踊る大防衛線

posted in: 備忘録 | 0

さくらVPSで提供されたWAF,SiteGuard Liteの運用を始めてから約1週間経ちましたので,どんな具合か分析してみました.

 

上:勝手なWAFのイメージ [1]

きっとこんな感じで私のサーバを見守ってくれているのでしょう.

 

これより記述する分析結果及び設定内容はあくまで私個人の環境におけるものです.
全てのあらゆる環境において動作・セキュリティを確保するものではありません.
万が一,当記事の設定内容を参考にした場合において発生した問題等については一切責任を負いません.

(改めて書く必要があるのかどうかは若干微妙ですが,こういうセキュリティ系の話なので,念には念を入れておきます)

 

検出分類で見てみる

分析対象:2017/11/1~11/11(記事執筆時点)

総検出数:667件
(この件数は自分の管理IPアドレスからも含まれてます.約100件)

 

こちらがシグネチャ分類の検出比率です.

カスタムシグネチャ:自分で定義した検出シグネチャ
トラステッドシグネチャ:WAF側で提供している検出シグネチャ

 

やはり提供されるシグネチャだけで全てをブロックするには限界があるので,
環境ごとの細かなシグネチャは自分で調整・導入する必要がありそうです.

私の場合,カスタムシグネチャには

  • 指定ホスト以外へのアクセス禁止(www.など存在するドメイン以外へのアクセス禁止)
  • WordPress管理画面・ログイン画面への指定IP以外からのアクセス禁止

主にこの2つを書いています.

 

これを踏まえて,シグネチャごとの検出TOPチャートです.

 

指定ホスト以外へのアクセス禁止

頭一つ以上飛び抜けて1位になっているのが,「BLOCK-HOST」です.
こちらは先程上に書いた,指定ホスト以外へのアクセス禁止.というシグネチャです.

そんでもって,こちらがBLOCK-HOSTシグネチャで検出(ブロック)されたログです.

黒線で隠しているのはアクセス元のIPアドレスです.

わざとドメイン名ではなくIPアドレス直叩きでアクセスしたり,www. 無しのドメインにアクセスしてきたりしていますね.

仮にWAFが無くて,Webサーバの設定ファイルにIPアドレスで叩かれたたときの動作を書いていなかったら
こちらが予期していない動作をしてしまう可能性があります.

 

設定方法

こちらに関してはSiteGuardの管理者ガイドに設定方法なども記載されていたので,そちらを参照してもらうのが良いかと思います.

 

WordPressログイン画面へのアクセス禁止

そして検出第2位は「WP-login」です.
こちらも先程上に書いた「WordPressログイン画面への指定IPアドレス以外からのアクセス禁止」です.

 

WordPress側での履歴

こちらがWordPressで取っているログイン履歴です.

一番右端列がログインアタックされた際に入力されたユーザ名とパスワードです.

 

adminだったり123abcだったり何とも直感的で分かりやすい単語で構成されてますね.
まぁそんな分かりやすいユーザ名とパスワードにする訳ありませんけどね!!
分かりやすいユーザ名やパスワードはやめましょうというのが改めて実感できましたね.

ユーザエージェントが毎回同じなので,もしかしたら同一犯の可能性もありますね.

 

対策

このままではもしかしたらいつの日か突破されてしまう可能性もゼロではありません.
それに世界中のよく分からない人がログイン画面に来るのも精神衛生上気持ちのよいものでもありません.

という訳で,指定IP以外からWordPressの管理画面とログイン画面にアクセス出来ないようにしました.

WAFでシグネチャを追加してからはログイン画面にたどり着けなくなったので,WordPress側では検出されなくなりました.

 

 

まとめ

記事には書きませんでしたが,実際にSiteGuardで設定する際は正規表現でルールを書くのが一般的になります.
「正規表現何それ美味しいの?」という状況だった私は管理者ガイドに書いてある正規表現のルールを見ながら設定しました.

私のような正規表現初心者はルールに書いた正規表現が正しくシグネチャとして動作しているのか確認する作業が必要だと思います.書いて終わりではありません.
必ず自分でテストパターンを試して動作チェックをしましょう.

 

今までWAFを導入する前まではWebサーバのログを見ることでしかアクセス状況が分からなかったので,
たった1週間程度でこんな小さなサーバにも数百件以上も不正アクセスがされそうになっている現状を知ることが出来ました.

小さいサイトだからWAFとかセキュリティ対策はあんまり力を入れなくてもいいかな.という世の中ではありませんね.
むしろ小さいサイトだからこそ穴を見つけようと必死なのかもしれません.

 

画像出典情報

[1] norak のら さん, 高野山赤松院 金剛力士像阿形, http://photozou.jp/photo/show/176754/175936285(CC BY-NC-ND 2.1 JP)

一言残す!