Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
サーバーにWAFを導入してみた結果
2017/05/31 tDash
tDash自己紹介
PHP歴10年以上
JAVA歴10年以上
主にPHPやJavaでWebサービスの開発と
サーバー運用をしている
今はフリーランサー
https://twitter.com/tDash0
WAFとは
Web Application Firewall
Webサーバーの手前で攻撃パターンを認識して 遮断
WAFの選択肢
 mod_security
 http://www.modsecurity.org
 オープンソース/無料
 Apacheのモジュール
CloudFlare
 DDoS攻撃にも対応したクラウドのサービス
 WAFは...
WAF選択肢検討結果
mod_security
 設定が大変そう
CloudFlare
 中国資本が入っててコワイ
SiteGuard
 さくらのクラウドだとSiteGuard Liteを無料で使えた
 SiteGuardを導入
ハッカーの攻撃ログ再現してみた
ハッカーの攻撃ログを保存していたので
実際にSiteGuardLiteに行ってみた。
約1000パターン中970パターンを遮断
実際に導入してみて 自動適用状況
 最近話題のPHP系のセキュリティーホール
 WordPress 4.7.0/4.7.1 Unauthenticated Content Injection
 IPA掲載日に対応
 WordPressの...
S2-045
 PHPじゃないけれど 最近問題になった Java Struts2のセキュリティーホール
 2017年4月25日 ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害
 約3万2000件のクレジットカード情報 セキュ...
S2-045は適用状況
2017年3月2日開発者のサイトに S2-045 が掲示される
https://cwiki.apache.org/confluence/pages/viewpage.action?pageId=68717735
 対...
S2-045攻撃状況
NTTセキュリティ・ジャパン(株)
によれば 3月7日17時には検知
tDash の サイトは3月27日に初検知
結論
WAF は 入れた方がよい
ご清聴ありがとうございました。
Upcoming SlideShare
Loading in …5
×

サーバーにWafを導入してみた結果@t dash

Web Application Firewallを導入 検討と結果

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

サーバーにWafを導入してみた結果@t dash

  1. 1. サーバーにWAFを導入してみた結果 2017/05/31 tDash
  2. 2. tDash自己紹介 PHP歴10年以上 JAVA歴10年以上 主にPHPやJavaでWebサービスの開発と サーバー運用をしている 今はフリーランサー https://twitter.com/tDash0
  3. 3. WAFとは Web Application Firewall Webサーバーの手前で攻撃パターンを認識して 遮断
  4. 4. WAFの選択肢  mod_security  http://www.modsecurity.org  オープンソース/無料  Apacheのモジュール CloudFlare  DDoS攻撃にも対応したクラウドのサービス  WAFは月額$20プランで使える SiteGuard  日本の会社が提供している商用WAF  SiteGuard版は  SiteGuard Lite版だと1ライセンス252,000円+1年126,000円 AWSにもWAFがあるようだ  諸般の事情により 今回は AWSを検討していない  料金計算が複雑だが 月$30くらいで使えそう
  5. 5. WAF選択肢検討結果 mod_security  設定が大変そう CloudFlare  中国資本が入っててコワイ SiteGuard  さくらのクラウドだとSiteGuard Liteを無料で使えた  SiteGuardを導入
  6. 6. ハッカーの攻撃ログ再現してみた ハッカーの攻撃ログを保存していたので 実際にSiteGuardLiteに行ってみた。 約1000パターン中970パターンを遮断
  7. 7. 実際に導入してみて 自動適用状況  最近話題のPHP系のセキュリティーホール  WordPress 4.7.0/4.7.1 Unauthenticated Content Injection  IPA掲載日に対応  WordPressの脆弱性 サイトを改ざんできる  IPA 2017-02-06掲載  SiteGuradは 2017-02-06自動適用  Potential PHPMailer Remote Code Execution (CVE-2016-10033,CVE-2016- 10045) Attack  IPA掲載後 約2週間後に対応  ウェブサーバの権限で任意のコードを実行  IPA 2016-12-28掲載  SiteGuradは 2017-01-12自動適用
  8. 8. S2-045  PHPじゃないけれど 最近問題になった Java Struts2のセキュリティーホール  2017年4月25日 ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害  約3万2000件のクレジットカード情報 セキュリティーコードもサーバー保存してい て 取られる  2017年3月24日メガネ販売店「JINS(ジンズ)」を展開するジェイアイエヌ  個人情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別のセットが 74万9745人分、メールアドレスのみが43万8610人分  2017年3月 13日にはGMOペイメントゲートウェイ運営の都税支払いサイトおよび住宅金 融支援機構カード支払いサイト カード情報が流出  不正アクセスされた可能性のある情報  ユーザーのクレジットカード情報 総件数:676,290件
  9. 9. S2-045は適用状況 2017年3月2日開発者のサイトに S2-045 が掲示される https://cwiki.apache.org/confluence/pages/viewpage.action?pageId=68717735  対応方法 Upgrade to Struts 2.5.10.1 2017年3月7日 WAF SiteGuardLite S2-045モジュール自 動適用 2017年3月8日 IPA 勧告 掲載
  10. 10. S2-045攻撃状況 NTTセキュリティ・ジャパン(株) によれば 3月7日17時には検知 tDash の サイトは3月27日に初検知
  11. 11. 結論 WAF は 入れた方がよい ご清聴ありがとうございました。

×