iss seminar 2010709#1-upload
TRANSCRIPT
WAFによる「やられWebアプリケーション」の保護デモンストレーション
~ WAF 製品の WebGoat 保護のデモ~
井上 達一
( 株 )インテカーセキュアソリューションズ NSFOCUS 担当
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 2
アジェンダ
• やられ Web アプリケーションとは何か?
• OWASP top 10 (2010 年度版 )• デモ環境• WebGoat の導入
• WebGoat へのログイン
• SQL インジェクション攻撃の具体例
• WSF 製品特徴
• 構成方法• その他
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 3
やれれ Web アプリケーションとは何か?
• “あえて”脆弱性を保有している Web アプリ
• テストや評価のベースラインとして使用されている
• Webgoat OWASP• Hacme シリーズ Foundstone( 現 McAfee)• Moth bonsai
⇒今回は NSSLabs の Web Application Firewall Testing Procedure (V1.0) でも用いられているWebgoat にてデモ参考 URL: http://nsslabs.com/certification/waf/nss-waf-v10-testproc.pdf
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 4
OWASP Top 10 ( 旧版と 2010 年度版比較 )
http://www.owasp.org/index.php/Top_10
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 5
デモ環境
vmnet2: 10.10.20.198
Switch
LAN: 10.10.20.199
MGR: 192.168.0.1
WAN:
Switch
10.10.20.170
vmnet2: 10.10.20.198
LocalArea2: 192.168.1.199
• 透過 (Transparent) 構成
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 6
Webgoat の入手
• OWASP のサイトから webgoat 本体をダウンロード http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Google code のWebGoat-OWASP_Standard-5.3_RC1.7z をダウンロード
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 7
Webgoat のインストール、起動
# sudo su• 7zip,Java JDK 1.6 のインストール
# apt-get install p7zip# apt-get openjdk-6-jdk
• Webgoat の展開、起動# cd /users/root-works/works# 7z x ../pub/WebGoat-OWASP_Standard-5.3_RC1.7z# cd WebGoat-5.3_RC1# vi tomcat/conf/server_80.xml# sh webgoat.sh start80
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 8
Webgoat ログイン①guest/guest にて Basic 認証
②Start WebGoat ボタンをクリック
③レッスン TUTORIAL の表示
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 9
SQL インジェクション成功例 (WAF オフ )①Injection Flaws をクリック
②String SQL Injection をクリック
③‘or ’1‘=’1を入力
④SQL インジェクション成功
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 10
SQL インジェクション成功例 (WAF オン )①Restart this lesson をクリック ③‘or ’1‘=’1を入力
④SQL インジェクション失敗②SQL injection ルールを Activate
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 11
SQL インジェクション成功例 (WAF オン )①Restart this lesson をクリック ③‘or ’1‘=’1を入力
④SQL インジェクション失敗②SQL injection ルールを Activate
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 12
WAF セキュリティポリシー設定①Web Security⇒Policy Configuration⇒WebSecurity ③保護対象の指定 (Domain/WebSite/Site Group)
④ルール定義②Action: Forward/Block/Accept の選択
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 13
NSFOCUS WAF 主要機能
多様な Web セキュリティ機能
HTTPS/SSL インスペクション
セキュリティ機能
Web アプリケーションスキャンプラットフォームセキュリティ
Web アプリケーションセキュリティWeb コンテンツフィルターリング
Web ページ改ざん防止 ネットワークレイヤ防御
DDoS 攻撃防御セキュリティ機能管理ツール
セキュリティポリシー設定 セキュリティルール管理
豊富なログとレポート機能
レポート管理・作成検索や集計の各条件に応じたログをレポートとして出力することが可能。レポートは定期的に作成することが可能。
ログ管理 ブラウザから分かり易い操作でログを検索することが可能。
便利なシステム管理機能
システム管理ツールシステム稼働情報 多国語対応(中国語・英語)
シグネチャーアップデード システムメンテナンスツール
自己診断機能
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 13
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 14
NSFOCUS WAF の主な特長
• 連携した 3段階のセキュリティ防御機能• HTTP/HTTPS双方向でのトラフィッククリーニング• Webページ改ざん防止(※国際特許出願中)• アプリケーション層のDDoS攻撃防御• SSLのカプセル化、SSLオフロードの機能搭載• 冗長化構成
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 14
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 15
【特長】連携した 3 段階のセキュリティ防御機能
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 15
•OWASP脅威への対応「 SQL インジェクション」「 XSS 」「 CSRF 」など•プラットフォームセキュリティへの対応「バッファーオーバーフロー」「ワーム」など•TCP/HTTP Flood 防御•ネットワークセキュリティへの対応「 ARP スプーフィング」「 L4 ACL 」など•Web コンテンツフィルターリング「悪意のあるコード」「キーワード」の濾過
•既存や新規の Web サービスのアプリケーションに「 SQL インジェクション」「 XSS 」などの脆弱性を存在するかをスキャン
•スキャンした結果に従って、より一層有効的なセキュリティポリシーやルールを設定することが可能
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 16
【特長】 HTTP/HTTPS双方向でのトラフィッククリーニング
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 16
オンライン防御エンジン
コンテンツフィルターリングモジュール
Web サーバ ファーム
Web サービス利用者
クリーニングされたトラフィック
混雑するトラフィック
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 17
【特長】 Web ページ改ざん防止
• 独自開発した技術でWebページ改ざんを検知可能• 万が一Webページが改ざんされても、ページロールバック機能を搭載する
ことによって、改ざんされる前のWebページを自動的にロールバックしてWeb閲覧者が正常的なWebページを閲覧可能することを保証
• Web改ざん検知技術は、国際特許出願中( PCT/CN2009/000780)• Webキャッシュ技術は、中国において特許出願中( 200910083751.3)
All contents are Copyright © 2010 NSFOCUS Information Technology Co.,Ltd 17
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 18
構成方法
①透過 (トランスペアレント )方式 ⇒ 本日のデモ構成
②VLAN Trunk(802.1q) 方式 ③ルーティング方式
| Copyright© 2009 NSFOCUS Information Technology Co., Ltd. & InTecur Inc. All rights reserved. | www.nsfocus.net 19
その他
• シグネチャ150 内部シグネチャ105 追加(選択可能)シグネチャ
月に1回の定期更新、緊急シグネチャ
• 誤検知 (False-Positive)は 10%以下攻撃パターンにより、ばらつき有り