今、なぜwebアプリケーション今、なぜwebアプリケーション...
TRANSCRIPT
今、なぜWEBアプリケーション ファイアウォールが必要なのでしょう?
F5ネットワークスジャパン株式会社
シニアソリューションマーケティングマネージャ
帆士 敏博
アノニマスとは? 国際的なハッカー集団であり、その構成員は世界中にいるといわれている。 正確な人数は明らかになっていないが、1000名程度と予想されている。 DDoS攻撃/クラッキングといった行為を繰り返す。 攻撃事例:チュニジア政府 / WikiLeaks /PayPal / MasterCard / SONY
公開アプリケーションはいつも脅威にさらされている
2011年セキュリティインシデントマップ SQL インジェクション,URLタンパリング,DDoSが目立つ
誤った投資
ネットワークレベルの脅威 アプリケーションレベルの脅威
セキュリティ対策の投資の90%が集中
75%のセキュリティ攻撃が狙うレイヤ
Source: Gartner
90%の投資はネットワークが対象。 しかし、攻撃の75%はアプリケーションを狙っている。
誤解。 「IDS/IPSがあれば、アプリケーションへの攻撃は 防御できる」
出典:「NRIセキュアテクノロジーズ サイバーセキュリティ傾向分析レポート 2011」
※1,572,652件 の54%はIDS では検知でき なかった。
現在の対策の課題について ネットワークセキュリティはアプリケーションへの攻撃に対して無力
• ハッカーによる侵入で使われる手口は、従来のファイアウォールでは防げない
• 日本企業のネットワークインフラの多くは、アプリケーションセキュリティへの投資が適切にされていない。
従来のFW
WAF
Agenda
1. F5ソリューション概要
2. F5 BIG-IP ASMの特徴
3. BreakingPointテスト結果(IDS/IPS比較)
4. 事例
セキュリティ 可用性・信頼性 パフォーマンス
コンテキスト
• EPチェック • アプリケーション
ロジック • 認証連携
拡張/迅速/柔軟
• オンデマンド • プログラマブル • 認証基盤連携
統合化
• デバイス • マルチレイヤ • 管理フレーム
ワーク
コミュニティ
• DevCentral
ネットワーク上に統合化セキュリティコントロールポイントを配置
アプリケーション視点のユニファイド・セキュリティ・コントロール
アクセス 環境
ユーザ属性 ロケーション デバイス多様化 新しい脅威
アプリケーション の利用形態 アプリケーションロジック アプリケーション分散化
プライベート
パブリック
アプリケーション 環境
-
+
-
+
認証
強固なセキュリティ ・セキュリティ低下 ・ポリシー分散 ・コンテキスト : 低 ・迅速性 : 低 ・コスト : 高
ユニファイドセキュリティ ・再利用性が高い ・セキュリティ : 高い ・統合化 ・コンテキストの理解 ・素早い対応 ・コスト : 低
特徴1. フルプロキシ・アーキテクチャ
アプリケーションデータ
MACアドレス (スイッチング)
IPアドレス (ルーティング)
ポート番号 (L4負荷分散)
アプリケーションヘッダ (L7負荷分散)
ディープパケットインスペクション
L2 L3 L4 L7
フルプロキシ TMOS
驚異的なパフォーマンス
全てのトラフィックを管理
特徴1 アプリケーション・フル・プロキシだから実現できる例 機密情報の流出を防ぐ(データガード機能) データの可視化が有効。情報流出の発生時の解析/説明。
悪意のあるユーザ
個人情報 クレジットカード : 4541-9096-0953-NNNN メールアドレス: [email protected] 住所:〒107-0052
アプリケーション
IP SSL TCP HTTP ヘッダ
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.f5.comTR/html4/frameset.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS"> <meta name="keywords" content=“f5.com"> <meta name="description" content="hidetox"> <title>[email protected]</title> <style> h1#title { padding-left: 45px; background: left url……… <4541-9096-0953-NNNN>……. </body> </html>
BIG-IP
ScaleN
TMOS
特徴 2. 統合 TMOS上にアプリケーションに必要なサービスを統合
LTM GTM APM WOM WAM ASM
冗長化、 セキュリティ
セキュリティ
高速化
iControl iRules
ネットワークサービスを構成するプラグ型モジュール
サービスを提供する為のプラットフォーム
CLI GUI
iApps
製品名 ソリューション 主な機能
LTM (Local Traffic Manager) サイト内サーバ負荷分散 、ネットワークファイアウォール 各種負荷分散技術
GTM (Global Traffic Manager) データセンタ間負荷分散 広域負荷分散、DNS強化、DNSセキュリティ
ASM (Application Security Manager) Web アプリケーションファイアウォール L7の外部脅威対策
APM (Access Policy Manager) セキュアリモートアクセス アクセス管理、SSL-VPNリモートアクセス
WOM (WAN Optimization Module) WANトラフィック最適化 データセンタ間WAN最適化
WAM (Web Accelerator Module) Webアプリケーション高速化 各種高速化技術
ネットワーク ファイアウォール
DDOS攻撃 対策
WEB APP
FIREWALL
負荷分散・トフラフィック管理
アクセス管理 DNS
セキュリティ
特徴 2.統合 従来型のセキュリティコンセプトからの変革
L3~L7、アプリケーションレイヤをインスペクション セキュリティデバイスを統合してコストを削減
高信頼/ハイパフォーマンスの プラットフォーム製品ラインナップ
400k L7 RPS 175K L4 CPS
4G L7/L4 TPUT
BIG-IP 3900
600k L7 RPS 220K L4 CPS
6G L7/L4 TPUT
BIG-IP 6900 , 6900F , 6900S
BIG-IP 8900 , 8900F ,
8950 , 8950S 最大1.9M L7 RPS 最大800K L4 CPS
最大20G TPUT
BIG-IP 11000 , 11000F , 11050 , 11050F
2.5M L7 RPS 1M L4 CPS
最大42G TPUT
100k L7 RPS 60K L4 CPS
1G L7/L4 TPUT
BIG-IP 1600
135k L7 RPS 115K L4 CPS
2G L7/L4 TPUT
BIG-IP 3600
VIPRION 2400
1M - 4M L7 RPS 400K - 1.6M L4 CPS
18G - 72G/40G - 160G L7/L4 TPUT
VIPRION 4400
1.6M - 6.4M L7 RPS 700K - 2.8M L4 CPS
18G - 72G L7/L4 TPUT
1G TPUT
200M TPUT
1ブレード
Agenda
1. F5ソリューション概要
2. F5 BIG-IP ASMの特徴
3. BreakingPointテスト結果(IDS/IPS比較)
4. 事例
公開Webサーバ (Eコマース・オンラインサービス)
セキュア・プログラミング
バッファ・オーバーフロー クロスサイト・スクリプティング
SQL/OSインジェクション Cookieの改ざん
隠しフィールドの操作 パラメータの改ざん
口座番号・暗証番号 クレジットカード番号、有効期限 WebサイトのログインID/パスワード
BIG-IP Application Security Manager
Webアプリケーションの脆弱性に対する総合的な保護を提供(L3-L7) ■従来のWAFでは認識されない攻撃を阻止 1. ADCへアドオン(オンデマンドWAF拡張)を提供 2. 全てのアプリケーション・トラフィックのログとレポートを作成 3. 高い運用管理性
BIG-IP ASMと他社製品と比較した場合の特徴
機能 F5 Barracuda Breach Citrix Imperva シグネチャベースのセキュリティ X ポリシーベースのセキュリティ 新しいシグネチャ用のステージング機能 X X X X コンテンツ(文字列)正規化 X X X 事前定義されたポリシー X X
XMLスキーマ検証 X X X 脆弱性スキャナとの統合 X X X 単一ユニットにおけるデータセンター レベルセキュリティ X X X X URIの監視によるサーバ遅延の確認 X X X X Cookieポイズニング
暗号化されたCookieサポート X X X X レートシェーピング X X X
ダイナミック・パラメータ保護 X
レイヤ7 DoS攻撃の防御 X X X X ブルートフォース攻撃の防御 X X X アクセラレーションとセキュリティの統合 X X X X
誤検知(F/P)への対応 シグネチャのステージング
• シグネチャを有効活用するためには、フォルスポジティブを防ぐことが必須
• このような状況下において、シグネチャはノンブロッキングモードで運用される
• シグネチャのステージングは、ステージング後すぐにフォルスポジティブが発生する ことを抑制可能
iRules 「ゼロデイ」攻撃への対応 Apache Killer
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8, …
when HTTP_REQUEST { if { [HTTP::header exists "Range"] and ([HTTP::header "Range"] matches_regex {(,.*?){40,}}) } { log local0. "## Range attack CVE-2011-3192 detected from [IP::client_addr] on Host [HTTP::host]. [llength [split [HTTP::header "Range"], ","]] ranges requested." HTTP::header remove Range return } }
Apache Killerの際は、F5は3時間程度で対策を コミュニティーサイトのDevCenにアップデート。 Apache側は1週間以上かかった。 iRules等を利用することにより即時性の高いソリューション を提供可能。
双方向のログによる可視化が重要 BIG-IPはWebアプリの全ての情報をログ出力
悪意のあるユーザ
アプリケーション
BIG-IP
Log(CEF)
BIG-IPが対応する 攻撃の種類と比較表
Attack BIG-IP v11.0 A社 B社 C社 IP Attacks
Teardrop LTM Y Y Y IP Fragment LTM Y Y N
ICMP Attacks ICMP Flood LTM Y Y Y ICMP Fragmentation LTM Y Y Y Ping Flood LTM Y Y Y Smurf Attack LTM Y N Y
TCP attacks SYN Flood LTM Y Y Y SYN-ACK Flood LTM Y Y Y ACK and PUSH-ACK Flood LTM Y Y Y Fragmented ACK LTM Y Y Y RST or FIN flood LTM Y Y Y
Synonymous IP (Land Attack) LTM Y Y Y
Fake Session LTM Y Y Y TCP Session LTM Y Y Y Redirected Traffic LTM/ASM N N N
HTTP attacks HTTP Fragmentation LTM/ASM N N N Excessive GET/POST ASM N N N
Multiple Methods Single Request ASM N N N
Recursive GET (Web scraping) ASM N N N
Slowloris LTM/ASM N N N UDP attacks
UDP Flood LTM Y Y Y UDP Fragmentation LTM Y Y Y
DNS Attacks DNS Flood GTM N N N DNS Amplification Attack GTM N N N
Application Attacks VoIP Flood Y N N N Faulty Application ASM N N N XML DoS ASM N N N
ASK F5 : http://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/ltm_implementation/sol_dos.html?sr=19388614#1064682
Agenda
1. F5ソリューション概要
2. F5 BIG-IP ASMの特徴
3. BreakingPointテスト結果
4. 事例
本当にBIG-IP ASMは攻撃をブロックできるのか? 実際に攻撃をしてテストを実施してみました。
× ×
BIG-IP ASM Webアプリに特化した攻撃 138種類の攻撃を検証
2012年 8/21 3社で検証実施
ハードウェア BIG-IP 3600 BIG-IP TMOS ver. v11.2.0 Build 2451.0 Hotfix HF1 使用ライセンス LTM+ ASM シグネチャバージョン 07/25/2012 09:56 リリース版 シグネチャ適用数 2132個(All signatures) ASM設定 シグネチャ検知によるブラックリスト方式のみ LTM設定 デフォルト設定(VS×1, Pool member×1)
BIG-IP ASMの設定はシグネチャのみの簡易的なセキュリティレベルの設定
テスト結果
Breaking Point - 攻撃カテゴリ ASM設定 ASM検知率
BreakingPoint攻撃送信数
ASM検知 ASM未検知 備考
Exploits: Web Application Command Execution All
signaturesを使った
Blocking 設定
96% 138 132 6 Webへの主要な攻撃 タイプに対して、 138件中6件が通過。
Exploits: Web Application SQL Injection Exploits: Web Application Directory Traversal Exploits: Web Application Cross-Site Scripting HTTP
ブロック率 96% 設定変更により最終的には100%の攻撃をブロックできた。
BPS攻撃パターン名 BPS送信リクエスト
CS Chat-r-box csChatRBox.cgi setup Parameter Code Execution
サードベンダー製ウェブアプリ ケーション固有の脆弱性を突く攻撃
GET /cgi-bin/csChatRBox.cgi?command=SAvesEtup&setup=print%20%22BreakingPoint%20Systems%22%3b HTTP/1.1 Host: hucUyeLXWxQViqXNjEOW User-Agent: msnbot/1.1 (+http://search.msn.com/msnbot.htm) Accept: */* Connection: keep-alive
- 最初 ブロックできなかった6件の攻撃は全てアプリ特有の攻撃(サンプル)
※アプリケーション診断サービスと合わせてブロックするべき攻撃
もう一つのトライアル:IDS/IPSは不要なのか?
結果、検知率は70%であった。 - ASMは、OSレイヤの攻撃の防御としては物足りない。 - IDS/IPSではWebアプリの攻撃対策としては使えない。 オープンソースのIDSであるSnortに対して同一内容のWeb アプリケーション系攻撃を実施した際、その検知率はわずか19%だった。 IDS/IPSで十分だと誤解されているケースが多いが、Webアプリの攻撃 にはWAFが必須
BIG-IP ASM OS~アプリケーションまで 412種類の攻撃を検証
(参考)結果の詳細分析とコメント
• ASMは、Webアプリ攻撃に効果大。OS、ミドルウェアには十分ではない。 BPのテストパターンにApache, IIS等のOS・ミドルウェアに対する攻撃を含んでいる 場合、ASMでの検知率は70%であった。一方テストパターンをWebアプリケーション に対するインジェクション系の攻撃(XSS, SQL-INJ, OS command-INJ, Directory Traversal)に絞り込んだところ検知率が96%まで上昇した。この事からASMはOS・ ミドルウェアの上で動作する固有のWebアプリケーションに対する攻撃に高い防御力を有しているが、OS・ミドルウェアに対する攻撃についても一定の防御力を発揮するものの十分ではないという事がわかる。
• IDS/IPSとBIG-IP ASMは、同じシグネチャマッチングでも できることは違う。IDS/IPSは、Webアプリ攻撃には十分でない。 IPS/IDSはWebアプリケーションへの防御機能としてHTTPトラフィックのデータペイロード部分のチェックは行うが、WAFの様にHTTPプロトコルの要素(URL、 HTTP ヘッダ各種、クエリーストリング、POSTパラメータ等)を分解して個々の要素 に対する細かなチューニングは行わない。 参考まで、BreakingPointにてオープンソースのIDSであるSnortに対して同一内容のWebアプリケーション系攻撃を実施した際、その検知率はわずか19%だった。
(参考)結果の詳細分析とコメント
• 結論 IDS/IPSではWebアプリの攻撃には対応できないことを、テクニカルな根拠とテスト結果データを持って証明し、ASMの提案ができる。 Webアプリケーションの防御はWAFで提供、OS・ミドルウェアの防御はIPS/IDSで提供、という相互補完の関係であることが確認された。すでにIPS/IDSを導入しているユーザには、それがWebアプリケーションの防御としては十分ではないという事と、 脆弱性診断等で明らかとなった脆弱性をカバーする為には、柔軟なチューニングを得意とするWAFが有効である、という認識を広めていく必要性があると考えられる。
Agenda
1. F5ソリューション概要
2. F5 BIG-IP ASMの特徴
3. BreakingPointテスト結果(IDS/IPS比較)
4. 事例
女性向けEコマースサイト
■背景/要件/課題 -女性向けの紙媒体とメディア連動のEコマースサイトを提供 -Eコマ―ス作成のパッケージを利用してWebアプリを開発 -パッケージのカスタマイズ部分の脆弱性への対処が課題 -個人情報(名前、住所、TEL/FAX、メールアドレス、クレジットカード等)の流出を防ぐ ■選定ポイント - 単一アプライアンス: 運用管理コスト削減 ロードバランサーも同じく導入する必要があった -パフォーマンス比較: 他社のWAFと比較してのパフォーマンスが高い -システムインテグレータから導入後の運用まで提案があった ■導入効果 -Webアプリケーションのセキュリティとパフォーマンスの向上 -不正アクセス防止と可視化 - 誤検知への対応が素早く、安定稼働している
■背景/要件/課題 -アプリケーション:証券、為替取引アプリケーション -機密情報(個人情報:名前・住所・TEL/FAX・メール・取引履歴)を 守る -アプリケーションのセキュアコーディングによりリリーススケジュール の遅延が慢性化、コストが高い -アプリケーションの可用性確保 ■選定ポイント(BIG-IP LTM 6900+ASMモジュール) - BIG-IP LTM 6900とASMモジュールを単一アプライアンスで 動作させることにより、機器コスト・管理ポイントの削減 - ベンダーからの運用管理ソリューション 定期的なポリシーチューニング誤検知、インシデント対応の提案 ■導入効果 -アプリケーションリリーススケジュールの迅速化 -機密情報の漏えい対策 -不正アクセスの可視化
グローバル金融グループ WAFによるアプリケーションリリースの迅速化
海外Webサイトのセキュリティ対策は困難
出典:「NRIセキュアテクノロジーズ サイバーセキュリティ 傾向分析レポート2012」
海外拠点Webサイトへの攻撃事例
海外サイトセキュリティ管理の課題 - 66.2% セキュリティ対策を現地まかせ - 50.4% 十分な情報セキュリティ推進体制 をとることができない -55.2% 情報セキュリティの教育の実施 が難しい - 48.2% 文化の違いより情報セキュリティ 対策の実施に手間がかかる
国内サイトと海外サイトの簡易チェック評価
分散アプリのセキュリティポリシーを一元管理(iApps) して、システマティックに高いセキュリティレベルを確保
アプリケーション アプリケーション アプリケーション アプリケーション
TMOS
セキュリティ ポリシー
セキュリティ ポリシー
セキュリティ ポリシー
セキュリティ ポリシー
新しい脅威
セキュリティ ポリシー
セキュリティ ポリシー
セキュリティ ポリシー
東京DC 北米DC ロンドンDC
セキュリティ ポリシー
TMOS TMOS TMOS TMOS iApps
提案ターゲット
公開アプリケーションかつ機密情報を含むアプリに 提案すれば必ず案件発掘につながる アプリケーションの価値がユーザにとって高ければ 高いほど、案件化の確率が高い
・金融系トレーディングアプリ
・ゲーム系アプリ
・Eコマース
・政府系アプリ
・B2B公開アプリケーション
まとめ
ターゲットのWebアプリを明確化し提案
IDS/IPSとの違いを明確にし、WAFの価値を訴求
BIG-IP 特徴 : LB/SSL/NW FW/シグネチャステージング