Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
あなたのWebサイト、 どんな攻撃をうけても 安心ですか?
お問い合わせ先 本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
メールでのお問い合わせは http://www.f5networks.co.jp/inquiry/
お電話でのお問い合せは 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く)
Webアプリケーションに対する攻撃の多様化と激化
eコマース、B2B、コーポレートサイト等 Webアプリで重要な業務が稼働
IPS IDS
DoS
DDoS
SQLインジェクション
Slowloris
CSRF XSS
SynFlood
OpenSSL Heartbleed
Teardrop
UDP Flood
Land Attack
SSL flood
量で攻めるDoS/DDoS, システムの脆弱性を突いてくる攻撃等、量×質も多様
サイトダウン、情報流出は ビジネス機会逸失、ブランド・信頼の低下、損害賠償など大きなリスクとなる
BIG-IPによるマルチレイヤ・セキュリティ保護
ネットワークFW DOS防御
AFM
WAF
ASM
BIG-IP
フルプロキシ、SSLオフロード、IP地理情報、IPレピュレーション(オプション)
BIG-IPのフルプロキシ・アーキテクチャ、AFMを用いて大量のDoSトラフィックに対処するとともにWebアプリケーションへの防御も併せて可能
事例 – 日本国内オンライン広告会社様
Firewall
IPS Load Balancer
Servers Servers Servers
Before After
Servers Servers Servers
システムグループ毎に複数あったネットワークFirewallをBIG-IP AFMで統合 従来あったIPSはHTTPトラフィックのみをチェックしていたがBIG-IP ASMに置き換えることでより高度で精度の高いアプリケーション保護が可能になった
LTM
ASM AFM
注目! DDoS攻撃、SSL脆弱性対策の決定版
© F5 Networks, Inc 7
BIG-IP AFM/ASM Webサーバ PCからDoS攻撃を生成
SYN Flood, HTTP Flood等の攻撃を可視化してブロック ライブ デモ中!
情報セキュリティEXPO.の出展ブースで実施したデモです。 ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。
多層防衛で守りきるDDoS対策
DDoSなど外部からの攻撃への対策箇所は2つ
契約した回線の帯域幅 10Gbps
アプリケーションサイド サービスプロバイダサイド
サービスプロバイダ
帯域を埋め尽くすタイプ のDDoS攻撃
(UDPフラッド攻撃など) 例.30Gbps
インターネット
①
②
対策ポイント① 回線パンク対策はプロバイダーのバックボーン網で止めるサービスを契約。 トラフィックの流入自体を防ぐ
対策ポイント② 帯各レイヤーの多種多様な攻撃に合わせた対策が必要。通常FW/IDS,IPS/LB/WAFなど
のセキュリティ機器による個別の対策が必要とされる
FW、LB、サーバ、ミドルウェアな
ど、アプリケーションを稼働させるインフラを枯渇させる攻撃
F5 Confidential: Partner use only © F5 Networks, Inc 10
ネットワーク
セッション
アプリケーション
Webアプリケーション
物理
クライアント/ サーバ
L4ファイアウォール: ステーフル・フルプロキシ実施およびTCP DDoS軽減
SSL検査およびSSL DDoS軽減
HTTPプロキシ、HTTP DDoSおよびアプリケーション・セキュリティ
アプリケーション・ヘルスモニタリングおよびパフォーマンスの異常検出
ネットワーク
セッション
アプリケーション
Webアプリケーション
物理
クライアント/ サーバ
F5のコアテクノロジー「フルプロキシ」
© F5 Networks, Inc 11
F5 DDoSプロテクション・リファレンスアーキテクチャ
Legitimate Users
Threat Feed Intelligence
DDoS Attacker
ISPa/b
Cloud Scrubbing
Service
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Network attacks: ICMP flood, UDP flood, SYN flood
DNS attacks: DNS amplification,
query flood, dictionary attack,
DNS poisoning
IPS
Next-Generation Firewall
Tier 2
SSL attacks: SSL renegotiation,
SSL flood
HTTP attacks: Slowloris,
slow POST, recursive POST/GET
Application
Corporate Users
Financial Services
E-Commerce
Subscriber
Tier 2
Threat Feed Intelligence
Strategic Point of Control
Multiple ISP strategy
Network and DNS
Tier 1
© F5 Networks, Inc 12
F5 DDoSプロテクション・ファレンスアーキテクチャ – Tier 1
Legitimate Users
Threat Feed Intelligence
DDoS Attacker
ISPa/b
Cloud Scrubbing
Service
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Network attacks: ICMP flood, UDP flood, SYN flood
DNS attacks: DNS amplification,
query flood, dictionary attack,
DNS poisoning
IPS
Next-Generation Firewall
Tier 2
SSL attacks: SSL renegotiation,
SSL flood
HTTP attacks: Slowloris,
slow POST, recursive POST/GET
Application
Corporate Users
Financial Services
E-Commerce
Subscriber
Tier 2
Threat Feed Intelligence
Strategic Point of Control
Multiple ISP strategy
Network and DNS
Tier 1 Tier 1境界では、低ネットワークレイヤの大量攻撃からの防御 • DDoS対応、レイヤ3-4ネットワーク
ファイアウォールサービス
• DNS DDoS攻撃からの防御
• 高度なDNS攻撃を防御
• IPアドレス評価によるブラックリスト
TIER 1 境界で有効な機能
1
2
3
4
© F5 Networks, Inc 13
50を超える 定義済みのL3-L4 DDoS防御機能 1
いつ検知を 開始するか
いつ防御を 開始するか
© F5 Networks, Inc 14
DNS Queryタイプ毎可能なDDoS検知/防御機能 2
検知→防御へ
いつ検知を 開始するか
どのクエリを防御するか
© F5 Networks, Inc 15
DNS Amplification(増幅) / DNSリフレクション攻撃防御
when DNS_REQUEST { if { ([DNS::rrtype] eq "TXT") } { rateclass dns_rate_shape } } when DNS_RESPONSE { if { ([DNS::len] value > 512) } { rateclass dns_rate_shape } }
BIG-IPで DNSリフレクション攻撃 をブロック
3
どの条件で防御するか
© F5 Networks, Inc 16
エンドポイントをレピュテーションDBでコントロール 送信元IPアドレス詐称をシステム的に防御する
- IP Intelligenceを利用して、攻撃を防御 - オペレーションと投資コストを削減
?
Scanners
IP Intelligence Service
Internally infected devices and servers
4
どの種別のIPアドレス系からのアクセスを
防御するか
© F5 Networks, Inc 17
DDoSプロテクション・リファレンスアーキテクチャ
Legitimate Users
Threat Feed Intelligence
DDoS Attacker
ISPa/b
Cloud Scrubbing
Service
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Network attacks: ICMP flood, UDP flood, SYN flood
DNS attacks: DNS amplification,
query flood, dictionary attack,
DNS poisoning
IPS
Next-Generation Firewall
Tier 2
SSL attacks: SSL renegotiation,
SSL flood
HTTP attacks: Slowloris,
slow POST, recursive POST/GET
Application
Corporate Users
Financial Services
E-Commerce
Subscriber
Tier 2
Threat Feed Intelligence
Strategic Point of Control
Multiple ISP strategy
Network and DNS
Tier 1
F5 Confidential: Partner use only © F5 Networks, Inc 18
DDoSプロテクション・リファレンスアーキテクチャ– Tier 2
Legitimate Users
Threat Feed Intelligence
DDoS Attacker
ISPa/b
Cloud Scrubbing
Service
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Network attacks: ICMP flood, UDP flood, SYN flood
DNS attacks: DNS amplification,
query flood, dictionary attack,
DNS poisoning
IPS
Next-Generation Firewall
Tier 2
SSL attacks: SSL renegotiation,
SSL flood
HTTP attacks: Slowloris,
slow POST, recursive POST/GET
Application
Corporate Users
Financial Services
E-Commerce
Subscriber
Tier 2
Threat Feed Intelligence
Strategic Point of Control
Multiple ISP strategy
Network and DNS
Tier 1 Tier 2境界では、アプリケーションレベル保護とサーバCPU負荷に影響が高い攻撃の防御 • アノマリーディテクションも可能なWeb
アプリケーションファイアウォール
• ゼロデイ攻撃への迅速な対応
• なりすまし防止のための厳格な多要素ユーザ認証
• リスト型アカウントハッキング
• アプリケーションの振る舞いをベースとした防御(RSA SilverTail)
TIER 2 境界で有効な機能
5
6
7
8
9
© F5 Networks, Inc 19
ウェブアプリケーションファイアウォールでのDDoS攻撃対策
ユーザ・パスワード総当たり攻撃のような ブルートフォース攻撃対策
5
WebクローラーのようなWeb Scraping攻撃対策 いつ検知を始めるか
どのように防御するか
いつ検知を始めるか
どのように防御するか
クライアントがプログラムかブラウザであるかを 判定するためJavascriptを利用しチェック可能
F5 Confidential: Partner use only © F5 Networks, Inc 20
「ゼロデイ」攻撃への対応 (例)Apache Killer
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8, …
when HTTP_REQUEST { if { [HTTP::header exists "Range"] and ([HTTP::header "Range"] matches_regex {(,.*?){40,}}) } { log local0. "## Range attack CVE-2011-3192 detected from [IP::client_addr] on Host [HTTP::host]. [llength [split [HTTP::header "Range"], ","]] ranges requested." HTTP::header remove Range return } }
Apache Killerの際は、F5は3時間程度で対策を コミュニティーサイトのDevCenにアップデート。 Apache側は1週間以上かかった。 iRules等を利用することにより即時性の高いソリューション を提供可能。
6
どのHTTPヘッダを 削るか
© F5 Networks, Inc 21
アプリケーション表示前の強固なデバイス&ユーザ認証 クライアント証明書認証からOTP連携(N要素認証)まで不正ログオン防止に効果
SSLネゴシエーションに成功=クラ
イアント証明書認証をパスするとStartにくる
クライアント証明書のシリアル番号の有無をLDAPクエリ
OSの種類による分岐 Windowsの場合のみマシン証明書をチェック
マシン証明書の失効管理用LDAPクエリ
既存のWeb認証ページ連携も可
アクセス許可
アクセス拒否
アクセス許可されると該当Webアプリを表示
例)標準搭載のWebログオンポータル
7
入力フォームでの 機械入力防止
© F5 Networks, Inc 22
リスト型アカウントハッキング対策 BIG-IP : Cookieによるセッション管理対策で精度が高い
クライアント ブラウザ Web アプリケーション BIG-IP ASM
BIG-IPはCookieを付与(セッション管理)
認証リクエスト1回目(URIへID/PasswordをPOST with Cookie)
認証失敗 Cookie:認証失敗回数 1
BIG-IP ASMは、クライアントとBIG-IPで認
証失敗回数をカウントアップ
認証リクエスト2回目(URIへID/PasswordをPOST with Cookie)
認証失敗 Cookie: 認証失敗回数 2
認証ページ URIにリクエスト
レスポンス
認証リクエストN回目 (URIへID/PasswordをPOST with Cookie)
リクエストをブロック
BIG-IP ASMは、規定時間内で規定認証失敗回数を超えたリクエストを ブロック
・IPアドレスベースのフィルタリングの課題 - 複数のクライアントがNAT環境にいた場合、 正規のユーザをブロックしてしまうリスクがある - 攻撃者がIPアドレスを変更しながら、攻撃した場合 無効 ・BIG-IP Cookieベースのブロックの良さ - ユーザを適切に識別して、ブロック可能 - NAT、IPアドレスを変えてくる攻撃にも有効 - 攻撃を検知した後の対策が柔軟 URLリダイレクト、ブロック、ダミーサイトへ誘導
総務省 : 「リスト型アカウントハッキングによる不正ログインへの対応方
策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表 http://www.soumu.go.jp/menu_news/snews/01ryutsu03_02000063.html
8
© F5 Networks, Inc 23
BIG-IP ASM : 設定イメージ
ログイン成功時に表示される文字例(String)を設定
認証方式を設定 今回はFormベース認証等とし、パラメータ記入
認証URLの指定
ログイン失敗の上限回数を設定
何秒後にログオン可能にするかを設定
8 8
OpenSSL Heartbleed対策
© F5 Networks, Inc 25
BIG-IPを使うことで本脆弱性を防ぐことができますか?
• はい • BIG-IPでSSL終端処理をDEFAULT設定でしているお客様は、既にF5によって 解決済みです
© F5 Networks, Inc 26
BIG-IPではSSL秘密鍵は安全に保管できますか?
• はい
• BIG-IPでは FIPS 140-2 Level2 対応HSM 搭載アプライアンスをご選択いただけます
• FIPSは米国連邦標準規格です
• Thales nShield network HSMとも連携可能です
© F5 Networks, Inc 27
BIG-IPユーザですがSSL処理はサーバ側で実施しています
• iRulesを活用することで、SSL終端をしなくても以下の対応を行えます
• クライアントからのTLS heart beat リクエストをブロック
• サーバからのheart beat レスポンスをブロック
• iRulesのサポートに関しては、F5コンサルティングサービスにお問い合わせください
© F5 Networks, Inc 28
本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
メールでのお問い合わせは : http://www.f5networks.co.jp/inquiry/
お電話でのお問い合せは : 03-5114-3850 [インサイドセールス] 10:00 ~ 18:00 (土日祝日を除く)
お問い合わせ先