Citrix ADC

ファイルアップロードの保護

多くの攻撃者は、マルチフォーム送信中に悪意のあるコード、ウイルス、またはマルウェアを添付ファイルとしてアップロードしようとします。私たちのネットワークを保護し、そのような脅威を克服することが重要です。このような悪意のあるファイルのアップロードを防ぐために、Citrix ADC 管理者は WAF プロファイルで許可される一連のファイルアップロード形式を構成できるようになりました。これにより、ファイルのアップロードを特定の形式に制限し、悪意のあるファイルのアップロードからアプライアンスを保護します。ただし、保護は、WAF プロファイルの「ExcludeFileUploadFormChecks」オプションを無効にする場合にのみ機能します。

ファイルのアップロードの仕組み

許可されるファイルアップロード形式を設定する場合、コンポーネントの相互作用は次のようになります。

  • クライアントリクエストには、ファイルアップロードタイプ(PDF など)のフォーム送信があります。
  • セキュリティチェックの一環として、WAF はリクエストペイロードを検査し、(マジックシグネチャ番号に基づいて)ファイルタイプを検証します。
  • ファイルの種類が許可されるファイル形式の場合、ファイルの種類バインディングに基づく対応するアクションが適用されます。
  • ファイルタイプを検証するために、アプライアンスはペイロードを検査し、既知のオフセットで既知のマジックナンバーをチェックします。各ファイルタイプには、ファイルタイプを検証する一連のマジック番号があります。
  • 検証に合格した場合のみ、WAF はファイルを許可形式として識別し、関連付けられたアクションが適用されます。

Citrix ADC CLIを使用してファイルタイプのアップロードを構成する

許可されるファイル形式を構成するために、アプライアンスはファイルアップロードパラメータにバインドされた WAF プロファイルを使用します。

  1. Web アプリケーションファイアウォールプロファイルの構成

Web アプリケーションのファイアウォールプロファイルを構成するには、次のように入力します。

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

set appfw profile profile1 –fileUploadTypesAction block

  1. Web アプリケーションファイアウォールプロファイルをファイルアップロードパラメータでバインドします。

ファイルアップロードパラメータを使用してプロファイルをバインドするには、次のように入力します。

bind appfw profile <profile_name> - fileUploadType <form_field > <form_action_url> -fileType <fileType> ( pdf | msdoc | text | image | any)

bind appfw profile profile1 -fileuploadType image action_url -fileType image

Citrix ADC GUIを使用してファイルアップロードのセキュリティ保護を構成する

ファイルのアップロード設定は以下の手順で行います。

  1. ナビゲーションペインで、[セキュリティ] > [プロファイル] に移動します。
  2. [プロファイル] ページで、[追加] をクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定]の[セキュリティチェック]をクリックします。
  4. [セキュリティチェック] セクションで、 [ファイルのアップロードの種類] 設定に移動します。

    ファイルアップロードのセキュリティ設定の構成

  5. チェックボックスをオンにして、[アクションの設定] をクリックします。
  6. ファイルアップロードタイプ設定 」ページで、ファイルアップロードアクションを設定します。
  7. [OK] をクリックします。
  8. Citrix Web App Firewall プロファイル]ページで、[OK]をクリックし、[完了] をクリックします。

    ファイルアップロードのセキュリティ設定の構成

Citrix ADC GUIを使用してファイルアップロード緩和ルールを構成する

ファイルアップロードのセキュリティ保護を緩和して、誤検出を回避できます。たとえば、アプライアンスはファイルのアップロードをブロックしますが、緩和ルールを追加して、特定の Web サイトからのファイルのアップロードを許可できます。これにより、アプライアンスは指定されたフォームフィールドのセキュリティ検査をバイパスし、ユーザーがアクション URL に記載されている Web サイトからファイルをアップロードできるようにします。

緩和ルールを作成するには、以下の手順に従います。

  1. ナビゲーションペインで、[セキュリティ]> [Citrix Web App Firewall]< プロファイルに移動します。
  2. [プロファイル] ページで、[追加] をクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定]の下の[リラクゼーションルール]をクリックします。
  4. 緩和ルール 」セクションで、「 ファイル」「アップロードタイプ 」を選択し、「 編集」をクリックします。

    ファイルアップロードのセキュリティ設定の構成

  5. [ファイルのアップロードの種類変更ルール] ページで、[追加] をクリックします。
  6. ファイルのアップロードの種類」緩和ルール ページで、次のパラメータを設定します。

    1. Enabled. 緩和ルールを有効にするには、このチェックボックスをオンにします。
    2. [フォームフィールド名]: セキュリティチェックを必要としないフィールド名を入力します。
    3. アクションの URL。セキュリティチェックから除外する必要があるフォーム送信 URL。
    4. [ファイルタイプ]: ユーザーがアップロードできるようにする必要があるファイルタイプ。
    5. コメント。ファイルのアップロードに関する簡単な説明。
  7. [作成] をクリックします。

    ファイルアップロードのセキュリティ設定の構成

  8. Citrix Web App Firewall プロファイル]ページで、[OK]をクリックし、[完了] をクリックします。

    ファイルアップロードのセキュリティ設定の構成