Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Nginx meetup 1_20181114_omo

94 views

Published on

NGINX MeetUp Tokyo #1
About NGINX WAF

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Nginx meetup 1_20181114_omo

  1. 1. © SIOS Technology, Inc. All rights Reserved. 1 NGINX WAFについて SIOSテクノロジー(株) 研究開発本部 執行役員 面 和毅
  2. 2. © SIOS Technology, Inc. All rights Reserved. 講師紹介 - Security 研究者/エンジニア/開発 (19年) - SELinux/MAC Evangelist (14年) - Linux エンジニア (19年) - システム管理者(4年) - Antivirus Professional エンジニア (3年) - SIEM Professional エンジニア (3年)
  3. 3. © SIOS Technology, Inc. All rights Reserved. 3 SIOSセキュリティブログ https://security.sios.com
  4. 4. © SIOS Technology, Inc. All rights Reserved. 4 NGINX WAFについて 1. WAFについて(簡単な説明) 2. NGINX WAFのインストール 3. コミュニティ版とPlus製品での違い
  5. 5. © SIOS Technology, Inc. All rights Reserved. 5 NGINX WAFについて 1. WAFについて
  6. 6. © SIOS Technology, Inc. All rights Reserved. WAFとは(簡単に) 6 App 外部ユーザ Allo w Block Web Applicationに脆弱性が 含まれていても、改修に困る・ アップデートできない等がある www.oss-u18.net 172.16.148.128
  7. 7. © SIOS Technology, Inc. All rights Reserved. WAFとは(簡単に) 7 App 外部ユーザ Allo w Block Web Aplication Firewall 通信の中身を見てWebアプリ ケーションへの攻撃パターンが 含まれていたら通信を遮断する www.oss-u18.net 172.16.148.128
  8. 8. © SIOS Technology, Inc. All rights Reserved. WAFとは(簡単に) 8 IPA Web Application Firewall (WAF) 読本 (URL: https://www.ipa.go.jp/security/vuln/waf.html)
  9. 9. © SIOS Technology, Inc. All rights Reserved. 9 NGINX WAFについて 2. NGINX WAFのインストール
  10. 10. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 10 インストール方法はNGINX Docsの中に纏まっている (https://docs.nginx.com)
  11. 11. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 11 こんな感じで構成する www.oss-u18.net 808080 443
  12. 12. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 12 www.oss-u18.net 8080 こちらは適当に準備する OS: Debian 9 Stretch SSL証明書はLetsEncryptを使用
  13. 13. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 13 www.oss-u18.net 8080 1. 最初にサブスクリプションの証明書と鍵を用意しておく
  14. 14. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 14 www.oss-u18.net 8080 2. NGINX Plusのインストール Docsに各ディストリビューション毎のインストール方法が書いてあるので 1.の鍵を使ってインストールする。
  15. 15. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 15 www.oss-u18.net 8080 3. NGINX WAFのインストール DocsにNGINX WAFのインストール方法が 書いてあるので手順に従ってインストールする 80 443
  16. 16. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール 16 www.oss-u18.net 8080 4. Rule Setの選択 Docsには2つのルールセットの選び方が載っている 80 443 Free: OWASP CRS 有償:Trustwave SpiderLabs
  17. 17. © SIOS Technology, Inc. All rights Reserved. NGINX WAFのインストール(参考) 17 www.oss-u18.net 8080 8443 (参考)Trustwave SpiderLabs ルールセット 80 443 1ライセンス: 1年間$495
  18. 18. © SIOS Technology, Inc. All rights Reserved. 18 NGINX WAFについて 3. OSS版とPlusとの違い
  19. 19. © SIOS Technology, Inc. All rights Reserved. 19 NGINX WAFについて 技術的な結論(WAF限定) 機能:変わらない(!!)
  20. 20. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 20 技術的な差異 ・Plus版はOWASPとTrustWaveを選べる ・OSS版でもOWASPとTrustWaveを選べる ・(TrustWaveの差異はPlus版の差異じゃない) OSS版でも技術的には同じ
  21. 21. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 21 提供方法の差異 ・Plus版はPre-compiled Module ・OSS版はsourceをダウンロード ・メンテナンス性を考えると地味に効いてくる所 ・でも自力でパッケージ作れる人なら変わりない
  22. 22. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 22 ドキュメントが「一箇所に集中」 ・ここが一番嬉しい所(普通は散逸) ・でもNGINX社のドキュメントは、NGINX社内の 一箇所に集まってるから嬉しい ・でも英語だけどね?(そこは頑張ろう) ・でもOSS版でも同じじゃね?(そこは。。(--;
  23. 23. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 23 Honeypot Projectなんかの載ってます
  24. 24. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 24 Honeypot Projectなんかの載ってます Demoで
  25. 25. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 25 多分、将来的には「何か独自のものが出るはず」 ・2-3年前から言われてるけど ・でも... あとは「GUI」に期待(これもいずれは)
  26. 26. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 26 OSSECを用いたログの可視化
  27. 27. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 27 Controllerでログが見れれば嬉しいかな
  28. 28. © SIOS Technology, Inc. All rights Reserved. NGINX WAFについて 28 Controllerでログが見れれば嬉しいかな
  29. 29. © SIOS Technology, Inc. All rights Reserved. 現状では 29 頑張ってElastic Search+Kibanaで見れます(OSS/Plus両方)
  30. 30. © SIOS Technology, Inc. All rights Reserved. 30 まとめ NGINX WAFについて
  31. 31. © SIOS Technology, Inc. All rights Reserved. まとめ 31 - WAFはあったほうが良い - NGINX WAFはインストールが簡単 - NGINX WAFはドキュメントが纏まってる - でもOSS版とPlus版には(WAFの)違いはない - 将来的には良いWAFが出るかも
  32. 32. © SIOS Technology, Inc. All rights Reserved. 32 Any Questions? エンジニアが幸せになるためのキャリアアップ

×