (1) 2020.07.07
AlwaysOn 가용성 그룹 구축 # 1 : Windows Server 2016 + MS SQL 2016 / None AD  (6) 2020.07.03
SQL DB 암호화 / TDE(Transparent Data Encryption)  (0) 2018.12.07
MS-SQL CPU 사용량이 높은 쿼리문 확인  (0) 2018.06.22

티스토리툴바