Citrix ADC

IPレピュテーション

IP レピュテーションは、不要な要求を送信する IP アドレスを識別するツールです。IP レピュテーションリストを使用すると、レピュテーションの悪い IP アドレスからのリクエストを拒否できます。処理しない要求をフィルタリングして、Web アプリケーションファイアウォールのパフォーマンスを最適化します。リセット、要求のドロップ、またはレスポンダーポリシーを構成して、特定のレスポンダーアクションを実行します。

次に、IP レピュテーションを使用して防止できる攻撃をいくつか挙げます。

  • ウイルスに感染したパーソナルコンピュータ。(自宅のPC)は、インターネット上のスパムの唯一の最大のソースです。IP レピュテーションは、不要な要求を送信している IP アドレスを識別できます。IP レピュテーションは、既知の感染元からの大規模な DDoS 攻撃、DoS 攻撃、または異常な SYN フラッド攻撃をブロックする場合に特に役立ちます。
  • 一元管理および自動化されたボットネット。攻撃者はパスワードを盗むことで人気を博しています。何百ものコンピュータが連携してパスワードを解読するのに時間がかからないからです。ボットネット攻撃を開始して、よく使われる辞書の単語を使用するパスワードを見つけ出すのは簡単です。
  • 侵害された Web サーバー。攻撃はそれほど一般的ではありません。なぜなら、意識とサーバーのセキュリティが高まっているため、ハッカーやスパマーはより簡単な標的を探します。ハッカーが妥協してスパム(ウイルスやポルノなど)を送信するために使用できるWebサーバーやオンラインフォームはまだあります。このようなアクティビティは、SpamRats などのレピュテーションリストを使用して検出してすばやくシャットダウンしたり、ブロックしたりするのが簡単です。
  • Windowsエクスプロイト。(マルウェア、シェルコード、ルートキット、ワーム、またはウイルスを提供または配布するアクティブIPなど)。
  • 既知のスパマーとハッカー
  • マスメールマーケティングキャンペーン
  • フィッシングプロキシ (フィッシングサイトをホストしているIPアドレス、および広告クリック詐欺やゲーム詐欺などのその他の詐欺)。
  • 匿名プロキシ (プロキシおよび匿名化サービスを提供するIP (オニオンルーター別名TORを含む)。

Citrix ADCアプライアンスは、 動的に生成された悪意のあるIPデータベースとそれらのIPアドレスのメタデータのサービスプロバイダーとしてWebrootを使用します 。メタデータには、位置情報の詳細、脅威カテゴリ、脅威数などが含まれます。Webroot 脅威インテリジェンスエンジンは、数百万のセンサーからリアルタイムデータを受信します。高度な機械学習と行動分析を使用して、データを自動的かつ継続的にキャプチャ、スキャン、分析、スコアリングします。脅威に関するインテリジェンスは継続的に更新されます。

ネットワーク内の任意の場所で脅威が検出されると、IP アドレスに悪意のあるフラグが付けられ、ネットワークに接続されているすべてのアプライアンスが即座に保護されます。IP アドレスの動的な変更は、高度な機械学習を使用して高速かつ正確に処理されます。

Webrootのデータシートに記載されているように、Webrootのセンサーネットワークは、スパムソース、Windowsエクスプロイト、ボットネット、スキャナーなど、多くの主要なIP脅威タイプを識別します。(データシートのフロー図を参照してください。)

Citrix ADCアプライアンスは、iprepクライアントプロセスを使用してWebrootからデータベースを取得します。iprepクライアントは HTTP GET メソッドを使用して、Webroot から絶対 IP リストを初めて取得します。その後、デルタの変更を 5 分ごとに 1 回チェックします。

重要:

  • IPレピュテーション機能を使用する前に、Citrix ADCアプライアンスにインターネットアクセスがあり、DNSが構成されていることを確認してください。

  • ウェブルートデータベースにアクセスするには、Citrix **ADCアプライアンスがポート443でapi.bcti.brightcloud.comに接続できる必要があります**。HA またはクラスタ展開の各ノードは、Webroot からデータベースを取得し、この完全修飾ドメイン名(FQDN)にアクセスできる必要があります。

  • Webroot は現在 AWS でレピュテーションデータベースをホストしています。したがって、Citrix ADCは、レピュテーションデータベースをダウンロードするためにAWSドメインを解決できる必要があります。また、ファイアウォールはAWSドメインに対して開いている必要があります。

注:

IP レピュテーション機能が有効の場合、各パケットエンジンが正しく機能するには、少なくとも 4 GB が必要です。

高度なポリシー式。Web アプリケーションファイアウォールやレスポンダなど、サポートされているモジュールにバインドされたポリシーで高度なポリシー式(高度なポリシー式)を使用して、IP レピュテーション機能を設定します。次に、クライアント IP アドレスが悪意があるかどうかを検出するために使用できる式を示す 2 つの例を示します。

  1. CLIENT.IP.SRC.IPREP_IS_MALICIALICE: この式は、クライアントが悪意のある IP リストに含まれている場合に TRUE と評価されます。
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (カテゴリ): この式は、クライアント IP が悪意のある IP であり、指定された脅威カテゴリにある場合に TRUE と評価されます。

脅威カテゴリに指定できる値は次のとおりです。

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, ボットネット, スキャナ, DOS, レピュテーション, フィッシング, プロキシ, ネットワーク, CLOUD_PROVIDERS, MOBILE_脅威, TOR_PROXY。

注:

IP レピュテーション機能は、送信元と宛先 IP アドレスの両方をチェックします。ヘッダー内の悪意のある IP を検出します。ポリシー内のPI式がIPアドレスを識別できる場合、IPレピュテーションチェックはそれが悪意があるかどうかを判断します。

iPrep ログメッセージ。/var/log/iprep.logファイルには、Webroot データベースとの通信に関する情報をキャプチャする便利なメッセージが含まれています。この情報には、Webroot 通信中に使用される資格情報、Webroot との接続の失敗、更新に含まれる情報(データベース内の IP アドレス数など)が含まれます。

ポリシーデータセットを使用して IP のブロックリストまたは許可リストを作成する。許可リストを維持して、Webroot データベースでブロックリストに登録されている特定の IP アドレスへのアクセスを許可できます。また、Webroot レピュテーションチェックを補完するために、IP アドレスのカスタマイズされたブロックリストを作成することもできます。これらのリストは、 ポリシーデータセットを使用して作成できます。データセットは、IPv4 アドレスのマッチングに最適な特殊なパターンセットです。データセットを使用するには、まずデータセットを作成し、そのデータセットに IPv4 アドレスをバインドします。パケット内の文字列を比較するポリシーを設定する場合は、適切な演算子を使用し、パターンセットまたはデータセットの名前を引数として渡します。

IP レピュテーション評価中に例外として処理するアドレスの許可リストを作成するには、次の手順を実行します。

  • 許可リストのアドレスが Webroot (または任意のサービスプロバイダー) によって悪意のあるアドレスとしてリストされている場合でも、PI 式が False と評価されるようにポリシーを構成します。

IP レピュテーションの有効化または無効化。IP レピュテーションは、ライセンスベースの一般レピュテーション機能の一部です。レピュテーション機能を有効または無効にすると、IP レピュテーションが有効または無効になります。

一般的な手順。IP レピュテーションの展開には、次のタスクが含まれます。

  • Citrix ADCアプライアンスにインストールされているライセンスにIPレピュテーションがサポートされていることを確認します。プレミアムおよびスタンドアロンのアプリケーションファイアウォールライセンスは、IP レピュテーション機能をサポートします。
  • IP レピュテーションおよびアプリケーションファイアウォール機能を有効にします。
  • アプリケーションファイアウォールプロファイルを追加します。
  • PI 式を使用して、IP レピュテーションデータベース内の悪意のある IP アドレスを識別するアプリケーションファイアウォールポリシーを追加します。
  • アプリケーションファイアウォールポリシーを適切なバインドポイントにバインドします。
  • 悪意のあるアドレスから受信した要求がns.logファイルに記録され、要求がプロファイルの指定どおりに処理されたことを示します。

CLI を使用して IP レピュテーション機能を設定する

コマンドプロンプトで入力します。

  • enable feature reputation
  • disable feature reputation

次の例は、PI 式を使用して悪意のあるアドレスを識別するアプリケーションファイアウォールポリシーを追加する方法を示しています。組み込みプロファイルを使用するか、プロファイルを追加するか、既存のプロファイルを設定して、リクエストがポリシー一致と一致したときに目的のアクションを呼び出すことができます。

例 3 と 4 は、IP アドレスのブロックリストまたは許可リストを生成するポリシーデータセットを作成する方法を示しています。

例1:

次のコマンドは、悪意のある IP アドレスを識別し、一致がトリガーされた場合に要求をブロックするポリシーを作成します。

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

例2:

次のコマンドは、レピュテーションサービスを使用してX-Forwarded-Forヘッダー内のクライアント IP アドレスをチェックし、一致がトリガーされた場合は接続をリセットするポリシーを作成します。

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

例 3:

次に、リストを追加して、指定した IP アドレスを許可する例外を追加する例を示します。

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

例 4:

次に、カスタマイズリストを追加して、指定した IP アドレスに悪意のあるフラグを付ける例を示します。

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

例 5:

次の例は、次の条件でクライアント IP をブロックするポリシー式を示しています。

  • カスタマイズされた block_list1 で設定された IP アドレスと一致します(例 4)
  • allow_list1 に含めることによって緩和されない限り、Webroot データベースにリストされている IP アドレスと一致します(例 3)。
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK
<!--NeedCopy-->

プロキシサーバーの使用:

Citrix ADCアプライアンスがインターネットに直接アクセスせず、プロキシに接続されている場合は、プロキシに要求を送信するようにIPレピュテーションクライアントを構成します。

コマンドプロンプトで入力します。

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

例:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

注:

プロキシサーバー IP には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定できます。

Citrix ADC GUIを使用してIPレピュテーションを構成する

  1. [ システム] > [設定]に移動します。[ モードと機能 ] セクションで、リンクをクリックして [ 高度な機能の構成 ] ウィンドウにアクセスし、[ レピュテーション ] チェックボックスをオンにします。
  2. OK」をクリックします。

IP レピュテーションを有効にする

Citrix ADC GUIを使用してプロキシサーバーを構成するには

  1. [設定] タブで、[ セキュリティ] > [レピュテーション] に移動します。[ 設定] で、[ レピュテーション設定の変更 ] をクリックしてプロキシサーバーを構成します。レピュテーション機能を有効または無効にすることもできます。プロキシサーバー には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定できます。プロキシポートは[1 ~ 65535]の値を受け入れます。

レピュテーション設定

GUI を使用してクライアント IP アドレスの許可リストとブロックリストを作成する

  1. [ 構成 ] タブで、[ AppExpert] > [データセット] に移動します。
  2. [追加] をクリックします。

データセットの設定

  • [ データセットの作成 ] (または [ データセットの構成]) ペインで、IP アドレスのリストに意味のある名前を入力します。名前は、リストの目的を反映している必要があります。
  • [ タイプ ] を IPv4として選択します。
  • [ Insert ] をクリックしてエントリを追加します。

データセットの挿入

  • [ ポリシーデータセットのバインドの設定 ] ウィンドウで、[値] 入力ボックスに IPv4 形式の IP アドレスを追加します。
  • インデックスを指定します。
  • リストの目的を説明するコメントを追加します。この手順はオプションですが、説明的なコメントがリストの管理に役立つため、推奨されています。

同様に、ブロックリストを作成し、悪意のあると見なされるIPアドレスを追加できます。

データセットの使用と高度なポリシー式の設定の詳細については、パターンセットとデータセットも参照してください

Citrix ADC GUIを使用してアプリケーションファイアウォールポリシーを構成する

  1. [ 構成 ] タブで、[ セキュリティ] > [アプリケーションファイアウォール] > [ポリシー] > [ファイアウォール] に移動します。[ 追加 (Add)] をクリックして、IP レピュテーションを使用する PI 式を使用するポリシーを追加します。

式エディタを使用して、独自のポリシー式を作成することもできます。このリストには、脅威カテゴリを使用して式を設定するのに役立つ、構成済みのオプションが表示されます。

ハイライト

  • さまざまな種類の脅威をもたらす既知の悪意のある IP アドレスから、ネットワークのエッジで不正なトラフィックを迅速かつ正確に阻止します。本文を解析せずにリクエストをブロックできます。
  • 複数のアプリケーションの IP レピュテーション機能を動的に設定します。
  • パフォーマンス・ペナルティなしでデータ侵害からネットワークを保護し、迅速かつ簡単な導入を使用して保護を単一のサービスファブリックに統合します。
  • 送信元と宛先 IP で IP レピュテーションチェックを実行できます。
  • ヘッダーを検査して、悪意のある IP を検出することもできます。
  • IP レピュテーションチェックは、フォワードプロキシとリバースプロキシの両方の展開でサポートされています。
  • IP レピュテーションプロセスは Webroot に接続し、5 分ごとにデータベースを更新します。
  • 高可用性 (HA) またはクラスタ展開の各ノードは、Webroot からデータベースを取得します。
  • IP レピュテーションデータは、管理パーティション展開のすべてのパーティションで共有されます。
  • AppExpert データセットを使用して IP アドレスのリストを作成し、Webroot データベースでブロックリストに登録されている IP の例外を追加できます。独自にカスタマイズしたブロックリストを作成して、特定のIPを悪意のあるものとして指定することもできます。
  • iprep.dbファイルが/var/nslog/iprepフォルダ内に作成されます。一度作成すると、フィーチャが無効になっていても削除されません。
  • レピュテーション機能が有効になると、Citrix ADC Webrootデータベースがダウンロードされます。その後、5分ごとに更新されます。
  • Webroot データベースのメジャーバージョンはバージョン:1 です。
  • マイナーバージョンは毎日更新されます。更新バージョンは 5 分ごとにインクリメントされ、マイナーバージョンがインクリメントされると 1 にリセットされます。
  • PI 式を使用すると、応答側や書き換えなどの他の機能で IP レピュテーションを使用できます。
  • データベース内の IP アドレスは 10 進表記です。

デバッグに関するヒント

  • GUI にレピュテーション機能が表示されない場合は、適切なライセンスがあることを確認します。
  • デバッグのために、var/log/iprep.logのメッセージをモニタします。
  • Webroot 接続: ns iprep: Not able to connect/resolve WebRootメッセージが表示された場合は、アプライアンスにインターネットアクセスがあり、DNS が設定されていることを確認します。
  • プロキシサーバー: ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameメッセージが表示された場合は、プロキシサーバーの設定が正確であることを確認してください。
  • IP レピュテーション機能が動作しない:レピュテーション機能を有効にすると、IP レピュテーションプロセスが開始するまでに約 5 分かかります。IP レピュテーション機能はその期間動作しない場合があります。
  • データベースのダウンロード:IP レピュテーション機能を有効にした後に IP DB データのダウンロードが失敗した場合、ログに次のエラーが表示されます。

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

解決方法: 次の URL へのアウトバウンドトラフィックを許可するか、プロキシを設定して問題を解決します。

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443
<!--NeedCopy-->
IPレピュテーション