squid でリファラーの内部 URL をカットする

2005-3-24 21:07
このエントリーをはてなブックマークに追加

組織内でグループウェアを使っていたりすると、イントラネット上のサーバの URL にどがリファラから漏れるのが気になります。

「内部の URL なんて漏れても別に良いじゃないか」という人もあるかも知れませんが、セキュリティ管理者だったらそれは失格です。これは攻撃者にとって有益な情報を提供することになります。私が、内部 URL の漏洩が問題だと意識したのは、高木浩光さんによるメーリングリストへの投稿記事が最初だったと思います。

さて、本日配信された JPCERT/CC REPORT 2005-03-24 に、役立つ記事が。

(前略)「Referer リクエストヘッダ」によって LAN 内の情報が外部に漏れて しまうことがあります。Web ブラウザによっては、この「Referer リクエスト ヘッダ」を一切送信しないように設定できるものがありますが、Web サイトに よっては Web ブラウザが「Referer リクエストヘッダ」を送信しないと正常 に表示/動作しない場合があります。

そこで LAN 内の情報だけを削除し、それ以外の「Referer リクエストヘッダ」 だけを送信するように proxy サーバに設定することが推奨されます。例えば、 Squid では、acl (Access Control List) で以下のような設定をすることで、特定の文字列で構成される「Referer リクエストヘッダ」のみを送信しないよ うにすることができます。

  acl internal referer_regex -i ^http://[^/]+\.example\.jp ^http://192\.168\. ^[a-z]:\\ ^file: 
  header_access Referer deny internal

灯台もと暗しというか、squid で除去するという手があったんですねー。さっそく設定してみましたが、良い感じです。もちろん上記の example.jp の部分や IP アドレスは、実際の運用に応じて変更の必要があります。

2 Comments

  1. ちょーどさがしていたんですよー!!
    いい情報を手に入れました。ありがとうございます。

    何となくProxiを構築すればいいというのが分かっていたんですが、確証がなくて・・・勉強になりました。

    ところでapacheのProxi機能よりsquidを入れたほうがいいんですよね。それはそうですよね。いやー、参考までってことで・・・

    コメント by zRyu2005-03-24 23:16

  2. Re: squid でリファラーの内部 URL をカットする

    squid でリファラーの内部 URL をカットするより

    並列につながりで申請だと思うのですが。<ぴろっち
    あ、たまねぎもジャガイモもあるや・・・
    これはとーくボビーの質問に…

    トラックバック by [牛] うしぶろぐ2005-04-3 03:54

Sorry, the comment form is closed at this time.

34 queries. HTML convert time: 0.070 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン