PowerPoint プレゼンテーション - PDF 無料ダウンロード

WAFで対策ウェブへの攻撃は IPSや統合型製品では防げないパスワードリスト攻撃やL7 DDoSの対策方法 2015年3月13日バラクーダネットワークスジャパン株式会社セールスエンジニア澤入俊和

会社紹介

バラクーダネットワークス会社概要 2002年 Barracuda Networks, Inc. 設立バラクーダネットワークス米国本社本社カリフォルニア州キャンベル海外拠点10カ国 80カ国以上で正規代理店と提携全世界15万社のお客様にセキュリティバックアップソリューションを提供バラクーダバックアップはバックアップ専用アプライアンスとしてシェアNo.1 (IDC Worldwide Quarterly Purpose Built Backup Appliance PBBA Tracker Q2/Q4) 2005年バラクーダネットワークスジャパン株式会社設立スパムメール対策アプライアンスは2005年から2011年 7年間連続で国内出荷台数No.1 5,000台以上の出荷実績富士キメラ総研 WAFも2007年から2013年まで7年連続国内No1の導入実績富士キメラ総研バラクーダネットワークスジャパンオフィス 4

グローバル規模での Barracuda Networks の取り組み

幅広い製品展開バックアップストレージ 15GB無料 Webセキュリティ集中管理 Emailセキュリティサービスコントロールセンターサービスリモートアクセス SSL VPN 次世代 Firewall Barracuda Firewall WAN回線負荷分散 Link Balancer 次世代Firewall NextG Firewall アンチスパム/ウイルス Spam & Virus Firewall URLフィルタマルウェア対策 Web Filter Web脆弱性対策サーバ負荷分散 Web Application Firewall Load Balancer ADC 7年連続国内実績 No.1 メールアーカイブ Message Archiver ﾒｰﾙｻｰﾊﾞバックアップ Backup Server ﾌｧｲﾙｻｰﾊﾞ Webｻｰﾊﾞ仮想アプライアンスあり DBｻｰﾊﾞﾞ

なぜ IPS や統合型製品では不十分なのか?

2015年版情報セキュリティの10大脅威 IPA 順位タイトル 1 オンラインバンキングやクレジットカード情報の不正利用 2 内部不正による情報漏えい 3 標的型攻撃による諜報活動 4 ウェブサービスへの不正ログイン 5 ウェブサービスからの顧客情報の窃取 6 ハッカー集団によるサイバーテロ 7 ウェブサイトの改ざん 8 インターネット基盤技術の悪用 9 脆弱性公表に伴う攻撃の発生 10 悪意のあるスマートフォンアプリウェブサイトへの脅威がいずれも上位

F/W IPS と WAF は補完的関係 F/W IPS WAF はそれぞれ分野の異なるレイヤーの攻撃を防御する補完的関係それぞれ単体ではシステムを完璧に実現することは出来ない SQL OS コマンドインジェクションクロスサイトスクリプティング Cookie パラメータ改ざん L7 DoS/DDoS OS 脆弱性対策 DoS/DDoS WAF IPS Web アプリケーション Web サーバオペレーティングシステムポートスキャン IP/ ポート制御 F/W ネットワーク

IPS/統合型製品で出来ること出来ないことウェブアプリへの主な攻撃 Barracuda WAF IPS/統合型製品 SQLインジェクション * OSコマンドインジェクション * クロスサイトスクリプティング * ディレクトリトラバーサル * クロスサイトリクエストフォージェリー強制ブラウズバッファオーバーフローパスワードリスト攻撃パラメータ改ざんクッキー改ざんセッションハイジャックスロークライアントアタック IPSでは攻撃が暗号化された場合検知不可またはスループットが激減パスワードリスト攻撃など最新の攻撃へ対応不可統合型製品もIPSと同様の機能しか搭載されていない

Webサイトへの攻撃の多くは上位レイヤーが対象弊社検証サイトに対する攻撃数の内訳 (2015年2月18日-24日 IPS 3.7% 主な検知攻撃 WAF SQLインジェクションエラーレスポンスの抑制ホストヘッダなし IPS バッファーオーバーフロー (CVE-2011-1567) Open SSL脆弱性 WAF 96.3% IPS防ぐことが出来る攻撃はごくわずか 3.7 )

最近のハッキング事件からみるウェブシステムへの攻撃手法

最近のハッキング事件からみるウェブシステムへの攻撃手法第 5 位ウェブサービスからの顧客情報の窃取

大型個人情報漏えい事件海外用データ通信機器レンタル会社攻撃手法 :SQLインジェクション被害 :10 万 9000 件のカード情報セキュリティコード住所

SQLインジェクション攻撃 SELECT * FROM users WHERE uid= sato@sato.com' AND pwd= Sato123 正しいユーザIDとパスワードであればログインが可能通常通信 OK! 会員ページ表示 Webアプリデータベース ORの後は常に真の為前の条件が全て打ち消される攻撃 SELECT * FROM users WHERE uid= example@example.com' AND pwd= OR 'A'='A

最近のハッキング事件からみるウェブシステムへの攻撃手法第 4 位不正ログイン

2014年主な不正ログイン事件パスワードリスト攻撃不正ログイン試行成功成功率 6月大手ブログサービス 2,293,543 38,280 1.67% 8月大手小売業者ＥＣサイト 4,220,382 20,957 0.50% 8月大手電子マネーサービス 9月大手鉄道会社 11,520,000 21,000 0.18% 12月リサーチ会社 3,161,872 1,320 0.04% 296,000 756 0.26% ブルートフォース攻撃に比べて非常に効率的に不正ログインに成功一般的なブルートフォース攻撃の成功率約0.001%

パスワードリスト攻撃の手口 ECサイト A ID:cuda@example.com Pass:Cuda123 攻撃によりパスワードリストを搾取攻撃者利用者パスワードリスト IDの使い回し ECサイト B ID:cuda@example.com Pass:Cuda123 ECサイトAの情報を元にパスワードリスト攻撃

最近のハッキング事件からみるウェブシステムへの攻撃手法第 6 位ハッカー集団によるサイバーテロ

ボットネットを利用するのはメールもウェブも同じボットネットコントローラボットネット ( 数千台 ~) スパムメールメールサーバウェブサイト SQL インジェクション攻撃など

L7 DDoS Slow Client Attack 従来のSYN floodやsmurfなどレイヤーの低い攻撃だけではなく最近のDDoS攻撃は L7へ仕掛けてくるものが多数存在 Slow HTTP Headers ゆっくりリクエストヘッダを送り続ける Slow HTTP POST ゆっくりPostデータを送信し続ける Slow Read DoS レスポンスデータをゆっくりダウンロードする結果サーバは大量のコネクションを保持しダウンするハッカーのメリットツールが存在しているため非常に簡単サーバのコネクションタイムアウトを回避攻撃を検知されにくい GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b 30秒から2分毎に X-a: b 1ヘッダ送る X-a: b X-a: b Slow HTTP Headersの例ネットワーク使用量の急増もなくプロトコルとしては正しい通信のためFWやIPSでも検知できず ISPでトラフィック量を監視していても検知できない

攻撃への対策

ハッキングの手口ウェブ攻撃はほかの犯罪の手口と一緒ターゲットを特定防犯設備分析調査弱点をつく

Webサイトクローキングクローク(cloak)=覆い隠す攻撃者脆弱性を見つけるためにサイトを調査 X-Powered-By:PHP/5.4.0 Webアプリケーション自動スキャンで脆弱性のあるサーバを探すワーム隠ぺい Webサーバ Appサーバ OS バージョン番号パッチレベルディレクトリ構造既知の脆弱性通信遮断/カスタムレスポンス/リダイレクト攻撃者がまず行うこと: 弱点を探すために事前調査 Webサーバデータベースサーバアプリケーションサーバは何を使用しているかどんなバージョンパッチを使用しているかそれらに既知の脆弱性はあるかクローキングはハッカーやワームにWebリソースを隠すエラーページエラーコード HTTPヘッダー IPアドレスを隠す攻撃者に攻撃される隙を与えない頑強なWebサイトに

情報収集対策一般的なWAFは改ざん防止のトラッキングのため独自の Cookieや Hidden パラメータを挿入 WAFを使っているか使っているならどんなWAFを使用しているかチェックするツールが存在バラクーダのWAFは Cookieやパラメータ名を変更可能判別される心配はありません

攻撃への対策 SQL インジェクション

攻撃定義ファイルによる防御難読化された攻撃も正規化を行ってシグネチャマッチングを実施バラクーダセントラルシグネチャセキュリティのエキスパート作成攻撃者ダウンロード脆弱性の研究第三者機関の情報収集解析ハニースポットハッキング大会の開催 Parameter=' OR 'A'='A バラクーダセントラルでは常に最新の攻撃の監視/解析を実施以下の攻撃をブロックすることが可能クロスサイトスクリプティング SQLインジェクションリモートファイルインクルージョンディレクトリートラバーサル OSコマンドインジェクション攻撃定義ファイルは常にバラクーダセントラルから最新のものをダウンロード更新間隔:10分から30分おきに更新ブラックリスト型で簡単最新の攻撃にもすぐに対応可能 bash脆弱性 Shellshockへ対応済 WAFならサーバーを停止させることなく対応可能

攻撃への対策パスワードリスト攻撃

ブルートフォース攻撃パスワードリスト攻撃の防止パスワード辞書総当たりによるログイン突破の攻撃同一IPがら同じようなりリクエストを大量に送りつける攻撃に有効攻撃者例 60秒以内に同一IPから不正アクセスが10回あった場合攻撃者とみなし防御 GET/POST数を監視あらかじめ設定した期間内に同じIPからのリクエスト数をカウント決められた閾値以上のアクセスの際にはブロックする除外IPや特定URLのみ認証エラーのみなど柔軟に対応可能簡単な脆弱性を利用するスキャンツールを使ったハッカーの大部分をアクセス拒否悪意のあるリクエストを防止することで正規のクライアントに適切なサービスを提供

ブロックしたくない場合 CAPTCHA認証で緩和攻撃 CAPTCHA(キャプチャ)認証をWAFが挿入利用者一般のユーザはCAPTCHA認証OKで通過以後該当クライアントのトラフィックを監視しアイドル状態が継続すると再開時CAPTCHA認証要求 CAPTCHAが失敗すると通信拒否パスワードリスト攻撃の緩和策としても有効

攻撃への対策 L7 の DDoS 攻撃

IP レピュテーション : 国ごとに許可拒否国地域 IP 辞書を搭載 ( 自動更新 ) 特定の国だけアクセス許可 or アクセス拒否衛星携帯 IP も制御可能例 ) 日本以外はアクセスさせない国情報地域 IP 情報以外にも衛星携帯電話を経由した通信の遮断も可能 IP 情報は定義ファイルによる自動更新のため管理者が常にチェックする必要もありません当然例外設定も可能ですサービス提供範囲が限定されている場合危険にさらす頻度が少なくなり有効な手段

IP レピュテーション : 疑わしいネットワークから通信拒否 Tor IP 発信元隠蔽 NEW 匿名プロキシ IP 発信元偽装ボットネット Spam&Virus Firewall の DB を利用 Tor ネットワーク (IP 発信元隠蔽技術 )NEW!! 匿名プロキシ (Anonymous Proxy) ボットネットからのアクセス拒否 Spam&Virus Firewall Barracuda IP レピュテーション DB を利用 150,000 台の BSVF からのボットネットの情報を活用これらの IP 情報も定義ファイルとして自動更新されます疑わしいしネットワークからのアクセスはお断り

ボットネットの通信遮断で攻撃は 1/500 へ激減

Slow Client 攻撃防御機能通信量を常に監視して単位時間当たりのクライアント-WAF間の平均通信量を計算想定した通信量よりも著しく少ない場合リアルタイムで攻撃と判断して WAFが通信を切断監視を除外するクライアントIPも設定可能リクエストの送信が明らかに遅い Slow HTTP Headers X-a: b GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b 30秒から2分毎に X-a: b 1ヘッダ送る X-a: b X-a: b Slow HTTP Headersの例 X-a: b レスポンスボディの送信が明らかに遅い Slow Read DoS

DDoS 防御 ~ 人間かロボットかを見分ける ~ ブラウザの場合次のページのリクエスト時 JS の結果をクッキーを送信 CudaCookie:12345678 WAF が JavaScript 挿入クローラーやロボットの場合次のリクエスト時 JS の結果を判断できず答えのクッキーを送信できない失敗すると疑わしいと判断しその IP に CAPTCHA 認証要求

オンプレからクラウドへ

従来のアーキテクチャ管理者が管理

新しいアーキテクチャ管理者が管理

新しいアーキテクチャ管理者が管理管理者が管理

アプリケーションセキュリティが重要クラウドへの移行の不安の多くはセキュリティ 48% 39% 27% 22% 22% 43

パブリッククラウドへの導入ねサーバ 2 インターネット Load Balancer Barracuda WAF クラスタサーバ N ダイナミックスケールサーバ 1

モデル一覧

なぜ Barracuda WAFなのか? 開梱後30分シグネチャで XSS/SQLインジェクション対策完了 L7 DDoS対策 IPレピュテーションが可能日本語Web GUIで管理なぜ? サイト運営に必要な機能を全て搭載認証 LB SSL 豊富なアプライアンスのモデル仮想版も提供低価格128.5万(初年度保守込) NEW Windows Azure Amazon AWSにも対応

Barracuda Web Application Firewall シリーズ希望小売価格初年度エネルギー充填サービス費用込 128万5千円税別ライセンス専用マネジメントサーバ等は必要ありません Model 960 Open Model 860 Open Model 660 Model 460 257万円 Model 360 180万円 128.5万円実サーバ数スループット 360 460 660 860 960 5 10 25 150 300 25Mbps 50Mbps 200Mbps 1Gbps 4Gbps 秒間トランザクションリクエスト数 HTTP 3,000 6,000 10,000 25,000 55,000 HTTPS 2,000 4,000 6,000 12,000 20,000

Barracuda Web Application Firewall 仮想アプライアンスシリーズゲスト O S Apache Apache IIS Linux Linux Windows Barracuda OS VM ESXi / Xen などハイパーバイザ WAF Model 660 サーバ対応するハイパーバイザ VM ware ESX/ESXi CITRIX XenServer Microsoft Hyper-V +追加コアライセンス最大計8コア 600Mbps Model 660Vx Model 460Vx Model 360Vx CPUコア数目安スループット 360Vx 460Vx 660Vx 2 3 4 25Mbps 50Mbps 100Mbps 秒間トランザクションリクエスト数 Windows Azure Amazon AWSにも対応可能 HTTP 3,000 6,000 9,000 HTTPS 2,000 4,000 6,000

バラクーダネットワークスの最新情報をチェックバラクーダネットワークス日本オフィシャルサイト http://www.barracuda.co.jp/ バラクーダネットワークスジャパンFacebookページ https://www.facebook.com/barracudanetworksjapan バラクーダネットワークスTwitter https://twitter.com/barracudajapan YouTube Barracuda Japan チャンネル https://www.youtube.com/user/barracudajapan バラクーダネットワークスFoursquare https://ja.foursquare.com/v/バラクーダネットワークスジャパン 2003-2014 Barracuda Networks, Inc. All rights reserved. 49

バラクーダ製品を実際に試してみませんか無償貸出機実際の環境でお試しいただけるよう無償貸出機をご用意しておりますご利用頂くには貸出機がインターネットへアクセスできるようにFWの設定変更が必要です一部製品ではプロキシはサポートしておりません詳細はバラクーダネットワークスまでお問い合わせください無償リモート検証環境一部の製品で実施 FWの設定変更ができないお客様には簡易構成となりますが弊社へリモートアクセス頂いてお試しいただけますハンズオンセミナーオンラインセミナーセミナーを随時開催しておりますスケジュール等はバラクーダネットワークスまでお問い合わせください 2003-2014 Barracuda Networks, Inc. All rights reserved.

ありがとうございましたご質問ございましたら下記までより詳細な機能の説明導入方法に関するご相談 30日間評価機のご依頼無料など電話 03-5436-6235 メール jpinfo@barracuda.com バラクーダネットワークスジャパン株式会社