ADC

署名

Web App Firewall シグネチャは、特定の設定可能なルールを提供し、既知の攻撃からウェブサイトを保護するタスクを簡素化します。シグニチャは、オペレーティングシステム、Web サーバー、Web サイト、XML ベースの Web サービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された Web App Firewall の組み込みルールまたはネイティブルールの豊富なセットは、使いやすいセキュリティソリューションを提供し、パターンマッチングのパワーを適用して攻撃を検出し、アプリケーションの脆弱性から保護します。

独自の署名を作成することも、組み込みテンプレートで署名を使用することもできます。Web App Firewall には、次の 2 つの組み込みテンプレートがあります。

  • デフォルトシグニチャ:このテンプレートには、SQL インジェクションキーワード、SQL 特殊文字列、SQL 変換ルール、および SQL ワイルドカード文字の完全なリストに加えて、1,300 を超えるシグニチャの事前設定済みリストが含まれています。また、クロスサイトスクリプティングの拒否パターン、クロスサイトスクリプティングの許可された属性とタグも含まれています。これは読み取り専用テンプレートです。コンテンツは表示できますが、このテンプレート内のものは追加、編集、削除できません。それを使用するには、コピーを作成する必要があります。独自のコピーでは、トラフィックに適用するシグニチャルールを有効にし、シグニチャルールがトラフィックと一致したときに実行するアクションを指定できます。

Web App Firewall シグニチャは、 Snortによって公開されているルールから得られます。Snort は、さまざまな攻撃やプローブを検出するためのリアルタイムトラフィック分析を実行できるオープンソースの侵入防御システムです。

  • *Xpath インジェクションパターン: このテンプレートには、事前設定されたリテラルキーワードと PCRE キーワードと、XPath (XML パス言語) インジェクション攻撃を検出するために使用される特別な文字列のセットが含まれています。

空白の署名:組み込みの*Default Signatures テンプレートのコピーを作成する以外に、空白の署名テンプレートを使用して署名オブジェクトを作成できます。空白の署名オプションを使用して作成する署名オブジェクトには、ネイティブの署名ルールはありませんが、 *Default テンプレート、それはすべてを持っています SQL/cross-site 組み込みエンティティのスクリプト。

外部フォーマット署名: Web App Firewall は、外部フォーマット署名もサポートしています。Citrix Web App Firewall でサポートされているXSLTファイルを使用して、サードパーティのスキャンレポートをインポートできます。外部形式ファイルをネイティブ形式に変換する次のスキャンツールには、組み込みの XSLT ファイルのセットが用意されています。

  • Cenzic
  • Web アプリケーション向けの高度なセキュリティ
  • IBMアプリスキャン・エンタープライズ
  • IBM アプリスキャンの標準。
  • Qualys
  • Qualys Cloud
  • Whitehat
  • Hewlett Packard Enterprise WebInspect
  • ラピッド7アプリスパイダー
  • アクニティックス

アプリケーションのセキュリティ保護

セキュリティが厳しくなると、処理オーバーヘッドが増加します。署名には、アプリケーションの保護を最適化するのに役立つ次の展開オプションがあります。

  • ネガティブセキュリティモデル: ネガティブセキュリティモデルでは、事前設定された豊富なシグニチャルールを使用して、パターンマッチングのパワーを適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。あなたは望ましくないものだけをブロックし、残りを許可します。アプリケーションの特定のセキュリティニーズに基づいて、独自のシグネチャルールを追加して、独自のカスタムセキュリティソリューションを設計できます。

  • ハイブリッドセキュリティモデル: 署名の使用に加えて、ポジティブセキュリティチェックを使用して、アプリケーションに最適な構成を作成できます。署名を使用して不要なものをブロックし、肯定的なセキュリティチェックを使用して許可されているものを強制します。

署名を使用してアプリケーションを保護するには、署名オブジェクトを使用するように 1 つ以上のプロファイルを設定する必要があります。ハイブリッドセキュリティ構成では、シグネチャオブジェクト内の SQL インジェクションとクロスサイトスクリプティングパターン、および SQL 変換ルールは、シグネチャルールだけでなく、シグネチャオブジェクトを使用している Web App Firewall プロファイルに構成されたポジティブセキュリティチェックによっても使用されます。

Web App Firewall は、保護された Web サイトおよび Web サービスへのトラフィックを調べ、署名と一致するトラフィックを検出します。一致は、ルール内のすべてのパターンがトラフィックに一致する場合にのみトリガーされます。一致が発生すると、ルールに対して指定されたアクションが呼び出されます。リクエストがブロックされると、エラーページまたはエラーオブジェクトを表示できます。ログメッセージは、アプリケーションに対して起動された攻撃を識別するのに役立ちます。統計を有効にすると、Web App ファイアウォールは、Web App Firewall 署名またはセキュリティチェックに一致するリクエストに関するデータを保持します。

トラフィックがシグニチャとポジティブセキュリティチェックの両方に一致する場合、2 つのアクションのうち、より厳しい制限が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致し、アクションがブロックされている SQL Injection ポジティブセキュリティチェックにも一致する場合、リクエストはブロックされます。この場合、署名違反は<not blocked>としてログに記録されますが、要求は SQL インジェクションチェックによってブロックされます。

カスタマイズ:必要に応じて、独自のルールをシグネチャオブジェクトに追加できます。カスタマイズすることもできます SQL/cross-site スクリプトパターン。アプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションを使用すると、独自のカスタムセキュリティソリューションを柔軟に設計できます。あなたは望ましくないものだけをブロックし、残りを許可します。特定の場所で特定の高速一致パターンを使用すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。SQL インジェクションおよびクロスサイトスクリプティングパターンは、追加、変更、または削除できます。組み込みの RegEx エディタと式エディタは、パターンを設定し、その精度を確認するのに役立ちます。

自動更新: 署名オブジェクトを手動で更新して最新の署名ルールを取得するか、Web App Firewall がクラウドベースの Web App Firewall 更新サービスから署名を自動的に更新できるように自動更新機能を適用できます。

注:

自動更新中に新しいシグニチャルールが追加されると、デフォルトで無効になります。更新された署名を定期的に確認し、アプリケーションの保護に関連する新しく追加されたルールを有効にする必要があります。

IIS サーバーで署名をホストするように CORS を構成する必要があります。

Citrix ADC GUIからURLにアクセスすると、ローカルのWebサーバーでは署名の自動更新機能が機能しません。

はじめに

Citrix 署名を使用してアプリケーションを保護するのは簡単で、いくつかの簡単な手順で実行できます。

  1. シグネチャオブジェクトを追加します。
  • ウィザードを使用すると、プロファイルおよびポリシーの追加、署名の選択と有効化、署名と肯定的セキュリティチェックに対するアクションの指定など、Web App Firewall 設定全体を作成するように求められます。署名オブジェクトが自動的に作成されます。
  • *Default Signatures テンプレートから署名オブジェクトのコピーを作成するか、空のテンプレートを使用して独自のカスタマイズされたルールで署名を作成するか、外部形式署名を追加できます。ルールを有効にし、適用するアクションを設定します。
  1. このシグニチャオブジェクトを使用するように、ターゲット Web App Firewall プロファイルを設定します。

  2. トラフィックを送信して機能を検証する

ハイライト

  • デフォルトシグニチャオブジェクトはテンプレートです。編集や削除はできません。これを使用するには、コピーを作成する必要があります。独自のコピーでは、アプリケーションに必要なルールと各ルールに対して必要なアクションを有効にできます。アプリケーションを保護するには、このシグニチャを使用するようにターゲットプロファイルを設定する必要があります。
  • シグニチャパターンの処理にはオーバーヘッドがあります。すべてのシグニチャルールを有効にするのではなく、アプリケーションの保護に適用可能なシグニチャのみを有効にしてください。
  • シグニチャの一致をトリガーするには、ルール内のすべてのパターンが一致する必要があります。
  • 独自のカスタマイズされたルールを追加して、着信要求を検査し、SQL インジェクション攻撃やクロスサイトスクリプティング攻撃など、さまざまな種類の攻撃を検出できます。また、応答を検査するルールを追加して、クレジットカード番号などの機密情報の漏洩を検出してブロックすることもできます。
  • ルールを追加または編集して、既存の署名オブジェクトのコピーを作成し、微調整することができます。 SQL/cross-site 別のアプリケーションを保護するためのスクリプトパターン。
  • 自動更新を使用すると、Web App Firewall の既定の規則の最新バージョンをダウンロードできます。新しい更新プログラムの可用性を確認するための継続的な監視は必要ありません。
  • シグニチャオブジェクトは、複数のプロファイルで使用できます。シグニチャオブジェクトを使用するように 1 つ以上のプロファイルを設定した後でも、シグニチャを有効または無効にしたり、アクション設定を変更したりできます。独自のカスタムシグニチャルールを手動で作成および変更できます。変更は、このシグニチャオブジェクトを使用するように現在設定されているすべてのプロファイルに適用されます。
  • HTML、XML、JSON、GWT など、さまざまなタイプのペイロードで違反を検出するようにシグニチャを設定できます。
  • 構成済みの署名オブジェクトをエクスポートし、別のCitrix ADCアプライアンスにインポートして、カスタマイズした署名ルールを簡単に複製できます。

シグニチャは、既知の脆弱性に関連付けられているパターンです。シグニチャ保護を使用して、これらの脆弱性を悪用しようとするトラフィックを特定し、特定のアクションを実行できます。

シグニチャはカテゴリに分類されます。アプリケーションの保護に適したカテゴリ内のルールのみを有効にすることで、パフォーマンスを最適化し、処理のオーバーヘッドを減らすことができます。

署名