SlideShare ist ein Scribd-Unternehmen logo

WAFすごい

Als PPTX, PDF herunterladen
M
mkoda

第31回 セキュリティ共有勉強会LT資料です。 (テーマ: 間違った常識)

Technologie
1 von 19
WAF すごいぞ? 2023/03/08 はるきち 第31回 セキュリティ共有勉強会 (テーマ: 間違った常識)
Copyright ©︎ m.kouda 2023 幸田将司(はるきち): セキュリティエンジニア: - フリーランス - SecuriST(R) 認定診断士 試験委員 - 株式会社Levii - 合同会社blk.SMITH.LLC twitter: - @halkichisec Who am I?
Copyright ©︎ m.kouda 2023 1. WAFってなぁに 2. 世間のギャップ 3. WAFすごいぞ Contents
Copyright ©︎ m.kouda 2023 WAFってなぁに
Copyright ©︎ m.kouda 2023 WAF(Web Application Firewall) Webアプリケーションを堅牢化する要素の1つ できること • シグネチャにマッチした攻撃を防ぐ • DoSの緩和 • オリジンサーバの隠蔽(クラウド型) できないこと • ロジック、仕様にかかる脆弱性 例1. 適当なマイナンバーでワク チン摂取の予約ができる 例2. 登録済みのユーザを親切に 教えてくれる (wordpress)
Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置 • Fortiweb WAF WAF WAF
Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
世間のギャップ
Copyright ©︎ m.kouda 2023 世間とのギャップ サイト運営者(非IT企業) • セキュリティはやらなければいけない • でもコストがかかる… • 対策の妥当性も確認できない。 • ググったらWAFというのがいいらしい。 そうだ、WAFいれよう WAFを紹介する 個人ブログ セキュリティ対策は これでヨシっと... インストールするだけで リスク対応可能 最新の攻撃パターンを 即座に検知します。
Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア • WAFは確かに便利・・・ • でも万能ではない(WAF迂回攻撃へ未対応) 確かにWebサーバへの無作為なスキャンは防ぐ • 👇こういうやつ • 👇こういうのは防げない "GET /index.php?name=OR 1=1 HTTP/1.1" 200 "GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200 ※URLデコード済み "GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200 "GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200 ※URLデコード済み
Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア(僕)的には... 多層防御の観点ではもちろん重要 ただ、導入コストに対するリターンが見込めないかな... • メンテナンスも必要 • パケット解析のオーバヘッドがある と考えていた時期がありました。
Copyright ©︎ m.kouda 2023 WAFすごいぞ
Copyright ©︎ m.kouda 2023 WAFのタイプ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF 攻撃者のペイロードが 全てWAFを通過する HTTPより下位層の 脆弱性を利用されない www.example.com WebサーバはWAFのIPから 80ポート(HTTP)のみ inbound通信を許可
Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF WAFの振り分けは HTTPのHostヘッダを参照する [www.example.com] 本来ならいろいろ見えていた けど、まぁ大丈夫(よくない) DNSリバインディングも ついでに防ぐ www.example.com
Copyright ©︎ m.kouda 2023 クラウド型WAFのメリット ホスト型に比べると... オリジンサーバの隠蔽 メンテナンスコストが安価 • シグネチャのアップデートが自動 • 各ホストにインストールしなくてOK • ついでにTLSのアップデートも不要 ネットワーク(アプライアンス)型に比べると... メンテナンスコストが安価 • シグネチャのアップデートが自動 導入費用も安い
Copyright ©︎ m.kouda 2023 ちゃんと設定しないとちゃんとしくじる CDNやWAFを迂回される ポケ徹のクラウド型DDoS保護の迂回事例 CDN img.xxxxx.com AWS SAKURA Internet xxxxx.com
Copyright ©︎ m.kouda 2023 クラウド型...なコンテンツ 某大手美容外科クリニックの例 オリジンサーバのIPを調べる方法もあるので完全隠蔽 でないことに注意 $dig www.s-b-c.net ;; ANSWER SECTION: www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net. www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net. e28430.a.akamaiedge.net. 15 IN A 210.132.245.200 e28430.a.akamaiedge.net. 15 IN A 210.132.245.232 オリジンサーバのIPが 応答しない
Copyright ©︎ m.kouda 2023 まとめ クラウド型WAFはえらい

Empfohlen

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid PlatformYOJI WATANABE
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd寛人 種市
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 

Empfohlen

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid PlatformYOJI WATANABE
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd寛人 種市
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshareShinichiro Kawano
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 Hiroaki Kuramochi
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaYuto Ichikawa
 
クラウドセキュリティ
クラウドセキュリティクラウドセキュリティ
クラウドセキュリティsoftlayerjp
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御Eiji Sasahara, Ph.D., MBA 笹原英司
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョンMasamitsu Maehara
 
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールsugiuralab
 

Weitere ähnliche Inhalte

Ähnlich wie WAFすごい

2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_securityShinichiro Kawano
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshareShinichiro Kawano
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 Hiroaki Kuramochi
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaYuto Ichikawa
 
クラウドセキュリティ
クラウドセキュリティクラウドセキュリティ
クラウドセキュリティsoftlayerjp
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101TokujiAkamine
 
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御Eiji Sasahara, Ph.D., MBA 笹原英司
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョンMasamitsu Maehara
 

Ähnlich wie WAFすごい (20)

2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
 
クラウドセキュリティ
クラウドセキュリティクラウドセキュリティ
クラウドセキュリティ
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
 
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
 
ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御ゲノムデータのサイバーセキュリティとアクセス制御
ゲノムデータのサイバーセキュリティとアクセス制御
 
世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン世界はつながっている!VyOSで実現するマルチリージョン
世界はつながっている!VyOSで実現するマルチリージョン
 

Kürzlich hochgeladen

IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxAtomu Hidaka
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールsugiuralab
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directoryosamut
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価sugiuralab
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。iPride Co., Ltd.
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000Shota Ito
 

Kürzlich hochgeladen (8)

IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptxIoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
 
プレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツールプレイマットのパターン生成支援ツール
プレイマットのパターン生成支援ツール
 
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
 
プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価プレイマットのパターン生成支援ツールの評価
プレイマットのパターン生成支援ツールの評価
 
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
 
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
 

WAFすごい

  • 2. Copyright ©︎ m.kouda 2023 幸田将司(はるきち): セキュリティエンジニア: - フリーランス - SecuriST(R) 認定診断士 試験委員 - 株式会社Levii - 合同会社blk.SMITH.LLC twitter: - @halkichisec Who am I?
  • 3. Copyright ©︎ m.kouda 2023 1. WAFってなぁに 2. 世間のギャップ 3. WAFすごいぞ Contents
  • 4. Copyright ©︎ m.kouda 2023 WAFってなぁに
  • 5. Copyright ©︎ m.kouda 2023 WAF(Web Application Firewall) Webアプリケーションを堅牢化する要素の1つ できること • シグネチャにマッチした攻撃を防ぐ • DoSの緩和 • オリジンサーバの隠蔽(クラウド型) できないこと • ロジック、仕様にかかる脆弱性 例1. 適当なマイナンバーでワク チン摂取の予約ができる 例2. 登録済みのユーザを親切に 教えてくれる (wordpress)
  • 6. Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置 • Fortiweb WAF WAF WAF
  • 7. Copyright ©︎ m.kouda 2023 WAFのタイプ3つ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
  • 9. Copyright ©︎ m.kouda 2023 世間とのギャップ サイト運営者(非IT企業) • セキュリティはやらなければいけない • でもコストがかかる… • 対策の妥当性も確認できない。 • ググったらWAFというのがいいらしい。 そうだ、WAFいれよう WAFを紹介する 個人ブログ セキュリティ対策は これでヨシっと... インストールするだけで リスク対応可能 最新の攻撃パターンを 即座に検知します。
  • 10. Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア • WAFは確かに便利・・・ • でも万能ではない(WAF迂回攻撃へ未対応) 確かにWebサーバへの無作為なスキャンは防ぐ • 👇こういうやつ • 👇こういうのは防げない "GET /index.php?name=OR 1=1 HTTP/1.1" 200 "GET /index.php?name=' '''''''UNION SELECT '2 HTTP/1.1" 200 ※URLデコード済み "GET /index.php?name=/*!||*/1=1 HTTP/1.1" 200 "GET /index.php?name=' +un/**/ion+se/**/lect '2 HTTP/1.1" 200 ※URLデコード済み
  • 11. Copyright ©︎ m.kouda 2023 セキュリティ業界とのギャップ セキュリティエンジニア(僕)的には... 多層防御の観点ではもちろん重要 ただ、導入コストに対するリターンが見込めないかな... • メンテナンスも必要 • パケット解析のオーバヘッドがある と考えていた時期がありました。
  • 12. Copyright ©︎ m.kouda 2023 WAFすごいぞ
  • 13. Copyright ©︎ m.kouda 2023 WAFのタイプ ホスト(ソフトウェア)型 サーバ毎にインストール • mod_security • SiteGuard クラウド型 インストール不要、細かい設定不要 • Akamai、遮断くん ネットワーク(ゲートウェイ)型 ネットワークの経路上に設置、SSLの複合を担う • Fortiweb 今回はこれを推したい
  • 14. Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF 攻撃者のペイロードが 全てWAFを通過する HTTPより下位層の 脆弱性を利用されない www.example.com WebサーバはWAFのIPから 80ポート(HTTP)のみ inbound通信を許可
  • 15. Copyright ©︎ m.kouda 2023 クラウド型のイメージ 攻撃者とサーバの間に介在できる サーバへの直接攻撃を防ぐメリットもある WAF WAFの振り分けは HTTPのHostヘッダを参照する [www.example.com] 本来ならいろいろ見えていた けど、まぁ大丈夫(よくない) DNSリバインディングも ついでに防ぐ www.example.com
  • 16. Copyright ©︎ m.kouda 2023 クラウド型WAFのメリット ホスト型に比べると... オリジンサーバの隠蔽 メンテナンスコストが安価 • シグネチャのアップデートが自動 • 各ホストにインストールしなくてOK • ついでにTLSのアップデートも不要 ネットワーク(アプライアンス)型に比べると... メンテナンスコストが安価 • シグネチャのアップデートが自動 導入費用も安い
  • 17. Copyright ©︎ m.kouda 2023 ちゃんと設定しないとちゃんとしくじる CDNやWAFを迂回される ポケ徹のクラウド型DDoS保護の迂回事例 CDN img.xxxxx.com AWS SAKURA Internet xxxxx.com
  • 18. Copyright ©︎ m.kouda 2023 クラウド型...なコンテンツ 某大手美容外科クリニックの例 オリジンサーバのIPを調べる方法もあるので完全隠蔽 でないことに注意 $dig www.s-b-c.net ;; ANSWER SECTION: www.s-b-c.net. 84 IN CNAME www.s-b-c.net.edgekey.net. www.s-b-c.net.edgekey.net. 84 IN CNAME e28430.a.akamaiedge.net. e28430.a.akamaiedge.net. 15 IN A 210.132.245.200 e28430.a.akamaiedge.net. 15 IN A 210.132.245.232 オリジンサーバのIPが 応答しない
  • 19. Copyright ©︎ m.kouda 2023 まとめ クラウド型WAFはえらい