PowerPoint プレゼンテーション - PDF 無料ダウンロード

安心安全なWebサイトの作り方ハッキングトレンドと最新導入事例から解る WAF 導入のメリットをご紹介バラクーダネットワークスジャパン SEディレクター鈴木啓之 Security 2014 Spring Tokyo

アジェンダ会社紹介最近のハッキング事件からみるウェブシステムへの攻撃手法情報漏えいなりすましログイン事件 (パスワードリスト攻撃 ) L7 DDoS 攻撃攻撃への対策方法 SQLインジェクションブルートフォースパスワードリスト攻撃 L7 DDoS / IPレピュテーション WAF 最新事例紹介札幌学院大学様

会社紹介

バラクーダネットワークス会社紹介 2002 年 Barracuda Networks, Inc 設立 ( 本社 : 米国カルフォルニア州キャンベル) 2004 年国内で迷惑メール対策製品 (Spam Firewall) 出荷開始 2005 年日本法人 (バラクーダネットワークスジャパン株式会社 ) 設立 2013 年ニューヨーク証券取引所に上場海外拠点 10か国 80か国以上で正規代理店と提携全世界で15 万社への導入実績国内でも5 千台以上の出荷実績バックアップ専用アプライアンス出荷台数世界 No.1(IDC) Web Application Firewall 6 年連続で出荷台数国内 No.1( 富士キメラ総研 )

Barracuda Way 難しいITをシンプルに全製品 30 日間無償試用スポンサー/マーケティング活動

なりすましログイン事件不正ログイン試行成功成功率デパートオンラインショップ 5,202,002 8,289 0.16% 大手通販サイト 1,110,000 15,000 1.35% 老舗ゲームメーカー 15,457,485 23,926 0.15% 老舗ゲームソフトメーカー 3,945,927 35,252 0.89% 大手通販サイト 11,031 126 1.14% ブルートフォース攻撃に比べて非常に効率的に不正ログインに成功

9 種類の幅広い製品展開 15GB 無料バックアップストレージ Webセキュリティサービス集中管理コントロールセンター Emailセキュリティサービス次世代 Firewall WAN 回線負荷分散 NextG Firewall Link Balancer URLフィルタマルウェア対策 Web Filter リモートアクセス SSL VPN アンチスパム/ウイルス Spam & Virus Firewall 7 年連続国内実績 No.1 Web 脆弱性対策 Web Application Firewall 6 年連続国内実績 No.1 次世代 Firewall NextG Firewall サーバ負荷分散 Load Balancer メールアーカイブ Message Archiver メールサーハバックアップ Backup Server ファイルサーハ Webサーハ仮想アプライアンスあり DBサーハ

最近のハッキング事件からみるウェブシステムへの攻撃手法 SQLインジェクション攻撃

大型個人情報漏えい事件海外用データ通信機器レンタル会社攻撃手法 :SQLインジェクション被害 :10 万 9000 件のカード情報セキュリティコード住所

SQLインジェクション攻撃 SELECT * FROM users WHERE uid= sato@sato.com' AND pwd= Sato123 正しいユーザIDとパスワードであればログインが可能通常通信会員ページ表示 OK! Webアプリデータベース攻撃 ORの後は常に真の為前の条件が全て打ち消される SELECT * FROM users WHERE uid= example@example.com' AND pwd= OR 'A'='A

情報漏えい後の対策 IPSの導入ウェブアプリの脆弱性診断および修正 WAFの導入検討 (2013 年 8 月 ~10 月を予定 ) など

F/W IPSとWAFは補完的関係 F/W IPS WAFはそれぞれ分野の異なるレイヤーの攻撃を防御する補完的関係それぞれ単体ではシステムを完璧に実現することは出来ない SQL OSコマンドインジェクションクロスサイトスクリプティング Cookie パラメータ改ざん L7 DoS/DDoS OS 脆弱性対策 DoS/DDoS WAF IPS Webアプリケーション Web サーバオペレーティングシステムポートスキャン IP/ポート制御 F/W ネットワーク

IPSとWAFにできること主な攻撃 WAF IPS SQLインジェクション * OSコマンドインジェクション * クロスサイトスクリプティング * ディレクトリトラバーサル * クロスサイトリクエストフォージェリーパラメータ改ざんクッキー改ざんセッションハイジャック * 攻撃リクエストの難読化通信が暗号化されている場合には検知不可 IPSで暗号化された通信を複合化する場合スループットが激減 WAFは独自のパラメータやクッキーを使用することで IPSでは防げない攻撃でも検知可能

最近のハッキング事件からみるウェブシステムへの攻撃手法なりすましログイン (パスワードリスト攻撃 )

なりすましログインの手口 ID:cuda@example.com Pass:Cuda123 利用者 IDの使い回し ECサイト A アカウントリスト攻撃によりアカウントリストを搾取攻撃者 ECサイト B ID:cuda@example.com Pass:Cuda123 ECサイトAの情報を元になりすましログイン攻撃

最近のハッキング事件からみるウェブシステムへの攻撃手法 L7のDDoS 攻撃

ボットネットを利用するのはメールもウェブも同じボットネットコントローラボットネット( 数千台 ~) スパムメールメールサーバウェブサイト SQLインジェクション攻撃など

L7 DDoS Slow Client Attack 従来のSYN floodやsmurfなどレイヤーの低い攻撃だけではなく最近のDDoS 攻撃は L7へ仕掛けてくるものが多数存在 Slow HTTP Headers:ゆっくりリクエストヘッダを送り続ける Slow HTTP POST :ゆっくりPostデータを送信し続ける Slow Read DoS :レスポンスデータをゆっくりダウンロードする結果サーバは大量のコネクションを保持しダウンするハッカーのメリットツールが存在しているため非常に簡単サーバのコネクションタイムアウトを回避攻撃を検知されにくい GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b X-a: b X-a: b X-a: b : 30 秒から2 分毎に 1ヘッダ送る Slow HTTP Headersの例ネットワーク使用量の急増もなくプロトコルとしては正しい通信のためFWやIPSでも検知できず ISPでトラフィック量を監視していても検知できない

攻撃への対策

ハッキングの手口ウェブ攻撃はほかの犯罪の手口と一緒ターゲットを特定防犯設備分析調査弱点をつく

Webサイトクローキング攻撃者クローク(cloak)= 覆い隠す脆弱性を見つけるためにサイトを調査自動スキャンで脆弱性のあるサーバを探す X-Powered-By:PHP/5.4.0 Webアプリケーション隠ぺい Webサーバ Appサーバ OS バージョン番号パッチレベルディレクトリ構造既知の脆弱性ワーム通信遮断 /カスタムレスポンス/リダイレクト攻撃者がまず行うこと: 弱点を探すために事前調査 Webサーバデータベースサーバアプリケーションサーバは何を使用しているか? どんなバージョンパッチを使用しているか?それらに既知の脆弱性はあるか? クローキングはハッカーやワームにWebリソースを隠すエラーページエラーコード HTTPヘッダー IPアドレスを隠す攻撃者に攻撃される隙を与えない頑強なWebサイトに

情報収集対策一般的なWAFは改ざん防止のトラッキングのため独自の Cookieや Hidden パラメータを挿入 WAFを使っているか使っているならどんなWAFを使用しているかチェックするツールが存在バラクーダのWAFは Cookieやパラメータ名を変更可能! 判別される心配はありません

攻撃への対策 SQLインジェクション

攻撃定義ファイルによる防御難読化された攻撃も正規化を行ってシグネチャマッチングを実施バラクーダセントラル攻撃者ダウンロードシグネチャ作成セキュリティのエキスパート脆弱性の研究第三者機関の情報収集解析ハニースポットハッキング大会の開催 Parameter=' OR 'A'='A バラクーダセントラルでは常に最新の攻撃の監視 / 解析を実施以下の攻撃をブロックすることが可能クロスサイトスクリプティング SQLインジェクションリモートファイルインクルージョンディレクトリートラバーサル OSコマンドインジェクション攻撃定義ファイルは常にバラクーダセントラルから最新のものをダウンロード更新間隔 :10 分から30 分おきに更新ブラックリスト型で簡単最新の攻撃にもすぐに対応可能

攻撃への対策なりすましログイン (パスワードリスト攻撃 )

ブルートフォース攻撃 &パスワードリスト攻撃の防止パスワード辞書総当たりによるログイン突破の攻撃 ( 同一 IPがら同じようなりクエストを大量に送りつける攻撃に有効 ) 攻撃者例 )60 秒以内に同一 IPから不正アクセスが10 回あった場合攻撃者とみなし防御 GET/POST 数を監視あらかじめ設定した期間内に同じIPからのリクエスト数をカウント決められた閾値以上のアクセスの際にはブロックする ( 除外 IPや特定 URLのみ認証エラーのみなど柔軟に対応可能 ) 簡単な脆弱性を利用するスキャンツールを使ったハッカーの大部分をアクセス拒否悪意のあるリクエストを防止することで正規のクライアントに適切なサービスを提供

ブロックしたくない場合 CAPTCHA 認証で緩和攻撃 CAPTCHA(キャプチャ) 認証をWAFが挿入利用者一般のユーザはCAPTCHA 認証 OKで通過以後該当クライアントのトラフィックを監視しアイドル状態が継続すると再開時 CAPTCHA 認証要求 CAPTCHAが失敗すると通信拒否パスワードリスト攻撃の緩和策としても有効

攻撃への対策 L7のDDoS 攻撃

Slow Client 攻撃防御機能通信量を常に監視して単位時間当たりのクライアント-WAF 間の平均通信量を計算想定した通信量よりも著しく少ない場合リアルタイムで攻撃と判断して WAFが通信を切断監視を除外するクライアントIPも設定可能リクエストの送信が明らかに遅い (Slow HTTP Headers) X-a: b X-a: b GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b X-a: b X-a: b X-a: b : 30 秒から2 分毎に 1ヘッダ送る Slow HTTP Headersの例レスポンスボディの送信が明らかに遅い (Slow Read DoS)

IPレピュテーション: 国ごとに許可拒否国地域 IP 辞書を搭載 ( 自動更新 ) 特定の国だけアクセス許可 or アクセス拒否衛星携帯 IPも制御可能例 ) 日本以外はアクセスさせない国情報地域 IP 情報以外にも衛星携帯電話を経由した通信の遮断も可能 IP 情報は定義ファイルによる自動更新のため管理者が常にチェックする必要もありません当然例外設定も可能ですサービス提供範囲が限定されている場合危険にさらす頻度が少なくなり有効な手段

IPレピュテーション: 疑わしいネットワークから通信拒否 Tor IP 発信元隠蔽 NEW 匿名プロキシ IP 発信元偽装ボットネット Spam&Virus FirewallのDBを利用 Torネットワーク(IP 発信元隠蔽技術 )NEW!! 匿名プロキシ(Anonymous Proxy) ボットネットからのアクセス拒否 Spam&Virus Firewall Barracuda IP レピュテーションDBを利用 150,000 台のBSVFからのボットネットの情報を活用これらのIP 情報も定義ファイルとして自動更新されます疑わしいしネットワークからのアクセスはお断り

ボットネットの通信遮断で攻撃は 1/500へ激減

フィンガープリント解析 ~ 人間かロボットか見分ける~ ブラウザの場合次のページのリクエスト時 JSの結果をクッキーを送信 CudaCookie:12345678 WAFが JavaScript 挿入クローラーやロボットの場合次のリクエスト時 JSの結果を判断できず答えのクッキーを送信できない失敗すると疑わしいと判断しそのIPにCAPTCHA 認証要求

導入事例

札幌学院大学様 WAF 導入時期 :2013 年 4 月導入機器 :460Vx 仮想アプライアンス導入構成 :ワンアームプロキシ構成導入の背景 : セキュリティ強化 WordPressなどオープンソースソフトウェア対策研究室の勝手 Webサーバ対策個人情報の保護 ( 学生データ志願者情報オープンキャンパス参加者 ) ルータファイアウォール WAF460 Vxを収容した仮想システム Webサーバ群 35

札幌学院大学様導入の効果 1. 攻撃の見える化を実現 WAF 導入以前は各サーバにログインしログ収集を行っていたが埋もれることも多く管理しきれない状態 WAFを通過した通信の全アクセスログが GUIで閲覧検索統計を取ることができるためログの一元化が可能さらにシステム全体の帯域リクエスト数などが把握できるため見える化による TCO 削減とセキュリティ意識の向上に貢献 2. 攻撃を防御しているのを確認実際にWordPressなどに対するSQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知していることを目の当たりにし WAF 導入の決断をして良かったと実感 36

Barracuda Web Application Firewall シリーズ希望小売価格初年度エネルギー充填サービス費用込 128 万 5 千円 ~( 税別 ) ライセンス専用マネジメントサーバ等は必要ありません Model 960 Open Model 360 128.5 万円 Model 460 180 万円 Model 860 Open Model 660 257 万円 360 460 660 860 960 実サーバ数 5 10 25 150 300 スループット 25Mbps 50Mbps 200Mbps 1Gbps 4Gbps 秒間トランザクション(リクエスト数 ) HTTP 3,000 6,000 10,000 25,000 55,000 HTTPS 2,000 4,000 6,000 12,000 20,000

Barracuda Web Application Firewall 仮想アプライアンスシリーズ O S ゲスト Apache Apache IIS WAF Linux Linux Windows Barracuda OS ハイパーバイザ (VM ESXi / Xen など) サーバ対応するハイパーバイザ VM ware ESX/ESXi CITRIX XenServer Microsoft Hyper-V Model 660 + 追加コアライセンス最大計 8コア 600Mbps Model 660Vx Model 360Vx Model 460Vx 360Vx 460Vx 660Vx CPUコア数 2 3 4 目安スループット 25Mbps 50Mbps 100Mbps Windows Azure Amazon AWSにも対応可能秒間トランザクション(リクエスト数 ) HTTP 3,000 6,000 9,000 HTTPS 2,000 4,000 6,000

なぜ Barracuda WAFなのか? 開梱後 30 分シグネチャで XSS/SQLインジェクション対策完了 L7 DDoS 対策 IPレピュテーションが可能なぜ? 日本語 Web GUIで管理サイト運営に必要な機能を全て搭載認証 LB SSL 豊富なアプライアンスのモデル仮想版も提供低価格 128.5 万 ( 初年度保守込 ) NEW Windows Azure Amazon AWSにも対応

各種情報のご案内

Barracudaの情報をGETしよう! バラクーダネットワークス日本オフィシャルサイト http://www.barracuda.co.jp/ Facebook バラクーダネットワークス Barracuda Networks Japan YouTube Barracuda Japan チャンネル https://www.youtube.com/user/barracudajapan/featured Foursquare バラクーダネットワークスジャパン株式会社 41

実際に試してみたい無償貸出機実際の環境でお試しいただけるよう無償貸出機をご用意しておりますご利用頂くには貸出機がインターネットへアクセスできるようにFWの設定変更が必要ですプロキシはサポートしておりません無償リモート検証環境 FWの設定変更ができないお客様には簡易構成となりますが弊社へリモートアクセス頂いてお試しいただけますハンズオンセミナーオンラインセミナーセミナーを定期開催しておりますスケジュール等は弊社までお問い合わせください弊社トレーニングルーム弊社サーバルーム 42

管理 GUIを今すぐ体験 http://demo.barracuda.co.jp 30 日間無償評価機申込 GUIデモ ID:guest Pass:なし

ありがとうございました詳細な製品のご説明導入方法についてのご相談評価機のご依頼など電話 :03-5436-6235 メール:jpinfo@barracuda.com バラクーダネットワークスジャパン株式会社