Category: Security

Basic認証はWebの特定の領域にアクセス制限をかける認証方法
Basic認証が設定できる範囲は基本的にディレクトリ単位のみとなる
.htaccessファイルを設置したディレクトリ全体がBasic認証の範囲となる(ルートディレクトリに.htaccessを設置することで全体にベーシック認証をかけている)

### AWS WAFだけのBasic認証の設定
WAF Ruleの作成
– If a request: doesn’t match the statement(NOT)

– Inspect: Header
– Header field name: authorization
– Match type: Exactly matches string
– String to match: Basic xxxxxxx (User:PasswordをBase64エンコードした値を設定)
$ echo -n user:password | base64

Action
– Block
– Enable, 401
– Key: www-authenticate, Value: Basic

Basic認証完了後はブラウザを閉じるまで有効
ベーシック認証は、ユーザーが正しいIDとパスワードで認証に成功した場合、ブラウザを閉じるまでの間は再認証なしで何度でもアクセスすることが可能になります。ブラウザさえ閉じていなければ、仮に、違うWebサイトを閲覧した後でも認証なしで再びアクセスすることが可能です。

ブラウザがログイン情報を記録
一度ベーシック認証で認証に成功してしまえば、ユーザー名とパスワードはブラウザに記憶され、再び入力する手間を省くことができます。ただし、あくまでブラウザに依存する機能なので、ブラウザの種類やバージョン、ネットワークの状態によってはログイン情報が保存されない可能性があります。また、スマホではベーシック認証のログイン情報が保持されないことがほとんどですので、利用する際のブラウザやデバイスには注意が必要です。

なるほど、ブラウザ側の仕様なのね。少し理解した。

Webサイトが改ざんされていないかを監視
24時間自動で定期監視し、改ざんを検知した際は登録されたメールアドレスへ自動通知サービス
更新か改ざんかを見分けて、改ざんの場合はメール通知

なるほど、そこまで用途の拡張性はなさそうかな

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること

データの暗号化/複合化に利用するKeyをセキュアに管理するのがAWS KMSです。
暗号化/複合化のためのキーをAWS KMSで簡単に生成でき、AWS KMS上にキーを保管することができる。

1. KMS上にCMKを作成
暗号化するときに利用するキーを生成するためのCMLを作成

2. CMKのKeyIDからデータキーを作成
CMLを元にしたKeyIDからデータキーを作成する
– 暗号化用のデータキー:データを暗号化するためのキー
– CMKを元に暗号化されたデータキー：　データ複合化のために利用するキー

なるほど、使ってみないとわからんな。

WafCharmは、世界中のwebに対する攻撃パターンをAIによって学習し、AWS WAF/Azure WAFのルールを最適化させるWAF自動運用サービス
月額5000円~
サイバーセキュリティクラウド社が提供

なるほどー

### SSL証明書とは?
Webサイト運営者が存在していることを確認し、ブラウザとサーバ間でのやり取りされるデータの暗号化を行う電子証明書
通信を暗号化できる
ドメイン名や会社の実在証明ができる

### SSL証明書の種類: DV, OV, EV
DV(ドメイン認証): ドメイン認証　… 低
OV(実在証明型): ドメイン認証、会社実在認証(会社名、所在地)… 中
EV(実在証明拡張型): ドメイン認証、会社実在認証(会社名、所在地)、電話認証(在籍確認、会社運用状況確認)… 高

SSL証明書はブラウザ上で確認できる

CyberTrustのEV証明書だと、証明書の中に社名の表示ができる

なるほどーーーーーーーーーー
すげーわ、ガチで。。。

Scutumはクラウド型WAF
DNSでScutumに向くように設定変更するだけでWAF導入が可能
初期:98,000円、月額29,800円

### Scutumの機能
認証: 総当たり、パスワードリスト攻撃
クライアント側での攻撃: クロスサイトスクリプティング、CSRF
コマンドでの実行: SQLインジェクション、バッファオーバーフロー、OSコマンドインジェクション、XPathインジェクション、書式文字列攻撃、LDAPインジェクション、SSIインジェクション、リモートファイルインクージョン、安全でないデシリアライゼーション
情報公開: ディレクトリインデクシング、情報漏洩、パスとラバーサル、リソース位置の推測、XXE脆弱性
ミドルウェア/フレームワーク: ShellShock, Apache2 Struts2, POODLE攻撃、SSL BEAST攻撃、HTTPリクエストスマグリング
マルウェア拡散： ドライブバイダウンロード攻撃
サービス運用妨害: DDoS攻撃

なるほどー 攻撃から守るってのは受け身やな

不正侵入を検知・防御するシステム
IDS・IPSではファイアウォールでは実現できない対策が可能

IDSはIntrusion Detection Systemの略で、ネットワークに対して不正なアクセスがないかをリアルタイムでチェックして、疑わしい内容があれば管理者へ通知を行う

### ネットワーク型
ネットワーク型はネットワーク上に設置し、パケットを監視する

### ホスト型
監視対象のサーバなどにインストールして使われるタイプ

### シグネチャ型とアノマリ型
シグネチャ型は、異常なアクセスのパターンを予め登録しておき、通信内容とそれが一致すれば不正と判断する検知方法
アノマリ型とはシグネチャ型と反対で、正常なアクセスパターンを事前に登録しておき、登録済のパターンと大きく異なるアクセスを見つけた場合は不正と判断する手法。

### IDS/IPSの効果
DoS攻撃、Synフラッド攻撃などに有効
ファイアウォールでは異常と検知されないものでも、パケットの内容からIDS/IPSでは検知が可能

### WAF(Web Application Firewall)
WAFはWeb Applicationに特化しているが、IPSはサーバ・ネットワーク全体

IDS/IPSはパケットの中身までチェックする

### Linuxで使えるホスト型IDS
Tripwire
http://www.tripwire.org/

$ sudo apt -y install tripwire

なんかすごいな

### WorkLoadSecurity
Trend Microの製品
$ sudo dpkg -i
開始: /etc/init.d/ds_agent start
停止： /etc/init.d/ds_agent stop
リセット： /etc/init.d/ds_agent reset
再起動： /etc/init.d/ds_agent restart
表示ステータス： svcs -a | grep ds_agent

なるほどな、インフラのこと、完全に見誤ってたわ
これは凄いわ

### Browser Exploit Against SSL/TLS(BEAST)とは
SSL 3.0 の CBC モードを利用している場合、プロトコルに存在している脆弱性が悪用される可能性がある
暗号化ブロックの境界位置をイヴが自由にずらすことで、常に1バイトずつのブルートフォース攻撃が可能になる

### 対策
これらのプロトコルをサポートするサーバで TLS 1.2 または TLS 1.3 を有効にします。
これらのプロトコルをサポートするウェブブラウザで TLS 1.2 または TLS 1.3 を有効にします。

UbuntuではTLS1.2がデフォルトで有効になっている
なるほどー、最新OSを使うのは大事だな

### RC4暗号とは？
1ビット単位で暗号化・復号が可能なストリーム暗号（stream cipher）で、WEPやWPA、SSL/TLS、sshなど様々なプロトコルの暗号方式の一つとして採用
RC4は脆弱な暗号方式とされており、ブラウザのサポートが順次終了して利用できなくなる

RC4 暗号が暗号化で保護されなくなったため、RC4 のサポートが削除されるという合意が業界全体で存在している

### 無効化の方法
ubuntuの場合
/etc/apache2/site-available/default-ssl.conf

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!3DES:!RC4

sudo systemctl restart httpd.service

2^30.6 byteのキーストリームにより識別可能
2^44.7 byteのキーストリームにより識別可能
などが原因らしい
なるほどー