Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

フロント側にWAFを置きたい #180

Closed
halsk opened this issue Mar 9, 2021 · 11 comments
Closed

フロント側にWAFを置きたい #180

halsk opened this issue Mar 9, 2021 · 11 comments
Labels
enhancement New feature or request

Comments

@halsk
Copy link
Member

halsk commented Mar 9, 2021

改善詳細 / Details of Improvement

  • フロント側のセキュリティ向上のためにWAFを置きたい
  • ほかの手段も要検討

スクリーンショットなど / Screenshot

期待する見せ方・挙動 / Expected behavior

  • WAF にこだわるものではないが、不正アクセスの監査やブロックを行うことを検討したい

対象インスタンス / Instances

  • 全て
@halsk halsk added the enhancement New feature or request label Mar 9, 2021
@komtaki
Copy link
Contributor

komtaki commented Aug 30, 2021

@ayuki-joto

Cloud Frontの導入が済んだので、こちら検討しようかと思います。

AWS WAFは安く、カスタマイズ性が高い、また導入が簡単です。
そのためstagingでカウントモードでルールを組んでみようと思いますが、問題ないでしょうか?

その後、ルールをチューニングしつつ本番に入れられるか検証する流れを考えています。:+1:

@ayuki-joto
Copy link
Collaborator

@komtaki
ぜひ!お願いします!

@komtaki
Copy link
Contributor

komtaki commented Sep 2, 2021
edited
Loading

承知しました。早速、stagingにオーソドックスな下記4ルールをCOUNTモードで付けてみました。

  • AWSManagedRulesCommonRuleSet
  • AWSManagedRulesKnownBadInputsRuleSet
  • AWSManagedRulesLinuxRuleSet
  • AWSManagedRulesSQLiRuleSet

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html

@komtaki komtaki mentioned this issue Sep 2, 2021
Merged
@komtaki
Copy link
Contributor

komtaki commented Sep 4, 2021
edited
Loading

@ayuki-joto

上記4ルールプラス下記で、全部盛りにしてみました。:+1:

  • AWSManagedRulesAmazonIpReputationList

stagingで普通にざっと触って全て正常リクエストでした。またSQLインジェクションぽいURLを叩き、AWSManagedRulesSQLiRuleSetで検知されましたがブロックはされずカウントのみになっていることは確認しました。

ただ予想以上にアクセスがないので、本番にもカウントモードで入れたいです。
本番用のwafを作成したので、確認をお願いします。

@komtaki
Copy link
Contributor

komtaki commented Sep 9, 2021
edited
Loading

MRもマージしていただき、問題なさそうなので本番にカウントモードでアタッチしました。 👍

@ayuki-joto
Copy link
Collaborator

@komtaki
対応ありがとうございます!
ちなみにWAFで特定のURLのみアクセスをブロックするようなことは可能でしょうか?
#254 ここで問題になっていたURLに対して,robots.txtを無視してクローリングしてくるbotがいるので一旦WAFで手間がかからず対応可能なら止めてしまいたいと思っています!

@komtaki
Copy link
Contributor

komtaki commented Sep 13, 2021

ちなみにWAFで特定のURLのみアクセスをブロックするようなことは可能でしょうか?

可能です。ただ現状のWAFルール「NoUserAgent_HEADER」でも、悪質と判定されているボットアクセスが数百あるので、まずはそちらを有効化したいです。カスタマイズしなくても除去できるかもしれないので。

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/aws-managed-rule-groups-list.html

@ayuki-joto
Copy link
Collaborator

@komtaki
なるほどそちらも別途対応した方が良さそうですね.
ただ現状問題となっている部分に関しては,海外の検索エンジンからのbotというのはuser-agentからわかっているので,こちらの対応も必要かと思っています!

@komtaki komtaki mentioned this issue Sep 19, 2021
Merged
@ayuki-joto ayuki-joto mentioned this issue Oct 23, 2021
Merged
6 tasks
@ayuki-joto ayuki-joto mentioned this issue Oct 30, 2021
Merged
6 tasks
@komtaki
Copy link
Contributor

komtaki commented Nov 1, 2021

@ayuki-joto

  • AWSManagedRulesKnownBadInputsRuleSet
  • AWSManagedRulesLinuxRuleSet
  • AWSManagedRulesSQLiRuleSet
  • AWSManagedRulesAmazonIpReputationList

ご検知がなさそうな上記4ルールを本番でブロックモードにしました。

下記はしばらく様子見て調整します。また海外の検索エンジンからのbotの件を確認するので、Botのユーザーエージェントを教えてもらえると助かります。

  • AWSManagedRulesCommonRuleSet

@komtaki komtaki mentioned this issue Nov 27, 2021
Merged
@komtaki
Copy link
Contributor

komtaki commented Dec 10, 2021

本番もAWSManagedRulesCommonRuleSetを有効化しました。

@komtaki
Copy link
Contributor

komtaki commented Dec 31, 2021

本番導入後、問題なさそうなのでクローズします。

Botの件もインスタンススケールアップ&wafの導入で現状大丈夫そうです。

また何かあれば別途issueをたててください。:bow:

@komtaki komtaki closed this as completed Dec 31, 2021
@ayuki-joto ayuki-joto mentioned this issue Jan 17, 2022
Merged
6 tasks
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
enhancement New feature or request
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@halsk @ayuki-joto @komtaki