WAFの特徴、背景、過去問例です。
【特徴】
- WAF(Web Application Firewall)
- Webアプリケーションの脆弱性を狙う攻撃からWebアプリケーションを保護するセキュリティ対策の一つで、Webサーバの防御に特化したファイアウォールのこと。
- Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御する。
- アプリケーション層で動作するファイアウォールであり、Webサーバへの通信を監視して、ログとして保管する。
- あらかじめ登録された不審なアクセスのパターンを検知したり、データ中に個人情報など特定のパターンを発見して、ブロックすることもできる。
- 導入形態には、専用ハードウェア、ゲートウェイなどのサーバ上で動作させるソフトウェア、Webサーバ自体に実装するモジュールなどがある。
- 動作モードには、リバースプロキシとして動作するもの、アクセスを透過するものがある。
- WebアクセスがSSL/TLSで暗号化されていると通信内容を解析できないため、WAF自身がTLS通信を終端、復号してから解析するものもある。
【背景】
- Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行う場合がある。(例えば、クロスサイトスクリプティングやSQLインジェクションなどによる攻撃) 本来は、Webアプリケーション側で脆弱性の修正で対処することが望ましいが、即時に対応できない場合が多いのが実情である。
- WAFは、Webアプリケーションの実装面の根本的な対策ではなく、攻撃による影響を低減するための対策という位置付けのものである。
【過去問】
平成29年度 秋期 ネットワークスペシャリスト試験
WAFの説明はどれか。
ア Webアプリケーションへの攻撃を監視し阻止する。
イ Webブラウザの通信内容を改ざんする攻撃をPC内で監視し検出する。
ウ サーバのOSへの不正なログインを監視する。
エ ファイルのマルウェア感染を監視し検出する。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前1 問15】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_koudo_am1_qs.pdf
ア (正解)Webアプリケーションへの攻撃を監視し阻止する。
WAFの説明です。
イ Webブラウザの通信内容を改ざんする攻撃をPC内で監視し検出する。
Webブラウザの通信内容を改ざんする攻撃としては、MITB(Man In The Browser)が相当します。
PC内にマルウェアとして潜入して、オンラインバンキングなどの操作を乗っ取ったりして、振り込み口座などを変更したりする攻撃があります。
利用者にとっては気付きにくい攻撃ですが、暗号化や認証などの対策を行います。
ウ サーバのOSへの不正なログインを監視する。
サーバ本体のOSへのログインを監視するには、侵入検知システム(IDS(Intrusion Detection System))や侵入防止システム(IPS(Intrusion Prevention System))などを利用します。
エ ファイルのマルウェア感染を監視し検出する。
ファイルのマルウェア感染を監視・検出するのは、ウィルス対策ソフトやアンチウィルスソフトと呼ばれるものです。
マルウェアの検出には、コードの一部などパターンファイルでのマッチングによるものと、ヒューリスティック法という通常のファイルとは異なる挙動を検出する方法があります。