Webサイトへの攻撃の手口も巧妙化されてきているよ。
最近、レンタルサーバー会社のサイトで機能紹介(スペック紹介)で「WAFあり」の記載が多くなってきたような気がします。
さくらインターネット
ロリポップ!
他にも
- Zenlogic
- KAGOYA
- ヘテムル
など大手のレンタルサーバー会社もレンタルサーバーに対してWAF機能を導入するようになりました。
WAF(Webアプリケーション・ファイアウォール)とは
WAFは、レンタルサーバーを狙った攻撃をブロックします。
特にWordPressは、PHP&MySQLで動作し、様々なプラグインが動いているので脆弱性を狙われることが多いです。
※逆にhtmlペースのシンプルなサイトは、脆弱性が発生しにくいです。(パスワードが緩いとか、権限設定が間違っているとかあれば別ですが)
WAFは、
- ファイアウォール(Firewall、FW)
- IDS(侵入検知システム)
- IPS(侵入防止システム)
で防御できないサーバーへの攻撃をブロックします。
例えば、以下の攻撃をブロックできます。
- サイト乗っ取り
- サイト改ざん
- 情報漏えい
簡単に説明すると、WAFはプロトコルのデータの中身までチェックして、Webアプリケーションの脆弱性に対する攻撃を検知・ブロックしてWebアプリケーションを保護します。
WAFは具体的にファイアウォールと何が違うのか?
だったらファイアウォールとWAF、何が違うんだろう?
「ファイアウォールがチェックする部分」が異なります。
具体的に見ていきましょう。
ファイアウォールはヘッダー部分をチェックする
ファイアウォールがチェックするのは下図のようにIPヘッダ部分とTCPヘッダ部分です。
つまり、
- どのプロトコル(TCP/UDP)を通すのか?
- どのIPアドレス(192.1689.1.1など)を通すのか?
- どのポート番号(HTTP、FTPなど)を通すのか?
という部分です。
分かりやすく言えば、郵便物の「宛先住所」や「氏名」、「送り元住所」や「送り元氏名」を確認しているだけです。
しかしWAFはデータ部分まで見ています。
郵便物なら封を開けて、手紙の内容まで見ているということになります。
ここまで来ると、完全に「検閲」ですよね。このレベルです。
WAFはデータの中身までチェックしている
WAFはパケットのデータ部分までチェックしています。
そして、このパケットがWebサーバー(Webサイト、レンタルサーバー)にアクセスしても問題ないかを確認しています。
もしWAFがない環境とすると、たとえばクライアントPCからHTTPプロトコルで送信されたHTTPリクエストは、内容をチェックされないのでサーバーのWebアプリまで到達してしまう可能性があります。
FW と IDS と IPS と WAF の違いをまとめると
- ファイアウォール(FW)
→ポートスキャン
- IDS/IPS
→Dos攻撃、Synフラッド攻撃
- WAF
→クロスサイト・スクリプティング、SQLインジェクション、OS・Webアプリケーションの脆弱性攻撃
WAFを導入しているレンタルサーバーまとめ
最後にWAFを導入しているレンタルサーバーをまとめます。
- さくらのレンタルサーバー
- Zenlogic
- KAGOYA
-
- ヘテムル
コメント