今、なぜWEBアプリケーション ファイアウォールが必要なのでしょう？

F5ネットワークスジャパン株式会社

シニアソリューションマーケティングマネージャ

帆士 敏博

アノニマスとは？ 国際的なハッカー集団であり、その構成員は世界中にいるといわれている。 正確な人数は明らかになっていないが、1000名程度と予想されている。 DDoS攻撃/クラッキングといった行為を繰り返す。 攻撃事例：チュニジア政府 / WikiLeaks /PayPal / MasterCard / SONY

公開アプリケーションはいつも脅威にさらされている

2011年セキュリティインシデントマップ SQL インジェクション,URLタンパリング,DDoSが目立つ

誤った投資

ネットワークレベルの脅威 アプリケーションレベルの脅威

セキュリティ対策の投資の90%が集中

75%のセキュリティ攻撃が狙うレイヤ

Source: Gartner

90％の投資はネットワークが対象。 しかし、攻撃の75%はアプリケーションを狙っている。

誤解。 ｢IDS/IPSがあれば、アプリケーションへの攻撃は 防御できる｣

出典：｢NRIセキュアテクノロジーズ サイバーセキュリティ傾向分析レポート 2011｣

※1,572,652件 の54%はIDS では検知でき なかった。

現在の対策の課題について ネットワークセキュリティはアプリケーションへの攻撃に対して無力

• ハッカーによる侵入で使われる手口は、従来のファイアウォールでは防げない

• 日本企業のネットワークインフラの多くは、アプリケーションセキュリティへの投資が適切にされていない。

従来のFW

WAF

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

4. 事例

セキュリティ 可用性・信頼性 パフォーマンス

コンテキスト

• EPチェック • アプリケーション

ロジック • 認証連携

拡張/迅速/柔軟

• オンデマンド • プログラマブル • 認証基盤連携

統合化

• デバイス • マルチレイヤ • 管理フレーム

ワーク

コミュニティ

• DevCentral

ネットワーク上に統合化セキュリティコントロールポイントを配置

アプリケーション視点のユニファイド・セキュリティ・コントロール

アクセス 環境

ユーザ属性 ロケーション デバイス多様化 新しい脅威

アプリケーション の利用形態 アプリケーションロジック アプリケーション分散化

プライベート

パブリック

アプリケーション 環境

-

+

-

+

認証

強固なセキュリティ ・セキュリティ低下 ・ポリシー分散 ・コンテキスト : 低 ・迅速性 : 低 ・コスト : 高

ユニファイドセキュリティ ・再利用性が高い ・セキュリティ : 高い ・統合化 ・コンテキストの理解 ・素早い対応 ・コスト : 低

特徴1. フルプロキシ・アーキテクチャ

アプリケーションデータ

MACアドレス （スイッチング）

IPアドレス （ルーティング）

ポート番号 （L4負荷分散）

アプリケーションヘッダ （L7負荷分散）

ディープパケットインスペクション

L2 L3 L4 L7

フルプロキシ TMOS

驚異的なパフォーマンス

全てのトラフィックを管理

特徴1 アプリケーション・フル・プロキシだから実現できる例 機密情報の流出を防ぐ(データガード機能) データの可視化が有効。情報流出の発生時の解析/説明。

悪意のあるユーザ

個人情報 クレジットカード : 4541-9096-0953-NNNN メールアドレス: t.hoshi@f5.com 住所：〒107-0052

アプリケーション

IP SSL TCP HTTP ヘッダ

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.f5.comTR/html4/frameset.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS"> <meta name="keywords" content=“f5.com"> <meta name="description" content="hidetox"> <title>NotFound@test.com</title> <style> h1#title { padding-left: 45px; background: left url……… <4541-9096-0953-NNNN>……. </body> </html>

BIG-IP

ScaleN

TMOS

特徴 2. 統合 TMOS上にアプリケーションに必要なサービスを統合

LTM GTM APM WOM WAM ASM

冗長化、 セキュリティ

セキュリティ

高速化

iControl iRules

ネットワークサービスを構成するプラグ型モジュール

サービスを提供する為のプラットフォーム

CLI GUI

iApps

製品名 ソリューション 主な機能

LTM (Local Traffic Manager) サイト内サーバ負荷分散 、ネットワークファイアウォール 各種負荷分散技術

GTM (Global Traffic Manager) データセンタ間負荷分散 広域負荷分散、DNS強化、DNSセキュリティ

ASM (Application Security Manager) Web アプリケーションファイアウォール L7の外部脅威対策

APM (Access Policy Manager) セキュアリモートアクセス アクセス管理、SSL-VPNリモートアクセス

WOM (WAN Optimization Module) WANトラフィック最適化 データセンタ間WAN最適化

WAM (Web Accelerator Module) Webアプリケーション高速化 各種高速化技術

ネットワーク ファイアウォール

DDOS攻撃 対策

WEB APP

FIREWALL

負荷分散・トフラフィック管理

アクセス管理 DNS

セキュリティ

特徴 2.統合 従来型のセキュリティコンセプトからの変革

L3~L7、アプリケーションレイヤをインスペクション セキュリティデバイスを統合してコストを削減

高信頼/ハイパフォーマンスの プラットフォーム製品ラインナップ

400k L7 RPS 175K L4 CPS

4G L7/L4 TPUT

BIG-IP 3900

600k L7 RPS 220K L4 CPS

6G L7/L4 TPUT

BIG-IP 6900 , 6900F , 6900S

BIG-IP 8900 , 8900F ,

8950 , 8950S 最大1.9M L7 RPS 最大800K L4 CPS

最大20G TPUT

BIG-IP 11000 , 11000F , 11050 , 11050F

2.5M L7 RPS 1M L4 CPS

最大42G TPUT

100k L7 RPS 60K L4 CPS

1G L7/L4 TPUT

BIG-IP 1600

135k L7 RPS 115K L4 CPS

2G L7/L4 TPUT

BIG-IP 3600

VIPRION 2400

1M - 4M L7 RPS 400K - 1.6M L4 CPS

18G - 72G/40G - 160G L7/L4 TPUT

VIPRION 4400

1.6M - 6.4M L7 RPS 700K - 2.8M L4 CPS

18G - 72G L7/L4 TPUT

1G TPUT

200M TPUT

1ブレード

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

4. 事例

公開Webサーバ （Eコマース・オンラインサービス）

セキュア・プログラミング

バッファ・オーバーフロー クロスサイト・スクリプティング

SQL/OSインジェクション Cookieの改ざん

隠しフィールドの操作 パラメータの改ざん

口座番号・暗証番号 クレジットカード番号、有効期限 WebサイトのログインID/パスワード

BIG-IP Application Security Manager

Webアプリケーションの脆弱性に対する総合的な保護を提供（L3-L7） ■従来のWAFでは認識されない攻撃を阻止 1. ADCへアドオン（オンデマンドWAF拡張）を提供 2. 全てのアプリケーション・トラフィックのログとレポートを作成 3. 高い運用管理性

BIG-IP ASMと他社製品と比較した場合の特徴

機能 F5 Barracuda Breach Citrix Imperva シグネチャベースのセキュリティ X ポリシーベースのセキュリティ 新しいシグネチャ用のステージング機能 X X X X コンテンツ（文字列）正規化 X X X 事前定義されたポリシー X X

XMLスキーマ検証 X X X 脆弱性スキャナとの統合 X X X 単一ユニットにおけるデータセンター レベルセキュリティ X X X X URIの監視によるサーバ遅延の確認 X X X X Cookieポイズニング

暗号化されたCookieサポート X X X X レートシェーピング X X X

ダイナミック・パラメータ保護 X

レイヤ7 DoS攻撃の防御 X X X X ブルートフォース攻撃の防御 X X X アクセラレーションとセキュリティの統合 X X X X

誤検知(F/P)への対応 シグネチャのステージング

• シグネチャを有効活用するためには、フォルスポジティブを防ぐことが必須

• このような状況下において、シグネチャはノンブロッキングモードで運用される

• シグネチャのステージングは、ステージング後すぐにフォルスポジティブが発生する ことを抑制可能

iRules 「ゼロデイ」攻撃への対応 Apache Killer

Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8, …

when HTTP_REQUEST { if { [HTTP::header exists "Range"] and ([HTTP::header "Range"] matches_regex {(,.*?){40,}}) } { log local0. "## Range attack CVE-2011-3192 detected from [IP::client_addr] on Host [HTTP::host]. [llength [split [HTTP::header "Range"], ","]] ranges requested." HTTP::header remove Range return } }

Apache Killerの際は、F5は3時間程度で対策を コミュニティーサイトのDevCenにアップデート。 Apache側は1週間以上かかった。 iRules等を利用することにより即時性の高いソリューション を提供可能。

双方向のログによる可視化が重要 BIG-IPはWebアプリの全ての情報をログ出力

悪意のあるユーザ

アプリケーション

BIG-IP

Log(CEF)

BIG-IPが対応する 攻撃の種類と比較表

Attack BIG-IP v11.0 A社 B社 C社 IP Attacks

Teardrop LTM Y Y Y IP Fragment LTM Y Y N

ICMP Attacks ICMP Flood LTM Y Y Y ICMP Fragmentation LTM Y Y Y Ping Flood LTM Y Y Y Smurf Attack LTM Y N Y

TCP attacks SYN Flood LTM Y Y Y SYN-ACK Flood LTM Y Y Y ACK and PUSH-ACK Flood LTM Y Y Y Fragmented ACK LTM Y Y Y RST or FIN flood LTM Y Y Y

Synonymous IP (Land Attack) LTM Y Y Y

Fake Session LTM Y Y Y TCP Session LTM Y Y Y Redirected Traffic LTM/ASM N N N

HTTP attacks HTTP Fragmentation LTM/ASM N N N Excessive GET/POST ASM N N N

Multiple Methods Single Request ASM N N N

Recursive GET (Web scraping) ASM N N N

Slowloris LTM/ASM N N N UDP attacks

UDP Flood LTM Y Y Y UDP Fragmentation LTM Y Y Y

DNS Attacks DNS Flood GTM N N N DNS Amplification Attack GTM N N N

Application Attacks VoIP Flood Y N N N Faulty Application ASM N N N XML DoS ASM N N N

ASK F5 : http://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/ltm_implementation/sol_dos.html?sr=19388614#1064682

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果

4. 事例

本当にBIG-IP ASMは攻撃をブロックできるのか？ 実際に攻撃をしてテストを実施してみました。

× ×

BIG-IP ASM Webアプリに特化した攻撃 138種類の攻撃を検証

2012年 8/21 3社で検証実施

ハードウェア BIG-IP 3600 BIG-IP TMOS ver. v11.2.0 Build 2451.0 Hotfix HF1 使用ライセンス LTM+ ASM シグネチャバージョン 07/25/2012 09:56 リリース版 シグネチャ適用数 2132個(All signatures) ASM設定 シグネチャ検知によるブラックリスト方式のみ LTM設定 デフォルト設定（VS×1, Pool member×1）

BIG-IP ASMの設定はシグネチャのみの簡易的なセキュリティレベルの設定

テスト結果

Breaking Point - 攻撃カテゴリ ASM設定 ASM検知率

BreakingPoint攻撃送信数

ASM検知 ASM未検知 備考

Exploits: Web Application Command Execution All

signaturesを使った

Blocking 設定

96% 138 132 6 Webへの主要な攻撃 タイプに対して、 138件中6件が通過。

Exploits: Web Application SQL Injection Exploits: Web Application Directory Traversal Exploits: Web Application Cross-Site Scripting HTTP

ブロック率 96% 設定変更により最終的には100%の攻撃をブロックできた。

BPS攻撃パターン名 BPS送信リクエスト

CS Chat-r-box csChatRBox.cgi setup Parameter Code Execution

サードベンダー製ウェブアプリ ケーション固有の脆弱性を突く攻撃

GET /cgi-bin/csChatRBox.cgi?command=SAvesEtup&setup=print%20%22BreakingPoint%20Systems%22%3b HTTP/1.1 Host: hucUyeLXWxQViqXNjEOW User-Agent: msnbot/1.1 (+http://search.msn.com/msnbot.htm) Accept: */* Connection: keep-alive

- 最初 ブロックできなかった6件の攻撃は全てアプリ特有の攻撃(サンプル)

※アプリケーション診断サービスと合わせてブロックするべき攻撃

もう一つのトライアル：IDS/IPSは不要なのか？

結果、検知率は70%であった。 - ASMは、OSレイヤの攻撃の防御としては物足りない。 - IDS/IPSではWebアプリの攻撃対策としては使えない。 オープンソースのIDSであるSnortに対して同一内容のWeb アプリケーション系攻撃を実施した際、その検知率はわずか19%だった。 IDS/IPSで十分だと誤解されているケースが多いが、Webアプリの攻撃 にはWAFが必須

BIG-IP ASM OS～アプリケーションまで 412種類の攻撃を検証

(参考)結果の詳細分析とコメント

• ASMは、Webアプリ攻撃に効果大。OS、ミドルウェアには十分ではない。 BPのテストパターンにApache, IIS等のOS・ミドルウェアに対する攻撃を含んでいる 場合、ASMでの検知率は70%であった。一方テストパターンをWebアプリケーション に対するインジェクション系の攻撃（XSS, SQL-INJ, OS command-INJ, Directory Traversal）に絞り込んだところ検知率が96%まで上昇した。この事からASMはOS・ ミドルウェアの上で動作する固有のWebアプリケーションに対する攻撃に高い防御力を有しているが、OS・ミドルウェアに対する攻撃についても一定の防御力を発揮するものの十分ではないという事がわかる。

• IDS/IPSとBIG-IP ASMは、同じシグネチャマッチングでも できることは違う。IDS/IPSは、Webアプリ攻撃には十分でない。 IPS/IDSはWebアプリケーションへの防御機能としてHTTPトラフィックのデータペイロード部分のチェックは行うが、WAFの様にHTTPプロトコルの要素（URL、 HTTP ヘッダ各種、クエリーストリング、POSTパラメータ等）を分解して個々の要素 に対する細かなチューニングは行わない。 参考まで、BreakingPointにてオープンソースのIDSであるSnortに対して同一内容のWebアプリケーション系攻撃を実施した際、その検知率はわずか19%だった。

(参考)結果の詳細分析とコメント

• 結論 IDS/IPSではWebアプリの攻撃には対応できないことを、テクニカルな根拠とテスト結果データを持って証明し、ASMの提案ができる。 Webアプリケーションの防御はWAFで提供、OS・ミドルウェアの防御はIPS/IDSで提供、という相互補完の関係であることが確認された。すでにIPS/IDSを導入しているユーザには、それがWebアプリケーションの防御としては十分ではないという事と、 脆弱性診断等で明らかとなった脆弱性をカバーする為には、柔軟なチューニングを得意とするWAFが有効である、という認識を広めていく必要性があると考えられる。

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

4. 事例

女性向けＥコマースサイト

■背景／要件／課題 －女性向けの紙媒体とメディア連動のＥコマースサイトを提供 －Ｅコマ―ス作成のパッケージを利用してWebアプリを開発 －パッケージのカスタマイズ部分の脆弱性への対処が課題 －個人情報（名前、住所、TEL/FAX、メールアドレス、クレジットカード等）の流出を防ぐ ■選定ポイント － 単一アプライアンス： 運用管理コスト削減 ロードバランサーも同じく導入する必要があった －パフォーマンス比較： 他社のWAFと比較してのパフォーマンスが高い －システムインテグレータから導入後の運用まで提案があった ■導入効果 －Webアプリケーションのセキュリティとパフォーマンスの向上 －不正アクセス防止と可視化 － 誤検知への対応が素早く、安定稼働している

■背景／要件／課題 －アプリケーション：証券、為替取引アプリケーション －機密情報（個人情報：名前・住所・TEL/FAX・メール・取引履歴）を 守る －アプリケーションのセキュアコーディングによりリリーススケジュール の遅延が慢性化、コストが高い －アプリケーションの可用性確保 ■選定ポイント(BIG-IP LTM 6900＋ASMモジュール) － BIG-IP LTM 6900とASMモジュールを単一アプライアンスで 動作させることにより、機器コスト・管理ポイントの削減 － ベンダーからの運用管理ソリューション 定期的なポリシーチューニング誤検知、インシデント対応の提案 ■導入効果 －アプリケーションリリーススケジュールの迅速化 －機密情報の漏えい対策 －不正アクセスの可視化

グローバル金融グループ WAFによるアプリケーションリリースの迅速化

海外Webサイトのセキュリティ対策は困難

出典：｢NRIセキュアテクノロジーズ サイバーセキュリティ 傾向分析レポート2012｣

海外拠点Webサイトへの攻撃事例

海外サイトセキュリティ管理の課題 - 66.2％ セキュリティ対策を現地まかせ - 50.4% 十分な情報セキュリティ推進体制 をとることができない -55.2％ 情報セキュリティの教育の実施 が難しい - 48.2％ 文化の違いより情報セキュリティ 対策の実施に手間がかかる

国内サイトと海外サイトの簡易チェック評価

分散アプリのセキュリティポリシーを一元管理(iApps) して、システマティックに高いセキュリティレベルを確保

アプリケーション アプリケーション アプリケーション アプリケーション

TMOS

セキュリティ ポリシー

セキュリティ ポリシー

セキュリティ ポリシー

セキュリティ ポリシー

新しい脅威

セキュリティ ポリシー

セキュリティ ポリシー

セキュリティ ポリシー

東京DC 北米DC ロンドンDC

セキュリティ ポリシー

TMOS TMOS TMOS TMOS iApps

提案ターゲット

公開アプリケーションかつ機密情報を含むアプリに 提案すれば必ず案件発掘につながる アプリケーションの価値がユーザにとって高ければ 高いほど、案件化の確率が高い

・金融系トレーディングアプリ

・ゲーム系アプリ

・Eコマース

・政府系アプリ

・B2B公開アプリケーション

まとめ

ターゲットのWebアプリを明確化し提案

IDS/IPSとの違いを明確にし、WAFの価値を訴求

BIG-IP 特徴 : LB/SSL/NW FW/シグネチャステージング