LoginSignup
3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@cocotaro0202(Cocotaro0202)

ネットワーク初心者が OCI WAF を設定し不正アクセスを防御できるか試してみた (Bot編)

Posted at

前回はOCI WAF の動作確認するために、以下の一連の流れについて記述しました。

引き続き 今回はさらにBot の対象方法について見ていきます。

OCI WAF の防御フロー

OCI WAF は多層の防御フローにより、不正なアクセスを検知したりトラフィックをブロックしくれます。ハッカーや悪意のあるユーザーのみでなく、プログラムやボット(Bot)にも対応しています。
image-20200917165931135.png

Bot 管理

ナビゲーションメニューから[セキュリティ]-[Webアプリケーション・ファイアウォール] を選択し、前回 定義済みのWAFポリシーをクリックします。
左メニューから Bot管理 をクリックすると、5つのBot管理用のタブページが表示されます。
image-20200917105607077.png

  • [JavaScriptチャレンジ]
  • [ヒューマン・インタラクション・チャレンジ]
  • [デバイスのフィンガープリント・チャレンジ]
  • [CAPTCHAチャレンジ]
  • [良好なBotホワイトリスト]

今回はJavaScriptチャレンジCAPTCHAチャレンジのBot管理について試してみます。

1. JavaScriptチャレンジ

JavaScriptチャレンジは、以下の特性により Bot によるDDoS攻撃などの緩和に使用されます。

  • アクセスしてきたユーザーに簡単な計算JavaScriptを送信。自動返信されなければBotの疑いありと判断
  • 正常なブラウザアクセスか、Botによるアクセスかを区別するためのひとつの方法

JavaScriptチャレンジの設定

[JavaScriptチャレンジ]ページを選択し、[JavaScriptチャレンジの編集]をクリックし設定します。
image-20200917113226246.png
[JAVASCRIPTチャレンジの有効化] チェック(有効化)します
[JAVASCRIPTチャレンジ・アクション] ブロックを選択します
[アクションしきい値(リクエスト数)] 10 に設定 - 10個以上のBotリクエストをブロック
[変更の保存] をクリックし、変更が反映されるまで待ちます。

DDoS 攻撃にどう対処するのか?

Apache Bench から疑似的にDDoS 攻撃して動作を確認します。
image-20200917160653681.png
"100のリクエスト投げて、87リクエストがブロックされ" DDoS攻撃を緩和できたことが確認できました。

また ログでも、JavaScriptチャレンジにより各ブロックの詳細履歴を参照することができました。
image-20200917161223417.png

参考)OCI の DDoS 緩和について

DDoSは、Open Systems Interconnection (OSI)モデルで定義されているように、レイヤー7またはレイヤー3/4 (L3/4)に分類でき、レイヤー7 のDDoS緩和については、上述の例のようにOCI WAF を使い緩和することが可能です。
L3/4 DDoS攻撃は、レイヤー7よりも低いレベルのOSIスタックで発生するDDoS攻撃です。L3/4 DDoS緩和は、元々Oracle Cloud Infrastructure(OCI)によって提供されているとのことです。下記を参照してください。
レイヤー7 DDoS緩和
Don’t just rely on your Cloud Provider for DDoS protection

2. CAPTCHAチャレンジ

CAPTCHAチャレンジとは?

  • CAPTCHA(キャプチャ): Completely Automated Public Turing test to tell Computers and Humans Apart の略
  • チャレンジ・レスポンス認証と呼ばれるセキュリティ方式のひとつ
  • ゆがんだ画像や文字/数字を表示して正しく入力できれば(Botではなく)人間であると判断

​ こんなぐにゃぐにゃ文字だったりします。
image-20200917135015331.png

CAPTCHAチャレンジの設定

[JavaScriptチャレンジ]ページを選択し、[JavaScriptチャレンジの編集]をクリックし設定します。
image-20200917140520933.png
[URLパス] CAPTHA で保護したいURLパスを指定
[送信ボタン] 送信ボタンに表示する文字を指定
[CAPTCHAのプレビュー] をクリックすると、その場でCAPTCHAのプレビューが表示されます。
image-20200917141346225.png
これでよければ、[変更の保存] をクリックし、変更が反映されるまで待ちます。

CAPTCHA の動作確認

ブラウザから指定したURLにアクセスします。正しい文字が入力されるまで、何度もテキスト入力を求められます。
image-20200917143039145.png

正しい文字が入力できると、本来のWebサイトが表示されます。
image-20200917155955903.png

まとめ

OCI WAFは、Webサイトの前で攻撃を多層防御するしくみなので、既存アプリに手を加えることなく素早く導入できて、Bot含め様々な不正アクセスに対処できるところがよいでですね。
設定も簡単、容易でシンプルです。お値段もお安いようです。

参考URL

攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要

Frequently Asked Questions

3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?