Webknight 설치 (AQTRONIX)

설치환경

WINDOWS 2012 서버 R2 STANDARD

웹나이트 다운로드 URL

http://www.aqtronix.com/ 

webknight 관련 KISA 문서

http://www.krcert.or.kr/kor/data/technicalView.jsp?p_bulletin_writing_sequence=548#none

설치된 경로

C:\Program Files\AQTRONIX Webknight

설치된 파일 정보

Config.exe : 정책 설정 편집할수 있는 유틸 LogAnalysis.exe : 로그분석기

잘 설치되었는지 확인?

IIS 관리자에 ISAP 필터 부분 클릭해보면 아래와 같이 올라와 있으면 된다

 

브라우저에서 해당 적용한 도메인 (아이피) 공격해보기

예를들어 kensei.co.kr/cmd.exe 라고 입력하면 아래와 같은 화면이 뜸 (뭔가 막히고 있다는 소리 같은데)

 

아래와 같이 차단되면 로그파일이 생성되면서 로그파일 볼수 있음

C:\Program Files\AQTRONIX Webknight\LogFiles

파일을 오픈해보니

2013-12-11 ; 08:05:40 ; AQTRONIX WebKnight loaded 2013-12-11 ; 08:05:40 ; INFO: Settings loaded from file: WebKnight.xml 2013-12-11 ; 08:05:41 ; INFO: To check if loaded correctly, you can have a look at the currently loaded settings in the file 'Loaded.xml' (start config.exe and open this file). 2013-12-11 ; 08:05:41 ; INFO: ISAPI server version: 8.0 2013-12-11 ; 08:05:41 ; INFO: Firewall is running as user 'DefaultAppPool' and loaded in process: c:\windows\system32\inetsrv\w3wp.exe 2013-12-11 ; 08:05:41 ; INFO: Firewall is installed as high priority (very secure) 2013-12-11 ; 08:05:41 ; INFO: ISAPI Filter will not process raw data because this ISAPI version does not support it (OnReadRawData event is not supported in IIS7 and later). 2013-12-11 ; 08:05:41 ; NEW: WebKnight 3.x now has a pass-through extension for scanning POST data which is by default installed on IIS 7 and later. You'll see this extension in action in the event OnPassThrough. 2013-12-11 ; 08:05:41 ; INFO: HTTP traffic will be monitored 2013-12-11 ; 08:05:41 ; INFO: HTTPS traffic will be monitored 2013-12-11 ; 08:05:41 ; INFO: Firewall will process raw data using a pass-through ISAPI extension. 2013-12-11 ; 08:05:41 ; W3SVC1 ; OnSendRawData ; [소스아이피] ;  ; [목적지아이피] ; GET ; /favicon.ico ; /favicon.ico ;  ; HTTP Client Error ; Referer: '' ; User-Agent: 'Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36' ; From: '' ; Accept-Language: 'ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4' ; Accept: '*/*' ; Content-Type: '' ; HTTP/1.1 404 Not Found  Content-Length: 0  Server: Microsoft-IIS/8.5  X-Powered-By: ASP.NET     ; INFO: Changed/removed 'Server:' header 2013-12-11 ; 08:05:51 ; W3SVC1 ; OnPreprocHeaders ; [소스아이피] ;  ; [목적지아이피] ; GET ; /cmd.exe ; BLOCKED: accessing/running 'cmd.exe' file ; HTTP/1.1 ; Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 ;

초기 설치 구분

 

Global Filter : 서버내의 모든 서버에 같은 룰을 적용시킴

Site Filter : 서버내에 사이트 마다 각각 다른 둘을 적용시킴

개인적으로는 Site Filter 가 좋지 않을까 싶다??

 

ㅋㅋ 한국인터넷정보진흥원 가서 동영상 보고 깔면 쉽게 깔듯 싶음...