Citrix ADC

ボット検出

Citrix ADCボット管理システムでは、6つの異なる手法を使用して、着信ボットトラフィックを検出します。この手法は、ボットタイプを検出するための検出ルールとして使用されます。テクニックは、ボット許可リスト、ボットブロックリスト、IPレピュテーション、デバイスフィンガープリント、レート制限、ボットトラップ、TPS、およびCAPTCHAです。

注:

ボット管理では、ブロックリスト、許可リスト、およびレート制限技術について、最大 32 個の構成エンティティがサポートされます。

ボットホワイトリスト。許可リストとしてバイパスできる IP アドレス、サブネット、およびポリシー式のカスタマイズされたリスト。

ボットブラックリスト。Web アプリケーションへのアクセスをブロックする必要のある IP アドレス、サブネット、およびポリシー式のカスタマイズされたリスト。

IP レピュテーション。このルールは、着信ボットトラフィックが悪意のある IP アドレスからのものかどうかを検出します。

デバイスのフィンガープリント。このルールは、着信ボットトラフィックが着信リクエストヘッダーにデバイスフィンガープリント ID を持ち、着信クライアントボットトラフィックのブラウザ属性があるかどうかを検出します。

制限事項:

  1. クライアントブラウザで JavaScript を有効にする必要があります。
  2. ヘッドレスブラウザではサポートされません。
  3. XML 応答では機能しません。

レート制限。このルールレートでは、同じクライアントからの複数の要求が制限されます。

botトラップかクライアントの応答にトラップ URL をアドバタイズすることで、自動ボットを検出してブロックします。クライアントが人間のユーザーの場合、URL は見えず、アクセスできません。この検出技術は、自動ボットからの攻撃を阻止するのに有効です。

TPSかリクエストの最大数とリクエストの増加率が設定された時間間隔を超えた場合、着信トラフィックをボットとして検出します。

CAPTCHA. このルールでは、CAPTCHA を使用してボット攻撃を緩和します。CAPTCHA は、着信トラフィックが人間のユーザーからのものか自動ボットからのものかを判断するためのチャレンジ/レスポンスの検証です。検証は、Web アプリケーションにセキュリティ違反を引き起こす自動ボットをブロックするのに役立ちます。IP レピュテーションおよびデバイスフィンガープリント検出技術では、CAPTCHA をボットアクションとして設定できます。

さて、ボットのトラフィックを検出して管理するための各テクニックを設定する方法を見てみましょう。

Citrix ADC CLI ベースのボット管理構成にアップグレードする方法

アプライアンスをCitrix ADC CLI ベースのボット管理構成にアップグレードするには、以下の手順を実行する必要があります。

  1. 既存の Bot シグネチャのバックアップ

コマンドプロンプトで、次のように入力します。

create system backup [<fileName>] -comment <string>

  1. ボットプロファイルからのボット署名の設定解除

コマンドプロンプトで、次のように入力します。

unset bot profile <profile_name> -signature

  1. ボット署名ファイルの削除

コマンドプロンプトで、次のように入力します。

rm bot signature <signature_file_name>

  1. 構成の保存

コマンドプロンプトで、次のように入力します。

save ns config

コマンドプロンプトで、次のように入力します。

save ns config

Citrix ADC CLI ベースのボット管理を構成する

ボット管理設定を使用すると、1 つ以上のボット検出技術を特定のボットプロファイルにバインドできます。アプライアンスでボット管理機能を有効にしてプロセスを開始します。有効にすると、ボット署名ファイルをアプライアンスにインポートします。インポート後、ボットプロファイルを作成する必要があります。次に、ボットプロファイルをバインドしてボットポリシーを作成し、着信トラフィックをボットとして評価し、ポリシーをグローバルまたは仮想サーバーにバインドします。

注:

アプライアンスを古いバージョンからアップグレードする場合は、まず既存のボット管理構成をCitrix ADC CLIベースのボット管理構成に手動で変換する必要があります。詳細については、「アプライアンスを Citrix ADC CLIベースのボット管理構成 にアップグレードする」を参照してください。

Citrix ADCベースのボット管理を構成するには、以下の手順を実行する必要があります。

  1. ボット管理を有効にする
  2. ボット署名のインポート
  3. ボットプロファイルの追加
  4. ボットプロファイルのバインド
  5. ボットポリシーの追加
  6. ボットポリシーをバインド
  7. ボット設定の構成

ボット管理を有効にする

開始する前に、アプライアンスで Bot Management 機能が有効になっていることを確認します。新しいCitrix ADCまたはVPXをお持ちの場合は、構成する前にこの機能を有効にする必要があります。Citrix ADCまたはVPXアプライアンスを以前のバージョンのCitrix ADCソフトウェアバージョンから現在のバージョンにアップグレードする場合は、構成する前にこの機能を有効にする必要があります。コマンドプロンプトで、次のように入力します。

enable ns feature Bot

ボット署名のインポート

デフォルトの署名ボットファイルをインポートし、ボットプロファイルにバインドする必要があります。コマンドプロンプトで、次のように入力します。

import bot signature [<src>] <name> [-comment <string>] [-overwrite]

ここで、 src。インポートしたシグニチャファイルを保存するファイルのローカルパスと名前、または URL(プロトコル、ホスト、パス、ファイル名)。注:インポートするオブジェクトが、アクセスにクライアント証明書認証を必要とする HTTPS サーバー上にある場合、インポートは失敗します。最大長:2047 名。Citrix ADC上のボット署名ファイルオブジェクトに割り当てる名前。これは必須の引数です。最大長:31 コメント. シグニチャファイルオブジェクトに関する情報を保持するコメント。最大長さ:255。 上書き。既存のファイルを上書きします。 注:署名ファイルの内容を更新するには、上書きオプションを使用します。または、update bot signature <name> コマンドを使用して、Citrix ADCアプライアンスの署名ファイルを更新します。

import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite

注:

上書きオプションを使用して、署名ファイル内のコンテンツを更新できます。また、update bot signature <name> コマンドを使用して、Citrix ADCアプライアンスの署名ファイルを更新することもできます。

ボットプロファイルの追加

ボットプロファイルは、アプライアンス上でボット管理を設定するためのプロファイル設定の集合です。ボット検出を実行する設定を構成できます。

コマンドプロンプトで、次のように入力します。

add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-comment <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )] [-trapAction ( none | log | drop | redirect | reset )] [-tps ( ON | OFF )]

例:

add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON

ボットプロファイルのバインド

ボットプロファイルを作成したら、ボット検出メカニズムをプロファイルにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind bot profile <name> ((-blackList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-action ( log | drop | reset )] [-logMessage <string>] [-comment <string>]) | (-whiteList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-log ( ON | OFF )] [-logMessage <string>] [-comment <string>])) | (-rateLimit [-type ( session |SOURCE_IP | url )] [-enabled ( ON | OFF )] [-url <string>] [-cookieName <string>] [-rate <positive_integer>] [-timeslice <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>]) | (-captchaResource [-url <string>] [-enabled ( ON | OFF )] [-waitTime <positive_integer>] [-gracePeriod <positive_integer>] [-mutePeriod <positive_integer>] [-requestLengthLimit <positive_integer>] [-retryAttempts <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-tps [-type ( SOURCE_IP | GeoLocation | REQUEST_URL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>])

例:

次の例は、IP レピュテーション検出技術を特定のボットプロファイルにバインドするためのものです。

bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message

ボットポリシーの追加

ボットトラフィックを評価するためのボットポリシーを追加する必要があります。

コマンドプロンプトで、次のように入力します。

add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]

各項目の意味は次のとおりです。

Name。ボットポリシーの名前。文字、数字、またはアンダースコア文字 (_) で始まり、文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等しい (=)、コロン (:)、およびアンダースコア文字のみを含める必要があります。ボットポリシーの追加後に変更できます。

Rule. 指定したリクエストにボットプロファイルを適用するかどうかを決定するためにポリシーが使用する式。これは必須の引数です。最大長さ:1499

profileName. リクエストがこのボットポリシーと一致する場合に適用するボットプロファイルの名前。これは必須の引数です。最大長さ:127

undefAction. ポリシー評価の結果が未定義(UNDEF)の場合に実行するアクション。UNDEF イベントは、内部エラー状態を示します。最大長さ:127

[コメント]: このボットポリシーに関するあらゆる種類の情報。最大長:255

logAction. このポリシーに一致する要求に使用する messagelog アクションの名前。最大長さ:127

例:

add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1

Bind bot policy global

コマンドプロンプトで、次のように入力します。

bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]

例:

bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

ボットポリシーを仮想サーバーにバインドする

コマンドプロンプトで、次のように入力します。

bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type ( REQUEST | RESPONSE )] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile <string>@)

例:

bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

ボット設定の構成

必要に応じて、デフォルト設定をカスタマイズできます。 コマンドプロンプトで、次のように入力します。

set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|*>] [-proxyPort <port|*>]

各項目の意味は次のとおりです。

defaultProfile. 接続がどのポリシーにも一致しない場合に使用するプロファイル。デフォルト設定は「」で、一致しない接続を Citrix ADC に送り返します。最大長さ:31

javaScriptName. ボットネット機能が応答 で使用する JavaScript の名前。文字または数字で始まり、1~31文字の英字、数字、ハイフン(-)およびアンダースコア(_)記号を使用できます。次の要件は、Citrix ADC CLIにのみ適用されます。名前に1つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます(「my cookie name」や「my cookie name」など)。最大長さ:31

sessionTimeout. ユーザーセッションが終了するまでのタイムアウト(秒単位)。最小値:1, 最大値:65535

sessionCookieName. ボットネット機能がトラッキングに使用するセッションクッキーの名前。文字または数字で始まり、1~31文字の英字、数字、ハイフン(-)およびアンダースコア(_)記号を使用できます。次の要件は、Citrix ADC CLIにのみ適用されます。名前にスペースが1つ以上含まれている場合は、名前を二重引用符または一重引用符で囲みます(「my cookie name」や「my cookie name」など)。最大長さ:31

dfpRequestLimit. デバイスフィンガープリントが有効な場合にボットセッションCookieを使用せずに許可するリクエスト数最小値:1、最大値:4294967295

署名自動更新です。ボットの自動更新署名の有効化/無効化に使用されるフラグ。 指定可能な値:ON、OFF デフォルト値:OFF

署名URLです。サーバーからボット署名マッピングファイルをダウンロードするための URL。デフォルト値:https://s3.amazonaws.com/NSBotSignatures/BotSignatureMapping.json。最大長:2047 プロキシサーバー。AWS から更新された署名を取得するためのプロキシサーバー IP。 プロキシポート。AWS から更新された署名を取得するプロキシサーバーポート。デフォルト値:8080

例:

set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session

Citrix ADC GUIを使用したボット管理の構成

Citrix ADCボット管理を設定するには、まずアプライアンスでこの機能を有効にします。有効にすると、着信トラフィックをボットとして評価し、ボットプロファイルにトラフィックを送信するボットポリシーを作成できます。次に、ボットプロファイルを作成し、そのプロファイルをボット署名にバインドします。代わりに、デフォルトのボットシグネチャファイルのクローンを作成し、シグネチャファイルを使用して検出方法を設定することもできます。シグネチャファイルを作成したら、ボットプロファイルにインポートできます。これらの手順はすべて、以下の順序で実行されます。

ボットの管理ページ

  1. ボット管理機能を有効にする
  2. ボット管理設定の構成
  3. Citrix ボットのデフォルト署名のクローン
  4. Citrix ボット署名をインポートする
  5. ボット署名設定の構成
  6. ボットプロファイルの作成
  7. ボットポリシーの作成

ボット管理機能を有効にする

ボット管理を有効にするには、以下の手順に従ってください。

  1. ナビゲーションウィンドウで、[システム] を展開し、[設定] をクリックします。
  2. [高度な機能を設定] ページで、[ボット管理] チェックボックスをオンにします。
  3. [OK] をクリックし、[閉じる] をクリックします。

    ボット管理の有効化

デバイスフィンガープリント技術のボット管理設定を構成する

デバイスのフィンガープリント技術を設定するには、以下の手順に従ってください。

  1. [セキュリティ] > [Citrix ボット管理] に移動します。
  2. 詳細ペインで、[設定]の下の [Citrix Bot 管理設定の変更] をクリックします。
  3. [Citrix Bot管理設定の構成]で、以下のパラメーターを設定します。

    1. [既定のプロファイル]: ボットプロファイルを選択します。
    2. JavaScriptの名前。ボット管理がクライアントへの応答で使用する JavaScript ファイルの名前。
    3. セッションタイムアウト。ユーザーセッションが終了するまでのタイムアウト(秒単位)。
    4. セッションクッキー。ボット管理システムがトラッキングに使用するセッションクッキーの名前。
    5. デバイスのフィンガープリント要求制限。デバイスフィンガープリントが有効な場合に、ボットセッションクッキーなしで許可するリクエストの数

    ボット管理設定

  4. [OK] をクリックします。

ボット署名ファイルのクローン

ボット署名ファイルのクローンを作成するには、以下の手順に従ってください。

  1. [セキュリティ] > [Citrix Bot 管理署名] に移動します。
  2. Citrix Bot Management Signatures]ページで、デフォルトのボット署名レコードを選択し、[クローン]をクリックします。
  3. [クローンボットの署 名] ページで、名前を入力し、署名データを編集します。
  4. [作成] をクリックします。

    ボット署名ファイルのクローン

ボット署名ファイルのインポート

独自の署名ファイルがある場合は、ファイル、テキスト、または URL としてインポートできます。以下の手順を実行して、ボット署名ファイルをインポートします。

  1. [セキュリティ] > [Citrix Bot 管理署名] に移動します。
  2. Citrix Bot Management Signatures ページで、ファイルを URL、ファイル、またはテキストとしてインポートします。
  3. [続行] をクリックします。

    ボット署名ファイルのインポート

  4. [Citrix Bot 管理署名のインポート]ページで、次のパラメーターを設定します。
    1. Name。ボット署名ファイルの名前。
    2. [コメント]: インポートされたファイルに関する簡単な説明。
    3. [上書き]: ファイルの更新中にデータを上書きできるようにするには、このチェックボックスをオンにします。
    4. Signature Data. シグニチャパラメータの変更
  5. [完了] をクリックします。

    ボット署名ファイルのインポート

Citrix ADC GUIを使用してボット許可リストを構成する

この検出手法により、許可されたリストの URL を設定した URL をバイパスできます。許可リスト URL を設定するには、次の手順を実行します。

  1. セキュリティ]> [Citrixボット管理 および プロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、ファイルを選択して[編集]をクリックします。
  3. Citrix Bot Managementプロファイル ページで、 署名設定 セクションに移動し、 ホワイトリストをクリックします。
  4. [ホワイトリスト] セクションで、次のパラメータを設定します。
    1. Enabled. チェックボックスをオンにすると、検出プロセスの一部として許可リスト URL が検証されます。
    2. タイプを設定します。許可リスト URL を設定します。URL は、ボットの検出中にバイパスされます。[追加] をクリックして、URL をボット許可リストに追加します。
    3. [Citrixボット管理プロファイルのホワイトリストバインディングの構成] ページで、次のパラメーターを設定します。
      1. タイプ。URL タイプには、IPv4 アドレス、サブネット IP アドレス、またはポリシー式に一致する IP アドレスを使用できます。
      2. Enabled. URL を検証するには、チェックボックスをオンにします。
      3. Value. URL アドレス。
      4. Log. ログエントリを保存するには、このチェックボックスをオンにします。
      5. Log Message. ログの簡単な説明。
      6. コメント。許可リスト URL に関する簡単な説明。
      7. [OK] をクリックします。

    ボット許可リストの構成

  5. [更新] をクリックします。
  6. [完了] をクリックします。

    ボット許可リストの構成

Citrix ADC GUIを使用してボットブロックリストを構成する

この検出手法により、ブロックリストの URL として設定した URL を削除できます。ブロックリスト URL を設定するには、次の手順に従います。

  1. セキュリティ]> [Citrixボット管理 および プロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、署名ファイルを選択して[編集]をクリックします。
  3. Citrix Bot Managementプロファイル ページで、「 署名の設定 」セクションに移動し、「 ブラックリスト」をクリックします。
  4. [ブラックリスト] セクションで、次のパラメータを設定します。

    1. Enabled. 検出プロセスの一部としてブロックリスト URL を検証するには、このチェックボックスをオンにします。
    2. タイプを設定します。ボットブロックリスト検出プロセスの一部となるように URL を設定します。これらの URL は、ボットの検出中に削除されます。[追加] をクリックして、URL をボットブロックリストに追加します。
    3. [Citrixボット管理プロファイルのブラックリストバインディングの構成] ページで、次のパラメーターを設定します。

      1. タイプ。URL タイプには、IPv4 アドレス、サブネット IP アドレス、または IP アドレスを使用できます。
      2. Enabled. URL を検証するには、チェックボックスをオンにします。
      3. Value. URL アドレス。
      4. Log. ログエントリを保存するには、このチェックボックスをオンにします。
      5. Log Message. ログインの簡単な説明。
      6. コメント。ブロックリスト URL に関する簡単な説明。
      7. [OK] をクリックします。

    ボットブロックリストの設定

  5. [更新] をクリックします。
  6. [完了] をクリックします。

    ボットブロックリストの設定

Citrix ADC GUIを使用してIPレピュテーションを構成する

この設定は、ボット IP レピュテーション機能の前提条件です。検出技術を使用すると、着信 IP アドレスから悪意のあるアクティビティがあるかどうかを識別できます。設定の一環として、さまざまな悪意のあるボットのカテゴリを設定し、ボットのアクションをそれぞれに関連付けます。IP レピュテーション手法を設定するには、次の手順に従います。

  1. セキュリティ]> [Citrixボット管理 および プロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、署名ファイルを選択して[編集]をクリックします。
  3. Citrixボット管理プロファイル]ページで、[署名の設定]セクションに移動し、[IPレピュテーション]をクリックします。
  4. [IP レピュテーション] セクションで、次のパラメータを設定します。
    1. Enabled. チェック・ボックスを選択すると、検出プロセスの一環として受信ボット・トラフィックが検証されます。
    2. カテゴリを設定します。異なるカテゴリの着信ボットトラフィックに IP レピュテーション手法を使用できます。設定されたカテゴリに基づいて、ボットトラフィックをドロップまたはリダイレクトできます。[追加] をクリックして、悪意のあるボットのカテゴリを構成します。
    3. [Citrixボット管理プロファイルのIPレピュテーションバインディングの構成] ページで、次のパラメーターを設定します。

      1. Category. リストから悪意のあるボットのカテゴリを選択します。カテゴリに基づいてボットアクションを関連付けます。
      2. Enabled. IP レピュテーションシグニチャの検出を検証するには、このチェックボックスをオンにします。
      3. Bot action. 設定されたカテゴリに基づいて、アクションなし、ドロップ、リダイレクト、緩和策、または CAPTCHA アクションを割り当てることができます。
      4. Log. ログエントリを保存するには、このチェックボックスをオンにします。
      5. Log Message. ログの簡単な説明。
      6. コメント。ボットのカテゴリに関する簡単な説明。
  5. [OK] をクリックします。
  6. [更新] をクリックします。
  7. [完了] をクリックします。

    IP レピュテーションの設定

Citrix ADC GUIを使用してボットレート制限を構成する

この検出手法により、クライアント IP アドレス、セッション、または構成されたリソース (URL など) から事前に定義された時間内に受信した要求の数に基づいて、ボットをブロックできます。レート制限方式を設定する手順は、次のとおりです。

  1. セキュリティ]> [Citrixボット管理 および プロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、署名ファイルを選択して[編集]をクリックします。
  3. Citrixボット管理プロファイル ページで、[署名の設定]セクションに移動し、[レート制限]をクリックします。
  4. [レート制限] セクションで、次のパラメータを設定します。
    1. Enabled. チェック・ボックスを選択して、受信ボット・トラフィックを検出プロセスの一部として検証します。
    2. セッション。セッションに基づくレート制限要求。[Add] をクリックして、セッションに基づいてレート制限要求を設定します。
    3. [Citrix Bot Management の署名レート制限の設定] ページで、次のパラメーターを設定します。
      1. Category. リストから悪意のあるボットのカテゴリを選択します。カテゴリに基づいてアクションを関連付けます。
      2. Enabled. チェック・ボックスを選択して、着信ボット・トラフィックを検証します。
      3. Bot action. 選択したカテゴリのボットアクションを選択します。
      4. Log. ログエントリを保存するには、このチェックボックスをオンにします。
      5. Log Message. ログの簡単な説明。
      6. コメント。ボットのカテゴリに関する簡単な説明。
      7. [OK] をクリックします。

    レート制限の設定

  5. [更新] をクリックします。
  6. [完了] をクリックします。

    レート制限の設定

Citrix ADC GUIを使用してデバイスフィンガープリントを構成する

この検出技術は、クライアントに Java スクリプトのチャレンジを送信し、デバイス情報を抽出します。デバイス情報に基づいて、この手法はボットトラフィックをドロップまたはバイパスします。検出方法を設定する手順に従います。

  1. セキュリティ]> [Citrixボット管理 および プロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、署名ファイルを選択して[編集]をクリックします。
  3. Citrixボット管理プロファイル]ページで、[署名の設定]セクションに移動し、[デバイスフィンガープリント]をクリックします。
  4. [デバイスフィンガープリント] セクションで、次のパラメータを設定します。

    1. Enabled. ルールを有効にするには、このオプションを設定します。
    2. Configuration. 指定されたデバイスフィンガープリントに対して、アクション、ドロップ、リダイレクト、緩和策、または CAPTCHA アクションを割り当てません。
    3. Log. ログエントリを保存するには、このチェックボックスをオンにします。
  5. [更新] をクリックします。
  6. [完了] をクリックします。

デバイスのフィンガープリントの設定

Citrix ADC GUIを使用してボットトラップURLを構成する

ボットトラップ技術は、クライアント応答にトラップ URL をアドバタイズします。クライアントが人間のユーザーの場合、URL は見えず、アクセスできません。ただし、クライアントが自動ボットである場合、URL にアクセスでき、アクセスすると攻撃者はボットに分類され、ボットからの後続のリクエストはブロックされます。トラップ技術は、ボットからの攻撃をブロックするのに効果的です。

注:

デフォルトのトラップ URL は静的なものです。ただし、Citrix ADCボット管理では、ボット管理プロファイルにカスタマイズされたトラップURLを設定できます。これは、ボット検出技術を強化し、攻撃者がトラップ URL を見つけにくくするために行われます。

ボットトラップのテクニックを完了するには、次の手順を完了する必要があります。

  1. ボットトラップ URL を有効にする
  2. ボットプロファイルでボットトラップURLを設定する

ボットトラップ URL を有効にする

開始する前に、アプライアンスでボットトラップURL機能が有効になっていることを確認する必要があります。コマンドプロンプトで、次のように入力します。

enable ns feature Bot

Citrix ADC GUIを使用してボットトラップURLを構成する

ボットトラップ URL を設定するには、以下の手順に従います。

  1. セキュリティ]>[Citrixボット管理]>[プロファイル]に移動します
  2. Citrixボット管理プロファイル]ページで[編集]をクリックしてボットトラップURL設定を構成します。
  3. [Citrix Bot 管理プロファイルの作成] ページで、次のパラメーターを設定します。 1. トラップURLです。ボットトラップ URL として確認する URL を入力します。

    ボットトラップの設定

  4. [署名の設定] セクションで、[ボットトラップ] をクリックします。
  5. [Bot Trap] セクションで、次のパラメータを設定します。
    1. Enabled. チェックボックスをオンにすると、ボットトラップ検出が有効になります。
    2. [構成] セクションで、次のパラメータを設定します。
      1. アクション。ボットトラップアクセスによって検出されたボットに対して実行されるアクション。
      2. Log. ボットトラップバインディングのロギングを有効または無効にします。 ボットトラップログ
  6. [更新] および [完了] をクリックします

IP レピュテーションとデバイスフィンガープリント検出のための CAPTCHA の構成

CAPTCHAは「Computers and Humans Apart」の略で頭字語である。CAPTCHA は、着信トラフィックが人間のユーザーまたは自動ボットからのものかどうかをテストするように設計されています。CAPTCHA は、Web アプリケーションにセキュリティ違反を引き起こす自動ボットをブロックするのに役立ちます。Citrix ADCアプライアンスでは、CAPTCHAはチャレンジ/レスポンスモジュールを使用して、着信トラフィックが自動ボットではなく人間のユーザーからのものかどうかを識別します。

Citrix ADC GUIを使用してボット静的署名を構成する

この検出手法により、ブラウザの詳細からユーザエージェント情報を識別できます。ユーザーエージェント情報に基づいて、ボットは不良または良好なボットとして識別され、ボットアクションを割り当てます。スタティックシグニチャの手法を設定するには、次の手順を実行します。

Citrix ADC ボット管理における CAPTCHA の仕組み

Citrix ADCボット管理では、CAPTCHA検証は、ボットポリシーの評価後に実行されるポリシーアクションとして構成されます。CAPTCHA アクションは、IP レピュテーションおよびデバイスフィンガープリント検出技術でのみ使用できます。CAPTCHAがどのように動作するかを理解するための手順は次のとおりです。

  1. IP レピュテーションまたはデバイスフィンガープリントボットの検出中にセキュリティ違反が検出された場合、ADC アプライアンスは CAPTCHA チャレンジを送信します。
  2. クライアントは CAPTCHA 応答を送信します。
  3. アプライアンスは CAPTCHA 応答を検証し、CAPTCHA が有効な場合、要求は許可され、バックエンドサーバーに転送されます。
  4. CATCHA 応答が無効の場合、最大試行回数に達するまで、アプライアンスは新しい CAPTCHA チャレンジを送信します。
  5. 最大試行回数が経過してもCAPTCHA応答が無効である場合、アプライアンスは要求をドロップするか、設定済みのエラー URL にリダイレクトします。
  6. ログアクションを設定した場合、アプライアンスは要求の詳細を ns.log ファイルに保存します。

Citrix ADC GUIを使用してCAPTCHA設定を構成する

ボット管理 CAPTCHA アクションは、IP レピュテーションおよびデバイスフィンガープリント検出技術でのみサポートされます。次の手順に従って、CAPTCHA 設定を構成します。

  1. セキュリティ]>[Citrixボット管理およびプロファイル]に移動します。
  2. Citrixボット管理プロファイル]ページで、プロファイルを選択して[編集]をクリックします。
  3. Citrixボット管理プロファイル]ページで、[署名の設定]セクションに移動し、[CAPTCHA]をクリックします。
  4. [CAPTCHA 設定] セクションで、[追加] をクリックして、プロファイルに CAPTCHA 設定を構成します
  5. [Citrixボット管理CAPTCHAの構成] ページで、以下のパラメーターを設定します。
    1. [URL]をクリックします。IP レピュテーションおよびデバイスフィンガープリント検出技術中に CAPTCHA アクションが適用されるボット URL。

    2. Enabled. CAPTCHA サポートを有効にするには、このオプションを設定します。
    3. 猶予時間だ現在の有効な CAPTCHA 応答を受信した後、新しい CAPTCHA チャレンジが送信されないまでの期間。
    4. 待ち時間。クライアントが CAPTCHA 応答を送信するまでの ADC アプライアンスが待機する時間。
    5. ミュート期間。不正な CAPTCHA 応答を送信したクライアントが、次の試行が許可されるまで待機する必要がある期間。このミュート期間中、ADCアプライアンスは要求を許可しません。範囲:60—900 秒、推奨:300 秒
    6. リクエストの長さの制限CAPTCHA チャレンジがクライアントに送信される要求の長さ。長さがしきい値より大きい場合、要求はドロップされます。デフォルト値は 10 ~ 3000 バイトです。
    7. 再試行回数。クライアントが CAPTCHA チャレンジを解決するために再試行できる試行回数。範囲:1 ~ 10、推奨:5.
    8. クライアントが CAPTCHA 検証に失敗した場合、アクション/ドロップ/リダイレクトアクションは実行されません。
    9. Log. 応答CAPTCHAが失敗したときにクライアントからの要求情報を格納するには、このオプションを設定します。データは ns.log ファイルに格納されます。
    10. [コメント]: CAPTCHA 設定に関する簡単な説明。
  6. [OK] をクリックし、[完了] をクリックします。

    ボットキャプチャGUI設定

  7. セキュリティ]>[Citrixボット管理]>[署名
  8. Citrix Bot 管理の署名]ページで、署名ファイルを選択し、[編集]をクリックします。
  9. Citrix Bot 管理の署名]ページで[署名の設定] セクションに移動し、[ボット署名]をクリックします。
  10. ボットの署名 」セクションで、次のパラメータを設定します。

  11. スタティックシグニチャを設定します。ボット静的署名レコードを選択し、[Edit] をクリックしてボットアクションを割り当てます。
  12. [OK] をクリックします。
  13. [署名の更新] をクリックします。
  14. [完了] をクリックします。

ボット静的署名

ボット署名の自動更新

ボット静的署名技術は、良いボットおよび悪いボットのリストを含む署名ルックアップテーブルを使用します。ボットは、ユーザーエージェント文字列とドメイン名に基づいて分類されます。着信ボットトラフィックのユーザーエージェント文字列とドメイン名がルックアップテーブルの値と一致する場合、設定されたボットアクションが適用されます。 ボット署名の更新は AWS クラウドでホストされ、署名ルックアップテーブルは AWS データベースと通信して署名の更新を行います。自動署名更新スケジューラは、1 時間ごとに実行され、AWS データベースをチェックし、ADC アプライアンスの署名テーブルを更新します。

設定するシグニチャ自動更新 URL はhttps://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json

注:

また、プロキシサーバーを設定し、プロキシを介して AWS クラウドから ADC アプライアンスへの署名を定期的に更新することもできます。プロキシ設定の場合、ボット設定でプロキシIPアドレスとポートアドレスを設定する必要があります。

ボット署名の自動更新の仕組み

次の図は、ボット署名が AWS クラウドから取得され、Citrix ADC で更新され、Citrix ADM で署名更新の概要を表示する方法を示しています。

ボット署名の自動更新

ボットシグニチャ自動更新スケジューラは、次の処理を行います。

  1. AWS URI からマッピングファイルを取得します。
  2. マッピングファイル内の最新のシグニチャと、ADC アプライアンスの既存のシグニチャをチェックします。
  3. AWS から新しい署名をダウンロードし、署名の整合性を検証します。
  4. 既存のボット署名を、ボット署名ファイル内の新しい署名で更新します。
  5. SNMPアラートを生成し、署名更新サマリーをCitrix ADMに送信します。

ボット署名の自動更新を設定する

ボット署名の自動更新を設定するには、次の手順を実行します。

ボット署名の自動更新を有効にする

ADC アプライアンスのボット設定で自動更新オプションを有効にする必要があります。 コマンドプロンプトで、次のように入力します。

set bot settings –signatureAutoUpdate ON

プロキシサーバー設定の構成 (オプション)

プロキシサーバーを介して AWS 署名データベースにアクセスする場合は、プロキシサーバーとポートを設定する必要があります。 set bot settings –proxyserver –proxyport

例:

set bot settings –proxy server 1.1.1.1 –proxyport 1356

Citrix ADC GUIを使用したボット署名の自動更新の設定

ボット署名の自動更新を設定するには、次の手順を実行します。

  1. セキュリティ]>[Citrixボット管理]に移動します。
  2. 詳細ペインで、[設定]の下の [Citrix Bot 管理設定の変更] をクリックします。
  3. [Citrixボット管理設定の構成]で、[署名の自動更新]チェックボックスをオンにします。

    ボット自動更新署名の設定

  4. [OK] をクリックして [閉じる] をクリックします。

ボット管理プロファイルの作成

ボットプロファイルは、ボットタイプの検出に使用されるボット管理設定の集まりです。プロファイルでは、Web App Firewall が各フィルタ(またはチェック)を Web サイトへのボットトラフィックおよびそれらからの応答に適用する方法を決定します。

ボットプロファイルを設定するには、以下の手順に従います。

  1. [セキュリティ] > [Citrix Bot 管理] > [プロファイル] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックします。
  3. [Citrix Bot 管理プロファイルの作成] ページで、次のパラメーターを設定します。

    1. Name。ボットプロファイル名。
    2. Signature. ボット署名ファイルの名前。
    3. Error URL. リダイレクトの URL。
    4. [コメント]: プロファイルに関する簡単な説明。
  4. [作成 して 閉じる] をクリックします。

ボット管理プロファイルの設定

ボットポリシーの作成

ボットポリシーは、ボット管理システムへのトラフィックを制御し、監査ログサーバーに送信されるボットログを制御します。手順に従って、ボットポリシーを設定します。

  1. [セキュリティ] > [Citrix Bot 管理] > [Bot ポリシー] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックします。
  3. [Citrix Bot 管理ポリシーの作成] ページで、次のパラメーターを設定します。
    1. Name。Bot ポリシーの名前。
    2. 式。テキスト領域に直接ポリシー式または規則を入力します。
    3. Bot Profile. ボットプロファイルを適用する Bot プロファイルです。
    4. Undefined Action. 割り当てるアクションを選択します。
    5. [コメント]: ポリシーに関する簡単な説明。
    6. ログ処理。ボットトラフィックをロギングするための監査ログメッセージアクション。監査ログのアクションの詳細については、「監査ログのトピック」を参照してください。
  4. [作成 して 閉じる] をクリックします。

ボット管理プロファイルの設定

1 秒あたりのボットトランザクション数 (TPS)

1 秒あたりのリクエスト数(RPS)と RPS の増加率が設定されたしきい値を超えた場合、1 秒あたりのトランザクション数(TPS)ボット技術は着信トラフィックをボットとして検出します。検出技術は、ウェブスクレイピング活動、ブルート強制ログイン、およびその他の悪意のある攻撃を引き起こす可能性のある自動ボットからウェブアプリケーションを保護します。

注:

ボット技術は、両方のパラメータが設定され、両方の値がしきい値制限を超えて増加した場合にのみ、着信トラフィックをボットとして検出します。 特定のURLから多数のリクエストをアプライアンスが受信し、ボット攻撃があるかどうかをCitrix ADCボット管理で検出する必要があるシナリオを考えてみましょう。TPS 検出技術は、1 秒以内の URL からの要求数(設定値)と 30 分以内に受信された要求数の増加率(設定値)を調べます。値がしきい値の制限を超えると、トラフィックはボットと見なされ、アプライアンスは設定されたアクションを実行します。

ボット毎秒(TPS)テクニックの構成

TPS を設定するには、次の手順を完了する必要があります。

  1. ボットの TPS を有効にする
  2. TPS設定をボット管理プロファイルにバインドする

TPS設定をボット管理プロファイルにバインドする

ボットの TPS 機能を有効にしたら、TPS 設定をボット管理プロファイルにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])

例:

bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log

1 秒あたりのボットトランザクションを有効にする (TPS)

作業を開始する前に、アプライアンスで Bot TPS 機能が有効になっていることを確認する必要があります。コマンドプロンプトで、次のように入力します。

set bot profile profile1 –enableTPS ON

Citrix ADC GUIを使用してボットトランザクション/秒(TPS)を構成する

設定を完了するには、以下の手順に従います。

  1. セキュリティ]>[Citrixボット管理]>[プロファイル]に移動します
  2. Citrixボット管理プロファイル]ページでプロファイル を選択し、[編集]をクリックします。
  3. [Citrixボット管理プロファイルの作成] ページで、[署名の設定]セクションの[TPS]をクリックします。
  4. [TPS] セクションで、機能を有効にして [追加] をクリックします。

    1 秒あたりのボット管理トランザクション

  5. [Citrixボット管理プロファイルのTPSバインディングの構成] ページで、次のパラメーターを設定します。

    1. タイプ。TPS検出技術で許可される入力タイプ。可能な値:ソースIP、 ジオロケーション、ホスト、URL。

      SOURCE_IP — クライアントの IP アドレスに基づく TPS。

      ジオロケーション — クライアントの地理的位置に基づく TPS。

      HOST-特定のバックエンドサーバーIPアドレスに転送されるクライアント要求に基づいた TPS。

      URL — 特定の URL からのクライアント要求に基づく TPS。

    2. 固定しきい値。1 秒以内に TPS 入力タイプから許可される要求の最大数。

    3. しきい値のパーセンテージ。30 分間隔内の TPS 入力タイプからのリクエストの最大増加率。

    4. アクション。TPS バインディングによって検出されたボットに対して実行されるアクション。

    5. Log. TPS バインディングのロギングを有効または無効にします。

    6. Log Message. TPS バインディングで検出されたボットについてログに記録するメッセージ。最大長:255。

    7. コメント。TPS 設定に関する簡単な説明。最大長:255

  6. [OK] をクリックし、[閉じる] をクリックします。

1 秒あたりのボット管理トランザクション