ADC

IPレピュテーション

IP レピュテーションは、不要な要求を送信する IP アドレスを識別するツールです。IP レピュテーションリストを使用すると、レピュテーションの悪い IP アドレスからのリクエストを拒否できます。処理しない要求をフィルタリングして、Web アプリケーションファイアウォールのパフォーマンスを最適化します。リセット、要求のドロップ、またはレスポンダーポリシーを構成して、特定のレスポンダーアクションを実行します。

IP レピュテーションを使用して防止できる攻撃には、次のようなものがあります:

  • ウイルスに感染したパーソナルコンピュータ。(自宅のPC)は、インターネット上のスパムの唯一の最大のソースです。IP レピュテーションは、不要な要求を送信している IP アドレスを識別できます。IP レピュテーションは、既知の感染元からの大規模な DDoS 攻撃、DoS 攻撃、または異常な SYN フラッド攻撃をブロックする場合に特に役立ちます。
  • 一元管理および自動化されたボットネット。数百台のコンピューターが連携してパスワードを解読するのに時間がかからないため、攻撃者はパスワードを盗むことで人気を博しています。ボットネット攻撃を開始して、よく使われる辞書の単語を使用するパスワードを見つけ出すのは簡単です。
  • 侵害された Web サーバー。攻撃はそれほど一般的ではありません。なぜなら、意識とサーバーのセキュリティが高まっているため、ハッカーやスパマーはより簡単な標的を探します。ハッカーが妥協してスパム(ウイルスやポルノなど)を送信するために使用できるWebサーバーやオンラインフォームはまだあります。このようなアクティビティは、SpamRats などのレピュテーションリストを使用して検出してすばやくシャットダウンしたり、ブロックしたりするのが簡単です。
  • Windowsエクスプロイト。(マルウェア、シェルコード、ルートキット、ワーム、またはウイルスを提供または配布するアクティブIPなど)。
  • 既知のスパマーとハッカー
  • マスメールマーケティングキャンペーン
  • フィッシングプロキシ (フィッシングサイトをホストしているIPアドレス、および広告クリック詐欺やゲーム詐欺などのその他の詐欺)。
  • 匿名プロキシ (プロキシおよび匿名化サービスを提供するIP (オニオンルーター別名TORを含む)。

NetScalerアプライアンスは、 動的に生成される悪意のあるIPデータベースとそれらのIPアドレスのメタデータのサービスプロバイダーとしてWebrootを使用します 。メタデータには、位置情報の詳細、脅威カテゴリ、脅威数などが含まれます。Webroot 脅威インテリジェンスエンジンは、数百万のセンサーからリアルタイムデータを受信します。高度な機械学習と行動分析を使用して、データを自動的かつ継続的にキャプチャ、スキャン、分析、スコアリングします。脅威に関するインテリジェンスは継続的に更新されます。

NetScalerアプライアンスは、WebrootのusesIPレピュテーションデータベースを使用して、受信したリクエストの評判が悪いかどうかを検証します。データベースには、IP アドレス分類に基づく IP 脅威カテゴリの膨大なコレクションがあります。次に、IP 脅威のカテゴリとその説明を示します。

  • スパムソース。スパム送信元には、プロキシを介したスパムメッセージのトンネリング、異常な SMTP アクティビティ、フォーラムスパムアクティビティが含まれます。
  • Windows エクスプロイト。Windows Exploits カテゴリには、マルウェア、シェルコード、ルートキット、ワーム、またはウイルスを提供または配布するアクティブな IP アドレスが含まれます
  • ウェブ攻撃。Web 攻撃カテゴリには、クロスサイトスクリプティング、iFrame インジェクション、SQL インジェクション、クロスドメインインジェクション、またはドメインパスワードブルートフォース攻撃が含まれます
  • ボットネット。ボットネットカテゴリには、ボットネット、C&Cチャネル、ボットマスターが制御する感染したゾンビマシンが含まれます
  • スキャナー。スキャナーカテゴリには、プローブ、ホストスキャン、ドメインスキャン、パスワードブルートフォース攻撃など、すべての偵察が含まれます
  • サービス拒否。サービス拒否カテゴリには、DOS、DDOS、異常同期フラッド、異常トラフィック検出が含まれます
  • 評判。マルウェアに感染していることが現在わかっている IP アドレスからのアクセスを拒否します。このカテゴリには、Webroot レピュテーションインデックススコアが平均的に低い IP も含まれます。このカテゴリを有効にすると、マルウェアの配布ポイントに接触していると特定されたソースからのアクセスが防止されます。
  • フィッシング。フィッシングカテゴリには、フィッシングサイトをホストしているIPアドレス、広告クリック詐欺、ゲーム詐欺などのその他の種類の詐欺行為が含まれます
  • プロキシ。プロキシカテゴリには、プロキシサービスとデフサービスを提供する IP アドレスが含まれます。
  • モバイルの脅威。モバイル脅威カテゴリには、悪意のあるモバイルアプリケーションや望ましくないモバイルアプリケーションの IP アドレスが含まれます。このカテゴリは、Webroot モバイル脅威調査チームのデータを活用します。
  • Tor プロキシ。Tor Proxy カテゴリには、Tor ネットワークの出口ノードとして動作する IP アドレスが含まれます。終了ノードはプロキシチェーンに沿った最後のポイントで、オリジネータの意図したデスティネーションに直接コネクトします。

ネットワーク内の任意の場所で脅威が検出されると、IP アドレスに悪意のあるフラグが付けられ、ネットワークに接続されているすべてのアプライアンスが即座に保護されます。IP アドレスの動的な変更は、高度な機械学習を使用して高速かつ正確に処理されます。

Webroot のデータシートに記載されているように、Webroot のセンサーネットワークは、スパムソース、Windows エクスプロイト、ボットネット、スキャナーなど、多くの主要な IP 脅威の種類を特定しています。(データシートのフロー図を参照してください。)

NetScalerアプライアンスは、iprepクライアントプロセスを使用してWebrootからデータベースを取得します。iprepクライアントは HTTP GET メソッドを使用して、Webroot から絶対 IP リストを初めて取得します。その後、デルタの変更を 5 分ごとに 1 回チェックします。

重要:

  • IPレピュテーション機能を使用する前に、NetScalerアプライアンスがインターネットにアクセスでき、DNSが設定されていることを確認してください。

  • ウェブルートデータベースにアクセスするには、Citrix **ADCアプライアンスがポート443でapi.bcti.brightcloud.comに接続できる必要があります**。HA またはクラスタ展開の各ノードは、Webroot からデータベースを取得し、この完全修飾ドメイン名(FQDN)にアクセスできる必要があります。

  • Webroot は現在 AWS でレピュテーションデータベースをホストしています。そのため、NetScalerはレピュテーションデータベースをダウンロードするAWSドメインを解決できなければなりません。また、ファイアウォールはAWSドメインに対して開いている必要があります。

注:

IP レピュテーション機能が有効の場合、各パケットエンジンが正しく機能するには、少なくとも 4 GB が必要です。

高度なポリシー式。Web アプリケーションファイアウォールやレスポンダなど、サポートされているモジュールにバインドされたポリシーで高度なポリシー式(高度なポリシー式)を使用して、IP レピュテーション機能を設定します。クライアントの IP アドレスが悪意のあるものかどうかを検出するために使用できる式を示す 2 つの例を次に示します。

  1. CLIENT.IP.SRC.IPREP_IS_MALICIALICE: この式は、クライアントが悪意のある IP リストに含まれている場合に TRUE と評価されます。
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (カテゴリ): この式は、クライアント IP が悪意のある IP であり、指定された脅威カテゴリにある場合に TRUE と評価されます。
  3. CLIENT.IPV6.SRC.IPREP_IS_MALICIOUSおよび CLIENT.IPV6.SRC.IPREP_THREAT_CATEGORY: クライアント IP のタイプが IPv6 で、指定された脅威カテゴリの悪意のある IP アドレスである場合、この式は TRUE と評価されます。

脅威カテゴリに指定できる値は次のとおりです。

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, ボットネット, スキャナ, DOS, レピュテーション, フィッシング, プロキシ, ネットワーク, CLOUD_PROVIDERS, MOBILE_脅威, TOR_PROXY。

注:

IP レピュテーション機能は、送信元と宛先 IP アドレスの両方をチェックします。ヘッダー内の悪意のある IP を検出します。ポリシー内のPI式がIPアドレスを識別できる場合、IPレピュテーションチェックはそれが悪意があるかどうかを判断します。

iPrep ログメッセージ。/var/log/iprep.logファイルには、Webroot データベースとの通信に関する情報をキャプチャする便利なメッセージが含まれています。この情報には、Webroot 通信中に使用される資格情報、Webroot との接続の失敗、更新に含まれる情報(データベース内の IP アドレス数など)が含まれます。

ポリシーデータセットを使用して IP のブロックリストまたは許可リストを作成する。許可リストを維持して、Webroot データベースでブロックリストに登録されている特定の IP アドレスへのアクセスを許可できます。また、Webroot レピュテーションチェックを補完するために、IP アドレスのカスタマイズされたブロックリストを作成することもできます。これらのリストは、 ポリシーデータセットを使用して作成できます。データセットは、IPv4 または IPv6 アドレスのマッチングに最適な特殊なパターンセットです。データセットを使用するには、まずデータセットを作成し、IPv4 または IPv6 アドレスをそのデータセットにバインドします。パケット内の文字列を比較するポリシーを設定する場合は、適切な演算子を使用し、パターンセットまたはデータセットの名前を引数として渡します。

IP レピュテーション評価中に例外として処理するアドレスの許可リストを作成するには、次の手順を実行します。

  • 許可リストのアドレスが Webroot (または任意のサービスプロバイダー) によって悪意のあるアドレスとしてリストされている場合でも、PI 式が False と評価されるようにポリシーを構成します。

IP レピュテーションの有効化または無効化。IP レピュテーションは、ライセンスベースの一般レピュテーション機能の一部です。レピュテーション機能を有効または無効にすると、IP レピュテーションが有効または無効になります。

一般的な手順。IP レピュテーションの展開には、次のタスクが含まれます。

  • NetScalerアプライアンスにインストールされているライセンスにIPレピュテーションがサポートされていることを確認します。プレミアムおよびスタンドアロンのアプリケーションファイアウォールライセンスは、IP レピュテーション機能をサポートします。
  • IP レピュテーションおよびアプリケーションファイアウォール機能を有効にします。
  • アプリケーションファイアウォールプロファイルを追加します。
  • PI 式を使用して、IP レピュテーションデータベース内の悪意のある IP アドレスを識別するアプリケーションファイアウォールポリシーを追加します。
  • アプリケーションファイアウォールポリシーを適切なバインドポイントにバインドします。
  • 悪意のあるアドレスから受信した要求がns.logファイルに記録され、要求がプロファイルの指定どおりに処理されたことを示します。

CLI を使用して IP レピュテーション機能を設定する

コマンドプロンプトで入力します:

  • enable feature reputation
  • disable feature reputation

次の例は、PI 式を使用して悪意のあるアドレスを識別するアプリケーションファイアウォールポリシーを追加する方法を示しています。組み込みプロファイルを使用するか、プロファイルを追加するか、既存のプロファイルを設定して、リクエストがポリシー一致と一致したときに目的のアクションを呼び出すことができます。

例 3 と 4 は、IP アドレスのブロックリストまたは許可リストを生成するポリシーデータセットを作成する方法を示しています。

例1:

次のコマンドは、悪意のある IP アドレスを識別し、一致がトリガーされた場合に要求をブロックするポリシーを作成します。

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK add appfw policy pol1 CLIENT.IPv6.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\") .TYPECAST_IPv6_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET

例2:

次のコマンドは、レピュテーションサービスを使用してX-Forwarded-Forヘッダー内のクライアント IP アドレスをチェックし、一致がトリガーされた場合は接続をリセットするポリシーを作成します。

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

例 3:

次に、リストを追加して、指定した IP アドレスを許可する例外を追加する例を示します。

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

次に、指定した IPv6 アドレスを許可する例外を追加するリストを追加する例を示します。

add policy dataset Allow_list_ipv6 ipv6
bind policy dataset Allow_list_ipv6 fe80::98c7:d8ff:fe3a:b562 -index 1
bind policy dataset Allow_list_ipv6 fe80::98c7:d8ff:fe3a:b563  -index 2

<!--NeedCopy-->

例 4:

次に、カスタマイズリストを追加して、指定した IP アドレスに悪意のあるフラグを付ける例を示します。

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

次に、カスタマイズしたリストを追加して、指定した IPv6 アドレスに悪意のあるものとしてフラグを付ける例を示します。

add policy dataset Block_list_ipv6 ipv6
bind policy dataset Block_list_ipv6 fe80::98c7:d8ff:ff3b:b562 -index 1
bind policy dataset Block_list_ipv6 fe80::ffc7:d8ff:fe3a:b562 -index 2
<!--NeedCopy-->

例 5:

次の例は、次の条件でクライアント IP をブロックするポリシー式を示しています。

  • カスタマイズされた block_list1 で設定された IP アドレスと一致します(例 4)
  • allow_list1 に含めることによって緩和されない限り、Webroot データベースにリストされている IP アドレスと一致します(例 3)。
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK
<!--NeedCopy-->

次の例は、次の条件下でクライアント IPv6 をブロックするポリシー式を示しています。

  1. カスタマイズされた block_list_IPv6 に設定された IPv6 アドレスと一致します (例 4)
  2. allow_List_IPv6 に含めることで緩和されない限り、Webroot データベースにリストされている Ipv6 アドレスと一致します (例 3)。
add appfw policy "Ip_Rep_v6_Policy" "((CLIENT.IPV6.SRC.IPREP_IS_MALICIOUS || CLIENT.IPV6.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list_ipv6")) && ! (CLIENT.IPV6.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list_ipv6")))" APPFW_BLOCK
<!--NeedCopy-->

プロキシサーバーの使用:

NetScalerアプライアンスがインターネットに直接アクセスせず、プロキシに接続されている場合は、プロキシに要求を送信するようにIPレピュテーションクライアントを構成します。

アプライアンスのセキュリティを強化するために、プロキシサーバでプロキシユーザ名とパスワードを設定します。

コマンドプロンプトで入力します:

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port> -proxyUsername <username> -proxyPassword <password>

例:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128 -proxyUsername defaultusername -proxyPassword defaultpassword

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128 -proxyUsername defaultusername -proxyPassword defaultpassword

> unset reputation settings –proxyserver –proxyport -proxyUsername -proxyPassword

> sh reputation settings

注:

プロキシサーバー IP には、IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定できます。

NetScaler GUIを使用してIPレピュテーションを設定する

  1. [ システム] > [設定]に移動します。[ モードと機能 ] セクションで、リンクをクリックして [ 拡張機能の設定 ] ペインにアクセスし、[ レピュテーション ] チェックボックスを有効にします。
  2. [OK] をクリックします。

NetScaler GUIを使用してプロキシサーバーを構成するには

  1. [ 設定 ] タブで、[ セキュリティ] > [レピュテーション] に移動します。
  2. [ 設定] で、[ レピュテーション設定の変更 ] をクリックしてプロキシサーバーを構成します。
  3. レピュテーション機能を有効または無効にします。
  4. 次の詳細を入力してプロキシサーバーを構成します。
    1. プロキシサーバー -IP アドレスでも完全修飾ドメイン名 (FQDN) でもかまいません。
    2. プロキシポート -[1—65535] の間の値を受け入れます。
    3. プロキシユーザー名 — プロキシサーバー認証用のユーザー名を指定します
    4. プロキシパスワード -プロキシサーバー認証用のパスワードを指定します。

      注: proxyUsernameproxyPasswordフィールドが設定されている場合、proxyServerproxyPortフィールドが有効になります 。

GUI を使用してクライアント IP アドレスの許可リストとブロックリストを作成する

  1. [ 構成 ] タブで、[ AppExpert] > [データセット] に移動します。
  2. [追加] をクリックします。
  • [ データセットの作成 ] (または [ データセットの構成]) ペインで、IP アドレスのリストに意味のある名前を入力します。名前は、リストの目的を反映している必要があります。
  • [ タイプ ] を IPv4 または IPv6として選択します。
  • [ Insert ] をクリックしてエントリを追加します。

  • [ ポリシーデータセットバインドの構成 ] ウィンドウで、[値] 入力ボックスに IPv4 または IPv6 形式の IP アドレスを追加します。
  • インデックスを指定します。
  • リストの目的を説明するコメントを追加します。この手順はオプションですが、説明的なコメントがリストの管理に役立つため、推奨されています。

同様に、ブロックリストを作成し、悪意のあると見なされるIPアドレスを追加できます。

データセットの使用と高度なポリシー式の設定の詳細については、パターンセットとデータセットも参照してください

NetScaler GUIを使用してアプリケーションファイアウォールポリシーを構成する

  1. [ 構成 ] タブで、[ セキュリティ] > [アプリケーションファイアウォール] > [ポリシー] > [ファイアウォール] に移動します。IP レピュテーションを使用する PI 式を使用するポリシーを追加するには 、[追加] をクリックします。

式エディタを使用して、独自のポリシー式を作成することもできます。このリストには、脅威カテゴリを使用して式を設定するのに役立つ、構成済みのオプションが表示されます。

ハイライト

  • さまざまな種類の脅威をもたらす既知の悪意のある IP アドレスから、ネットワークのエッジで悪質なトラフィックを迅速かつ正確に阻止します。本文を解析せずにリクエストをブロックできます。
  • 複数のアプリケーションの IP レピュテーション機能を動的に設定します。
  • パフォーマンスを犠牲にすることなくネットワークをデータ漏えいから守り、迅速かつ簡単な導入によって保護を単一のサービスファブリックに統合します。
  • 送信元と宛先 IP で IP レピュテーションチェックを実行できます。
  • ヘッダーを検査して、悪意のある IP を検出することもできます。
  • IP レピュテーションチェックは、フォワードプロキシとリバースプロキシの両方の展開でサポートされています。
  • IP レピュテーションプロセスは Webroot に接続し、5 分ごとにデータベースを更新します。
  • 高可用性 (HA) またはクラスタ展開の各ノードは、Webroot からデータベースを取得します。
  • IP レピュテーションデータは、管理パーティション展開のすべてのパーティションで共有されます。
  • AppExpert データセットを使用して IP アドレスのリストを作成し、Webroot データベースでブロックリストに登録されている IP の例外を追加できます。独自にカスタマイズしたブロックリストを作成して、特定のIPを悪意のあるものとして指定することもできます。
  • iprep.dbファイルが/var/nslog/iprepフォルダ内に作成されます。一度作成すると、フィーチャが無効になっていても削除されません。
  • レピュテーション機能が有効になると、NetScaler Webrootデータベースがダウンロードされます。その後、5分ごとに更新されます。
  • Webroot データベースのメジャーバージョンはバージョン:1 です。
  • マイナーバージョンは毎日更新されます。更新バージョンは 5 分ごとにインクリメントされ、マイナーバージョンがインクリメントされると 1 にリセットされます。
  • PI 式を使用すると、応答側や書き換えなどの他の機能で IP レピュテーションを使用できます。
  • データベース内の IP アドレスは 10 進表記です。

デバッグに関するヒント

  • GUI にレピュテーション機能が表示されない場合は、適切なライセンスがあることを確認します。
  • デバッグのために、var/log/iprep.logのメッセージをモニタします。
  • Webroot 接続: ns iprep: Not able to connect/resolve WebRootメッセージが表示された場合は、アプライアンスにインターネットアクセスがあり、DNS が設定されていることを確認します。
  • プロキシサーバー: ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameメッセージが表示された場合は、プロキシサーバーの設定が正確であることを確認してください。
  • IP レピュテーション機能が動作しない:レピュテーション機能を有効にすると、IP レピュテーションプロセスが開始するまでに約 5 分かかります。IP レピュテーション機能はその期間動作しない場合があります。
  • データベースのダウンロード:IP レピュテーション機能を有効にした後に IP DB データのダウンロードが失敗した場合、ログに次のエラーが表示されます。

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

解決方法: 次の URL へのアウトバウンドトラフィックを許可するか、プロキシを設定して問題を解決します。

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443
localdb-ipv6-daily.brightcloud.com:443
ipce-daily.brightcloud.com:443
ipce-rtu.brightcloud.com:443
<!--NeedCopy-->
IPレピュテーション