WAF(ワフと発音している)という言葉は聞いたことがあるかもしれない。
ウェブアプリケーションファイアウォールの略称でソフトウェアでサイトを守る役割をする。
一方ハードウェア的にサイトを守るのはIPS等の機器で防御する。
しかし双方とも防御する対象が異なるので両方が入るとなお良いだろうがいずれも個人では難しい。
レンタルサーバーにこうした仕組みがあると使ってみる価値はありそうだ。
できる事からやってみるブログのセキュリティー対策
たまたま管理人の使っているさくらインターネットのレンタルサーバーにWAFが装備してあり使用できるようになっている。
デフォルトではオフになっているが管理画面で簡単にオンにできる。
機能としては次のように説明されている。
シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。
遮断した接続を自動で復旧させることはできません。
ウイルスは検知できません。
海外等、特定するアクセスのみを遮断することはできません。
ただし注意書きがあって次のようになっている。
- WAF機能を 「利用する」 に設定したドメインは、ドメイン設定で削除できません。
- ドメインを削除する場合、「利用しない」に変更してから削除してください。
- 本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。
- mod_rewriteを利用すると挙動が変わる恐れがあります。
- CGI、PHPプログラムの動作に影響が出る恐れがあります。
- CGI、PHPプログラムのインストール時に影響が出る恐れがあるため、その場合はインストール前にWAFを無効にしてください。
- 監視対象となるプロトコルは、HTTPとHTTPS(共有SSL、SNI SSLが対象。ただしCookieの引き継ぎは不可)です。
- 独自SSLを設定したドメインへのHTTPSリクエストについては対象外となります。
管理人が気になるのは7個目の項目の「Cookieの引継ぎが不可」という項目が気になる。
勝手に解釈するとHTTPとHTTPSの間でCookieが引き継がれないという事だろう。
管理人のサイトはHTTPでの通信だから今まで通りCookieは使用できると解釈した。
WAFは「SiteGuard」だ
管理人が今まで使用したWAFは「SiteShell」(NEC製)やシマンテックのクラウド型WAFは利用した事がある。
いずれも業務サーバー構築時に使用したものだがそれなりに効果はありよくあるSQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ(CSRF)のような攻撃には効果を発揮する。
今回は自分で入れた訳ではないがレンタルサーバーの1機能として「SiteGuard」(JP-Secure製)を使用している。
この「SiteGuard」というWAFも結構有名なWAFで良く名前を聞くのだ。
WAFを入れてみてしばらく様子を見てみるつもり
WAFを入れて心配なのが次のような事だ。
- レスポンスが遅くなる
- リンクがうまく動作しない
- クッキーの受け渡しがうまく行かない
- 画像が間引かれてしまってきちゃなくなる
- アクセス過多で通信が遮断されてしまう
- WordPressがうまく動作しない
等々がある。
事前情報ではWordPress管理画面でWAFに引っかかるとかという事もあるようだ。
しかしWordPress管理画面へのアクセスルートを別に設定できてWAFをパスできるのであれば問題無いが実質不可能なのだ。
だからWordPress管理画面へのアクセスもWAFを通すのが最適だと考える。
フロントと管理画面の両方を軽くチェックしてみたが特に問題は無いようだ。
何か問題があればサーバー管理画面で動作を止める事もできるので外せば良い。
問題が無いようであればもう一つのサイトにも適用してみようと思う。
こうした仕組みがレンタルサーバーに装備されているのはうれしい事だ。
さくらインターネットのレンタルサーバーは結構おすすめかもしれない。
今回はこのへんで
では