Security. unlimited possibilities

<책소개>

<목차>

CHAPTER 0 책 내용 및 핵심 포인트
누구를 위한 책인가?
책의 구조
결론

CHAPTER 1 쉘 스크립트 소개
쉘 스크립트
유닉스, 리눅스, OS X 쉘 스크립트
배시 기초
배시로 응용프로그램 만들기
윈도우 스크립트
파워쉘 기초
파워쉘로 응용프로그램 만들기
요약
참고문헌

CHAPTER 2 파이썬 소개
파이썬이란 무엇인가?
파이썬은 어디에 유용한가?
파이썬 기초
파일 처리
네트워크 통신
요약
참고문헌

CHAPTER 3 펄 소개
펄의 용도
펄 사용하기
펄 기초
펄로 응용프로그램 만들기
요약
참고문헌

CHAPTER 4 루비 소개
루비의 용도
루비 기초
루비 클래스
파일 처리
데이터베이스 기초
네트워크
루비로 응용프로그램 만들기
요약
참고문헌

CHAPTER 5 PHP 웹 스크립트 소개
웹 스크립트의 용도
PHP 시작하기
PHP로 폼 만들기
파일 처리 및 명령어 실행
PHP로 응용프로그램 만들기
요약

CHAPTER 6 파워쉘과 윈도우
파워쉘의 실행 정책
침투 테스트에서 파워쉘
파워쉘과 메타스플로잇
요약
참고문헌

CHAPTER 7 스캐너 스크립팅
스캐닝 툴 소개
NETCAT
NMAP
NESSUS/OPENVAS
요약
참고문헌

CHAPTER 8 정보수집
침투 테스트를 위한 정보수집
구글 검색 이용하기
펄을 이용한 웹 자동화
메타데이터 이용하기
응용프로그램 만들기
요약
참고문헌

CHAPTER 9 공격코드와 스크립팅
파이썬으로 공격코드 개발하기
메타스플로잇 공격코드 개발
PHP 스크립트 공격하기
크로스 사이트 스크립팅(XSS)
요약

CHAPTER 10 권한획득 이후의 공격 스크립트
권한획득 이후의 공격이 중요한 이유
윈도우 쉘 명령어
네트워크 정보 수집
메타스플로잇 미터프리터 스크립트
권한획득 ...(하략)

해킹사고의 재구성: 사이버 침해사고의 사레별 해킹흔적 수집과 분석을 통한 기업 완벽 보안 가이드.

<책소개>

보안관리 실무자를 위한 해킹분석 지침서!

사이버 침해사고의 사레별 해킹흔적 수집과 분석을 통한 기업 완벽 보안 가이드『해킹 사고의 재구성』. 해킹사고 대응을 다년간 수행한 저자 최상용이 개인적인 경험을 토대로, 해킹사고 대응 이론을 실무에 적용하는 방법과 실무적으로 가장 빠른 접근이 가능한 사고분석의 실체를 소개한 책이다. 본문은 해킹사고 대응절차에 대해 이론을 먼저 설명하고, 다양한 시스템에서 남아있는 사고의 흔적을 찾는 방법 그리고 조합하는 방법에 대해 순차적으로 다루었다. 특히 해킹대응의 노하우에 대한 세부적이고 명쾌한 설명과 사이버침해 대응체계를 구축하고자 하는 관리자가 참고할 수 있는 모델 제시한 것이 특징이다. 이를 통해 독자들은 해킹 사고 시 해킹흔적 분석·조합을 통한 해커의 행동 추적기법과, 사이버침해사고 실제사례를 통한 기업을 위한 최적의 대응모델에 대한 지식과 기술을 빠르고 완벽하게 습득하게 될 것이다.

<목차>

1장 보안관제와 해킹사고 분석
___1.1 정의
___1.2 공통점과 차이점
___1.3 보안관제 절차
______1.2.1 보안관제: 이벤트 탐지
______1.2.2 보안관제: 초기 분석
______1.2.3 보안관제: 긴급 대응
______1.2.4 보안관제: 사고 전파
___1.4 해킹사고 분석 절차
______1.4.1 해킹사고 분석: 접수
______1.4.2 해킹사고 분석: 분석
______1.4.3 해킹사고 분석: 피해 복구
______1.4.4 해킹사고 분석: 신고 및 보고
___1.5 정리

2장 해킹의 증거
___2.1 정보 보호 시스템 개요
___2.2 로그
___2.3 해킹사고의 분류와 그 흔적
___2.4 IDS/IPS
______2.4.1 침입 탐지의 방법
______2.4.2 IDS의 구성 형태
______2.4.3 IDS의 로그
___2.5 방화벽
______2.5.1 방화벽의 주요 기능
______2.5.2 방화벽의 구성 형태
______2.5.3 방화벽의 로그
___2.6 안티 DDoS
______2.6.1 안티 DDoS 시스템의 차단 기능
______2.6.2 안티 DDoS 시스템의 로그
___2.7 WAF
______2.7.1 WAF의 종류와 기능
______2.7.2 WAF의 로그
___2.8 웹 접근 로그
______2.8.1 접근 로그
______2.8.2 에러 로그
___2.9 운영체제 로그
______2.9.1 유닉스 계열 로그
______2.9.2 윈도우 시스템 로그
___2.10 그 외의 흔적
______2.10.1 ESM 로그
______2.10.2 DBMS 로그
___2.11 정리

3장 증거와의 소통
___3.1 해킹사고의 증상과 취약점
______3.1.1 위/변조 사고
______3.1.2 정보 유출 사고
______3.1.3 DDoS 공격
___3.2 증거 추적
______3.2.1 변조(삭제, 추가)
______3.2.2 시스템 변조
______3.2.3 접속 시 특정 프로그램 설치 유도
______3.2.4 클릭 후 이상동작
______3.2.5 정보 유출 신고 접수
______3.2.6 서비스가 안 되거나 느리고 시스템 부하가 가중됨
___3.3 증거를 보는 눈 그리고 증거를 조합한 사고의 재구성
______3.3.1 피해 시스템 식별
______3.3.2 피해 증상 파악
______3.3.3 피해 시스템 환경 확인
______3.3.4 증거 수집
______3.3.5 증거 추출과 해커 식별
______3.3.6 해커의 행위 추론과 보고서 작성
___3.4 정리

4장 웹 해킹사고 분석 사례
___4.1 홈페이지 변조를 통한 악성코드 유포 시도
______4.1.1 확인과 증상
______4.1.2 환경 분석과 로그 수집
______4.1.3 해킹사고 분석
______4.1.4 해킹사고 분석 보고서
___4.2 애플리케이션 환경 설정 실수로 인한 웹셸 업로드
______4.2.1 확인과 증상
______4.2.2 환경 분석과 로그 수집
______4.2.3 해킹사고 분석
______4.2.4 해킹사고 분석 보고서
___4.3 DDoS
______4.3.1 확인과 증상
______4.3.2 환경 분석과 로그 수집
______4.3.3 해킹사고 분석
___4.4 SQL 인젝션
______4.4.1 확인과 증상
______4.4.2 환경 분석과 로그 수집
______4.4.3 해킹사고 분석
______4.4.4 해킹사고 분석 보고서
___4.5 정리

5장 사이버 침해 대응 모델
___5.1 이론과 실제의 차이
______5.1.1 보안 시스템이 모든 해킹을 탐지하고 차단할 것이다
______5.1.2 모든 시스템은 이상적인 최적의 상태로 운영할 것이다
___5.2 사이버 침해 대응 모델
______5.2.1 현재 사이버 침해 대응 시스템 구성
______5.2.2 현재 사이버 침해 대응 시스템의 한계
______5.2.3 사이버 침해 대응 모델
___5.3 정리

[bing-ip2hosts]는 Microsoft 소유의 검색엔진 <Bing.com>의 특정 IP주소에서 호스팅되는 웹사이트를 검색하는 독특한 기능을 이용한 웹스캔도구이다.

이 도구는 대상에 대한 침투 테스트 및 정보수집에 사용될 수 있으며, Linux 배쉬 스크립트로 작성되었다.

[다운로드]

Current Version http://www.morningstarsecurity.com/downloads/bing-ip2hosts-0.3.tar.gz

[Usage]

$ ./bing-ip2hosts
bing-ip2hosts (0.3) by Andrew Horton aka urbanadventurer

[Example Output]

<WhatWeb>

[WhatWeb]은 대상 웹사이트가 어떤 것인지 식별할 수 있게 도와주는 웹스캔 도구이다. 웹 콘텐츠 관리 시스템(CMS), 블로그 플랫폼, 통계/분석 패키지, 자바 스크립트 라이브러러리, 웹 서버 및 임베디드 장치를 인지할 수 있으며, 이를 위한 플러그인이 약 900여개 포함되어 있다.

또한, [WhatWeb]은 version numbers, email addresses, account IDs, web framework modules, SQL errors 등 까지도 확인이 가능하다.

[hatWeb 다운로드]

whatweb-0.4.7.tar.gz

[WhaWeb의 특징]

□ Over 900 plugins
□ Control the trade off between speed/stealth and reliability
□ Plugins include example URLs
□ Performance tuning. Control how many websites to scan concurrently.
□ Multiple log formats: Brief (greppable), Verbose (human readable), XML, JSON, MagicTree, RubyObject, MongoDB.
□ Recursive web spidering
□ Proxy support including TOR
□ Custom HTTP headers
□ Basic HTTP authentication
□ Control over webpage redirection
□ Nmap-style IP ranges
□ Fuzzy matching
□ Result certainty awareness
□ Custom plugins defined on the command line

[Usage]

[Example Output]

[wiki 페이지]

https://github.com/urbanadventurer/WhatWeb/wiki

법 적용 확대, 개인정보보호 협업체계 구축·가이드라인 마련 성과

실효성 높일 수 있는 법 개정과 분야별 별도 지침 필요성 제기

[보안뉴스 김태형] 개인정보보호법이 시행된 지 1년이 지난 지금. 과연 득과 실은 무엇이고, 이를 더욱 확대· 발전시키기 위한 방안에는 무엇이 있을까?

개인정보보호법은 공공·민간 분야를 망라하고 온·오프라인 모든 사업자에게 적용되는 개인정보의 원칙과 기준의 필요성이 대두되면서 지난해 9월 개인정보보호법이 발효됐고, 법·제도 연착륙을 위해 6개월간 계도기간을 거쳐 올해 3월부터 본격적으로 시행되고 있다.

지난 1년 동안의 법 시행 후 규율대상은 기존 공공기관이나 정보통신사업자 등 개별법이 규정했던 약 51만 사업자에서 공공·민간의 모든 개인정보처리자, 약 350만 사업자로 확대 시행되는 결과를 가져왔다.

이에 따라 보호범위가 기존 컴퓨터 등에 의해 처리되는 개인정보 파일에서 종이문서에 기록된 개인정보도 포함됐으며, 주민등록번호 등의 고유식별정보 처리 제한을 원칙적으로 처리 금지했다. 또한, 개인정보 유출통지를 의무화하고 집단분쟁제도와 단체소송을 도입하는 성과를 거두었다.

이와 관련 정하경 개인정보보호위원회 상임위원은 “지난 1년 동안 개인정보보호법 시행으로 인해 개인정보보호에 대한 사회적 가치가 높아졌다”며, “학교·병원·직장 등에서의 개인정보가 소중히 다루어졌으며 개인정보에 대한 동의와 법적조치가 이루어지는 등 개인정보를 보호하기 위한 노력이 커졌다”고 지난 1년 간의 성과를 평가했다.

또한, 한순기 행정안전부 개인정보보호과장은 “개인정보보호법의 제정과 발효로 인해 하위법령 및 지침이 마련됐고 개인정보보호의 기본계획 및 시행계획 수립, 분야별 개인정보보호 협업체계 구축 및 가이드라인 등을 마련하게 됐다”고 밝혔다.

아울러 그는 “주민번호 수집·이용 최소화 대책 추진, 개인정보 영향평가제도 도입·운영, 개인정보 인증마크제 도입 추진 등을 통해 제도적 기반을 정비했고 교육·홍보 및 자율규제를 통한 인식을 제고했다”고 말했다.

이러한 성과에 함께 문제점이나 개선할 부분도 적지 않다는 지적이다. 개인정보보호 포럼에서의 발표를 통해 권헌영 광운대학교 법대 교수는 “개인정보보호법의 준수를 위해 중소기업이나 소상공인들은 개인정보보호 체계를 구축해야 하는데 이에 따른 비용이 부담되어 머뭇거리고 있다”고 밝혔다.

또한, 그는 “학교와 영세업소 등에서는 보안 시스템으로 인해 업무 효율성이 떨어진다는 불만도 늘어나고 있으며 대형 포털에서도 수천만명의 신상정보가 유출되는 상황에서 영세업체들을 무작정 동참하게 하는 건 비현실적이라는 비판도 높아지고 있다”고 설명했다.

이러한 문제점 외에도 개인정보보호 정책의 집행체계 혼선으로 인한 업무권한과 기능의 분산 문제, 그리고 법률간 체계 정합성, 법률해석과 관련한 문제 등으로 인해 일각에서는 현실에 맞는 개인정보보호법의 개정안이나 분야별 별도의 지침 필요성도 제기되고 있다.

이처럼 개인정보보호법이 본격 시행되고 있음에도 일반인은 물론 공무원들조차 개인정보보호의 중요성에 대해 크게 인식하지 못하고 있어 크고 작은 보안 사고는 끊임 없이 이어지고 있다.

지난 7월 KT 고객정보 유출사건을 비롯해 최근엔 경기도시공사가 민원인들의 주소와 전화번호 등의 개인정보를 홈페이지에 공개해 해당 민원인들의 불만을 사는 등 물의를 빚기도 했다.

이러한 가운데 공격자들은 다양한 방법으로 각 기업과 공공기관이 보유한 개인정보를 포함한 중요 정보를 유출할 기회를 노리고 있어 보안의식 제고를 위한 노력도 필요하다.

이와 관련 이경호 고려대학교 정보보호대학원 교수는 “기존 알려진 공격에 대해서는 대비를 잘하고 있지만 이보다 더 커다란 피해를 줄 수 있는 알려지지 않은 공격에 대해서는 전문가의 지속적인 모니터링은 물론이고, 정보관리 프로세스, 관리체계, 시스템 및 법·제도를 연계한 종합적인 정보보호 및 관리가 필요하다”고 밝혔다.

또한, 이 교수는 “개인정보 유출사고 예방과 피해 최소화를 위해서 개인정보 영향평가, 개인정보 유출통지, 개인정보 관리체계인증 등의 제도를 활성화해야 한다”면서 “개인정보 유출사고 증거 보존 및 포렌식 기능도 강화되어야 한다”고 설명했다.

이처럼 개인정보보호법 시행 1년을 되돌아 보면 어느 정도의 성과도 있었지만, 제도 개선을 위한 과제도 아직은 산적해 있는 듯 보인다. 하지만 무엇보다 중요한 것은 개인정보처리자 및 보안담당자의 정보보호 패러다임 변화를 통한 자율적인 리스크 관리, 개인정보보호를 위한 체계적인 지침 마련, 그리고 전반적인 보호조치 이행이라고 할 수 있다.

[김태형 기자(boan@boannews.com)]

기업의 개인정보 관리 강화, 과도한 개인정보 보관 제한 등

[보안뉴스 호애진] 지난 8월 18일부터 시행된 개정 정보통신망법상의 개인정보보호 관련 신규제도에는 어떠한 것들이 있을까?

26일 포스트타워에서 열린 ‘2012 정보통신망법 개선사항 설명회’에서 윤재석 한국인터넷진흥원 개인정보제도개선팀장은 ‘정보통신망법 개인정보보호 신규제도 소개’라는 주제로 강연하며, 추진 배경 및 경과, 시행령 개정 방향 및 주요 내용을 소개했다.

윤재석 팀장은 “개정 정보통신망법은 기업의 개인정보 관리가 강화됐으며, 과도한 개인정보 보관을 제한하고, 이용자 자기정보결정권을 강화하는 한편, 개인정보보호 관리체계(PIMPS) 인증 관련 규정이 신설됐다”고 설명했다.

우선 기업의 개인정보 관리를 강화하는 차원에서 개인정보처리시스템과 외부 인터넷망을 분리하도록 했다. 이는 최근 개인정보관리자 등의 계정 해킹에 의한 대량의 개인정보 유출 사고가 발생함에 따라 사고를 예방하기 위해 높은 수준의 보안 대책 마련이 필요하다는 취지에서 비롯됐다.

적용 사업자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등이다. 대상은 망분리 적용 사업자 중 특정한 권한을 보유한 개인정보취급자로 제한한다.

윤재석 팀장은 “일정 수준의 보안성을 갖췄다면 물리적 망분리뿐만 아니라 논리적 망분리도 허용된다”면서 “다만, 구축 기간을 고려해 6개월의 유예기간을 부여했다”고 설명했다.

또한, 과도한 개인정보 보관을 제한하기 위해 개인정보 유효기간제를 도입했다. 이는 장기간 서비스를 이용하지 않는 이용자의 개인정보에 대해 파기 등 필요한 조치를 취함으로써 사업자가 불필요하게 보관하는 개인정보를 최소화하기 위함이다.

유효기간은 3년으로 하되, 해당 기간 경과 후 즉시 파기 또는 다른 개인정보와 분리 저장·관리한다. 파기 대상은 정보통신서비스 제공자 등이 보유한 이용자의 개인정보로, 유효기간 만료 30일까지 전자우편, 서면, 모사전송, 전화 또는 이와 유사한 방법으로 파기 또는 분리 저장·관리 사실, 기간 만료일 및 해당 개인정보의 항목을 통지해야 한다.

윤재석 팀장은 “최초 회원 가입 또는 회원 정보 수정 등의 단계에서 수집·관리되는 개인정보뿐만 아니라 접속 로그(log), 쿠키(cookie), 결제 기록 등 서비스 이용과정에서 생성되는 정보도 파기 등의 조치대상에 해당된다”고 밝혔다.

이용자 자기정보결정권도 강화됐다. 이용자가 개인정보의 활용 내역을 정확히 알고, 통제할 수 있는 제도로 개인정보 이용내역 통지 제도와 개인정보 누출 등의 통지·신고제를 도입했다.

개인정보 이용내역 통지제도는 사업자가 주기적으로 이용자의 개인정보 이용내역을 통지함으로써, 이용자가 본인의 개인정보 이용내역을 정확히 알고 통제가 가능하도록 하는 것이다.

해당 사업자는 개인정보 수집·이용 목적 및 수집 항목, 개인정보 제공받은 자와 제공 목적 및 제공 항목, 취급 위탁 받은 자 및 취급 위탁 목적을 연 1회 이상 통지해야 한다는 내용이 주 골자다.

이어 개인정보 누출 등의 통지·신고제는 개인정보 누출사고 발생 시 이용자에게 해당 사실을 통지하고 방통위에 신고해 명의 도용, 금전적 피해 등 추가 피해가 확산되는 것을 방지하기 위함이다.

해당 사업자는 개인정보 분실·도난·누출 사실을 안 때, 지체없이 이용자 통지 및 방통위에 신고를 해야 하며, 통지 내용은 누출 개인정보 항목, 누출 발생 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자 등의 대응 조치, 이용자 상담 접수 부서 및 연락처 등이다. 또 사업자는 개인정보의 누출 등에 대한 대책 마련 및 피해 최소화 조치를 강구해야 한다.

윤재석 팀장은 “다만, 온·오픈라인에서 사업을 영위하는 경우 정보통신망법상 누출 등 신고와 개인정보보호법상 유출 신고는 범위, 시점, 접수 기관, 내용 및 목적에서 차이가 있다”면서 “해당 사업자는 방송통신위원회와 행정안전부 또는 전문기관에 신고해야 한다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

이베이코리아 구축사례...물리적·논리적 망분리, SOC·VPN 활용

[보안뉴스 호애진] 8월 18일 개정 정보통신망법이 시행되면서 망분리 조치가 의무 적용됐다. 적용 사업자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등으로 법 시행 후 6개월간의 계도기간을 거쳐 내년 2월 18일까지 이를 완료해야 한다.

이에 망분리를 구축하고자 하는 사업자들을 위해 이베이코리아는 자사의 성공적인 망분리 구축사례를 소개하고, 물리적 망분리를 비롯한 논리적 망분리, SOC 활용 등을 비교·분석하는 한편, 구축 시 고려사항 등을 설명했다.

박의원 이베이코리아 팀장은 “망분리는 APT 공격으로 인한 피해를 예방하기 위한 최후의 수단으로 선택했다”면서 “권한이 있는 직원 PC가 해킹돼 시스템 파괴 또는 데이터 삭제 시 사업 자체가 심각한 위협에 노출될 수 있고, DB 조회 권한이 있는 직원 PC를 해킹해 개인정보가 대량 유출되는 경우 역시 문제가 크다”고 구축배경을 밝혔다.

이에 이베이코리아는 9개월간의 기간을 거쳐 업무 중요도에 따라 물리적 망분리, 논리적 망분리, SOC 또는 VPN을 활용해 구축했다. 물리적 망분리를 적용한 경우, 임직원에게 인터넷이 불가능한 망분리 PC를 추가로 지급했으며, 인터넷이 가능한 업무용 PC에서는 운영 시스템(DB, Server 등) 접속을 차단했고, 망분리 PC에서만 운영 시스템에 접속할 수 있도록 했다. 이를 위해 별도의 망분리 네트워크도 구축했다.

논리적 망분리의 경우, 가상화 솔루션을 이용한 망분리 방법으로 다양한 방법이 존재한다. 크게 서버 가상화를 이용하는 방법과 PC가상화를 이용하는 방법이 있으며, PC가상화도 OS 공유 방식과 OS 별도 구축 방식이 있기 때문에 이를 모두 검토해 적용했다.

또한, 이베이코리아는 SOC(Security Operation Center)를 활용했는데, 이는 인터넷이 불가능한 별도의 공간을 마련하고 해당 공간에서만 운영 시스템에 접속할 수 있도록 환경을 구축하는 것이다. 그밖에 VPN을 활용해 VPN 접속 시 인터넷 연결을 강제로 끊고 VPN만 접속하도록 하고, 인터넷 연결시에는 VPN이 끊어지게 설정하는 방법도 이용했다.

특히, 박의원 팀장은 “망분리의 핵심 중 하나는 커뮤니케이션이다. 대상자들과의 많은 커뮤니케이션을 통해 망분리의 목적과 방안을 충분히 고려하는 것이 가장 중요하다”며, “각 회사에 맞는 망분리 방안을 대상자들과의 협의를 통해 정하는 것이 좋다”고 조언했다.

이어 “네트워크 구성과 방화벽 정책 또한 중요하다. 네트워크의 복잡성으로 인해 구멍은 언제나 생길 수 있고, 이를 충분히 통제할 수 있는 방안을 마련해야 한다”며, “또한 초기 구축비용이 아닌 장기간 운영에 초점을 맞춰야 한다. 운영 시 잦은 문제 발생은 임직원의 신뢰를 약화시킬 뿐만 아니라 강력한 정책은 대부분 6개월 이후부터 약화되기 시작한다는 것을 잊어서는 안된다”고 당부했다.

[호애진 기자(boan5@boannews.com)]

Modsecurity의 IIS 설치 msi파일을 통해 Microsoft IIS에서도 Modsecurity 웹서버 보안강화도구를 사용할 수 있다.

아래는 IIS에서 Modsecurity를 설치, 설정하는 방법이다. 만약, IIS에서 Modsecurity를 사용하고자 한다면, 참고가 되시길..

또한, Modsecurity를 설치하기 위해 사전에 설치해야 하는 목록에 추가적으로 .NET Framework이 필요하다.(참고하세요)

Installation for Microsoft IIS

The source code of ModSecurity’s IIS components is fully published and the binary building process is described (see mod_security/iis/winbuild/howto.txt). For quick installation it is highly recommended to use standard MSI installer available from SourceForge files repository of ModSecurity project or use binary package and follow the manual installation steps.

Manually Installing and Troubleshooting Setup of ModSecurity Module on IIS

Prerequisites

Before installing ModSecurity one has to install Visual Studio 2010 Runtime:

• 32-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=5555
• 64-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=14632

Installation Steps

Download binary package and unzip the content to a separate folder:

• http://sourceforge.net/projects/mod-security/files/modsecurity-iis/2.7.0-rc2/ModSecurityIIS_2.7.0-rc2_debug.zip/download

The installation process of ModSecurity module on IIS consists of three parts:

1. Copying of binaries: copyfiles.bat

The following binary files are required by ModSecurity module and by default should be copied to %windir%\system32\ (32-bit binaries) and/or %windir%\SysWOW64\ (64-bit binaries):

• libapr-1.dll
• libapriconv-1.dll
• libaprutil-1.dll
• libxml2.dll
• lua5.1.dll
• ModSecurityIIS.dll
• pcre.dll
• zlib1.dll

The mlogc tool can be copied to any place, together with libcurl.dll:

• libcurl.dll
• mlogc.exe

2. Registering of the module: register.bat

An IIS module must be properly registered before it can be used by web applications. The following command, executed in %windir%\system32\inetsrv, performs the registration:

appcmd.exe install module /name:ModSecurityIIS /image:%windir%\system32\inetsrv\modsecurityiis.dll

The registration process itself is described with details in the following articles:

• http://technet.microsoft.com/en-us/library/cc771133(v=ws.10)
• http://learn.iis.net/page.aspx/121/iis-modules-overview/

3. Extending of the configuration schema.

The last step extends IIS configuration schema with ModSecurity entities, using ModSecurity.xml file provided in the binary:

iisschema.exe /install ModSecurity.xml

and iisschema.exe tool. More information about the tool and this step is available here:

• http://mvolo.com/iisschemaexe-a-tool-to-register-iis7-configuration-sections

Configuration

After the installation the module will be running in all websites by default. To remove it from a website add to web.config:

<modules>
    <remove name="ModSecurityIIS" />
</modules>

To configure module in a website add to web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <ModSecurity enabled="true" configFile="c:\inetpub\wwwroot\xss.conf" />
    </system.webServer>
</configuration>

where configFile is standard ModSecurity config file.

Events from the module will show up in "Application" Windows log.

Common Problems

If after installation protected website responds with HTTP 503 error and event ID 2280 keeps getting logged in the application event log:

Log Name:      Application
Source:        Microsoft-Windows-IIS-W3SVC-WP
Event ID:      2280
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Description:
The Module DLL C:\Windows\system32\inetsrv\modsecurityiis.dll failed to load.  The data is the error.

most likely it means that the installation process has failed and the ModSecurityIIS.dll module is missing one or more libraries that it depends on. Repeating installation of the prerequisites and the module files should fix the problem. The dependency walker tool:

• http://www.dependencywalker.com/

can be used to figure out which library is missing or cannot be loaded.

위 내용에 더불어 아래와 같은 msi 설치파일도 있네요..;; 갠히 고생했네;;

아래 파일을 통한 설치도 해보시면 좋겠네요.

ModSecurityIIS_2.7.0-rc3.zip

설치 후, 설정은 아래 사이트를 참조하세요,,

http://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx