このセクションの構成
Web Intelligenceは、Webサーバを攻撃から保護します。すべてのWebサーバにセキュリティ保護
機能を提供するか、Webサーバ・オブジェクトを定義して選択したWebサーバに対してセキュリ ティ保護機能を提供します。任意のゲートウェイやホスト・オブジェクトをWebサーバとして定義 することができます。
Web Intelligence の保護機能
Web Intelligenceの保護機能は、以下のカテゴリに分類されます。
Malicious Code
Webサーバ上で、攻撃者が悪意のあるコードを実行できないようにします。
Application Layer
Webアプリケーションが特別な命令として解釈するテキスト、タグ、コマンド、その他の文字を攻 撃者が挿入できないようにします。
そのようなオブジェクトがフォームやURLに含まれていると、攻撃者が個人データの窃取、悪意の あるWebサイトへの通信セッションのリダイレクト、データベースからの情報の窃取、不正アクセス、
許可されないコマンドの実行などを行う可能性があります。
Web Intelligenceの保護機能 192ページ
Web Intelligenceの技術 193ページ
Web IntelligenceとClusterXLゲートウェイ・クラスタ 193ページ
Webコンテンツの保護 194ページ
カスタマイズ可能なエラー・ページ 194ページ
接続性とセキュリティの考慮事項 195ページ
Webセキュリティのパフォーマンスについての考慮事項 197ページ HTTPプロトコル・インスペクションの下位互換性オプション 199ページ
Web Intelligenceライセンスの実施 200ページ
HTTPセッション、接続、およびURLについて 201ページ
Information Disclosure
攻撃者がWebサイトに関する情報を収集できないようにします。収集されたWebサーバに関する 情報は、実際にWebサーバを攻撃するために使用されます。
HTTP Protocol Inspection
HTTPプロトコルに厳密なポリシーを適用して、セッションがRFC標準と共通のセキュリティ対策に 準拠するようにします。
Web Intelligence の技術
Web Intelligenceは、正当なトラフィックを通過させながら、個々の攻撃だけでなく各種の攻撃を
総合的に遮断するチェック•ポイントのステートフル・インスペクション、Application Intelligence、
およびMalicious Code Protector技術をベースにしています。
• Malicious Code Protectorはチェック・ポイントが特許出願中の技術であり、Webサーバおよ
びアプリケーションを狙った悪質なコードを遮断します。データ・ストリーム内の実行コー ドだけでなく、不審な動作も特定することにより、Web通信に潜む悪質な実行可能コードを 検出できます。Malicious Code Protectorはカーネル・ベースで検査されるため、ワイヤ・ス ピードでの高パフォーマンスのセキュリティ保護を実現します。
• Application Intelligenceは、各アプリケーションの動作を詳細に理解したうえで、アプリケー
ション・レベルの攻撃を検出および防御する統合ネットワーク・セキュリティ技術です。
• ステートフル・インスペクションはネットワークに出入りする情報のフローを分析し、セ キュリティに関する意思決定は、通信セッション情報とアプリケーション情報に基づいてリ アルタイムで行われます。これは、複雑なプロトコルを使用した通信であっても、ネット ワークで送受信されるすべての通信の状態とコンテキストをトラッキングすることで実現さ れます。
Web Intelligence と ClusterXL ゲートウェイ・クラスタ
ClusterXLゲートウェイ・クラスタのWeb Intelligence機能は、フェイルオーバーに対応していません。
つまり、ClusterXLがWeb Intelligence保護機能を提供していて、クラスタ・メンバで障害が発生した 場合は、障害が発生したメンバを経由するHTTP接続は失われます。
Web コンテンツの保護
VPN-1は、OPSECパートナーとの連携によるWebコンテンツ・セキュリティを提供します。これ
により、チェック・ポイントのベスト・パートナーのアプリケーションを使用して、URLフィルタ リングとネットワーク・ウイルス保護を実現できます。 詳細については、333ページの「コンテン ツ・セキュリティ」を参照してください。
VPN-1は、セキュリティ・ルール・ベースを使用して設定する、統合されたWebセキュリティ機
能も提供しています。これらには、URLベースの保護機能や、Webサーバ上のXML Webサービス
(SOAP)を保護する機能が含まれます。詳細については、第15章「Webコンテンツの保護」を参 照してください。
カスタマイズ可能なエラー・ページ
Web Intelligenceの多くの保護機能では、閲覧を遮断されたユーザに送信するエラー・ページを管
理者が定義できます(図 7-6を参照)。このページをSmartView Trackerと連動させると、通信が遮 断された理由が分かります。
図 7-6 HTMLのエラー・ページの設定
これにより、攻撃が拡散する前に攻撃をすばやく特定して排除できます。セキュリティ管理者は、
ユーザが認識する前に問題を修正できます。ユーザが最初に問題に気づいた場合は、ヘルプ・デス クに連絡できます。また、ユーザが自分で問題を解決する方法について、Webページから情報を得 ることもできます。これにより、多忙なサポート・スタッフの負担を大幅に軽減できます。
管理者はページをカスタマイズして、テキストやロゴを含めることができます。接続が遮断された 理由は、エラー・ページに表示される2つのID(拒否IDとエラーID)から特定できます。
拒否 ID
エラー・ページに示される拒否IDは、攻撃者に知られずに管理者に情報を知らせるためのものです。
拒否IDは、拒否された接続ごとに一意です。拒否IDはSmartView Trackerにも示されるので、管理者 はエラーと特定の通信のログ記録を関連付けることができます。ログには、「Cross site scripting
detected(クロス・サイト・スクリプティングが検出されました)」などの攻撃情報も記録されます。
エラー ID
エラーIDは攻撃を特定するための標準IDで、SmartView Trackerのログに示されます。このIDから、
該当する攻撃のソリューションをSecureKnowledgeで検索できます。たとえば、SmartView Tracker のログに「WSE0030002 cross site scripting detected in request」という情報が記録されていると します。この場合は、WSE0030002がエラーIDです。SecureKnowledgeでこのIDを検索すると、
この攻撃に関する情報を参照できます。
管理者は、エラーIDをエラー・ページに表示するかどうかを指定できます。攻撃者によって誤用さ れる恐れがあるため、この情報を表示しないことをお勧めします。
接続性とセキュリティの考慮事項
Web Intelligenceでは、接続性を下げてWebサーバのセキュリティを高めることも、セキュリティを
低くして接続性を高めることもできます。
注: エラー・ページをアクティブにすると、この機能が適用されたWebトラフィックの
パフォーマンスは低下します。
Monitor-Only モード
Web Intelligenceのすべての保護機能にはMonitor-Onlyモードがあります。このモードを使用する
と、Web Intelligenceが危険であると検出したトラフィック・ログを検証して、保護機能が接続性
にどのような影響を与えるかを判断できます。この一連の処理はすべて、トラフィック・フローを 阻害せずに実行できます。
特定のサーバに対する保護
Web Intelligenceのすべての保護機能を特定のWebサーバに対して有効にできます。特定のWeb
サーバに対する保護機能で問題が発生した場合には、そのWebサーバに対する保護機能をオフにで きます。
設定可能なセキュリティ・レベル
一部の高度な保護(Cross Site Scripting、Command Injection、SQL Injection、およびMalicious
Code Protector)では、セキュリティ・レベルを設定できます。特定のWebサーバで通信の問題が
発生した場合は、そのWebサーバのセキュリティ・レベルを下げることができます。
特定の保護機能が接続に与える影響
HTTPプロトコル・インスペクションの設定が厳密すぎると、有効なWebサーバとの接続に障害が 発生する可能性があります。
• [HTTP Format sizes]はURLの長さ、ヘッダの長さ、またはヘッダの数を制約します。これ らの要素は、WebサーバへのDoS攻撃(サービス妨害攻撃)の実行で悪用される可能性があ るため、この機能を設定することをお勧めします。 同時に、設定が厳しすぎると有効なサイト を遮断してしまう可能性があります。接続の問題を解決するには、この保護機能を特定の Webサーバにだけ適用します。
• [ASCII only Request Header]は、URLでASCII以外の文字が使用されているWebページへ の接続を遮断します。接続の問題を解決するには、この保護機能を特定のWebサーバにだけ 適用します。
[HTTP methods]を使用する場合、一部の標準HTTPメソッドおよび非標準のHTTPメソッドは、
Webサーバの脆弱性を悪用するために利用されるので安全ではありません。たとえば、Microsoft
WebDAVメソッド(Outlook ExpressがHotmailにアクセスするために使用)にはセキュリティ上
の問題がありますが、遮断すると重要なアプリケーションを使用できなくなります。通信の問題を 解決するには、この機能を特定のWebサーバにだけ適用します。
Web セキュリティのパフォーマンスについての考慮事項
このセクションの構成
カーネルとセキュリティ・サーバで実施される保護機能
Web Intelligenceは、Webサーバに対してさまざまなセキュリティ機能を提供します。すべてのWeb
Intelligence機能はカーネルの検査モジュールで実施されているので、非常に高いパフォーマンスが
得られます。
VPN-1は、Web Intelligence機能を必要としない、多くのWebセキュリティ機能を提供します。こ
れらの機能はHTTPセキュリティ・サーバを利用します。HTTPセキュリティ・サーバによるパ フォーマンスは、カーネルによるパフォーマンスほど高くありません。これらの機能は、URIリ ソースを定義し、セキュリティ・ルール・ベースで使用することによって使用可能になります。
表 7-2にそれらの機能を示します。
カーネルとセキュリティ・サーバで実施される保護機能 197ページ 保護機能のパフォーマンスを高くした場合のオーバーヘッド 198ページ 許可される同時HTTP接続数の調整 198ページ
表 7-2 Web Intelligence機能を必要としないWebセキュリティ機能
Webセキュリティ機能 以下を参照してください。
ウイルス対策保護のためのCVPサーバとの 統合
339ページの「ウイルス対策と悪意のある コンテンツ保護用のCVPサーバ」
高度なセキュリティ・チェックによる
(UFPサーバ経由の)URLフィルタリング
342ページの「URLフィルタリングを使用 したWeb利用者の制限」
発信元および宛先別のURLベース攻撃の遮断 373ページの「発信元と宛先別のURL、方式、
およびメソッドのフィルタリング」
制限されたサイト・リストの統合URL フィルタリング
374ページの「基本的URLフィルタリング」
HTMLタグの除外: スクリプト・タグ、
アプレット・タグ、ActiveX、FTPリンク、
およびポート文字列の削除
375ページの「JavaとActiveXセキュリティ」
HTTP応答のスキャン: Javaコードの ブロック
375ページの「JavaとActiveXセキュリティ」
XML Webサービス(SOAP)の保護 376ページの「XML Webサービス(SOAP)
のセキュリティ」