Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

20190124 waf

2.216 visualizaciones

Publicado el

2019年1月24日、社内のWAF勉強会で使った資料

Publicado en: Tecnología
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí

20190124 waf

  1. 1. WAF勉強会 2019/01/24 渡辺信秀
  2. 2. 本日の内容 1. WAFとは何? 2. 具体的なWAF製品 3. Imperva Incapsula 4. AWS WAF
  3. 3. 1.WAFとは何?
  4. 4. WAF(Web Application Firewall)  HTTPとHTTPSの通信をするWebアプリケーションを守る。  HTTPとHTTPS以外は関与しない。 4
  5. 5. Webアプリケーションのリスク例 5  OWASP Top10  OWASP(Open Web Application Security Project)というコミュニティが、  最も重大なウェブアプリケーションリスクトップ10を解説したもの。  https://www.owasp.org/index.php/Japan WAFでこれらの リスクを守れるの???
  6. 6. 2.具体的なWAF製品
  7. 7. 2018 Gartner Magic Quadrant for Web Application Firewalls  どのWAFを使うか?  シグニチャー・ルール  企業秘密でブラックボックスな部分が多いので実 績や評判で判断するのもあり。 7 https://www.imperva.com/blog/imperva-recognized-as-a-2018-gartner-magic-quadrant-waf-leader-five-years- running/
  8. 8. 仮想アプライアンス型WAF 8 https://www.slideshare.net/AmazonWebServices/aws-reinvent-2016-advanced-tips-for-amazon-ec2-networking-and-high-availability-gpst401  仮想アプライアンス型WAF  スケールアウトを考えると、サンドイッチ構成 構築・運用が大変そう。
  9. 9. 3.Imperva Incapsula
  10. 10. クラウド型WAF 10  クラウド型WAF  CDNとしての機能も持つ  DDoSもIncapsula側で防御してくれる
  11. 11. IncapsulaのWAF機能 11 バックドアとなるファイルが仕掛けられてしまった場合、検出し、 バックドアへのアクセスを防ぐ。 Remote File Inclusion攻撃(外部ファイルのURLなどを読み込ませ、場 合によっては実行させる)を防ぐ。 SQL Injection攻撃(Webアプリ経由でSQL文を送信し、DBにアクセス する)を防ぐ。 クロスサイトスクリプティング攻撃(悪意のあるコードをWebサイト 訪問者のブラウザで実行させる)を防ぐ。 脆弱性のあるページ、管理者権限の必要なページ、システムファイル へのアクセスを防ぐ。 攻撃者は主にURLの推測、Command Injection、ディレクトリトラ バーサルが用いる。 DDoS攻撃を防ぐ。
  12. 12. Botアクセスコントロール 12 「botにビジネスが侵食されている」 http://www.itmedia.co.jp/news/articles/1809/05/news064.html #AkamaiのWAFを使った事例 チケット購入のアクセスのうち、9割超がbotによるものだっ た • botを使った転売屋のアクセスが多数 • 一般のユーザーがチケットを購入できない Good Bots(Googleのクローラなど)のアクセスは許可し、Bad Botsは防ぐ。 Botが最近の流行りのようです。
  13. 13. WAFで全ての脆弱性をカバーできるだろうか? 13 OWASP Top10 2017 WAFが守ってくれる範囲 リスクの名前とWAF設 定が一致しない。 Protect Your Applications Against All OWASP Top 10 Risks https://www.imperva.com/docs/IM_eBook_Ten_OWASP_Threats.p df ある程度カバーしてい ることはわかる。
  14. 14. あえてデフォルトで守らない部分もある  Cross site request forgery (CSRF)  Incapsulaはデフォルトで守らない  Using IncapRules, you can create a policy that filters requests to sensitive pages and functions based on your HTTP referrer header content. Doing so allows requests to be executed from a short list of secure domains.  OWASP Top10 2017  A8-クロスサイトリクエストフォージェリ (CSRF) は、多くのフレームワークがこの対策 を講じており (CSRF対策)、アプリケーションの5%程度 でのみ観察されています。 14 https://www.incapsula.com/web-application-security/csrf-cross-site-request-forgery.html https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf Webアプリに固有の対策をする必要があり、 万能のルールを作成できない
  15. 15. WAFの誤検知  False Positive(偽陽性)  正しい通信なのに、 WAFが不正アクセスと判断し、ブロックしてしまうこと  問題になるのはこちら。  エンドユーザーから「使えない!」と苦情がくる。  False Negative(偽陰性)  不正アクセスなのに、WAFが正しい通信とみなし、許可してしまうこと  あまり問題にならない。  そもそも、気づかない。  WAFの精度には100%では無いという前提がある。  厳しくしすぎると、False Positive発生率が上がるというジレンマ 15
  16. 16. チューニング ≒ 誤検知対応 16 ①一番簡単な対応 Whitelistに許可したいアクセス元IPアドレスを登録 ②少し丁寧な対応 WhitelistにURL、IP、Countryなど複数条件で登録 add whitelist
  17. 17. 4.AWS WAF
  18. 18. AWS WAFの動作する場所 18
  19. 19. AWS WAFの作成手順 19 ・ ・ ・ ④リソースに適用①Conditionを作成 ②Ruleを作成 ③WebACLを作成 Condition1 URIの長さは 512 以上 Query stringは 1024以 上 cookieヘッダは4093以 上 ConditionX Rule1 Condition1の何かに Match Condition2の全てに Match An d RuleX ・ ・ ・ WebACL1 Rule1にMatch => Block Rule2にMatch => Block Rule3にMatch => Count Rule4にMatch => Allow 何にもMatchしない => Allow ・ ・ ・  WebACL (ウェブアクセスコントロールリスト)を作成する
  20. 20. Conditionの設定 20 0から作成は難しい。 たくさん設定できるけど、どれくらい 書くのが適切か判断ができない。。。
  21. 21. OWASP Top 10 CloudFormationテンプレート 21 https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application- vulnerabilities/  AWSが提供しているCloudFormationテンプレート  OWASP Top 10(2013年版)を考慮したWebACLが作成  ただし、チューニングも必要
  22. 22. OWASP Top 10テンプレートで作成されるルール 項目 Type Actionの例 説明 restrict-sizes Regula r Block Requests Cookie、Body、Query string、URIの文字数を制限 detect-blacklisted-ips Regul ar Block Requests アクセス元IPアドレスのブラックリストで制限 detect-bad-auth- tokens Regul ar Block Requests Cookieヘッダに不正な文字列があるか mitigate-sqli Regul ar Block Requests SQLインジェクション攻撃があるか mitigate-xss Regul ar Block Requests クロスサイトスクリプティング攻撃があるか detect-rfi-lfi-traversal Regul ar Block Requests リモートファイルインクルージョン、ローカルファイルインクルー ジョン、"://""../" detect-php-insecure Regul ar Block Requests Query stringにPHPで使われる特定の悪意のある文字列が入っているか 22  デフォルトのままだと、誤検知が発生したり、または意味が無いパラメータがある。
  23. 23. detect-admin-access ルールの例 23 • デフォルトでは、127.0.0.1 以外からの、/admin に対するアクセスはBlockされる。 • 管理画面のパスは /admin で正しいのか? • 管理画面へのアクセスはどのIPアドレスで行われるのか?
  24. 24. セキュリティオートメーション CloudFormationテンプレート 24 https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/  AWSが提供しているCloudFormationテンプレート  WebACLと共にLambda・AP Gateway等が作成される  動的にログ解析し、ブロックリストに追加してくれる  チューニングが必要になることは、比較的少ない
  25. 25. セキュリティオートメーション CloudFormationテンプレートで作成されるルール 項目 Type Actionの例 説明 Whitelist Rule Regular Allow requests ホワイトリストに許可する IP アドレスを手動で追加 Blacklist Rule Regular Block Requests ブラックリストにブロックする IP アドレスを手動で追加 Http Flood Rule Rate- based Block Requests 一つのIPアドレスからの5分間のウェブアクセスを指定した数に制限 Scans Probes Rule Regular Block Requests AWS Lambda のカスタム関数により、アクセスログを自動的に解析して、疑わしい 動作を特定し、該当する送信元 IP アドレスを AWS WAF ブロックリストに追加 WAF IP Reputation Lists Rule #1 WAF IP Reputation Lists Rule #2 Regular Block Requests カスタムの AWS Lambda 関数により、サードパーティの IP 評価リストが 1 時間ごと に自動的にチェックされ、悪意のある IP アドレスが ブロックリストに追加(1000 / List) Bad Bot Rule Regular Block Requests コンテンツスクレーパーや悪意のあるボットをおびき寄せるハニースポットを作成。 個別の API Gateway エンドポイント (ウェブアプリケーションに埋め込まれている) がカスタムの AWS Lambda 関数をトリガーすると、疑わしいリクエストをインター セプトして検査し、その送信元 IP アドレスをブロックリストに追加 SQL Injection Rule Regular Block Requests URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションから保護 XSS Rule Regular Block Requests URI、クエリ文字列、リクエストボディ内の一般的な クロスサイトスクリプト (XSS) パターンから保護 25
  26. 26. チューニング例① 26  特定IPアドレスからのアクセスはブロックされないようにしたい。  Whitelist SetにIPアドレスを追加
  27. 27. チューニング例② 27  特定パスへのアクセスがXSSと誤検知されてしまった  特定パスはXSS検査から外すConditionを追加 CloudFormationで作成された部分 追加した部分
  28. 28. AWS WAFのログ出力  Kinesis Data Firehose経由で、S3、ElasticSearch、RedshiftにJSON形式でロ グ出力可能  ログフォーマット 28 {"timestamp":15448049xxxxxx,"formatVersion":1,"webaclId":"xxxxxxxx-XXXX-XXXX-XXXX- XXXXXXXXXXXX","terminatingRuleId":"Default_Action","terminatingRuleType":"REGULAR","action":"ALLOW","httpSourceName":"CF","httpSourceId":"X XXXXXXXXXXXXX","ruleGroupList":[],"rateBasedRuleList":[{"rateBasedRuleId":"XXXXXXXX-XXXX-XXXX-XXXX- XXXXXXXXXX","limitKey":"IP","maxRateAllowed":2000}],"nonTerminatingMatchingRules":[],"httpRequest":{"clientIp":"xx.xx.xx.xx","country":"US","header s":[{"name":"Host","value":"xxx.example.com"},{"name":"Accept","value":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8" },{"name":"User-Agent","value":"Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.76 Safari/537.36"},{"name":"Accept-Encoding","value":"gzip, deflate"},{"name":"Accept-Language","value":"en- US"}],"uri":"/","args":"","httpVersion":"HTTP/1.1","httpMethod":"GET","requestId":"V--xxxxxxx_xxxxxxx-xxxxxxxxxx_xxxxxxxxxxx=="}} 詳細な仕様:https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/logging.html
  29. 29. AWS WAFのログでわからないこと ① HTTPのBodyの中身は確認できない。 ≒ POSTでクライアントから送信されたデータが何か確認できない。 ② どのルールでBlockされたか、まではわかる。 但し、ConditionのどのFilterで一致したかはわからない。 29 どのフィルタかは、 わからない

×