Comments
Description
Transcript
BIG-IP ASM ANOMALY DETECTION ANOMALY
BIG-IP ASM ANOMALY DETECTION BIG機能 Anomaly Detection について( について(1/2 1/2)) BIG-IP BIG IP ASM におけるAnomaly におけるA l D Detection i とは、以下にあげるような とは 以下にあげるような 「個々のHTTPリクエストには全く問題が見られないが、リクエストの頻度 や手法に異常性(Anomaly)が見られる」ものを検知する機能のことを指 します。 します • レイヤー7(HTTP)における、(D)DOS攻撃 レイヤ 7(HTTP)における (D)DOS攻撃 例:1つのTCPコネクション上で、HTTP GET/POSTを繰り返す、アプリケーション・レ ベルでのDDOS攻撃。 • ブルートフォース攻撃 ブル トフォ ス攻撃 パスワード総当たり攻撃。個々のレベルでは正常なHTTPを使用しつつ、パスワード を総当たり(力ずく)で見破ろうとするアプリケーション・レベルの攻撃。 • Web Scraping 攻撃 BOTなどの不正プログラムを使用し、定期的にWebサイトから情報抽出を行い、その 情報を悪用するもの。 Anomaly Detection について( について(2/2 2/2)) BIG-IP BIG IP Application A li i Security S i Manager M (ASM) では、前頁にあげたよう は 前頁にあげたよう な、アプリケーション・レイヤを狙った攻撃に対して、様々な防御機能を提 供します。 • DoS Attack Prevention HTTPレベルの(D)DOS攻撃の検知、およびブロックを行う機能を提供します。 ベ ( ) OS攻撃 検知 およびブ クを行う機能を提供します • Brute Force Attack Prevention パスワード総当たり攻撃に対する、検知、およびブロック機能を提供します。 • IP Enforcer 不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす る機能を提供します。 • Web Scraping Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。 DoS Attack Prevention 設定画面 Off(無効) / Transparent(透過) Off(無効) Transparent(透過) / Blocking(ブロッキング) Blocking (ブロッキング) から動作 モードを選択することが出来ます。 柔軟なポリシー設定。 柔軟な閾値や、保護期間の設定。 サンプル画面ショットは サンプル画面ショット は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。 Brute Force Attack Prevention 設定 設定画面 画面 任意のログイン・ページを指定可能。 セッション・ベースでの セッション セッション・ベースでのBrute スでのBrute Force 攻 スでのBrute 撃保護の設定が可能。 セッション・ベースではなく、トラフィック の統計情報を分析することによるB の統計情報を分析することによるBrute の統計情報を分析することによる B t Brute Force 攻撃保護の設定が可能。 攻撃検知のための、閾値設定や、保護 攻撃検知のための 、閾値設定や、保護 ポリシーを柔軟に設定することが可能。 ポリシーを柔軟に設定することが可能 通常は、セッション・ベースの設定かど ちらか一方の設定で良い。 サンプル画面ショットは サンプル画面ショット は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。 IP Enforcer 設定画面(サンプル) Off(無効) / Transparent(透過) Off(無効) Transparent(透過) / Blocking(ブロッキング) Blocking (ブロッキング) から動作 モードを選択することが出来ます。 柔軟な閾値や、保護期間の設定。 アクセス元の「IPアドレス」を対象にした保護機能のため、プロキシー・サーバーや アクセス元の「IP アドレス」を対象にした保護機能のため、プロキシー・サーバーやNAT 」を 象 保護機能 、 NATが行われて が行われて 行わ いる環境では注意が必要。ASM いる環境では注意が必要。 ASMでは、任意の では、任意のHTTP HTTPヘッダー(例: ヘッダー(例:X X-Forwarded Forwarded--For 等)を優先的 に参照することで実際のプロキシー・サーバーが介在する環境でもアクセス元を区別する機能を 持っております。 サンプル画面ショットは サンプル画面ショット は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。 Web Scraping 設定画面(サンプル) Enabled(有効)もしくは無効化の Enabled(有効)もしくは無効化の いずれかを選択可能。 Web Scraping機能 Scraping機能 は、クライアン は クライアン ト(ブラウザ)の、JavaScript ト(ブラウザ)の、 JavaScript有効 有効 化およびCookie 化および Cookie有効化が行われ 有効化が行われ ていることを、検知項目として利用 しています。 しています これらの機能が無効化されている これらの機能が無効化されている 場合や、ASM 場合や、 ASMの前段にキャッシュ・ の前段にキャッシュ・ サ バ などが介在し ASMまで サーバーなどが介在してASM サーバーなどが介在して ま まで リクエストが到達しないようなケー スでは、正常な検知が行えない場 合があります。 サンプル画面ショットは サンプル画面ショット は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。 まとめ BIG-IP Application Security Manager (ASM) では、アプリケーション・レ イヤを狙った攻撃に対して、防御( イヤを狙った攻撃に対して、防御(WAF)機能を提供します。 )機能を提供します。 • DoS Attack Prevention HTTP ベ の(D)DOS攻撃の検知 およびブ HTTPレベルの(D)DOS攻撃の検知、およびブロックを行う機能を提供します。 クを行う機能を提供します • Brute Force Attack Prevention パスワード総当たり攻撃に対する検知、およびブロック機能を提供します。 • IP Enforcer 不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす る機能を提供します。 • Web Scraping Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。 BIG-IPでは、負荷分散装置(LTM)にWAF機能(ASM)を集約させることで、 より高いセキュリティ、パフォーマンスを実現することが出来ます。