【目次】
1.はじめに
2.前提として
3.対応攻撃状況
4.カスタマイズルールの作成・適用
5.おわりに
1. はじめに
今回は WafCharm での対応可能な攻撃についてまとめます。
記載されている攻撃全てから保護することを保証するものではございません。
ルールの適用状況もACL毎に異なりますのでご注意ください。
また、セキュリティの関係で詳細については公開できません。
対応情報を利用して攻撃に利用されることを防ぐためとなります。
2. 前提として
AWS WAF v2ではWCUという制限があり、現在は5000WCUまで使用可能です。
ただし、1500WCUを超えて使用している場合にはリクエスト数などに応じて追加費用が発生する場合があります。
使用WCUについては、お客様側にて管理・判断いただいております。
そのため、ルールとしては作成可能なものの、WCUの使用状況により適用が難しくなる場合があります。
AWS WAF v2については、以下の記事もご参考ください。
第2回 : 【new AWS WAF】AWS マネジメントコンソール操作(マネージドルール編)
第3回 : 【new AWS WAF】AWS マネジメントコンソール操作(オリジナルルール編)
第4回 : 【new AWS WAF】AWS マネジメントコンソール操作(パターンセット・ルールグループ編)
3. 対応攻撃状況
一般的な脅威からの防御としての対応攻撃を少し具体的に説明します。
■対応攻撃例一覧
・SQLインジェクション
・OSコマンドインジェクション
・コードインジェクション
・ヘッダインジェクション
・パストラバーサル・ディレクトリトラバーサル
・クロスサイトスクリプティング
・XXE攻撃
・悪質なUserAgentに関する防御
・その他特定のミドルウェアやOSに関する脆弱性等
etc
■非対応攻撃例一覧
・CSRF
■ブラックリスト更新による対応攻撃状況
・ブラックリストの再マッチング処理に関する対応攻撃については
非公開となっています。
基本的な考え方として、対応できる攻撃についてはWAFへの通信段階で異常と
判断できる条件が必要となります。
すでに漏洩したパスワードを使用したアクセスや正常なアクセスと判別がつかない
アクセスは検知できません。
また、特定の脆弱性に対する攻撃は、それが上の対応攻撃例一覧に
分類される場合において、一部を除いてその分類項目として検知されます。
例:管理画面にアクセスできる、特定のミドルウェア依存の脆弱性を用いた
SQLインジェクションを受けた場合も、あくまでSQLインジェクションとして
検知する。
4.カスタマイズルールの作成・適用
WafCharm では、お客様個別でのルール作成及び適用をカスタマイズとして
承ることが可能です。
カスタマイズ例
・アップデートがすぐにできないため、特定の脆弱性に対する攻撃の検知を優先して
実施しておきたい。
該当の脆弱性を利用した攻撃が判別可能な場合、カスタマイズルールとして作成・適用します。
・特定のパスへのアクセスを遮断したい。(必要なアクセスはホワイトリストで回避)
対象パスにアクセスしたものを遮断するカスタマイズルールを作成・適用します。
・レートベースルールを使用したい。
以下のブログを参照ください。
https://www.wafcharm.com/jp/blog/how-to-use-the-rate-based-rule/
5.おわりに
WAFを導入したことによりWEBセキュリティが全て守られるわけではありません。
脆弱性に対するアップデートや安全なサイト設計、適切な権限設定、不要な通信経路を
閉じるなど総合的な対策を実施していきましょう。