
2023年7月度 MBSD-SOCの検知傾向トピックス
2023年7月度のMBSD-SOCにおける検知傾向トピックスです。
MBSD-SOCのMSS(マネージドセキュリティサービス)では、WAF監視のサービスラインナップにCloudflare Webアプリケーションファイアウォールを加えました。
前回の記事に引き続き、Cloudflareのセキュリティ機能をご紹介していきます。今回は「ファイアウォールルール」について、主な機能と活用事例をご紹介します。
※クラウドサービスのため、仕様は随時変更されることが想定されます。本記事の内容は2021年1月時点までの検証結果を元にしています。
ファイアウォールルールは、ユーザ自身が作成できるルールで、様々な条件を組み合わせてルールを作成することができます。イメージとしては、一般的なファイアウォールをレイヤ7まで拡張したもので、防御機能をさらに強化することもできますし、防御効果を維持したまま正規ユーザーの通信を通過させる、といったことも可能で、使い方次第で非常に強力なツールとなります。
ルール作成に必要な情報は、ルール名 / 条件式の組合せ / アクション、の3点のみです。
条件式は、主にレイヤ3/レイヤ4/レイヤ7の情報を指定できます。IPアドレス、送信元IPアドレスの国、ポート番号、URI、HTTPヘッダ、HTTPボディ、独自の脅威情報(送信元IPアドレスやbotのスコア)等、様々なものを指定することができます。
アクションは、検知/遮断/チャレンジ(前回の記事でご紹介)の他に、以下のようなものも設定できます。
許可 :他のファイアウォールルールをバイパスします。ただし、マネージドルールはバイパスしません。
スキップ:他のセキュリティ機能を選択し、バイパスさせることができます。
各ファイアウォールルールの評価順序も指定することができます。
ファイアウォールルールは、GUIから簡単に作成することができます。
図2.ルール作成画面
図2では、ルール作成の例として、特に意味のあるものではありませんが、
ルール名:Example Rule
条件:送信元IPアドレスが「192.0.2.0/24」、且つURIパスに「/example/」を含む、且つメソッドが「GET」
アクション:ブロック
としています。
オペレータはフィールドに応じて、等号・不等号、含む、正規表現、また、それらの否定等、様々なものを指定できます。
条件部分は、2種類の方法で作成することができます。
①式ビルダー
図2の通り、GUIから視覚的な操作のみで作成可能です。
ただし、フィールドとして選択できるものは一部のみとなっており、あまり複雑なルールを作成することはできませんが、シンプルなルールであれば簡単に作成することができます。
②式エディター
式ビルダーでは自動的に式が入力されますが、「式を編集」リンクをクリックすることで、ルールを直接記載することができ、より複雑なルールを作成することができます。
Cloudflare Firewall Rules languageという独自の言語ではありますが、
<field> <operator> <value>
と、and/orの組み合わせであり、使用できるフィールドや演算子、詳細な記載方法は、ドキュメントが提供されているため、作りたいルールが明確であれば作成の難易度は高くないと思われます。
具体的にどのようなルールを作成することができるか、いくつか事例をご紹介します。
図3.許可リスト
図4.管理画面へのアクセス元制限
図5.国名での送信元許可
WAFに相当するルール(カスタムシグネチャ)を作成することもできますが、ファイアウォールルールはWAF専用機能というわけではないため、ペイロードはロギングされません。ユーザー自身が作成したルールのため検知条件は当然分かりますが、検知した際にどのような攻撃だったのか、誤検知した際にどの部分で誤検知してしまったのかを確認することはできません。
また、条件にマッチしたものは全てロギングされます。アクションが許可やスキップでもロギングされてしまいます。他の機能(次回ご紹介予定)で代替できるルールの場合には、許可通信の不要なロギングを回避することもできます。
ファイアウォールルールは、一部の情報や活用例しかご紹介することができませんでしたが、アイディア次第で色々なルールを作ることができます。送信元やURIパス等の簡単な条件であればGUI操作だけで直観的に作成することができますし、マネージドルールに不足しているルールを作成することもでき、活用の幅がとても広い機能です。
MBSD-SOCではこれまで多くのカスタムシグネチャを作成してきた実績がありますが、この機能はSOCエンジニア目線としても非常に面白く、これだけでもとても価値の高い機能です。
次回は、マネージドルール、ファイアウォールルールをさらに補完する、その他の様々なセキュリティ機能をご紹介します。
関連記事