WAFは、Webアプリケーションへの攻撃を監視し阻止します。

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

図のような構成と通信サービスのシステムにおいて,Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき,WAFの設置場所として最も適切な箇所はどこか。ここで,WAFには通信を暗号化したり復号したりする機能はないものとする。
https://www.sc-siken.com/kakomon/25_haru/img/04.gif
情報セキュリティスペシャリスト平成25年春期 午前Ⅱ 問4

パケットフィルタリング型ファイアウォールは、ネットワーク層の情報でアクセス制御を行うファイアウォールです。

ponsuke-tarou.hatenablog.com

アプリケーションゲートウェイファイアウォールは、アプリケーション層のチェックしてアクセス制御を行うファイアウォールです。

ponsuke-tarou.hatenablog.com

IDSとIPSは、ネットワークを監視して危険をお知らせしてくれます。

ponsuke-tarou.hatenablog.com

WAFは、Webアプリケーションへの攻撃を監視し阻止します。

  • 正式名称 : Web Application Firewall
  • 読み方 : わふ

通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォールです。
平成29年秋期問45 WAFの説明はどれか|応用情報技術者試験.com

https://cdn-ssl-devio-img.classmethod.jp/wp-content/uploads/2016/04/waf1.png
https://cdn-ssl-devio-img.classmethod.jp/wp-content/uploads/2016/04/waf2.png
新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO

Webサーバ及びアプリケーションに起因する脆(ぜい)弱性への攻撃を遮断します。

Webアプリケーションの防御に特化したファイアウォールで、パケットのヘッダ部に含まれるIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックし、攻撃の兆候の有無を検証します。
予想問題vol.5問29 WAFを利用する目的はどれか|情報セキュリティマネジメント試験.com

https://jpn.nec.com/infocage/siteshell/images/waf_fig_5.jpg
WAFとは: Webアプリケーションファイアウォール(WAF) InfoCage SiteShell | NEC

特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断します。

検出パターンには、「ウェブアプリケーション脆弱性を悪用する攻撃に含まれる可能性の高い文字列」や「ウェブアプリケーション仕様で定義されているパラメータの型、値」といったものを定義します。
f:id:ponsuke_tarou:20191017224606p:plain
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構

Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに当該アクセスを遮断します。

チェックされる内容には「URLパラメタ」や「クッキーの内容」などのHTTPヘッダ情報や、「POSTデータの内容」などのメッセージボディ部などがあります。
基本情報技術者平成28年秋期 午前問42

https://www.intec.co.jp/service/detail/uploadfile_bs/images/WAF.png
WAF(Webアプリケーションファイアウォール)|商品・サービス|インテック

クライアントとWebサーバの間においてクライアントからWebサーバに送信されたデータを検査して、SQLインジェクションなどの攻撃を遮断するためのものです。

パケットのヘッダ部に含まれるIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックし、攻撃の兆候の有無を検証します。これによりWebアプリケーションに対する攻撃を検知し、遮断することが可能です。
平成28年春期問43 Web Application Firewall|基本情報技術者試験.com

https://www.infraexpert.com/studygif/security32.gif
WAF( Web Application Firewall )とは

WAFを設置する場合、設置場所には「ネットワーク」と「ウェブサーバ」の 2 つがあります。

ネットワークに設置するWAFは、利用者とウェブサイト間の HTTP・HTTPS通信を通信経路上に介在することで検査します。

主な特徴は以下の通りです。

  • ウェブサーバの動作環境に依存しない
  • ウェブサイトを構成するウェブサーバの台数に依存しない
  • 既存のウェブサイトに導入する場合、ネットワーク構成を見直す必要がある
  • WAFHTTPS 通信に対応していれば、HTTPS 通信も検査できる
  • WAFを導入することで、ウェブサイトの可用性が低下する可能性がある

f:id:ponsuke_tarou:20191017225947p:plain
Web Application Firewall 読本:IPA 独立行政法人 情報処理推進機構

SSLアクセラレータは、Webサーバなどの負荷を軽減するために暗号化や復号の処理を高速に行う専用ハードウェアです。

https://t-tel.net/wp-content/uploads/sslacsela.png
SSLアクセラレーターとは?特徴やサーバ証明書との関連性まとめ

https://www.hitachi-solutions.co.jp/array/sp/apv/img/funcrion2_img01.gif
SSL性能・機能について|SSLアクセラレータ|日立ソリューションズのArrayAPVシリーズ

WAFHTTPS 通信に対応していなくてもSSLアクセラレータとWebサーバの間にWAFを設置すればパケットのデータを検査することができます。

https://nekotosec.com/wp-content/uploads/2018/07/24f67a41a10c2afa8e49ad2363919804.png
https://nekotosec.com/wp-content/uploads/2018/07/4e8b51d8b5ed5bb4a8072c8814e7522e-1024x305.png
SQLインジェクションをWAFで対策する際の失敗例② | 猫とセキュリティ

ウェブサーバに設置するWAFは、利用者とウェブサイト間の HTTP 通信をウェブサーバが送受信する際に検査します。

主な特徴は以下の通りです。

  • ウェブサーバの動作環境に依存する
  • ウェブサイトを構成するウェブサーバすべてに導入する必要がある
  • 既存のウェブサイトに導入する場合でも、ネットワーク構成を見直す必要はない
  • ウェブサーバで HTTPS 通信が処理される(復号と暗号化が行われる)ため、WAFHTTPS 通信に対応していなくとも、HTTPS 通信を検査できる
  • WAFを導入することで、ウェブサーバの性能が低下する可能性がある

f:id:ponsuke_tarou:20191017230426p:plain
Web Application Firewall 読本:IPA 独立行政法人 情報処理推進機構

f:id:ponsuke_tarou:20191015230600j:plain
秋萌え

次回の勉強内容

勉強中・・・