現在位置: ホーム / セキュリティ ブログ / OWASP ModSecurity CRS Version 3.0 rc1について

OWASP ModSecurity CRS Version 3.0 rc1について

8月にOWASP ModSecurity CRS Version 3.0のRC1がリリースされたので、ModSecurity CRS Version 3.0について、簡単に見てみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、OWASP ModSecurity CRS Version 3.0が8月にRC1がリリースされたので、ModSecurity CRS Version 3.0について、簡単に見てみます。



OWASP ModSecurity CRS(Core Rule Set)とは

広く知られているように、ModSecurityはOSSのWeb Application Firewall(WAF)です。現在は、TrustwaveSpiderLabsが開発を行っています。

このModSecurityは色々なhttpdサーバと組み合わせて使う事が可能で、既にこのセキュリティブログで紹介したように、nginxとModSecurityを組み合わせてWAFを作ることも可能です。

このModSecurityでは、攻撃検知のためのルールセットが用意されており、それらを有効・無効・修正することで検知を行ったり精度を高めていったりします。この準備された基本となるルールセットは「Core Rule Set (CRS)」と呼ばれており、現在はOWASPがCRSをメンテナンスしています。

このCRSですが、現在のバージョンは2.x(2016/03/09に2.9.1がリリースされています。)となっています。

このCRSの3.0 RC1が2016/08/16にリリースされたため、この記事では新しい機能などの差分を見ていきたいと思います。

OWASP Core Rule Set(CRS) v3.0について

CRS v3.0 RC1での改善点で目立った所が、上述のRC1のサイトに載っていますので、主だった所を説明します。

  1. ModSecurityの代表的な機能(libinjectionなど)を利用できるようになった

    libinjectionは、Black Hat USA 2012で紹介された、SQLi攻撃の迅速で正確な検知を行えるもので、mod_securityやirobee, その他ハニーポットや様々なWAFで動作しています。CRS v3.0からは、これも利用できるようになっています。

  2. 新たに、false positiveを減らすために偏執的レベルで改良を行った

  3. CRSをこれまで以上に有効にするための新しい防御

  4. 現在の多くのルールで有効性の改善

  5. より多くのドキュメントと、直感的なファイルレイアウト

  6. 多くの一般的なfalse positiveの軽減

  7. サンプリングモードなどの、設定オプションの追加

  8. テスト・サポートスクリプトの追加

  9. アノマリーベースの保護をデフォルトに

パフォーマンスについて

新しいバージョンのリリースということで、パフォーマンスがどうなるかという点も気になる所です。Trustwaveのブログでも、パフォーマンス測定の結果が公開されていますが、v2.2.9に比べてv3.0はJMeterで計測した所、パフォーマンスがやや悪くなっています。

これに関しては、現在OWASPの方でも問題点の把握などに取り組んでおり、現時点ではRC1ということもあるため、正式リリースまでには改善されるものと思われます。

まとめ

ModSecurity CRS version 3.0では、色々な改良点が加えられています。

これを機に、WAFのテストと導入を検討してみるのもいいでしょう。

また、実際にはWAFは導入後のメンテナンスと運用が重要になってきます。

これらに関しても、別の機会でご紹介したいと思います。

[セミナー告知]

9/14に「OSSセキュリティナイター vol.2」と題して、セキュリティのセミナーを行います。

この回では「まだまだ続く急増するランサムウェア その脅威とOSSの対策」として、ランサムウェアのリスクとOSSでの対策方法などをお話します。


また、LinuxFoundationでのセキュリティに対する取り組みや、Intel Security (マカフィー株式会社)による脆弱性リスク管理も併せてご紹介します。


http://connpass.com/event/37360/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン

最新の記事
Ansibleに複数の脆弱性(CVE-2017-7466, CVE-2017-7473, CVE-2017-7481) 2017年07月24日
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - July 2017) 2017年07月21日
MySQLの脆弱性情報(Oracle Critical Patch Update Advisory Jul) 2017年07月21日
Linux Kernelの脆弱性(CVE-2017-11472, CVE-2017-11473) 2017年07月21日
wiresharkに複数の脆弱性(CVE-2017-11406, CVE-2017-11407, CVE-2017-11408, CVE-2017-11409, CVE-2017-11410, CVE-2017-11411 ) 2017年07月20日
FreeRADIUSに複数の脆弱性 ( CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987, CVE-2017-10988 ) 2017年07月18日
PHPの脆弱性( CVE-2017-11362 ) 2017年07月17日
QEMUの脆弱性( CVE-2017-11334 ) 2017年07月17日
linux kernelの脆弱性( CVE-2017-11176 ) 2017年07月16日
Apache httpd に複数の脆弱性 ( CVE-2017-9788, CVE-2017-9789 ) 2017年07月14日
Sambaに権限昇格の脆弱性(CVE-2017-11103) 2017年07月13日
PHPに複数の脆弱性(CVE-2017-11142, CVE-2017-11143, CVE-2017-11144, CVE-2017-11145, CVE-2017-11146, CVE-2017-11147, CVE-2016-10397) 2017年07月11日
QEMUの脆弱性( CVE-2017-9524 ) 2017年07月09日
Xenの脆弱性 ( XSA-216, XSA-217, XSA-218, XSA-219, XSA-220, XSA-221, XSA-222, XSA-223, XSA-224, XSA-225) 2017年07月09日
ncursesに関しての複数の脆弱性(CVE-2017-11112, CVE-2017-11113) 2017年07月09日
systemdの脆弱性( CVE-2017-1000082 ) 2017年07月09日
libgcryptの脆弱性( CVE-2017-7526 ) 2017年07月06日
linux kernelの脆弱性( CVE-2017-8797 ) 2017年07月03日
bind 9 に複数の脆弱性 ( CVE-2017-3142 , CVE-2017-3143 ) 2017年06月30日
systemd-resolvedの脆弱性(CVE-2017-9445) 2017年06月29日
最新の記事 - もっと...