Citrix ADC

IPレピュテーション

IP レピュテーションは、不要な要求を送信する IP アドレスを識別するツールです。IPレピュテーションリストを使用すると、レピュテーションの悪いIPアドレスからのリクエストを拒否できます。処理したくないリクエストをフィルタリングして、Webアプリケーションファイアウォールのパフォーマンスを最適化します。リクエストをリセット、ドロップ、または特定のレスポンダーアクションを実行するようにレスポンダーポリシーを構成することもできます。

IP レピュテーションを使用して防ぐことができるいくつかの攻撃を次に示します。

  • ウイルスに感染したパーソナルコンピュータ。 (ホームPC)は、インターネット上のスパムの最大のソースです。IP レピュテーションは、不要な要求を送信している IP アドレスを識別できます。IP レピュテーションは、既知の感染源からの大規模な DDoS、DoS、または異常な SYN フラッド攻撃をブロックする場合に特に役立ちます。
  • 一元管理および自動化されたボットネット。攻撃者は、パスワードを盗むために何百ものコンピュータが連携してパスワードを解読するのに時間がかかりませんので、人気を得ています。一般的に使用される辞書の単語を使用するパスワードを把握するために、ボットネット攻撃を開始するのは簡単です。
  • 侵害された Web サーバ。攻撃は、認知度やサーバーのセキュリティが高まっているため、一般的ではありません。そのため、ハッカーやスパマーはターゲットをより簡単に探します。ハッカーが侵害してスパム(ウイルスやポルノなど)を送信するために使用できるWebサーバーやオンラインフォームはまだあります。このようなアクティビティは、検出してすばやくシャットダウンしたり、SpamRatsなどのレピュテーションリストでブロックしたりするのが簡単です。
  • Windows のエクスプロイト。 (マルウェア、シェルコード、ルートキット、ワーム、ウイルスを提供または配布するActive IPなど)。
  • 既知のスパマーやハッカー
  • 大量の電子メールによるマーケティング・キャンペーン
  • フィッシングプロキシ (フィッシングサイトをホストするIPアドレス、および広告クリック詐欺やゲーム詐欺などの不正行為)。
  • 匿名プロキシ(TORとも呼ばれる 「オニオンルーター」を含むプロキシおよび匿名化サービスを提供するIP)。

Citrix ADCアプライアンスは、動的に生成された悪意のあるIPデータベースとそれらのIPアドレスのメタデータのサービスプロバイダーとして Webroot を使用します。メタデータには、ジオロケーションの詳細、脅威カテゴリ、脅威数などが含まれます。Webroot脅威インテリジェンスエンジンは、数百万のセンサーからリアルタイムのデータを受信します。自動的かつ継続的にキャプチャ、スキャン、分析、および高度な機械学習と行動分析を使用して、データをスコアします。脅威に関するインテリジェンスは継続的に更新されます。

ネットワーク内の任意の場所で脅威が検出されると、IP アドレスに悪意のあるフラグが付けられ、ネットワークに接続されているすべてのアプライアンスが直ちに保護されます。IP アドレスの動的な変更は、高度な機械学習を使用して高速かつ正確に処理されます。

Webrootのデータシートに記載されているように、Webrootのセンサーネットワークは、スパムソース、Windowsエクスプロイト、ボットネット、スキャナーなど、多くの主要なIP脅威タイプを識別します。(データシートのフロー図を参照してください。)

Citrix ADCアプライアンスは、iprep クライアントプロセスを使用してWebrootからデータベースを取得します。iprepクライアントは、HTTP GET メソッドを使用して、初めて Webroot から絶対 IP リストを取得します。その後、デルタの変更を 5 分ごとに 1 回チェックします。

重要:

  • IPレピュテーション機能を使用する前に、Citrix ADCアプライアンスにインターネットアクセスがあり、DNSが設定されていることを確認します。

  • Webrootデータベースにアクセスするには、 Citrix ADCアプライアンスポート443でapi.bcti.brightcloud.comに接続できる必要があります。HAまたはクラスターデプロイメントの各ノードはWebrootからデータベースを取得し、この完全修飾ドメイン名(FQDN)にアクセスできる必要があります。

  • Webroot は現在 AWS で評価データベースをホストしています。したがって、Citrix ADCは、レピュテーションデータベースをダウンロードするためにAWSドメインを解決できる必要があります。また、ファイアウォールはAWSドメインに対して開いている必要があります。

  • Citrix ADC アプライアンスは、ポート 443wiprep-daily.*.amazonaws.comに接続して、AWS から IP データを取得できます。

  • IPRepは、Citrix ADCアプライアンスから使用状況分析を収集し、そのデータをCitrix ADMサービスに送信します。

注:

IPレピュテーション機能が有効になっている場合、各パケットエンジンが正しく機能するには、少なくとも4GBが必要です。

高度なポリシー式。Webアプリケーションファイアウォールやレスポンダーなど、サポートされているモジュールにバインドされているポリシーで高度なポリシー式(デフォルトの構文式)を使用して、IPレピュテーション機能を構成します。次に、クライアント IP アドレスが悪意のあるかどうかを検出するために使用できる式を示す 2 つの例を示します。

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: クライアントが悪意のある IP リストに含まれている場合、この式は TRUE と評価されます。
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): クライアント IP が悪意のある IP であり、指定された脅威カテゴリにある場合、この式は TRUE と評価されます。

脅威カテゴリに指定できる値は次のとおりです。

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, ボットネット、 スキャナー、DOS、評判、フィッシング、プロキシ、ネットワーク、 CLOUD_PROVIDERS, MOBILE_THREATS, TOR_PROXY.

注:

IPレピュテーション機能は、送信元IPアドレスと宛先IPアドレスの両方をチェックします。ヘッダー内の悪意のあるIPを検出します。ポリシー内のPI式がIPアドレスを識別できる場合、IPレピュテーションチェックはそれが悪意があるかどうかを判断します。

IPレピュテーション脅威カテゴリ

IPRep ログメッセージ。/var/log/iprep.logファイルには、Webrootデータベースとの通信に関する情報をキャプチャする有用なメッセージが含まれています。情報には、Webroot通信中に使用される資格情報、Webrootとの接続の失敗、更新に含まれる情報(データベース内のIPアドレスの数など)に関するものがあります。

ポリシーデータセットを使用してIPのブロックリストまたは許可リストを作成します。許可リストを維持して、Webrootデータベースにブロックリストされている特定のIPアドレスへのアクセスを許可できます。IPアドレスのカスタマイズされたブロックリストを作成して、Webrootレピュテーションチェックを補足することもできます。これらのリストは、ポリシー データセットを使用して作成できます。データセットは、IPv4 アドレスのマッチングに最適な、特殊な形式のパターンセットです。データセットを使用するには、まずデータセットを作成し、IPv4 アドレスをバインドします。パケット内の文字列を比較するためのポリシーを構成するときは、適切な演算子を使用して、パターンセットまたはデータセットの名前を引数として渡します。

IPレピュテーション評価中に例外として扱うアドレスの許可リストを作成するには:

  • 許可リスト内のアドレスがWebroot(または任意のサービスプロバイダー)によって悪意のあるものとしてリストされている場合でも、PI式がFalseと評価されるようにポリシーを構成します。

IP レピュテーションの有効化または無効化。IP レピュテーションは、ライセンスベースの一般的なレピュテーション機能の一部です。レピュテーション機能を有効または無効にすると、IP レピュテーションを有効または無効にします。

一般的な手順。IP レピュテーションの展開には、次のタスクが含まれます。

  • Citrix ADCアプライアンスにインストールされているライセンスがIPレピュテーションをサポートしていることを確認します。プレミアムアプリケーションファイアウォールライセンスおよびスタンドアロンアプリケーションファイアウォールライセンスは、IP レピュテーション機能をサポートします。
  • IP レピュテーションおよびアプリケーションファイアウォール機能を有効にします。
  • アプリケーションファイアウォールプロファイルを追加します。
  • IP レピュテーションデータベース内の悪意のある IP アドレスを識別するために、PI 式を使用してアプリケーションファイアウォールポリシーを追加します。
  • アプリケーションファイアウォールポリシーを適切なバインドポイントにバインドします。
  • 悪意のあるアドレスから受信したリクエストが ns.log ファイルに記録され、プロファイルで指定されたとおりにリクエストが処理されたことを確認します。

CLIを使用してIPレピュテーション機能を設定する

コマンドプロンプトで、次のように入力します。

  • enable feature reputation
  • disable feature reputation

次の例は、PI 式を使用して悪質なアドレスを識別するアプリケーションファイアウォールポリシーを追加する方法を示しています。組み込みプロファイルを使用するか、プロファイルを追加するか、要求がポリシーと一致したときに目的のアクションを呼び出すように既存のプロファイルを設定できます。

例3および4は、ポリシーデータセットを作成してIPアドレスのブロックリストまたは許可リストを生成する方法を示しています。

例1:

次のコマンドは、悪意のある IP アドレスを識別し、一致がトリガーされた場合に要求をブロックするポリシーを作成します。

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

例2:

次のコマンドは、レピュテーションサービスを使用して X-Forwarded-For ヘッダーのクライアントIPアドレスを確認し、一致がトリガーされた場合に接続をリセットするポリシーを作成します。

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

例 3:

次に、リストを追加して、指定した IP アドレスを許可する例外を追加する例を示します。

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

例 4:

次に、カスタマイズしたリストを追加して、指定した IP アドレスに悪意のあるフラグを付ける例を示します。

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

例 5:

次の例は、次の条件でクライアントIPをブロックするポリシー式を示しています。

  • カスタマイズで設定されたIPアドレスと一致します Block_list1 (例4)
  • に含めることによって緩和されない限り、WebrootデータベースにリストされているIPアドレスと一致します。 Allow_list1 (例3)。
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK

プロキシサーバを使用する:

Citrix ADCアプライアンスがインターネットに直接アクセスできず、プロキシに接続されている場合は、プロキシに要求を送信するようにIPレピュテーションクライアントを構成します。

コマンドプロンプトで、次のように入力します。

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

例:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

注:

プロキシサーバー IP には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。

Citrix ADC GUIを使用してIPレピュテーションを構成する

  1. [システム] > [設定]に移動します。[モードと機能] セクションで、リンクをクリックして [高度な機能の設定] ペインにアクセスし、[レピュテーション] チェックボックスを有効にします。
  2. [OK] をクリックします。

IPレピュテーションを有効にする

Citrix ADC GUIを使用してプロキシサーバーを構成するには

  1. 設定タブで、[セキュリティ] > [レピュテーション]に移動します。[設定][レピュテーション設定の変更] をクリックして、プロキシサーバーを構成します。レピュテーション機能を有効または無効にすることもできます。プロキシサーバー には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定できます。プロキシポート は[1–65535]の間の値を受け入れます。

レピュテーション設定

GUIを使用して、クライアントIPアドレスの許可リストとブロックリストを作成します

  1. [構成] タブで、[AppExpert] > [データセット] に移動します。
  2. [追加] をクリックします。

データセットを構成する

  • [データセットの作成] (または [データセットの構成]) ペインで、IP アドレスの一覧にわかりやすい名前を入力します。名前はリストの目的を反映している必要があります。
  • [タイプ] として [IPv4] を選択します。
  • [挿入] をクリックしてエントリを追加します。

データセットの挿入

  • [ポリシーデータセットバインドの構成] ウィンドウで、[値] 入力ボックスに IPv4 形式の IP アドレスを追加します。
  • インデックスを指定します。
  • リストの目的を説明するコメントを追加します。この手順は省略可能ですが、説明的なコメントはリストの管理に役立つので、推奨されます。

同様に、ブロックリストを作成し、悪意のあると見なされるIPアドレスを追加できます。

データセットの使用とデフォルトの構文ポリシー式の設定の詳細については、パターンセットとデータセットを参照してください。

Citrix ADC GUIを使用してアプリケーションファイアウォールポリシーを構成する

  1. [設定] タブで、[セキュリティ] > [アプリケーションファイアウォール] > [ポリシー] > [ファイアウォール] に移動します。[Add] をクリックして、PI 式を使用して IP レピュテーションを使用するポリシーを追加します。

式エディタを使用して、独自のポリシー式を作成することもできます。このリストには、脅威カテゴリを使用した式の設定に役立つ事前設定オプションが表示されます。

ハイライト

  • さまざまな種類の脅威を発生させる既知の悪意のある IP アドレスから、ネットワークのエッジで不正トラフィックを迅速かつ正確に阻止します。本文を解析せずにリクエストをブロックできます。
  • 複数のアプリケーションに対して IP レピュテーション機能を動的に構成します。
  • パフォーマンスを低下させることなく、ネットワークをデータ侵害から保護し、迅速かつ容易な導入により、保護を単一のサービスファブリックに統合します。
  • 送信元と宛先 IP の IP レピュテーションチェックを実行できます。
  • また、ヘッダーを検査して悪意のある IP を検出することもできます。
  • IP レピュテーションチェックは、フォワードプロキシ展開とリバースプロキシ展開の両方でサポートされます。
  • IPレピュテーションプロセスはWebrootに接続し、5分ごとにデータベースを更新します。
  • 高可用性(HA)またはクラスタ展開の各ノードは、Webrootからデータベースを取得します。
  • IP レピュテーションデータは、管理パーティション展開のすべてのパーティションで共有されます。
  • AppExpertデータセットを使用してIPアドレスのリストを作成し、WebrootデータベースにブロックリストされているIPの例外を追加できます。独自にカスタマイズしたブロックリストを作成して、特定のIPを悪意のあるものとして指定することもできます。
  • iprep.db ファイルが /var/nslog/iprep フォルダに作成されます。一度作成すると、フィーチャが無効になっていても削除されません。
  • レピュテーション機能を有効にすると、Citrix ADC Webrootデータベースがダウンロードされます。その後、5分ごとに更新されます。
  • Webrootデータベースのメジャーバージョンはバージョンです:1.
  • マイナーバージョンは毎日更新されます。アップデートバージョンは 5 分ごとにインクリメントされ、マイナーバージョンがインクリメントされると 1 にリセットされます。
  • PI 式を使用すると、応答側や書き換えなどの他の機能で IP レピュテーションを使用できます。
  • データベース内の IP アドレスは 10 進表記です。

デバッグに関するヒント

  • GUIにレピュテーション機能が表示されない場合は、適切なライセンスがあることを確認してください。
  • var/log/iprep.logのメッセージをモニタして、デバッグを行います。
  • Webroot接続ns iprep: Not able to connect/resolve WebRootメッセージが表示された場合は、アプライアンスにインターネットアクセスがあり、DNSが設定されていることを確認します。
  • プロキシサーバー:ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameメッセージが表示された場合は、プロキシサーバーの構成が正確であることを確認します。
  • IP レピュテーション機能が機能しない: レピュテーション機能を有効にした後、IP レピュテーションプロセスの開始に約 5 分かかります。その間、IP レピュテーション機能が機能しない可能性があります。
  • データベースのダウンロード: IPレピュテーション機能を有効にした後でIP DBデータのダウンロードが失敗した場合、ログに次のエラーが表示されます。

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

解決方法: 次の URL へのアウトバウンドトラフィックを許可するか、プロキシを設定して問題を解決します。

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443
IPレピュテーション