Azure

Application Gateway web application firewall が公開されたのでレビューしてみる

はじめに

くどうです。

Igniteが盛り上がってますね
https://ignite.microsoft.com/
いいですねぇ行ってみたいですね・・・

さてIgniteでApplication Gateway web application firewalが発表されました。
https://azure.microsoft.com/ja-jp/updates/application-gateway-web-application-firewall-in-public-preview/

セキュリティをかじっているくどうとしては、レビューしなければ。

機能

WAFではOWASP top 10が定義してあります。

    ・SQL injection protection
    ・Cross site scripting protection
    ・Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
    ・Protection against HTTP protocol violations
    ・Protection against HTTP protocol anomalies such as missing host user-agent and accept headers
    ・HTTP DoS Protections including HTTP flooding and slow HTTP DoS prevention
    ・Prevention against bots, crawlers, and scanners
    ・Detection of common application misconfigurations (i.e. Apache, IIS, etc)

詳しい定義は
https://www.owasp.org/index.php/Top_10_2013-Top_10

これも
https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf

WAFレビュー

SQLインジェクションのテストを行ってみます。
単純なLAMP環境でテストを行います。
DBにはID、パスワードなど適当な情報が入っています。
IDとパスワードを入力してログインできるサイトを作成します。

WAFを有効にしApplication Gatewayを設定します。
waf04

あとは単純なSQLインジェクションを試してみます。

waf02

「403 – Forbidden: Access is denied.」で帰ってきます。
ちゃんと動作しているようです。
waf03

ログを確認してみるとSQLインジェクションをブロックしたログがでます。
ルールは
https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/master/base_rules
のmodsecurity_crs_41_sql_injection_attacks.confが適用されていることがログからわかります。

おわりに

今回はSQLインジェクションのテストを行いました。AzureでもWAFが標準で利用できるようになりました。
今後は、重要な機能の一部となるかと思います。きっともう少し設定が細かくでき、ルールを設定できるようになるでしょう。
ではでは

Related post

  1. Azure

    Azure Cloud Shell のユーザーを確認してみる。それでもrootが欲しい。

    rootにはなれません。アカウントのパスワードを入力しても無駄でし…

  2. AWS

    お気軽にSlackで死活監視してみる

    はじめにくどうですお気軽にSlackで死活監視。疎通確認が行え…

  3. AWS

    AzureとAWSを接続してみようと思うけどどうやるの?

    はじめにくどうです。2015年初投稿です。クラウド間で接続して…

  4. Azure

    Active DirectoryをASMからARMに移行する方法を考える。

    はじめにくどうです。何かと仮想マシンでActive Dir…

  5. Azure

    トレンドマイクロさんでLTしてきた。

    はじめにくどうです。9/11にトレンドマイクロさんで、LTしてきま…

Comment

  1. No comments yet.

  1. No trackbacks yet.

  1. Azure

    Azure Cloud Shell にインストールされているものを確認。vimも…
  2. Azure

    ユーザーにパスワードリセットさせたいときはAzure Active Direct…
  3. Windows

    PowerShellの実行ログを取得する方法について。最低限やっておいた方が良い…
  4. Windows Server 2012

    ThinkITで記事を書いた
  5. 未分類

    P2Vした仮想マシン(VHD容量固定)をHyper-v上でベンチマークテストして…
PAGE TOP