mod_securityの話。100％のWAFじゃないけど、40％でも危ないのを落とせたらいいんじゃないか？って考えて入れてみるのも一つの手。

Breach Security, Inc.は9月24日(米国時間)、ModSecurityの最新版であるModSecurity v2.5.10をリリースした。
ModSecurityはWebアプリケーションファイアウォール(WAF)のひとつで、Apacheのモジュールとして動作する。リクエストヘッダや引数・表示するコンテンツなどから攻撃や脆弱性を検出し、悪意あるユーザの攻撃からWebアプリケーションを守ることができる。セキュリティフィルタは最初から用意されているもの以外にも、Luaを使用して自分で作成することもでき、柔軟な設定をおこなうことが可能だ。

http://journal.mycom.co.jp/articles/2009/09/29/modsecurity/index.html

v2.5.10でのおもな変更点は次のとおり(CHANGES_2.5.10.txtより一部を抜粋)

• Windowsビルドでのmlogcをクリーンアップ
• フィルタ中の詳細なメッセージを"Unknown error"に置きかえ
• SecUploadFileModeの実装をクリーンアップ
• ビルドスクリプトのクリーンアップ
• コンフィグ中でSecMarkerがほかのルールより前に使われていた場合、クラッシュする不具合を修正
• ルールチェーン中でのSecRuleUpdateActionByIdの動作を修正
• ほか約20項目の修正

http://journal.mycom.co.jp/articles/2009/09/29/modsecurity/index.html

基本的に全部見ると速度問題も出ると思いますが、予防線としては良いかもしれませんね。

mod_security2.confをそのままロードすると、これらの項目すべてが検出されるようになる。なかにはホスト名がIPアドレスの場合、アクセス不能になってしまう項目もあるので必要なものだけを抜き出して使うようにしよう。
管理者の知らぬ間にセキュリティ不備のあるWebアプリケーションがデプロイされていても、ModSecurityをインストールし適切に設定しておくことで、ある程度の予防線をはることができる。とくに昨今はWebアプリケーションの需要が高く、危険にさらされる機会もおおい。用意されているすべての機能を使いこなせるようになるまでには苦労しそうだが、覚えておいて損はないプロダクトだろう。

http://journal.mycom.co.jp/articles/2009/09/29/modsecurity/001.html

安全ではなく、ちょっとした安心であって、根本は開発時のセキュア化と管理者がセキュア設定をする必要があるってのは間違えない。

ただ「とりえあずModSecurityをインストールしたからもう大丈夫」と安心してしまうことだけは避けたい。「どのような攻撃の手法があり」「どのような実装がセキュリティホールとなり得るか」をサーバ管理者やWebデベロッパが理解し、防衛策を実際にはれることが大事だ。使用前にドキュメントや各種コンフィグファイルのコメントを熟読しておきたいところだ。これらの点を踏まえ、WebサーバにApacheを使用しているユーザ/デベロッパは、導入を検討してみてはいかがだろうか。

http://journal.mycom.co.jp/articles/2009/09/29/modsecurity/001.html