Using WAF on HAProxy with ModSecurity

모드시큐리티를 이용하여 HAProxy에 WAF 달기 ModSecurity WAF(Web Application Firewall)는 웹 어플리케이션을 보호하기 위해 필수라고 볼 수 있는 꽤나 비싼 장비 혹은 솔루션입니다. ModSecurity(이하 ModSec)은 꽤나 오래전부터 알려져 있는 오픈소스 WAF 입니다. 오픈소스이긴 하지만 상용 WAF에 비해 기능이 떨어지지도 않을 뿐더러, 오히려 많은 상용 솔루션에도 ModSec 기반으로 제작되었거나 룰셋 등 일부 시스템을 차용하기도 합니다. 초기부터...

[2022년 빠른 송년회] – IT다봐요 x O3G 느린밤 컨퍼런스

안녕하세요. 오픈인프라엔지니어 그룹 자니 입니다.   2020년 신년회 이후 코로나로 인해 한동안 공식적인 모임을 진행하지 못했다가, IT다봐요 와 함께 느린밤 컨퍼런스를 진행하게 되었습니다.   2020년 신년회 다시보기   모두 20분을 모집했는데, 총 47명이 신청해주셨으나 일정 확정을 위해 많은 분들을 모시지 못하고 선착순으로 20분만 진행하게 되었습니다.   2023년 신년회에는 더욱 많은 분들을 모실수 있도록 하겠습니다....

CVE-2022-3602, CVE-2022-3786 OpenSSL – HIGH severity

OpenSSL 보안 취약점 CVE-2022-3602, CVE-2022-3786 CVE : CVE-2022-3602, CVE-2022-3786 심각도 : 높음 (High) 2022년 11월 1일 OpenSSL 에서 높음 등급의 취약점 및 패치버전이 발표 되었습니다. 애초에 하트 블리드 급의 매우 높은 등급의 심각도일 것이라는 뉴스 보도들이 미리 발표되어 많은 사람들이 긴장하고 있었지만 예상과는 다르게 높음 등급으로 심각도가 다운그레이드 되었습니다. 간략하게 3줄 요약을 하자면 아래와...

AWS cli 를 대체할 수 있는 여러 도구

AWS를 사용하다 보면 AWS cli(https://aws.amazon.com/ko/cli/) 가 AWS  콘솔 보다 훨씬 편한 경우들이 있다. 그렇지만 먼가 아쉬움들이 있는 것은 사실이다.   어떤 것들은 cli 가 아닌 api로 구현되어 있는 경우들도 있고, 모든 명령어를 찾아보기에는 gcp 의 cloud shell(https://cloud.google.com/shell)이 그립게만 느껴진다.   도움이 되길 바라며 여러가지 기능을 지원하는 다양한 3rd-party 도구를 소개해 본다.   aws-shell https://github.com/awslabs/aws-shell...

Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법

스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 거두절미 하고 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0) JAVA 환경변수 -Dlog4j2.formatMsgNoLookups=true 또는 시스템 환경 변수 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 설정...

Scroll to top