BIG-IP ASM ANOMALY DETECTION ANOMALY

BIG-IP ASM ANOMALY DETECTION
BIG機能
Anomaly Detection について（
について（1/2
1/2））
BIG-IP
BIG
IP ASM におけるAnomaly
におけるA
l D
Detection
i とは、以下にあげるような
とは以下にあげるような
「個々のHTTPリクエストには全く問題が見られないが、リクエストの頻度
や手法に異常性（Anomaly）が見られる」ものを検知する機能のことを指
します。
します
• レイヤー７（HTTP）における、（D）DOS攻撃
レイヤ７（HTTP）における（D）DOS攻撃
例：１つのTCPコネクション上で、HTTP GET/POSTを繰り返す、アプリケーション・レ
ベルでのDDOS攻撃。
• ブルートフォース攻撃
ブルトフォス攻撃
パスワード総当たり攻撃。個々のレベルでは正常なHTTPを使用しつつ、パスワード
を総当たり（力ずく）で見破ろうとするアプリケーション・レベルの攻撃。
• Web Scraping 攻撃
BOTなどの不正プログラムを使用し、定期的にWebサイトから情報抽出を行い、その
情報を悪用するもの。
Anomaly Detection について（
について（2/2
2/2））
BIG-IP
BIG
IP Application
A li i Security
S
i Manager
M
(ASM) では、前頁にあげたよう
は前頁にあげたよう
な、アプリケーション・レイヤを狙った攻撃に対して、様々な防御機能を提
供します。
• DoS Attack Prevention
HTTPレベルの（D）DOS攻撃の検知、およびブロックを行う機能を提供します。
ベ
（） OS攻撃検知およびブ
クを行う機能を提供します
• Brute Force Attack Prevention
パスワード総当たり攻撃に対する、検知、およびブロック機能を提供します。
• IP Enforcer
不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす
る機能を提供します。
• Web Scraping
Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。
DoS Attack Prevention 設定画面
Off（無効） / Transparent（透過）
Off（無効）
Transparent（透過） /
Blocking（ブロッキング）
Blocking
（ブロッキング）から動作
モードを選択することが出来ます。
柔軟なポリシー設定。
柔軟な閾値や、保護期間の設定。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
Brute Force Attack Prevention 設定
設定画面
画面
任意のログイン・ページを指定可能。
セッション・ベースでの
セッション
セッション・ベースでのBrute
スでのBrute Force 攻
スでのBrute
撃保護の設定が可能。
セッション・ベースではなく、トラフィック
の統計情報を分析することによるB
の統計情報を分析することによるBrute
の統計情報を分析することによる
B t
Brute
Force 攻撃保護の設定が可能。
攻撃検知のための、閾値設定や、保護
攻撃検知のための
、閾値設定や、保護
ポリシーを柔軟に設定することが可能。
ポリシーを柔軟に設定することが可能
通常は、セッション・ベースの設定かど
ちらか一方の設定で良い。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
IP Enforcer 設定画面（サンプル）
Off（無効） / Transparent（透過）
Off（無効）
Transparent（透過） /
Blocking（ブロッキング）
Blocking
（ブロッキング）から動作
モードを選択することが出来ます。
柔軟な閾値や、保護期間の設定。
アクセス元の「IPアドレス」を対象にした保護機能のため、プロキシー・サーバーや
アクセス元の「IP
アドレス」を対象にした保護機能のため、プロキシー・サーバーやNAT
」を象
保護機能
、
NATが行われて
が行われて
行わ
いる環境では注意が必要。ASM
いる環境では注意が必要。
ASMでは、任意の
では、任意のHTTP
HTTPヘッダー（例：
ヘッダー（例：X
X-Forwarded
Forwarded--For 等）を優先的
に参照することで実際のプロキシー・サーバーが介在する環境でもアクセス元を区別する機能を
持っております。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
Web Scraping 設定画面（サンプル）
Enabled（有効）もしくは無効化の
Enabled（有効）もしくは無効化の
いずれかを選択可能。
Web Scraping機能
Scraping機能は、クライアン
はクライアン
ト（ブラウザ）の、JavaScript
ト（ブラウザ）の、
JavaScript有効
有効
化およびCookie
化および
Cookie有効化が行われ
有効化が行われ
ていることを、検知項目として利用
しています。
しています
これらの機能が無効化されている
これらの機能が無効化されている
場合や、ASM
場合や、
ASMの前段にキャッシュ・
の前段にキャッシュ・
サバなどが介在し ASMまで
サーバーなどが介在してASM
サーバーなどが介在して
ま
まで
リクエストが到達しないようなケー
スでは、正常な検知が行えない場
合があります。
サンプル画面ショットは
サンプル画面ショット
は、v11.2.x のものとなります。バージョンによって差異はあります。予めご了承ください。
まとめ
BIG-IP Application Security Manager (ASM) では、アプリケーション・レ
イヤを狙った攻撃に対して、防御（
イヤを狙った攻撃に対して、防御（WAF）機能を提供します。
）機能を提供します。
• DoS Attack Prevention
HTTP ベの（D）DOS攻撃の検知およびブ
HTTPレベルの（D）DOS攻撃の検知、およびブロックを行う機能を提供します。
クを行う機能を提供します
• Brute Force Attack Prevention
パスワード総当たり攻撃に対する検知、およびブロック機能を提供します。
• IP Enforcer
不正アクセス攻撃を行っているとみなした、送信元IPアドレスを一定期間、ブロックす
る機能を提供します。
• Web Scraping
Web Scraping 攻撃に対する、検知、およびブロック機能を提供します。
BIG-IPでは、負荷分散装置（LTM）にWAF機能（ASM）を集約させることで、
より高いセキュリティ、パフォーマンスを実現することが出来ます。

Download Report