Azure

Application Gateway web application firewall が公開されたのでレビューしてみる

はじめに

くどうです。

Igniteが盛り上がってますね
https://ignite.microsoft.com/
いいですねぇ行ってみたいですね・・・

さてIgniteでApplication Gateway web application firewalが発表されました。
https://azure.microsoft.com/ja-jp/updates/application-gateway-web-application-firewall-in-public-preview/

セキュリティをかじっているくどうとしては、レビューしなければ。

機能

WAFではOWASP top 10が定義してあります。

    ・SQL injection protection
    ・Cross site scripting protection
    ・Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
    ・Protection against HTTP protocol violations
    ・Protection against HTTP protocol anomalies such as missing host user-agent and accept headers
    ・HTTP DoS Protections including HTTP flooding and slow HTTP DoS prevention
    ・Prevention against bots, crawlers, and scanners
    ・Detection of common application misconfigurations (i.e. Apache, IIS, etc)

詳しい定義は
https://www.owasp.org/index.php/Top_10_2013-Top_10

これも
https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf

WAFレビュー

SQLインジェクションのテストを行ってみます。
単純なLAMP環境でテストを行います。
DBにはID、パスワードなど適当な情報が入っています。
IDとパスワードを入力してログインできるサイトを作成します。

WAFを有効にしApplication Gatewayを設定します。
waf04

あとは単純なSQLインジェクションを試してみます。

waf02

「403 – Forbidden: Access is denied.」で帰ってきます。
ちゃんと動作しているようです。
waf03

ログを確認してみるとSQLインジェクションをブロックしたログがでます。
ルールは
https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/master/base_rules
のmodsecurity_crs_41_sql_injection_attacks.confが適用されていることがログからわかります。

おわりに

今回はSQLインジェクションのテストを行いました。AzureでもWAFが標準で利用できるようになりました。
今後は、重要な機能の一部となるかと思います。きっともう少し設定が細かくでき、ルールを設定できるようになるでしょう。
ではでは

Related post

  1. Azure

    Azure Load Balancerと Azure Application Gateway のアク…

    はじめにくどうです。Azureにはアクセスを負荷分散す…

  2. Azure

    トレンドマイクロさんでLTしてきた。

    はじめにくどうです。9/11にトレンドマイクロさんで、LTしてきま…

  3. Azure

    AzureでNAT設置パターンを考える。これでAWSからも移行できますね。

    はじめにくどうです。東京であつくて溶けました。 最近では、AW…

  4. Azure

    Azureの公式ドキュメントを更新しよう!だれでも更新できるんですよ。

    はじめにくどうです。Azureのドキュメントはみなさん活用している…

Comment

  1. No comments yet.

  1. No trackbacks yet.

  1. その他

    Bose QuietComfort 35 を買ったが後悔はしていない。
  2. Azure

    Azure PowerShell 1.0 Preview を導入してみよう。ちょ…
  3. AWS

    Deep Security as a Service (DSaaS)でProxy…
  4. セキュリティ

    第22回北海道情報セキュリティ勉強会に参加してきた!マイナンバーは便利ですよ。
  5. 未分類

    オタリーマンを買ってしまった。
PAGE TOP