반응형
안녕하세요 유똥입니다.
오늘은 웹 공격에 대한 침입탐지 및 침입방지를 해주는 모드시큐리티 ( ModSecurity )에 대하여 포스팅 진행하겠습니다.
ModSecurity 란?
ModSecurity 는 웹 공격에 대한 침임 탐지 및 침입 방지 기능을 추가해주는 하나의 모듈로 동작하며,
웹 클라이언트와 웹 서버 사이에 ModSecurity 가 존재하여 클라이언트로부터 악의적인 접속 요청이 발견되면 공격차단, 로깅 등 사전에 정의된 행위를 수행합니다.
IIS + Modseucirty 설치 진행하겠습니다.
Visual Studio 2013용 Visual C++ 설치
ModSecurity를 설치하기 전에 Visual Studio 설치되어 있는지 확인해야 합니다.
Vcredist는 http://www.visualstudio.com/downloads/download-visual-studio-vs에서 다운로드할 수 있습니다
ModSecurityIIS_2.9.2 설치
ModSecurityIIS_2.9.2는 https://github.com/SpiderLabs/ModSecurity/releases/download/v2.9.2/에서 다운로드할 수 있습니다
IIS에서 ModSecurity 모듈 설정 및 구성
C:\inetpub\wwwroot\web.config 파일 수정
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<directoryBrowse enabled="true" />
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity.conf" />
</system.webServer>
</configuration>ModSecurity 모드 활성화 설정
C:\Windows\System32\inetsrv\config\applicationHost.config 파일 수정
<section name="ModSecurity" overrideModeDefault="Allow" allowDefinition="Everywhere" /></sectionGroup>
<ModSecurity enabled="true" configFile="C:\Program Files\ModSecurity IIS\modsecurity.conf" />차단 모드 설정
C:\Program Files\ModSecurity IIS\modsecurity.conf 파일 수정
[ 수정 ] SecRuleEngine On
[ 추가 ] SecRule ARGS:testparam "@contains test" "id:1234,deny,status:403,msg:'Our test rule has triggered'"IIS 재시작
차단 테스트
http://도메인 명/?testparam=test
이벤트 뷰어 로그 확인
여기까지 modseucirty에 대하여 알아보았습니다.
도움이 되셨다면 구독과 좋아요
궁금하신 내용이 있으시면 댓글 부탁드립니다!
반응형
'IT > Windows' 카테고리의 다른 글
| [보안이슈] HTTP Protocol Stack / 원격 코드 실행 취약점(CVE-2022-21907) 점검 (0) | 2023.02.17 |
|---|---|
| [보안이슈] NEGOEX / 원격 코드 실행 취약점(CVE-2022-37958) 점검 (0) | 2023.01.16 |
| 윈도우 IPSec 설정 스크립트 (0) | 2021.06.17 |
| 윈도우 IPSec 설정 (0) | 2021.06.13 |
| 나만의 윈도우 방화벽 도구 만들기 (1) | 2021.06.12 |
최근댓글