Citrix ADC

IPレピュテーション

IP レピュテーションは、不要な要求を送信する IP アドレスを識別するツールです。IP レピュテーションリストを使用すると、レピュテーションの悪い IP アドレスからの要求を拒否できます。処理しない要求をフィルタリングして、Web アプリケーションファイアウォールのパフォーマンスを最適化します。要求のリセット、削除、または特定の応答側アクションを実行するように応答側ポリシーを構成します。

IP レピュテーションを使用して防ぐことができるいくつかの攻撃を次に示します。

  • ウイルスに感染したパーソナルコンピュータ。 (ホームPC)は、インターネット上のスパムの最大のソースです。IP レピュテーションは、不要な要求を送信している IP アドレスを識別できます。IP レピュテーションは、既知の感染源からの大規模な DDoS、DoS、または異常な SYN フラッド攻撃をブロックする場合に特に役立ちます。
  • 一元管理および自動化されたボットネット。攻撃者は、パスワードを盗むために何百ものコンピュータが連携してパスワードを解読するのに時間がかかりませんので、人気を得ています。一般的に使用される辞書の単語を使用するパスワードを把握するために、ボットネット攻撃を開始するのは簡単です。
  • 侵害された Web サーバ。攻撃は、認知度やサーバーのセキュリティが高まっているため、一般的ではありません。そのため、ハッカーやスパマーはターゲットをより簡単に探します。ハッカーが侵害し、スパム(ウイルスやポルノなど)を送信するために使用できるWebサーバーやオンラインフォームはまだあります。このようなアクティビティは、検出が容易になり、すばやくシャットダウンしたり、SpamRats などのレピュテーションリストを使用してブロックしたりできます。
  • Windows のエクスプロイト。 (マルウェア、シェルコード、ルートキット、ワーム、ウイルスを提供または配布するActive IPなど)。
  • 既知のスパマーやハッカー
  • 大量の電子メールによるマーケティング・キャンペーン
  • フィッシングプロキシ (フィッシングサイトをホストするIPアドレス、および広告クリック詐欺やゲーム詐欺などの不正行為)。
  • 匿名プロキシ(TORとも呼ばれる 「オニオンルーター」を含むプロキシおよび匿名化サービスを提供するIP)。

Citrix ADCアプライアンスは、動的に生成された悪質なIPデータベースとそれらのIPアドレスのメタデータのサービスプロバイダーとして Webroot を使用します。メタデータには、ジオロケーションの詳細、脅威カテゴリ、脅威数などが含まれます。Webroot脅威インテリジェンスエンジンは、数百万のセンサーからリアルタイムのデータを受信します。自動的かつ継続的にキャプチャ、スキャン、分析、および高度な機械学習と行動分析を使用して、データをスコアします。脅威に関するインテリジェンスは継続的に更新されます。

ネットワーク内の任意の場所で脅威が検出されると、IP アドレスに悪意のあるフラグが付けられ、ネットワークに接続されているすべてのアプライアンスが直ちに保護されます。IP アドレスの動的な変更は、高度な機械学習を使用して高速かつ正確に処理されます。

Webroot のデータシートに記載されているように、Webroot のセンサーネットワークは、スパムソース、Windows エクスプロイト、ボットネット、スキャナなど、多くの IP 脅威の種類を特定します。(データシート上のフロー図を参照してください)。

Citrix ADCアプライアンスは、iprep クライアントプロセスを使用してWebrootからデータベースを取得します。iprepクライアントは、HTTP GET メソッドを使用して、初めて Webroot から絶対 IP リストを取得します。その後、デルタの変更を 5 分ごとに 1 回チェックします。

重要:

  • IPレピュテーション機能を使用する前に、Citrix ADCアプライアンスにインターネットアクセスがあり、DNSが設定されていることを確認します。

  • Webrootデータベースにアクセスするには、Citrix ADCアプライアンスが ポート443api.bcti.brightcloud.comに接続できる必要があります。HA デプロイメントまたはクラスタデプロイメントの各ノードは Webroot からデータベースを取得し、この完全修飾ドメイン名 (FQDN) にアクセスできる必要があります。

  • Webroot は現在 AWS で評価データベースをホストしています。したがって、Citrix ADCはレピュテーションデータベースをダウンロードするためにAWSドメインを解決できる必要があります。また、ファイアウォールは AWS ドメイン用に開かれている必要があります。

  • Citrix ADC アプライアンスは、ポート 443wiprep-daily.*.amazonaws.comに接続して、AWS から IP データを取得できます。

  • IPrepは、Citrix ADCアプライアンスから使用状況分析を収集し、そのデータをCitrix ADMサービスに送信します。

注:

IP レピュテーション機能が有効になっている場合、各パケットエンジンが正しく機能するには、少なくとも 4 GB が必要です。

高度なポリシー式。Web アプリケーションファイアウォールやレスポンダなど、サポートされているモジュールにバインドされたポリシーで、高度なポリシー式 (既定の構文式) を使用して IP レピュテーション機能を構成します。次に、クライアント IP アドレスが悪意のあるかどうかを検出するために使用できる式を示す 2 つの例を示します。

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: クライアントが悪意のある IP リストに含まれている場合、この式は TRUE と評価されます。
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): クライアント IP が悪意のある IP であり、指定された脅威カテゴリにある場合、この式は TRUE と評価されます。

脅威カテゴリに指定できる値は次のとおりです。

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, CLOUD_PROVIDERS, MOBILE_THREATS.

注:

IP レピュテーション機能は、送信元と宛先の両方の IP アドレスをチェックします。ヘッダー内の悪意のある IP を検出します。ポリシーの PI 式で IP アドレスを識別できる場合は、IP レピュテーションチェックによって悪意があるかどうかが判断されます。

IPRep ログメッセージ。/var/log/iprep.logファイルには、Webrootデータベースとの通信に関する情報をキャプチャする有用なメッセージが含まれています。この情報は、ウェブルート通信中に使用される認証情報、ウェブルートとの接続の失敗、アップデートに含まれる情報(データベース内の IP アドレスの数など)に関する情報です。

ポリシーデータセットを使用して、IPのブロックリストまたは許可リストを作成する。許可リストを維持して、Webroot データベースでブロックされている特定の IP アドレスへのアクセスを許可することができます。また、Webroot レピュテーションチェックを補完するために、カスタマイズされた IP アドレスのブロックリストを作成することもできます。これらのリストは、ポリシー データセットを使用して作成できます。データセットは、IPv4 アドレスのマッチングに最適な、特殊な形式のパターンセットです。データセットを使用するには、まずデータセットを作成し、IPv4 アドレスをバインドします。パケット内の文字列を比較するためのポリシーを設定する場合は、適切な演算子を使用して、パターンセットまたはデータセットの名前を引数として渡します。

IP レピュテーション評価中に例外として処理するアドレスの許可リストを作成するには、次の手順を実行します。

  • 許可リストのアドレスが Webroot (または任意のサービスプロバイダー) によって悪意のあるアドレスとしてリストされている場合でも、PI 式が False と評価されるようにポリシーを構成します。

IP レピュテーションの有効化または無効化。IP レピュテーションは、ライセンスベースの一般的なレピュテーション機能の一部です。レピュテーション機能を有効または無効にすると、IP レピュテーションを有効または無効にします。

一般的な手順。IP レピュテーションの展開には、次のタスクが含まれます。

  • Citrix ADCアプライアンスにインストールされているライセンスがIPレピュテーションをサポートしていることを確認します。プレミアムアプリケーションファイアウォールライセンスおよびスタンドアロンアプリケーションファイアウォールライセンスは、IP レピュテーション機能をサポートします。
  • IP レピュテーションおよびアプリケーションファイアウォール機能を有効にします。
  • アプリケーションファイアウォールプロファイルを追加します。
  • IP レピュテーションデータベース内の悪意のある IP アドレスを識別するために、PI 式を使用してアプリケーションファイアウォールポリシーを追加します。
  • アプリケーションファイアウォールポリシーを適切なバインドポイントにバインドします。
  • 悪意のあるアドレスから受信した要求がファイルに記録されていることを確認し、その要求がプロns.log ファイルに指定されているとおりに処理されたことを示します。

CLI を使用した IP レピュテーション機能の設定

コマンドプロンプトで、次のように入力します。

  • enable feature reputation
  • disable feature reputation

次の例は、PI 式を使用して悪質なアドレスを識別するアプリケーションファイアウォールポリシーを追加する方法を示しています。組み込みプロファイルを使用するか、プロファイルを追加するか、要求がポリシーと一致したときに目的のアクションを呼び出すように既存のプロファイルを設定できます。

例 3 および 4 は、ポリシーデータセットを作成して、IP アドレスのブロックリストまたは許可リストを生成する方法を示しています。

例1:

次のコマンドは、悪意のある IP アドレスを識別し、一致がトリガーされた場合に要求をブロックするポリシーを作成します。

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

例2:

次のコマンドは、レピュテーションサービスを使用してX-Forwarded-For ヘッダー内のクライアント IP アドレスをチェックし、一致がトリガーされた場合に接続をリセットするポリシーを作成します。

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

例 3:

次に、リストを追加して、指定した IP アドレスを許可する例外を追加する例を示します。

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

例 4:

次に、カスタマイズしたリストを追加して、指定した IP アドレスに悪意のあるフラグを付ける例を示します。

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

例 5:

次の例は、次の条件でクライアント IP をブロックするポリシー式を示しています。

  • カスタマイズされた Block_list1 で設定された IP アドレスと一致する(例 4)
  • これは、Allow_list1 に含めることによって緩和されない限り、Webroot データベースに記載されている IP アドレスと一致します (例 3)。
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK

プロキシサーバを使用する:

Citrix ADCアプライアンスがインターネットに直接アクセスできず、プロキシに接続されている場合は、プロキシに要求を送信するようにIPレピュテーションクライアントを構成します。

コマンドプロンプトで、次のように入力します。

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

例:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

注:

プロキシサーバー IP には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。

Citrix ADC GUIを使用してIPレピュテーションを構成する

  1. [システム] > [設定]に移動します。[モードと機能] セクションで、リンクをクリックして [高度な機能の設定] ペインにアクセスし、[レピュテーション] チェックボックスを有効にします。
  2. [OK] をクリックします。

IP レピュテーションを有効にする

Citrix ADC GUIを使用してプロキシサーバーを構成するには

  1. 設定タブで、[セキュリティ] > [レピュテーション]に移動します。[設定] の [レピュテーション設定の変更] をクリックして、プロキシサーバーを構成します。レピュテーション機能を有効または無効にすることもできます。プロキシサーバー には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定できます。プロキシポート は[1–65535]の間の値を受け入れます。

レピュテーション設定

GUIを使用してクライアントIPアドレスの許可リストとブロックリストを作成する

  1. [構成] タブで、[AppExpert] > [データセット] に移動します。
  2. [追加] をクリックします。

データセットの構成

  • [データセットの作成] (または [データセットの構成]) ペインで、IP アドレスの一覧にわかりやすい名前を入力します。名前は、リストの目的を反映している必要があります。
  • [タイプ] として [IPv4**] を選択します。
  • [挿入] をクリックしてエントリを追加します。

データセットの挿入

  • [ポリシーデータセットバインドの構成] ウィンドウで、[値] 入力ボックスに IPv4 形式の IP アドレスを追加します。
  • インデックスを指定します。
  • リストの目的を説明するコメントを追加します。この手順は省略可能ですが、説明的なコメントはリストの管理に役立つので、推奨されます。

同様に、ブロックリストを作成し、悪意のあると見なされる IP アドレスを追加することもできます。

データセットの使用とデフォルトの構文ポリシー式の設定の詳細については、パターンセットとデータセットを参照してください。

Citrix ADC GUIを使用してアプリケーションファイアウォールポリシーを構成する

  1. [設定] タブで、[セキュリティ] > [アプリケーションファイアウォール] > [ポリシー] > [ファイアウォール] に移動します。[Add] をクリックして、PI 式を使用して IP レピュテーションを使用するポリシーを追加します。

式エディタを使用して、独自のポリシー式を作成することもできます。このリストには、脅威カテゴリを使用した式の設定に役立つ事前設定オプションが表示されます。

ハイライト

  • さまざまな種類の脅威を発生させる既知の悪意のある IP アドレスから、ネットワークのエッジで不正トラフィックを迅速かつ正確に阻止します。本文を解析せずにリクエストをブロックできます。
  • 複数のアプリケーションに対して IP レピュテーション機能を動的に構成します。
  • パフォーマンスを低下させることなく、ネットワークをデータ侵害から保護し、迅速かつ容易な導入により、保護を単一のサービスファブリックに統合します。
  • 送信元と宛先 IP の IP レピュテーションチェックを実行できます。
  • また、ヘッダーを検査して悪意のある IP を検出することもできます。
  • IP レピュテーションチェックは、フォワードプロキシ展開とリバースプロキシ展開の両方でサポートされます。
  • IPレピュテーションプロセスはWebrootに接続し、5分ごとにデータベースを更新します。
  • 高可用性(HA)またはクラスタ展開の各ノードは、Webrootからデータベースを取得します。
  • IP レピュテーションデータは、管理パーティション展開のすべてのパーティションで共有されます。
  • AppExpert データセットを使用して IP アドレスのリストを作成し、Webroot データベースでブロックされている IP の例外を追加できます。また、独自のカスタマイズされたブロックリストを作成して、特定の IP を悪意のあるものとして指定することもできます。
  • iprep.db ファイルが /var/nslog/iprep フォルダに作成されます。一度作成すると、フィーチャが無効になっていても削除されません。
  • レピュテーション機能を有効にすると、Citrix ADC Webrootデータベースがダウンロードされます。その後、5分ごとに更新されます。
  • Webrootデータベースのメジャーバージョンはバージョンです:1.
  • マイナーバージョンは毎日更新されます。アップデートバージョンは 5 分ごとにインクリメントされ、マイナーバージョンがインクリメントされると 1 にリセットされます。
  • PI 式を使用すると、応答側や書き換えなどの他の機能で IP レピュテーションを使用できます。
  • データベース内の IP アドレスは 10 進表記です。

デバッグに関するヒント

  • GUIにレピュテーション機能が表示されない場合は、適切なライセンスがあることを確認してください。
  • var/log/iprep.logのメッセージをモニタして、デバッグを行います。
  • Webroot接続ns iprep: Not able to connect/resolve WebRootメッセージが表示された場合は、アプライアンスにインターネットアクセスがあり、DNSが設定されていることを確認します。
  • プロキシサーバー:ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameメッセージが表示された場合は、プロキシサーバーの構成が正確であることを確認します。
  • IP レピュテーション機能が機能しない: レピュテーション機能を有効にした後、IP レピュテーションプロセスの開始に約 5 分かかります。その間、IP レピュテーション機能が機能しない可能性があります。
  • データベースのダウンロード: IP レピュテーション機能を有効にした後、IP DB データのダウンロードに失敗すると、ログに次のエラーが表示されます。

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

解決方法: 次の URL へのアウトバウンドトラフィックを許可するか、プロキシを設定して問題を解決します。

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443

IPレピュテーション