최근의 해킹을 막기 위해서 방화벽은 필수이거니와 최근에는 웹방화벽이나 IPS같은 고급 장비를 사용하는 곳이 늘어나고 있습니다. 특히 웹방화벽은 이제 대부분의 기업에서 필수 환경이 되버리기도 했는데요. 사실 이런 웹방화벽은 웹해킹을 막기 위해서 사용되기도 합니다만, 설정에 따라서 전혀 다른 효과를 얻을 수 있습니다.
- 로그 관리로의 활용
IIS를 관리하면서 가장 귀찮은 작업이 무엇일까요? 아마 로그관리일겁니다. IIS에서 기본적으로 로그를 %systemroot%\system32\LogFiles 에 작성하기 때문에 관리를 하지 않으면 윈도우가 설치된 드라이브가 꽉차고, 그렇다고 남기지 않자니 불안합니다.
물론 여기에 약간의 배치파일을 작성할 수 있는 능력이 있다면, FORFILES.EXE 라는 명령어를 통해 로그를 정리하도록 스크립트를 짤 수도 있습니다. 하지만, 이것이 여의치 않다면 WebKnight를 사용하는 것도 좋습니다.
Log Retention 의 기능은 로그를 며칠 것을 보관할지를 결정하는 옵션으로 기본값은 28입니다. 로그는 28일동안 보관됩니다.
여기에 추가적으로 정상적인 접근 로그까지 보관하고 싶다면, 다음과 같이 Log Allowed, Log HTTP VIA, Log HTTP X FORWARDED FOR, Log User Agent 를 모두 체크해주면 됩니다. (성능상 문제가 심각하다 Log HTTP VIA는 꺼주시길 바랍니다)
이렇게 설정한 후에 IIS의 로그를 남기지 않도록 설정하면, 로그는 WebKnight를 통해서 관리가 가능하며, WebKnight의 설정(기본값28일) 주기로 로그가 삭제됩니다.
또한 해킹 시도와 같은 로그가 언제부터 시작됐는지 한 곳에 남게되므로, 보다 빠른 처리가 가능합니다.
- 게시판에서 금지어의 적용
게시판에 종종 욕이나 광고글로 도배가 되는 경우에도 역시 WebKnight를 사용할 수 있습니다. 단, 이 경우 게시판에 글을 전송할 때 POST 방식으로 전송되어야 한다는 단점이 있습니다. 이 부분은 Global Filter Capabilities에 있는 두개의 값(Is Installed As Global Filter, Use Denied Post Sequences)을 활성화 시키신 후, Values에 값을 추가하기만 하면 됩니다.
이 부분은 불행하게도 IIS 5.0이나 IIS 6.0을 IIS 5.0 격리 모드(Isolation mode)를 통해서만 사용이 가능합니다.
'Infrastructure' 카테고리의 다른 글
AnNyung 인환 작업용 (0) | 2008.12.23 |
---|---|
URLScan (0) | 2008.11.26 |
공개 웹방화벽(WebKnight) 기술문서 정리 (0) | 2008.11.14 |
"WebKnight 로그분석 및 고급 룰 설정" 동영상 강좌 자료 (0) | 2008.11.14 |
"WebKnight 로그분석 및 고급 룰 설정" 발표자료 (0) | 2008.11.14 |