Azure

Application Gateway web application firewall が公開されたのでレビューしてみる

はじめに

くどうです。

Igniteが盛り上がってますね
https://ignite.microsoft.com/
いいですねぇ行ってみたいですね・・・

さてIgniteでApplication Gateway web application firewalが発表されました。
https://azure.microsoft.com/ja-jp/updates/application-gateway-web-application-firewall-in-public-preview/

セキュリティをかじっているくどうとしては、レビューしなければ。

機能

WAFではOWASP top 10が定義してあります。

    ・SQL injection protection
    ・Cross site scripting protection
    ・Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
    ・Protection against HTTP protocol violations
    ・Protection against HTTP protocol anomalies such as missing host user-agent and accept headers
    ・HTTP DoS Protections including HTTP flooding and slow HTTP DoS prevention
    ・Prevention against bots, crawlers, and scanners
    ・Detection of common application misconfigurations (i.e. Apache, IIS, etc)

詳しい定義は
https://www.owasp.org/index.php/Top_10_2013-Top_10

これも
https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf

WAFレビュー

SQLインジェクションのテストを行ってみます。
単純なLAMP環境でテストを行います。
DBにはID、パスワードなど適当な情報が入っています。
IDとパスワードを入力してログインできるサイトを作成します。

WAFを有効にしApplication Gatewayを設定します。
waf04

あとは単純なSQLインジェクションを試してみます。

waf02

「403 – Forbidden: Access is denied.」で帰ってきます。
ちゃんと動作しているようです。
waf03

ログを確認してみるとSQLインジェクションをブロックしたログがでます。
ルールは
https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/master/base_rules
のmodsecurity_crs_41_sql_injection_attacks.confが適用されていることがログからわかります。

おわりに

今回はSQLインジェクションのテストを行いました。AzureでもWAFが標準で利用できるようになりました。
今後は、重要な機能の一部となるかと思います。きっともう少し設定が細かくでき、ルールを設定できるようになるでしょう。
ではでは

関連記事

  1. Linux

    一定回数のログイン失敗でロックしちゃうぜ!

    メモくどうです一定回数ログイン失敗でロックさせたい場合…

  2. Azure

    CacooでAzureのステンシル、テンプレートが使えるようになった。

    はじめにヌーラボさんのCacooですがAzureのステンシル、テン…

  3. Azure

    FortiGate NGFW VMをマーケットプレイスから立ち上げてみた。

    はじめにくどうですオンプレを扱っていた時に慣れ浸しんだ、F…

  4. Azure

    Attunity Replicate Expressを使ってAzureにデータベース移行を行ってみる…

    はじめにくどうです。今回のお題はデータベース移行についてです。 …

  5. Azure

    Cognitive ServicesでFace APIを使ってみる。これ面白い!

    はじめにくどうです。Cognitive Services …

  6. Azure

    Azure Application Gateway で Let’s Encrypt も使えます。Le…

    はじめにくどうです4/12にLet’s EncryptがG…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

  1. その他

    ルワンダ旅行記 – ICT立国を目指す国で見てきたもの –…
  2. Azure

    SCOMで監視できるAzure(リソースマネージャ側)のサービス
  3. Azure

    Node Auto-Scaling + Kubernetes with ACS-…
  4. AlibabaCloud

    Alibaba Cloud という謎なクラウドサービス。
  5. 未分類

    XREAで構築したEC-CUBEでメールが送れない
PAGE TOP