Oracle WAF(Web Application Firewall)を利用してOCM(Oracle Content Management)インスタンスを保護する

はじめに

*こちらの記事は、Shengjun Zhuさんの協力の下に作成しました。

Oracle Content Management(OCM)とは
製品の詳細はこちらを参照ください。](https://www.oracle.com/jp/cloud/paas/dx/overview/)

このガイドでは、Oracle WAF(Web Application Firewall)を利用してOCM(Oracle Content Management)インスタンスの保護を実現する方法を説明します。DNS レコードの CNAME エントリを使用して、自分の管理ドメインへの全てのリクエストを WAF にルーティングされ、さらにOracle Content Managementに適切に転送します。HTTPS サポートを有効にするため、管理ドメインの証明書と秘密鍵を事前に用意する必要があります。

アーキテクチャ図

関連リンク

• Configure a Web Application Firewall

1.1. OCMインスタンスの作成

1. OCMインスタンス（このガイドではocm01）を作成します。 （インスタンス作成の詳細ステップは、こちらを参照ください。）
   
2. 後でWAFポリシーの構成に必要になるため、作成したOCMインスタンスのURL（例：https://ocm01-<tenancy>.cec.ocp.oraclecloud.com/documents/home）をメモします。
   

1.2. WAFポリシーの作成

1. クラウドアカウント管理者としてOracle Cloudにサインインします。

2. OCIコンソールで、ナビゲーションメニューから『Webアプリケーション・ファイアウォール』をクリックします。
   

3. 『WAFポリシーの作成』をクリックします。
   

4. 『非OCI Webアプリケーションを保護する必要がある場合は、ここでレガシー・ワークフローを使用します。』の青文字の “ここ”をクリックします。
   

5. 次の詳細を入力します

   • 名前：ポリシーに一意の名前（例えば、ocm_waf）を付けます。機密情報の入力は避けてください。
   • プライマリ・ドメイン：アプリケーションの完全修飾ドメイン名（このガイドは自分のドメインwww.shengjun.tkを利用）を入力します。これは、ユーザーがアプリケーションにアクセスするために使用するURLです。このURLは、OCMインスタンスを指します。
   • 追加のドメイン：オプションで、ポリシーを適用する必要があるサブドメインを入力します。
   • オリジン名：オリジンに一意の名前（例えば、ocm01）を付けます。
   • URI：OCMインスタンスのドメイン名を入力します（このガイドでは、作成したOCMインスタンスのドメイン名：ocm01-<tenancy>.cec.ocp.oraclecloud.comを入力します）。
     

6. ポリシーを保存すると、CNAME値を含むメッセージが表示されます。例えば、default-cname-oci.o.waas.oci.oraclecloud.net。後でドメインのDNS構成のCNAMEを更新するときに必要になるため、この名前をメモしてください。
   

1.3. SSL証明書とキーのアップロード

1. 『設定』をクリックし、『編集』をクリックします。
   

2. 『HTTPSサポートの有効化』をチェックオンにします。このオプションを選択すると、ブラウザーとWebアプリ間の通信が暗号化されます。
   

3. 『設定の編集』ダイアログで、次の詳細を入力します。

   • 証明書ソース：証明書と秘密キーのアップロードまたは貼付け
   • SSL証明書： PEM形式の有効なSSL証明書をドラッグ・アンド・ドロップ、選択または貼付けします。中間証明書も含める必要があります(Webサイト証明書を最初にする必要があります)。 （このガイドでは自分のドメインwww.shengjun.tkの証明書を使用）。
   • 秘密キー：PEM形式の有効な秘密鍵をドラッグ＆ドロップ、ファイルを選択、または貼り付けます。秘密鍵はパスワードで保護できません。（このガイドでは自分のドメインwww.shengjun.tkの秘密鍵を使用）
   • 自己署名証明書：自己署名証明書を使用してブラウザにSSL警告を表示する場合は、このオプションを有効にします。
   • HTTPからHTTPSへのリダイレクト：このオプションを有効にすると、すべてのHTTPトラフィックが自動的にHTTPSにリダイレクトされます。
   • 変更の保存をクリックします。
     

4. WAFポリシーの更新が未公開の変更に表示されます。『すべて公開』をクリックします。
   

5. 『変更の公開』ダイアログで、『すべて公開』をクリックします。
   

1.4. DNS構成を更新する

DNS構成で、ゾーンのCNAMEを更新して、インターネットクライアントからのリクエストをWAFにルーティングします。DNS設定が別のプロバイダーに存在する場合、それらのドキュメントを参照してください。

1. OCIコンソールのナビゲーションから、『ネットワーキング』に移動し、『DNS管理』の配下にある『ゾーン』をクリックします。
   

2. レコードを更新するプライマリドメイン（このガイドは自分のドメインshengjun.tk）のゾーン名をクリックします。ゾーンの詳細とレコードのリストが表示されます。
   

3. CNAMEレコードが存在しない場合、『レコードの追加』を、CNAMEレコードが存在する場合、 CNAMEレコードのチェックボックスをオンにし、『アクション』ドロップダウンメニューから『編集』を選択します。このガイドでは、 www.shengjun.tkと言う名前のCNAMEレコードを追加します。『レコードの追加』ダイアログボックスで、次を入力します。

   • レコード型：CNAME
   • 名前： www.shengjun.tk
   • TTL：30（秒）
   • ターゲット：メモしたCNAMEターゲットdefault-cname-oci.o.waas.oci.oraclecloud.net
     

4. 『送信』をクリックします。『変更の公開』をクリックします。確認ダイアログボックスで、『変更の公開]をクリックします。これにより、www.shengjun.tkへのリクエストをWAFにルーティングします。
   

1.5. インスタンスでWAFを構成する

1. OCMインスタンスの詳細画面で『WAFの構成』をクリックします。
   

2. 『Webアプリケーション・ファイアウォールの構成』ダイアログで、前に作成したWAFポリシーを選択します。WAFポリシーが別のコンパートメントにある場合は、『コンパートメントの変更』をクリックし、正しいコンパートメントを選択します。『変更の保存』をクリックします。
   

3. 管理者としてOracle Content Management webアプリケーションにサインインした後、ナビゲーション・メニューの管理領域で「システム」をクリックします。「システム設定」ドロップダウン・メニューで、「ドメイン」を選択します。「簡易管理ドメイン」ボックスに、CNAMEレコードに追加したドメイン (www.shengjun.tk)を入力し、「保存」をクリックます。
   

4. 簡易管理ドメインの追加には、最大30分かかります。このプロセスが完了すると、ドメインが機能していることをテストするよう求める電子メールを受信します。
   
   

5. 電子メールを受信した後に、Oracle Content Management web画面をリフレッシュします。そちらから「ドメインの検証」をクリックします。60分以内にドメインを検証する必要があります。そうしないと、変更が元に戻されます。
   

6. ドメインを検証すると、「ドメインがアクティブです」というメッセージが表示されます。Oracle Content Managementによって、簡易管理ドメインを介してインスタンスにアクセスできることを通知する電子メールがすべてのユーザーに送信されます。
   
   

1.6. WAFとOCMの連携の動作確認

1. https://www.shengjun.tk/documents/homeをアクセスし、OCMサイトが表示することを確認します。（自己署名証明書を利用する場合、警告が表示されたら、承知した上で続行します）
   
2. オリジナルOCMインスタンスのURL（例：https://ocm01-<tenancy>.cec.ocp.oraclecloud.com/documents/home）をアクセスし、設定した簡易管理ドメイン（https://www.shengjun.tk/documents/home）に自動的にリダイレクトされることを確認します。

1.7. WAFポリシー更新

1. 作成したWAFポリシーocm_wafを更新します。WAFポリシー詳細画面で『保護ルール』をクリックし、Shellshock exploit attempt を保護ルールから選択し、ブロックをクリックします。

   画面左側の『フィルタ』から、ルールIDによる保護ルールの検索が可能です。
   保護ルールID:1000000から検索してください。
   
   Shellshock exploit attemptはシェルからの攻撃を指します。
   

2. 続いて、保護ルールの『設定』のタブを開きます。『ルール設定の編集』をクリックします。

3. 『ルール設定の編集』画面にて、ブロック・アクションを『エラー・ページを表示』に変更し、画面下部の『変更の保存』ボタンをクリックします。

4. WAFの更新を公開します。20-30分ほどで、変更内容が公開されます。

1.8. 再度WAFとOCMの連携の動作確認

1. Curlコマンドでアプリにアクセスできることを確認PCでターミナルを開き、以下コマンドを入力します。

   $ curl –k https://www.shengjun.tk/documents/home(-k オプションで自己署名証明書の警告を無視できます)
   

2. 続いて、攻撃コマンドを実行します。保護ルールで設定した エラー・メッセージが表示されます

   curl -A -k "() { :;};echo Content-type text/plain;echo:/bin/cat/etc/passwd" https://www.shengjun.tk/documents/home
   

3. WAFポリシーの詳細画面で、『ログ』をクリックします。WAFポリシーのログが表示されます。

   デフォルトは、直前のログだけ表示されます。
   ログが見つけない場合、フィルタ条件の『開始日』、『開始時間』、『終了日』または『終了時間』を変更してください。
   

以上になります。