お問い合わせ

お問い合わせ
お電話

お電話

ビジネスパートナー募集

0120-941-670

平日 10:00~19:00

お問い合わせ お問い合わせ

お問い合わせ
資料DL 資料DL

資料DL
検索 検索

検索
twitter

公式X
facebook

公式Facebook

Close

テックブログ

セキュリティ

Linux サーバー サーバ保守 セキュリティ

ossecとは何ぞや?

こんにちは。技術部のKです。

今回はまたまたWAF関連のお話になります。

弊社ではWAF製品として、「攻撃遮断くん」をご提供しており、特にサーバーセキュリティタイプはお客様の中でもご利用の多い製品となっております。

この「攻撃遮断くんサーバーセキュリティタイプ」や、または別のWAFソフトウェアの「Deep Security」もセキュリティログ監視エンジンとして、
ossec】というオープンソースソフトウェアを使用しております。

ossecはホスト型IDSと呼ばれ、WEBサーバのログを解析して不正アクセスをブロックする機能を持っています。

基本的には以下の図のように、管理サーバとエージェントで構成されます。

・管理サーバ … エージェントから送信されたログを解析、攻撃の可否判断をしてエージェントにブロック指示
・エージェント … 守るべきWEBサーバ

※ossec公式より

自動でやってくれて非常にありがたいのですが、どのような判定をしているのか気になりませんか?

試しにossecの管理サーバソフトウェアをインストールして、中を見てみました。

インストールにはossec公式より参照しました。
※インストール方法は割愛します。

https://www.ossec.net/download-ossec/

https://www.ossec.net/docs/docs/manual/installation/install-source.html

中を見てみると、攻撃判定に使用する定義(web_rules.xml)があります。
この定義に合致したアクセスが攻撃と判定されます。
いくつか見ていきましょう。

これはSQLインジェクションの判定ルールです。
selectやinsertなどDB操作をしようとするアクセスを判定するルールになっていますね。

  <rule id="31103" level="6">
    <if_sid>31100,31108</if_sid>
    <url_pcre2>=select%20|select\+|insert%20|%20from%20|%20where%20|union%20|</url_pcre2>
    <url_pcre2>union\+|where\+|null,null|xp_cmdshell</url_pcre2>
    <description>SQL injection attempt.</description>
    <group>attack,sql_injection,</group>
  </rule>

こちらはクロスサイトスクリプティングの判定ルールです。

  <rule id="31105" level="6">
    <if_sid>31100</if_sid>
    <url_pcre2>%3Cscript|%3C%2Fscript|script>|script%3E|SRC=javascript|IMG%20|</url_pcre2>
    <url_pcre2>%20ONLOAD=|INPUT%20|iframe%20</url_pcre2>
    <description>XSS (Cross Site Scripting) attempt.</description>
    <group>attack,</group>
  </rule>

こちらはWordPressログイン画面へのアクセス判定でしょう。

  <rule id="31509" level="3">
    <if_sid>31108</if_sid>
    <url_pcre2>wp-login\.php|/administrator</url_pcre2>
    <pcre2>\] "POST \S+wp-login\.php| "POST /administrator</pcre2>
    <description>CMS (WordPress or Joomla) login attempt.</description>
  </rule>

こちらはPHPMyAdminへのアクセス判定でしょう。

  <rule id="31515" level="6">
    <if_sid>31100</if_sid>
    <url_pcre2>phpMyAdmin/scripts/setup\.php</url_pcre2>
    <description>PHPMyAdmin scans (looking for setup.php).</description>
   </rule>

当然ossecはオープンソースなので、自前でIDSサーバを立ち上げることもできますが、
管理サーバ自体の管理や、判定ルールの更新などかなり煩雑さが想定されます。

そこで、【攻撃遮断くん】です。

管理サーバ、ルールの管理、更新も提供元であるCSC社が管理しておりますので、運用も容易になること間違いありません。

ぜひ、攻撃遮断くん導入は 弊社に お任せください!

どうぞ今後ともネットアシストをよろしくお願い致します。

この記事をシェアする

  • facebook
  • twitter
  • hatena
  • line
URLとタイトルをコピーする

実績数30,000件!
サーバーやネットワークなど
ITインフラのことならネットアシストへ、
お気軽にご相談ください

0120-941-670

【受付時間】 10:00~19:00(平日)

お問い合わせ