WAFエッジポリシーの設定手順と動作確認 Ver.2.2 2022年12月14日 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ＆マネジメントソリューション部 

• WAFとは • 設定手順 • 実際にアプリを攻撃してみる • Appendix Agenda Copyright © 2021, Oracle and/or its affiliates 2 

WAFとは 3 Copyright © 2022, Oracle and/or its affiliates 

巧妙化するサイバー攻撃からWebアプリケーションを保護 OCI Web Application Firewallの概要 Copyright © 2022, Oracle and/or its affiliates. 4 サービス概要/特徴 • OCI WAFは、世界中にあるデータセンターのリソースを同時 に利用できるエッジポイントのWAFとリージョン内のロード バランサにアタッチするWAFの2つのタイプを用意 • クロスサイト・スクリプティング、SQLインジェクションなどの 不正アクセスの脅威からWebアプリケーションを保護 • 600を超える保護ルールのチェックボックスをつけるだけで 有効化 • 最新の脅威情報データベースを反映し保護ルールを自動 更新 • L7 DDoS攻撃への保護 （※L2/3 DDoSは、OCIの標準機 能） ユース・ケース • グローバルWAFを一定期間学習させ、検出される推奨アク ションを利用し、検知またはブロックの必要な保護ポリシーを 選別して適用 • WAFと連携している脅威インテリジェンスからの通知を基に フィッシングサイトやダークネットのノードからのアクセスを無条 件でブロック • 検出したアクセスログをOCI Logging Analyticsで分析し、 アクセス元やサイバー攻撃の傾向を把握し、効果的な セキュリティ対策を実施 Bad Bots Hackers Good Visitors Good Bots Spammers WAF サービス価格 • Instance： ¥0/ 1インスタンス • Instance： ¥700/ 2インスタンス以降 • Requests： ¥0 / 1000万リクエスト迄 • Requests： ¥84 / 1000万リクエスト超で100万リクエスト毎 

エッジポリシー エッジポイントのWAFについて Copyright © 2022, Oracle and/or its affiliates. 5 PHOENIX CHICAGO TORONTO ASHBURN SAO PAULO LONDON FRANKURT ZURICH MUMBAI SYDNEY SEOUL TOKYO OSAKA ✓ 18以上のリージョン ✓ 自動化されたグローバルエッジ保護 ✓ 24時間365日の監視 ✓ インターネットおよびクラウドインテリジェンス Commercial Government Planned Commercial Planned Government Edge Points of Presence 

エッジポリシー エッジポイントのWAFについて Copyright © 2022, Oracle and/or its affiliates. 6 DNS WAF （xxx.waas.oci.oraclecloud.net） Webサーバ （オリジンサーバ） 顧客 DC / Cloud Edge PoP ✔ ✖ 1. Web サ ー バ に ア ク セ ス す る た め 、 DNS サ ー バ に 「www.example.com」の名前解決を問い合わせ。 2. 「www.example.com」の別名として定義したWAFのエンドポイント 「xxx.waas.oci.oraclecloud.net（例）」を応答。 3. 「xxx.waas.oci.oraclecloud.net（例）」にアクセス。 OCI WAFでトラフィック分析し、不正なトフィックを防御。 4. 正常なトラフィックのみ オリジンサーバへ転送 Welcomed Users / Good Bots Bad Actors / Bad Bots 

OCI WAFの責任共有モデル Copyright © 2022, Oracle and/or its affiliates 7 Oracle •新しい脆弱性に基づく新保護 ルールの作成 •WAFインフラストラクチャのパッチ と更新 •分散型サービス(DDoS)攻撃の モニタリング •WAFの高可用性(HA)の提供 お客様 •WAF関連の設定・構築(DNS, イングレスルール, ネットワーク) •保護対象のWebアプリケーション へのWAFポリシーの設定 •保護ルール推奨事項の確認と受 け入れ(オフ/検知/ブロック) •WAFアクセス制御とBot管理 ルールの設定 異常/望 まれない 挙動のロ グのモニタ リング 

設定手順 8 Copyright © 2022, Oracle and/or its affiliates 

設定手順例について 今回はWAFの動作を確認するための設定手順の一例を紹介します。 実際のDNS設定等についてはネットワークやセキュリティ要件、ホスティングの関係から様々なパターンが考えられますが、 本資料では便宜的に、以下の構成で動作を確認します。 • Webサーバー(Apache)を自分で立ち上げ • DNSはフリーサービス(freenom)で独自ドメインを取得 • WAFはOCI のエッジサービスで提供されているWAFを使用 なおWebサーバーの立ち上げ手順は本資料では省略いたします。 また、実際のお客様での設定の場合はお客様のドメインを使用しますので、自ドメインの取得は省略されます。 本資料はOCI WAFの動作確認、OCI WAFの学習にお役立てください。 9 Copyright © 2022, Oracle and/or its affiliates 

設定手順概要 Copyright © 2022, Oracle and/or its affiliates 10 1.DNSの設定 ※Webサーバを事前にイ ンストール・起動 2.ネットワークの設 定 3.WAFの設定 a.ドメインの取得 b.IPアドレスをAレコー ドとして登録 ※ドメインの動作確認用 a.WAFサーバのCIDR をホワイトリストとして 登録する a.WAFポリシーの作成 b.SSL証明書の設定 （オプション）※ c.CNAMEの登録 ※WebアプリケーションがHTTPSで構成される場合、SSL証明書をWAFに登録することでHTTPS通信を処理することが可能です。 d.保護ルールの作成 

1. DNSの設定 a. ドメインの取得 Copyright © 2022, Oracle and/or its affiliates 11 無料ドメインサービスにアクセスし、使用したいドメインを取得します。 例）freenomでは、.tk, .ml, .ga, .cf, .ggのドメインを無料で取得できます。 https://www.freenom.com/ja/index.html?lang=ja 

1. DNSの設定 a. ドメインの取得 Copyright © 2022, Oracle and/or its affiliates 12 取得したいドメインが利用可能なことを確認し、チェックアウトをクリックします。 

1. DNSの設定 a. ドメインの取得 Copyright © 2022, Oracle and/or its affiliates 13 Continueをクリックします。 

1. DNSの設定 a. ドメインの取得 Copyright © 2022, Oracle and/or its affiliates 14 メールアドレスを入力し、チェックアウトをクリックします。 ※以下登録手順は省略 

1. DNSの設定 b. IPアドレスをAレコードとして登録※ドメインの動作確認用 Copyright © 2022, Oracle and/or its affiliates 15 Freenomにアクセスし、Services → My Domainsをクリックします。 

1. DNSの設定 b. IPアドレスをAレコードとして登録（ドメインの動作確認用） Copyright © 2022, Oracle and/or its affiliates 16 取得したドメインのManage Domainをクリックします。 

1. DNSの設定 b. IPアドレスをAレコードとして登録（ドメインの動作確認用） Copyright © 2022, Oracle and/or its affiliates 17 Manage Freenom DNSをクリックします。 

1. DNSの設定 b. IPアドレスをAレコードとして登録（ドメインの動作確認用） Copyright © 2022, Oracle and/or its affiliates 18 Name, Targetを入力し、「Save Changes」ボタンをクリックします。 • Name：my • Type：A • Target：WebサーバのIPアドレス ※変更内容の反映まで5分程かかります。 

1. DNSの設定 b. IPアドレスをAレコードとして登録（ドメインの動作確認用） Copyright © 2022, Oracle and/or its affiliates 19 Aレコードを登録したドメインで、アプリケーションにアクセスできることを確認します。 アクセスするURI：.<取得したドメイン> 

2.ネットワークの設定 a. WAFサーバのCIDRをホワイトリストとして登録する Copyright © 2022, Oracle and/or its affiliates 20 WAFサーバからのリクエストをWebサーバが受け付けられるように、WAFサーバのCIDRをホワイトリストとして登録します。 例）OCIのVCNの場合、WebサーバのコンピュートインスタンスがあるSubnetのセキュリティリストにて、以下CIDRを登録します。 CIDR一覧は以下ドキュメントに記載があります。 https://docs.oracle.com/ja-jp/iaas/Content/WAF/Concepts/gettingstarted.htm#secure •129.146.12.128/25 •129.146.13.128/25 •129.146.14.128/25 •129.148.156.0/22 •129.213.0.128/25 •129.213.2.128/25 •129.213.4.128/25 •130.35.0.0/20 •130.35.112.0/22 •130.35.116.0/25 •130.35.120.0/21 •130.35.128.0/20 •130.35.144.0/20 •130.35.16.0/20 •130.35.176.0/20 •130.35.192.0/19 •130.35.224.0/22 •130.35.232.0/21 •130.35.240.0/20 •130.35.48.0/20 •130.35.64.0/19 •130.35.96.0/20 •130.35.228.0/22 •132.145.0.128/25 •132.145.2.128/25 •132.145.4.128/25 •134.70.16.0/22 •134.70.24.0/21 •134.70.32.0/22 •134.70.56.0/21 •134.70.64.0/22 •134.70.72.0/22 •134.70.76.0/22 •134.70.8.0/21 •134.70.80.0/22 …..計108個（2022年5月時点） 

3.WAFの設定 a. WAFポリシーの作成 Copyright © 2022, Oracle and/or its affiliates 21 1. OCIコンソール → アイデンティティとセキュリティ → Web アプリケーション・ファイアウォール→ ポリシー→ ポリシーの作成を クリックします。 2. 「非OCI Webアプリケーションを保護する必要がある場合は、ここでレガシー・ワークフローを使用します。」の青文字の “ここ”をクリックします。 

3.WAFの設定 a. WAFポリシーの作成 Copyright © 2022, Oracle and/or its affiliates 22 エッジ・ポリシーの作成画面にて、以下情報を入力し、「エッジ・ポリシーの作成」ボタンをクリックします。 • 名前：任意 • プライマリ・ドメイン：WAFで保護したいドメイン • オリジン名：任意 • URI：WebサーバのIPアドレス 

3.WAFの設定 a. WAFポリシーの作成 Copyright © 2022, Oracle and/or its affiliates 23 OCIコンソール → アイデンティティとセキュリティ → Web アプリケーション・ファイアウォール→ ポリシー→作成したポリシーを クリックします。 ポリシーがアクティブになると、CNAMEが自動生成されます。次の手順でCNAMEをDNSに登録するため、CNAME をメモします。 

b. SSL証明書の設定（オプション） WebアプリケーションがHTTPSで構成される場合、以下の 手順でWAFのHTTPS通信の処理を有効化することができ ます。 1. WAFポリシーの詳細画面→「設定」→「編集」ボタンをク リック 2. 設定の編集画面から「HTTPSサポートの有効化」に✓ を入れる 3. 「設定の編集」画面にてSSL証明書と、秘密キーを登録 する ※WAFエッジポリシーでサポートされている暗号スイートは以下サイ トの「証明書」→「サポートされるSSL暗号スイート」をご参照ください。 https://docs.oracle.com/ja- jp/iaas/Content/WAF/Concepts/faq_topic.htm 3.WAFの設定 Copyright © 2022, Oracle and/or its affiliates 24 

3.WAFの設定 c. CNAMEの登録 Copyright © 2022, Oracle and/or its affiliates 25 Freenomのホームページに戻り、取得したドメインの“Manage Domain”をクリックします 

3.WAFの設定 c. CNAMEの登録 Copyright © 2022, Oracle and/or its affiliates 26 DNSにCNAMEレコード名と値を追加し、変更を保存します。 • Name：WAFポリシー作成時に入力したドメイン • Type：CNAMEを選択 • Target：WAFポリシー作成時に生成されたCNAMEレコード 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 27 作成したWAFポリシーの詳細画面から、「保護ルール」のタブを選択します。 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 28 Shellshock exploit attempt を保護ルールから選択し、ブロックをクリックします。 ※画面左側の「フィルタ」から、ルールIDによる保護ルールの検索が可能です。保護ルールID：1000000から検索して ください。 ※Shellshock exploit attemptはシェルからの攻撃を指します。 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 29 続いて、保護ルールの“設定”のタブを開きます。 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 30 「ルール設定の編集」をクリックします。 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 31 「ルール設定の編集」画面にて、ブロック・アクションを「エラー・ページを表示」に変更し、画面下部の「変更の保存」ボタ ンをクリックします。 

3.WAFの設定 d. 保護ルールの作成 Copyright © 2022, Oracle and/or its affiliates 32 画面最上部に表示されるバナーの「すべて公開」をクリックし、WAFポリシーの変更内容を公開します。 ※20~30分ほどで、変更内容が公開されます。 

実際にアプリを攻撃してみる 33 Copyright © 2022, Oracle and/or its affiliates 

Curlコマンドでアプリにアクセスできることを確認 Copyright © 2022, Oracle and/or its affiliates 34 PCでターミナルを開き、以下コマンドを入力します。 $ curl <アプリケーションのURI> 

攻撃コマンドを実施 Copyright © 2022, Oracle and/or its affiliates 35 保護ルールで設定した エラー・メッセージが表 示されます 続いて、攻撃コマンドを実行します。 $ curl –A “() { :;};echo Content-type text/plain;echo:/bin/cat/etc/passwd” <アプリケーションのURI> 

ログを確認 Copyright © 2022, Oracle and/or its affiliates 36 WAFポリシーの詳細画面の「ログ」のタブから、攻撃がブロックされていることをログで確認することができます。 

Appendix 37 Copyright © 2022, Oracle and/or its affiliates 

保護ルールの推奨項目 Appendix Copyright © 2022, Oracle and/or its affiliates 38 WAFが一定期間稼働すると、過去のトラフィックの履歴に基づき保護ルールの推奨項目を提供します。 

No content