はじめにこの度は JP-Secure SiteGuard Lite をご購入いただきありがとうございます本マニュアルでは製品のインストールおよびアンインストール基本的な設定例詳細な設定例などについて説明しています尚本マニュアルでは Si

Similar documents

迷惑メールフィルタリングコントロールパネル利用者マニュアル

変更履歴日付 Document ver. 変更箇所変更内容 2015/3/ 新規追加 2015/9/24 誤字修正 2016/2/ 動作環境最新のものへ変更全体オペレーターの表記を削除 2016/5/

<4D F736F F D C B838B91CE8DF491808DEC837D836A B76312E342E646F63>

目次ログイン方法... 3 基本画面構成... 4 メールサービス... 5 メールサービス画面構成... 5 アカウント詳細 / 設定... 6 高機能フィルター... 7 ユーザーフィルター設定... 8 新規フィルターの追加... 8 My ホ

WebAlertクイックマニュアル

WEBメールシステム　操作手順書

iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

4 応募者向けメニュー画面が表示されます応募者向けメニュー画面で [ 交付内定時の手続を行う] [ 交付決定後の手続を行う]をクリックします 10

購買ポータルサイトyOASIS簡易説明書 b

<4D F736F F D20819B93FC97CD CC91808DEC95FB FC92F994C5816A>

目次 1. Web メールのご利用について Web メール画面のフロー図 Web メールへのアクセスログイン画面ログイン後 (メール一覧画面 ) 画面共通項目

WebMail ユーザーズガイド

ユーザーマニュアル

「はぴeみる電」をご利用するにあたって

目次目次 1 ログインログアウトログインする...1 ログイン画面が表示されないときは?... 1 初めてログインするときのパスワードは?... 2 初期パスワードを忘れてしまったときは?... 2 変更したパスワードを忘れてしまったときは?.

内容 1. はじめにメールのログイン初めてのログインメールの受信 / 送信メールの受信メールの作成と送信メールの新規作成メー

< 目次 > 8. 雇用保険高年齢雇用継続給付 27 ( 育児休業給付介護休業給付 ) 8.1 高年齢雇用継続給付画面のマイナンバー設定高年齢雇用継続給付の電子申請高

ファイルサーバー(NFS) 構築ガイド

<4D F736F F D20819C486F70658F6F93588ED297708AC7979D89E696CA837D836A B E A2E646F63>

Microsoft Word - 新ユーザー専用ページ機能詳細・マニュアル.doc

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

Microsoft Word - ML_ListManager_10j.doc

<4D F736F F D B382F182AC82F18A4F88D B A82B D836A B5F8F898AFA90DD92E85F E646F E302E646F6378>

電子証明書の更新

2 科学研究費助成事業のトップページ画面が表示されます [ 研究者ログイン]をクリックします掲載している画面は例示です随時変更されます 3 科研費電子申請システムの応募者ログイン画面が表示されます e

4.5. < 参加表明書を提出する> 調達案件一覧の表示対象となる案件を検索し調達案件一覧に表示させます参加したい案件の調達案件名称行 - 入札参加資格確認申請 / 技術資料 /

_ç¦‘æš¥ã†�ã…“ã……ã…‹ç«¯æœ«ã‡»ã……ã…‹ã‡¢ã……ã…Šæ›‰é€ƒæł¸ã•’10ã•‚V1.3.xls

目次 1. Internet Explorer の設定 3 2. NetISMS ナビゲータへのログイン ActiveX コントロールのインストール Internet Explorer 以外の設定 18 1

1 林地台帳整備マニュアル( 案 )について林地台帳整備マニュアル( 案 )の構成構成記載内容第 1 章はじめに本マニュアルの目的記載内容について説明しています第 2 章第 3 章第 4 章第 5 章第 6 章林地

POWER EGG V2.01　ユーザーズマニュアル　ファイル管理編

WebAlertクイックマニュアル

目次ログインする前に... 4 メンバー管理編 ( 管理者 )... 5 ログインする... 6 トップページについて... 7 メンバー管理をする... 8 メンバー管理画面について医療機関指定新規追加指定...

Microsoft Word - Active.doc

参加表明書・企画提案書様式

入札参加資格申請システム操作マニュアル入札参加資格の資格有効 ( 変更 ) 日を迎えると追加届の登録ができるようになります ( 入札参加資格申請の定時受付ではいずれかの申請先団体から入札参

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

ポップアップブロックの設定

目次 1. 積算内訳書に関する留意事項 1 ページ 2. 積算内訳書のダウンロード 3 ページ 3. 積算内訳書の作成 (Excel 2003の場合 ) 6 ページ 4. 積算内訳書の作成 (Excel 2007の場合 ) 13

ID 保存されても問題無い共有されていない PC でしたらログインボタンの上にある[ID 保存 ]のチェックボックスにチェックを入れて下さい 3. パスワードのオートコンプリートログインボタンを押した後に環境によっては以下のような確認が

この章では電子入札システムをご利用いただくための事前準備について説明します事前準備として ID 初期パスワードの確認初期パスワード初期見積用暗証番号の変更 IC カード登録またはICカード更新を行っ

目次 1 インストール手順プログラムデータファイルのインストール Microsoft Access2013Runtime SP1(32bit) 版のインストール基本操作ログインメニュー...

はじめに本書では福井県電子入札システムの利用を目的としたパソコンの設定内容と設定手順例を説明したものですパソコンはハードウェアソフトウェアネットワーク条件を全て満たし民間認証局から購入する IC

Microsoft Word - FBE3A91F.doc

メール受信画面のレイアウトを変更することができますここでは初期設定のレイアウトで表示されているボタンやマークについて解説しますメール一覧画面には受信したメールが一覧表示されますメール受信タブをクリックすると受信箱フ

本操作説明書について本操作説明書は物品電子調達システム入札参加資格審査申請についての操作を説明したものです動作環境本アプリケーションは以下の環境にて動作致します OS 日本語 Microso

目次機能概要配信管理 1. メールの配信履歴と予約を確認する

目次 1 概要動作環境起動方法臨床研修プログラム検索サイトで提供している情報情報閲覧の流れ画面構成メニューについて可変メニ

< 入力にあたっての注意事項 > 応募基本情報の申請は代表申請方式の場合は代表申請を行う応募者が連名申請方式の場合は連名申請する応募者のうちのいずれかの1 者が研究体を代表し

機能概要概要平成 24 年度シームレスな地域連携医療の実現実証事業に対応するため地域連携システム( 能登北部版 )を構築する機能 < 機能追加変更一覧 > 1. 画像連携機能院内で撮影

PowerPoint プレゼンテーション

AGT10 ( Android(TM) 4.1) ファームウェア更新方法

前書き広域機関システム System for Organization for Cross-regional Coordination of Transmission Operators(OCCTO) rev: 商標類 Windows Office Excel

１-１　一覧画面からの印刷

<4D F736F F D20819C B78AFA95DB91538C7689E68DEC90AC289

1. 会員情報の照会 / 変更ご登録の会員情報の確認および変更できます (1) 左側のサブメニューで[ 基本情報 ]を選択するとお客様の基本情報が表示します (1) (2) [ 変更 ] [ご登録回線の

目次 1. ログイン/ログアウト 1.1 ログインする p ログアウトする p.3 2. 受講一覧画面 p.4 3. 授業ページの閲覧 3.1 授業ページへの遷移 p 授業資料を IT s class.からダウンロードする p

ID 保存されても問題無い共有されていない PC でしたらログインボタンの上にある[ID 保存 ]のチェックボックスにチェックを入れて下さい 3. パスワードのオートコンプリートログインボタンを押した後に環境によっては以下のような確認が

ユーザーガイド

2 オンラインの新規登録 ( 同 P.3 関係 ) Q3 調査票の取得を押してもオンライン回答票 (PDF)が表示されません以下の点をご確認ください dobe Reader のバージョンを確認してくださいバージョンⅩ 以下をご利用

1.セッション3では流出した際の損害を最小限に抑える対応仕組み 1

VPS では通常はインスタンスが 1 個です停止と再起動を選択できます CloudStack ではインスタンスの追加と破棄の機能を利用することによりお客様が契約されているインスタンス数分の仮想サーバを自由に追加

Windows8. スタート画面とデスクトップ画面の切替方法 Windows 8. では種類のInternet Explorer( 以下 IE)が存在します ()スタート画面に表示されているタイルより起動するIE(ストアアプリ版 IE) ()デス

ご注意 (1) 本書の内容の一部又は全部を無断で転載することは禁止されています (2) 本書の内容は将来予告無しに変更することがあります (3) 本書の内容は万全を期して作成しておりますがご不審

管理者ガイド

Ver.30 改版履歴版数日付内容担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..30 0//6

MetaMoJi ClassRoom/ゼミナール授業実施ガイド

TeleOffice 3.0 Lync 2 TO

PowerPoint プレゼンテーション

ご利用の前に手順初回ご利用時に必ずご確認くださいご利用の前に (ご利用環境の確認 ) P アクセス方法 (IMAGE WORKSサイトへアクセス) P 初期設定 (JREのインストール) P

~ 目次 ~ 1. 履修登録のながれ 1 2. 利用可能な機能について 2 3.Web 履修登録画面へのログインログアウト方法 3 4. 予備登録 ( 定員設定科目の履修 ) (1) 予備登録 5 (2) 予備登録状況

2. 研究者 / 評価者情報修正この画面では研究者が自分自身の情報の修正を行います (A) 研究者 / 評価者情報の修正 () 研究者 / 評価者情報修正画面を開く HOME 画面メニューの研

目次機能運用上の注意処理手順画面説明ログイン直送先選択

- INDEX - 1 ご利用時間 1 2 メニュー 1 3 ご利用になる前に行っていただきたいこと 3 (1) 所在地沿線設定 3 (2) 会員情報の管理 ( 自社情報の設定 ) 5 4 物件情報の登録 8 (1) 操作概

CENTNET 導入の手引き変更履歴 No. 変更日変更番号変更枚数備考 /07/ 版発行 - システムリプレースにより全面刷新 //07/ 版発行 3 誤字等の修正 /

もくじはじめに本書はスマートフォンやタブレットのアプリ LINE の設定を行うためのマニュアルとなります詳しい操作方法についてはメーカーホームページ上の基本的な使い方を参照ください LINE 基本的な使い方

目次 1. ログインユーザー登録 TOP 職員...8 (1) 職員の名刺表示...8 (2) 職員の名刺一括ダウンロード...8 (3) 職員の名刺帳から検索検索...9 (1) 氏名

2 課題管理 ( 科学研究費補助金 ) 画面が表示されます補助事業期間終了後欄の[ 入力 ] をクリックします [ 入力 ]ボタンが表示されていない場合には所属する研究機関の事務局等へお問い合わせく

Microsoft Word - TechSmith Deployment Tool Documentation.docx

事前チェック提出用現況報告書作成ツール入力マニュアル(法人用)

目次はじめにキャンパスメールを利用するにはキャンパスメール利用申請を行うアカウント有効化 (アクティベーション)を行うメールの利用 WEB ブラウザからメールを利用

端末型払い出しの場合接続構成図フレッツグループから払出されたIPアドレス /32 NTT 西日本地域 IP 網フレッツグループフレッツグループから払出されたIPアドレス /

工事記録写真チェックシステム　操作説明書

HTG-35U ブルーバック表示の手順書 (2014年12月改定)

あいち電子調達共同システム

はじめに本書は SUPER COMPACT Pathfinder DFS のご利用に際してクライアント端末の設定方法について説明していますなお本書内で使用している図は標準的な設定によって表示されるものを使用してお

目次電子申請を使用した申請の流れ 1ページ申請書 ( 概算保険料申告書 )の作成 2ページ作成した申請書の送信 31ページ状況照会電子納付を行う 62ページ返送書類の取得 75ページお問い

５－２．操作説明書（支店連携）_xlsx

2. 更新内容下記機能改善仕様変更不具合対応を行いました動作環境の追加 3.1. 受講者 / 管理者クライアントの動作環境に下記の OS と Web ブラウザを追加しました Windows 10 Microsof

1-2 新規 CPD 会員登録の申請から登録までの手順当協会 CPDシステムを利用するためには当協会ホームページトップ画面より CPD 事務局へのCPD 会員登録が必要です CPD 会員登録が完了すると登録

Transcription:

SiteGuard Lite Linux 版ウェブアプリケーションへの攻撃を水際で防ぐウェブアプリケーションファイアウォールソリューション Version 2.30 管理者用ガイド

はじめにこの度は JP-Secure SiteGuard Lite をご購入いただきありがとうございます本マニュアルでは製品のインストールおよびアンインストール基本的な設定例詳細な設定例などについて説明しています尚本マニュアルでは SiteGuard Lite または本製品と表記します本マニュアルで使用するマークマーク説明注意していただきたいことを記載していますヒント補足情報を記載しています参照先を記載しています本マニュアルで使用する記号と書体記号書体説明例 [ ] メニュー名項目名 [モジュール設定 ] を選択しますボタンボタン名適用ボタンをクリックしますあいう ABCabc123 ウェブ管理画面の設定値 [シグネチャ検査 ] : 有効 ABCabc123 コマンド名ファイル名ディレクトリ名 # rpm -Uvh siteguardlite-xxx.i386.rpm ディスプレイ上の出力コード例など ABCabc123 コマンドラインでユーザが入力する文字列 ABCabc123 コマンドラインの可変部分

目的別ガイド 1. インストール初期設定を行う本製品のインストール初期設定は次の章を参照してください 3. 動作環境 4. インストール 5. 初期設定 2. 基本的な動作操作方法を確認する製品の評価やテストなど本製品の基本動作を確認する場合は次の章を参照してください 5. 初期設定 6. 動作確認 3. 各種機能の詳細設定仕様を確認する導入に向けて本製品の詳細な設定を確認する場合は次の章を中心に参照してください 7. 詳細設定本製品の検査機能に関する説明のほか管理者への通知設定やログの出力設定について確認することができます 4. トラステッドシグネチャの設定を確認するトラステッドシグネチャの設定を確認する場合は次の章を参照してください 7.1.3.1 トラステッドシグネチャの設定 7.1.3.2 トラステッドシグネチャの推奨設定 7.1.3.3 トラステッドシグネチャによる誤検出と対策 7.1.3.4 カスタムシグネチャの編集 7.1.3.5 カスタムシグネチャの設定例も参照してください 5. 監視運用を行う本運用を開始する前の監視運用 (モニタリング)については次の章を参照してください 12. 監視運用 6. Apache のディレクティブによる設定を確認する httpd.conf や.htaccess を活用したバーチャルホストごとの設定変更検査の除外を行う場合は次の章を参照してください 14. Apache のディレクティブによる設定

7. 防御機能のデフォルト設定を確認する本製品のデフォルト設定 ( 防御機能 )を確認する場合は次の章を参照してください 17. デフォルト設定 ( 防御機能 )

目次 1. SiteGuard Lite について... 1 2. 機能一覧... 2 2.1 機能一覧... 2 3. 動作環境... 3 3.1 ハードウェア環境... 3 3.2 ソフトウェア環境 (サーバー環境 )... 3 3.3 ソフトウェア環境 (クライアント環境 )... 4 3.4 インストール前の確認と設定... 5 4. インストール... 6 4.1 インストール(rpm パッケージ)... 7 4.2 インストール(tar.gz パッケージ)... 7 4.3 SELinux 環境での事前設定... 8 4.3.1 SELinux 環境の設定 (RedHat Enterprise Linux, CentOS, Scientific Linux)... 8 4.4 セットアップ... 9 4.5 インストールセットアップの内容... 11 4.6 アンインストール... 12 4.7 再インストール... 12 5. 初期設定... 13 5.1 ウェブ管理画面... 13 5.1.1 ウェブ管理画面へのアクセス... 13 5.1.2 初期パスワードの変更... 15 5.1.3 ホーム画面... 16 5.2 ウェブ管理画面の構成... 17 5.3 ライセンス情報の登録... 18 5.4 基本的な設定... 18 6. 動作確認... 21 6.1 動作確認と検出テスト... 21 7. 詳細設定... 22 7.1 SiteGuard Lite の詳細設定... 22 7.1.1 モジュール設定... 23 7.1.1.1 基本設定... 23 7.1.1.2 アドバンスト設定... 28

7.1.2 検出時の動作... 31 7.1.3 シグネチャ検査の詳細設定項目設定例... 33 7.1.3.1 トラステッドシグネチャの設定... 33 7.1.3.2 トラステッドシグネチャの推奨設定... 36 7.1.3.3 トラステッドシグネチャによる誤検出と対策... 36 7.1.3.4 カスタムシグネチャの編集... 38 7.1.3.5 カスタムシグネチャの設定例... 44 7.2 シグネチャ更新設定... 56 7.3 ログ... 58 7.4 トップメニュー... 61 7.4.1 管理パスワード... 61 7.4.2 診断情報... 61 7.4.3 バックアップリストア... 61 7.4.4 ライセンス情報... 62 7.4.5 バージョン情報... 62 7.4.6 ログアウト... 62 7.5 検出通知テンプレート... 63 7.6 正規表現... 65 8. コマンドラインでの操作... 67 8.1 シグネチャ更新コマンド... 67 8.2 設定情報適用コマンド... 68 8.3 フィルタ情報クリアコマンド... 69 8.4 サービス自動起動コマンド... 69 8.5 全サービス起動コマンド... 70 8.6 診断情報作成コマンド... 70 8.7 統計クリアコマンド... 71 9. 検出名... 72 9.1 検出名... 72 10. ログ... 73 10.1 動作ログ... 73 10.1.1 検出ログ(detect.log)... 73 10.1.2 情報ログ(info.log)... 75 10.1.3 エラーログ(error.log)... 76 10.1.4 エラーログ(Apache エラーログ)... 81 10.1.5 フォームログ(form.log)... 82 10.1.6 設定ログ(conf.log)... 82 10.2 通知サービスログ... 83 10.2.1 情報ログ(info.log)... 83 10.2.2 エラーログ(error.log)... 84 10.3 ログの分割 (ローテート)... 86 10.4 時刻表示変換ツール(logconv)... 87 10.5 ログ解析ツールの設定... 88 10.5.1 レポートオプション... 88

11. 統計グラフ... 89 11.1 統計... 89 11.1.1 統計の更新... 90 11.1.2 統計のクリア... 90 12. 監視運用... 91 12.1 監視 URL の編集... 91 12.1.1 監視 URL の登録と解除... 92 13. パラメータの検査... 93 13.1 クエリストリングの検査... 93 13.2 Cookie の検査... 93 13.3 要求本文の検査... 94 13.4 multipart の検査... 94 13.5 JSON の検査... 95 13.6 XML の検査... 95 13.7 JSON/XML の親子関係... 96 14. Apache のディレクティブによる設定... 98 14.1 検査の無効化... 98 14.2 監視モード... 99 14.3 トラステッドシグネチャの除外... 99 14.4 トラステッドシグネチャの除外 (パラメータ指定 )... 101 14.5 ユーザによるトラステッドシグネチャの除外... 103 14.6 ユーザによるトラステッドシグネチャの除外 (パラメータ指定 )... 105 14.7 検出ログフォームログ出力先の指定... 107 14.8 Apache のディレクティブによる設定項目一覧... 108 15. ウェブ管理画面のログインロック... 109 15.1 ログインロック... 109 15.2 ログインロックの解除方法... 109 15.3 許容するログイン失敗回数の変更... 110 15.4 ログインアカウントの初期化... 110 16. 製品動作仕様... 111 16.1 動作仕様一覧... 111 16.2 サービスプロセス一覧... 111 17. デフォルト設定 ( 防御機能 )... 112 17.1 デフォルト設定 ( 防御機能 )... 112 18. カスタムシグネチャ(サンプル)... 113 18.1 カスタムシグネチャ(サンプル)の導入... 113 18.1.1 新規インストール時... 113

18.1.2 製品アップグレード時... 113 18.2 カスタムシグネチャ(サンプル)の説明... 113 19. よくあるご質問 (カスタムシグネチャ)... 116 20. 著作権... 117 21. お問い合わせ... 118 21.1 ウェブによる情報提供... 118 21.2 購入に関するお問い合わせ... 118 21.3 電子メールによるサポート... 118 21.4 電話によるサポート... 118

1. SiteGuard Lite について本製品はオンラインショッピングイントラネット電子商取引電子申請情報検索企業官公庁での情報提供個人間の情報交換等で利用されているウェブサーバーウェブアプリケーションへの攻撃を防ぐためのウェブアプリケーションファイアウォールソリューションですウェブサーバーウェブアプリケーションへの攻撃は情報漏えいウェブページやデータの改ざん等に繋がる重大な脅威です特に最近の電子商取引の普及官公庁の電子化各種 ASP サービス等によるウェブアプリケーションの普及と世界的なインターネットの利用者増大により攻撃が広がっています企業の場合個人情報漏洩データ改ざん等の被害に加え評判や信頼の低下による間接的な影響もありますシステム管理者は本製品を使用することでウェブアプリケーションの脆弱性を悪用した攻撃からウェブサーバーウェブアプリケーションを保護することができます本製品には高品質高性能なトラステッドシグネチャによるシグネチャ検査機能が搭載されていますまた完全な国産製品となっているため管理画面の言語やドキュメント類の提供などはすべて日本語対応となっています 1

2. 機能一覧 2.1 機能一覧 Apache のモジュールとして動作するホスト型 WAF HTTP/HTTPS による通信を検査シグネチャ検査機能を搭載高品質高性能なトラステッドシグネチャ(チューニング済みシグネチャ) 独自のルールを作成できるカスタムシグネチャ検査トラステッドシグネチャの自動更新機能各種攻撃に対応 SQL インジェクションクロスサイトスクリプティング(XSS) OS コマンドインジェクションディレクトリトラバーサル HTTP ヘッダインジェクションブルートフォース容易なインストール rpm パッケージによる簡単インストール(tar.gz パッケージによるインストールも可能 ) 初期設定のためのスクリプトを用意容易な設定ウェブ管理画面による設定が可能 ( 日本語対応 ) 検出メッセージの表示が可能 ( 日本語で編集可能 ) 管理者への検出メール通知が可能 ( 日本語で編集可能 ) 2

3. 動作環境本製品が正常に動作するためには以下の環境が必要です 3.1 ハードウェア環境推奨ハードウェア環境 CPU Intel Pentium 互換 CPU 2GHz 以上複数コアを推奨 MEMORY 2GB 以上推奨 DISK 空きが 5GB 以上 (ログの保存期間等による) NETWORK TCP/IP 接続, 100BaseT 以上 3.2 ソフトウェア環境 (サーバー環境 ) 必須コンポーネント Linux kernel 2.6. 以降 Apache 2.2 または Apache 2.4 glibc 2.5 以降 perl wget unzip openssl make file 対応ディストリビューション Red Hat Enterprise Linux 5/6/7 CentOS 5/6/7 Scientific Linux 6 Ubuntu 12.04 Amazon Linux 32bit/64bit(x86_64) の動作に対応しています仮想 OS での動作も可能です OS(カーネルドライバライブラリ等 )は正常に動作すること 3

3.3 ソフトウェア環境 (クライアント環境 ) 本製品の設定はウェブ上の管理ページで行いますこのページをウェブ管理画面と呼びますウェブ管理画面では Javascript を使用し以下のウェブブラウザバージョンで動作確認済みです Mozilla Firefox 40 Google Chrome 44 Mircosoft Internet Explorer 11 上記以外のウェブブラウザ上記よりも古いバージョンのブラウザの場合ウェブ管理画面が正常に動作しないことがありますウェブブラウザの自動補完入力機能 ( 以後オートコンプリートと表記 )をご利用の場合ウェブ管理画面の設定項目 ( 管理パスワードライセンス情報通知設定シグネチャ更新設定 ) の ID/ユーザー名とパスワードがブラウザの機能で自動入力される場合があります本製品では該当するフォームにオートコンプリートを無効にする設定 autocomplete="off" を指定していますがウェブブラウザの仕様によりウェブブラウザのオートコンプリートが優先される場合がありますその場合はウェブブラウザのオートコンプリートを無効に変更してご利用ください 4

3.4 インストール前の確認と設定ウェブ管理画面への接続について本製品は Apache-SSL 経由でウェブ管理画面に接続しますまたウェブ管理画面用のウェブアプリケーションサーバー(Tomcat)は java 上で動作しますそのためウェブ管理画面を利用する場合には以下の環境が必要となります Apache モジュールの mod_ssl mod_proxy JRE 1.8 本製品のセットアップ時ウェブ管理画面の使用を選択すると JDK/JRE のパスを指定するための項目が表示されますがセットアップスクリプトによって下記のパスを自動的に検出します /usr/java/latest/jre :JDKの場合 /usr/java/latest :JREの場合 JDK/JRE ともに RPM パッケージでインストールした場合のパスを検出しますセットアップを円滑に進めることができますので RPM パッケージによるインストールをご検討ください最新の JRE は以下の URL からダウンロードすることができます https://java.com/ja/download/manual.jsp Ubuntu でのインストールについて本製品を Ubuntu にインストールする場合以下の内容について追加インストール設定が必要です make のインストール # apt-get install make gawk のインストール # apt-get install gawk unzip のインストール # apt-get install unzip Apache の mod_ssl, mod_proxy, mod_headers の有効化 # a2enmod ssl # a2enmod proxy # a2enmod proxy_http # a2enmod proxy_connect Apache の ErrorDocument 403 について本製品には攻撃検出時に検出メッセージ(403 Forbidden)をクライアントへ応答する機能がありますが Apache で ErrorDocument 403 を有効にしている場合は Apache で設定している 403 のメッセージが応答されます例 ) ErrorDocument 403 /error/403.html 例の場合検出時のメッセージは 403.html の内容になります ErrorDocument 403 が有効でない場合本製品で設定した検出メッセージの内容になります 5

4. インストール本製品は rpm パッケージまたは tar.gz パッケージによるインストールが可能です通常は rpm パッケージを使用しますインストール先のディレクトリは /opt/jp-secure/siteguardlite ですインストールパッケージは 32bit 用と 64bit 用がありますご利用の環境に合ったインストールパッケージを使用してください rpm パッケージ siteguardlite-xxx-x.i386.rpm siteguardlite-xxx-x.x86_64.rpm 32bit 版 64bit 版 tar.gz パッケージ siteguardlite-xxx-x.i386.tar.gz siteguardlite-xxx-x.x86_64.tar.gz 32bit 版 64bit 版 6

4.1 インストール(rpm パッケージ) rpm パッケージを利用して本製品をインストールする方法について説明します root 権限で以下のコマンドを実行します # rpm -Uvh siteguardlite-xxx-x.xxxx.rpm インストール完了のメッセージを確認します ------------------------------------------------------ Install succeeded! Please run the following command in order to setup apache # cd /opt/jp-secure/siteguardlite #./setup.sh ------------------------------------------------------ SELinux 環境で利用する場合は 4.3 SELinux 環境での事前設定を参照してください SELinux が無効の場合は 4.4 セットアップを参照してください 4.2 インストール(tar.gz パッケージ) 本製品は tar.gz パッケージを使用したインストールも行えます root 権限で以下のコマンドを実行します # tar -zxvf siteguardlite-xxx-x.xxxx.tar.gz # cd siteguardlite-xxx/ # make install インストール完了のメッセージを確認します ------------------------------------------------------ Install succeeded! Please run the following command in order to setup apache # cd /opt/jp-secure/siteguardlite #./setup.sh ------------------------------------------------------ SELinux 環境で利用する場合は 4.3 SELinux 環境での事前設定を参照してください SELinux が無効の場合は 4.4 セットアップを参照してください 7

4.3 SELinux 環境での事前設定本製品を SELinux 環境で動作させる場合事前に以下の設定を行います SELinux が無効の場合この手順を実施する必要はありません 4.4 セットアップを参照してください 4.3.1 SELinux 環境の設定 (RedHat Enterprise Linux, CentOS, Scientific Linux) 1) SiteGuardLite のポリシーを設定します使用するルールファイルのテンプレートが製品に同梱されています (conf/siteguardlite.te) # cd /opt/jp-secure/siteguardlite #./set_secontext.sh set_secontext.sh の実行には semanage コマンドを使用します semanage コマンドが導入されていない場合は yum provides で対象パッケージを確認してからインストールしてください (yum provides *usr/semanage) set_secontext.sh が終了するまでに数分程度かかる場合があります 2) 引き続き本製品のセットアップを行ってください 4.4 セットアップを参照してください 8

4.4 セットアップ本製品のインストールが完了したら setup.sh を実行して Apache の設定やウェブ管理画面のアクセス制御などの設定を行います root 権限で以下のコマンドを実行します # cd /opt/jp-secure/siteguardlite/ #./setup.sh セットアップシェルが実行されます ----------------------------------------------------- + SiteGuard Lite setup start... + ----------------------------------------------------- Apache の設定ファイルのパスを指定します please enter Apache Config File. [/etc/httpd/conf/httpd.conf] --> [ ] 内に検出した設定ファイルのパスが表示されます検出された設定ファイルが正しい場合はそのまま Enter を押してください検出されなかった場合やその他の設定ファイル指定する場合は設定ファイルのパスを指定して Enter を押してください Apache の設定ファイルのパスを確認します Apache Config File=[/etc/httpd/conf/httpd.conf] is correct? [yes] no --> [ ] 内に指定した設定ファイルのパスが表示されます指定した設定ファイルのパスが正しい場合はそのまま Enter を押してください設定ファイルのパスを修正する場合は no を入力してやり直してください Apache の実行ファイルのパスを指定します please enter Apache Binary File (httpd). [/usr/sbin/httpd] --> [ ] 内に検出した実行ファイルのパスが表示されます検出された実行ファイルが正しい場合はそのまま Enter を押してください検出されなかった場合やその他の実行ファイルを指定する場合は実行ファイルのパスを指定して Enter を押してください Apache の実行ファイルのパスを確認します Apache Binary File (httpd)=[/usr/sbin/httpd] is correct? [yes] no --> [ ] 内に指定した実行ファイルのパスが表示されます指定した実行ファイルのパスが正しい場合はそのまま Enter を押してください実行ファイルのパスを修正する場合は no を入力してやり直してください 9

管理インターフェース(ウェブ管理画面 )の使用に関する設定を行います do you want to use the web administrative console? * to use the console, you will need JDK or JRE is installed. please select. [yes] no --> ウェブ管理画面を使用する場合は yes を指定しますウェブ管理画面を使用しない場合は no を指定します (no を選択した場合管理インターフェースに関する設定はスキップされます ) ウェブ管理画面の使用を選択した場合 JDK または JRE のインストールディレクトリを指定します please enter JDK or JRE directory. [/usr/java/latest] --> [ ] 内に検出したパスが表示されます検出されたパスが正しい場合はそのまま Enter を押してください検出されなかった場合やその他のパスを指定する場合は JDK または JRE がインストールされているディレクトリのパスを入力して Enter を押してください JDK または JRE のインストールディレクトリを確認します JDK or JRE directory=[/usr/java/latest] is correct? [yes] no --> 指定した内容が正しい場合はそのまま Enter を押してください修正する場合は no を入力してやり直してください管理インターフェース(ウェブ管理画面 )のポート番号を指定します please enter the port number of the web console for https. please enter port number. [9443] --> [ ] 内の 9443 はデフォルトです 9443 のままでよければそのまま Enter を押してください別のポート番号を使用したい場合はポート番号を入力して Enter を押してください管理インターフェース(ウェブ管理画面 )のポート番号を確認します port number=[9443] is correct? [yes] no --> [ ] 内に指定したポート番号が表示されます指定したポート番号が正しい場合はそのまま Enter を押してください別のポート番号を使用する場合は no を入力してやり直してください管理インターフェース(ウェブ管理画面 )のアクセス制御を設定します please enter the addresses allowed to access the web console for https. ex:192.168.1. 10.0.0.0/24 please enter allowed addresses. [ALL] --> [ ] 内の ALL はデフォルトです ( 全ての接続元からのアクセスを許可 ) ALL またはアクセスを許可したい接続元を指定して Enter を押してください 10

管理インターフェース(ウェブ管理画面 )のアクセス制御を確認します allowed addresses=[all] is correct? [yes] no --> [ ] 内に指定したアクセス制御の設定が表示されますアクセス制御の設定が正しい場合はそのまま Enter を押してくださいアクセス制御を設定し直す場合は no を入力してやり直してくださいセキュリティ対策のため本項によるアクセス制御の実施または iptables 等で接続元 IP アドレスを制限することを推奨しています各種設定の更新後 Apache の再起動を確認するメッセージが表示されます Apache restart. Are you sure? [yes] no --> Apache を再起動して SiteGuard Lite を有効にする場合はそのまま Enter を押してくださいあとで Apache を再起動する場合は no を入力してください Apache を再起動するまで SiteGuard Lite は有効になりませんセットアップ完了のメッセージが表示されます ----------------------------------------------------- + finished SiteGuard Lite setup + ----------------------------------------------------- Please access following URL for starting service. https://xxxxxxxxxx:9443/ (default user:admin, default password:admin) 続いて 5 基本設定を参照してください 4.5 インストールセットアップの内容本製品をインストールすると以下のディレクトリが作成され必要なファイルが導入されます /opt/jp-secure/siteguardlite SiteGuard Lite(Apache モジュール) 各種設定ファイルログファイルは以下のディレクトリに導入されます /opt/jp-secure/siteguardlite/modules /opt/jp-secure/siteguardlite/conf /opt/jp-secure/siteguardlite/logs Apache の設定ファイルの最下行に以下の 2 行が追加されます include /opt/jp-secure/siteguardlite/conf/siteguardlite.conf include /opt/jp-secure/siteguardlite/conf/httpd.conf.siteguardlite_admin_ssl このほかウェブ管理画面のサービスと通知サービスの起動スクリプトが設定されます 11

4.6 アンインストール以下の手順でアンインストールを行いますシステムに導入したファイルの削除設定の削除 Apache の再起動を行います root 権限で以下のコマンドを実行します # cd /opt/jp-secure/siteguardlite # make uninstall # rm -rf /opt/jp-secure/siteguardlite rpm パッケージの場合以下のコマンドも実行します # rpm -e siteguardlite 以上でアンインストールが完了します make uninstall コマンドの実行時 Apache の再起動が行われます 14. Apache のディレクティブによる設定を使用している場合は Apache の再起動に失敗するため設定を削除してからアンインストールコマンドを実行してください 4.7 再インストール本製品を再インストールする場合はアンインストール後にインストールコマンドを実行し直してください root 権限で以下のコマンドを実行します # cd /opt/jp-secure/siteguardlite # make uninstall rpm パッケージの場合以下のコマンドも実行します # rpm -e siteguardlite 既存の設定を削除する場合以下のコマンドも実行します # rm -rf /opt/jp-secure/siteguardlite 既存の設定を引き継いで上書き再インストールする場合このコマンドは実行しないでくださいアンインストール後 4.1 インストール(rpm パッケージ) 4.2 インストール(tar.gz パッケージ) を参照してインストールコマンドを実行し直してください 12

5. 初期設定インストール完了後本製品の初期設定を行います 5.1 ウェブ管理画面本製品の設定はウェブ上の管理ページから行いますこのページをウェブ管理画面と呼びます Apache-SSL 経由でウェブ管理画面用のアプリケーションサーバーの Tomcat(java)に接続します 5.1.1 ウェブ管理画面へのアクセス 1) ウェブブラウザから以下の URL へアクセスします https://ホスト名 :9443/ 本製品をインストールしたウェブサーバーのホスト名または IP アドレスのポート 9443 宛に接続してくださいポート番号は 4.4 セットアップで設定した番号です (デフォルト 9443) 2) ログイン画面で ID とパスワードを入力してログインしますデフォルトアカウント ID:admin パスワード:admin ウェブ管理画面に接続できない場合ポート 9443 宛の接続が許可されているかファイアウォール等のネットワーク機器や本製品を導入したサーバーの iptables の設定を確認してください 13

ウェブブラウザの JavaScript が無効の場合以下のメッセージが出力されます JavaScript を有効にしてアクセスし直してください 14

5.1.2 初期パスワードの変更 1) ウェブ管理画面への初回ログイン時初期パスワードを変更するため管理パスワードの設定画面が表示されます 2) 英大文字英小文字数字を含んだ 8 文字以上のパスワードを入力し保存ボタンを押します初期パスワードの変更は必須ですパスワードの変更が完了するまで他の操作を行うことはできませんデフォルトアカウントの admin を任意のユーザ名に変更することも可能です初期パスワードを変更後ウェブ管理画面の操作が可能となります 15

5.1.3 ホーム画面検出情報の統計グラフと検査の状態 ( 有効 / 無効 )を確認することができますアイコン説明シグネチャ検査機能が有効であることを示しています ( 緑のチェックで表示されます ) シグネチャ検査機能が無効であることを示しています統計グラフについては 11. 統計グラフを参照してください 16

5.2 ウェブ管理画面の構成ウェブ管理画面は画面上部のメニューと下部の操作エリアから構成されます以下の画面はメインメニュー[モジュール設定 ] サブメニュー[ 基本設定 ]を選択したときの画面です項目トップメニューメインメニューサブメニュー操作エリア有効 / 無効ボタン適用キャンセルボタン説明本製品の各種設定やログ閲覧を行うためのメニューです設定したい項目をクリックすると操作エリアに選択した項目の設定ページが表示されます各項目を設定するエリアですデフォルト値が設定されていますので必要に応じて変更してください各種機能の有効 / 無効の設定で使用します設定後適用ボタンをクリックすると設定の保存と適用を行いますキャンセルボタンをクリックすると保存されていない設定内容を破棄します適用ボタンをクリックすると apachectl graceful コマンドが実行されますウェブブラウザの自動補完入力機能 ( 以後オートコンプリートと表記 )をご利用の場合ウェブ管理画面の設定項目 ( 管理パスワードライセンス情報通知設定シグネチャ更新設定 )の ID/ユーザー名とパスワードがブラウザの機能で自動入力される場合があります本製品では該当するフォームにオートコンプリートを無効にする設定 autocomplete="off" を指定していますがウェブブラウザの仕様によりウェブブラウザのオートコンプリートが優先される場合がありますその場合はウェブブラウザのオートコンプリートを無効に変更してご利用ください 17

5.3 ライセンス情報の登録製品のシリアルキーとサポート ID パスワードの登録を行います保存ボタンを押すと設定内容が保存されますトップメニューの[ライセンス情報 ]でライセンス情報を登録します [シリアルキー] [サポート ID] [パスワード] :ご購入時に発行されたシリアルキー :ご購入時に発行されたサポート ID :ご購入時に発行されたパスワードシリアルキーサポート ID パスワードはご購入時に発行される契約内容確認書に記載されていますシリアルキーは本製品の正規利用に必要な登録情報です (シリアルキーの登録がない場合 (TRIAL VERSION)は 90 日間の評価版環境となります ) サポート ID とパスワードはトラステッドシグネチャのダウンロード認証で使用します 5.4 基本的な設定ここでは基本的な設定内容についてのみ説明します詳細設定については 7. 詳細設定を参照してくださいトップメニューの[モジュール設定 ]を選択します [ 基本設定 ]の画面が表示されるので以下の設定確認を行います 18

19

[ウェブ攻撃検査 ] デフォルト無効検査を開始する場合は有効を選択します [ 管理者への通知設定 ] デフォルト無効 [ 検出通知 ] 通知機能を利用する場合は有効を選択します [メールアドレス] 通知機能を有効にした場合通知先のメールアドレスとメール [SMTP サーバ] 送信に利用する SMTP サーバポート番号を指定します設定確認が完了したら画面下の適用ボタンを押します適用ボタンをクリックすると apachectl graceful コマンドが実行されます設定保存のメッセージと検査中を示すアイコン( 緑のチェック)を確認します [ウェブ攻撃検査 ]で有効が選択されていて且つ有効なシリアルキー(TRIAL VERSION を含む)が登録されている場合アイコンが緑のチェックで表示されますアイコン説明本製品による検査が有効であることを示しています ( 緑のチェックで表示されます ) 本製品による検査が無効であることを示しています 20

6. 動作確認設定が終了したら以下の手順で動作確認を行ってください正しく動作しない場合は以下のどちらかの方法でエラーログを参照してくださいウェブ管理画面でメニューから [ログ]-[ 動作ログ]を選択し [エラーログ]を参照しますコマンドラインからエラーログ (logs/http/error.log) を参照します 6.1 動作確認と検出テスト 1) ウェブブラウザを起動し以下の URL でウェブサーバーに接続できることを確認してください http://ホスト名 / 2) 以下の攻撃検出テスト用パスを含むアドレスに接続し検出画面が表示されることを確認してください http://ホスト名 /WAF-TEST-SIGNATURE 本製品をインストールしたサーバーのホスト名または IP アドレス宛に接続してください 21

7. 詳細設定 7.1 SiteGuard Lite の詳細設定本製品のインストールと動作確認が完了したら必要に応じて各種機能の詳細設定を行いますメインメニュー / サブメニューから設定したい項目を選択します必要な設定を行い適用ボタンで設定の保存と適用を行います項目適用ボタンキャンセルボタン説明設定後適用ボタンをクリックすると設定の保存と適用を行いますキャンセルボタンをクリックすると保存されていない設定内容を破棄します適用ボタンをクリックすると apachectl graceful コマンドが実行されます 22

各項目の ( ) は設定ファイル (conf/siteguardlite.ini) での項目名ですウェブ管理画面を使用せずに設定ファイルを編集することも可能ですが通常はウェブ管理画面を使用してください 7.1.1 モジュール設定 Apache モジュールとして動作する SiteGuard Lite の各種設定を行います設定には [ 基本設定 ]と[アドバンスト設定 ]があります 7.1.1.1 基本設定 [ 基本設定 ] Standard Settings [ウェブ攻撃検査 ] Web attack check (enabled) 本製品による検査の有効 / 無効の指定です攻撃パターンのシグネチャを用いた検査を主としており SQL インジェクションやクロスサイトスクリプティング等ウェブアプリケーションに対する一般的な攻撃から防御することができますシグネチャ検査はトラステッドシグネチャを使用 ([トラステッドシグネチャの設定 ]) またはカスタムシグネチャを作成 ([カスタムシグネチャの編集 ])することで行いますカスタムシグネチャでは条件を指定した検出の除外設定を行うこともできます 7.1.3.1 トラステッドシグネチャの設定を参照してください 7.1.3.2 カスタムシグネチャの編集を参照してください 23

[Cookie の検査 ] Cookie check (check_cookie) クライアントから送付された Cookie についてシグネチャ検査を行います (デフォルト有効 ) ( 検査対象がパラメータの名前とパラメータの値のシグネチャによる検査を行います ) 無効の場合 Cookie についてはシグネチャ検査の対象外となります [ 検出時の全体動作設定 ] Whole action settings when detecting attacks 攻撃を検出した場合の動作に関する全体的な設定を行います [フィルタ動作時の接続拒否時間 ] Rejection time duration at filtering action (filter_lifetime) 検出時の動作を"フィルタ"に設定した場合に同一接続元 (IP アドレス)からの接続を拒否する時間 ( 秒 )を指定します (デフォルト 300) [ 検出メッセージの編集 ] Edit the detection message 検出時に表示するメッセージの編集ができますメッセージの内容は日本語 / 英語で編集することができます ( 最大 9000 バイト) 利用できる変数については 7.5 検出通知テンプレートを参照してください検出メッセージのステータスコードは 403 Forbidden ですウェブ管理画面で編集した内容は conf/template_http_waf.html に反映されます [ 監視 URL の編集 ] Edit the monitoring urls 検出時に拒否やフィルタの動作を適用せず監視で処理する URL の編集ができます本運用前のテスト監視運用に活用できるほか拒否 (ブロック)の設定で運用するサイトと監視で運用するサイトを分けたい場合にも活用できます URL の指定には正規表現を使用することができます複数指定の場合は改行入力してください ( 最大 1999 バイト) ウェブ管理画面で編集した内容は conf/monitor_url.txt に反映されます 24

[ 管理者への通知設定 ] Report settings to admin [ 検出通知 ] Detection notification (notify_admin) 有効にすると攻撃を検出した場合に管理者へメールで通知します (デフォルト無効 ) 通知の間隔は分単位の[ 通知間隔 ]と日単位の[ 毎日 ]のいずれかを指定できます [ 通知間隔 ] Notification interval (waf_notify_admin_interval) 管理者に検出通知をメール送信する間隔 ( 分 )の指定です (デフォルト 10) 指定した間隔 ( 分 )ごとにサマリされた検出情報を管理者にメールで通知しますメールサーバーに接続できない等通知に失敗した場合通知メールは削除されます [ 毎日 ] Notification interval (waf_notify_admin_minute / waf_notify_admin_hour / waf_notify_admin_daily) 管理者に検出通知を日単位でメール送信するための指定です毎日指定した時間にサマリされた検出情報を管理者にメールで通知します (デフォルト 0 時 0 分 ) [ 最大詳細件数 ] Max Detail (notify_admin_max_detail) サマリ通知に含める検出情報の詳細件数 ( 件 )の指定です (デフォルト 100) サマリされた情報に加え指定した件数までは検出情報の詳細がサマリ通知に含まれます [ 通知除外設定の編集 ] Edit for exlucde setting of detection notification 各種攻撃検出時に管理者へメール送信する検出通知について通知を除外する条件を指定します以下の条件を指定することができます (デフォルト指定なし) [ 通知除外シグネチャ名 ( 正規表現 )] 通知を除外するシグネチャ名を正規表現で指定します [フィルタ通知除外 ] 有効にするとフィルタ動作時の同一接続元 (IP アドレス)からの接続拒否 (WAF_FILTER)が通知の除外対象になります [URL デコードエラー通知除外 ] 有効にすると URL デコードエラー(RULE_URLDECODE)による検出が通知の除外対象になります [ 監視通知除外 ] 有効にすると監視動作による検出が通知の除外対象になりますそれぞれ以下のファイルに設定が保存されます conf/notify_exclude_sig.txt([ 通知除外シグネチャ名 ( 正規表現 )]) conf/notify_exclude_detect.txt ([フィルタ通知除外 ] [URL デコードエラー通知除外 ]) conf/notify_exclude_action.txt([ 監視通知除外 ]) 25

[サマリ検出通知メッセージの編集 ] Edit for summary detection notification message 管理者へメール送信するサマリ検出通知メッセージの内容を編集します Subject を含めて日本語 / 英語で編集できます ( 最大 9000 バイト) [ 追加ヘッダ]に From を記述して検出通知の送信者アドレスを指定することができます利用できる変数については 7.5 検出通知テンプレートを参照してくださいウェブ管理画面で編集した内容は conf/template_admin_summary.txt に保存されます [リアルタイム通知 ] Reattime notification (notify_admin_realtime) 有効にすると管理者への検出通知がリアルタイムで通知されるようになります (1 回の検出ごとに 1 通のメールを送信しますデフォルトのサマリ通知を推奨しています ) [リアルタイム検出通知メッセージの編集 ] Edit for raltime detection notification message 管理者へメール送信するリアルタイム検出通知メッセージの内容を編集します Subject を含めて日本語 / 英語で編集できます ( 最大 9000 バイト) [ 追加ヘッダ]に From を記述して検出通知の送信者アドレスを指定することができます利用できる変数については 7.5 検出通知テンプレートを参照してくださいウェブ管理画面で編集した内容は conf/template_admin.txt に保存されます [ 障害通知 ] Fault notification (notify_fault) 有効にすると本製品のエラーログに出力された内容を管理者へメールで通知します (デフォルト無効 ) 通知の間隔は分単位の[ 通知間隔 ]と日単位の[ 毎日 ]のいずれかを指定できます [ 通知間隔 ] Notification interval (waf_notify_fault_interval) 管理者に障害通知をメール送信する間隔 ( 分 )の指定です (デフォルト 10) 指定した間隔 ( 分 )ごとにサマリされた障害情報を管理者にメールで通知しますメールサーバーに接続できない等通知に失敗した場合通知メールは削除されます [ 毎日 ] Notification interval (waf_notify_fault_minute / waf_notify_fault_hour / waf_notify_fault_daily) 管理者に障害通知を日単位でメール送信するための指定です毎日指定した時間にサマリされた障害情報を管理者にメールで通知します (デフォルト 0 時 0 分 ) [ 最大詳細件数 ] Max Detail (notify_fault_max_detail) サマリ通知に含める障害情報の詳細件数 ( 件 )の指定です (デフォルト 100) サマリされた情報に加え指定した件数までは障害情報の詳細がサマリ通知に含まれます 26

[サマリ障害通知メッセージの編集 ] Edit for summary fault notification message 管理者へメール送信するサマリ障害通知メッセージの内容を編集します Subject を含めて日本語 / 英語で編集できます ( 最大 9000 バイト) [ 追加ヘッダ]に From を記述して障害通知の送信者アドレスを指定することができます利用できる変数については 7.5 検出通知テンプレートを参照してくださいウェブ管理画面で編集した内容は conf/template_fault_summary.txt に保存されます [メールアドレス] Mail address (admin_mailaddr / admin_fromaddr) 管理者のメールアドレスを指定します [ 検出通知 ] [ 障害通知 ]が有効の場合 [ 宛先 ]に指定されたメールアドレス宛に通知内容が送信されますウェブ管理画面の場合改行入力で複数指定できます設定ファイル編集の場合はカンマ(",") 区切りで複数指定できます ( 最大 1999 バイト) 通知の送信者アドレスは [ 差出人 ] で指定することができます 2.10 Update1 までのバージョンとの互換性各通知メッセージの編集画面 [ 追加ヘッダ]の From で送信者アドレス( 通知の差出人 )を指定している場合そのまま[ 追加ヘッダ]の From を送信者アドレスとして使用することができます [ 差出人 ]と[ 追加ヘッダ]の From の両方を指定した場合 [ 追加ヘッダ]の From が優先されます [SMTP サーバ] SMTP server (admin_mx_host/admin_mx_port) 管理者へ通知メッセージを送信するときに利用するメールサーバーのホスト名 (または IP アドレス)とポート番号を指定します SMTP over SSL の送信には対応していません [SMTP 認証 ] SMTP Authentication (admin_smtp_username/admin_smtp_password) 管理者に通知メッセージを送信するときに利用するメールサーバーで SMTP 認証が必要な場合のユーザ名パスワードを指定します PLAIN, LOGIN, CRAM-MD5 の認証方式に対応しています 27

7.1.1.2 アドバンスト設定 [アドバンスト設定 ] Advanced settings アドバンスト設定です利用環境や要件に応じて変更を行う場合に参照してください [デバッグログ] Debug log (debugloglevel) 有効にすると詳細情報を[ 情報ログ](logs/http/info.log)に出力します (デフォルト無効 ) 問題解析時などで利用します [URL デコードエラー検出 ] URL decode error detect (check_urldecode) URL デコードに失敗した場合に"RULE_URLDECODE"で検出する機能です不正な URL エンコードを悪用する攻撃手法に対して有効です (デフォルト無効 ) [ 動作 ] Action (check_urldecode_action) [URL デコードエラー検出 ]で検出した場合の動作を設定します 7.1.2 検出時の動作を参照してください [パラメータ数の上限値の検出 ] Max parameter number detect リクエスト中のパラメータ数の上限値 ( 個 )を制限し上限を超えた場合に検出する機能です hashdos と呼ばれる DoS 攻撃に対応しています検出名は"RULE_PARAMS_NUM"です [ 上限値 ] Max number(max_params_num) リクエスト中のパラメータ数の上限値 ( 個 )の設定です (デフォルト 1000) 0 を指定した場合パラメータ数の上限値の制限は行いません [ 動作 ] Action (max_params_num_action) [パラメータ数の上限値の検出 ]で検出した場合の動作を設定します拒否または監視を選択することができます 7.1.2 検出時の動作を参照してくださいフォーム画面などで 1000 を超えるパラメータがある場合正常なアクセスであっても当機能によって拒否されます ([ 動作 ]で拒否を選択している場合 ) [ 上限値 ]を超えてしまう可能性がある場合 [ 動作 ]で監視を選択する方法が有効ですこの場合当機能による検出があってもリクエストの拒否は行わずに通過しますまた [ 検出ログ]の検出文字列にパラメータの数が記録されますので当機能の[ 上限値 ] を決定し拒否設定にするための判断基準にすることができます [ 要求本文の最大保存サイズ] Request body store max size [メモリ] memory(max_post_memory_store_size) 要求本文をメモリに一時保存する上限値 (バイト)を設定します (デフォルト 10000000) 本製品はここで設定されているサイズに満たない要求本文はメモリに一時保存して検査します 28

[ファイル] file(max_post_file_size) 要求本文をファイルに一時保存する上限値 (バイト)を設定します (デフォルト 2000000000) 本製品は要求本文が[メモリ]で設定された値を超える場合一時保存ディレクトリ (/opt/jp-secure/siteguardlite/tmp)にファイル保存して検査しますここで設定されているサイズを超える要求本文はファイル保存せずに切り捨てます [ログ] Log 各種ログの出力先に関する設定です (デフォルト[ファイル]) それぞれ [ファイル] [syslog] [ファイルと syslog]から選択することができます [ 検出ログ] Detection log(detect_log_switch) [ 情報ログ] Information log(info_log_switch) [エラーログ] Error log(error_log_switch) [フォームログ] Form log(form_log_switch) デフォルトの[ファイル]の場合各種ログは /opt/jp-secure/siteguardlite/logs/http ディレクトリに出力されます 29

[syslog] Syslog 各種ログの出力で[syslog]を選択した場合の設定です [タグ] Tag(syslog_tag) 各種ログを syslog に出力する際のタグの指定です (デフォルト siteguardlite) それぞれ syslog のファシリティとプライオリティを選択します (デフォルト local0.err) [ 検出ログ] Detection log(detect_syslog) [ 情報ログ] Information log(info_syslog) [エラーログ] Error log(error_syslog) [フォームログ] Form log(form_syslog) [クライアント IP アドレスを X-Forwarded-For から取得 ] Use X-Forwarded-For to get client address (for Filter) (srcip_x_forwarded_for) 有効にすると X-Forwarded-For ヘッダから取得したクライアント IP アドレスをもとに頻度判定とフィルタの動作を適用します (デフォルト有効 ) 本製品を導入したウェブサーバーの前段にリバースプロキシが配置されている場合 ( 接続元の IP アドレスがすべてリバースプロキシになる場合 )など必要に応じて設定します X-Forwarded-For から取得できない場合は通常の接続元 IP アドレスを利用します [レベル] (srcip_x_forwarded_for_level)には X-Forwarded-For ヘッダの内最後から何番目の IP アドレスを取得するかを指定します (デフォルト 0) 一番右の IP アドレスが 0 右から 2 番目が 1 右から 3 番目が 2 になります本設定は頻度判定とフィルタ動作を適用するクライアント IP アドレスを取得する目的で使用します ( 頻度判定とフィルタ動作以外には適用されません ) 30

7.1.2 検出時の動作攻撃検出時の動作は以下のいずれかから選択できます ( ) 内は設定ファイル(siteguardlite.ini) 中の名前およびシグネチャファイル中の名前ですフィルタ ("filter", "FILTER"): 同一 IP アドレスからの接続を一定時間拒否します接続拒否時間は [フィルタ動作時の接続拒否時間 ]で指定します拒否 ("block", "BLOCK"): リクエストを拒否し検出メッセージをクライアントに応答します監視 ("monitor", "MONITOR"): 記録 (ログ出力メール通知 )のみ行いますリクエストは拒否されずに通過します安全 ("WHITE"): 該当リクエストを安全なアクセスとみなします他の条件で拒否された場合もリクエストを許可しますカスタムシグネチャで指定することができます検出動作の優先順位は以下のとおりです 1. 安全 2. フィルタ 3. 拒否 4. 監視複数の条件に一致した場合検出動作の優先順位に従いますトラステッドシグネチャとカスタムシグネチャともに検出条件に一致した場合を例にしますこの際それぞれ以下の検出動作であった場合結果として動作は" 拒否 "になりますトラステッドシグネチャによる検出 : 拒否カスタムシグネチャによる検出 : 監視優先順位の高い" 拒否 "で処理されます 31

トラステッドシグネチャを除外 ("EXCLUDE_OFFICIAL"): (カスタムシグネチャの各条件のみ設定可能 ) [ 除外するトラステッドシグネチャ名 ( 正規表現 )]で指定したシグネチャによる検出を除外します特定の URL やパラメータ等を条件にして指定したシグネチャによる検出を除外する設定が可能ですトラステッドシグネチャで除外設定 (EXCLUDE_OFFICIAL)が指定されている場合動作は除外で表示されます他の動作を選択することはできません URL デコードエラーを除外 ("EXCLUDE_URLDECODE"): (カスタムシグネチャの各条件のみ設定可能 ) [URL デコードエラー検出 ](アドバンスト設定 )による検出を除外します特定の URL やパラメータを条件にして URL デコードエラーによる検出を除外する設定が可能です何もしない ("NONE"): シグネチャ検査で AND 条件のシグネチャを登録する場合やトラステッドシグネチャの除外 ("EXCLUDE_OFFICIAL")で使用します必要に応じてセットされるためウェブ管理画面に設定項目はありません 32

7.1.3 シグネチャ検査の詳細設定項目設定例シグネチャ検査には本製品に実装されているトラステッドシグネチャによる検査とお客様自身でシグネチャを作成することができるカスタムシグネチャによる検査がありますカスタムシグネチャでは条件を指定した検出の除外設定を行うこともできます 7.1.3.1 トラステッドシグネチャの設定トラステッドシグネチャによる検査を行うことで SQL インジェクションやクロスサイトスクリプティングなどの攻撃を防御することができます [トラステッドシグネチャの設定 ]では各シグネチャの有効無効検出時の動作を設定できますシグネチャは 1 ページあたり 50 個の単位で表示されます 33

ボタンに関する説明アイコン/ボタン説明シグネチャの有効 / 無効動作を置換しますシグネチャの設定を既定値 (デフォルト設定 )にリセットします検索文字列に入力したシグネチャを検索しますシグネチャ ID またはシグネチャ名の前方一致で検索します編集した設定内容を保存します編集した設定内容の保存と適用を行います (apachectl graceful コマンドが実行されます ) トラステッドシグネチャの設定画面を閉じます置換ボタンとリセットボタンが適用される範囲は表示されているページ数の範囲となります以下の表示では 9 ページ分のシグネチャが適用範囲となりますシグネチャ名 ( 例.sqlinj)で検索すると該当するシグネチャだけが抽出されページ数の表示は以下のようになります ( 前方一致 ) この場合 3 ページ分のシグネチャが置換ボタンとリセットボタンの適用範囲となりますすべてのシグネチャを対象に無効に置換したあと SQL インジェクション対策用のシグネチャを検索し有効に置換するといった操作が可能です (SQL インジェクション対策のみのシグネチャ設定を作成する場合の例 ) 34

設定項目シグネチャ ID: シグネチャ名 : コメント: 作成日 : 更新日 : 有効 : 動作 : シグネチャの ID ですシグネチャの名称ですシグネチャのコメントです ( 設定ファイル中の日本語文字コードは UTF-8 です) 当社が該当のシグネチャを作成した日付です該当のシグネチャの検査パターン( 検査対象検査文字列比較方法 )が更新された日付です有効 (ON) 無効 (OFF) シグネチャは有効ですシグネチャは無効です 7.1.2 検出時の動作を参照してください同一動作の複数のシグネチャにマッチした場合検出ログに記録されるのは登録順が先のシグネチャですカスタムシグネチャはトラステッドシグネチャよりも登録順が先となります Referer リクエストヘッダを検査しない: 有効の場合トラステッドシグネチャで要求ヘッダの Referer を検査しません (デフォルト有効 ) User-Agent リクエストヘッダを検査しない: 有効の場合トラステッドシグネチャで要求ヘッダの User-Agent を検査しません (デフォルト有効 ) 設定ファイルトラステッドシグネチャの設定内容は以下のファイルに保存されます conf/waf/sig_official.txt 35

7.1.3.2 トラステッドシグネチャの推奨設定トラステッドシグネチャには各シグネチャの有効無効検出時の動作が推奨シグネチャ設定として定義されています (conf/waf/sig_official_base.txt) 拒否のシグネチャ推奨設定が[ 拒否 ]のシグネチャは攻撃の可能性があるパターンに設定されています攻撃の検出時に同一 IP アドレスからの接続を一定時間の間禁止する[フィルタ]を設定することもできます監視のシグネチャ( 無効 ) 攻撃者による脆弱性有無の調査試行を含め攻撃の可能性を広く検出することを目的としており外部からのアクセス状況を継続的に分析するために有効なシグネチャですが通常操作でも使用される可能性のあるパターンや比較的に単純な文字列を検出するパターンを含んでいるため製品の標準設定では無効としています 7.1.3.3 トラステッドシグネチャによる誤検出と対策検出漏れを防ぐためにトラステッドシグネチャは攻撃の可能性があるパターンを広範囲に検出しますその性質上高い検出率を誇る一方で正常な HTTP 接続を誤って検出してしまう場合があります ( 誤検出 ) 以下に誤検出の事例を記載いたしますので製品導入運用時の参考情報としてください誤検出の事例 1 クロスサイトスクリプティング SQL インジェクション対策のシグネチャ全般による検出クロスサイトスクリプティング対策のシグネチャでは HTML タグやイベントハンドラ疑似スキームスタイルシートなどのパターンに対応しています <script>alert('xss')</script>など SQL インジェクション対策のシグネチャでは情報の窃取や改ざん認証回避などにつながるデータベースの不正操作の可能性を検出します 'OR 'a'='a ;select id, passwd from users などいずれも様々な攻撃パターンを検出するため攻撃に使用されるパターンのキーワードをもとに広範囲に検出しますトラステッドシグネチャに定義されているパターンに一致した場合に検出するという性質上実際の攻撃だけでなくウェブサイトの管理者によるウェブページの編集作業 (HTML タグやスタイルシート等の利用 )のほかフリーフォームへの入力や"OR","="を含む乱数英語サイトでの英文入力編集などの操作を検出してしまう場合があります 36

誤検出の事例 2 sqlinj-11(--) sqlinj-12(/*) sqlinj-13('--) sqlinj-55(/**/)による検出すべてコメントの悪用による SQL インジェクションの可能性を検出するシグネチャですが以下の内容で検出するためご利用の環境によっては実際の攻撃だけでなく通常操作入力を検出してしまう場合があります sqlinj-11(--) sqlinj-12(/*)は ( ) 内の文字列を検出しますセッション ID に連続したハイフンが含まれている場合やコメントの入力などを検出してしまう可能性が高いため製品の標準設定では無効となっています sqlinj-13('--)はログイン画面のユーザー名の欄に admin'-- と入力するだけで認証回避ができてしまうケースにも対応するためキーワードとなる('--)の使用を広範囲に検出しますフリーフォーム等で検出の対象となってしまう可能性がありますが SQL インジェクションの例示としてよく取り上げられるパターンであり実際に認証回避につがなる可能性があることから推奨設定の動作を[ 拒否 ]としています sqlinj-55(/**/)は /**/DROP/**/TABLE/**/ のような入力で他のシグネチャによる検出を回避されることを防ぎますキーワードとなる(/**/)の使用を広範囲に検出するためコメントの入力などが検出の対象となってしまう可能性がありますが DR/**/OP/**/ TA/**/BLE など様々なパターンを考慮する必要があることから推奨設定の動作を[ 拒否 ]としています (xss-try-4 も同様のパターンを検出します ) CHECK! CMS(content management system)などを利用している場合は管理者からの接続について検査を除外する設定を検討してください HTML タグの利用を許可している場合やフリーフォーム等に該当するページパラメータがある場合は URL とパラメータなどを条件にしたシグネチャの除外設定を検討してくださいセッション情報など生成される乱数や Cookie の情報が検出の対象にならないかをご確認ください該当する場合はパラメータを条件にしたシグネチャの除外設定を検討してください ([Cookie の保護 ]で [シグネチャ検査 ]を選択している場合 (デフォルト) Cookie についてもパラメータの名前とパラメータの値が検査対象のシグネチャによる検査を行います ) 設定例は 7.1.3.5 カスタムシグネチャの設定例を参照してください 37

7.1.3.4 カスタムシグネチャの編集 [カスタムシグネチャの編集 ]では任意のシグネチャを追加作成することができます 1000 個までの条件を登録できますシグネチャは 1 ページあたり 20 個の単位で表示されます本製品の新規インストールの場合カスタムシグネチャのサンプル(3 個 )が登録されていますすべて無効で登録されていますので必要に応じて条件を編集しご利用ください 38

カスタムシグネチャを追加する場合は操作エリアのシグネチャの追加 ( 開く/ 閉じる) をクリックしますシグネチャを追加作成する画面が開きます条件を登録してシグネチャを追加ボタンを押すとシグネチャが追加されますボタンに関する説明アイコン/ボタン説明シグネチャの有効 / 無効動作を置換します検索文字列に入力したシグネチャを検索しますシグネチャ名の前方一致で検索しますシグネチャを削除します作成したシグネチャを追加します該当のカスタムシグネチャを有効にします ( 選択されているときボタンは青色になります選択されていないときはグレーです ) 該当のカスタムシグネチャを無効にします ( 選択されているときボタンは青色になります選択されていないときはグレーです ) 39

登録済みのカスタムシグネチャの条件を編集します編集した設定内容を保存します編集した設定内容の保存と適用を行います (apachectl graceful コマンドが実行されます ) カスタムシグネチャの設定画面を閉じます設定項目設定項目は以下のとおりです ( ) 内は設定ファイル中での値になりますシグネチャ名 : 有効 / 無効 : 動作 : シグネチャの名称です ( 例 : CUSTOM01) 最大 29 文字です有効 (ON) 無効 (OFF) シグネチャは有効ですシグネチャは無効です 7.1.2 検出時の動作を参照してください同一動作の複数のシグネチャにマッチした場合検出ログに記録されるのは登録順が先のシグネチャですカスタムシグネチャはトラステッドシグネチャよりも登録順が先となります除外するトラステッドシグネチャ名 ( 正規表現 )を設定 : 条件に一致した場合に検出を除外するトラステッドシグネチャ名を正規表現で指定します ( 例 : ^xss-tagopen-[1-4]$) 改行入力で複数指定ができますカンマ(",")を使用することはできません ( 最大 999 バイト) フィルタ動作時の拒否時間 : カスタムシグネチャでフィルタした場合に同一接続元 (IP アドレス)からの接続を拒否する時間 ( 秒 )を指定します (デフォルト 0) 0 の場合 [ 検出時の全体動作設定 ]の設定値を使用します頻度判定 : カスタムシグネチャで登録した条件に対して何秒間に何回一致したかを接続元 IP アドレスでカウントしますブルートフォース攻撃等の高頻度の接続を検出する場合に有効です ( 例 : 登録した条件について同一接続元 IP アドレスからの接続が指定回数 [1 秒間に 3 回以上 ]に達した場合にフィルタする) 0 秒間に 0 回を指定した場合頻度判定を行いません (デフォルト) コメント: コメントを指定します ( 設定ファイル中の日本語文字コードは UTF-8 です) 40

検査対象 : 以下の組み合わせが指定できます ( ) 内はシグネチャファイル中の項目名です URL("URL") URL 全体 ("?",";" 以降を含む URL デコードを行います ) https(ssl)で接続する URL を指定する場合も本製品の処理は HTTP 通信の段階で行われるため URL は"https://"ではなく http://で指定しますパス名 ("PATH"): URL のパス名部分 ("?" 以前の部分 URL デコードを行います ) パラメータの名前 ("PARAM_NAME"): パラメータ変数の名前パラメータの値 ("PARAM_VALUE"): パラメータ変数の値パラメータ変数は GET の引数 POST の引数 (multipart を含む) URLRewriting (http://...cgi;aaa=bbb)から取得します以下の表示形式のデコードに対応しています URL エンコード '+' (スペース文字 ) %?? (16 進数文字コード 0x00~0xff) %u???? (16 進数文字コード 0x00~0x7f) 文字実体参照 &excl; " &num; &dollar; &percent; &percnt; & ' ( ) &ast; + , &hyphen; &dash; &period; / &colon; &semi; < = > &quest; &commat; [ \ ] ˆ &caret; &horbar; &lowbar; &grave; { | } &sp; &blank; 数値文字参照 &#??; (10 進数文字コード 0x01~0xff) &#x??; (16 進数文字コード 0x01~0xff) x?? (16 進数文字コード 0x01~0xff) u???? (16 進数文字コード 0x0000~0x00ff) multipart でファイルアップロードを行う場合 (Content-Disposition:filename 変数がある場合 ) 変数の値は空文字列として扱いファイルの中身を検査しませんファイルの名前は後述の("POST_FILENAME")で検査できます接続元 IP アドレス("CLIENT_ADDR"): クライアントの IP アドレス接続先 IP アドレス("SERVER_ADDR"): サーバーの IP アドレス 41

送信ファイル名 ("POST_FILENAME"): multipart の filename 変数で指定されるファイルの名前要求メソッド("METHOD"): 要求メソッド ( 例 : GET, POST) 要求ヘッダ"REQHEAD_<フィールド名 >"): 要求ヘッダのフィールド名 ( 完全一致 ) ( 例 : X-Forwarded-For) "*"を指定すると任意の要求ヘッダフィールドが検査対象になりますカンマ"," 区切りで複数指定できます検査文字列 ( 正規表現 ): 指定パターンの正規表現と比較を行います最大 1999 バイトまで設定可能詳細については 7.6 正規表現を参照してください比較方法 : カンマ"," 区切りで以下の組み合わせを指定できます ( ) 内はシグネチャファイル中の項目名です不一致 ("NOT"): 一致しない場合に検出します大文字小文字を区別 : 大文字小文字を区別します ( 区別しない場合 "PCRE_CASELESS") その他の条件 : "ERASE_CHARS( 文字一覧 )": 指定文字一覧を削除してから比較します r, n, t, x??(16 進数 ), が指定できますまた範囲指定 (X-Y)が指定可能です "PATTERN_GROUP(グループ名 ): 正規表現のグループ化を行います個々の条件の正規表現で検査する前に同じグループ名の条件の正規表現を結合し複数の条件中の正規表現を OR(" ")で結合した正規表現で検査を行いますまたグループ内のパターンの前方一致部分で共通化します ( 例 : "ABCDE"と"ABXYZ"を"AB(CDE XYZ)"で検査します ) これにより似た条件を1つの正規表現で予め検査し高速化を行えますグループ化できるのは NOT が指定されておらずオプションとフィールドが一致していることが条件です前の条件と AND ("AND"): 指定した条件と 1 つ前の条件の両方が一致した場合に検出します通常意識して AND を指定する必要はありません (ウェブ管理画面上にも選択する項目はありません ) 複数の条件を登録した場合自動的に AND 条件で設定されます 42

シグネチャ追加場所 : 条件を追加するときの場所を指定します設定ファイルカスタムシグネチャの設定内容は以下のファイルに保存されます conf/waf/sig_custom.txt 設定ファイルには以下のように各条件を1 行ずつタブ区切りで記述します [ 有効無効 ]<タブ>[ 動作 ]<タブ><タブ>[シグネチャ名 ]<タブ>[ 検査対象 ] <タブ>[ 比較方法 ] <タブ>[ 検査文字列 ]<タブ><タブ>[コメント] 43

7.1.3.5 カスタムシグネチャの設定例カスタムシグネチャの設定例は以下のとおりですここではよく使用される 5 つのパターンについて説明しています 1. 2. 条件に一致した場合指定したシグネチャによる検出を除外する条件を指定してトラステッドシグネチャによる検出を除外する場合の設定例です URL とパラメータなど複数の条件を組み合わせた柔軟な設定が可能です 3. 特定パスへの接続について同一接続元 IP アドレスからのアクセス頻度を判定ログインページ等へのブルートフォース攻撃を検出防御するときに有効な設定例です 4. 指定ホスト以外への接続を拒否する( 推奨 ) 接続 URL に使用されるホストを明示的に指定することで不正な接続を禁止します IP アドレス指定で送信される脆弱性スキャン等の接続を効率良く排除することができます 5. 指定 IP アドレスからの接続を安全とみなす( 検査の除外 ) 管理者によるサイト編集等の操作を接続元 IP アドレスで安全とみなす場合の設定例です 44

1. URL が http://www.jp-secure.com/demo/demo.php のとき xss-tagopen-1~4 のシグネチャによる検出を除外 1 2 3 4 5 6 7 8 1 シグネチャ名を入力します EXCLUDE-SIGNATURE 2 シグネチャのコメントを入力します指定条件による検出除外 3 検出時の動作を選択しますトラステッドシグネチャを除外 4 除外するトラステッドシグネチャ名を指定します ( 正規表現 ) ^xss-tagopen-[1-4]$ 5 検査対象を選択します URL 6 検査文字列を入力します ( 正規表現 ) ^http://www.jp-secure.com/demo/demo.php 7 シグネチャの追加場所を選択します一番上に追加 8 シグネチャを追加ボタンを押して作成したシグネチャを追加します 45

[ 除外するトラステッドシグネチャ名 ]は正規表現で指定します本項の設定例のように xss-tagopen-1~4 の検出を除外する場合は文字列の最初と最後を示すメタキャラクタ(^ : 文字列の最初, $ : 文字列の最後 )を使用し ^xss-tagopen-[1-4]$ と指定します xss-tagopen-4 だけの検出を除外する場合は ^xss-tagopen-4$ と指定します正規表現については 7.6 正規表現を参照してくださいウェブ管理画面に接続するクライアント環境が Mac の場合エスケープ表記の入力には [alt(option)] + [ ]ボタンを使用してください例 ) ^http://www.jp-secure.com/demo/demo.php ^192.168.1.1$ ^ d+$ などの入力時 46

2. URL が http://www.jp-secure.com/demo/demo.php でありパラメータの名前が hoge のとき xss-tagopen-1~4 のシグネチャによる検出を除外 (1 に条件を追加 ) 1 で作成したシグネチャの項目で条件の編集ボタンを押して新しい条件を追加します 1 2 3 4 1 検査対象を選択しますパラメータの名前 2 検査文字列を入力します ( 正規表現 ) ^hoge$ 3 条件の追加場所を選択します一番下に追加 4 条件を追加ボタンを押して作成した条件を追加します 47

複数の条件を組み合わせた(AND 条件 )のシグネチャが作成されます複数のパラメータを条件としたシグネチャ(AND 条件 )を定義することはできません ( 検査対象の[パラメータの名前 ]を複数使用したシグネチャ(パラメータの AND 条件 )を作成しても無効のシグネチャと同等の処理になります ) 次頁を参照してください 48

前頁の注意事項について以下のような POST 要求があった場合を例に説明します POST /cgi-bin/demo.cgi HTTP/1.1 Host: hostname < 略 > Content-Type: application/x-www-form-urlencoded Content-Length: 44 body1=1234&body2=abcd&body3=5678&body4=efgh パラメータの検査は色分けされているように各パラメータの名前と値のペアで検査判定を行いそれぞれの判定結果は他のパラメータの判定に影響を与えませんそのためパラメータの名前 body1 とパラメータの名前 body4 を組み合わせた(AND 条件の)カスタムシグネチャを作成することはできません親子関係にあたる json, xml のパラメータについてはこのかぎりではありません 13.7 JSON/XML の親子関係を参照してください 49

3. パスが login.php への接続について同一接続元 (IP アドレス)からの接続が 1 秒間に 3 回以上あったとき 60 秒間フィルタする 1 2 3 4 5 6 7 8 9 1 シグネチャ名を入力します BLOCK-LOGIN_ATTACK 2 シグネチャのコメントを入力します頻度判定でログインページへの高頻度アクセスを遮断 3 検出時の動作を選択しますフィルタ 4 フィルタ動作時の拒否時間を指定ます [60] 秒 5 頻度判定を設定します [1] 秒間に[3] 回以上 6 検査対象を選択しますパス名 7 検査文字列を入力します ( 正規表現 ) /login.php 8 シグネチャの追加場所を選択します一番上に追加 9 シグネチャを追加ボタンを押して作成したシグネチャを追加します 50

ウェブ管理画面に接続するクライアント環境が Mac の場合エスケープ表記の入力には [alt(option)] + [ ]ボタンを使用してください例 ) ^http://www.jp-secure.com/demo/demo.php ^192.168.1.1$ ^ d+$ などの入力時頻度判定のフィルタの対象とする接続元 IP アドレスは要求ヘッダの X-Forwarded-For から取得することもできます ([クライアント IP アドレスを X-Forwarded-For から取得 ]) 本製品の前段に SSL プロキシが配置されている場合などに有効ですこの設定例ではパス(login.php)だけを条件に指定していますがパラメータの名前やメソッドを条件に追加することも可能です 51

4. URL が www.jp-secure.com 以外への接続を拒否する 1 2 3 4 5 6 7 8 1 シグネチャ名を入力します BLOCK-HOST 2 シグネチャのコメントを入力します指定ホスト以外への接続を拒否 3 検出時の動作を選択します拒否 4 検査対象を選択します URL 5 検査文字列を入力します ( 正規表現 ) ^http://www.jp-secure.com(:443)?/ https(ssl)による接続時携帯端末が Host ヘッダの末尾に 443 を付けることがあります例 ) Host: www.jp-secure.com:443 このようなケースを考慮して正規表現で (:443)? を指定しておきます 6 比較方法を指定します不一致 7 シグネチャの追加場所を選択します一番上に追加 8 シグネチャを追加ボタンを押して作成したシグネチャを追加します 52

ウェブ管理画面に接続するクライアント環境が Mac の場合エスケープ表記の入力には [alt(option)] + [ ]ボタンを使用してください例 ) ^http://www.jp-secure.com/demo/demo.php ^192.168.1.1$ ^ d+$ などの入力時 53

5. IP アドレス 192.168.1.1 からの接続を安全とみなす( 検査の除外 ) 1 2 3 5 4 6 7 1 シグネチャ名を入力します WHITE-LIST 2 シグネチャのコメントを入力します管理者からのアクセスを安全とみなす( 検査除外 ) 3 検出時の動作を選択します安全 4 検査対象を選択します接続元 IP アドレス 5 検査文字列を入力します ( 正規表現 ) ^192.168.1.1$ 6 シグネチャの追加場所を選択します一番上に追加 7 シグネチャを追加ボタンを押して作成したシグネチャを追加します 54

検査対象の指定には正規表現を使用します本項の設定例のように 192.168.1.1 のみを安全とみなす場合は文字列の最初と最後を示すメタキャラクタ(^ : 文字列の最初, $ : 文字列の最後, : エスケープ表記 )を使用し ^192.168.1.1$ と指定します正規表現については 7.6 正規表現を参照してくださいウェブ管理画面に接続するクライアント環境が Mac の場合エスケープ表記の入力には [alt(option)] + [ ]ボタンを使用してください例 ) ^http://www.jp-secure.com/demo/demo.php ^192.168.1.1$ ^ d+$ などの入力時本製品を導入したウェブサーバーの前段にリバースプロキシ等が設置されている場合接続元 IP アドレスは前段のプロキシの IP アドレスになりますこのような環境でクライアントの IP アドレスをもとに除外設定やアクセス制限を行う場合は検査対象の要求ヘッダフィールド( 完全一致 ): を選択し X-Forwarded-For を指定してください ( 前段のプロキシが X-Forwarded-For ヘッダにクライアントの IP アドレスを追加している場合 ) 55

7.2 シグネチャ更新設定シグネチャの更新に関する設定はメインメニューの[シグネチャ更新設定 ]で行います [シグネチャ更新設定 ] Signatures updating settings [ 手動更新 ] Manual Update 今すぐ更新ボタンを押すとシグネチャファイル(トラステッドシグネチャ)を最新版に更新します [プロキシサーバ]を有効にした場合指定したプロキシ経由でシグネチャファイルを更新します (デフォルト無効 ) [ 推奨シグネチャ設定 ]を有効にした場合各追加シグネチャはデフォルトの検出動作および有効無効の設定で追加されます (デフォルト有効 ) 監視にした場合各追加シグネチャは有効監視の設定で追加されます無効にした場合各追加シグネチャは無効になります [ 更新後に自動適用 ]を有効にした場合シグネチャファイル更新後にシグネチャ設定をただちに適用します (デフォルト有効 ) 56

[ 自動更新 ] Auto Update 有効にすると指定間隔で定期的にシグネチャファイル(トラステッドシグネチャ)を最新版に更新します (デフォルト無効 ) [プロキシサーバ] を有効にした場合指定したプロキシ経由でシグネチャファイルを更新します (デフォルト無効 ) [ 推奨シグネチャ設定 ]を有効にした場合各追加シグネチャはデフォルトの検出動作および有効無効の設定で追加されます (デフォルト有効 ) 監視にした場合各追加シグネチャは有効監視の設定で追加されます無効にした場合各追加シグネチャは無効になります [ 更新後に自動適用 ]を有効にした場合シグネチャファイル更新後にシグネチャ設定をただちに適用します (デフォルト有効 ) トラステッドシグネチャシグネチャのバージョンは databases_waf/header.ini の "[WAF_Database_Version]Version=YYYY-MM-DD_XX"を表示します設定したプロキシ情報は conf/dbupdate.conf に保存されます [プロキシサーバ名 ] (use_proxy / http_proxy_host / http_proxy_port) [プロキシ認証 ] (use_proxyauth / http_proxyauth_user / http_proxyauth_pass) 推奨シグネチャ設定更新後に自動適用の有効無効に関する設定は conf/dbupdate_waf.conf に保存されます [ 推奨シグネチャ設定 ] (use_dbsettings/add_monitor) [ 更新後に自動適用 ] (service_restart) 自動更新を有効にしている場合のスケジュール設定は root ユーザの crontab に保存されますシグネチャ更新時既存の設定は引き継がれます 57

7.3 ログログを表示するときはメインメニューの[ログ]を選択します [ログ] Log [ 動作ログ] 本製品が出力する各種ログを表示します最大で 1000 行まで表示ダウンロードできます [ 検出ログ] (logs/http/detect.log) 本製品による検査で検出された情報を表示します [ 情報ログ] (logs/http/info.log) 本製品の設定などに関する情報を表示します [エラーログ] (logs/http/error.log) 本製品に生じたエラーの情報を表示します [フォームログ] (logs/http/form.log) フォームの入力値を表示します詳細は 10.1 動作ログを参照してください 58

ログの表示アイコンにカーソルをあてるとポップアップで該当のログを表示することができます [ 通知サービスログ] 管理者へのメール送信 ([ 検出通知 ] [ 障害通知 ])を行う通知サービスに関するログを表示します (サマリ通知 ) [ 情報ログ] (logs/notify/info.log) 通知サービスの起動と終了に関する情報を表示します [エラーログ] (logs/notify/error.log) 通知サービスに生じたエラーの情報を表示します詳細は 10.2 通知サービスログを参照してください 59

[シグネチャ更新ログ] (logs/dbupdate_waf.log) トラステッドシグネチャの更新ログを表示します (logs/dbupdate_waf.log の内容を表示します ) 10.3 ログの分割 (ローテート) によってローテートされているログはウェブ管理画面に表示されません 60

7.4 トップメニュートップメニューには管理パスワードの変更や本製品のバックアップリストアをするための項目が用意されています 7.4.1 管理パスワード [ 管理パスワード] Admin password ウェブ管理画面の管理ユーザ名パスワードを変更しますウェブ管理画面で編集した内容は conf/siteguardlite.htdigest ファイルに保存されます (Apache の htdigest 認証ファイルと同じ形式です ) 7.4.2 診断情報 [ 診断情報 ] Diagnostic Info 診断情報ファイル (diag.tar.gz) のダウンロードを行います本製品の設定情報のほか本製品を導入したサーバーの設定情報各種ログも含まれます "cd /opt/jp-secure/siteguardlite; make diag" コマンドで作成される /opt/jp-secure/siteguardlite/diag.tar.gz をダウンロードしますサポートデスクへお問い合わせの際はなるべくこの診断情報ファイル (diag.tar.gz) を送付してください 7.4.3 バックアップリストア [バックアップリストア] Backup and Restore 本製品の設定のバックアップとリストアができます本製品を複数台のウェブサーバーで使用している環境で設定を複製する場合に利用することもできます 61

バックアップボタンを押すと本製品の設定をバックアップ(ダウンロード)します (バックアップファイルは backup-hostname-yyyymmdd-hhmmss.tar.gz です ) 本製品の各種設定をバックアップファイルに保存することができますウェブ管理画面で設定した設定情報がバックアップされますがトラステッドシグネチャの自動更新設定 (crontab に登録された更新スケジュール)は含まれませんバックアップにログファイルは含まれませんバックアップファイルを指定してリストアボタンを押すとで本製品の設定がバックアップファイルの内容でリストアされますバックアップファイルの製品バージョンとリストア先の製品バージョンは同一である必要がありますリストア時 apachectl graceful コマンドが実行されます 7.4.4 ライセンス情報 [ライセンス情報 ] License シリアルキーサポート ID パスワードの登録確認を行いますサポート ID とパスワードはトラステッドシグネチャのダウンロード認証に使用されます [シリアルキー]は conf/license.txt ファイルに保存されます [シリアルキー]を登録しない場合 (TRIAL VERSION)は 90 日間の評価版環境になります 90 日間の評価利用が終了すると本製品による検査が行われなくなります [サポート ID]と[パスワード]は conf/dbupdate_waf.conf に保存されます (sig_download_user / sig_download_pass) 7.4.5 バージョン情報 [バージョン情報 ] Version 本製品のバージョン情報および利用環境を表示します 7.4.6 ログアウト [ログアウト] Logout ウェブ管理画面からログアウトします 62