Snort ルールの統合
Web アプリケーションに対する悪意のある攻撃では、内部ネットワークを保護することが重要です。悪意のあるデータは、インターフェイスレベルでWebアプリケーションに影響を与えるだけでなく、悪意のあるパケットもアプリケーション層に到達します。このような攻撃に対処するには、内部ネットワークを調べる侵入検知および防止システムを構成することが重要です。
Snort ルールはアプライアンスに統合され、アプリケーション層でのデータパケットにおける悪意のある攻撃を検査します。snort ルールをダウンロードし、WAF シグニチャルールに変換できます。シグネチャには、DOS攻撃、バッファオーバーフロー、ステルスポートスキャン、CGI攻撃、SMBプローブ、OSフィンガープリントの試行などの悪意のあるアクティビティを検出できるルールベースの構成があります。Snortルールを統合することで、インターフェイスとアプリケーションレベルでセキュリティソリューションを強化できます。
Snortルールの設定
設定では、まず Snort ルールをダウンロードし、次に WAF シグニチャルールにインポートします。ルールを WAF シグニチャに変換すると、そのルールを WAF セキュリティチェックとして使用できます。snort ベースのシグニチャルールは、着信データパケットを調べて、ネットワークに悪意のある攻撃があるかどうかを検出します。
新しいパラメータ「vendorType」が import コマンドに追加され、Snort ルールを WAF シグニチャに変換します。
パラメータ「vendorType」は、Snort ルールの場合のみ、SNORTに設定されます。
コマンドインターフェイスを使用して snort ルールをダウンロードする
以下のURLからSnortルールをテキストファイルとしてダウンロードできます。
https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
コマンドインターフェイスを使用して snort ルールをインポートする
ダウンロード後、Snort ルールをアプライアンスにインポートできます。
コマンドプロンプトで入力します。
import appfw signatures
例:
import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort
引数:
Src インポートされたシグニチャオブジェクトを格納する場所の URL(プロトコル、ホスト、パス、ファイル名)。
注:
インポートするオブジェクトが、アクセスのためにクライアント証明書認証を必要とする HTTPS サーバー上にある場合、インポートは失敗します。最大長の必須引数:2047
Name:Citrix ADC上の署名オブジェクトに割り当てる名前。最大長の必須引数:31
コメント。signature オブジェクトに関する情報を保持する方法の説明。 最大長:255 上書き同じ名前の既存のシグニチャオブジェクトを上書きします。
マージ。既存の署名を新しい署名ルールにマージします。
防腐剤。シグニチャルールの def アクションを保持します。
ベンダータイプ。WAF シグニチャを生成するサードパーティベンダー。可能な値:スノト。
Citrix ADC GUIを使用してsnortルールを構成する
SnortルールのGUI設定は、Cenzic、Qualys、Whitehatのような他の外部Webアプリケーションスキャナの設定に似ています。
Snort を設定するには、以下の手順に従います。
- [構成]>[セキュリティ]>[Citrix Web App Firewall]>[署名]
- [署名] ページで、[追加] をクリックします。
[署名の追加] ページで、次のパラメータを設定して Snort ルールを設定します。
- ファイル形式。ファイルフォーマットを外部として選択します。
- インポート元。インポートオプションを snort ファイルまたは URL として選択し、URL を入力します。
- スノート V3 ベンダー. ファイルまたは URL から Snort ルールをインポートするには、このチェックボックスをオンにします。
[開く]をクリックします。
アプライアンスは、Snort ルールを snort ベースの WAF シグニチャルールとしてインポートします。
ベストプラクティスとして、フィルタアクションを使用して、アプライアンスで WAF 署名ルールとしてインポートする snort ルールを有効にする必要があります。
確認するには、[はい] をクリックします。
選択したルールがアプライアンス上で有効になります。
- [OK]をクリックします。