Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI WAFの設定と動作確認

Avatar for oracle4engineer oracle4engineer PRO
February 12, 2021
Technology
1.9k
1

OCI WAFの設定と動作確認

Avatar for oracle4engineer

oracle4engineer PRO

February 12, 2021

More Decks by oracle4engineer

See All by oracle4engineer
Oracle AI Databaseデータベース・サービスのメンテナンス(BaseDB/ExaDB-D/ExaDB-XS)
Avatar for oracle4engineer oracle4engineer
PRO
4
1.4k
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.9k
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.9k
CrossplaneによるCloud Native Control Plane
Avatar for oracle4engineer oracle4engineer
PRO
0
93
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
Avatar for oracle4engineer oracle4engineer
PRO
0
360
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
260
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.8k
Oracle Database Gold Image
Avatar for oracle4engineer oracle4engineer
PRO
1
170

Other Decks in Technology

See All in Technology
LLMと共に進化するプロセスを目指して
Avatar for y_matsuwitter ymatsuwitter
12
4k
EventBridge Connection
Avatar for kensh _kensh
5
690
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
Avatar for Recruit recruitengineers
PRO
1
140
NAB Show 2026 動画技術関連レポート / NAB Show 2026 Report
Avatar for CyberAgent cyberagentdevelopers
PRO
0
170
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
5
3.6k
Building applications in the Gemini API family.
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
3k
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
Avatar for CData Software Japan cdataj
1
950
Chainlitで作るお手軽チャットUI
Avatar for tomo ynt0485
0
200
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
Avatar for じゃらしまる syuchimu
0
210
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
Avatar for chanyou0311 chanyou0311
4
2.2k
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
Avatar for shibayu36 shibayu36
0
610
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
220

Featured

See All Featured
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.7k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
420
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.6k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.9k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
410
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
1
250
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
390
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k

Transcript

  1. OCI WAFの設定と動作確認 DNSとWAFの設定 日本オラクル株式会社 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ&マネジメントソリューション部 2021年2月12日

  2. Agenda 1 WAFとは 2 設定手順 3 実際にアプリを攻撃してみる Copyright © 2020,

    Oracle and/or its affiliates 2

  3. WAFとは Copyright © 2020, Oracle and/or its affiliates 3

  4. インターネット通信の仕組み Copyright © 2020, Oracle and/or its affiliates 4 ドメイン名・IPアドレスなどの情報を関

    連付けて保持 DNS サーバー www A xxx.xx.xxx.x7 mail A xxx.xx.xxx.13 shopping A xxx.xx.xxx.17 aaa A xxx.xx.xxx.23 bbb A xxx.xx.xxx.31 … … … クライアント http://www.wafdemo.tk🔍 ドメイン名:wafdemo.tk IPアドレス:xxx.xx.xxx.x7 Aレコード:www.wafdemo.com ③取得したIPアドレスのWebサーバーへ接続 xxx.xx.xxx.x7 Webサーバー ④HTTPレスポンス

  5. Web Application Firewall (WAF)を利用したインターネット通信 Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策 5 Copyright © 2020, Oracle

    and/or its affiliates DNS サーバー クライアント http://www.wafdemo.tk🔍 ➄取得したIPアドレスのWeb サーバー(WAF)へ接続 ⑦Webサーバー(WAF)へ通信を転送 xxx.xx.xxx.x7 Webサーバー ⑧HTTPレスポンス ⑧HTTPレスポンス WAF ドメイン名:wafdemo.tk CNAMEレコード:www.wafdemo.tk → Oracle WAF生成のFQDNに変換し て再問い合わせ ⑥セキュリティチェック ②CNAMEレコードでWAFアド レスに別名参照されている www CNAME xxxxxxxxx.yyy.zzz.waas.oci.oraclecloud.net mail A 150.136.124.13 shopping A 150.136.124.17 aaa A 150.136.124.23 bbb A 150.136.124.31 192.xx.xx.155 www.wafdemo.tkは xxx.xx.xxx.x7 へ転送と設定済み waas.oci.oraclecloud.netを管理するDNSサーバー(Oracleが自動管理) xxxxxxxxx.yyy.zzz. A 192.xx.xx.155 ③参照された別名を他 のDNSに問い合わせ

  6. インターネット通信の比較 ✓ WAFなし ① DNSサーバーに対してドメイン(Aレコード)のIPア ドレスを問い合わせ ② DNSサーバーがWebサーバーのIPアドレスを回 答 ③

    取得したIPアドレスに通信 ✓ WAFあり ① DNSサーバーに対してドメイン(CNAMEレコー ド)のIPアドレスを問い合わせ ② DNSサーバーはWebサーバーのIPアドレスでは なく、WAFのIPアドレスを回答 ③ 取得したWAFのIPアドレスに通信 ④ WAFによるセキュリティチェック ⑤ WAFが通信をWebサーバーへ転送 6 Copyright © 2020, Oracle and/or its affiliates DNS サーバー クライア ント Web サーバー WAF DNS サーバー クライ アント Web サー バー

  7. OCI WAFの責任共有モデル Oracle •新しい脆弱性に基づく新保護 ルールの作成 •WAFインフラストラクチャのパッチ と更新 •分散型サービス(DDoS)攻撃の モニタリング •WAFの高可用性(HA)の提供

    お客様 •WAF関連の設定・構築(DNS, イングレスルール, ネットワーク) •保護対象のWebアプリケーション へのWAFポリシーの設定 •保護ルール推奨事項の確認と受 け入れ(オフ/検知/ブロック) •WAFアクセス制御とBot管理 ルールの設定 7 Copyright © 2020, Oracle and/or its affiliates 異常/望 まれない 挙動のロ グのモニタ リング

  8. 設定手順 Copyright © 2020, Oracle and/or its affiliates 8

  9. 設定手順例について 今回はWAFの動作を確認するための設定手順の一例を紹介します。 実際のDNS設定等についてはネットワークやセキュリティ要件、ホスティングの関係から様々なパターンが考えられますが、 本資料では便宜的に • Webサーバー(Apache)を自分で立ち上げ • DNSはフリーサービス(freenom)で独自ドメインを取得 • WAFはOCI

    のエッジサービスで提供されているWAFを使用 の構成でWAFの動作を確認します。 なおWebサーバーの立ち上げ手順は本資料では省略いたします。 また、実稼働済みの環境でWAFを設定する際は、多くの場合で自ドメインの取得は省略されます。 本資料はOCI WAFの動作確認、OCI WAFの学習にお役立てください。 9 Copyright © 2020, Oracle and/or its affiliates

  10. • ドメイン取得 • IPアドレスをAレコードとして登録(※ドメインの動作確認用) • CNAMEレコードをWAFのドメイン名として登録 (※CNAMEレコードを外部公開) DNS設定 ※Webサーバーを事前にインストール・起動 •

    WAFポリシー作成 • 保護ルール作成 WAF設定 操作項目一覧 Copyright © 2020, Oracle and/or its affiliates 10

  11. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 11

  12. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 12 無料ドメインサービス、freenomで 独自ドメインを取得

  13. 【事前確認事項】WebサーバーのIPアドレスを確認 WAFが保護するWebサービスの実IPアドレスが後の手順で必要になります 13 Copyright © 2020, Oracle and/or its affiliates

  14. 1. ドメイン取得 WAFの動作上、CNAMEレコードの設定が可能なDNSサービスが必要です 14 Copyright © 2020, Oracle and/or its

    affiliates 無料ドメインサービスにアクセスし、使用したいドメインを入力 https://www.freenom.com/ja/index.html?lang=ja ※freenomでは.tk, .ml, .ga, .cf, .gqのドメインが取得可能

  15. 1. ドメイン取得 取得したいドメインが利用可能なことを確認し、チェックアウトをクリック Copyright © 2020, Oracle and/or its affiliates

    15

  16. 1. ドメイン取得 Copyright © 2020, Oracle and/or its affiliates 16

    Continueをクリック

  17. 1. ドメイン取得 メールアドレスを入力し、チェックアウト ※以下登録手順は省略 Copyright © 2020, Oracle and/or its

    affiliates 17

  18. 手順1の確認 以上の手順で、無料ドメインサービスを使用し独自ドメインが取得できました。 次の手順では、AレコードをDNSに登録します。 AレコードはIPアドレスのことを指します。ドメインサービス(DNS)にAレコードを登録することで、ブラウザにIPアドレスを直接 入力する代わりに、ドメインを入力してWebサーバーにアクセスできるようになります。 各ドメインサービスでレコードの登録手順は異なりますが、本資料ではfreenomを使用したAレコードの登録方法を紹介 します。 18 Copyright ©

    2020, Oracle and/or its affiliates

  19. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 19 FreenomにWebサーバーのIPアドレスをA レコードとして登録し、DNSの動作を確認

  20. 2. Aレコード登録 WAFの動作には必要ないステップですが、DNSの正常動作を確認します ※既に稼働済みの環境ではAレコードが設定されている状態からの設定になりますので流れをご確認ください。 20 Copyright © 2020, Oracle and/or

    its affiliates Freenomにアクセスし、Services → My Domainsをクリック

  21. 2. Aレコード登録 取得したドメインの Manage Domainをクリック Copyright © 2020, Oracle and/or

    its affiliates 21

  22. 2. Aレコード登録 Manage Freenom DNSをクリック Copyright © 2020, Oracle and/or

    its affiliates 22

  23. 2. Aレコード登録 AレコードとIPアドレスを関連付けてDNSに登録 23 Copyright © 2020, Oracle and/or its

    affiliates Name、Targetを入力して保存 ※反映に5分程度

  24. 2. Aレコード登録 24 Copyright © 2020, Oracle and/or its affiliates

    Aレコードを登録したドメインで、アプリにアクセスできることを確認 ※アクセスするURL: <Aレコードで登録したName>. <取得したドメイン> 例) my.jennywafdemo.tk

  25. 手順2の確認 以上の手順で、DNSとAレコードを関連付けて、一般的なDNSの動作を確認しました。 次の手順ではAレコードの代わりにWAFで保護されたCNAMEレコードをDNSに登録します。 CNAMEレコードが登録されていると、Webサーバーへのアクセスは一度WAFへ転送され、セキュリティチェックが行われて からWebサーバーに通信するようになります。 25 Copyright © 2020, Oracle

    and/or its affiliates

  26. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 26 OCI WAFサービスでWAFポリシーを作成。A レコードの代わりにWAFのドメインとして登録 するCNAMEが生成されます。

  27. 3. WAFポリシー作成 27 Copyright © 2020, Oracle and/or its affiliates

    🈪→セキュリティ→Webアプリケーション・ファイアウォールへ移動

  28. 3. WAFポリシー作成 ポリシー名、ドメイン、オリジン名、URIを入力し、「WAFポリシーの作成」をクリック ①任意のポリシー名を入力 ②ドメイン名(CNAME)を入力 例) www.jennywafdemo.tk ③任意のオリジン名を入力 ④Webサーバーが起動しているインスタンスの IPアドレスを入力

    Copyright © 2020, Oracle and/or its affiliates 28 ②WAFではAレコードの代わりに CNAMEレコードを外部公開しま す。 ④CNAMEレコードとWebサー バーのIPアドレスが関連付けて登 録されます。

  29. 3. WAFポリシー作成 Copyright © 2020, Oracle and/or its affiliates 29

    ※すぐには反映されません。 5分程度でポリシーがアクティブになります。

  30. 3. WAFポリシー作成 ポリシーがアクティブなことを確認 Copyright © 2020, Oracle and/or its affiliates

    30 ポリシーがアクティブになると、 CNAMEが自動生成されます。次の 手順でCNAMEをDNSに登録する ため、CNAMEをメモしてください。

  31. 手順3の確認 以上の手順で、保護されていない状態でWAFが起動しています。 前段階として、DNSの設定を変更せずともローカルの/etc/hostsにて保護する対象のサーバーのフルドメイン名をWAF のIPアドレスに指定することで実際に接続できるかテストすることもできます。 次の手順ではDNSにCNAMEレコードを登録することで、WebサーバーへのアクセスがWAFのドメインに転送されるように 設定します。 31 Copyright © 2020,

    Oracle and/or its affiliates

  32. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 32 DNSにCNAMEレコードを登録。 既に稼働済みのサイトの場合はここでWWWのA レコードを削除し、CNAMEに変更することになりま す。設定を誤ると、Webサイトが表示されなくなる のでご注意ください。

  33. 4. CNAME登録 取得したドメインの Manage Domainをクリック Copyright © 2020, Oracle and/or

    its affiliates 33

  34. 4. CNAME登録 34 Copyright © 2020, Oracle and/or its affiliates

    DNSにCNAMEレコード名と値を追加し、変更を保存

  35. 手順4の確認 以上の手順で、DNS上で保護対象のサーバーのFQDNが、CNAMEで設定したWAFに関連付けられ、登録した CNAMEレコードでWebサーバーに接続できるようになりました。 現段階では保護ルールが無効なので、攻撃は防御されません。 次の手順ではOCIのコンソールから保護ルールを有効化し、攻撃をブロックできるように設定します。 35 Copyright © 2020, Oracle

    and/or its affiliates

  36. 設定手順 1. ドメイン取得 2. Aレコード登録 3. WAFポリシー作成 4. CNAME登録 5.

    保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 36 OCIコンソールから保護ルールを有効 化

  37. 5. 保護ルール設定 a. 保護ルールの有効化 37 Copyright © 2020, Oracle and/or

    its affiliates WAFポリシーの保護ルールをクリック

  38. 5. 保護ルール設定 a. 保護ルールの有効化 38 Copyright © 2020, Oracle and/or

    its affiliates Shellshock exploit attemptを保護ルールから選択し、ブロックをクリック ※Shellshock exploit attemptはシェル からの攻撃コマンドを指します

  39. 5. 保護ルール設定 b. 保護ルール設定の編集 39 Copyright © 2020, Oracle and/or

    its affiliates 保護ルールの設定をクリック

  40. 5. 保護ルール設定 b. 保護ルール設定の編集 40 Copyright © 2020, Oracle and/or

    its affiliates ルール設定の編集をクリック

  41. 5. 保護ルール設定 b. 保護ルール設定の編集 41 Copyright © 2020, Oracle and/or

    its affiliates ブロック・アクションを「エラー・ページを表示」に変更

  42. 5. 保護ルール設定 b. 保護ルール設定の編集 42 Copyright © 2020, Oracle and/or

    its affiliates 変更内容を確認して「変更の保存」をクリック ※アプリを攻撃すると、 Access to the website is blocked と表示される設定に変更

  43. 5. 保護ルール設定 c. 保護ルールの公開 43 Copyright © 2020, Oracle and/or

    its affiliates 「すべて公開」をクリックし、変更内容を公開

  44. 5. 保護ルール設定 Copyright © 2020, Oracle and/or its affiliates 44

    ※通常10~20分ほどで公開が完了 します。

  45. 手順5の動作確認 以上の手順で、Webサーバーはシェルからの攻撃コマンドをブロックし、攻撃に対して「Access to the website is blocked」と表示されるようにWAFが有効化されました。 次の手順では、実際にWebサーバーをシェルで攻撃し、攻撃がブロックされていることをログで確認します。 45 Copyright

    © 2020, Oracle and/or its affiliates

  46. 実際にアプリを攻撃してみる ※ 他者への攻撃や、自分のサイトでも不用意に大 量の攻撃を試行すると攻撃者と判定され不幸な結果 につながる可能性がありますのでご注意ください Copyright © 2020, Oracle and/or

    its affiliates 46

  47. 1. Curlコマンドでアプリにアクセスできることを確認 Copyright © 2020, Oracle and/or its affiliates 47

    正常にHTMLが表示される

  48. 2. 攻撃コマンドを実施 保護ルールで設定した エラー・メッセージが表示される Copyright © 2020, Oracle and/or its

    affiliates 48 (){ :;}がshellshockを指します。 絶対パスのcatコマンドで、Webサーバーが起動しているOSの /etc/passwdの中身の表示する攻撃コマンドになります。

  49. 3. ログを確認 攻撃がブロックされていることをログで確認 Copyright © 2020, Oracle and/or its affiliates

    49

  50. ※その他のブロックするべき項目は、保護ルール推奨項目を参照 Copyright © 2020, Oracle and/or its affiliates 50

  51. None