Citrix ADC

Citrix ADCとパッシブセキュリティデバイスの統合(侵入検知システム)

Citrix ADCアプライアンスは、侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されました。これらのパッシブデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンスのためのレポートも生成します。Citrix ADCアプライアンスが2つ以上のIDSデバイスに統合されており、トラフィックが多い場合、アプライアンスは仮想サーバーレベルでトラフィックのクローンを作成することでデバイスの負荷を分散できます。

高度なセキュリティ保護のために、Citrix ADCアプライアンスは、検出専用モードで展開されたIDSなどのパッシブセキュリティデバイスと統合されています。これらのデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンスのためのレポートも生成します。Citrix ADCをIDSデバイスと統合する利点の一部を次に示します。

  • 暗号化されたトラフィックを検査する。ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため、サーバは攻撃に対して脆弱になります。Citrix ADCアプライアンスは、トラフィックを復号化してIDSデバイスに送信し、顧客のネットワークセキュリティを強化できます。
  • インラインデバイスを TLS/SSL 処理からオフロードする。TLS/SSL の処理にはコストがかかり、侵入検知デバイスがトラフィックを復号化すると、システム CPU が高くなります。暗号化されたトラフィックが急速に増加するにつれて、これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは、TLS/SSL処理からIDSデバイスへのトラフィックをオフロードするのに役立ちます。この方法でデータをオフロードすると、IDS デバイスは大量のトラフィックインスペクションをサポートすることになります。
  • IDS デバイスの負荷分散Citrix ADCアプライアンスは、トラフィックが多い場合、仮想サーバーレベルでトラフィックのクローンを作成することにより、複数のIDSデバイスの負荷を分散します。
  • トラフィックをパッシブデバイスに複製する。アプライアンスに流入するトラフィックは、コンプライアンスレポートを生成するために、他のパッシブデバイスに複製できます。たとえば、一部のパッシブデバイスにすべてのトランザクションを記録するよう義務付けている政府機関はほとんどありません。
  • トラフィックを複数のパッシブデバイスにファンニングする。一部のお客様は、着信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。
  • トラフィックのスマートな選択。アプライアンスに流入するすべてのパケットは、テキストファイルのダウンロードなど、内容を検査する必要がない場合があります。ユーザーは、特定のトラフィック(.exeファイルなど)を検査用に選択し、そのトラフィックをIDSデバイスに送信してデータを処理するようにCitrix ADCアプライアンスを構成できます。

Citrix ADCがL2接続を備えたIDSデバイスとどのように統合されるか

次の図は、IDSがCitrix ADCアプライアンスとどのように統合されるかを示しています。

IDS 統合

コンポーネントの相互作用は次のように与えられます。

  1. クライアントは、HTTP/HTTPS要求をCitrix ADCアプライアンスに送信します。
  2. アプライアンスはトラフィックをインターセプトし、コンテンツインスペクションポリシーの評価に基づいて IDS デバイスに複製します。
  3. トラフィックが暗号化されたものである場合、アプライアンスはデータを復号化し、プレーンテキストとして送信します。
  4. ポリシー評価に基づいて、アプライアンスは「MIRROR」タイプのコンテンツ検査アクションを適用します。
  5. アクションには、IDS サービスまたは負荷分散サービス (複数の IDS デバイス統合用) が設定されています。
  6. IDS デバイスは、アプライアンス上でコンテンツ検査サービスタイプ「Any」として設定されています。コンテンツ検査サービスは、IDS デバイスにデータを転送する必要がある出力インターフェイスを指定する「MIRROR」タイプのコンテンツ検査プロファイルに関連付けられます。オプションで、コンテンツ検査プロファイルに VLAN タグを設定することもできます。

    注:

    • IDS サービスまたはサーバに使用される IP アドレスはダミーアドレスです。
    • Citrix ADCアプライアンスは、出力インターフェイスでLAチャネルをサポートしていません。
  7. その後、アプライアンスは出力インターフェイスを介して 1 つ以上の IDS デバイスにデータを複製します。
  8. 同様に、バックエンドサーバーがCitrix ADCに応答を送信すると、アプライアンスはデータを複製してIDSデバイスに転送します。
  9. アプライアンスが 1 つ以上の IDS デバイスに統合されていて、デバイスの負荷分散を希望する場合は、負荷分散仮想サーバを使用できます。

ソフトウェアライセンス

インラインデバイス統合を展開するには、Citrix ADCアプライアンスに次のいずれかのライセンスをプロビジョニングする必要があります。

  1. ADC Premium
  2. ADC Advanced
  3. Telco Advanced
  4. Telco プレミアム

侵入検知システム統合の設定

IDSデバイスとCitrix ADCは、2つの異なる方法で統合できます。

シナリオ 1: 単一の IDS デバイスとの統合

コマンドラインインターフェイスを使用して設定する必要がある手順を次に示します。

  1. コンテンツ検査を有効にする
  2. IDS デバイスを表すサービス用に、MIRROR タイプのコンテンツ検査プロファイルを追加します。
  3. タイプ「ANY」の IDS サービスを追加する
  4. タイプ「MIRROR」のコンテンツ検査アクションを追加する
  5. IDS 検査のコンテンツ検査ポリシーを追加する
  6. コンテンツ検査ポリシーを HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする

コンテンツ検査を有効にする

Citrix ADCアプライアンスが検査のためにコンテンツをIDSデバイスに送信するようにするには、復号化の実行に関係なく、コンテンツ検査と負荷分散機能を有効にする必要があります。

コマンドプロンプトで入力します。

enable ns feature contentInspection LoadBalancing

タイプ「MIRROR」のコンテンツ検査プロファイルの追加

「MIRROR」タイプのコンテンツ検査プロファイルは、IDS デバイスへの接続方法を説明しています。 コマンドプロンプトで、「」と入力します。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

IDS サービスの追加

アプライアンスと統合されている IDS デバイスごとに、「ANY」タイプのサービスを設定する必要があります。このサービスには IDS デバイス設定の詳細が含まれています。このサービスは IDS デバイスを表します。

コマンドプロンプトで入力します。

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

:

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

IDS サービスの MIRROR タイプのコンテンツ検査アクションを追加する

コンテンツ検査機能を有効にして IDS プロファイルとサービスを追加したら、要求を処理するための Content Inspection アクションを追加する必要があります。コンテンツ検査アクションに基づいて、アプライアンスは IDS デバイスにデータをドロップ、リセット、ブロック、または送信できます。

コマンドプロンプトで入力します。

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

:

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

IDS 検査のコンテンツ検査ポリシーを追加する

コンテンツ検査アクションを作成したら、コンテンツ検査ポリシーを追加して検査の要求を評価する必要があります。このポリシーは、1 つ以上の式で構成されるルールに基づいています。ポリシーは、ルールに基づいてインスペクション対象のトラフィックを評価し、選択します。

コマンドプロンプトで、次のように入力します。

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

コンテンツ検査ポリシーを HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする

Web トラフィックを受信するには、負荷分散仮想サーバーを追加する必要があります。 コマンドプロンプトで入力します。

add lb vserver <name> <vserver name>

:

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

コンテンツ検査ポリシーを HTTP/SSL タイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーにバインドする

HTTP/SSL タイプの負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

:

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

シナリオ 2: 複数の IDS デバイスの負荷分散

2 つ以上の IDS デバイスを使用している場合は、異なるコンテンツ検査サービスを使用してデバイスの負荷分散を行う必要があります。この場合、Citrix ADCアプライアンスは、トラフィックのサブセットを各デバイスに送信するだけでなく、デバイスの負荷を分散します。 基本的な設定手順については、シナリオ 1 を参照してください。

複数の IDS デバイスの負荷分散

コマンドラインインターフェイスを使用して設定する必要がある手順を次に示します。

  1. IDS サービス 1 の MIRROR タイプのコンテンツ検査プロファイル 1 を追加します。
  2. IDS サービス 2 の MIRROR タイプのコンテンツ検査プロファイル 2 を追加する
  3. IDS デバイス 1 にタイプ ANY の IDS サービス 1 を追加する
  4. IDS デバイス 2 にタイプ ANY の IDS サービス 2 を追加する
  5. ANY タイプの負荷分散仮想サーバを追加する
  6. IDS サービス 1 を負荷分散仮想サーバーにバインドする
  7. IDS サービス 2 を負荷分散仮想サーバーにバインドする
  8. IDS デバイスの負荷分散のためのコンテンツ検査アクションを追加します。
  9. 検査用のコンテンツ検査ポリシーを追加する
  10. HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーを追加する
  11. コンテンツ検査ポリシーを HTTP/SSL タイプの負荷分散仮想サーバーにバインドする

IDS サービス 1 の MIRROR タイプのコンテンツ検査プロファイル 1 を追加します

IDS 設定は、コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルにはデバイス設定のコレクションがあります。コンテンツ検査プロファイル 1 が IDS サービス 1 用に作成されます。

コマンドプロンプトで入力します。

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

IDS サービス 2 のタイプ MIRROR のコンテンツ検査プロファイル 2 を追加する

サービス 2 にはコンテンツ検査プロファイル 2 が追加され、インラインデバイスは出力 1/1 インターフェイスを介してアプライアンスと通信します。

コマンドプロンプトで入力します。

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

IDS デバイス 1 にタイプ ANY の IDS サービス 1 を追加する

コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 1 のインラインサービス 1 を負荷分散設定の一部として追加する必要があります。追加したサービスによって、インライン構成の詳細がすべて提供されます。

コマンドプロンプトで入力します。

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

この例で示されている IP アドレスはダミーの IP アドレスです。

IDS デバイス 2 にタイプ ANY の IDS サービス 2 を追加する

コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 2 にインラインサービス 2 を追加する必要があります。追加したサービスによって、インライン構成の詳細がすべて提供されます。

コマンドプロンプトで入力します。

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

この例で示されている IP アドレスはダミーの IP アドレスです。

負荷分散仮想サーバの追加

インラインプロファイルとサービスを追加したら、サービスの負荷分散用の負荷分散仮想サーバを追加する必要があります。

コマンドプロンプトで入力します。

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

IDS サービス 1 を負荷分散仮想サーバーにバインドする

負荷分散仮想サーバーを追加したら、負荷分散仮想サーバーを最初のサービスにバインドします。

コマンドプロンプトで入力します。

bind lb vserver <Vserver_name> <Service_name_1>

例:

bind lb vserver lb-IDS_vserver IDS_service1

IDS サービス 2 を負荷分散仮想サーバーにバインドする

負荷分散仮想サーバーを追加したら、そのサーバーを 2 番目のサービスにバインドします。

コマンドプロンプトで入力します。

bind lb vserver <Vserver_name> <Service_name_1>

例:

bind lb vserver lb-IDS_vserver IDS_service2

IDS サービスのコンテンツ検査アクションを追加する

コンテンツ検査機能を有効にしたら、インラインリクエスト情報を処理するための「コンテンツ検査」アクションを追加する必要があります。選択したアクションに基づいて、アプライアンスは IDS デバイスへのトラフィックをドロップ、リセット、ブロック、または送信します。

コマンドプロンプトで入力します。

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

検査用のコンテンツ検査ポリシーを追加する

コンテンツ検査アクションを作成したら、サービス要求を評価するコンテンツ検査ポリシーを追加する必要があります。

コマンドプロンプトで、次のように入力します。

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーを追加する

Web トラフィックを受け入れるために、コンテンツスイッチングまたは負荷分散仮想サーバーを追加します。また、仮想サーバ上で layer2 接続を有効にする必要があります。

負荷分散の詳細については、「 負荷分散の仕組み 」トピックを参照してください。

コマンドプロンプトで入力します。

add lb vserver <name> <vserver name>

例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

コンテンツ検査ポリシーを HTTP/SSL タイプの負荷分散仮想サーバーにバインドする

HTTP/SSL タイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。

コマンドプロンプトで、次のように入力します。

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Citrix ADC GUIを使用してインラインサービス統合を構成する

  1. [ セキュリティ ] > [ コンテンツ検査 ] > [ コンテンツ検査プロファイル] に移動します。
  2. [ コンテンツ検査プロファイル ] ページで、[ 追加] をクリックします。
  3. [コンテンツ検査プロファイルの作成 ] ページで、次のパラメータを設定します。
    1. プロファイル名。IDS のコンテンツ検査プロファイルの名前。
    2. [タイプ]。プロファイルタイプを MIRROR として選択します。
    3. 出力インターフェイス。Citrix ADC からIDSデバイスにトラフィックが送信されるインターフェイス。
    4. 出力 VLAN(任意)トラフィックが IDS デバイスに送信される際のインターフェイス VLAN ID。
  4. [作成] をクリックします。

    コンテンツ検査プロファイルの作成

  5. トラフィック管理 > 負荷分散 > サービスに移動し追加をクリックします
  6. [ 負荷分散サービス ] ページで、コンテンツ検査サービスの詳細を入力します。
  7. [詳細設定] セクションで、[ プロファイル] をクリックします。
  8. [ プロファイル ] セクションに移動し、[ 鉛筆 ] アイコンをクリックしてコンテンツ検査プロファイルを追加します。
  9. [OK] をクリックします。

    コンテンツ検査プロファイルの作成

  10. [ 負荷分散 ] > [ サーバー] に移動します。HTTP または SSL タイプの仮想サーバを追加します。
  11. サーバーの詳細を入力したら、「 OK」 をクリックし、もう一度「 OK」をクリックします。
  12. [詳細設定] セクションで、[ ポリシー] をクリックします。
  13. [ ポリシー ] セクションに移動し、[ 鉛筆 ] アイコンをクリックしてコンテンツ検査ポリシーを設定します。
  14. [ポリシーの選択] ページで、[ コンテンツ検査] を選択します。[続行] をクリックします。
  15. [ ポリシーバインド ] セクションで、[+] をクリックしてコンテンツ検査ポリシーを追加します。
  16. [ CI ポリシーの作成 ] ページで、インラインコンテンツ検査ポリシーの名前を入力します。
  17. [ Action ] フィールドで [+] 記号をクリックし、MIRROR タイプの IDS コンテンツ検査アクションを作成します。
  18. [CI アクションの作成 ] ページで、次のパラメータを設定します。

    1. Name:コンテンツ検査インラインポリシーの名前。
    2. [タイプ]。タイプとして MIRROR を選択します。
    3. サーバー名:サーバ/サービス名を [インラインデバイス] として選択します。
    4. サーバーがダウンした場合。サーバがダウンした場合のオペレーションを選択します。
    5. リクエストのタイムアウト。タイムアウト値を選択します。デフォルト値を使用できます。
    6. タイムアウトアクションの要求。タイムアウトアクションを選択します。デフォルト値を使用できます。
  19. [作成] をクリックします。

    コンテンツ検査アクションを作成

  20. [CI ポリシーの作成 ] ページで、その他の詳細を入力します。
  21. OKをクリックして閉じます

負荷分散およびIDSデバイスへのトラフィックのレプリケーションに関するCitrix ADC GUI構成の詳細については、「 負荷分散」を参照してください。

コンテンツ検査ポリシーの作成

コンテンツ変換後にトラフィックをバックエンドオリジンサーバーに負荷分散および転送するためのCitrix ADC GUI構成の詳細については、「 負荷分散 」を参照してください。

Citrix ADCとパッシブセキュリティデバイスの統合(侵入検知システム)