スライド 1

今、なぜWEBアプリケーション

ファイアウォールが必要なのでしょう？

F5ネットワークスジャパン株式会社

シニアソリューションマーケティングマネージャ

帆士 敏博

アノニマスとは？

国際的なハッカー集団であり、その構成員は世界中にいるといわれている。

正確な人数は明らかになっていないが、1000名程度と予想されている。

DDoS攻撃/クラッキングといった行為を繰り返す。

攻撃事例：チュニジア政府 / WikiLeaks /PayPal / MasterCard / SONY

2011年セキュリティインシデントマップ

誤った投資

ネットワークレベルの脅威

アプリケーションレベルの脅威

セキュリティ対策の投資の

90%が集中

75%のセキュリティ攻撃が

狙うレイヤ

Source: Gartner

90％の投資はネットワークが対象。

しかし、攻撃の75%はアプリケーションを狙っている。

誤解。

｢IDS/IPSがあれば、アプリケーションへの攻撃は

防御できる｣

出典：｢NRIセキュアテクノロジーズ サイバーセキュリティ傾向分析レポート 2011｣

※1,572,652件

の54%はIDS

では検知でき

なかった。

現在の対策の課題について

ネットワークセキュリティはアプリケーションへの攻撃に対して無力

•

ハッカーによる侵入で使われる手口は、従来のファイア

ウォールでは防げない

•

日本企業のネットワークインフラの多くは、アプリケーショ

ンセキュリティへの投資が適切にされていない。

従来のFW

WAF

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

4. 事例

セキュリティ

可用性・信頼性

パフォーマンス

コンテキスト

• EPチェック

• アプリケーション

ロジック

• 認証連携

拡張/迅速/柔軟

• オンデマンド

• プログラマブル

• 認証基盤連携

統合化

• デバイス

• マルチレイヤ

• 管理フレーム

ワーク

コミュニティ

• DevCentral

ネットワーク上に統合化セキュリティコントロールポイントを配置

アプリケーション視点のユニファイド・セキュリティ・コントロール

アクセス

環境

ユーザ属性

ロケーション

デバイス多様化

新しい脅威

アプリケーション

の利用形態

アプリケーションロジック

アプリケーション分散化

プライベート パブリック

アプリケーション

環境

-

+

-

+

認証

強固なセキュリティ

・セキュリティ低下

・ポリシー分散

・コンテキスト : 低

・迅速性 : 低

・コスト : 高

ユニファイドセキュリティ

・再利用性が高い

・セキュリティ : 高い

・統合化

・コンテキストの理解

・素早い対応

・コスト : 低

特徴1.

フルプロキシ・アーキテクチャ

アプリケーションデータ

MACアドレス

（スイッチング）

IPアドレス

（ルーティング）

ポート番号

（L4負荷分散）

アプリケーションヘッダ

（L7負荷分散）

ディープパケットインスペクション

L2

L3

L4

L7

フルプロキシ

TMOS

驚異的なパフォーマンス

全てのトラフィックを管理

特徴1

アプリケーション・フル・プロキシだから実現できる例

機密情報の流出を防ぐ(データガード機能)

データの可視化が有効。情報流出の発生時の解析/説明。

悪意のあるユーザ

個人情報

クレジットカード : 4541-9096-0953-NNNN

メールアドレス: [email protected]

住所：〒107-0052

アプリケーション

IP

TCP

SSL

_ヘッダ

HTTP

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.f5.comTR/html4/frameset.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS"> <meta name="keywords" content=“f5.com"> <meta name="description" content="hidetox"> <title>[email protected]</title> <style> h1#title { padding-left: 45px; background: left url……… <4541-9096-0953-NNNN>……. </body> </html>

Scale

N

TMOS

特徴 2. 統合

TMOS上にアプリケーションに必要なサービスを統

合

LTM

GTM

ASM

APM

WOM

WAM

冗長化、

セキュリティ

セキュリティ

高速化

iControl

iRules

ネットワークサービス

を構成するプラグ型

モジュール

サービスを提供する為

のプラットフォーム

CLI

GUI

iApps

製品名

ソリューション

主な機能

LTM (Local Traffic Manager)

サイト内サーバ負荷分散

_{ファイアウォール}

、

ネットワーク

各種負荷分散技術

GTM (Global Traffic Manager)

データセンタ間負荷分散

広域負荷分散、_{DNS強化、DNSセキュリティ}

ASM (Application Security Manager)

Web アプリケーションファイアウォール

L7の外部脅威対策

APM (Access Policy Manager)

セキュアリモートアクセス

アクセス管理、SSL-VPNリモートアクセス

WOM (WAN Optimization Module)

WANトラフィック最適化

データセンタ間WAN最適化

ネットワーク

ファイアウォール

DDOS攻撃

対策

WEB APP

FIREWALL

負荷分散・トフ

ラフィック管理

アクセス管理

_DNS

セキュリティ

特徴 2.統合

従来型のセキュリティコンセプトからの変革

L3~L7、アプリケーションレイヤをインスペクション

セキュリティデバイスを統合してコストを削減

高信頼/ハイパフォーマンスの

プラットフォーム製品ラインナップ

400k L7 RPS 175K L4 CPS 4G L7/L4 TPUT BIG-IP 3900 600k L7 RPS 220K L4 CPS 6G L7/L4 TPUT BIG-IP 6900 , 6900F , 6900S BIG-IP 8900 , 8900F , 8950 , 8950S 最大1.9M L7 RPS 最大800K L4 CPS 最大20G TPUT BIG-IP 11000 , 11000F , 11050 , 11050F 2.5M L7 RPS 1M L4 CPS 最大42G TPUT 100k L7 RPS 60K L4 CPS 1G L7/L4 TPUT BIG-IP 1600 _{115K L4 CPS} 135k L7 RPS 2G L7/L4 TPUT BIG-IP 3600 VIPRION 2400 1M - 4M L7 RPS 400K - 1.6M L4 CPS 18G - 72G/40G - 160G L7/L4 TPUT

VIPRION 4400

1.6M - 6.4M L7 RPS 700K - 2.8M L4 CPS 18G - 72G L7/L4 TPUT

1G TPUT

200M TPUT

1ブレード

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

4. 事例

公開Webサーバ

（Eコマース・オンラインサービス）

セキュア・プログラミング

バッファ・オーバーフロー

クロスサイト・スクリプティング

SQL/OSインジェクション

Cookieの改ざん

隠しフィールドの操作

パラメータの改ざん

口座番号・暗証番号

クレジットカード番号、有効期限

WebサイトのログインID/パスワード

BIG-IP Application Security Manager

Webアプリケーションの脆弱性に対する総合的な保護を提供（L3-L7）

■従来のWAFでは認識されない攻撃を阻止

1. ADCへアドオン（オンデマンドWAF拡張）を提供

2. 全てのアプリケーション・トラフィックのログとレポートを作成

3. 高い運用管理性

BIG-IP ASMと他社製品と比較した場合の特徴

機能

F5

Barracuda Breach

Citrix

Imperva

シグネチャベースのセキュリティ







X



ポリシーベースのセキュリティ











新しいシグネチャ用のステージング機能



_X

_X

_X

_X

コンテンツ（文字列）正規化





_X

_X

_X

事前定義されたポリシー



_X

_X





XMLスキーマ検証



X

X



X

脆弱性スキャナとの統合



X

X

X



単一ユニットにおけるデータセンター

レベルセキュリティ



X

X

X

X

URIの監視によるサーバ遅延の確認



X

X

X

X

Cookieポイズニング











暗号化された

_{Cookieサポート}



_X

_X

_X

_X

レートシェーピング





_X

_X

_X

ダイナミック・パラメータ保護





_X





レイヤ

_{7 DoS攻撃の防御}



_X

_X

_X

_X

ブルートフォース攻撃の防御





_X

_X

_X

アクセラレーションとセキュリティの統合



_X

_X

_X

_X

誤検知(F/P)への対応 シグネチャのステージング

•

シグネチャを有効活用するためには、フォルスポジティブを防ぐことが必須

•

このような状況下において、シグネチャはノンブロッキングモードで運用される

•

シグネチャのステージングは、ステージング後すぐにフォルスポジティブが発生する

iRules

「ゼロデイ」攻撃への対応 Apache Killer

Range:

bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8, …

when HTTP_REQUEST {

if { [HTTP::header exists "Range"] and ([HTTP::header "Range"] matches_regex {(,.*?){40,}}) } {

log local0. "## Range attack CVE-2011-3192 detected from [IP::client_addr] on Host [HTTP::host].

[llength [split [HTTP::header "Range"], ","]] ranges requested."

HTTP::header remove Range

return

}

}

Apache Killerの際は、F5は3時間程度で対策を

コミュニティーサイトのDevCenにアップデート。

Apache側は1週間以上かかった。

iRules等を利用することにより即時性の高いソリューション

を提供可能。

双方向のログによる可視化が重要

BIG-IPはWebアプリの全ての情報をログ出力

悪意のあるユーザ

アプリケーション

BIG-IP

Log(CEF)

BIG-IPが対応する

攻撃の種類と比較表

Attack BIG-IP v11.0 A社 B社 C社

IP Attacks Teardrop LTM Y Y Y IP Fragment LTM Y Y N ICMP Attacks ICMP Flood LTM Y Y Y ICMP Fragmentation LTM Y Y Y Ping Flood LTM Y Y Y Smurf Attack LTM Y N Y TCP attacks SYN Flood LTM Y Y Y SYN-ACK Flood LTM Y Y Y ACK and PUSH-ACK Flood LTM Y Y Y Fragmented ACK LTM Y Y Y RST or FIN flood LTM Y Y Y Synonymous IP (Land Attack) LTM Y Y Y Fake Session LTM Y Y Y TCP Session LTM Y Y Y Redirected Traffic LTM/ASM N N N

HTTP attacks

HTTP Fragmentation LTM/ASM N N N Excessive GET/POST ASM N N N Multiple Methods Single Request ASM N N N Recursive GET (Web scraping) ASM N N N Slowloris LTM/ASM N N N UDP attacks UDP Flood LTM Y Y Y UDP Fragmentation LTM Y Y Y DNS Attacks DNS Flood GTM N N N DNS Amplification Attack GTM N N N Application Attacks VoIP Flood Y N N N

Faulty Application ASM N N N

XML DoS ASM N N N

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果

本当にBIG-IP ASMは攻撃をブロックできるのか？

実際に攻撃をしてテストを実施してみました。

×

×

BIG-IP ASM

Webアプリに特化した攻撃

138種類の攻撃を検証

2012年 8/21 3社で検証実施

ハードウェア

BIG-IP 3600

BIG-IP TMOS ver.

v11.2.0 Build 2451.0 Hotfix HF1

使用ライセンス

LTM+ ASM

シグネチャバージョン

07/25/2012 09:56 リリース版

シグネチャ適用数

2132個(All signatures)

ASM設定

シグネチャ検知によるブラックリスト方式のみ

LTM設定

デフォルト設定（VS×1, Pool member×1）

BIG-IP ASMの設定はシグネチャのみの簡易的なセキュリティレベルの設定

テスト結果

Breaking Point - 攻撃カテゴリ ASM設定

ASM

検知

率

Breakin

gPoint

攻撃送

信数

ASM

検知

ASM未検知

備考

Exploits: Web Application Command

Execution

_All

signatures

を使った

Blocking

設定

96%

138

132

6

Webへの主要な攻撃

タイプに対して、

138件中6件が通過。

Exploits: Web Application SQL

Injection

Exploits: Web Application Directory

Traversal

Exploits: Web Application Cross-Site

Scripting

HTTP

ブロック率 96%

設定変更により最終的には100%の攻撃をブロックできた。

BPS攻撃パターン名

BPS送信リクエスト

CS Chat-r-box

csChatRBox.cgi setup

Parameter Code

Execution

サードベンダー製ウェブアプリ

ケーション固有の脆弱性を突く攻撃

GET

/cgi-bin/csChatRBox.cgi?command=SAvesEtup&setup=print%20%22Breaking

Point%20Systems%22%3b HTTP/1.1

Host: hucUyeLXWxQViqXNjEOW

User-Agent: msnbot/1.1 (+http://search.msn.com/msnbot.htm)

Accept: */*

Connection: keep-alive

- 最初 ブロックできなかった6件の攻撃は全てアプリ特有の攻撃(サンプル)

もう一つのトライアル：IDS/IPSは不要なのか？

結果、検知率は70%であった。

- ASMは、OSレイヤの攻撃の防御としては物足りない。

- IDS/IPSではWebアプリの攻撃対策としては使えない。

オープンソースのIDSであるSnortに対して同一内容のWeb

アプリケーション系攻撃を実施した際、その検知率はわずか19%だった。

IDS/IPSで十分だと誤解されているケースが多いが、Webアプリの攻撃

にはWAFが必須

BIG-IP ASM

OS～アプリケーションまで

412種類の攻撃を検証

(参考)結果の詳細分析とコメント

•

ASMは、Webアプリ攻撃に効果大。OS、ミドルウェアに

は十分ではない。

BPのテストパターンにApache, IIS等のOS・ミドルウェアに対する攻撃を含んでいる

場合、ASMでの検知率は70%であった。一方テストパターンをWebアプリケーション

に対するインジェクション系の攻撃（XSS, SQL-INJ, OS command-INJ, Directory

Traversal）に絞り込んだところ検知率が96%まで上昇した。この事からASMはOS・

ミドルウェアの上で動作する固有のWebアプリケーションに対する攻撃に高い防御力

を有しているが、OS・ミドルウェアに対する攻撃についても一定の防御力を発揮する

ものの十分ではないという事がわかる。

•

IDS/IPSとBIG-IP ASMは、同じシグネチャマッチングでも

できることは違う。IDS/IPSは、Webアプリ攻撃には十分でない。

IPS/IDSはWebアプリケーションへの防御機能としてHTTPトラフィックのデータペイ

ロード部分のチェックは行うが、WAFの様にHTTPプロトコルの要素（URL、 HTTP

ヘッダ各種、クエリーストリング、POSTパラメータ等）を分解して個々の要素

に対する細かなチューニングは行わない。

参考まで、BreakingPointにてオープンソースのIDSであるSnortに対して同一内容の

Webアプリケーション系攻撃を実施した際、その検知率はわずか19%だった。

(参考)結果の詳細分析とコメント

•

結論

IDS/IPSではWebアプリの攻撃には対応できないことを、テクニ

カルな根拠とテスト結果データを持って証明し、ASMの提案が

できる。

Webアプリケーションの防御はWAFで提供、OS・ミドルウェアの防御はIPS/IDSで提

供、という相互補完の関係であることが確認された。すでにIPS/IDSを導入している

ユーザには、それがWebアプリケーションの防御としては十分ではないという事と、

脆弱性診断等で明らかとなった脆弱性をカバーする為には、柔軟なチューニングを

得意とするWAFが有効である、という認識を広めていく必要性があると考えられる。

Agenda

1. F5ソリューション概要

2. F5 BIG-IP ASMの特徴

3. BreakingPointテスト結果(IDS/IPS比較)

女性向けＥコマースサイト

■背景／要件／課題

－女性向けの紙媒体とメディア連動のＥコマースサイトを提供

－Ｅコマ―ス作成のパッケージを利用してWebアプリを開発

－パッケージのカスタマイズ部分の脆弱性への対処が課題

－個人情報（名前、住所、TEL/FAX、メールアドレス、クレジットカード等）の流出を防ぐ

■選定ポイント

－ 単一アプライアンス： 運用管理コスト削減

ロードバランサーも同じく導入する必要があった

－パフォーマンス比較： 他社のWAFと比較してのパフォーマンスが高い

－システムインテグレータから導入後の運用まで提案があった

■導入効果

－Webアプリケーションのセキュリティとパフォーマンスの向上

－不正アクセス防止と可視化

－ 誤検知への対応が素早く、安定稼働している

■背景／要件／課題

－アプリケーション：証券、為替取引アプリケーション

－機密情報（個人情報：名前・住所・TEL/FAX・メール・取引履歴）を

守る

－アプリケーションのセキュアコーディングによりリリーススケジュール

の遅延が慢性化、コストが高い

－アプリケーションの可用性確保

■選定ポイント(BIG-IP LTM 6900＋ASMモジュール)

－ BIG-IP LTM 6900とASMモジュールを単一アプライアンスで

動作させることにより、機器コスト・管理ポイントの削減

－ ベンダーからの運用管理ソリューション

定期的なポリシーチューニング誤検知、インシデント対応の提案

■導入効果

－アプリケーションリリーススケジュールの迅速化

－機密情報の漏えい対策

－不正アクセスの可視化

グローバル金融グループ

WAFによるアプリケーションリリースの迅速化

海外Webサイトのセキュリティ対策は困難

出典：｢NRIセキュアテクノロジーズ サイバーセキュリティ 傾向分析レポート2012｣

海外拠点Webサイトへの攻撃事例

海外サイトセキュリティ管理の課題

- 66.2％ セキュリティ対策を現地まかせ

- 50.4% 十分な情報セキュリティ推進体制

をとることができない

-55.2％ 情報セキュリティの教育の実施

が難しい

- 48.2％ 文化の違いより情報セキュリティ

対策の実施に手間がかかる

国内サイトと海外サイトの簡易チェック評価

分散アプリのセキュリティポリシーを一元管理(iApps)

して、システマティックに高いセキュリティレベルを確保

アプリケーション

アプリケーション

アプリケーション

アプリケーション

TMOS

セキュリティ ポリシー セキュリティ ポリシー セキュリティ ポリシー セキュリティ ポリシー

新しい脅威

セキュリティ ポリシー セキュリティ ポリシー セキュリティ ポリシー

東京DC

_北米DC

_{ロンドンDC}

セキュリティ ポリシー

TMOS TMOS TMOS TMOS

提案ターゲット

公開アプリケーションかつ機密情報を含むアプリに

提案すれば必ず案件発掘につながる

アプリケーションの価値がユーザにとって高ければ

高いほど、案件化の確率が高い

・金融系トレーディングアプリ

・ゲーム系アプリ

・Eコマース

・政府系アプリ

・B2B公開アプリケーション

まとめ

ターゲットのWebアプリを明確化し提案

IDS/IPSとの違いを明確にし、WAFの価値を訴求

BIG-IP 特徴 :