일부 사용자들이 User-Agent 문제로 접속이 안됩니다.

윈도우즈/Security|2015. 1. 27. 09:56
반응형

Date: 2008-06-16 ; Time: 17:17:59 ; Site Instance: W3SVC4 ; Event: OnPreprocHeaders 
Client IP: xxx.xxx.xx.175 ; Username: ;

Additional info about request (event specific): GET / 
OVRAW=%EC%96%BC%EB%A7%88%EC%97%90%EC%9A%94&OVKEY=%EC%96%BC%EB%A7%88%20%EC%97%90%EC%9A%94&OVMTC=standard&OVADID=5747216042&OVKWID=75668591542 
HTTP/1.1 
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;http://bsalsa.com
.NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) 
BLOCKED: 'user-agent: mozilla' not allowed in User Agent

 

위 로그에서 정상 사용자들이 차단된 원인은 Header의 User-Agent 값에 ‘user-agent: mozilla'라는 값이 필터링 룰에 매칭되어 차단된 것입니다. 
AQTRONIX는 Robots.xml 파일을 통해 User-Agent의 Database를 만들어 지속적으로 업데이트 하고 있습니다. 다음의 URL에서 해당 차단된 User-Agent를 검색해 보면 User-Agent를 속이는 Agent로 ‘Other Bad' 섹션에 분류되어 있습니다.

 

http://www.aqtronix.com > User-Agent 메뉴 > Lookup 에서 Agent 검색

 

Robots.xml 을 열어 Other Bad로 이동해 보면 User-Agent Other Bad와 User-Agent Other Bad Sequence 두개 항목이 있는데 이 두곳에서 해당 Agent 정보를 찾아 삭제하시면 됩니다.

 

※ 각 항목명과 각 항목명 Sequence의 차이

User-Agent Other Bad : Other Bad 섹션의 차단하고자 하는 Full User-Agent값

-> 차단메시지: "BLOCKED: User Agent not allowed"

User-Agent Other Bad Sequence : Other Bad 섹션의 차단하고자 하는 각 키워드

-> 차단메시지: "BLOCKED: '매칭된 키워드' not allowed in User Agent"

 

중요한 것은 차단된 사용자의 PC에 이런 Agent값을 갖는 악성 프로그램이나 스파이웨어가 설치된 것은 아닌지 먼저 점검 해봐야 합니다.

 

 

 

 

[출처] 웹보안툴박스 | WAFsupport 

(http://toolbox.krcert.or.kr/MMBF/MMBFBBS_V.aspx?MENU_CODE=42&BOARD_ID=12&BOARD_NUMBER=6&SEARCH_TYPE=&SEARCH_WORD=&PAGE_INDEX=0&UPPER_BOARD_NUMBER=)

반응형

댓글()

webknight.dll 로드되지 않을때

윈도우즈/Security|2015. 1. 27. 09:55
반응형

WebKnight Configuration  >  Global Filter Capabilities  >  Is Installed As Global Filter 체크 해제 합니다.

반응형

댓글()

WebKnight 로그 분석 안내서 - KrCERT

윈도우즈/Security|2015. 1. 27. 09:52
반응형

문서작성일 : 2010. 01


제2010-15호-WebKnight_로그분석_안내서.pdf


반응형

댓글()

윈도우즈에 mod_security 2.5.6 설치하기

윈도우즈/Security|2015. 1. 27. 09:51
반응형

파일 첨부


081107_윈도우 환경에 ModSecurity 설치하기.pdf


반응형

'윈도우즈 > Security' 카테고리의 다른 글

webknight.dll 로드되지 않을때  (0) 2015.01.27
WebKnight 로그 분석 안내서 - KrCERT  (0) 2015.01.27
IPsec 해외 IP 차단 정책  (0) 2015.01.27
windows 보안점검 가이드  (0) 2015.01.27
각종 메신저 사용 포트  (0) 2015.01.27

댓글()

IPsec 해외 IP 차단 정책

윈도우즈/Security|2015. 1. 27. 09:51
반응형

한국 IP 에서만 접속 가능하며, 그 이외의 IP (해외IP)에서는 접속이 불가능합니다.

IP대역은 수시로 바뀌기 때문에 갱신도 자주 해야 합니다.

서버가 클라이언트가 되어 외부로 요청 가능한 포트는 아래 리스트만 오픈 하였습니다.


80 tcp

443 tcp

53 tcp / udp

21 tcp

20 tcp / udp

25 tcp

1433 tcp

 

한국 IP대역 적용일 : 2013년 8월 22일


* 파일을 첨부했습니다.

 


World_IP_Block.zip


반응형

댓글()

windows 보안점검 가이드

윈도우즈/Security|2015. 1. 27. 09:48
반응형

보안관리자로써 경력이 3-4년 된 분들이라면 침입차단시스템과 침입탐지시스템과 같은 기본적인 보안장비 자체에 대한 지식과 운영경험은 아주 뛰어나리라 생각된다. 하지만 그런 중급 보안관리자라 하더라도 쉽게 접근하기 어렵다고 느끼는 분야가 있다면

 "침해사고 분석(Forensic)"이 아닌가 한다. 

본 문서에는 Windows 2000 서버를 대상으로 보안관리자는 물론 일반 IT관리자들도 손쉽게 접근할 수 있는

"침해사고 분석" 절차에 대해서 알아보겠다. 


비정상 네트워크 확인 

1. 비정상 네트워크 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스를 확인하고 불필요한 서비스가 동작 중인지의 여부를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 netstat 실행 

C:>netstat -na


③ -na 옵션을 통해서 열려있거나 연결된 TCP/UDP 포트 확인 가능 
④ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 TCP 포트 확인 

C:>netstat -na | findstr LISTENING


⑤ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 UDP 포트 확인 

C:>netstat -na -p udp | findstr *:*



2. 비정상 네트워크와 매핑된 프로세스 확인 

1) 목적 
- 공개 툴인 fport를 이용하여 TCP/UDP 포트와 매핑된 프로그램(프로세스)를 확인한다. 

2) 점검 방법 

① [시작] →[실행] →cmd 입력 후 엔터 
② cmd창에서 fport 실행 

C:>fport


③ 다운로드 사이트 
http://www.foundstone.com/resources/freetools.htm 


3. 비정상 NetBIOS 연결 확인 

1) 목적 
- 대상 시스템에서 네트워크를 통하여 열려 있는 서비스 중에서 비정상적인 NetBIOS 연결을 확인한다. 

2) 점검 방법 

① 시작] a [실행] a cmd 입력 후 엔터 
② cmd창에서 net share 실행 a 공유된 자원 확인 

C:>net share


③ cmd창에서 net view 실행 a 공유된 자원 확인 

C:>net view \127.0.0.1


④ cmd창에서 net session 실행 a 연결되어 있는 세션 확인 

C:>net session


⑤ cmd창에서 net use 실행 a 연결되어 있는 네트워크 자원 확인 

C:>net use



비정상 프로세스 확인 

1. 비정상 프로세스 확인 

1) 목적 
- 대상 시스템에서 실행중인 프로세스를 점검하여 트로이안목마/백도어 등 관리자가 실행하지 않았거나 인지하고 있지 못하는 의심스러운 프로세스를 점검한다. 

2) 점검 방법 
- Windows 리소스 KIT에서 제공하고 있는 프로세스, 서비스 관련 툴을 사용한다. 

  • Tlist 

    ① [시작] →[실행] →cmd 입력 후 엔터 
    ② cmd창에서 tlist 실행 

    C:>tlist -t

    ③ 실행중인 프로세스와 해당 작업명을 확인 가능 

  • Pulist 
    ① [시작] →[실행] →cmd 입력 후 엔터 
    ② cmd창에서 pulist 실행 

    C:>pulist

    ③ 실행중인 프로세스와 해당 소유자 확인 가능 


    비정상 서비스 확인 

    1. 가동 중인 서비스 확인 

    1) 목적 
    - 대상 시스템에서 실행중인 서비스를 점검하여 트로이안목마 서비스와 같이 관리자가 실행하지 않았거나 인지하고 있지 못하는 의심스러운 서비스를 점검한다. 

    2) 점검 방법 
    - Windows 리소스 KIT에서 제공하고 있는 프로세스, 서비스 관련 툴을 사용한다. 

  • sclist 
    ① [시작] →[실행] →cmd 입력 후 엔터 
    ② cmd창에서 sclist실행 

    C:>sclist

    ③ 실행중인 프로세스와 해당 소유자 확인 가능 

  • Net start 
    ① [시작] →[실행] →cmd 입력 후 엔터 
    ② cmd창에서 net start실행 

    C:>net start

    ③ 실행 중인 서비스만 확인 가능 


    레지스트리에 등록된 자동실행 프로그램 확인 

    1) 목적 
    - 침입에 성공한 해커가 사용자나 관리자의 로그온 시, 또는 시스템이 부팅될 때 트로이안목마/백도어를 자동 실행하기 위해 시작 프로그램에 자신의 스크립트를 넣어 놓거나 startup 레지스트리(REGISTRY)에 등록시킬 수 있다. 

    2) 점검 방법 

    ① [시작] → [실행] → cmd 입력 후 엔터 
    ② cmd창에서 reg 명령을 통해서 startup 레지스트리 내용 확인 

    C:>reg query HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /s

    ③ 다음과 같은 레지스트리에 대해서 확인 
    - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 
    - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce 
    - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 
    - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunservices 
    - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunservicesOnce 


    비정상 사용자 계정 및 그룹 확인 

    1. 등록된 사용자 계정 확인 

    1) 목적 
    - 관리자 권한을 갖는 불법적인 사용자의 추가가 이루어졌는지를 검사한다. 

    2) 점검 방법 

    ① 사용자 목록 점검 
       ⒜ [시작] →[실행] →cmd 입력 후 엔터 
       ⒝ cmd창에서 sclist실행 

    C:>net user


    ② 로컬 사용자 그룹 점검 

       ⒜ [시작] →[실행] →cmd 입력 후 엔터 
       ⒝ cmd창에서 sclist실행 

    C:>net localgroup


    ③ Administrators에 속한 사용자 점검 

       ⒜ [시작] →[실행] →cmd 입력 후 엔터 
       ⒝ cmd창에서 sclist실행 

    C:>net localgroup administrators



    2. 로그온 관련 이벤트 확인 

    1) 목적 
    - 로그온 관련 이벤트를 확인하여 비정상적인 접속 시도가 없었는지를 확인한다. 

    2) 점검 방법 

    ① [시작] →[실행] →cmd 입력 후 엔터 
    ② cmd창에서 sclist실행 

    C:>ntlast -f


    ③ 실패한 로그온 정보 가운데 의심스러운 접속 시도를 확인 

     



    비정상 예약 작업 확인 

    1. 비정상 예약 작업 확인 

    1) 목적 
    - 일정 시간마다 미리 설정해둔 프로그램을 실행할 수 있는 예약된 작업은 시작 프로그램과 더불어 해커들이 트로이목마/백도어를 설치하기 좋은 방법이다. 

    2) 점검 방법 

    ① GUI로 확인 

       ⒜ [시작] →[설정] →[제어판] →[예약된 작업] 확인 


       ⒝ 등록된 예약작업을 click하여 상세 내역을 확인 

    ② CLI로 확인 
       ⒜ [시작] →[실행] →cmd 입력 후 엔터 
       ⒝ cmd창에서 at 실행 

  • C:>at


       ⒞ 위에 언급한 GUI형태의 "예약 작업 추가"를 통하지 않고 CLI의 at을 사용한 예약 작업을 확인 


    비정상 이벤트 확인 

    1. 비정상 이벤트 확인 

    1) 목적 
    - 관리자 권한을 획득한 해커가 시스템 로그를 지우지 않았을 경우,                                                                                            시스템 로그는 공격 방법 및 역 추적을 위한 중요한 자료로 사용될 수 있다. 

    2) 점검 방법 
    - Windows 시스템에서 제공하고 있는 이벤트 로그와 IIS 로그를 분석한다. 

       ⒜ [시작] →[프로그램] →[관리 도구] →[이벤트 뷰어] 선택 
       ⒝ 간단하게 [시작] a [실행]에서 eventvwr.msc를 입력해도 동일함. 


  •    ⒞ "보안 로그" 외에도 "해킹을 의심할 수 있는 로그를 확인할 수 있으므로 "보안/시스템/응용 프로그램" 로그에 대해서도 검사 

         √ 확인해야 할 로그 종류 : 오류, 경고, 실패감사, 정상근무 시간이외의 성공감사 
         √ 의심해야 하는 이벤트 ID 


    이상 2회에 걸쳐서 Windows 침해사고 분석 절차에 대해서 알아 보았다. 본 문서가 Windows 침해사고의 모든 것을 보여주지는 못 하지만, 바쁜 업무에 시달리는 일반 IT 관리자들에게 조금이나마 도움이 되길 기대한다. 

    끝으로 Microsoft사에서 제공하는 보안 관련 문서를 알려 드리니 본 문서와 더불어서 참고하기 바란다. 

    [Microsoft Security Guidance Center: 서버 보안] 
    http://www.microsoft.com/korea/security/guidance/topics/ServerSecurity.mspx 

    II. Windows 2000의 기본 프로세스 
    http://support.microsoft.com/support/kb/articles/Q263/2/01.ASP 


  • 반응형

    '윈도우즈 > Security' 카테고리의 다른 글

    윈도우즈에 mod_security 2.5.6 설치하기  (0) 2015.01.27
    IPsec 해외 IP 차단 정책  (0) 2015.01.27
    각종 메신저 사용 포트  (0) 2015.01.27
    IPsec 설정하기 (예 : 네이트온 차단)  (0) 2015.01.27
    IPsec 설정하기  (0) 2015.01.27

    댓글()

    각종 메신저 사용 포트

    윈도우즈/Security|2015. 1. 27. 09:46
    반응형

    네이트온 메신저   - 5004:5010

                                    - 1863

    야후 메신저           - 5050

    지니 메신저           - 10000:10010

    ICQ 메신저            - 5190

    버디버디 메신저   - 941

    천리안                    - 1421

    세이타키 메신저   - 6699

                                    - 25

    반응형

    '윈도우즈 > Security' 카테고리의 다른 글

    IPsec 해외 IP 차단 정책  (0) 2015.01.27
    windows 보안점검 가이드  (0) 2015.01.27
    IPsec 설정하기 (예 : 네이트온 차단)  (0) 2015.01.27
    IPsec 설정하기  (0) 2015.01.27
    IPsec 설정  (0) 2015.01.27

    댓글()

    IPsec 설정하기 (예 : 네이트온 차단)

    윈도우즈/Security|2015. 1. 27. 09:46
    반응형

    IPsec으로 막는 방법은


    1. 이동 : 시작 -> 프로그램 -> 관리도구 -> 로컬보안정책


    2. 선택 : 왼쪽 메뉴에서 로컬컴퓨터의 IP 보안정책

    3. 선택 : 오른쪽 창에서 마우스 오른쪽 버튼
    3. 선택 : IP필터 목록 및 필터 동작 관리

    4. 선택 : IP필터 목록 관리에서 추가

    5. 입력 및 선택 : 이름에 아무거나, "nateon막기ㅋㅋㅋ" 그리고 추가선택

    6. 선택 : 다음 -> 원본주소:내 IP주소 -> 다음 ->

    7. 대상주소 
       - 이것이 가장 중요함
         nate.com : 203.226.253.11
         nateon.nate.com : 211.234.239.58 (웹사이트 주소)
         nateon메신져 서버 IP : 211.234.239.172 (현재 제 컴퓨터의 확인결과)
         nateon메신져 서버 접속 포트 : 5004
        
       선택하세요
       1) 네이트 메신져고 웹이고 나발이고 5004 포트 연결은 다 막아 버리겠다.(강력추천!-_-)d)
          대상주소 : 모든 IP주소

       2) 5004포트 이외에 또 연결 될 포트가 있을지 의심이 드는경우
          대상주소 : 특정 IP서브넷 (거의 대부분 서버들은 IP를 줄줄히 나열해서 사용함)
                     대상 IP주소 : 211.234.239.0
                     서브넷마스크 : 255.255.255.0

    8.선택 : 다음

    9.선택 : 프로토콜 : TCP

    10.선택 및 입력: 모든 포트에서 이 포트로 5004 입력

    11.선택 : 다음

    12.선택 : 마침

    이제 IP필터 목록 관리에 nateon막기라는 이름으로 한 개의 규칙이 생성 되어 있는 것을 보실 수 있습니다.
    이제 이 규칙에 대한 제어를 해야죠? 위의 구성을 허용할 것인지 거부할 것인지 .. 그걸 만들어 보자구요
    탭메뉴가 IP필터 목록 관리와 필터 동작 관리 이렇게 2개가 있습니다.
    필터 동작 관리로 가봅시다. 여기서 컨트롤 합니다.
    이 메뉴로 가보시면 거부가 없는 것을 볼 수 있습니다.그럼 거부를 만들어 봅시다.
    1) 추가
    2) 다음
    3) 이름 : 무조건 거부( 마음대로 하세요. 설명도...)
    4) 거부 선택
    5) 마침

     

    우리는 규칙도 만들었고 필터링 규칙도 만들었습니다.
    이제 적용을 시키려면 룰을 IP보안 정책에 넣어 줘야 합니다.
    자 넣어 봅시다.
    두 가지 모두를 마치고 확인을 누르면 처음 로컬 보안정책 화면이 보입니다.
    오른쪽 창에서 마우스 오른쪽 버튼을 누르셔서 IP보안정책 만들기를 선택하세요.

    1) 이름 : 네이트 접근금지 ㅋㅋㅋ
    2) 프로그램 설치하듯 무조건 넥스트 눌러 주세요. 경고창이 뜰 수 있습니다. 아래와 같은 내용으로요..
       경고
       "이 규칙이 도메인의 구성원인 컴퓨터에서 사용하게 될 경우에만 Kerberos가 유효합니다.
        이 컴퓨터는 도메인의 구성원이 아닙니다. 계속하여 규칙 속성을 저장하시겠습니까?"
      그래도 Y누르시고 마침을 누르면, 보안규칙 마법사라는 제목으로 선택 항목이 나옵니다.
      여기서 아까 설정해뒀던(첫번째설정했던) 이름 nateon막기를 선택 다음을 누르면
      허용, 보안요청등...있습니다. 이것도 설정했던(두번째 설정했던) 무조건 거부 선택!
    그리고 확인을 누르셔서 빠져 나옵니다. 그리고..닫기~

     

    이제 모든 설정 작업이 끝났습니다..
    모든 설정은 끝났으나....적용이 되지 않고 있을 겁니다.ㅜㅜ
    적용 한 번 시켜 봅시다.
    오른쪽 창을 보면, 네이트 접근금지ㅋㅋ 이와 같은 것이 있습니다.
    그 줄의 오른쪽을 보시면 정책 할당은 아니요로 표시 되어 있습니다.
    이것이 적용이 되지 않고 있음을 나타냅니다.
    네이트 접근금지 ㅋㅋ 줄을 선택하시고 마우스 오른쪽 버튼을 누르시면 할당메뉴가 보입니다.
    누르는 순간 적용이 되는 것입니다...
    적용하시고 잠시만 기다려 주세요..
    열심히 썼지만..전달이 되지 않는 다는 걸 모르고...왜 대답을 안하냐고..독촉하며 네이트온을 
    하고 있던 사람들의 네이트온이 연결이 끊겨 있는 것을 확인하실 수 있습니다.
    음미하시면 됩니다.ㅋㅋ

     

    [출처] 지식인 | zinclub (http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=10301&docId=68128934&qb=64Sk7J207Yq47JioIO2PrO2KuA==&enc=utf8&section=kin&rank=4&sort=0&spq=0&pid=f2o/yloi5TGssZ5YcIhsss--190416&sid=S2o-MpQ8aksAADQYCMI)

    반응형

    '윈도우즈 > Security' 카테고리의 다른 글

    windows 보안점검 가이드  (0) 2015.01.27
    각종 메신저 사용 포트  (0) 2015.01.27
    IPsec 설정하기  (0) 2015.01.27
    IPsec 설정  (0) 2015.01.27
    WebKnight를 활용한 IIS 웹서버 보안  (0) 2015.01.27

    댓글()

    IPsec 설정하기

    윈도우즈/Security|2015. 1. 27. 09:46
    반응형

    파일 첨


    윈도우즈 ipsec_설정하기.pdf


    반응형

    댓글()

    IPsec 설정

    윈도우즈/Security|2015. 1. 27. 09:45
    반응형

    http://blog.naver.com/mybrainz?Redirect=Log&logNo=140006895152

    추가사항

    "네트워크 종류" 설정하는 부분에서 "모든 네트워크 연결" 지정해야 함.
    특정IP만 허용하고 나머지를 다 차단할거면 허용정책 먼저 설정해야 함.

    반응형

    댓글()

    WebKnight를 활용한 IIS 웹서버 보안

    윈도우즈/Security|2015. 1. 27. 09:42
    반응형

    http://www.ntfaq.co.kr/3861

    * 기술문서, 프로그램 첨부



    WebKnight.zip

    Webknight.pdf

    WebKnight를 활용한 IIS 웹서버 보안_NTFAQ Korea.pdf


    반응형

    '윈도우즈 > Security' 카테고리의 다른 글

    각종 메신저 사용 포트  (0) 2015.01.27
    IPsec 설정하기 (예 : 네이트온 차단)  (0) 2015.01.27
    IPsec 설정하기  (0) 2015.01.27
    IPsec 설정  (0) 2015.01.27
    WebKnight를 이용한 SQL Injection 공격 차단  (0) 2015.01.27

    댓글()