...

BIG-IP ASM ANOMALY DETECTION ANOMALY

by user

on
Category: Documents
23

views

Report

Comments

Transcript

BIG-IP ASM ANOMALY DETECTION ANOMALY
BIG-IP ASM ANOMALY DETECTION
BIG機能
Anomaly Detection について(
について(1/2
1/2))
BIG-IP
BIG
IP ASM におけるAnomaly
におけるA
l D
Detection
i とは、以下にあげるような
とは 以下にあげるような
「個々のHTTPリクエストには全く問題が見られないが、リクエストの頻度
や手法に異常性(Anomaly)が見られる」ものを検知する機能のことを指
します。
します
• レイヤー7(HTTP)における、(D)DOS攻撃
レイヤ 7(HTTP)における (D)DOS攻撃
例:1つのTCPコネクション上で、HTTP GET/POSTを繰り返す、アプリケーション・レ
ベルでのDDOS攻撃。
• ブルートフォース攻撃
ブル トフォ ス攻撃
パスワード総当たり攻撃。個々のレベルでは正常なHTTPを使用しつつ、パスワード
を総当たり(力ずく)で見破ろうとするアプリケーション・レベルの攻撃。
• Web Scraping 攻撃
BOTなどの不正プログラムを使用し、定期的にWebサイトから情報抽出を行い、その
情報を悪用するもの。
Anomaly Detection について(
について(2/2
2/2))
BIG-IP
BIG
IP Application
A li i Security
S
i Manager
M
(ASM) では、前頁にあげたよう
は 前頁にあげたよう
な、アプリケーション・レイヤを狙った攻撃に対して、様々な防御機能を提
供します。
• DoS Attack Prevention
HTTPレベルの(D)DOS攻撃の検知、およびブロックを行う機能を提供します。
ベ
( ) OS攻撃 検知 およびブ
クを行う機能を提供します
• Brute Force Attack Prevention
パスワード総当たり攻撃に対する、検知、およびブロック機能を提供します。
• IP Enforcer
不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす
る機能を提供します。
• Web Scraping
Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。
DoS Attack Prevention 設定画面
Off(無効) / Transparent(透過)
Off(無効)
Transparent(透過) /
Blocking(ブロッキング)
Blocking
(ブロッキング) から動作
モードを選択することが出来ます。
柔軟なポリシー設定。
柔軟な閾値や、保護期間の設定。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
Brute Force Attack Prevention 設定
設定画面
画面
任意のログイン・ページを指定可能。
セッション・ベースでの
セッション
セッション・ベースでのBrute
スでのBrute Force 攻
スでのBrute
撃保護の設定が可能。
セッション・ベースではなく、トラフィック
の統計情報を分析することによるB
の統計情報を分析することによるBrute
の統計情報を分析することによる
B t
Brute
Force 攻撃保護の設定が可能。
攻撃検知のための、閾値設定や、保護
攻撃検知のための
、閾値設定や、保護
ポリシーを柔軟に設定することが可能。
ポリシーを柔軟に設定することが可能
通常は、セッション・ベースの設定かど
ちらか一方の設定で良い。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
IP Enforcer 設定画面(サンプル)
Off(無効) / Transparent(透過)
Off(無効)
Transparent(透過) /
Blocking(ブロッキング)
Blocking
(ブロッキング) から動作
モードを選択することが出来ます。
柔軟な閾値や、保護期間の設定。
アクセス元の「IPアドレス」を対象にした保護機能のため、プロキシー・サーバーや
アクセス元の「IP
アドレス」を対象にした保護機能のため、プロキシー・サーバーやNAT
」を 象
保護機能
、
NATが行われて
が行われて
行わ
いる環境では注意が必要。ASM
いる環境では注意が必要。
ASMでは、任意の
では、任意のHTTP
HTTPヘッダー(例:
ヘッダー(例:X
X-Forwarded
Forwarded--For 等)を優先的
に参照することで実際のプロキシー・サーバーが介在する環境でもアクセス元を区別する機能を
持っております。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
Web Scraping 設定画面(サンプル)
Enabled(有効)もしくは無効化の
Enabled(有効)もしくは無効化の
いずれかを選択可能。
Web Scraping機能
Scraping機能 は、クライアン
は クライアン
ト(ブラウザ)の、JavaScript
ト(ブラウザ)の、
JavaScript有効
有効
化およびCookie
化および
Cookie有効化が行われ
有効化が行われ
ていることを、検知項目として利用
しています。
しています
これらの機能が無効化されている
これらの機能が無効化されている
場合や、ASM
場合や、
ASMの前段にキャッシュ・
の前段にキャッシュ・
サ バ などが介在し ASMまで
サーバーなどが介在してASM
サーバーなどが介在して
ま
まで
リクエストが到達しないようなケー
スでは、正常な検知が行えない場
合があります。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
まとめ
BIG-IP Application Security Manager (ASM) では、アプリケーション・レ
イヤを狙った攻撃に対して、防御(
イヤを狙った攻撃に対して、防御(WAF)機能を提供します。
)機能を提供します。
• DoS Attack Prevention
HTTP ベ の(D)DOS攻撃の検知 およびブ
HTTPレベルの(D)DOS攻撃の検知、およびブロックを行う機能を提供します。
クを行う機能を提供します
• Brute Force Attack Prevention
パスワード総当たり攻撃に対する検知、およびブロック機能を提供します。
• IP Enforcer
不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす
る機能を提供します。
• Web Scraping
Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。
BIG-IPでは、負荷分散装置(LTM)にWAF機能(ASM)を集約させることで、
より高いセキュリティ、パフォーマンスを実現することが出来ます。
Fly UP