ADC

署名

Web App Firewall のシグネチャは、既知の攻撃からウェブサイトを保護するタスクを簡素化するための特定の設定可能なルールを提供します。シグニチャは、オペレーティングシステム、Web サーバー、Web サイト、XML ベースの Web サービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された Web App Firewall の組み込みルールまたはネイティブルールが豊富に用意されているため、パターンマッチングの機能を活用して攻撃を検出し、アプリケーションの脆弱性から保護する、使いやすいセキュリティソリューションが提供されます。

独自の署名を作成することも、組み込みのテンプレートで署名を使用することもできます。Web App Firewall には、次の 2 つの組み込みテンプレートがあります。

  • デフォルト署名:このテンプレートには、SQL インジェクションキーワード、SQL 特殊文字列、SQL 変換ルール、SQL ワイルド文字の全リストに加えて、1,300 を超える署名があらかじめ設定されています。また、クロスサイトスクリプティングの拒否パターン、クロスサイトスクリプティングの許可された属性とタグも含まれています。これは読み取り専用テンプレートです。このテンプレートの内容は表示できますが、追加、編集、削除はできません。使用するには、コピーを作成する必要があります。独自のコピーでは、トラフィックに適用するシグニチャルールを有効にし、シグニチャルールがトラフィックと一致したときに実行するアクションを指定できます。

Web App Firewall シグニチャは、 Snortによって公開されているルールから得られます。Snort は、さまざまな攻撃やプローブを検出するためのリアルタイムトラフィック分析を実行できるオープンソースの侵入防御システムです。

  • *Xpath インジェクションパターン:このテンプレートには、XPath (XML Path Language) インジェクション攻撃の検出に使用されるリテラルキーワードと PCRE キーワードと特殊文字列のセットがあらかじめ設定されています。

空白の署名:組み込みの*Default Signatures テンプレートのコピーを作成するほかに、空白の署名テンプレートを使用して署名オブジェクトを作成できます。空白の署名オプションを使用して作成した署名オブジェクトにはネイティブの署名ルールはありませんが、*Default テンプレートと同様に、SQL/クロスサイトスクリプティングの組み込みエンティティがすべて含まれています。

外部形式の署名:Web App Firewall は外部形式の署名もサポートしています。NetScaler Web App FirewallでサポートされているXSLTファイルを使用して、サードパーティのスキャンレポートをインポートできます。次のスキャンツールでは、外部形式のファイルをネイティブ形式に変換するための組み込みXSLTファイルセットを使用できます。

  • センジーク
  • Web アプリ向けの高度なセキュリティ
  • IBM AppScan エンタープライズ
  • IBM AppScan 標準。
  • Qualys
  • Qualys Cloud
  • Whitehat
  • Hewlett Packard Enterprise WebInspect
  • Rapid7 Appspider
  • Acunetix

アプリケーションのセキュリティ保護

セキュリティが厳しくなると、処理のオーバーヘッドが増加します。シグネチャには、アプリケーションの保護を最適化するのに役立つ次のデプロイオプションが用意されています。

  • ネガティブセキュリティモデル:ネガティブセキュリティモデルでは、あらかじめ設定された豊富なシグネチャルールセットを使用してパターンマッチングの機能を適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。望まないものだけブロックしてあとは許可する。アプリケーションの特定のセキュリティニーズに基づいて独自の署名ルールを追加して、独自のカスタマイズされたセキュリティソリューションを設計できます。

  • ハイブリッドセキュリティモデル:シグネチャを使用するだけでなく、ポジティブセキュリティチェックを使用して、アプリケーションに最適な構成を作成できます。署名を使用して不要なものをブロックし、許可されているものを強制する場合は確実なセキュリティチェックを行います。

署名を使用してアプリケーションを保護するには、署名オブジェクトを使用するように 1 つ以上のプロファイルを設定する必要があります。ハイブリッドセキュリティ構成では、署名オブジェクトの SQL インジェクションとクロスサイトスクリプティングパターン、および SQL 変換ルールは、署名ルールだけでなく、署名オブジェクトを使用する Web App Firewall プロファイルで設定されたポジティブセキュリティチェックでも使用されます。

Web App Firewall は、保護対象の Web サイトや Web サービスへのトラフィックを調べ、署名と一致するトラフィックを検出します。一致は、ルール内のすべてのパターンがトラフィックに一致する場合にのみトリガーされます。一致が発生すると、ルールに対して指定されたアクションが呼び出されます。リクエストがブロックされたときに、エラーページまたはエラーオブジェクトを表示できます。ログメッセージは、アプリケーションに対して実行されている攻撃を特定するのに役立ちます。統計を有効にすると、Web App Firewall は Web App Firewall の署名またはセキュリティチェックと一致するリクエストに関するデータを保持します。

トラフィックがシグニチャとポジティブセキュリティチェックの両方に一致する場合、2 つのアクションのうち、より厳しい制限が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致し、アクションがブロックされている SQL Injection ポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。この場合、リクエストは SQL インジェクションチェックによってブロックされても、署名違反が<not blocked>としてログに記録されることがあります。

カスタマイズ:必要に応じて、独自のルールをシグニチャオブジェクトに追加できます。SQL/クロスサイトスクリプティングパターンをカスタマイズすることもできます。アプリケーションの特定のセキュリティニーズに基づいて独自のシグニチャルールを追加するオプションにより、独自のカスタムセキュリティソリューションを柔軟に設計できます。望まないものだけブロックしてあとは許可する。特定の高速一致パターンを指定の場所に配置すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。SQL インジェクションとクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みの正規表現エディターとエクスプレッションエディターにより、パターンを設定してその正確性を検証できます。

自動更新:署名オブジェクトを手動で更新して最新の署名ルールを取得することも、自動更新機能を適用して Web App Firewall がクラウドベースのWeb App Firewall 更新サービスから署名を自動的に更新できるようにすることもできます。

注:

自動更新中に新しいシグニチャルールが追加された場合、それらはデフォルトで無効になります。更新されたシグネチャを定期的に確認し、アプリケーションの保護に関連する新しく追加されたルールを有効にする必要があります。

IIS サーバーで署名をホストするように CORS を設定する必要があります。

NetScaler GUIからURLにアクセスすると、シグネチャ自動更新機能がローカルWebサーバーで動作しません。

使用開始

Citrix の署名を使用してアプリケーションを保護するのは簡単で、いくつかの簡単な手順で実行できます。

  1. 署名オブジェクトを追加します。
  • ウィザードを使用すると、プロファイルとポリシーの追加、署名の選択と有効化、署名とポジティブ・セキュリティ・チェックのアクションの指定など、Web App Firewall 構成全体を作成するように求めるプロンプトが表示されます。署名オブジェクトは自動的に作成されます。
  • *Default Signatures テンプレートから署名オブジェクトのコピーを作成したり、空白のテンプレートを使用して独自のカスタマイズルールで署名を作成したり、外部形式の署名を追加したりできます。ルールを有効にして、適用するアクションを設定します。
  1. このシグニチャオブジェクトを使用するように、ターゲット Web App Firewall プロファイルを設定します。

  2. トラフィックを送信して機能を検証する

ハイライト

  • デフォルト署名オブジェクトはテンプレートです。編集や削除はできません。これを使用するには、コピーを作成する必要があります。独自のコピーで、アプリケーションに必要なルールと各ルールの必要なアクションを有効にできます。アプリケーションを保護するには、この署名を使用するようにターゲットプロファイルを設定する必要があります。
  • 署名パターンの処理にはオーバーヘッドがあります。すべてのシグニチャルールを有効にするのではなく、アプリケーションの保護に該当するシグニチャのみを有効にするようにしてください。
  • シグネチャマッチをトリガーするには、ルール内のすべてのパターンが一致する必要があります。
  • 独自にカスタマイズしたルールを追加して受信リクエストを検査し、SQL インジェクションやクロスサイトスクリプティング攻撃など、さまざまな種類の攻撃を検出できます。また、回答を検査するルールを追加して、クレジットカード番号などの機密情報の漏洩を検出し、ブロックすることもできます。
  • 既存の署名オブジェクトのコピーを作成し、ルールや SQL/クロスサイトスクリプティングパターンを追加または編集して微調整することで、別のアプリケーションを保護できます。
  • 自動更新を使用すると、Web App Firewall のデフォルトルールの最新バージョンをダウンロードできます。新しいアップデートの有無を継続的に監視する必要はありません。
  • 署名オブジェクトは複数のプロファイルで使用できます。署名オブジェクトを使用するように 1 つ以上のプロファイルを設定した後でも、署名を有効または無効にしたり、アクション設定を変更したりできます。独自のカスタム署名ルールを手動で作成および変更できます。変更は、この署名オブジェクトを使用するように現在設定されているすべてのプロファイルに適用されます。
  • シグネチャを設定して、HTML、XML、JSON、GWT などのさまざまなタイプのペイロードの違反を検出できます。
  • 構成済みの署名オブジェクトをエクスポートして別のNetScalerアプライアンスにインポートすると、カスタマイズした署名ルールを簡単に複製できます。

シグネチャは、既知の脆弱性に関連するパターンです。署名保護を使用すると、これらの脆弱性を悪用しようとするトラフィックを特定し、具体的な対策を講じることができます。

署名はカテゴリ別に整理されています。アプリケーションの保護に適したカテゴリ内のルールのみを有効にすることで、パフォーマンスを最適化し、処理のオーバーヘッドを減らすことができます。

署名