NGINXを利用してWAFを作る。

WAFとは Web Application Firewallの略であり。Web Serverに対する HTTP レイヤからの攻撃を観測・遮断する機能を持つものである。

一般にWAFには、遮断モードと観測モードがある。

• 遮断モード : 攻撃を検出したら遮断する
• 観測モード : モニターモードなどともいう。攻撃を検出しても記録するだけ

WAFやIPSは、その挙動から、Proxy-WAFとTransparent-WAF(透過WAF)がある。

• Proxy-WAF : Proxy Serverのように、HTTP/TCP 通信を、一度WAFで終端し、WAFからバックエンドのServerにリクエストする。
• Transparent-WAF : Bridgeのように、通信経路中に存在を見せず、TCP的には透過しているように見せる

WAFの攻撃検知方法としては、Signature型とAnomaly型がある。

• Signature型 : 攻撃検出に(正規表現などを利用した)Signatureを利用するもの。Signatureがない攻撃は検出できない
  • Signatureが命であるため、常にSignatureのメンテナンスが必要
  • 無料で利用できるSignatureとして、OWASPのCRS(Core Rule Set)がある
• Anomaly型 : 攻撃検出に、通信の振る舞いを見るもの。初期の段階で通信パターンの学習が必要

NGINXで実装可能なWAFは、mod_securityによるものがSignature型、NAXIの夜ものがAnomaly型といえる。