どのようにワードプレス (および同様の) サービスへのブルートフォース攻撃を防ぐためにファイアウォールの背後にホスト

どのようにワードプレス (および同様の) サービスへのブルートフォース攻撃を防ぐためにファイアウォールの背後にホスト

44388
Created On 09/25/18 18:59 PM - Last Modified 06/05/23 20:31 PM


Resolution


問題:

web ログオンフォームへのブルートフォース攻撃に対して脆弱なサービスをホストしている場合、ファイアウォールの背後にサーバーが氾濫している場合を除き、攻撃を検出するのは容易ではありません。また、他のコントロールとは、パロアルトネットワークファイアウォールの機能は、攻撃を防ぐことができます。ただし、攻撃が過度に攻撃的で永続的でない場合は、他のコントロールによってブロックされない可能性があります。

 

ログオンフォームは、ログオンが成功したかどうかにかかわらず、HTTP ステータスコード 200 (OK) で応答するため、ファイアウォールログだけでこれらの攻撃を診断することは、Wordpress などの一部のサービスでは困難な場合があります。唯一の違いは、成功したログオンは、その後、管理者ページにユーザーをリダイレクトされます。しかし、成功または失敗の両方の最初の応答は、常に HTTP ステータスコード200です。成功と失敗のために同じ応答を取得すると、我々は悪い応答から良いを区別することはできませんが、我々は同じ IP ソースが比較的短い時間内に ' wp-logon ' の文字列を含む URL にアクセスするトラフィックログの後続の試みを参照してください場合は、意味 間隔は、我々はかなり誰かが Wordpress のウェブサイトにログインし、再度しようとして失敗していることを確認することができます。彼らは非常に永続的であり、時間と時間のために努力し続ける場合、チャンスは、従来のコントロールによってブロックされていないあなたの Wordpress のインストールに対するブルートフォース攻撃です。

 

カスタム署名のソリューション

カスタム署名の入力: これを構成して、20秒以内に5回以上のログオンを試行するソース IP アドレスをブロックできるようにします (経験が少ない任意の選択値)。私のアプローチは何で日常的にウェブサイトにアクセスするからあまりにも多くの通常のユーザーを妨げることはありませんこれらの値を強化することです。

 

ユーザーに悪影響を与えないようにするには、まず、ログオンイベント自体を検出し、指定した時間間隔で試行回数をカウントする必要があります。これは、ログオンイベントを検出するために最初に基本シグネチャを作成し、特定の時間間隔 (20 秒以内に5回のログオン) で基本シグネチャへの繰り返しヒット数をカウントする組み合わせシグネチャを作成することによって、2つの手順で実行できます。

 

迅速でダウンロード可能なソリューション

このドキュメントの下部から添付ファイルをダウンロードし、ファイアウォールにインポートするだけです。インポートするには、WebGUI にログオンし、[オブジェクト] タブを選択し、左側のペインを [カスタムオブジェクト] > [脆弱性] に移動します。ページの左下隅にある [インポート] をクリックします。次に、ファイルを開き、必要に応じて値を調整し、コミットします。あなたが何を調整できるかを調べるために読んで、なぜ。

 

基本シグネチャの作成

署名の作成を開始するには、ファイアウォールの Web GUI にログオンし、[オブジェクト] タブで [カスタムオブジェクト] > [脆弱性] の順に左ペインを参照します。ページの左下隅にある [追加] をクリックして、カスタム署名を作成します。

 

環境設定 ] タブ

次の設定を行います。

[基本ルール-構成] タブ

  • 脅威 ID: 41000 と45000の間の任意の数-私は43434を選んだ。
  • 名前: ワードプレス BF ベース (任意選択)
  • 重大度: 情報-これは重要です。通常は、中/高/重大な重大度レベルの場合と同様に、"ブロック" ではなく、低/情報の重大度でアクション ' alert ' があるため、基本シグネチャを情報または低重大度にする必要があります。我々は、' ブロック ' を選択する必要はありませんので、1つのインスタンスを訪問 wp のログオンも、この基本の脆弱性がトリガされます。代わりに、短い期間内に同じ IP ソースからこの基本シグネチャの反復トリガによってトリガされる、重大度の高い組み合わせシグネチャを作成します。
  • 方向: 両方。
  • デフォルトのアクション: アラート-すでに述べたように、我々はこのルールを打つすべての人をブロックしたくない、それは時間の短い間隔で同じソースの IP アドレスから繰り返しヒットのみ。
  • 影響を受けるシステム: クライアントとサーバー

 

[署名] タブ

次の項目を構成する必要があります。

[基本ルール-署名] タブ

[標準] を選択し、[追加] をクリックして署名の詳細を構成します。

基本ルール-標準署名

標準: WP ログオン失敗 (任意の名前、この1つは自己記述的である)。

スコープ: セッション-我々は、2つのトランザクションで構成される http セッションを認識している-最初は、そのパスに ' wp-ログイン ' が含まれている URL の http 要求ですが、2番目のトランザクションは、ステータスコード200の http 応答です。

順序付き条件の一致: はい-このセッションは、特定の順序 (応答は常に要求によって引き起こされる) のトランザクションで構成されることを想定しています。

 

最初の条件

[追加] または [条件] をクリックして最初の条件を追加し、構成します。

基本ルール-標準ルールの最初の条件

演算子: パターン一致-我々は、URL 要求で ' wp-ログイン ' 文字列をキャプチャするために regex パターンを使用します。

コンテキスト: http-必須 uri パス-http 要求 URL パス内で一致します。

パターン: wp\-login-我々は、エスケープ "-" バックスラッシュを使用する必要があります。私達は一致のための最低7つの特性を必要とする;あなたが wp-ログオンのためのカスタム URL を持っているか、またはいくつかの他の web サービスに一致している場合は、それに応じて変更します。 パターンの作成と正規表現に関するより多くの参照はここで見つけることができます

 

2番目の条件

2番目の条件を追加して構成するには、[追加] または [条件] をクリックします。

基本ルール-標準ルールの2番目の条件

演算子: 等しい

コンテキスト: http-のためのコード

値: 200-我々は、ステータスコード 200 (OK) を使用して HTTP 応答を探しています。

 

組み合わせ署名の作成

基本シグネチャを作成したので、次に、組み合わせのシグネチャを作成してみましょう。画面の左下隅にある [追加] をクリックして、構成を開始します。

 

環境設定 ] タブ

次のように構成する必要があります。

[組み合わせ規則-構成] タブ

 

  • 脅威 ID: 41000 と45000の間の任意の数は、前の43435だったので、私は43435を選択し:)
  • 名前: ワードプレス-BruteForce (任意の選択)
  • 重大度: critica-これは重要ですが、我々はあなたのサービスに侵入するブルートフォースの試みを検出しているように、この署名は、高または重要な重大度を持つようにします。
  • デフォルトのアクション: ブロック IP-我々はさらに、このアクションを定義します:
  • によって追跡: ソース-我々は、ソース IP アドレスをブロックします, 我々は、ファイアウォール内の我々のサーバーであるため、この場合には、宛先をブロックしたくないだろう. 前の基本ルールは、それに200の wp-ログオンと応答のための要求の最初のトランザクションを持つ "順序セッション" のアイデアを使用していました。したがって、セッションのソースは外部攻撃者です。
  • 期間:60-これは、時間 (3600 秒) まで、このブロックが行われるようにしたいどのくらいの期間です。当社のデモンストレーションでは、ソース IP が60秒間のみ接続することを防ぎますが、本番環境での厳格なセットアップでは、これを3600秒に引き上げることができます。これは攻撃者を落胆させるのに十分であるべきである-それらは1時間だけ5パスワードを強制することを試みることができる。
  • 方向: 両方
  • 影響を受けるシステム: サーバー

[署名] タブ

これを基本シグネチャと関連付ける必要があります。このタブで、次のいずれかを選択します。

署名: 組み合わせ

サブタブの設定に進みます。

組み合わせシグネチャ

[組み合わせ規則-署名] タブ

脅威 id: [追加または条件] をクリックし、43434 (またはベース署名に選択した脅威 id) を入力します。

 

時間属性

[組み合わせルール-時間属性] タブ

ヒット数: 5 20 秒-これは、我々は我々のベースの署名をトリガする値を設定している最後の部分です。これは、あなたの経験に応じて調整することができます。あなたは1-3600 秒以内に1-255 安打の間に何かを数えることができます。

集計基準: ソース-ソース IP アドレスごとにこれらのトリガをカウントします。

 

追加情報

現在、脅威の ID 37480 の脆弱性のリストには、ワードプレスのログインのためのパンの署名です。また、情報の重大度であり、上記の例では、ベースのシグネチャとして使用することができます。この記事では、ログオン url をカスタマイズした場合や、上記のケースに類似した他のサービスを使用している場合に備えて、署名を作成およびカスタマイズする方法を学習する際の価値を引き出す必要があります。

 

結論

最終的な構成では、ファイアウォールの背後でホストされている Wordpress サイトへのブルートフォース攻撃を防ぐために、2つのカスタム脆弱性が表示されます。しかし、少しいじって、あなたはまた、専用の WAF からいくつかの作業を軽減し、通常の署名を超えて付加価値を提供し、さまざまなサービスの多くを保護することができます。

ファイナルビュー

 

お使いのデバイスのカスタム署名を作成する場合は、カスタム署名のコミュニティページを参照してください

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSTCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language