n  Allow Late Scanning  : webknight에 우선권을 낮게하여 동작시킴

n  Scan Non Secure Port : 80port scan

n  Scan Secure Port : 443 port scan
(SSL 인증서를 가지고 있는  홈페이지의 경우는 이를 설정해주어 함)

n  Use Exclude Web Instances : 자체적인 ISAPI필터를 가지고 있는 webinstance 제외
( default check )

n  Use Exclude IP Addresses : IP 제한하기
( 유해 IP는 방화벽 or 스위치단에서 제어를 하는 것이 서버의 부하를 줄일 수 있습니다. )

n  Response Directly : client가 공격시 대처 메시지를 보냄

n  Response Redirect : 대처 메시지 페이지를 선택
(공격시 webkinght 기본 deny 페이지 로딩시 공격자는 webknight 를 사용한다는 것을 확인하고 이에 대한 취약점 공격이 우려 됨 따라서 기본 페이지로 redirection 시키거나 오류페이지를 생성 )

n  Use Response Status : 공격시 나타낼 메시지

n  Response Drop Connection 공격에 검출된 keep-alive된 커넥션을 제거

n  Response Monitor IP : time-out 기간을(정해진 값) 확인하여 모니터링

n  Response Block IP :  time-out 기간에(정해진 값) 따른 IP블럭

n  Response Log Only : 공격시 막지않고 로그만 쌓기

n  Enabled : 로깅 기능 활성화

n  Use GMT : 시간대 GMT 사용

n  Per Process Logging : 프로세스별 로깅 기능 IIS6버젼 On
( 단일 web service만 이용한다면 이 기능이 필요없을 것 같다. 오히려 프로세스별로 생겨서 로그를 확인하기 힘들다. 이 부분은 다시 확인이 필요함 )

n  Log Client IP: 로그에 사용자 IP 남기기

n  Log User Name : 로그에 사용자 이름 남기기

n  Log Allowed : 차단된 응답들의 로그를 남기는 것 ( 시스템 성능 저하 )

n  Log HTTP VIA : 프록시 사용자의 원래 요청의 단서를 가진 ‘Via:’ 헤더를 기록

n  Log HTTP X FORWARDED FOR : 프록시 단서를 찾기 위해 ‘X Forwarded For’ 헤더기록

n  Log Host Header : Host Header 로그

n  Log User Agent : 사용자 agent기록 ( 공격툴을 알수 있다. )

n  Log HTTP Client Errors : 4xx에러 기록

n  Log HTTP Server Errors : 5xx 에러 기록

IIS에서의 로그 기록 WebKnight의 로그 기록 이 두부분을 모드 확인할 경우 위와 같이 설정하면 된다. 하지만 WebKnight를 통해서 모든 로그를 확인할 경우는 위의 체크사항에 전부 체크를 해 주면 된다.

n  Scan Authentication Exclude Web Instances :

n  Deny Blank Passwords : 공백입력시 차단

n  Deny Same Password As Username : 계정과 비빌번호가 동일할 경우 차단

n  Use Denied Default Passwords : 기본적인 계정 차단 ( 사용자 입력 가능 )

n  Deny System Accounts : 시스템의 영향을 미칠 수 있는 중요한 계정에 대한 인증 차단

n  Use Deny Account Brute Force Attack : 무작위 대입 차단

n  Use Allowed Accounts : 허가된 계정 설정 ( 사용자 입력 가능 )

n  Use Denied Accounts : 비허가된 계정 설정 ( 사용자 입력 가능 )

n  Scan Account All Events : 다른 ISAPI 이벤에 사용되는 계정들을 스캔

n   Request로 오는 패킷에 대한 제한을 담당하는 부분
Limit Content Length : 헤더의 Content-Length의 값을 제한

n  Limit URL : URL 전체 길이에 대한 제한

n  Limit Querystring : URL에서 ? 다음의 querystring 길이에 대한 제한

n  Limit HTTP Version : HTTP version 1.1에 명시된 최대값에 대한 제한

n  Use Allowed HTTP Versions : 명시된 HTTP 버전만 허용

n  Use Max Headers : 헤더의 길이가 특정값으로 제한 된 헤더들의 길이 제한

n  RFC Compliant Url : Url이 RFC규약에 따르는지 Check

n  RFC Compliant HTTP Url : HTTP Url이 RFC규약에 따르는지 Check

n  Use Url Raw Scan : 웹서가 URL을 디코딩하기 전 기본적인 스캔 및 로우스캔 실시

n  Deny Url Encoding Exploits : Url에서 인코딩 공격을 허용하지 않음

n  Deny Url Parent Path : 상위경로(..)로 이동하는 것을 방지

n  Deny Url Trailing Dot In Dir :[./]가 포함된 요청을 차단

n  Deny Url Backslash : [\]가 포함된 요청을 차단

n  Deny Url Altermate Stream : [:]가 포함된 요청을 차단

n  Deny Url Escaping : Url디코딩 후 [%]이 포함된 요청을 차단

n  Deny Url Running Mutiple CGI : Url에 [&]가 포함된 요청을 차단. 이는 다중 CGI 어플리케이션에서 사용될 수 있다.

n  Deny Url HighBitShellcode : high bit shellcode ( ascii > 127 )을 허용하지 않는다. 이건 US-ASCII을 사용하는 곳에 적합 즉 영문 웹사이트가 아니면 필요없다.

n  Use Denied Url Sequences : 명시된 시퀀스들이 포함되어 있으면 이를 차단

n  Use Allowed Url Starts : URL이 시작할 수 있는 허가된 시퀀스 문자 목록

n  Deny Parent Path : 상위경로[..]가 포함되면 차단

n  Deny Backspace : 경로에 [\]가 포함되면 차단

n  Deny Carriage Return : 경로에 carriage return 문자 [\r]가 포함되면 차단

n  Deny New Line : 경로에 newline 문자 [\n]가 포함되면 차단

n  Deny Escaping : 경로에 [%]가 포함되면 차단

n  Deny Dot In Path :경로에 [./]가 포함되면 차단

n  Use Allowed Paths : 허가되는 경로 목록

n  Use Filename Raw Scan : 웹서버가 URL을 디코딩하기 전에 파일을 스캔

n  Deny Default Document : 기본적인 도큐먼트 요청을 차단 사용자는 특정 파일말 요청

n  Use Denied Files : 파일 제한 ( 사용자 입력 가능 )

n  Use Monitored Files : 파일을 정하고 그것이 변경상태에 대해 체크

n  Use Allowed Extensions : 허가된 요청 파일 ( 사용자 입력 가능 )

n  Use Denied Extensions : 명시된 파일 확장자 차단 ( 사용자 입력 가능 )

n  Remove Server Header :  서버가 클라이언트로 전송하는 모든 응답에 포함된 [Srever: ] 헤더를 제거한다.

n  Change Server Header : 서버의 헤더를 제거하지 않고 변경한다. 우선권을 Remove Server Header에게 있고, 이를 사용할 것이라면 Remove Server Header를 체크해서는 안된다. (ex 자신의 사용하는 웹이 IIS 6.0인데 Apache로 변경 )

n  RFC Compliant Host Header : RFC규약에 위반되는 Host 헤더를 차단

n  Use Denied Headers : 제시된 헤더를 차단 ( 사용자 입력 가능 )

n  Deny Header SQL Injection : 헤더를 통한 SQL Injection 차단

n  Deny Header Encoding Exploits : 헤더를 통한 인코딩 공격을 차단

n  Deny Header Directory Traversal : 헤더에 상위 디렉토리 이동을 위한 값 차단

n  Deny Header High Bit Shellcode : 하이비트 쉘코드 차단. 영문사이트에 적용

n  Use Denied Header Squences : 헤더 명시된 sequences 문자가 나오면 차단 ( 사용자 입력 가능 )

n  Use Allowe Conetenet Types : request 에 content-type 헤더의 체크가 활성화 되었을 때 명시된 하목에 포함 되지 않는 content type을 제한

n  Use Deny Content Types : 제한되어야 할 Content-type 설정

n  Deny Cookie SQL Injection : [ cookie: ]헤더에 SQL Injection 차단

n  Deny Cookie Encoding Exploits : [ cookie: ]헤더에 인코딩 공격을 차단

n  Deny Cookie Directory Traversal : cookie를 통한 directory traversal 방지

n  Deny Cookie High Bit Shellcode : high bit shellcode(ascii >127) 차단  영문사이트에 적용

n  Use Denied Cookie Sequences  : 명시된 시퀀스가 들어오면 차단

n  Deny User Agent Empty : User Agent가 비어있거나 나타나지 않으면 차단

n  Deny User Agent Non RFC : RFC규약에 따르지 않는 User Agent 차단

n  Use Dneide User Agents : 명시된 User Agent 항목을 차단

n  Use Dneide User Agent Sequeuces : User Agent에 명시된 시퀀스가 있으면 차단

n  Use Allowed Verbs : 허용할 Method

n  Use Denied Verbs : 차단할 Method

n  Use Querystring Raw Scan : raw scan을 이용하여 URL을 디코딩하기전 스캔

n  User Querystring SQL Injection : 쿼리스트링에 SQL injection을 차단

n  Deny Querystring Encoding Exploits : 쿼리스트링에 인코딩 공격을 차단

n  Deny Querystring Directory Traversal : 쿼리스트링에 디렉토리 이동을 차단

n  Deny Querystring Hight Bit Shellcode : 쿼리스트링에 High bit shellcode 차단

n  Use Denied Querystring Sequences : 쿼리스트링에 명시된 시퀀스가 오면 차단