Citrix ADC

Citrix ADCとパッシブセキュリティデバイスの統合(侵入検知システム)

Citrix ADCアプライアンスは、侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されました。これらのパッシブデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンスのためのレポートを生成します。Citrix ADCアプライアンスが2つ以上のIDSデバイスと統合されており、トラフィック量が多い場合、アプライアンスは仮想サーバーレベルでトラフィックのクローンを作成することでデバイスの負荷を分散できます。

高度なセキュリティ保護のために、Citrix ADCアプライアンスは、検出専用モードで展開された侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されています。これらのデバイスは、ログを保存し、不良または非準拠のトラフィックを検出したときにアラートをトリガーします。また、コンプライアンスのためのレポートを生成します。次に、Citrix ADCとIDSデバイスを統合するメリットのいくつかを示します。

  • 暗号化されたトラフィックの検査。ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため、サーバは攻撃に対して脆弱になります。Citrix ADCアプライアンスは、トラフィックを復号化し、IDSデバイスに送信することで、お客様のネットワークセキュリティを強化できます。
  • TLS/SSL 処理からのインラインデバイスのオフロード。TLS/SSL 処理はコストが高く、侵入検知デバイスでトラフィックを復号化すると、システム CPU が高くなります。暗号化されたトラフィックが急速に増加するにつれて、これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは、TLS/SSL処理からIDSデバイスへのトラフィックのオフロードに役立ちます。このようにデータのオフロードを行うと、IDS デバイスは大量のトラフィックインスペクションをサポートします。
  • IDS デバイスの負荷分散。Citrix ADCアプライアンスは、トラフィック量が多い場合に、仮想サーバーレベルでトラフィックのクローンを作成することで、複数のIDSデバイスの負荷分散を行います。
  • パッシブデバイスへのトラフィックの複製。アプライアンスに流れるトラフィックは、コンプライアンスレポートを生成するために、他のパッシブデバイスに複製できます。たとえば、一部のパッシブデバイスにすべてのトランザクションをログに記録することを義務付けている政府機関はほとんどありません。
  • 複数のパッシブデバイスへのトラフィックのファン。一部のお客様は、着信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。
  • トラフィックのスマートな選択。アプライアンスに流入するすべてのパケットは、テキストファイルのダウンロードなど、コンテンツ検査を行う必要がない場合があります。ユーザーは、検査対象の特定のトラフィック(たとえば、.exe ファイル)を選択し、データを処理するために IDS デバイスにトラフィックを送信するように Citrix ADC アプライアンスを設定できます。

Citrix ADC と L2 接続を備えた IDS デバイスとの統合方法

次の図は、侵入検知システム(IDS)とCitrix ADCアプライアンスの統合方法を示しています。

IDS の統合

コンポーネントの相互作用は、次のように与えられます。

  1. クライアントがCitrix ADCアプライアンスにHTTP/HTTPSリクエストを送信します。
  2. アプライアンスはトラフィックを代行受信し、コンテンツ検査ポリシー評価に基づいて IDS デバイスに複製します。
  3. トラフィックが暗号化されたトラフィックの場合、アプライアンスはデータを復号化し、プレーンテキストとして送信します。
  4. ポリシー評価に基づいて、アプライアンスは「MIRROR」タイプのコンテンツ検査アクションを適用します。
  5. アクションには、IDS サービスまたは負荷分散サービス(複数の IDS デバイス統合用)が設定されています。
  6. IDS デバイスは、アプライアンス上でコンテンツ検査サービスタイプ「Any」として設定されます。コンテンツ検査サービスは、タイプ「MIRROR」のコンテンツ検査プロファイルに関連付けられます。このプロファイルでは、データを IDS デバイスに転送する必要がある出力インターフェイスを指定します。注:オプションで、コンテンツ検査プロファイルで VLAN タグを設定することもできます。
  7. 次に、アプライアンスは、出力インターフェイスを介して 1 つ以上の IDS デバイスにデータを複製します。
  8. 同様に、バックエンドサーバーがCitrix ADCに応答を送信すると、アプライアンスはデータを複製し、IDSデバイスに転送します。
  9. アプライアンスが 1 つ以上の IDS デバイスに統合されており、デバイスの負荷分散を希望する場合は、負荷分散仮想サーバを使用できます。

ソフトウェアライセンス

インラインデバイス統合を展開するには、Citrix ADCアプライアンスに以下のいずれかのライセンスをプロビジョニングする必要があります。

  1. ADC Premium
  2. ADC Enterprise
  3. Telco Advanced
  4. Telco Premium

侵入検知システム統合の設定

IDS デバイスと Citrix ADC を統合するには、2 つの方法があります。

シナリオ 1:単一の IDS デバイスとの統合

コマンドラインインターフェイスを使用して設定する必要がある手順は次のとおりです。

  1. コンテンツ検査を有効にする
  2. IDS デバイスを表すサービスに、タイプ MIRROR のコンテンツ検査プロファイルを追加します。
  3. タイプ「ANY」の IDS サービスを追加する
  4. タイプ「MIRROR」のコンテンツ検査アクションを追加
  5. IDS 検査のコンテンツ検査ポリシーの追加
  6. コンテンツ検査ポリシーを HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする

コンテンツ検査を有効にする

Citrix ADC アプライアンスで検査対象のコンテンツを IDS デバイスに送信する場合は、復号化の実行に関係なく、コンテンツ検査と負荷分散機能を有効にする必要があります。

コマンドプロンプトで、次のように入力します。

enable ns feature contentInspection LoadBalancing

タイプ「MIRROR」のコンテンツ検査プロファイルを追加

タイプ「MIRROR」のコンテンツ検査プロファイルでは、IDS デバイスへの接続方法が説明されています。 コマンドプロンプトで、次のように入力します。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

IDS サービスの追加

アプライアンスと統合された IDS デバイスごとに、タイプ「ANY」のサービスを設定する必要があります。サービスには IDS デバイス設定の詳細が含まれています。サービスは IDS デバイスを表します。

コマンドプロンプトで、次のように入力します。

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

:

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

IDS サービスのタイプ MIRROR のコンテンツ検査アクションを追加

コンテンツ検査機能を有効にしてから IDS プロファイルとサービスを追加したら、要求を処理するための Content Inspection アクションを追加する必要があります。コンテンツ検査アクションに基づいて、アプライアンスは IDS デバイスにデータをドロップ、リセット、ブロック、または送信できます。

コマンドプロンプトで、次のように入力します。

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

:

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

IDS 検査のコンテンツ検査ポリシーの追加

コンテンツ検査アクションを作成したら、コンテンツ検査ポリシーを追加して、検査要求を評価する必要があります。ポリシーは、1 つ以上の式で構成される規則に基づいています。ポリシーは、ルールに基づいて検査対象のトラフィックを評価し、選択します。

コマンドプロンプトで、次のように入力します。

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

コンテンツ検査ポリシーを HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする

Web トラフィックを受信するには、負荷分散仮想サーバーを追加する必要があります。 コマンドプロンプトで、次のように入力します。

add lb vserver <name> <vserver name>

:

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

コンテンツ検査ポリシーをコンテンツスイッチング仮想サーバーまたはHTTP/SSLタイプの負荷分散仮想サーバーにバインド

負荷分散仮想サーバーまたは HTTP/SSL タイプのコンテンツスイッチング仮想サーバーを、コンテンツ検査ポリシーにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

:

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

シナリオ 2:複数の IDS デバイスの負荷分散

2 つ以上の IDS デバイスを使用している場合は、異なるコンテンツ検査サービスを使用してデバイスの負荷分散を行う必要があります。この場合、Citrix ADCアプライアンスは、各デバイスにトラフィックのサブセットを送信する上でデバイスの負荷分散を行います。 基本的な設定手順については、シナリオ 1 を参照してください。

複数の IDS デバイスの負荷分散

コマンドラインインターフェイスを使用して設定する必要がある手順は次のとおりです。

  1. IDS サービス 1 のタイプ MIRROR のコンテンツ検査プロファイル 1 を追加します
  2. IDS サービス 2 のタイプ MIRROR のコンテンツ検査プロファイル 2 を追加します
  3. IDS デバイス 1 に ANY タイプの IDS サービス 1 を追加します
  4. IDS デバイス 2 に ANY タイプの IDS サービス 2 を追加します
  5. タイプANY の負荷分散仮想サーバーを追加する
  6. IDS サービス 1 を負荷分散仮想サーバにバインド
  7. IDS サービス 2 を負荷分散仮想サーバにバインド
  8. IDS デバイスの負荷分散にコンテンツインスペクションアクションを追加します。
  9. 検査用のコンテンツ検査ポリシーの追加
  10. HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーの追加
  11. コンテンツ検査ポリシーをHTTP/SSLタイプの仮想サーバーの負荷分散にバインド

IDS サービス 1 のタイプ MIRROR のコンテンツ検査プロファイル 1 を追加します

IDS 設定は、コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルには、デバイス設定のコレクションがあります。IDS サービス 1 用にコンテンツ検査プロファイル 1 が作成されます。

コマンドプロンプトで、次のように入力します。

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

IDS サービス 2 のタイプ MIRROR にコンテンツ検査プロファイル 2 を追加します

コンテンツインスペクションプロファイル 2 がサービス 2 に追加され、インラインデバイスは出力 1/1 インターフェイスを介してアプライアンスと通信します。

コマンドプロンプトで、次のように入力します。

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

IDS デバイス 1 に ANY タイプの IDS サービス 1 を追加します

コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 1 のインラインサービス 1 を負荷分散設定の一部として追加する必要があります。追加するサービスは、すべてのインライン構成の詳細を提供します。

コマンドプロンプトで、次のように入力します。

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

例に示されている IP アドレスは、ダミーのアドレスです。

IDS デバイス 2 に ANY タイプの IDS サービス 2 を追加します

コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 2 のインラインサービス 2 を追加する必要があります。追加するサービスは、すべてのインライン構成の詳細を提供します。

コマンドプロンプトで、次のように入力します。

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

例に示されている IP アドレスは、ダミーのアドレスです。

負荷分散仮想サーバの追加

インラインプロファイルおよびサービスを追加したら、サービスの負荷分散用の負荷分散仮想サーバーを追加する必要があります。

コマンドプロンプトで、次のように入力します。

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

IDS サービス 1 を負荷分散仮想サーバにバインド

負荷分散仮想サーバーを追加した後、負荷分散仮想サーバーを最初のサービスにバインドします。

コマンドプロンプトで、次のように入力します。

bind lb vserver <Vserver_name> <Service_name_1>

例:

bind lb vserver lb-IDS_vserver IDS_service1

IDS サービス 2 を負荷分散仮想サーバにバインド

負荷分散仮想サーバーを追加した後、サーバーを 2 番目のサービスにバインドします。

コマンドプロンプトで、次のように入力します。

bind lb vserver <Vserver_name> <Service_name_1>

例:

bind lb vserver lb-IDS_vserver IDS_service2

IDS サービスのコンテンツ検査アクションを追加する

コンテンツ検査機能を有効にしたら、インライン要求情報を処理するための Content Inspection アクションを追加する必要があります。選択したアクションに基づいて、アプライアンスは IDS デバイスにトラフィックをドロップ、リセット、ブロック、または送信します。

コマンドプロンプトで、次のように入力します。

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

検査用のコンテンツ検査ポリシーの追加

コンテンツ検査アクションを作成したら、コンテンツ検査ポリシーを追加して、サービスの要求を評価する必要があります。

コマンドプロンプトで、次のように入力します。

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーの追加

Web トラフィックを受け入れるために、コンテンツスイッチングまたは負荷分散仮想サーバーを追加します。また、仮想サーバ上で layer2 接続を有効にする必要があります。

負荷分散の詳細については、「負荷分散のしくみ」を参照してください。

コマンドプロンプトで、次のように入力します。

add lb vserver <name> <vserver name>

例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

コンテンツ検査ポリシーを HTTP/SSL タイプの仮想サーバーの負荷分散にバインドする

HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーを、コンテンツ検査ポリシーにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Citrix ADC GUIを使用したインラインサービス統合の構成

  1. [セキュリティ] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。
  2. [コンテンツ検査プロファイル] ページで、[追加] をクリックします。
  3. [コンテンツ検査プロファイルの作成] ページで、次のパラメータを設定します。
    1. プロファイル名。IDS のコンテンツ検査プロファイルの名前。
    2. タイプ。プロファイルタイプを MIRROR として選択します。
    3. 出力インターフェイス。トラフィックが Citrix ADC から IDS デバイスに送信されるインターフェイスです。
    4. 出力 VLAN(オプション)。トラフィックが IDS デバイスに送信されるインターフェイス VLAN ID。
  4. [作成] をクリックします。

    コンテンツ検査プロファイルの作成

  5. [トラフィック管理] > [負荷分散] > [サービス] に移動し、[追加] をクリックします。
  6. [負荷分散サービス] ページで、コンテンツ検査サービスの詳細を入力します。
  7. [詳細設定] セクションで、[プロファイル] をクリックします。
  8. [プロファイル] セクションに移動し、[鉛筆] アイコンをクリックしてコンテンツ検査プロファイルを追加します。
  9. [OK] をクリックします。

    コンテンツ検査プロファイルの作成

  10. [負荷分散] > [サーバー] に移動します。HTTP または SSL タイプの仮想サーバーを追加します。
  11. サーバの詳細を入力したら、[OK] をクリックし、もう一度 [OK] をクリックします
  12. [詳細設定] セクションで、[ポリシー] をクリックします。
  13. [ポリシー] セクションに移動し、[鉛筆] アイコンをクリックしてコンテンツ検査ポリシーを設定します。
  14. [ポリシーの選択] ページで、[コンテンツ検査] を選択します。[続行] をクリックします。
  15. [ポリシーのバインド] セクションで、[+] をクリックしてコンテンツ検査ポリシーを追加します。
  16. [CI ポリシーの作成] ページで、インラインコンテンツ検査ポリシーの名前を入力します。
  17. [Action] フィールドで、「+」記号をクリックして、タイプ MIRROR の IDS コンテンツインスペクションアクションを作成します。
  18. [CI アクションの作成] ページで、次のパラメータを設定します。

    a. 名前。コンテンツ検査インラインポリシーの名前。

    b. タイプ。タイプを MIRROR として選択します。 c. サーバー名:サーバー/サービス名を [インラインデバイス] として選択します。

    d. サーバーがダウンしている場合。サーバーがダウンした場合の操作を選択します。 e. 要求タイムアウト。タイムアウト値を選択します。デフォルト値を使用できます。

    f. 要求タイムアウトアクション。タイムアウト処理を選択します。デフォルト値を使用できます。

  19. [作成] をクリックします。

    コンテンツ検査アクションの作成

  20. [CI ポリシーの作成] ページで、その他の詳細を入力します。
  21. [OK] をクリックして [閉じる] をクリックします。

トラフィックの負荷分散と IDS デバイスへの複製のための Citrix ADC GUI 設定の詳細については、「負荷分散」を参照してください。

コンテンツ検査ポリシーの作成

コンテンツの変換後にトラフィックの負荷分散とバックエンドオリジンサーバーへの転送を行うためのCitrix ADC GUI構成については、負荷分散トピックを参照してください。

Citrix ADCとパッシブセキュリティデバイスの統合(侵入検知システム)