Default Setting

Kuipernet은 기본적인 웹 방화벽 정책이 구성 되어있습니다. 사용자 정책을 추가적으로 구성하실 경우, 매니저 권한의 사용자에 의하여 설정이 가능합니다.

추가 하실 값을 등록 할 경우 입력 규칙은 정규 표현식으로 입력 합니다.

1. SQL injection 공격

SQL Injection 정의 웹 어플리케이션 자체의 취약점을 이용한 해킹 기법으로 악의적인 SQL 구문을 삽입하여 공격하는 공격기법입니다.

2. XSS 공격

XSS (크로스 사이트 스크립트의 정의) 클라이언트[웹 브라우저]에서 실행되는 스크립트(JavaScript, VBScript, Flash, ActiveX, XML/XSL, DHTML 등)의 특성을 이용하여 악성 스크립트를 게시판, 이메일 등에 포함시켜 공격하는 공격기법 입니다. 또한, 공격 방식이 다양한 형태로서, 다른 공격들과 혼합 형태로 많이 이용되어 그 위험성과 피해가 매우 큰 해킹 기법입니다.

3. 블랙 TAG 공격 (CSRF)

CSRF 정의 크로스 사이트 스크립트 공격과 혼용될 수 있습니다. XSS 공격에서 <img> 또는 <iframe> 등 과 같은 태그를 삽입하여 CSRF[크로스 사이트 요청 위조]를 수행합니다.

4. 블랙 요청 메소드

블랙 요청 메소드의 정의 HTTP 요청 가운데 불필요하거나 공격에 악용될 수 있는 HTTP Method를 사용합니다. PUT/DELETE 와 같은 Method 사용이 가능 할 경우 생성/삭제가 가능하여 피해를 입힐 수 있습니다.

5. 화이트 IP

5.1 화이트 IP 란?

1. 특정 IP를 화이트 IP에 등록하면, 해당IP는 Kuipernet의 모든 차단정책에서 제외되는 기능입니다.
2. IP 기반으로 접근을 제어 합니다.

6. 블랙 IP

6.1 블랙 IP 란?

1. 특정 IP를 블랙 IP에 등록하면, 해당 IP를 통한 접근을 모두 차단하는 기능입니다.
2. 공격 기록에서 바로 블랙 IP 등록이 가능합니다. (공격 기록 메뉴얼 참조)
3. 블랙 IP 등록시 모니터링 모드에서도 차단 됩니다.

7. 화이트 업로드 확장자

7.1 화이트 업로드 확장자란? 등록된 파일 확장자 목록 기반으로 등록되지 않은 파일에 대한 업로드를 차단하는 기능입니다.

Kuipernet은 업로드 경로를 Agent 관리에서 등록하여 모든 파일을 감시합니다. 기본적으로 화이트 업로드 확장자에 등록하지 않은 모든 파일의 생성(복사, FTP, 업로드)을 차단합니다. 이는 치명적인 피해를 줄 수 있는 트로이 목마 / web shell 등과 같은 실행 코드의 유입을 막고자 하기 때문입니다.
다소 번거로움이 따르더라도 피해를 최대한 방지 할 수 있는 최선의 방법입니다.

7.2 화이트 업로드 확장자 등록 방법 예시) 확장자 등록 이미지 추가

Data: pdf (Enter)
      doc (Enter)
      ppt (Enter)
           ....

8. 화이트 도메인

8.1 화이트 도메인 이란?

1. 화이트 도메인에 특정 도메인을 등록하면, 요청 HTTP Header중 referer header의 값을 검사하여 해당 도메인을 경유한 요청을 모든 접근을 허용 합니다.

예시) 등록 방법

http://www.test.com (X)
www.test.com (O)

9. 블랙 도메인

9.1 블랙 도메인 이란?

1. 블랙 도메인에 특정 도메인을 등록하면, 해당 도메인을 경유한 모든 요청을 차단합니다.
2. 블랙 리스트 정책으로 해당 도메인을 통한 모든 접근을 차단합니다.

http://www.test.com (X)
www.test.com (O)

10. 블랙 확장자

10.1 블랙 확장자 란?

1. 웹 서버의 내부 파일에 대한 접근 권한이 잘못되어 있을 경우 악의적인 접근으로 인한 피해를 입을 수 있습니다.
2. URL 검사 기반으로 URL의 확장자를 검사하여 등록된 확장자의 접근을 차단합니다.
3. Kuipernet에서는 요청하지 말아야 하는 블랙 확장자 리스트가 기본적으로 등록 되어 있습니다.

http://www.test.com/etc/apache/config/httpd.conf
http://www.test.com/test.sh

정상적인 프로그램 확장자가 아닌 환경파일 또는 실행 파일 접근시 차단 합니다.

11. 블랙 커맨드

11.1 블랙 커맨드 란?

1. 웹서버를 통하여 OS 명령어를 실행하는 공격을 차단하는 기능입니다.
2. 요청 URL을 검사하여 OS shell 명령어를 탐지하면 차단합니다.

wget,nc,curl,useradd 등의 리눅스 명령어를 등록하면 아래와 같은 요청시 차단됩니다. http://www.test.com/command.php?id=admin&cmd=nc 차단

12. 블랙 인코딩

12.1 블랙 인코딩 이란?

1. 요청 URL 검사하여 변환된(인코딩된) 문자열을 통한 공격을 탐지하여 차단합니다.

Encoding 된 문자열 요청을 허용 해 줄 경우 야기되는 문제점

• 해커들이 SQL Injection / XSS 공격을 시도할 시 IDS/IPS/WAF 등의 보안장비를 우회하기 위해서 공격 구문을 인코딩하여 요청합니다.
• 인코딩된 공격 문자열을 통해 웹 서버의 오류를 유발하고 오류 응답값을 통해 대상 웹서버의 취약점을 찾아내어 해킹을 시도합니다.

13. 블랙 프로브

13.1 블랙 프로브(Black Probe) 란?

1. 요청 URL을 검사하여 FootPrinting, 웹 프로브 등에 대한 정보 노출을 방지합니다.

14. 블랙 코드 삽입

14.1 블랙 코드 삽입 이란?

1. 이미 웹서버에 상주한 악의적인 WebShell을 실행하지 못하게 하는 기능입니다.
2. WebShell에 주로 사용되는 POST 파라미터 값이 기본적으로 등록되어있습니다.
3. POST 파라미터에 등록된 정책의 값이 넘어오면 차단합니다.

POST 차단 방법 HTTP body 데이터에 WebShell을 컨트롤 하기 위한 파라미터 값을 가지고 접근을 시도 할 경우, 이를 감지하고 차단합니다.

15. 블랙 단어

15.1 블랙 단어 란?

1. 자동 글 등록 봇 또는 악성 유해 글(게임,욕설,광고)을 차단하기 위한 기능입니다.
2. 관리자가 지정 단어를 등록 하여 차단 합니다.
3. POST 파라미터로 넘어오는 값만 필터링이 가능합니다. GET 파라미터는 검사를 하지 않습니다.

공개 게시판 등과 같은 곳에서 성인 광고, 댓글 욕설 등에 대한 단어를 제한 하고자 할 때 유용합니다.

16. 예외 처리

16.1 예외 처리란?

1. 특정 데이터 값을 정책에서 예외처리 하는 기능 입니다.
2. 공격으로 차단된 정상 요청을 예외처리 하여 오탐을 최소화 합니다.
3. 예외 값을 직접 등록할 수 도 있고, 간편하게 공격기록 조회를 통하여 등록 할 수 있습니다.

16.2 사용방법 - 직접 등록 하는 경우

1. 15개의 항목 중 예외처리에 적용할 항목을 선택합니다.
2. 예외 처리에 등록된 Parameter를 등록합니다. ( * 입력 시 전체 URL에 대한 예외처리가 적용됩니다.)
3. 예외 처리에 등록될 URL 경로를 작성합니다. ( * 입력 시 전체 URL에 대한 예외처리가 적용됩니다.)
4. 예외 처리할 REGEX DATA를 입력합니다.
5. Status 적용 여부를 선택 합니다. (Active:활성 / InActive:비 활성)
6. 등록 버튼을 클릭하여 등록합니다.

기본 예외처리 Kuipernet 웹 방화벽 신규 설치 시 기본적으로 제공되는 예외처리 값이 등록되어 있습니다. 확인 후 사용여부를 결정 할 수 있으며, 추가할 수 있습니다.

16.3 사용방법 - 공격기록을 통하는 경우

1. 공격기록 하단의 공격 리스트 중 예외처리 할 공격을 선택 하여 더블 클릭합니다.
2. 좌측 상단의 White Exception Add를 클릭하여 예외 처리에 등록합니다.
3. 예외처리 메뉴에서 직접 확인 합니다.