WebKnight 설치 운영 FAQ Q. WebKnight 설치 후 정상적인 서비스 접속이 차단되고 WebKnight 경고창이 뜹 니다. A. WebKnight 의기본설정은상당히엄격하게되어있어정상적인웹접속요청이차단될수있습니다. 따라서, 설치후 WebKnight 설정을로깅모드로전환한후룰을최적화시키는과정이필요합니다. 먼저, Config.exe 를실행하여 Incident Response Handling 섹션의 "R es p onse Lo g Only" 를 enable 합니다. 이는패턴이일치하더라도실제차단시키지는않고로그만남기도록하는것입니다. 로그파일에서 BLOCKED" 메시지를확인하여정상적인웹요청이차단된경우해당룰을수정또는제거하시기바랍니다. 일정시간동안정상적인웹요청이차단되지않음을확인한후다시이부분을 disable 하여공격발생시로그뿐만아니라실제차단하도록하십시오. Q. WebKnight 설치후에홈페이지의글자는보이는데, 그림파일들은보이지않고엑스 (X) 형태의박스로뜹니다. A. 그림파일들이 보이지 않는 것은 그림파일이 접근허용하지 않은 폴더에 위치하고 있거나, 허용하지 않는 확장자를 사용하고 있어 차단되었을 가능성이 높습니다. 허용하지 않는 Path 를 사용할 경우 로그파일에 아래와 같은 차단로그가 기록됩 니다. - 1 -
05:41:52 ; W3SVC31 ; OnUrlMap ; xxx.xxx.98.86 ; ; /west/img/bb/abc.jpg ; D: west img bb abc.jpg ; BLOCKED: Not in allowed path list 'D: west img bb abc.jpg' ; 이경우 Mapped Path 섹션의 "Allowed Paths" 리스트에서그림파일이위치한 Path 를등록하시기바랍니다. WebKnight 는웹을통해접근을허용하는 Path 를지정하고그이외의폴더로접근하고자할경우모두차단하고있습니다. 이는../.. 등을통해웹홈디렉토리상위폴더로접근하고자하는다운로드공격을차단하기위함입니다. 특정파일이열리지않을경우해당파일의확장자가차단되고있는지확인할필요도있습니다. WebKnight 의기본설정은차단하는확장자를지정하고그이외의확장자를가진파일은허용하고있습니다. 차단된파일의확장자가 Requested File 섹션의 Denied Extentions" 에포함되어있는지확인하십시오. - 2 -
Q. WebKnight 설치후웹접속속도가상당히느려졌습니다. A. 속도가느려질경우룰설정이정상적인지확인해볼필요가있습니다. 가령앞의질의와같이일부파일의 Path 가허용되지않은경우도그림파일을호출하기위해속도가느려질수가있습니다. 일반적으로중소규모의웹사이트에서정상적으로 WebKnight 가설치된경우다소의접속지연은있지만, 체감할정도는아닙니다. 로그파일분석을통해룰을다시최적화시켜보시기바랍니다. Q. WebKnight 를설치하였는데, I SAPI 필터에서 webknight.dl l 이 l oad되지않았습니다. 정상적으로설치되었는지어떻게확인할수있습니까? A. WebKnight 최초설치후에는 IIS 웹서버를재가동 (Reload) 하여야 WebKnight가 lo ad 됩니다. 간혹, WebKnight 가정상적으로운용이되는데도불구하고, I SAPI 필터에서 load되지않았다고나오거나 알수없음 으로나오기도합니다 ( 특히, IIS 6.0 에서이러한현상이자주나타나는듯합니다.). WebKnight 가로드되었을경우아래와같이로그파일에 AQTRONIX WebKnight loaded" 라고로그를남깁니다. 또한, 정상적으로 WebKnight 가운용되고있는지는로그파일에차단 - 3 -
로그가쌓이는지확인하거나, 실제공격하여공격이차단되는지확인함으로써정상동작여부를확인할수도있습니다. #Software: AQTRONIX WebKnight 1.3 #Date: 2006-10-18 00:39:22 #LogTime: GMT (Local-09:00) #Fields: Time ; Site Instance ; Event ; Client IP ; Username ; Additional info about request (event specific) 00:39:22 ; AQTRONIX WebKnight loaded 00:39:22 ; INFO: Settings loaded from WebKnight.xml file 00:39:22 ; INFO: To check if WebKnight is loaded correctly, you can have a look at the currently loaded settings in the file 'Loaded.xml' (start config.exe and open this file). 00:39:22 ; INFO: Firewall is installed as high priority (very secure) Q. I I S 6.0 에서글로벌필터로 WebKnight 가설치되지않습니다. A. IIS 6.0 에서글로벌필터로구동하기위해서는 IIS 5.0 격리모드 로 IIS를구동하여야합니다. IIS 6.0 은기본적으로 작업자프로세스모드 로구동이되고있는데 IIS 5.0 격리모드 로변경할경우에는동일환경의테스트서버에서정상적으로동작하는지검증을거치는것이바람직합니다. IIS 5.0 격리모드 로변경하면 IIS의재시작이필요합니다. - 4 -
Q. WebKnight 디폴트설정으로돌아가기위해서는어떻게해야하나요? A. WebKnight 설치폴더의 webknight.xml 파일을삭제하고웹서버를재가동하면됩니다. 웹서버재가동시디폴트설정을가진 webknight.xml 파일이새로생성됩니다.(http://www.aqtronix.com/?PageID=99#faq 참조 ) Q. WebKnight 설정을변경하였는데, 변경된설정내용을저장하였다가이후에다시불러올수있나요? A. Config.exe 를실행하여 "File Save AS" 를통해현재 WebKnight 의설정을다른이름으로저장해둘수있습니다. 추후이설정파일을다시사용하려면이파일을 webknight.xml로파일이름을바꾸면됩니다. Q. WebKnight 에의해차단될경우사용자들에게 WebKnight Appl ication Firewal l Al ert" 이라는제목의경고창이보여주는데, 이경고창을보여주지않거나보여지는화면을바꿀수있습니까? A. WebKnight 는공격탐지시기본적으로 WebKnight 설치폴더에있는 nohack.htm 파일을띄워줍니다. 공격자에게 WebKnight 설치사실을숨기거나정상적인접속이차단될경우관리자에게문의하게하기위하여이파일의내용을변경하거나다른파일이띄워지게할수있습니다. 경고창을변경하기위해서는 2가지방법을사용할수있습니다. 첫번째방법은 Response Directly" 를 enable 시키고 nohack.html 파일의내용을수정하는것입니다. 두번째방법은 Res ponse Directly" 를 disable, Res ponse Redirect" 를 enable 시키고, Response Redirect URL" 부분을리다이렉션하고자하는 URL( 절대경로또는상대경로 ) 로변경해주는것입니다. - 5 -
Q. Conf ig.exe 를통해서룰설정을변경하였는데반영되지않는듯합니다. A. WebKnight 는자동으로매 1분마다변경된설정내역을감지하여반영합니다. 따라서, 룰설정이변경되더라도변경내역이실시간으로반영되지않을수있으나, 약 1분이후에는반영된것을확인하실수있을것입니다. Q. 룰설정을변경한후에는반드시 II S 웹서버를재가동하여야합니까? A. 대부분의 룰 설정은 IIS의 재가동이 필요없습니다. 하지만, 일부 변경시에는 IIS 웹서버 재가동이 필요한데, 이 경우에는 각 설정 부분의 주석에 재가동이 필요 하다고 명기되어 있습니다. Q. SQL I njection 공격차단을위한패턴은어디에추가할수있습니까? A. SQL Injection 섹션에서 SQL Injection Keywords" 에공격키워드를추가 삭제할수있습니다. WebKnight 에서는여기에등록된키워드중 2개이상이발견될경우차단하고경고창을띄웁니다. - 6 -
- 7 -