Cloudflareを経由するWebサイトでセキュリティ診断を実施したい時にやるべきことをまとめてみた
こんにちは、yagiです。
今回はCloudflareを経由しているWebサイトにて、セキュリティ診断テストを実施する(DDos攻撃を含む脆弱性診断を実施する)際に、事前に準備しておくべき内容について紹介したいと思います。
まず始める前に確認
上記の公式ドキュメント にもあるように、診断テストを始める前に、Cloudflareから許可を得る必要はありません。
ただし、サポートチケットを起票して、以下の情報を事前に共有するようにしておくようにします。
<WAF/CDNをご利用の場合>
・ 攻撃元地域
・ 攻撃時間
・ 攻撃ウィンドウ
・ 攻撃方法(任意)
・ 帯域幅のサイズまたは範囲
・ ターゲット IP/範囲/ゾーン
・ 緊急時の連絡先
※Magic Transit および Spectrumをご利用の場合は、上記に加え以下の情報も追加で共有が必要です。
・ 対象ポート
・ プロトコル
・ 最大パケット/ビット レート
テスト開始前に確認
HTTP DDoS 攻撃保護の設定をダッシュボード上から確認、変更します。
Configure HTTP DDoS Attack Protection in the dashboard
①ルールセット内のすべてのルール構成を変更する
Cloudflareダッシュボードへログインし、該当のサイトへ移動します。 左側の「Security」タブから「DDoS」を選択します。
HTTP DDoS attack protectionの「configure」を押下します。
Configure DDoS L7 rulesetの画面に遷移するので、Ruleset action及び、Ruleset sensitivityの設定をテスト実施前に変更しておきます。
なお、それぞれ以下の値より選択が可能です。
※Defaultで設定している場合、DDoS検知が有効となっているため、無効化する場合はLogやEssentially Offへ変更しておくと良いかと思います。(テスト完了時には忘れずに元に戻しておく必要がありますので注意)
Ruleset action
・ Block
・ Managed Challenge
・ Legacy CAPTCHA
・ Log
・ Default
Ruleset sensitivity
・ High
・ Medium
・ Low
・ Essentially Off
・ Default
②個別のルール構成を変更する
個々のタグやルールについては、Browse Rulesを押下し、Ruleの一覧から個別にAction、Sensitivityを変更します。 (なお、タグまたはルールの個別の構成の設定は、ルールセットよりも優先されます。)
結論
Cloudflareを経由しているWebサイトにて、セキュリティ診断テストを実施する(DDos攻撃を含む脆弱性診断を実施する)際に、事前に準備しておくべき内容についてまとめてみました。
この内容がどなたかの参考になれば幸いです。
