ファイルアップロード保護
多くの攻撃者は、マルチフォーム送信中に悪意のあるコード、ウイルス、またはマルウェアを添付ファイルとしてアップロードしようとします。ネットワークを保護し、そのような脅威を克服することが重要です。このような悪意のあるファイルのアップロードを防ぐために、Citrix ADC管理者はWAFプロファイルで許可されるファイルアップロード形式のセットを構成できるようになりました。これにより、ファイルのアップロードを特定の形式に制限し、悪意のあるファイルのアップロードからアプライアンスを保護します。ただし、この保護は、WAF プロファイルの「excludeFileUploadFormChecks」オプションを無効にした場合にのみ機能します。
ファイルアップロードの仕組み
許容されるファイルアップロード形式を設定すると、コンポーネントのインタラクションは次のようになります。
- クライアント要求には、ファイルアップロードタイプ(PDF など)のフォーム送信があります。
- セキュリティチェックの一環として、WAF はリクエストペイロードを検査し、マジックシグネチャ番号に基づいてファイルタイプを検証します。
- ファイルタイプが許容可能なファイル形式である場合、ファイルタイプバインディングに基づく対応するアクションが適用されます。
- ファイルタイプを検証するために、アプライアンスはペイロードを検査し、既知のオフセットで既知のマジックナンバーをチェックします。各ファイルタイプには、ファイルタイプを検証するマジックナンバーのシーケンスがあります。
- 検証に合格した場合にのみ、WAF はファイルを許容可能な形式として識別し、関連付けられたアクションが適用されます。
Citrix ADC CLIを使用してファイルタイプのアップロードを構成する
許容されるファイル形式を設定するために、アプライアンスはファイルアップロードパラメータにバインドされた WAF プロファイルを使用します。
- Web アプリケーションファイアウォールプロファイルの構成
Web アプリケーションファイアウォールプロファイルを構成するには、次のように入力します。
set appfw profile
例
set appfw profile profile1 –fileUploadTypesAction block
- ファイルアップロードパラメータを使用して Web アプリケーションファイアウォールプロファイルをバインドします。このコマンドは、指定された除外(緩和)またはルールを指定されたアプリケーションファイアウォールプロファイルにバインドします。
プロファイルとファイルアップロードパラメータをバインドするには、次のように入力します。
bind appfw profile
Citrix ADC GUIを使用してファイルアップロードのセキュリティ保護を構成する
以下の手順に従って、ファイルのアップロード設定を行います。
- ナビゲーションペインで、[セキュリティ] > [プロファイル] に移動します。
- [プロファイル] ページで、[追加] をクリックします。
- Citrix Web App Firewallプロファイルページで、[詳細設定]の[セキュリティチェック]をクリックします。
[セキュリティチェック] セクションで、[ファイルアップロードの種類] 設定に移動します。
- チェックボックスをオンにして、[アクションの設定] をクリックします。
- [ファイルアップロードの種類] 設定ページで、ファイルのアップロードアクションを設定します。
- 「OK」をクリックします。
[Citrix Web App Firewall プロファイル]ページで、[OK]をクリックし、[完了]をクリックします。
Citrix ADC GUIを使用してファイルアップロード緩和ルールを構成する
ファイルアップロードのセキュリティ保護を緩和して、誤検出を回避できます。たとえば、アプライアンスがファイルのアップロードをブロックする場合がありますが、緩和ルールを追加して、特定の Web サイトからのファイルアップロードを許可できます。これにより、アプライアンスは指定されたフォームフィールドのセキュリティ検査をバイパスし、アクション URL に記載されている Web サイトからファイルをアップロードすることをユーザに許可します。
以下の手順に従って、緩和ルールを作成します。
- ナビゲーションペインで、[セキュリティ]>[Citrix Web App Firewall]>[プロファイル]の順に移動します。
- [プロファイル] ページで、[追加] をクリックします。
- [Citrix Web App Firewall プロファイル]ページで、[詳細設定]の[緩和ルール]をクリックします。
[緩和ルール] セクションで、[ファイルアップロードの種類] を選択し、[編集] をクリックします。
- [ファイルアップロードタイプの再分類規則] ページで、[追加] をクリックします。
[ファイルアップロードタイプの緩和規則] ページで、次のパラメータを設定します。
- 有効。緩和ルールを有効にするには、このチェックボックスをオンにします。
- フォームフィールド名。セキュリティチェックを必要としないフィールド名を入力します。
- アクション URL。セキュリティチェックから免除する必要があるフォーム送信 URL。
- ファイルタイプ。ユーザーがアップロードできるようにする必要があるファイルタイプ。
- コメント。ファイルのアップロードに関する簡単な説明。
[作成]をクリックします。
[Citrix Web App Firewall プロファイル]ページで、[OK]をクリックし、[完了]をクリックします。