ADC

Snort規則の統合

Web アプリケーションへの悪意のある攻撃では、内部ネットワークを保護することが重要です。悪意のあるデータは、インターフェースレベルでウェブアプリケーションに影響を与えるだけでなく、悪意のあるパケットがアプリケーション層にも届きます。このような攻撃を克服するには、内部ネットワークを検査する侵入検知および防止システムを構成することが重要です。

Snortルールはアプライアンスに統合され、アプリケーション層でデータパケット内の悪意のある攻撃を検査します。snot ルールをダウンロードして WAF シグニチャルールに変換できます。シグニチャは、DOS 攻撃、バッファオーバーフロー、ステルスポートスキャン、CGI 攻撃、SMB プローブ、OS フィンガープリンティングの試みなどの悪意のあるアクティビティを検出できるルールベースの設定になっています。Snort ルールを統合することで、インターフェースとアプリケーションレベルでセキュリティソリューションを強化できます。

Snort ルールを設定

設定は、最初に Snort ルールをダウンロードし、次に WAF シグニチャルールにインポートすることから始まります。ルールを WAF シグネチャに変換すると、そのルールを WAF セキュリティチェックとして使用できます。Snort ベースのシグニチャルールは、受信データパケットを検査して、ネットワークに悪意のある攻撃がないかどうかを検出します。

Snort ルールを WAF シグネチャに変換するための新しいパラメーター「vendorType」がインポートコマンドに追加されました。

パラメータ「vendorType」は、SNORT ルールに対してのみ SNORT で設定されます。

コマンドインターフェイスを使用して snort ルールをダウンロードする

Snort ルールは次の URL からテキストファイルとしてダウンロードできます。

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

コマンドインターフェイスを使用して Snort ルールをインポートする

ダウンロード後、Snort ルールをアプライアンスにインポートできます。

コマンドプロンプトで入力します。

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

例:

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

引数:

SRC。インポートされた署名オブジェクトを保存する場所の URL (プロトコル、ホスト、パス、およびファイル名)。

注:

インポートするオブジェクトが、アクセスにクライアント証明書認証を必要とする HTTPS サーバ上にある場合、インポートは失敗します。最大長の必須引数:2047

Name:NetScaler上の署名オブジェクトに割り当てる名前。最大長の必須引数:31

[コメント]。署名オブジェクトに関する情報を保存する方法の説明。 最大長:255 の上書き。同じ名前の既存の署名オブジェクトを上書きします。

マージ。既存の署名を新しい署名ルールと統合します。

保存された改ざん。シグニチャルールのデフアクションを保存します。

ベンダータイプ。WAF 署名を生成するサードパーティベンダー。指定できる値:スノート

NetScaler GUIを使用してSnortルールを構成する

Snort ルールの GUI 設定は、Cenzic、Qualys、Whitehat などの他の外部ウェブアプリケーションスキャナーの設定と似ています。

以下の手順に従って Snort を設定します。

  1. [ **構成] > [セキュリティ] > [NetScaler Web App Firewall] **[署名] に移動します。
  2. 署名」ページで、「追加」をクリックします。
  3. 署名の追加 」ページで、次のパラメータを設定して Snort ルールを設定します。

    1. ファイル形式。ファイルフォーマットを外部として選択します。
    2. からインポートします。インポートオプションを Snort ファイルまたは URL として選択し、URL を入力します。
    3. Snort V3 ベンダー。チェックボックスを選択して、ファイルまたは URL から Snort ルールをインポートします。
  4. [開く] をクリックします。

    署名を追加

    アプライアンスは Snort ルールを Snort ベースの WAF 署名ルールとしてインポートします。

    署名を追加

    ベストプラクティスとして、フィルタアクションを使用して、アプライアンスに WAF 署名ルールとしてインポートしたいSNORTルールを有効にする必要があります。

    Snort ベースのシグネチャをインポートします

  5. 確認するには、「 はい」をクリックします。

    確認ダイアログボックス

  6. 選択したルールがアプライアンスで有効になります。

    Snortベースの署名ルールを有効にしました

  7. [OK] をクリックします。
Snort規則の統合

この記事の概要