ModSecurity のホワイトリストに IP アドレスをサブネットの範囲指定で追加する方法

2014.02.15

前の記事では、ModSecurity のホワイトリストに、IP アドレスを個別追加する方法をご紹介しましたが、社内 LAN のパソコンからアクセス制御を行う場合は、パソコンの台数が多すぎるため、この方法では厳しくなってきます。

そこで、ホワイトリストの IP アドレスの追加を、サブネット単位の範囲で指定する方法をご紹介します。

まず、以下のファイルを編集します。

# vi /etc/httpd/conf/httpd.conf

そして、以下のように IP アドレスとサブネットを指定します。今回はローカル IP アドレスの 24 ビットをネットワークアドレスとして割り当てました。なお、id は重複しない適当なものを割り当てます
SecRule REMOTE_ADDR "@ipMatch 192.168.11.0/24" "id:136,phase:1,nolog,allow"

Web サーバーを再起動して、設定を反映させます。
# service httpd restart

以下のアドレスにアクセスして、Web ページが表示されるか、404 Not Found が表示されれば設定が有効になっています。
http://hostname/index.php?union+select

IP アドレスを個別に指定するより、こちらのサブネットでの指定方法の方が業務用途ではニーズにあうでしょうね。うまく使い分けてください。

WAF設定まとめ

WAFの設定については以下のページにまとめていますので、こちらもどうぞ。

Webセキュリティの小部屋
WAFによるセキュリティ対策
https://www.websec-room.com/waf
WAF とはWAF (Web Application Firewall) とは、クロスサイト・スクリプティングや SQL インジェクションといった、Web アプリケーションに対する攻撃を防御する製品のことです。WAF は Web アプリケーションにリクエストが届く前にリクエストを検査し、攻撃だと検知したらブロックしてくれます。そのため、Web アプリケーションに潜在的な脆弱性が含まれている場合の多層防御として有効に機能します。特に、事情により改修ができなくなった Web アプリケーションの保護に役立ちます。WAF にはネットワーク型とホスト型があり、ネット...

スポンサーリンク

コメント

タイトルとURLをコピーしました