あなたのWebサイト、どんな攻撃をうけても安心です

あなたのWebサイト、
どんな攻撃をうけても
安心ですか？
お問い合わせ先
本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
メールでのお問い合わせは
http://www.f5networks.co.jp/inquiry/
お電話でのお問い合せは
03－5114－3850 [インサイドセールス]
10:00 ～ 18:00 （土日祝日を除く）
Webアプリケーションに対する攻撃の多様化と激化
eコマース、B2B、コーポレートサイト等
Webアプリで重要な業務が稼働
量で攻めるDoS/DDoS, システムの脆弱
性を突いてくる攻撃等、量×質も多様
サイトダウン、情報流出は
ビジネス機会逸失、ブランド・信頼の低
下、損害賠償など大きなリスクとなる
DDoS
OpenSSL Hearｔbleed
XSS
UDP Flood
CSRF
IPS
IDS
Land Attack
SynFlood
DoS
Teardrop
SSL flood
Slowloris
SQLインジェクション
BIG-IPによるマルチレイヤ・セキュリティ保護
BIG-IPのフルプロキシ・アーキテクチャ、AFMを用いて大量のDoSトラフィックに対処す
るとともにWebアプリケーションへの防御も併せて可能
BIG-IP
フルプロキシ、SSLオフロード、IP地理情
報、IPレピュレーション（オプション）
AFM
ネットワークFW
DOS防御
ASM
WAF
事例 – 日本国内オンライン広告会社様
Before
After
システムグループ毎に複数
あったネットワークFirewallを
BIG-IP AFMで統合
LTM
AFM
ASM
Firewall
Load Balancer
IPS
Servers
Servers
Servers
Servers
Servers
Servers
従来あったIPSはHTTPトラ
フィックのみをチェックしてい
たがBIG-IP ASMに置き換え
ることでより高度で精度の高
いアプリケーション保護が可
能になった
注目！
DDoS攻撃、SSL脆弱性対策の決定版
ライブ
デモ中!
SYN Flood, HTTP Flood等の攻撃を可視化してブロック
PCからDoS攻撃を生成
Webサーバ
BIG-IP AFM/ASM
情報セキュリティEXPO.の出展ブースで実施したデモです。
ご希望の方は本資料最終ページに記載のお問い合わせ先にご連絡ください。
© F5 Networks, Inc
7
多層防衛で守りきるDDoS対策
DDoSなど外部からの攻撃への対策箇所は２つ
サービスプロバイダサイド
アプリケーションサイド
帯域を埋め尽くすタイプ
のDDoS攻撃
(UDPフラッド攻撃など)
例.30Gbps
FW、LB、サーバ、ミドルウェアな
ど、アプリケーションを稼働させ
るインフラを枯渇させる攻撃
①
契約した回線の帯域幅
10Gbps
インターネット
サービスプロバイダ
対策ポイント①
回線パンク対策はプロバイダーのバック
ボーン網で止めるサービスを契約。
トラフィックの流入自体を防ぐ
対策ポイント②
帯各レイヤーの多種多様な攻撃に合わせた
対策が必要。通常FW/IDS,IPS/LB/WAFなど
のセキュリティ機器による個別の対策が必要
とされる
②
F5のコアテクノロジー「フルプロキシ」
クライアント/
サーバ
クライアント/
サーバ
Webアプリケーション
アプリケーション・ヘルスモニタリングおよびパフォーマンスの異常検出
Webアプリケーション
アプリケーション
HTTPプロキシ、HTTP DDoSおよびアプリケーション・セキュリティ
アプリケーション
セッション
SSL検査およびSSL DDoS軽減
セッション
ネットワーク
L4ファイアウォール: ステーフル・フルプロキシ実施およびTCP DDoS軽減
ネットワーク
物理
© F5 Networks, Inc
物理
F5 Confidential: Partner use only
10
F5 DDoSプロテクション・リファレンスアーキテクチャ
Next-Generation
Firewall
Tier 2
Tier 1
Network attacks:
ICMP flood,
UDP flood,
SYN flood
Multiple ISP
strategy
Corporate Users
Financial
Services
SSL attacks:
SSL renegotiation,
SSL flood
Legitimate
Users
E-Commerce
ISPa/b
DNS attacks:
DNS amplification,
query flood,
dictionary attack,
DNS poisoning
DDoS
Attacker
Cloud
Scrubbing
Service
Network
and DNS
Application
HTTP attacks:
Slowloris,
slow POST,
recursive POST/GET
Subscriber
IPS
Threat Feed Intelligence
Scanner
Anonymous
Proxies
© F5 Networks, Inc
Anonymous
Requests
Botnet
Attackers
Strategic Point of Control
11
F5 DDoSプロテクション・ファレンスアーキテクチャ – Tier 1
Next-Generation
Firewall
Corporate Users
TIER 1 境界で有効な機能
Tier 2
Tier 1境界では、低ネットワーク
レイヤの大量攻撃からの防御 Financial
Services
Tier 1
Network attacks:
ICMP flood,
UDP flood,
SYN flood
Multiple ISP
strategy
SSL attacks:
SSL renegotiation,
SSL flood
Legitimate
Users
ISPa/b
DNS attacks:
DNS amplification,
query flood,
dictionary attack,
DNS poisoning
DDoS
Attacker
Cloud
Scrubbing
Service
Anonymous
Proxies
© F5 Networks, Inc
Anonymous
Requests
DDoS対応、レイヤ3-4ネットワーク
E-Commerce
ファイアウォールサービス
2•
Application
DNS DDoS攻撃からの防御
HTTP attacks:
Botnet
Attackers
Slowloris,
slow POST,
recursive POST/GET
Subscriber
3•
高度なDNS攻撃を防御
4•
IPアドレス評価によるブラックリスト
IPS
Threat Feed Intelligence
Scanner
Network
and DNS
1•
Strategic Point of Control
12
1
50を超える定義済みのL3-L4 DDoS防御機能
いつ検知を
開始するか
© F5 Networks, Inc
いつ防御を
開始するか
13
2
DNS Queryタイプ毎可能なDDoS検知/防御機能
いつ検知を
開始するか
どのクエリを防御するか
検知→防御へ
© F5 Networks, Inc
14
3
DNS Amplification(増幅) / DNSリフレクション攻撃防御
BIG-IPで DNSリフレクション攻撃
をブロック
when DNS_REQUEST {
if { ([DNS::rrtype] eq "TXT") } {
rateclass dns_rate_shape
}
}
when DNS_RESPONSE {
if { ([DNS::len] value > 512) } {
rateclass dns_rate_shape
}
}
どの条件で防御するか
© F5 Networks, Inc
15
4
エンドポイントをレピュテーションDBでコントロール
送信元IPアドレス詐称をシステム的に防御する
どの種別のIPアドレス系
からのアクセスを
防御するか
IP Intelligence Service
?
Internally infected devices and
servers
Scanners
© F5 Networks, Inc
- IP Intelligenceを利用して、攻撃を防御
- オペレーションと投資コストを削減
16
DDoSプロテクション・リファレンスアーキテクチャ
Next-Generation
Firewall
Tier 2
Tier 1
Network attacks:
ICMP flood,
UDP flood,
SYN flood
Multiple ISP
strategy
Corporate Users
Financial
Services
SSL attacks:
SSL renegotiation,
SSL flood
Legitimate
Users
E-Commerce
ISPa/b
DNS attacks:
DNS amplification,
query flood,
dictionary attack,
DNS poisoning
DDoS
Attacker
Cloud
Scrubbing
Service
Network
and DNS
Application
HTTP attacks:
Slowloris,
slow POST,
recursive POST/GET
Subscriber
IPS
Threat Feed Intelligence
Scanner
Anonymous
Proxies
© F5 Networks, Inc
Anonymous
Requests
Botnet
Attackers
Strategic Point of Control
17
DDoSプロテクション・リファレンスアーキテクチャ– Tier 2
Next-Generation
Firewall
Corporate Users
TIER 2 境界で有効な機能
Tier 2境界では、アプリケーション
レベル保護とサーバCPU負荷に
影響が高い攻撃の防御
Multiple ISP
strategy
Tier 2
Tier 1
Network attacks:
ICMP flood,
UDP flood,
SYN flood
Financial
Services
SSL attacks:
SSL renegotiation,
SSL flood
Legitimate
•5Users
アノマリーディテクションも可能なWeb
E-Commerce
アプリケーションファイアウォール
ISPa/b
DDoS
•Attacker
ゼロデイ攻撃への迅速な対応
6
•
7
Cloud
なりすまし防止のための厳格な多要
Scrubbing
素ユーザ認証
Service
DNS attacks:
DNS amplification,
query flood,
dictionary attack,
DNS poisoning
Network
and DNS
Application
HTTP attacks:
Slowloris,
slow POST,
recursive POST/GET
Subscriber
IPS
Threat Feed Intelligence
•8 リスト型アカウントハッキング
• アプリケーションの振る舞いをベース
9 とした防御(RSA SilverTail）
Anonymous
Scanner Anonymous
Botnet
Attackers
Proxies
© F5 Networks, Inc
Strategic Point of Control
Requests
F5 Confidential: Partner use only
18
5
ウェブアプリケーションファイアウォールでのDDoS攻撃対策
ユーザ・パスワード総当たり攻撃のような
ブルートフォース攻撃対策
いつ検知を始めるか
WebクローラーのようなWeb Scraping攻撃対策
どのように防御するか
クライアントがプログラムかブラウザであるかを
判定するためJavascriptを利用しチェック可能
いつ検知を始めるか
どのように防御するか
© F5 Networks, Inc
19
6
「ゼロデイ」攻撃への対応 (例)Apache Killer
Apache Killerの際は、F5は3時間程度で対策を
コミュニティーサイトのDevCenにアップデート。
Apache側は1週間以上かかった。
iRules等を利用することにより即時性の高いソリューション
を提供可能。
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,58, …
どのHTTPヘッダを
削るか
when HTTP_REQUEST {
if { [HTTP::header exists "Range"] and ([HTTP::header "Range"] matches_regex {(,.*?){40,}}) } {
log local0. "## Range attack CVE-2011-3192 detected from [IP::client_addr] on Host [HTTP::host].
[llength [split [HTTP::header "Range"], ","]] ranges requested."
HTTP::header remove Range
return
}
}
© F5 Networks, Inc
F5 Confidential: Partner use only
20
7
アプリケーション表示前の強固なデバイス＆ユーザ認証
クライアント証明書認証からOTP連携(N要素認証)まで不正ログオン防止に効果
アクセス許可されると該当Webア
プリを表示
アクセス許可
SSLネゴシエーションに成功=クラ
イアント証明書認証をパスすると
Startにくる
既存のWeb認証ページ連携も可
アクセス拒否
クライアント証明書のシリアル番
号の有無をLDAPクエリ
例）標準搭載のWebログオンポータル
OSの種類による分岐
Windowsの場合のみマシン証明
書をチェック
マシン証明書の失効管
理用LDAPクエリ
入力フォームでの
機械入力防止
© F5 Networks, Inc
21
8
リスト型アカウントハッキング対策
BIG-IP : Cookieによるセッション管理対策で精度が高い
クライアントブラウザ
Web アプリケーション
BIG-IP ASM
認証ページ URIにリクエスト
BIG-IPはCookieを付与(セッション管理)
レスポンス
認証リクエスト1回目（URIへID/PasswordをPOST with Cookie)
BIG-IP ASMは、クラ
イアントとBIG-IPで認
証失敗回数をカウン
トアップ
Cookie：認証失敗回数 1
認証失敗
認証リクエスト2回目（URIへID/PasswordをPOST with Cookie)
Cookie: 認証失敗回数 2
認証リクエストN回目
（URIへID/PasswordをPOST with Cookie)
リクエストをブロック
© F5 Networks, Inc
認証失敗
BIG-IP ASMは、規定時間内で規定
認証失敗回数を超えたリクエストを
ブロック
・IPアドレスベースのフィルタリングの課題
- 複数のクライアントがNAT環境にいた場合、
正規のユーザをブロックしてしまうリスクがある
- 攻撃者がIPアドレスを変更しながら、攻撃した場合無効
・BIG-IP Cookieベースのブロックの良さ
- ユーザを適切に識別して、ブロック可能
- NAT、IPアドレスを変えてくる攻撃にも有効
- 攻撃を検知した後の対策が柔軟
URLリダイレクト、ブロック、ダミーサイトへ誘導
総務省 : 「リスト型アカウントハッキングによる不正ログインへの対応方
策について（サイト管理者などインターネットサービス提供事業者向け対
策集）」の公表
http://www.soumu.go.jp/menu_news/snews/01ryutsu03_0200006
3.html
22
8
BIG-IP ASM : 設定イメージ
認証URLの指定
認証方式を設定
今回はFormベース認証等とし、パラメータ記入
ログイン成功時に表示される文字例(String)を設定
ログイン失敗の上限回数を設定
何秒後にログオン可能にするかを設定
© F5 Networks, Inc
23
OpenSSL Heartbleed対策
BIG-IPを使うことで本脆弱性を防ぐことができますか？
• はい
• BIG-IPでSSL終端処理をDEFAULT設定でしているお客様は、既にF5によって
解決済みです
© F5 Networks, Inc
25
BIG-IPではSSL秘密鍵は安全に保管できますか？
• はい
• BIG-IPでは FIPS 140-2 Level2 対応HSM 搭載アプライアンスをご選択いただけます
• FIPSは米国連邦標準規格です
• Thales nShield network HSMとも連携可能です
© F5 Networks, Inc
26
BIG-IPユーザですがSSL処理はサーバ側で実施しています
• iRulesを活用することで、SSL終端をしなくても以下の対応を行えます
• クライアントからのTLS heart beat リクエストをブロック
• サーバからのheart beat レスポンスをブロック
• iRulesのサポートに関しては、F5コンサルティングサービスにお問い合わせください
© F5 Networks, Inc
27
お問い合わせ先
本資料やF5製品に関するお問い合わせは以下までお気軽にご連絡ください。
 メールでのお問い合わせは：
http://www.f5networks.co.jp/inquiry/
 お電話でのお問い合せは：
03－5114－3850 [インサイドセールス]
10:00 ～ 18:00 （土日祝日を除く）
© F5 Networks, Inc
28

Download Report