Comments
Description
Transcript
Web サイトへの攻撃を把握する!! WAF 試用版操作ガイド
Web サイトへの攻撃を把握する!! WAF 試用版操作ガイド 本資料は、BIGLOBE クラウドホスティングにインストールされた WAF 試用版の簡単な使い方を説明する資料です。 インターネットに公開している Web サイトは、知らぬ間に SQL インジェクション等の外部攻撃を受けている可能性があり ます。WAF 試用版は、そういった Web サイトへの攻撃状況を把握するチェックツールとして利用することができます。 簡単な操作で、どんな攻撃をどのくらい受けているかを確認できます。この機会に是非ともお試しください。 (1) WAF とは WAF とは Web アプリケーションファイアウォール(Web Application Firewall)の略で、SQL インジェクション等の Web アプ リの脆弱性を利用した攻撃を検知し、防御するセキュリティ製品です。従来の FW や IDS/IPS とは違って、Web アプリケー ション層への攻撃を専門に防御するします。 近年、複雑/巧妙化する攻撃に対抗する手段として、WAF は Web システムでは必須のセキュリティ製品となっています。 図1. WAF イメージ図 WAF 試用版は攻撃を検知することはできますが、防御することはできません。 本資料は WAF 試用版の攻撃状況を確認するための資料です。WAF の詳細な使用方法などは、「ユーザマニュアル」や「WAF 設定・運用ガイド」を参照ください。 WAF 試用版はデフォルトの Apache の設定ファイル(/etc/httpd/conf/httpd.conf)にインストールされています。 WAF 試用版は NEC 製のソフトウェア型 WAF「InfoCage SiteShell」を使用しています。 -1- (2) WAF 利用の流れ 参照ガイド WAF 利用から運用までの流れ WAF 試用版のインストールをします。(本書:参考) WAF 試用版操作ガ イド 攻撃を確認します。(本書:3 節) 「WAF」を購入します。 WAF 設定・運用ガイ ド 「WAF」を運用します。 (※)WAF 試用版のインストールは、本書の参考をご参照ください。 -2- (3) 攻撃状況の確認 実際に検知した攻撃状況の確認方法を説明します。 a) 攻撃状況ログ(監査ログ)の取得 攻撃状況を把握するために、WAF 試用版の運用管理コンソールにログを取得する必要があります。ログ取 得の手順について説明します。 ※運用管理コンソールは WAF 試用版をインストールした全てのサーバに導入されますが、一つの運用管理 コンソールで複数の WAF を管理することができます。その方法については、「WAF 設定・運用ガイド」をご参照く ださい。 ① 運用管理コンソールへのログイン ご利用のクラウドホスティング上の Web サーバに接続できる PC から WAF の運 用管理コンソールにログインします。 以下の URL にアクセスするとログイン画面が表示します。 http://Web サーバ IP アドレス:31106/console ※運用管理コンソールに接続できない場合は本書「P7 参考」を参照ください。 ログイン画面が表示されたら、以下のユーザ名・パスワードを入力します。 ※ユーザ名、パスワードは変更することをお勧めします。変更方法はユーザマ ニュアルを参照ください。 ユーザ名:admin パスワード:123456 ログインに成功すると、左の画面が表示します。 ② Web サーバの登録 運用管理コンソールに Web サーバを登録します。 メニュー画面から、「メンテナンス」にマウスを合わせ、「ノード管理」をクリックし ます。 -3- 「ノード管理」をクリックするとノード管理画面が表示されるので、「追加」をクリッ クします。 ノード追加画面が開くので以下の情報を入力し、「追加」をクリックします。 ノードグループ:GRP1 SiteShell Type:Apache 管理サーバアドレス:ご使用の Web サーバの IP アドレス 管理サーバポート:9434 Web サーバの登録に成功すると、以下の画面が表示されるので、「OK」をク リックします。 ③ ログの取得 ログの取得にはメニュー画面から登録した Web サーバを選択し、「ログサマリ」 をクリックします。 ログサマリから、「更新」ボタンをクリックすることでログの取得ができます。 これで運用管理コンソールに攻撃状況ログ(監査ログ)が取り込まれました。 -4- b) 攻撃状況をグラフで確認 グラフで表示する場合は、メニュー画面で表示したい Web サーバを選択し、 「統計情報」をクリックします。 左のようなグラフが表示されます。 c) 月毎に確認 月毎に表示する場合は、メニュー画面で表示したい Web サーバを選択し、「月 間レポート」をクリックします。 月毎の攻撃状況を見ることができます。 -5- d) ログそのものを確認 ログそのものを表示する場合は、メニュー画面で表示したい Web サーバを選 択し「監査ログ一覧」をクリックします。 ログそのものを見ることができます。 Web サイトへの攻撃を防御するためには… 貴社の Web サイトへの攻撃状況はいかがだったでしょうか? 多くのログが発見されたとしても心配しないでください。 ご利用の WAF 試用版はライセンス ID を登録することにより、攻撃の防御を開始します。 ライセンス ID のご購入方法は下記をご参照ください -6- BIGLOBE WAF ~申込んだその日から WAF の防御を開始!!~ BIGLOBE クラウドホスティングのコントロールパネルにア クセスし、クラウドアプリストアへでライセンスを購入しま す。 BIGLOBE クラウドホスティングのコン トロールパネルから、クラウドアプリス トアへ移動します。 コントロールパネルのクラウドアプリストアをクリックしま す。 クラウドアプリストアのライセンスカテ ゴリより InfoCage SiteShell(Linux)を 選択します。 ライセンスカテゴリより、「InfoCage SiteShell(Linux)」を選 択します。 ライセンス ID を購入します。 ライセンス ID を購入します。 購入したライセンス ID はコントロールパネルの「ライセンス 一覧」から確認することができます。 発行されたライセンス ID を WAF 試用版に登録することで 攻撃を防御することができます。 ※登録方法は「WAF 設定・運用ガイド」を参照ください。 -7- 参考 (1) WAF の運用管理コンソールが起動しない場合 WAF の運用管理コンソールにアクセスできない場合について説明します。 a) WAF 試用版インストール確認 WAF 試用版がインストールされているかを確認します。 以下のディレクトリが存在しているかを確認してください。 ・/opt/SiteShell_Apache ・/opt/SiteShell_Console ① ディレクトリが存在しない場合 WAF 試用版がインストールされていません。以下の手順で WAF 試用版のインストールを実行してください。 WAF 試用版必要なコンポーネントは以下のサイトにありますので、ダウンロードを行います。 https://www.siteshell.jp/biglobecloudhosting/ 上記サイトより、BIGLOBE クラウドホスティング WAF 試用版をダウンロードし、サーバに配置します。 上記ファイルを配置したディレクトリに移動します。 # cd 配置したディレクトリ 以下のコマンドを実行します。 # rpm –ivh SiteShell_Source.rpm 以下のディレクトリに移動します。 # cd /opt/SiteShell_Source インストールスクリプトがありますので、実行します。 # ./SiteShellInstall.sh ※手動でインストールした場合、運用管理コンソールへ接続するために、ポートの開放が必要です。ポートの 開放手順については、次節で説明します。 以上で、WAF 試用版のインストールは完了です。 ② ディレクトリが存在する場合 運用管理コンソールのサービスが起動していない可能性があります。以下の手順でサービスを起動させてく ださい。 -8- # cd /etc/init.d # ./SiteShellConsoleService start 以下二つのサービスの起動を確認します。 # ps –ef | grep SiteShell_Console root 5821 1 0 00:41 ? 00:00:00 jsvc.exec -home /usr/local/java/jre1.6.0_24 -Dcatalina.home= /opt/SiteShell_Console -Dcatalina.base=/opt/SiteShell_Console -pidfile /var/run/jsvc_SiteShellConsoleService.pid -outfile /opt/SiteShell_Console/logs/catalina.out -errfile &1 -Djava.util.logging.manager= org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=/opt/SiteShell_Console/conf/logging.properties -cp /usr/local/java/jre1.6.0_24/lib/tools.jar: /opt/SiteShell_Console/bin/commons-daemon.jar:/opt/SiteShell_Console/bin/ bootstrap.jar org.apache.catalina.startup.Bootstrap root 5822 5821 0 00:41 ? 00:00:14 jsvc.exec -home /usr/local/java/jre1.6.0_24 -Dcatalina.home=/opt/SiteShell_Console -Dcatalina.base= /opt/SiteShell_Console –pidfile /var/run/jsvc_SiteShellConsoleService.pid -outfile /opt/SiteShell_Console/logs/catalina.out -errfile &1 -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=/opt/SiteShell_Console/conf/logging.properties -cp /usr/local/java/jre1.6.0_24/lib/tools.jar: /opt/SiteShell_Console/bin/commons-daemon.jar:/opt/SiteShell_Console/bin/ bootstrap.jar org.apache.catalina.startup.Bootstrap root 14972 14931 0 03:48 pts/2 00:00:00 grep SiteShell_Console サービスが起動しているにもかかわらず、運用管理コンソールに接続できない場合は、ポートが開放されて いない可能性が考えられます。次節の手順でポートの開放を行ってください。 また、WAF 試用版を正常に動作するためには運用管理コンソール以外に以下の2つのサービスが起動して いる必要があります。 ・/usr/local/java/jre1.6.0_24//bin/java -jar SiteShellService.jar ・/LogService /opt/SiteShell_Apache 起動していない場合は以下の手順でサービスを起動させてください。 ・/usr/local/java/jre1.6.0_24//bin/java -jar SiteShellService.jar # cd /etc/init.d # ./SiteShellServiceForApache start ・/LogService /opt/SiteShell_Apache # cd /etc/init.d # ./httpd start b) 運用管理コンソール Web サービス用ポート開放 iptables により運用管理コンソールの Web サービス用ポートを開放する設定手順を説明します。 ① iptables における運用管理コンソール Web サービス用ポート開放手順 -9- 運用管理コンソールの Web サービス用ポートは 31106/tcp を使用します。そのため、31106/tcp に対するパ ケットを許可するように設定します。 1. /etc/sysconfig/iptables を vi 等で編集し、以下の行を、「REJECT」と記載してある行の上に追加し、保 存します。 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 31106 -j ACCEPT 2. iptables を再起動します。 # /etc/init.d/iptables restart 3. 設定が反映されていることを確認します。 # iptables -L | grep 31106 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:31106 お問合せ先 ◆ お問い合わせフォームによるご質問/お問い合わせ コントロールパネルにログインし、「お問い合わせ」からアクセスください。 ◆ コントロールパネルにアクセスできない場合 BIGLOBE 法人コンタクトセンター(弊社営業日 9:00~12:00、13:00~17:00) 0120-20-5644 ご注意 本書の内容の一部または全部を無断転載することは禁じられています。 本書の内容に関しては将来予告なしに変更することがあります。 本書の内容については万全を期して作成いたしましたが、万一ご不審な点や誤り、記載もれなどお気づきのことがありました ら、BIGLOBE 法人コンタクトセンターへご連絡ください。 InfoCage、SiteShell は日本電気株式会社の登録商標です。 Apache は、Apache Software Foundation の商標または登録商標です。 その他、本書に掲載された各社名、各製品名、各ロゴは、各社の登録商標または商標です。 - 10 -