대형 포털이나, 인프라가 잘 갖추어진 기관, 회사들은 아마도
크래킹 침해시 받게되는 회사 이미지 손실과 함께 바로 매출에 영향을
줄 수 있으므로 크래킹에 대한 위험성을 이해하고
방화벽에 대한 필요성으로 보안시스템을 갖추는데 무리가 없다고 생각한다.
IT 강국 대한민국이라지만
아쉽게도 또다른 이면에는 크래커들의 중간 경유지로
가장 큰 선호를 받고는 있는 대한민국이라는 것이다.
그런 크래커들의 중간 휴게소로 사용되는 이유는 아마도 첫머리처럼
인프라가 제대로 갖추어진 곳이 빈약하기 때문이라고 판단된다.
최근 2달간 이런 빈약한 인프라를 갖춘 중소업체에서 쓰라린 보안침해 경험으로
저비용으로 웹방화벽을 구축한 경험기 및 웹방화벽 사용기를 기록할 가 한다.
크래킹 침입 사례 및 대응
시스템 환경
Win2K3 SP2, ASP, MsSQL2000
- asp 소스 변경 / 생성 : <Iframe 삽입으로 트로이젠 스크립트 삽입 및 백도어 파일 생성.
- MsSQL Injection 공격으로 DB 정보 유출.
크게 위 2가지 문제를 일으켰다.
여기에 대한 대응으로 한달동안 아래와 같은 짖을 했다.
- 바이러스 프로그램으로 주기적으로 파일 관리
- 로컬 계정 / FTP 계정 패스워드 변경.
- 의심되는 IP 차단.
- 소스에 삽입된 코드 매일 삭제.
- 폴더 권한 변경.(IUser_웹계정) 읽기 권한만 부여.
- WebKnight 공개 방화벽 설치.
- 주기적으로 변경되는 파일, 스케줄 작업으로 매 10분마다 복사.(정말 지금 생각해도 겁나 깬다)
결론은 위 모든 대응에도 크래커는 나를 비웃으며 개인 데스크를 사용하듯 서버를 희롱하였다.
공개방화벽으로 많이 알려진 WebKnight(이하 웹나이트)를 메뉴얼을 읽어가며,
어렵게 셋팅해보았지만, 별 실효성은 없었다. 물론 여기서 웹나이트의 기능을 절하 하고자 하는
의도는 없다. 웹나이트를 헨들링하는 나의 능력이 부족하다고 확실히 밝히고 넘어간다.
최종 상용 방화벽으로 가는 결정적인 계기는
한달동안의 대응 액션중에 제일 마지막 단계 스케줄 작업을 깨버리는 크래커의 행동으로
비참하지만 나의 실력을 인정하고 상용 방화벽으로 가게 되었다.
자 이제부터는 본론적인 이야기로 넘어가보도록 하자!
상용방화벽 선택! 최선의 선택이다. 그러나 이 선택에 대해서 험난한 길이 많다.
먼저 오너를 설득해야 하고, 최저 비용으로 최대효과를 뽑아내야하기 때문에
저렴한 방화벽을 찾아 검색에 많은 시간을 투자해야 한다.
더욱더 힘든건 과연 업체의 화려한 제품 브러셔와 이바구를 믿을 만 하냐는 것이다.
인터넷 검색에서 제품에 대한 홍보 글은 많지만 정작 직접 사용한 사용기는
없었다는 것이다.
이런 지루한 검색에서 눈이 띠옹~ 나올만한 검색어가 나왔다
"평가판" 그것도 하루, 일주이 아닌 한달동안 말이다.
더욱더 마음에 드는건 평가판이지만 모든 기능은 정품과 동일
그리고 더더욱 뷰티플 한건 판매업체가 웹방화벽 설정에 대해
지원까지 해준다는 것이다.
그렇게 하여 클릭한 곳이 바로 아래 주소이다.
http://www.dotcure.co.kr/ 닷큐어.
설치부터 설정까지 모든 지원을 해준다.
한달동안 공짜라고 해서 미안한 마음은 갖지 말고
필요하다면 신청하여 써보라고 강추하는 바이다.
설치후 한달동안 사용기.
- 최초실행하면
- 30일 버젼이고 평가판 27일 남았다는 표시가 보인다.
- Trial Mode를 선택해야 한다.
- 설정화면
- NT 관리자라면 생소하지 않는 MMC 창이 열린다
- 인터넷서비스 창에서 설정하듯 인터페이스가 직관적으로 되어 있다.
- ISAPI 필터를 이용한 관리.
- WebKnight 나 기타 소프트웨어 방어벽이라면 비슷한 관리가 아닌가 생각된다.
- 웹사이트 하나로 관리할 수도 있고 사이트별 별도의 설정으로 관리할 수도 있다.
- VirtualHost(웹사이트 도메인별) 관리가 가능하다.
- 최상위 웹사이트에서 ISAPI필터 외에 아래처럼 각 룰에 따라 별도로 관리가 가능하다.
- 침입탐지 로그 보기
- 웹사이트에 등록된 모든 HOST들이 아래처럼 보호받아 침입탐지 내역을 확인 가능하다.
- 빨간색 표시는 정상적인 접근인데도 거부를 당했을 때 세부적으로 설정을 하는 방법이다.
- 침입기록을 좀더 상세하게 원한다면 원하는 HOST 클릭하면 아래처럼 구체적인 공격패턴을 확인할 수 있다
- 위의 각 공격패턴별 필터링 내용을 알고 싶다면 침입시도한 IP 또는 필터링 룰을 선택한다. 그럼 아래처럼 침입시도시 어떠한 방식과 내용으로 침입했는지 상세하게 알 수 있다.
한달동안은 크래커와의 힘든 싸움
그리고 다음 한달은 평가판 닷큐어를 사용하여 한번도 침입당하지 않고
편안한 아침 출근길을 맞이하게 되었다.
이제는 평가판을 끝내고 정식으로 사용하고 있다.
위 모든 글에 대해 정리를 해보자!
장점
OS별(NT, UNIX, Linux) / 웹서비스(IIS, Apache..등등) 범용성이 넓다.
특별한 설정이 필요 없이 Default 값으로 바로 적용가능하다.
사이트별 설정방법이 간단하다(설정을 할 때 몇번 지원을 받다 보면 쉽게 혼자서 가능해진다.)
소프트웨어 방식이라 걱정했던 CPU사용량(2~3%)이 적다.(운영 사이트 및 규모에 따라 틀릴 수 있다)
OS별(NT, UNIX, Linux) / 웹서비스(IIS, Apache..등등) 범용성이 넓다.
특별한 설정이 필요 없이 Default 값으로 바로 적용가능하다.
사이트별 설정방법이 간단하다(설정을 할 때 몇번 지원을 받다 보면 쉽게 혼자서 가능해진다.)
소프트웨어 방식이라 걱정했던 CPU사용량(2~3%)이 적다.(운영 사이트 및 규모에 따라 틀릴 수 있다)
단점.
기존 설정값에 대한 관리 및 저장 메뉴가 없다.(추후 업그레이드를 기대해본다)
한글화가 되지 않아 이해하는데 난해한 부분이 있다.
초기 구매 비용이 부담될 수 있다(여러 각도의 판매전략이 필요할 듯 쉽다)
단점 부분에 비용 문제에 있어 앞부분 저비용 최대효과와 거리가 먼 이야기가 나왔다.기존 설정값에 대한 관리 및 저장 메뉴가 없다.(추후 업그레이드를 기대해본다)
한글화가 되지 않아 이해하는데 난해한 부분이 있다.
초기 구매 비용이 부담될 수 있다(여러 각도의 판매전략이 필요할 듯 쉽다)
그럼 내가 구라를 깐것인가! 절대 아니다.
만일 여러분이 절실히 원한다면 방법은 있다. 그렇지만 이 자리에서 방법에 대해 말한다면
왠지 제품 홍보성 글이 될거 같아 여기까지만 설명 할련다.
힌트를 주자면 닷큐어 구매 말고 부가서비스를 함께 넣어 검색해보자!
이상 사용기를 마친다.
궁금증은 댓글에 달아주시면 감사하겠음다.
- Windows IIS 용 3.50버젼(30일버젼)
dotDefenderIIS350.exe
