ヘルプ

＜サーバセキュリティタイプ＞

攻撃遮断くんの監視センターに障害が発生しても、お客様のWEBサービスに影響はありません。

検知・遮断動作が一時的に利用できない状況になります。

 

＜WEB/DDoSセキュリティタイプ＞

攻撃遮断くんのWAFセンターに障害が発生した場合は、一時的にWEBサービスの閲覧に影響があります。

障害発生時は、お客様にてDNS設定を変更していただく必要があります。

（遮断くんを経由しない設定に戻していただきます）

攻撃遮断くんのお申込みに必要なIPアドレス（サーバからインターネット網に出たときに使用されているIPアドレス）を確認する場合は以下の方法を参照してください。

■Linuxの場合

# curl ifconfig.me
# curl ieserver.net/ipcheck.shtml
# curl ipcheck.ieserver.net

■Windowsの場合

ブラウザから、以下のいずれかのURLにアクセスして確認

http://ifconfig.me/ 
http://ieserver.net/ipcheck.shtml
http://ipcheck.ieserver.net/

-------------------------------------------------------------------------
通信時に受け付けたIPアドレスをそのまま表示させるサーバとなります。ここで表示されたIPアドレスが、各サーバがインターネット網に出たときに使用されているIPアドレスであり、表示されたIPアドレスが、攻撃遮断くんでお申込み時に必要なIPアドレスとなります.

ロードバランサー環境への導入は可能です。

ロードバランサー環境では、攻撃遮断くんエージェントを導入するWEBサーバでアクセス元クライアントのIPアドレスをログに出力してください。

「クライアント」 -> 「ロードバランサ ー」 -> 「WEBサーバ」

上記構成の場合、WEBサーバにロードバランサーのIPアドレスが出力されることがあります。

ログフォーマット変更でX-Forwarded-Forヘッダーの値をアクセスログに出力することも可能ですが、一部のフォーマットでは対応できない場合があります。

ログフォーマットについては別途ご相談ください。フォーマットやアクセスログのサンプルをいただければ調査が可能です。

 

<サーバセキュリティタイプ>

サーバ単位の契約です（FQDN単位の契約は不要です）。

 

<WEB/DDoSセキュリティタイプ>

FQDN単位で契約が必要です。

攻撃遮断くんのホワイトリストは、検知・遮断対象から除外するIPアドレスリストです。

社内からのアクセスなど信頼できるIPアドレスを登録することで、誤検知（フォルスポジティブ）を防ぎます。

 

攻撃遮断くんでは遮断モード（IPSモード）と検知モード（IDSモード）の切替が可能です。

本番稼働前に誤検知を確認する場合は、検知モードで数日稼働し検知状況を確認してから遮断モードへ切り替えて運用してください。

＜サーバセキュリティタイプ＞

エージェントのインストールをするだけで導入が可能です。

サーバの再起動は不要です。

詳細はマニュアルをご確認ください。

 

＜WEB/DDoSセキュリティタイプ＞

DNS設定変更により名前解決結果を攻撃遮断くんWAFセンターに向ける必要があります。

詳細はマニュアルをご確認ください。

DDoS検知の詳細仕様はセキュリティ観点上の理由から公開していません。

 

攻撃遮断くんはオリジンサーバへのリクエスト時に以下のヘッダーを追記します。

ヘッダー	内容
X-Forwarded-For	接続元IPアドレスを付与 ※既存ヘッダーがある場合は値を右に追記
X-Real-IP	接続元IPアドレスを付与 ※既存ヘッダーがある場合は値を上書き
X-Forwarded-Host	hostヘッダー情報を付与 ※既存ヘッダーがある場合は値を上書き
X-Forwarded-Server	hostヘッダー情報を付与 ※既存ヘッダーがある場合は値を上書き

※レスポンスヘッダー情報の書き換えは行いません

攻撃遮断くんはクライアントのIPアドレスをX-Forwarded-Forに付与します。

オリジンサーバ側ネットワークでは、クライアントIPアドレス「X-Forwarded-For（L7：ヘッダー）」と攻撃遮断くんIPアドレス「REMOTE_ADDR（L3：接続元IPアドレス）」によるログ出力やIP制御を実施してください。
 

■X-Forwarded-For出力例

X-Forwarded-Forの出力内容はネットワーク構成により異なる場合があります。

【基本構成】
─────────────────────────────────────────────
クライアント[203.0.113.1] -> 攻撃遮断くん[203.216.216.1] -> オリジンサーバ
─────────────────────────────────────────────

X-Forwarded-For: 203.0.113.1
REMOTE_ADDR（接続元IPアドレス）: 203.216.216.1

【CDN経由構成】
─────────────────────────────────────────────
クライアント[203.0.113.1] -> CDN[203.0.113.2] -> 攻撃遮断くん[203.216.216.1] -> オリジンサーバ
─────────────────────────────────────────────

X-Forwarded-For: 203.0.113.1, 203.0.113.2
REMOTE_ADDR（接続元IPアドレス）: 203.216.216.1

※REMOTE_ADDRはHTTPリクエストヘッダー情報ではありません
※X-Forwarded-Forヘッダーが存在する場合は値を最右へ追記します

 

■攻撃遮断くんのIPアドレス

攻撃遮断くんのIPアドレス（REMOTE_ADDR）は、管理画面[Web/DDoSタイプ設定] > [サービスの詳細] > [FQDNの詳細]をご確認ください。

 

ルール詳細および一覧は、セキュリティ観点上の理由から公開しておりません。

誤検知やルールカスタマイズが必要な場合は個別にお問い合わせください。

監視センターサーバのポート番号は、エージェントキーごとに異なります。

【確認方法】
管理画面[サーバタイプ設定] > [（登録したIPアドレスの）「詳細を見る」]をクリック

※エージェントが初期設定の場合、オンラインにはならないためご注意ください

DNSの設定を変更後は送信元が攻撃遮断くんのIPアドレスに変更されます。

元のクライアントIPアドレスは、X-Forwarded-Forリクエストヘッダーに付与します。

必要に応じてご利用環境の設定を変更してください。

Webサーバ側のファイアウォールで接続元IPアドレスを制限している場合は、攻撃遮断くんWAFセンターのIPアドレスを許可してください。

───────────────────────────────────────────────
「クライアント」 -> 「攻撃遮断くんWAFセンター」 -> 「ファイアウォール（許可）」 -> 「Webサーバ」
「クライアント」 -> 「ファイアウォール（拒否）」 -> 「Webサーバ」
───────────────────────────────────────────────
※ファイアウォール設定についてはご利用機器のサービス提供元へご確認ください
 

■WAFセンターのIPアドレス確認方法

【Webサイト入れ放題プラン】

専用基板のWAFセンターIPアドレスは、管理画面[Web/DDoSタイプ設定] > [サービスの詳細] > [FQDNの詳細]をご確認ください。

※Active/Standbyの2IPアドレスが記載されているため、両方の許可が必要です
 

【1サイトプラン】

共有基盤のWAFセンターIPアドレスはこちらのマニュアルを参照ください。

※Active/Standbyの2IPアドレスが記載されているため、両方の許可が必要です

Googleアナリティクスなどのビーコン型アクセス解析ツールへの影響はありません。

攻撃遮断くんではリクエスト内容を確認をするために、WAFセンターで暗号化された通信を復号しています。

※攻撃遮断くんからWEBサーバ間の通信は再度暗号化します

そのため、SSL証明書および秘密鍵の登録が必要です。

疑似攻撃により遮断動作の確認が可能です。

【遮断動作確認手順】
1. テスト検知用URLへアクセス

http://<お客様サイトドメイン>/cybersecuritycloud/waftest
https://<お客様サイトドメイン>/cybersecuritycloud/waftest

2. 管理画面の検知履歴から検知を確認

・サーバセキュリティタイプ
ルールID：209999（攻撃種別：その他）

・WEB/DDoSセキュリティタイプ
ルールID：209999／509999（攻撃種別：その他）

※検知履歴表示：管理画面サイドメニュー[検知/レポート] > [検知履歴]

3. 検知後のアクセスが遮断されることを確認

・サーバセキュリティタイプ
クライアントからの遮断確認方法（iptables遮断の場合）：ブラウザ等でタイムアウトを確認
クライアントからの遮断確認方法（modsecurity遮断の場合）：ブラウザ等で403エラーを確認

※中間機器やアプリケーションの設定等により遮断動作が異なる場合があります
（例：AWSのALBでは403エラーレスポンスを受け、クライアントへ502エラーレスポンスを返します）
※遮断時間は約10分となります

・WEB/DDoSセキュリティタイプ
クライアントからの遮断確認方法：ブラウザ等で403エラーを確認

※CDN利用ありの場合には遮断動作が異なる場合があります
※遮断時間は約10分となります

■ モード確認
動作モード設定が「検知モード」の場合は、検知のみ行い遮断は実施されません。
モード設定変更については下記マニュアルをご参照ください。

【サーバセキュリティタイプ】
https://shadan-kun.com/ja/mode_change_linux

【WEB/DDoSセキュリティタイプ入れ放題プラン】
https://shadan-kun.com/ja/manual/web_type2_mode_switch

※WEB/DDoSセキュリティタイプ1サイトプランの場合、常に遮断モードとなります

攻撃遮断くん管理画面でFQDN登録をする際、日本語ドメインはPunycode表記（xn--●●●●●●●●●.jp）で登録する必要があります。

【例】
日本語ドメイン「ドメイン名例.jp」
Punycode表記「xn--eckwd4c7cu47r2wf.jp」

【参考】
日本語JPドメイン名のPunycode変換・逆変換（JPRS）
https://punycode.jp/

攻撃遮断くんの遮断エンジンは、ルールIDにより方式が異なります。

■IPアドレスベース遮断

HTTPリクエストおよびレスポンスを検査後、送信元 IPアドレス単位で遮断します。

対象ルールID：50XXXX以外（20XXXX、3XXXX等）

【メリット】
HTTPリクエストを直接検査しないため、レスポンス遅延が少ない。
Webスキャンのように1回のリクエストでは正常な通信と見分けが付かないものへの対応に優れている。

【注意点】
レスポンス通信に含まれるステータスコードも検査しているため、 1リクエスト目は検知のみとなり遮断対象とはならない。
※アクセス状況により2リクエスト以降も遮断までの間は検知のみとなる場合があります

■リクエストベース遮断
※WEB/DDoSセキュリティタイプのみ搭載されています（サーバセキュリティタイプは非搭載です）

HTTPリクエストのみを検査し遮断します。

対象ルールID：50XXXX

【メリット】
HTTPリクエストを直接検査し、攻撃判定した場合にはHTTPリクエストをお客様サーバに転送する前に遮断する。
1リクエスト目から遮断可能。

【注意点】
HTTPリクエスト到達時点で検査するため、レスポンス遅延が発生しやすい。
Webスキャンのように1回のリクエストでは見分けの付かないスキャン系攻撃への対応はIPアドレスベース遮断エンジンに劣る。

攻撃遮断くんとオリジンサーバの証明書は同一である必要はないため、更新タイミングを合わせる必要はありません。
双方で有効な証明書を登録してください。

【SSL暗号区間と証明書の関係】

HTTPS通信をする場合は、攻撃遮断くんWAFセンターで暗号化したリクエストを復号します。
また、リクエスト内容を検査後、再度暗号化してオリジンサーバ（WEBサーバ）に転送します。

「クライアント」 ─> SSL区間① ─> 「攻撃遮断くんWAFセンター」 ─> SSL区間② ─> 「オリジンサーバ」

<使用する証明書>
・SSL区間①
攻撃遮断くんに登録した証明書

・SSL区間②
オリジンサーバに設置した証明書

SSL区間①とSSL区間②は別々の証明書で暗号化処理を行います。

攻撃遮断くんのインストール、初期設定が完了したにも関わらず接続状況がオンラインにならない場合は以下を確認してください。

<注意>
オンライン表示への反映は30分程度時間がかかる場合があります。
インストール直後の場合は、時間を置いてから管理画面表示を確認してください。

■ 設定確認

【エージェント設定】
ossec.conf 記載の監視センター情報（host名、ポート番号）が正しいかを確認してください。

<ファイルパス>
Linux：/var/ossec/etc/ossec.conf
Windows：C:\Program Files (x86)\ossec-agent￥ossec.conf

※監視センターのホスト名・ポート番号は、管理画面[サーバタイプ設定]からエージェントの詳細画面で「接続先ポート番号」を確認してください

【DNS設定】
サーバでossec.conf記載の監視センターのホスト名を名前解決が可能かを確認してください。

【ファイアウォール設定】
OSやネットワーク機器のファイアウォール設定で、以下の通信許可を設定してください。
<対象>「監視センター」
<ポート>「UDP:1024~65535」
<方向> 双方向

<UDP疎通確認方法>

・-vzオプションが利用可能な場合

1. ncコマンドを入力

nc -u -vz <監視センターのホスト名> <ポート番号>

※監視センターのホスト名・ポート番号は、管理画面[サーバタイプ設定]からエージェントの詳細画面で「接続先ポート番号」を確認してください

2. 接続確認
以下の様な応答があれば接続に成功しています。

Connection to 54.95.110.151 13665 port [udp/*] succeeded!

・-vzオプションが利用不可の場合

1. ncコマンドを入力

# nc -u <監視センターのホスト名> <ポート番号>

2. 任意の文字列を入力

(例)test

3. 接続確認
30秒～60秒程度待機し、エラーが表示されない場合は接続に成功しています（Ctrl+Cで処理を中断してください）。
 

【確認事項】

問題が解決しない場合は、以下の情報をサポート窓口までご提供ください。

<取得情報>
・Linux
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys

・Windows
C:\Program Files (x86)\ossec-agent￥ossec.conf
C:\Program Files (x86)\ossec-agent￥ossec.log
C:\Program Files (x86)\ossec-agent￥client.keys

接続状況がオンラインにも関わらず疑似攻撃を検知しない場合は以下を確認してください。
※接続状況がオフラインの場合はこちらを確認してください

・疑似攻撃URL
http://<お客様サイトドメイン>/cybersecuritycloud/waftest
https://<ご客様サイトドメイン>/cybersecuritycloud/waftest

【確認事項】

ossec.confの<localfile>タグでログのファイルパスが正しく記載されているかを確認してください。

<Linux>
# vi /var/ossec/etc/ossec.conf
──────────────────────
<localfile>
<log_format>apache</log_format>
<location>/var/log/httpd/access_log</location>
</localfile>
──────────────────────

<Windows>
C:\Program Files (x86)\ossec-agent\ossec.conf
──────────────────────
<localfile>
<location>C:\inetpub\logs\LogFiles\W3SVC1\u_ex%y%m%d.log</location>
<log_format>iis</log_format>
</localfile>
──────────────────────

 

【情報取得】

問題解決しない場合には以下の情報をサポート窓口までご提供ください。

<Linux>
・攻撃攻撃くんエージェント情報
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys

・監視対象ログ情報
- ログフォーマット
- ログサンプル
- コマンド結果
# ls -alR <ログ出力先ディレクトリ> --time-style=long-iso > /tmp/ls_http`date +%Y%m%d_%H%M%S`.txt

・その他
実施した疑似攻撃のURL（弊社サポートにて同様の疑似攻撃を実施する場合があります）

<Windows>
・攻撃攻撃くんエージェント情報
C:\Program Files (x86)\ossec-agent￥ossec.conf
C:\Program Files (x86)\ossec-agent￥ossec.log
C:\Program Files (x86)\ossec-agent￥client.keys

・監視対象ログ情報
- ログフォーマット
- ログサンプル
- コマンド結果
　dir /s "<アクセスログ出力先ディレクトリ>" > C:\dir.txt

・その他
実施した疑似攻撃のURL（弊社サポートにて同様の疑似攻撃を実施する場合があります）

攻撃遮断くん導入後、検知はできるにもかかわらず遮断ができない場合には、遮断方式に応じて以下の確認をお願いいたします。
※検知も失敗する場合はこちらを確認してください

■ iptables遮断

【確認事項】

(1) ご利用のファイアウォール機能が正しく動作しているか

CentOS 6（iptables）
# /etc/init.d/iptables status

CentOS ７（iptables）
# systemctl status iptables

CentOS ７（firewalld）
# systemctl status firewalld

CentOS 8（nftables）
# systemctl status nftables

(2) firewall-drop.shの内容が正しいか

firewall-drop.shがご利用のファイアウォール機能と合致しているかを確認してください。

<参照> 攻撃遮断くんインストール手順(Linux)
https://shadan-kun.com/ja/installation_linux

【問題が解決しない場合】

以下の情報をサポート窓口までご提供ください。

・事前準備
情報取得前（10分以内）にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest

・エージェント情報
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys
/var/ossec/logs/active-responses.log
/var/ossec/active-response/bin/firewall-drop.sh

・ファイアウォールの状態
<コマンド例>
# iptables -nL > iptables_`date +%Y%m%d_%H%M%S`.txt
# firewall-cmd --get-active-zones > firewalld_`date +%Y%m%d_%H%M%S`.txt
# nft list ruleset > nftables_`date +%Y%m%d_%H%M%S`.txt

・サーバ構成
中間機器(LBやNAT)、CDNの有無

・ご利用のサーバ環境
（AWS、Azule、GCP、ニフクラ、さくら、楽天、IIJ等）

 

■modsecurity遮断

【確認事項】

(1) modsecurityはインストールされているか

<Apache>
# apachectl -M
※出力結果からモジュールを確認（「security2_module」等）

<Nginx>
# nginx -V
※出力結果からモジュールを確認（「--add-module=../modsecurity...」等）

(2) firewall-drop.shの内容が正しいか

/var/ossec/active-response/bin/firewall-drop.sh

「modsecurity.sh」の記載があるかを確認してください。

(3) modsecurity.shの内容が正しいか

/var/ossec/active-response/bin/modsecurity.sh

・mod_security.confのパスが正しいか
※ご利用環境によりパスやファイル名が異なります

・modsecurity.shに記載の再起動コマンドが正しいか
※modsecurity.shに記載した再起動コマンドが実際に動作するかを確認してください

【問題が解決しない場合】

以下の情報をサポート窓口までご提供ください。

・事前準備
情報取得前（10分以内）にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest

・エージェント情報
/var/ossec/logs/ossec.log
/var/ossec/etc/ossec.conf
/var/ossec/etc/client.keys
/var/ossec/logs/active-responses.log
/var/ossec/active-response/bin/firewall-drop.sh
/var/ossec/active-response/bin/modsecurity.sh

・modsecurityルールファイル
(例) /etc/httpd/conf.d/mod_security.conf
※環境により異なります（modsecurity.shに記載のファイルを取得ください）

・Apache（Nginx）のディレクトリリスト
(例) ls -alR /etc/httpd/ --time-style=long-iso > /tmp/ls_httpd`date +%Y%m%d_%H%M%S`.txt
(例) ls -alR /etc/init.d/nginx --time-style=long-iso > /tmp/ls_httpd`date +%Y%m%d_%H%M%S`.txt
※環境により異なります

・サーバ構成
中間機器(LBやNAT)、CDNの有無

・サーバ環境
（AWS、Azule、GCP、ニフクラ、さくら、楽天、IIJ等）

 

■ Windowsファイアウォール遮断

【確認事項】

Windowsファイアウォールが有効になっているかを確認してください。

【問題が解決しない場合】

以下の情報をサポート窓口までご提供ください。

・事前準備
情報取得前（10分以内）にWEBサーバへ疑似攻撃を実施してください。
https://<お客様サイトドメイン>/cybersecuritycloud/waftest

・エージェント情報
C:\Program Files (x86)\ossec-agent\ossec.conf
C:\Program Files (x86)\ossec-agent\ossec.log
C:\Program Files (x86)\ossec-agent\client.keys
C:\Program Files (x86)\ossec-agent\active-response\active-response.log

・Windowsファイアウォール情報
(例) netsh advfirewall show allprofiles > C:\firewall_profiles.txt
(例) netsh advfirewall firewall show rule name=all dir=in > C:\firewall_in-rule.txt

WEBアクセスに失敗する場合は、WAFセンターを経由しないWEBアクセスをお試しください。

【hosts接続手順】
1. hostsファイル編集
WindowsのhostsファイルにオリジンサーバのIPアドレスとFQDNを追記します。

C:\Windows\System32\drivers\etc\hosts
─────────────────
<記載例>
203.0.113.1 www.example.com
─────────────────

2. 名前解決確認
pingによる名前解決先がオリジンサーバになることを確認します。
> ping www.example.com

3. WEBアクセス確認
WEBサイトへアクセスを行い、事象再現を確認してください。
※WEBサーバ側でファイアウォールを設定している場合は、一時的に接続元IPアドレスを許可してください

<例>
https://www.example.com

4. hostsファイル編集
hostsファイルの記述をコメントアウト（もしくは削除）します。

C:\Windows\System32\drivers\etc\hosts
─────────────────
【記載例】
#203.0.113.1 www.example.com
─────────────────

【hosts接続でWEBアクセスが失敗】

hosts接続でもWEBアクセス失敗が再現する場合は、WEBサーバ側の問題を解決してください。
 

【hosts接続でWEBアクセスが成功】

hosts接続でWEBアクセスに成功（攻撃遮断くん経由のみで失敗）する場合は、以下の情報をサポート窓口までご提供ください。

・対象FQDN
・送信元IPアドレス
・発生時間
・再現手順（リクエストURL、操作内容等）
・エラー画面（エラーメッセージ、スクリーンショット等）
・発生頻度
・hosts接続結果

攻撃遮断くんWAFセンターで使用する標準暗号化プロトコルは以下のとおりです。

	クライアント<->WAFセンター	WAFセンター<->オリジンサーバ
(1)サービス利用開始日 2022年6月1日～	TLS1.2 TLS1.3	SSL3.0 TLS1.0 TLS1.1 TLS1.2 TLS1.3
(2)サービス利用開始日 ～2022年5月31日	TLS1.0 TLS1.1 TLS1.2	SSL3.0 TLS1.0 TLS1.1 TLS1.2

※上記以外の暗号化プロトコルは無効化されています
※「クライアント<->WAFセンター」と「WAFセンター<->オリジンサーバ」は別々に暗号化処理を実施します
（例：オリジンサーバ側がTLS1.2のみ対応でも「クライアント<->WAFセンター」はTLS1.0の暗号化通信が可能です）

■設定変更依頼

「クライアント<->WAFセンター」の暗号化プロトコルの設定変更を希望される場合はサポート窓口までご依頼ください。
※1サイトプランにおける設定変更には対応しておりません

【依頼例】
───────────────────
変更内容：TLS1.0、TLS1.1の無効化
───────────────────

【補足】
・WAFセンター基盤全体に対しての設定変更となります（FQDN個別の設定はできません）。
・設定変更はご依頼日から5営業日ほどお時間をいただいております。
・設定変更は営業時間内（9:00～18:00）での対応とさせていただきます。また、日時指定でのご依頼は原則として承ることができかねます。

下記リンクよりご確認ください。

○「攻撃遮断くん」契約約款
https://shadan-kun.com/ja/service_agreement

入れ放題プランをご利用の場合、月次レポートはWAFセンター基盤単位で出力されます。
検知履歴とは「基盤へのアクセス」分の差異が生じる場合があります。

【月次レポートの集計対象】
・基盤へのアクセス
(例) http://203.0.113.1/test

・FQDNへのアクセス
(例) https://www.example.com/test

【検知履歴の対象】
・FQDNへのアクセス
(例) https://www.example.com/test

月次レポートから基盤へのアクセスを除外することはできません。
FQDNごとの月次レポートが必要な場合は、FQDN個別レポート（オプション）の導入をご検討ください。

レポートはWAFセンター基盤ごとに集計されます。
「WEB/DDoSセキュリティタイプ（入れ放題プラン）」はActive/Standby構成となるため、レポート画面には2IPアドレスが表示されます。
レポートデータはすべてのIPアドレスからダウンロードしてご確認ください。

※Active/Standby切り替えが発生していない場合、Standby基盤のレポートデータは存在しません
※Active/Standby切り替えはサービス状態により不定期で実施されます
※Active/Standby両基盤のレポートデータをまとめることはできません

クライアント（ブラウザ）に表示されるエラー画面は遮断動作により異なります。

【サーバセキュリティタイプ】

<iptables遮断>

遮断動作：パケットドロップ
エラー画面：ブラウザのタイムアウト時間経過後にエラー画面が表示されます

<Modsecurity遮断>

遮断動作：「403」レスポンス
エラー画面：ブラウザに上記エラーステータスが表示されます

 

【WEB/DDoSセキュリティタイプ】

<IPアドレスベース遮断方式>

遮断動作：パケットドロップ
エラー画面：ブラウザのタイムアウト時間経過後にエラー画面が表示されます

<リクエストベース遮断方式>

遮断動作：「403」レスポンス
エラー画面：ブラウザに上記エラーステータスが表示されます

<CDN利用時>

遮断動作：「403」レスポンス
エラー画面：ブラウザに上記エラーステータスが表示されます

 

【その他】

中間機器（ロードバランサーやプロキシサーバ）を攻撃遮断くんの前段に配置している場合は、攻撃遮断くんの遮断動作に対して独自のエラーをクライアントに返す場合があります。

(例)
「クライアント」 <- ②500レスポンス <- 「プロキシサーバ」 <- ①403レスポンス <- 「攻撃遮断くん」

「クライアント」 <- ②503レスポンス <- 「ロードバランサー」 <- ①タイムアウト <- 「攻撃遮断くん」

攻撃遮断くんでは「攻撃の種類」や「ルール」、「FQDN」等による動作モード切り替えはできません。
動作モード切り替えの対象範囲は以下のとおりです。

【サーバセキュリティタイプ】

エージェントサーバごとに動作モードの変更が可能です。

<マニュアル>

・検知 / 遮断 モード切り替え手順（Linux）
https://shadan-kun.com/ja/mode_change_linux

・検知 / 遮断 モード切り替え手順（Windows）
https://shadan-kun.com/ja/mode_change_windows

 

【WEB/DDoSセキュリティタイプ】

入れ放題プランでは、ご契約サービス基盤ごとに動作モードの変更が可能です。

<マニュアル>

・検知/遮断モードの切り替え
https://shadan-kun.com/ja/manual/web_type2_mode_switch

※サービス基盤（全FQDN）が対象となります
※1サイトプランでは常に遮断モードで動作します（動作モードの変更はできません）

WEBアクセスを攻撃遮断くん経由に切り替える場合は、ご利用のDNSサーバにCNAMEレコードもしくはAレコードを登録します。
登録内容はご利用プランごとに異なります。

※DNSの設定詳細はご利用のホスティングサービスや、クラウドサービス、ベンダー等にお問い合わせください

■ CNAMEレコード登録例

攻撃遮断くん経由に切り替える場合は、CNAMEレコードを登録します。

【WEBセキュリティタイプ 1サイトプラン】

www.example.com. IN CNAME rp4.shadankun.net.

【DDoSセキュリティタイプ 1サイトプラン】

www.example.com. IN CNAME www.example.com.shadan-kun.jp.

【WEB/DDoSセキュリティタイプ 入れ放題プラン】

www.example.com. IN CNAME www.example.com.shadan-kun.jp.

※CNAMEは攻撃遮断くんWAFセンターのIPアドレスに名前解決されます

 

■ Aレコード登録例

NSレコードやMXレコード等が登録されている場合などには、Aレコードを登録してください。
※CNAMEレコードはその他のレコードと併用ができません

【WEBセキュリティタイプ 1サイトプラン】

www.example.com. IN A 203.216.216.3

【DDoSセキュリティタイプ 1サイトプラン】

www.example.com. IN A 203.216.216.102

【WEB/DDoSセキュリティタイプ 入れ放題プラン（専用基盤）】

www.example.com. IN A サービス用IPアドレス

※専用基盤のサービス用IPアドレスは納品時のヒアリングシートをご確認ください

 

■ hosts登録例

運用開始前の動作検証等を実施する場合は、クライアントのhostsファイルを編集します。

※ここではWindows端末のhostsファイル編集例を記載します
　設定ファイルパス：C:\Windows\System32\drivers\etc\hosts

【WEBセキュリティタイプ 1サイトプラン】

203.216.216.3 www.example.com

【DDoSセキュリティタイプ 1サイトプラン】

203.216.216.102 www.example.com

【WEB/DDoSセキュリティタイプ 入れ放題プラン（専用基盤）】

サービス用IPアドレス www.example.com

攻撃遮断くんWAFセンターは、以下のネットワーク構成において2系統のIPアドレスを使用します。

【ネットワーク構成】
──────────────────────────────────────────
「クライアント」<─> ①「攻撃遮断くんWAFセンター」② <─>「オリジンサーバ」
──────────────────────────────────────────

 

①クライアント向けIPアドレス（サービス用IPアドレス）

インターネット公開用のクライアント向けIPアドレスです。
本番運用時はDNSの向き先として設定します。

【WEBセキュリティタイプ 1サイトプラン】

「203.216.216.3」

【DDoSセキュリティタイプ 1サイトプラン】

「203.216.216.102」

【WEB/DDoSセキュリティタイプ 入れ放題プラン】

「専用基盤IPアドレス」
※専用基盤のサービス用IPアドレスは納品時のヒアリングシートをご確認ください

 

②オリジンサーバ向けIPアドレス

攻撃遮断くんWAFセンターからオリジンサーバへの通信において、送信元となるIPアドレスです。
オリジンサーバ側でアクセス制限を実施している場合はこちらのIPアドレスを許可してください。

※「稼働系」と「待機系」の複数IPアドレスがあり、任意タイミングで切り替えが行われます

【WEBセキュリティタイプ 1サイトプラン】

「203.216.216.1」「203.216.216.2」

【DDoSセキュリティタイプ 1サイトプラン】

「203.216.216.100」「203.216.216.101」

【WEB/DDoSセキュリティタイプ 入れ放題プラン】

「専用基盤IPアドレス(2IPアドレス)」
※専用基盤のサービス用IPアドレスは納品時のヒアリングシートをご確認ください

攻撃遮断くんをご利用のWebサイトで、ペネトレーションテスト（脆弱性診断）を実施する場合、診断内容や目的に応じて下記設定を実施してください。
※診断の詳細については脆弱性診断サービス提供元へご確認ください
 

【1】攻撃遮断くん経由（WAF無効）で実施

攻撃遮断くん経由で診断を実施した場合、診断通信がWAFで遮断されることがあります。
WAF機能を無効にする場合は、診断元のIPアドレスをホワイトリストに追加してください。

▽参考：ホワイトリストの設定手順
https://shadan-kun.com/ja/manual/web_type2_mail_and_whitelist

※1サイトプランをご利用の場合はサポート窓口まで登録対象のIPアドレスをご連絡ください
※ご契約帯域を超える通信が発生する場合はサポート窓口までご相談ください
 

【2】攻撃遮断くん経由（WAF有効）で実施

WAF機能を有効にした状態での診断が必要な場合、特別な設定は不要です。

※診断元IPアドレスがホワイトリストに登録されている場合は削除を実施してください
※診断通信がWAF機能により遮断される場合があります
※ご契約帯域を超える通信が発生する場合はサポート窓口までご相談ください
 

【3】攻撃遮断くん非経由で実施

攻撃遮断くんを経由しない状態で診断を実施する場合は、以下の方法をご検討ください。

<hosts接続>
・診断元のローカル環境でhostsファイルを編集
※診断通信のみ攻撃遮断くん非経由となります

<DNS切替>
・DNSサーバの名前解決先をWAFからオリジンサーバへ変更
※診断通信以外も攻撃遮断くん非経由となります

攻撃遮断くんでは以下の方法でサービス操作が可能です。
 

【Linux版】

<停止>

# /var/ossec/bin/ossec-control stop

<開始>

# /var/ossec/bin/ossec-control start

<再起動>

# /var/ossec/bin/ossec-control restart

<ステータス確認>

# /var/ossec/bin/ossec-control status

 

【Windows版】

<停止>

OSSEC Agent メニュー：[Manage] > [Start OSSEC]

コマンド：net stop OssecSvc

<開始>

OSSEC Agent メニュー：[Manage] > [Stop OSSEC]

コマンド：net start OssecSvc

<再起動>

OSSEC Agent メニュー：[Manage] > [Restart]

<ステータス確認>

OSSEC Agent メニュー：[Manage] > [Status]

攻撃遮断くんは中間機器が存在する場合、Modsecurity遮断方式でX-Forwarded-Forヘッダー値のIPアドレスに対して遮断を行います。

この際、中間機器を経由しないリクエストも同時に遮断をする場合は、ミドルウェアおよび攻撃遮断くんで以下の設定が必要です。

ミドルウェア設定：
・X-Forwarded-ForヘッダーからREMOTE_ADDRを取得
・REMOTE_ADDRをログに出力

攻撃遮断くん設定：
・REMOTE_ADDRで遮断
 

■ ミドルウェア環境

【ネットワーク構成例】
───────────────────────────────────────────
クライアント[203.0.113.100] -> 中間機器[192.168.0.1] -> Webサーバ（Apache）
クライアント[203.0.113.200] -> Webサーバ（Apache）
───────────────────────────────────────────
 

【Apache（httpd.conf）設定例】

# mod_remoteipモジュールを有効化
RemoteIPHeader X-Forwarded-For

# 中間機器[192.168.0.1] が付与するX-Forwarded-Forヘッダー値からREMOTE_ADDRを取得
RemoteIPInternalProxy 192.168.0.1

#「%a」にREMOTE_ADDRを出力
LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

※ミドルウェアの設定詳細はサービス提供元のドキュメント等をご確認ください
 

【動作】

<中間機器経由>
・中間機器[192.168.0.1]が付与するX-Forwarded-Forヘッダー値[203.0.113.100]をREMOTE_ADDRと判定

<中間機器非経由>
・接続元IPアドレス[203.0.113.200]をREMOTE_ADDRと判定

 

■ 攻撃遮断くん設定

遮断対象をX-Forwarded-ForヘッダーからREMOTE_ADDRに変更することで、上記環境への対応が可能です。

設定ファイル：/var/ossec/active-response/bin/modsecurity.sh

<変更前>
SecRule REQUEST_HEADERS:X-Forwarded-For "@Contains ${IP_ADDRESS}" "log,drop,id:${RULEID}, msg:'deny by ossec-agent'"

<変更後>
SecRule REMOTE_ADDR "^${IP_ADDRESS}$" "log,drop,id:${RULEID},msg:'deny by ossec-agent'"

Red Hat Enterprise Linux 8（RHEL 8）および互換ディストリビューションのインストール手順は下記マニュアルを参照してください。

攻撃遮断くんインストール手順(Linux)
 

【RHEL 8互換ディストリビューション】
・CentOS 8
・CentOS Stream 8
・AlmaLinux OS 8
・Rocky Linux 8

攻撃遮断くんWAFセンター経由の通信では、オリジンサーバはWAFセンターをクライアントと判断するため、クライアント証明書を利用した通信はできません。
該当FQDNでは、DNSの名前解決先をオリジンサーバに設定してください。

【参考】SSL証明書区間について

※クライアント証明書を使用したサイトでWAF利用の要件がある場合には別途ご相談ください

攻撃遮断くんの動作モードは以下の手順で確認可能です。
 

■ WEB/DDoSセキュリティタイプ（入れ放題プラン）

攻撃遮断くん管理画面から確認します。

1. サイドメニューから「WEB/DDoSタイプ設定」をクリック

2. 対象サービスの「詳細を見る」ボタンをクリック

3. サービスの詳細画面で「モード」項目を確認

※1サイトプランの場合は常に遮断モードで動作します（検知モードへ変更はできません）
※モード変更についてはこちらをご確認ください

 

■ サーバセキュリティタイプ

攻撃遮断くんエージェントが導入されているサーバの設定ファイルから確認します。

【設定ファイル】

・Linux版

/var/ossec/etc/ossec.conf

・Windows版

C:¥Program Files or Program Files(x86)¥ossec-agent¥ossec.conf

【モード設定】

・検知モード

<active-response>
<disabled>yes</disabled>
</active-response>

・遮断モード

<active-response>
<disabled>no</disabled>
</active-response>

※記載がない場合は遮断モードで動作します
 

【設定変更】

モード設定の変更については以下を確認してください。

・検知 / 遮断 モード切り替え手順（Linux）
・検知 / 遮断 モード切り替え手順（Windows）

攻撃遮断くんでは、SNI（Server Name Indication）により1つのサービスIPアドレスで複数FQDNのSSL証明書利用を可能にしています。

SNI非対応端末（ガラケー端末等）からの接続が想定される場合は、追加サービスIPアドレス（オプション）を該当FQDN専用に紐付ける設定が必要です。

■Before（追加IPアドレスなし） ・DNS設定 www.example.com. IN A 203.0.113.1 sni.example.com. IN A 203.0.113.1 ・HTTPS通信 【OK】SNI対応端末 -> www.example.com -> [203.0.113.1]攻撃遮断くん -> オリジンサーバ 【OK】SNI対応端末 -> sni.example.com -> [203.0.113.1]攻撃遮断くん -> オリジンサーバ 【NG】SNI非対応端末 -> sni.example.com -> [203.0.113.1]攻撃遮断くん -> オリジンサーバ   ■After（追加IPアドレスあり） ・DNS設定 www.example.com. IN A 203.0.113.1 sni.example.com. IN A 203.0.113.2　※追加IPアドレス ・HTTPS通信 【OK】SNI対応端末 -> www.example.com -> [203.0.113.1]攻撃遮断くん -> オリジンサーバ 【OK】SNI対応端末 -> sni.example.com -> [203.0.113.2]攻撃遮断くん -> オリジンサーバ 【OK】SNI非対応端末 -> sni.example.com -> [203.0.113.2]攻撃遮断くん -> オリジンサーバ

 

SNI非対応用の追加VIPオプションをご要望の場合は、担当営業までご連絡ください。
※追加サービスIPアドレスは入れ放題プランの場合のみご利用が可能です（1サイトプランの場合はご利用できません）
 

■ DNS設定

追加サービスIPアドレス登録後は、対象FQDNをAレコードで名前解決するようDNS設定を実施します。

【DNS設定例】
sni.example.com. IN A 203.0.113.2

※CNAMEレコードは利用できません

ポート利用はご契約タイプごとに制限が異なります。
 

■ サーバセキュリティタイプ

使用ポートに制限はありません。
 

■ WEB/DDoSセキュリティタイプ

TCP80/443以外の通信は、WAFセンター前段のファイアウォールで制限されています。
追加ポートをご利用の場合はサポート窓口までご連絡ください。

※1サイトプランの場合は追加ポートはご利用いただけません
 

【追加ポート利用に関する留意事項】
WAFセンター全体（全FQDN）に対して対象ポートへのトラフィックが到達可能になります。
ポートスキャン行為等によりWAFセンターへの帯域が増加するリスクがあることをご了承ください。
※転送先ポート設定はFQDN個別に実施するため、指定FQDN以外のオリジンサーバにトラフィックが転送されることはありません

ADSのモード切り替えの目安を「導入時」と「運用中」で説明します。
 

■ 導入時

すべてのFQDN登録後、Learnモードでしきい値学習を実施してください。
Learnモードで動作後、「2週間」程度を目安にProtectモードへ変更してください。
※納品時はLearnモードで動作します
 

■ 運用中

導入後FQDNの追加やサイト構成変更により、トラフィック量が大幅に変動した場合、過検知や検知不足が発生することがあります。

・過検知

Drop件数「0」の引き込みが頻繁に行われる場合は、学習しきい値が低すぎる可能性があります。
※引き込み後のDrop件数はADS管理画面トップページもしくはIncidentメニューから確認してください

・検知不足

トラフィック量が多いにも関わらず、引き込みが行われない場合は学習しきい値が高すぎる可能性があります。
 

【対処】

過検知や検知不足の疑いがある場合は、再度Learnモードへの変更（2週間程度）をご検討ください。
※FQDN登録数によるモード変更の目安はありません。上記動作を目安にご判断ください。

ADSではLearnモードでトラフィック内容からしきい値を学習します。

※学習値はADS管理画面「Zone」メニュー（Zone編集画面）で確認可能です
※しきい値の詳細説明についてはサービス仕様書を参照してください

項目	内容
bytes-to-bytes-from-ratio	受信パケットと送信パケットの比率(比率)
concurrent-conns	現状のコネクション数(数)
conn-miss-rate	既存セッションとマッチできなかったパケットのレート(packet/秒)
cpu-utilization	CPU使用率(%)
empty-ack-rate	ACKパケットにpayloadが含まれなかった数(packet/秒)
fin-rate	FIN受信数(packet/秒)
frag-rate	受信フラグメント化パケットレート(packet/秒)
initerface-utilization	interface使用率(%)
pkt-drop-rate	パケットDrop率(packet/秒)
pkt-drop-ratio	パケットDropの比率(比率)
pkt-rate	受信パケットレート(packet/秒)
rst-rate	RST受信数(packet/秒)
small-payload-rate	short payload パケットの数(packet/秒)
small-window-ack-rate	small window の送信率(packet/秒)
syn-fin-ratio	SYNパケットと受信したFINパケットの比率(比率)
syn-rate	SYN受信パケット数(packet/秒)

 

防御証明メールの確認方法をサービスタイプ別に説明します。
 

■ WEB/DDoSセキュリティタイプ

【防御証明メール（サンプル）】

件名：攻撃遮断くん防御証明メール - (host0XXXXX) 203.0.113.1 - 脅威レベル 6
--------------------------------------------------------------------------------------
攻撃遮断くんが攻撃を検知し、遮断しました。
時刻: 2022 Feb 15 09:13:40

検知したファイル: (host0XXXXX) 203.0.113.1->/var/log/nginx/www.example.com_access_443.log
シグニチャ番号 209999 に該当する攻撃です(脅威レベル 6) -> "Check WAF Detection. "

詳細は、管理画面よりご確認ください。
https://shadan-kun.com

検知したログ:
198.51.100.1 - - [15/Feb/2022:09:13:40 +0900] "POST /cybersecuritycloud/waftest HTTP/1.1" 404 202 "https://www.example.co.jp/" "Chrome/98.0.4758.102" "-" 0.003 postdata[testdata]

 

【項目説明】

サンプルの防御証明メールでは以下の内容を示します。

項目	サンプルメールの値
攻撃時刻	2022 Feb 19 0913:40
攻撃元IPアドレス	198.51.100.1
検知ルール	209999（脅威レベル：6）
ルール説明	Check WAF Detection.
攻撃対象（FQDN）	www.example.com（ポート番号：443）
WAFセンター基盤IPアドレス	203.0.113.1

 

■ サーバセキュリティタイプ

【防御証明メール（サンプル）】

件名：攻撃遮断くん防御証明メール - (host019203) 203.0.113.200 - 脅威レベル 6
--------------------------------------------------------------------------------------
攻撃遮断くんが攻撃を検知し、遮断しました。
時刻: 2022 Feb 15 09:13:40

検知したファイル: (host019203) 203.0.113.1->/var/log/nginx/www.example.com_access_443.log
シグニチャ番号 209999 に該当する攻撃です(脅威レベル 6) -> "Check WAF Detection. "

詳細は、管理画面よりご確認ください。
https://shadan-kun.com

検知したログ:
198.51.100.1 - - [15/Feb/2022:09:13:40 +0900] "POST /cybersecuritycloud/waftest HTTP/1.1" 404 202 "https://www.example.co.jp/" "Chrome/98.0.4758.102" "-" 0.003 postdata[testdata]

 

【項目説明】

サンプルの防御証明メールでは以下の内容を示します。

項目	サンプルメールの値
攻撃時刻	2022 Feb 19 09:13:40
攻撃元IPアドレス	198.51.100.1
検知ルール	209999（脅威レベル：6）
ルール説明	Check WAF Detection.
攻撃対象（IPアドレス）	203.0.113.200
攻撃対象（エージェントID）	19203

 

【管理画面】

管理画面から対象エージェントを確認する場合は、以下のURLへアクセスしてください。

https://shadan-kun.com/ja/ips/<エージェントID>

※ 攻撃対象（IPアドレス）が「any」の場合は上記URLから確認が可能です
※ エージェントID先頭の「0」は省略します

サイト閉鎖等の理由でオリジンサーバへの転送を停止する場合は、以下の手順で転送先設定を削除してください。
 

【Webサイト入れ放題プラン】

1. 管理画面のサイドメニュー「Web/DDoSタイプ設定」から対象サービスの「詳細を見る」ボタンをクリックします

2. 対象FQDNの「詳細を見る」ボタンをクリックします

3. 対象Webタイプ設定（転送先）の「詳細を見る」ボタンをクリックします

4. Webタイプ設定の詳細画面で「削除する」ボタンをクリックします

5. 管理画面のサイドメニュー「Web/DDoSタイプ設定」から対象サービスの「詳細を見る」ボタンをクリックします

6. サービスの詳細画面で「設定を適用する」ボタンをクリックします

※攻撃遮断くん利用予定がない場合はDNSレコードも削除（変更）をお願いします
※FQDN設定を削除する場合はこちらを参照ください

 

【1サイトプラン】

1サイトプランの転送先設定を削除する場合はサポート窓口までご相談ください。

攻撃遮断くんではリダイレクト動作に応じた設定が必要です。
 

【別ドメインへリダイレクトする場合】

1. クライアントが<https://example.com>にアクセス

2. Webサーバがリダイレクト先URL<https://www.example.com>をレスポンス

3. クライアントが<https://www.example.com>にアクセス

・攻撃遮断くん設定

「1」「3」両方の通信を防御する場合は、FQDN「example.com」および「www.example.com」を登録する必要があります。

※DNS設定で「example.com」「www.example.com」の名前解決先を攻撃遮断くんのサービスIPアドレスに向けてください
※1サイトプランの場合はFQDNごとに契約が必要です

 

【HTTPSへリダイレクトする場合】

1. クライアントが<http://www.example.co.jp>にアクセス

2. Webサーバがリダイレクト先URL<https://www.example.co.jp>をレスポンス

3. クライアントが<https://www.example.co.jp>にアクセス

・攻撃遮断くん設定

「1」「3」両方の通信を防御する場合は、攻撃遮断くん登録のFQDN「www.example.co.jp」に、HTTPおよびHTTPSの転送先を設定します。