OCI WAFの設定と動作確認

Transcript

1. OCI WAFの設定と動作確認 DNSとWAFの設定 日本オラクル株式会社 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ＆マネジメントソリューション部 2021年2月12日

2. Agenda 1 WAFとは 2 設定手順 3 実際にアプリを攻撃してみる Copyright © 2020,

   Oracle and/or its affiliates 2

3. WAFとは Copyright © 2020, Oracle and/or its affiliates 3

4. インターネット通信の仕組み Copyright © 2020, Oracle and/or its affiliates 4 ドメイン名・IPアドレスなどの情報を関

   連付けて保持 DNS サーバー www A xxx.xx.xxx.x7 mail A xxx.xx.xxx.13 shopping A xxx.xx.xxx.17 aaa A xxx.xx.xxx.23 bbb A xxx.xx.xxx.31 … … … クライアント http://www.wafdemo.tk🔍 ドメイン名：wafdemo.tk IPアドレス：xxx.xx.xxx.x7 Aレコード：www.wafdemo.com ③取得したIPアドレスのWebサーバーへ接続 xxx.xx.xxx.x7 Webサーバー ④HTTPレスポンス

5. Web Application Firewall (WAF)を利用したインターネット通信 Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策 5 Copyright © 2020, Oracle

   and/or its affiliates DNS サーバー クライアント http://www.wafdemo.tk🔍 ➄取得したIPアドレスのWeb サーバー(WAF)へ接続 ⑦Webサーバー(WAF)へ通信を転送 xxx.xx.xxx.x7 Webサーバー ⑧HTTPレスポンス ⑧HTTPレスポンス WAF ドメイン名：wafdemo.tk CNAMEレコード：www.wafdemo.tk → Oracle WAF生成のFQDNに変換し て再問い合わせ ⑥セキュリティチェック ②CNAMEレコードでWAFアド レスに別名参照されている www CNAME xxxxxxxxx.yyy.zzz.waas.oci.oraclecloud.net mail A 150.136.124.13 shopping A 150.136.124.17 aaa A 150.136.124.23 bbb A 150.136.124.31 192.xx.xx.155 www.wafdemo.tkは xxx.xx.xxx.x7 へ転送と設定済み waas.oci.oraclecloud.netを管理するDNSサーバー(Oracleが自動管理) xxxxxxxxx.yyy.zzz. A 192.xx.xx.155 ③参照された別名を他 のDNSに問い合わせ

6. インターネット通信の比較 ✓ WAFなし ① DNSサーバーに対してドメイン(Aレコード)のIPア ドレスを問い合わせ ② DNSサーバーがWebサーバーのIPアドレスを回 答 ③

   取得したIPアドレスに通信 ✓ WAFあり ① DNSサーバーに対してドメイン(CNAMEレコー ド)のIPアドレスを問い合わせ ② DNSサーバーはWebサーバーのIPアドレスでは なく、WAFのIPアドレスを回答 ③ 取得したWAFのIPアドレスに通信 ④ WAFによるセキュリティチェック ⑤ WAFが通信をWebサーバーへ転送 6 Copyright © 2020, Oracle and/or its affiliates DNS サーバー クライア ント Web サーバー WAF DNS サーバー クライ アント Web サー バー

7. OCI WAFの責任共有モデル Oracle •新しい脆弱性に基づく新保護 ルールの作成 •WAFインフラストラクチャのパッチ と更新 •分散型サービス(DDoS)攻撃の モニタリング •WAFの高可用性(HA)の提供

   お客様 •WAF関連の設定・構築(DNS, イングレスルール, ネットワーク) •保護対象のWebアプリケーション へのWAFポリシーの設定 •保護ルール推奨事項の確認と受 け入れ(オフ/検知/ブロック) •WAFアクセス制御とBot管理 ルールの設定 7 Copyright © 2020, Oracle and/or its affiliates 異常/望 まれない 挙動のロ グのモニタ リング

8. 設定手順 Copyright © 2020, Oracle and/or its affiliates 8

9. 設定手順例について 今回はWAFの動作を確認するための設定手順の一例を紹介します。 実際のDNS設定等についてはネットワークやセキュリティ要件、ホスティングの関係から様々なパターンが考えられますが、 本資料では便宜的に • Webサーバー(Apache)を自分で立ち上げ • DNSはフリーサービス(freenom)で独自ドメインを取得 • WAFはOCI

   のエッジサービスで提供されているWAFを使用 の構成でWAFの動作を確認します。 なおWebサーバーの立ち上げ手順は本資料では省略いたします。 また、実稼働済みの環境でWAFを設定する際は、多くの場合で自ドメインの取得は省略されます。 本資料はOCI WAFの動作確認、OCI WAFの学習にお役立てください。 9 Copyright © 2020, Oracle and/or its affiliates

10. • ドメイン取得 • IPアドレスをAレコードとして登録(※ドメインの動作確認用) • CNAMEレコードをWAFのドメイン名として登録 (※CNAMEレコードを外部公開) DNS設定 ※Webサーバーを事前にインストール・起動 •

    WAFポリシー作成 • 保護ルール作成 WAF設定 操作項目一覧 Copyright © 2020, Oracle and/or its affiliates 10

11. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 11

12. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 12 無料ドメインサービス、freenomで 独自ドメインを取得

13. 【事前確認事項】WebサーバーのIPアドレスを確認 WAFが保護するWebサービスの実IPアドレスが後の手順で必要になります 13 Copyright © 2020, Oracle and/or its affiliates

14. 1. ドメイン取得 WAFの動作上、CNAMEレコードの設定が可能なDNSサービスが必要です 14 Copyright © 2020, Oracle and/or its

    affiliates 無料ドメインサービスにアクセスし、使用したいドメインを入力 https://www.freenom.com/ja/index.html?lang=ja ※freenomでは.tk, .ml, .ga, .cf, .gqのドメインが取得可能

15. 1. ドメイン取得 取得したいドメインが利用可能なことを確認し、チェックアウトをクリック Copyright © 2020, Oracle and/or its affiliates

    15

16. 1. ドメイン取得 Copyright © 2020, Oracle and/or its affiliates 16

    Continueをクリック

17. 1. ドメイン取得 メールアドレスを入力し、チェックアウト ※以下登録手順は省略 Copyright © 2020, Oracle and/or its

    affiliates 17

18. 手順1の確認 以上の手順で、無料ドメインサービスを使用し独自ドメインが取得できました。 次の手順では、AレコードをDNSに登録します。 AレコードはIPアドレスのことを指します。ドメインサービス(DNS)にAレコードを登録することで、ブラウザにIPアドレスを直接 入力する代わりに、ドメインを入力してWebサーバーにアクセスできるようになります。 各ドメインサービスでレコードの登録手順は異なりますが、本資料ではfreenomを使用したAレコードの登録方法を紹介 します。 18 Copyright ©

    2020, Oracle and/or its affiliates

19. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 19 FreenomにWebサーバーのIPアドレスをA レコードとして登録し、DNSの動作を確認

20. 2. Aレコード登録 WAFの動作には必要ないステップですが、DNSの正常動作を確認します ※既に稼働済みの環境ではAレコードが設定されている状態からの設定になりますので流れをご確認ください。 20 Copyright © 2020, Oracle and/or

    its affiliates Freenomにアクセスし、Services → My Domainsをクリック

21. 2. Aレコード登録 取得したドメインの Manage Domainをクリック Copyright © 2020, Oracle and/or

    its affiliates 21

22. 2. Aレコード登録 Manage Freenom DNSをクリック Copyright © 2020, Oracle and/or

    its affiliates 22

23. 2. Aレコード登録 AレコードとIPアドレスを関連付けてDNSに登録 23 Copyright © 2020, Oracle and/or its

    affiliates Name、Targetを入力して保存 ※反映に5分程度

24. 2. Aレコード登録 24 Copyright © 2020, Oracle and/or its affiliates

    Aレコードを登録したドメインで、アプリにアクセスできることを確認 ※アクセスするURL： <Aレコードで登録したName>. <取得したドメイン> 例) my.jennywafdemo.tk

25. 手順2の確認 以上の手順で、DNSとAレコードを関連付けて、一般的なDNSの動作を確認しました。 次の手順ではAレコードの代わりにWAFで保護されたCNAMEレコードをDNSに登録します。 CNAMEレコードが登録されていると、Webサーバーへのアクセスは一度WAFへ転送され、セキュリティチェックが行われて からWebサーバーに通信するようになります。 25 Copyright © 2020, Oracle

    and/or its affiliates

26. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 26 OCI WAFサービスでWAFポリシーを作成。A レコードの代わりにWAFのドメインとして登録 するCNAMEが生成されます。

27. 3. WAFポリシー作成 27 Copyright © 2020, Oracle and/or its affiliates

    🈪→セキュリティ→Webアプリケーション・ファイアウォールへ移動

28. 3. WAFポリシー作成 ポリシー名、ドメイン、オリジン名、URIを入力し、「WAFポリシーの作成」をクリック ①任意のポリシー名を入力 ②ドメイン名(CNAME)を入力 例) www.jennywafdemo.tk ③任意のオリジン名を入力 ④Webサーバーが起動しているインスタンスの IPアドレスを入力

    Copyright © 2020, Oracle and/or its affiliates 28 ②WAFではAレコードの代わりに CNAMEレコードを外部公開しま す。 ④CNAMEレコードとWebサー バーのIPアドレスが関連付けて登 録されます。

29. 3. WAFポリシー作成 Copyright © 2020, Oracle and/or its affiliates 29

    ※すぐには反映されません。 5分程度でポリシーがアクティブになります。

30. 3. WAFポリシー作成 ポリシーがアクティブなことを確認 Copyright © 2020, Oracle and/or its affiliates

    30 ポリシーがアクティブになると、 CNAMEが自動生成されます。次の 手順でCNAMEをDNSに登録する ため、CNAMEをメモしてください。

31. 手順3の確認 以上の手順で、保護されていない状態でWAFが起動しています。 前段階として、DNSの設定を変更せずともローカルの/etc/hostsにて保護する対象のサーバーのフルドメイン名をWAF のIPアドレスに指定することで実際に接続できるかテストすることもできます。 次の手順ではDNSにCNAMEレコードを登録することで、WebサーバーへのアクセスがWAFのドメインに転送されるように 設定します。 31 Copyright © 2020,

    Oracle and/or its affiliates

32. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 32 DNSにCNAMEレコードを登録。 既に稼働済みのサイトの場合はここでWWWのA レコードを削除し、CNAMEに変更することになりま す。設定を誤ると、Webサイトが表示されなくなる のでご注意ください。

33. 4. CNAME登録 取得したドメインの Manage Domainをクリック Copyright © 2020, Oracle and/or

    its affiliates 33

34. 4. CNAME登録 34 Copyright © 2020, Oracle and/or its affiliates

    DNSにCNAMEレコード名と値を追加し、変更を保存

35. 手順4の確認 以上の手順で、DNS上で保護対象のサーバーのFQDNが、CNAMEで設定したWAFに関連付けられ、登録した CNAMEレコードでWebサーバーに接続できるようになりました。 現段階では保護ルールが無効なので、攻撃は防御されません。 次の手順ではOCIのコンソールから保護ルールを有効化し、攻撃をブロックできるように設定します。 35 Copyright © 2020, Oracle

    and/or its affiliates

36. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 36 OCIコンソールから保護ルールを有効 化

37. 5. 保護ルール設定 a. 保護ルールの有効化 37 Copyright © 2020, Oracle and/or

    its affiliates WAFポリシーの保護ルールをクリック

38. 5. 保護ルール設定 a. 保護ルールの有効化 38 Copyright © 2020, Oracle and/or

    its affiliates Shellshock exploit attemptを保護ルールから選択し、ブロックをクリック ※Shellshock exploit attemptはシェル からの攻撃コマンドを指します

39. 5. 保護ルール設定 b. 保護ルール設定の編集 39 Copyright © 2020, Oracle and/or

    its affiliates 保護ルールの設定をクリック

40. 5. 保護ルール設定 b. 保護ルール設定の編集 40 Copyright © 2020, Oracle and/or

    its affiliates ルール設定の編集をクリック

41. 5. 保護ルール設定 b. 保護ルール設定の編集 41 Copyright © 2020, Oracle and/or

    its affiliates ブロック・アクションを「エラー・ページを表示」に変更

42. 5. 保護ルール設定 b. 保護ルール設定の編集 42 Copyright © 2020, Oracle and/or

    its affiliates 変更内容を確認して「変更の保存」をクリック ※アプリを攻撃すると、 Access to the website is blocked と表示される設定に変更

43. 5. 保護ルール設定 c. 保護ルールの公開 43 Copyright © 2020, Oracle and/or

    its affiliates 「すべて公開」をクリックし、変更内容を公開

44. 5. 保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 44

    ※通常10~20分ほどで公開が完了 します。

45. 手順5の動作確認 以上の手順で、Webサーバーはシェルからの攻撃コマンドをブロックし、攻撃に対して「Access to the website is blocked」と表示されるようにWAFが有効化されました。 次の手順では、実際にWebサーバーをシェルで攻撃し、攻撃がブロックされていることをログで確認します。 45 Copyright

    © 2020, Oracle and/or its affiliates

46. 実際にアプリを攻撃してみる ※ 他者への攻撃や、自分のサイトでも不用意に大 量の攻撃を試行すると攻撃者と判定され不幸な結果 につながる可能性がありますのでご注意ください Copyright © 2020, Oracle and/or

    its affiliates 46

47. 1. Curlコマンドでアプリにアクセスできることを確認 Copyright © 2020, Oracle and/or its affiliates 47

    正常にHTMLが表示される

48. 2. 攻撃コマンドを実施 保護ルールで設定した エラー・メッセージが表示される Copyright © 2020, Oracle and/or its

    affiliates 48 (){ :;}がshellshockを指します。 絶対パスのcatコマンドで、Webサーバーが起動しているOSの /etc/passwdの中身の表示する攻撃コマンドになります。

49. 3. ログを確認 攻撃がブロックされていることをログで確認 Copyright © 2020, Oracle and/or its affiliates

    49

50. ※その他のブロックするべき項目は、保護ルール推奨項目を参照 Copyright © 2020, Oracle and/or its affiliates 50

51. None