SlideShare ist ein Scribd-Unternehmen logo
1 von 19
Downloaden Sie, um offline zu lesen
WAF
すごいぞ?
2023/03/08 はるきち
第31回 セキュリティ共有勉強会
(テーマ: 間違った常識)
Copyright ©︎ m.kouda 2023
幸田将司(はるきち):
セキュリティエンジニア:
- フリーランス
- SecuriST(R) 認定診断士 試験委員
- 株式会社Levii
- 合同会社blk.SMITH.LLC
twitter:
- @halkichisec
Who am I?
Copyright ©︎ m.kouda 2023
1. WAFってなぁに
2. 世間のギャップ
3. WAFすごいぞ
Contents
Copyright ©︎ m.kouda 2023
WAFってなぁに
Copyright ©︎ m.kouda 2023
WAF(Web Application Firewall)
Webアプリケーションを堅牢化する要素の1つ
できること
• シグネチャにマッチした攻撃を防ぐ
• DoSの緩和
• オリジンサーバの隠蔽(クラウド型)
できないこと
• ロジック、仕様にかかる脆弱性
例1. 適当なマイナンバーでワク
チン摂取の予約ができる
例2. 登録済みのユーザを親切に
教えてくれる (wordpress)
Copyright ©︎ m.kouda 2023
WAFのタイプ3つ
ホスト(ソフトウェア)型
サーバ毎にインストール
• mod_security
• SiteGuard
クラウド型
インストール不要、細かい設定不要
• Akamai、遮断くん
ネットワーク(ゲートウェイ)型
ネットワークの経路上に設置
• Fortiweb
WAF
WAF
WAF
Copyright ©︎ m.kouda 2023
WAFのタイプ3つ
ホスト(ソフトウェア)型
サーバ毎にインストール
• mod_security
• SiteGuard
クラウド型
インストール不要、細かい設定不要
• Akamai、遮断くん
ネットワーク(ゲートウェイ)型
ネットワークの経路上に設置、SSLの複合を担う
• Fortiweb
今回はこれを推したい
世間のギャップ
Copyright ©︎ m.kouda 2023
世間とのギャップ
サイト運営者(非IT企業)
• セキュリティはやらなければいけない
• でもコストがかかる…
• 対策の妥当性も確認できない。
• ググったらWAFというのがいいらしい。
そうだ、WAFいれよう
WAFを紹介する
個人ブログ
セキュリティ対策は
これでヨシっと...
インストールするだけで
リスク対応可能
最新の攻撃パターンを
即座に検知します。
Copyright ©︎ m.kouda 2023
セキュリティ業界とのギャップ
セキュリティエンジニア
• WAFは確かに便利・・・
• でも万能ではない(WAF迂回攻撃へ未対応)
確かにWebサーバへの無作為なスキャンは防ぐ
• 👇こういうやつ
• 👇こういうのは防げない
"GET /index.php?name=OR 1=1 HTTP/1.1" 200
"GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200
※URLデコード済み
"GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200
"GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200
※URLデコード済み
Copyright ©︎ m.kouda 2023
セキュリティ業界とのギャップ
セキュリティエンジニア(僕)的には...
多層防御の観点ではもちろん重要
ただ、導入コストに対するリターンが見込めないかな...
• メンテナンスも必要
• パケット解析のオーバヘッドがある
と考えていた時期がありました。
Copyright ©︎ m.kouda 2023
WAFすごいぞ
Copyright ©︎ m.kouda 2023
WAFのタイプ
ホスト(ソフトウェア)型
サーバ毎にインストール
• mod_security
• SiteGuard
クラウド型
インストール不要、細かい設定不要
• Akamai、遮断くん
ネットワーク(ゲートウェイ)型
ネットワークの経路上に設置、SSLの複合を担う
• Fortiweb
今回はこれを推したい
Copyright ©︎ m.kouda 2023
クラウド型のイメージ
攻撃者とサーバの間に介在できる
サーバへの直接攻撃を防ぐメリットもある
WAF
攻撃者のペイロードが
全てWAFを通過する
HTTPより下位層の
脆弱性を利用されない
www.example.com
WebサーバはWAFのIPから
80ポート(HTTP)のみ
inbound通信を許可
Copyright ©︎ m.kouda 2023
クラウド型のイメージ
攻撃者とサーバの間に介在できる
サーバへの直接攻撃を防ぐメリットもある
WAF
WAFの振り分けは
HTTPのHostヘッダを参照する
[www.example.com]
本来ならいろいろ見えていた
けど、まぁ大丈夫(よくない)
DNSリバインディングも
ついでに防ぐ
www.example.com
Copyright ©︎ m.kouda 2023
クラウド型WAFのメリット
ホスト型に比べると...
オリジンサーバの隠蔽
メンテナンスコストが安価
• シグネチャのアップデートが自動
• 各ホストにインストールしなくてOK
• ついでにTLSのアップデートも不要
ネットワーク(アプライアンス)型に比べると...
メンテナンスコストが安価
• シグネチャのアップデートが自動
導入費用も安い
Copyright ©︎ m.kouda 2023
ちゃんと設定しないとちゃんとしくじる
CDNやWAFを迂回される
ポケ徹のクラウド型DDoS保護の迂回事例
CDN
img.xxxxx.com
AWS
SAKURA Internet
xxxxx.com
Copyright ©︎ m.kouda 2023
クラウド型...なコンテンツ
某大手美容外科クリニックの例
オリジンサーバのIPを調べる方法もあるので完全隠蔽
でないことに注意
$dig www.s-b-c.net
;; ANSWER SECTION:
www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net.
www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net.
e28430.a.akamaiedge.net. 15 IN A 210.132.245.200
e28430.a.akamaiedge.net. 15 IN A 210.132.245.232
オリジンサーバのIPが
応答しない
Copyright ©︎ m.kouda 2023
まとめ
クラウド型WAFはえらい

Más contenido relacionado

Ähnlich wie WAFすごい

ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshareShinichiro Kawano
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 Hiroaki Kuramochi
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaYuto Ichikawa
 
クラウドセキュリティ
クラウドセキュリティクラウドセキュリティ
クラウドセキュリティsoftlayerjp
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御Eiji Sasahara, Ph.D., MBA 笹原英司
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョンMasamitsu Maehara
 
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用Lumin Hacker
 

Ähnlich wie WAFすごい (20)

ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
 
クラウドセキュリティ
クラウドセキュリティクラウドセキュリティ
クラウドセキュリティ
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
 
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
 
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
 

Último

キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版Takayuki Nakayama
 
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析sugiuralab
 
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG-Audio
 
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りAWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りiPride Co., Ltd.
 
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))yoshidakids7
 
チームで開発するための環境を整える
チームで開発するための環境を整えるチームで開発するための環境を整える
チームで開発するための環境を整えるonozaty
 
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」IGDA Japan SIG-Audio
 
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜Naomi Yamasaki
 
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。iPride Co., Ltd.
 
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~honeshabri
 
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024Hideki Saito
 
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_2024031300001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313ssuserf8ea02
 

Último (12)

キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
キンドリル_ネットワーク自動化成熟度診断サービス ご紹介資料 2024年3月版
 
バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析バイオリンの運弓動作計測による初心者と経験者の差異分析
バイオリンの運弓動作計測による初心者と経験者の差異分析
 
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdfIGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
IGDA Japan SIG Audio #22 オンラインセミナー VRの知る.pdf
 
AWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作りAWS Lambdaと AWS API Gatewayを使ったREST API作り
AWS Lambdaと AWS API Gatewayを使ったREST API作り
 
The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))The 86th National Convention of IPSJ (Student Encouragement Award))
The 86th National Convention of IPSJ (Student Encouragement Award))
 
チームで開発するための環境を整える
チームで開発するための環境を整えるチームで開発するための環境を整える
チームで開発するための環境を整える
 
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
SIG-AUDIO 2024 Vol.02 オンラインセミナー 「必殺使音人(ひっさつしおとにん)カットシーンを成敗せよ」
 
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
JAWS DAYS 2024 E-3 ランチにまつわるちょっといい話 〜給食がない町の小中学生に温かい昼食を〜
 
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
AWS_Bedrock入門 このスライドは2024/03/08の勉強会で発表されたものです。
 
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
キャラで動かすGPT ~GPTsでどんな感じに作っているとか考えていることとか~
 
これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024これからはじめるAnsible - Ansible Night Tokyo 2024
これからはじめるAnsible - Ansible Night Tokyo 2024
 
00001_test_automation_portfolio_20240313
00001_test_automation_portfolio_2024031300001_test_automation_portfolio_20240313
00001_test_automation_portfolio_20240313
 

WAFすごい

  • 2. Copyright ©︎ m.kouda 2023 幸田将司(はるきち): セキュリティエンジニア: - フリーランス - SecuriST(R) 認定診断士 試験委員 - 株式会社Levii - 合同会社blk.SMITH.LLC twitter: - @halkichisec Who am I?
  • 3. Copyright ©︎ m.kouda 2023 1. WAFってなぁに 2. 世間のギャップ 3. WAFすごいぞ Contents
  • 4. Copyright ©︎ m.kouda 2023 WAFってなぁに
  • 5. Copyright ©︎ m.kouda 2023 WAF(Web Application Firewall) Webアプリケーションを堅牢化する要素の1つ できること • シグネチャにマッチした攻撃を防ぐ • DoSの緩和 • オリジンサーバの隠蔽(クラウド型) できないこと • ロジック、仕様にかかる脆弱性 例1. 適当なマイナンバーでワク チン摂取の予約ができる 例2. 登録済みのユーザを親切に 教えてくれる (wordpress)
  • 6. Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置 • Fortiweb WAF WAF WAF
  • 7. Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
  • 9. Copyright ©︎ m.kouda 2023 世間とのギャップ サイト運営者(非IT企業) • セキュリティはやらなければいけない • でもコストがかかる… • 対策の妥当性も確認できない。 • ググったらWAFというのがいいらしい。 そうだ、WAFいれよう WAFを紹介する 個人ブログ セキュリティ対策は これでヨシっと... インストールするだけで リスク対応可能 最新の攻撃パターンを 即座に検知します。
  • 10. Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア • WAFは確かに便利・・・ • でも万能ではない(WAF迂回攻撃へ未対応) 確かにWebサーバへの無作為なスキャンは防ぐ • 👇こういうやつ • 👇こういうのは防げない "GET /index.php?name=OR 1=1 HTTP/1.1" 200 "GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200 ※URLデコード済み "GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200 "GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200 ※URLデコード済み
  • 11. Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア(僕)的には... 多層防御の観点ではもちろん重要 ただ、導入コストに対するリターンが見込めないかな... • メンテナンスも必要 • パケット解析のオーバヘッドがある と考えていた時期がありました。
  • 12. Copyright ©︎ m.kouda 2023 WAFすごいぞ
  • 13. Copyright ©︎ m.kouda 2023 WAFのタイプ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
  • 14. Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF 攻撃者のペイロードが 全てWAFを通過する HTTPより下位層の 脆弱性を利用されない www.example.com WebサーバはWAFのIPから 80ポート(HTTP)のみ inbound通信を許可
  • 15. Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF WAFの振り分けは HTTPのHostヘッダを参照する [www.example.com] 本来ならいろいろ見えていた けど、まぁ大丈夫(よくない) DNSリバインディングも ついでに防ぐ www.example.com
  • 16. Copyright ©︎ m.kouda 2023 クラウド型WAFのメリット ホスト型に比べると... オリジンサーバの隠蔽 メンテナンスコストが安価 • シグネチャのアップデートが自動 • 各ホストにインストールしなくてOK • ついでにTLSのアップデートも不要 ネットワーク(アプライアンス)型に比べると... メンテナンスコストが安価 • シグネチャのアップデートが自動 導入費用も安い
  • 17. Copyright ©︎ m.kouda 2023 ちゃんと設定しないとちゃんとしくじる CDNやWAFを迂回される ポケ徹のクラウド型DDoS保護の迂回事例 CDN img.xxxxx.com AWS SAKURA Internet xxxxx.com
  • 18. Copyright ©︎ m.kouda 2023 クラウド型...なコンテンツ 某大手美容外科クリニックの例 オリジンサーバのIPを調べる方法もあるので完全隠蔽 でないことに注意 $dig www.s-b-c.net ;; ANSWER SECTION: www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net. www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net. e28430.a.akamaiedge.net. 15 IN A 210.132.245.200 e28430.a.akamaiedge.net. 15 IN A 210.132.245.232 オリジンサーバのIPが 応答しない
  • 19. Copyright ©︎ m.kouda 2023 まとめ クラウド型WAFはえらい