ボットの設定
Webおよびモバイルアプリケーションはビジネスの重要な収益ドライバーであり、ほとんどの企業はボットなどの高度なサイバー攻撃の脅威にさらされています。ボットは、人間よりもはるかに速い速度で特定のアクションを繰り返し自動的に実行するソフトウェアプログラムです。ボットは、Web ページの操作、フォームの送信、アクションの実行、テキストのスキャン、コンテンツのダウンロードを行うことができます。動画にアクセスしたり、コメントを投稿したり、ソーシャルメディアプラットフォームでツイートしたりできます。チャットボットと呼ばれる一部のボットは、人間のユーザーと基本的な会話をすることができます。
一部の悪質なボットが悪意のあるタスクを実行する場合、ボットトラフィックを管理し、ボット攻撃からウェブアプリケーションを保護することが不可欠です。
CWAAPボット管理は、着信ボットトラフィックを検出し、ボット攻撃を軽減してWebアプリケーションを保護します。ボット設定は、不正なボットを特定し、アプリケーションをセキュリティ攻撃から保護するのに役立ちます。CWAAPサービスプラットフォームは、ボットがアプリケーションまたはネットワークと対話しているタイミングを知り、ボットが良いか悪いかを知るだけでなく、ボットのアクティビティについてユーザーに通知します。ユーザーは、適用するボットアクション(許可、ブロック、ログ、遅延、または欺く)を決定できます。
CWAAP ボット設定のセットアップ
CWAAP ボット設定のセットアップを開始するには、まずアセットと、アセットに設定されたポリシーが必要です。
- 設定 > ポリシーを選択します。
- ポリシーを選択し、[ 編集 ] (鉛筆と紙) をクリックします。
- [ ボットプロファイル ] タブに移動します。
CWAAP ボットプロファイルは、ボット保護技術とボット署名設定で構成されています。
- 保護。CWAAP ボット設定の一部として設定し、ボットアクションを関連付けることができるボット保護技術のリスト。
- 署名。 ボット攻撃からウェブアプリケーションを保護する対策のリスト。ボット署名は、受信リクエストのユーザーエージェントなどのリクエストパラメーターに基づいて、良いボットと悪いボットを識別するのに役立ちます。
ボット保護テクニック
CWAAPボット保護は、ポリシー設定のために設定し、有効または無効にできるボット技術のリストを提供します。
ボットのテクニックを設定したら、まずそのテクニックを有効にしてポリシーに反映させる必要があります。
以下は、CWAAP ボット設定がサポートするボット保護技術のリストです。
- 許可リスト
- ブロックリスト
- ボットトラップ
- レピュテーション
- デバイスフィンガープリント
- レート制限
- トランザクション処理システム (TPS)
- CAPTCHA
許可リスト
ボットポリシーの許可リストとしてバイパスできる、IP アドレス、サブネット、およびポリシー式のカスタマイズされたリスト。
注:
ボットプロファイルの許可リスト設定の一部として、最大 32 のバインディングを設定できます。
CWAAP GUI を使用して許可リストを設定します。
- [追加] をクリックします。
-
[ 許可リストのバインドに追加 ] ページで、次のパラメーターを設定します。
- アクティブ。保護技術を有効にする場合に選択します。
- [タイプ]。[式]、[IPv4]、または [サブネット] としてタイプを選択します。
- [値]。関連する値を指定し、実行する対応する応答 (またはアクション) を選択します。
- 応答。応答として [ログ] または [なし] を選択します。
- コミット] をクリックします。
ブロックリスト
Web アプリケーションへのアクセスをブロックする必要がある IP アドレス、サブネット、およびポリシー式のカスタマイズされたリスト。設定されたトラフィックは、禁止リスト機能を有効にした場合にのみブロックされます。
注:
ボットプロファイルのブロックリスト設定の一部として、最大 32 のバインディングを設定できます。
CWAAP GUI を使用して、ブロックリストボット保護技術を設定します。
- [追加] をクリックします。
-
[ ブロックリストバインディングに追加 ] ページで、次のパラメーターを設定します。
- アクティブ。保護技術を有効にする場合に選択します。
- [タイプ]。[式]、[IPv4]、または [サブネット] としてタイプを選択します。
- [値]。関連する値を指定し、実行する対応する応答 (またはアクション) を選択します。
- 応答。[アクションとログ]、[ログ]、または [なし] として応答を選択します。
- コミット] をクリックします。
ボットトラップ
CWAAP ボットトラップ保護手法は、クライアントの応答にトラップ URL をランダムまたは定期的に挿入します。デフォルトのトラップ URL を作成し、その URL を追加することもできます。クライアントが人間のユーザーの場合、URL は見えず、アクセスできないように見えます。ただし、クライアントが自動化されたボットの場合、URL はアクセス可能であり、アクセスされると、攻撃者はボットに分類され、ボットからの後続のリクエストはブロックされます。このトラップ技術は、ボットからの攻撃をブロックするのに効果的です。
CWAAP GUI を使用して、ボットトラップ保護技術を設定します。
- [ ボットトラップ ] セクションで、[ 追加] をクリックします。
-
[挿入 URL の追加 ] ページで、次のパラメーターを設定します。
- アクティブ。指定した URL パターンをアクティブにする場合に選択します。
- URL パターン。よくアクセスした Web サイト、または頻繁にアクセスする Web サイトの URL パターン (挿入 URL) を指定します。URLが提供されておらず、ボット保護技術の対策は、その手法をアクティブにしてポリシーに対して有効にすることです。また、すべての URL に対してデフォルトのトラップ URL が作成されます。
- コミット] をクリックします。
IPレピュテーション
CWAAP保護技術は、着信するボットトラフィックが悪意のあるIPアドレスからのものかどうかを検出します。設定の一環として、さまざまな悪意のあるボットカテゴリを設定し、それぞれにボットアクションを関連付けます。
IP レピュテーションの脅威検出カテゴリは次のとおりです。
- ボットネット
- DoS
- IP
- モバイルの脅威
- フィッシング
- プロキシ
- レピュテーション
- スキャナー
- スパム送信元
各脅威タイプは、次のいずれかの応答タイプに設定できます。
- 「アクションとログ」— 違反の詳細を記録し、構成されたアクションタイプを実行します。
- ログ — 設定に一致するトラフィックをキャプチャしてログに記録しますが、アクションは実行しません。
- [なし] — 一致した場合は何も実行しません。
レスポンスタイプを設定したら、次のボットアクションのいずれかを設定できます。
- Drop
- 緩和策
- リダイレクト
- リセット
デバイスフィンガープリント
CWAAPボット技術は、着信ボットトラフィックの着信要求ヘッダーと着信クライアントボットトラフィックのブラウザ属性にデバイスフィンガープリントIDがあるかどうかを検出します。これらの属性を調べて、トラフィックが Bot か人間かを判断します。この手法では、HTTP リクエストヘッダー「User Agent」が決定要因です。
URL がすでに提供されていて、ADC リストと一致する場合、ドメイン名の検索が行われます。一致するドメイン名が特定された場合、トラフィックは良好であると見なされます。
ただし、返されたドメイン名がADCのドメイン名と一致しない場合、トラフィックはドロップされ、不良と見なされます。
ユーザエージェントの検索が完了し、一致が見つかった場合、トラフィックはドロップされ、不良と指定されます。
CWAAP GUI を使用して、デバイスの指紋保護技術を設定します。
-
[ デバイスフィンガープリント ] セクションで、次のパラメーターを設定します。
- 応答。ボットの応答を選択します。
- 「アクションとログ」— 違反の詳細を記録し、構成されたアクションタイプを実行します。
- ログ。 構成に一致するトラフィックをすべてキャプチャしてログに記録しますが、アクションは実行しません。
- なし。一致した場合は何もしません。
- 操作。次のボットアクションのいずれかを設定できます。
- Drop
- 緩和策
- リダイレクト
- リセット
- 応答。ボットの応答を選択します。
レート制限
CWAAPレート制限保護技術は、要求がクライアントIPアドレス、セッションID、または構成されたリソース(着信URL)から受信された時間枠を調べます。
注:
ボットプロファイルのレート制限設定の一部として、最大 32 のバインディングを設定できます。
CWAAP GUI を使用して、レート制限ボット保護技術を設定します。
- [ レート制限 ] セクションで、[ 追加] をクリックします。
-
[ レート制限バインディングに追加 ] ページで、次のパラメータを設定します。
- アクティブ:ドロップダウンメニューから [タイプ] を選択します。
-
タイプ:レート制限タイプを選択します。
- source_IP — レート制限は、クライアントの IP アドレスによって決定されます。
- セッション — レート制限は、設定された Cookie 名によって決定されます。
- URL — レート制限は設定された URL によって決まります。
- URL: レート制限は設定された URL によって決まります。
- Rate: 指定した期間に許可されるリクエストの数を決定する Rate 値を設定します。
- Period: 選択したレート値の期間値をミリ秒単位で設定します (10 の倍数)
- 応答:応答タイプを選択し、該当する場合は、関連するアクションタイプを選択します。
- アクション:ボットアクションを選択します。
- コミット] をクリックします。
ボットトランザクション処理システム (TPS)
CWAAPトランザクション処理システム(TPS)保護技術は、設定された時間間隔での要求の数と要求の増加率を調べて、トラフィックがボットから来ているかどうかを判断します。
CWAAP GUI を使用して、トランザクション処理システム (TPS) 保護を構成します。
- [ TPS バインディング ] セクションで、[ 追加] をクリックします。
- [ TPS バインディングに追加 ] ページで、次のパラメーターを設定します。
- タイプ:[ホスト] または [要求 URL] のドロップダウンメニューから [タイプ] を選択します。
- 固定しきい値:固定しきい値を指定します。これにより、1 秒間に許可されるリクエストの最大数が決まります。
- % Threshold:% Threshold 値を指定します。これは、30 分以内に許容されるリクエスト増加の最大パーセンテージを決定します。
-
応答:ドロップダウンメニューから [応答タイプ] を選択します。
- 「アクションとログ」— 違反の詳細を記録し、構成されたアクションタイプを実行します。
- ログ — 設定に一致するトラフィックをキャプチャしてログに記録しますが、アクションは実行しません。
- [なし] — 一致した場合は何も実行しません。
- アクション:ボットアクションを選択します。
- コミット] をクリックします。
CAPTCHA
CAPTCHAは、「コンピュータと人間を区別するための完全に自動化された公開チューリングテスト」の略称です。CAPTCHA は、受信トラフィックが人間のユーザーまたは自動ボットからのものかどうかをテストするように設計されています。CAPTCHA は、ウェブアプリケーションにセキュリティ違反を引き起こす自動ボットをブロックするのに役立ちます。CWAAPでは、CAPTCHAはチャレンジ/レスポンスモジュールを使用して、着信トラフィックが自動ボットではなく人間のユーザーからのものであるかどうかを識別します。
注:
URL ごとに 1 つのバインディングだけが許可されます。URL のバインディングが存在し、同じ URL に別のバインディングが設定されている場合、以前のバインディング情報は削除されます。ボットプロファイルごとに最大 30 のバインディングしか設定できません。
CWAAP GUI を使用して CAPTCHA 保護技術を設定します。
- [CAPTCHA] セクションで、[ 追加] をクリックします。
-
[CAPTCHA バインディングに追加] ページで、次のパラメーターを設定します。
- Wait Time — クライアントが CAPTCHA 応答を送信するまでの時間を決定します。許容範囲は 10 ~ 60 (秒) です。
- 猶予期間 — 現在の CAPTCHA 応答が送信され、新しいチャレンジが送信されないときからの期間を決定します。
- 許容範囲は 60 ~ 900 (秒) です。
- Mute Period — 不正な CAPTCHA 応答が受信され、クライアントからの追加リクエストが受け入れられない場合の待機時間を決定します。
- 許容範囲は 60 ~ 900 (秒) です。
- リクエストの長さ — クライアントに送信される CAPTCHA チャレンジのリクエスト本文のサイズを決定します。リクエスト本文の長さが設定されたリクエストの長さを超えると、リクエストはドロップされます。
- 許容範囲は 10 ~ 30,000 (バイト) です。
- 「再試行回数」— 許可される再試行の回数を決定します。
- 許容範囲は 1 ~ 10 です。
- [応答] と [アクション] (該当する場合) を選択します。
- コミット] をクリックします。
[ 保存 ] をクリックして、設定をポリシーに適用します。