Citrix ADC

Verfolgen von HTML-Anforderungen mit Sicherheitsprotokollen

Hinweis:

Diese Funktion ist in Citrix ADC Version 10.5.e verfügbar.

Die Fehlerbehebung erfordert eine Analyse der Daten, die in der Clientanforderung empfangen wurden, und kann eine Herausforderung darstellen. Vor allem, wenn starker Verkehr durch die Appliance fließt. Die Diagnose von Problemen kann sich auf die Funktionalität auswirken, oder die Anwendungssicherheit kann eine schnelle Reaktion erfordern.

Citrix ADC hat die Option, den Datenverkehr für ein Web App Firewall Profil zu isolieren und nstrace für die HTML-Anforderungen zu sammeln. Das im —appfw-Modus gesammelte nstrace enthält Details der gesamten Anforderung einschließlich der von Web App Firewall generierten Protokollmeldungen. Sie können Follow TCP stream im Trace verwenden, um die Details der einzelnen Transaktion einschließlich Header, Payload sowie die entsprechende Log-Nachricht zusammen im selben Bildschirm anzuzeigen.

So erhalten Sie einen umfassenden Überblick über Ihren Traffic. Eine detaillierte Ansicht der Anforderungs-, Nutzlast- und zugehörigen Protokolldatensätze kann sehr nützlich sein, um Verletzungen der Sicherheitsprüfung zu analysieren. Sie können leicht das Muster identifizieren, das die Verletzung auslöst. Wenn das Muster erlaubt sein soll, können Sie eine Entscheidung treffen, die Konfiguration zu ändern und/oder eine Relaxationsregel hinzuzufügen.

Vorteile

  1. Datenverkehr für ein bestimmtes Profil isolieren: Diese Erweiterung ist nützlich, wenn Sie Datenverkehr für nur ein Profil oder bestimmte Transaktionen eines Profils zur Fehlerbehebung isolieren. Sie müssen nicht mehr die gesamten Daten durchlaufen, die in der Trace gesammelt werden, oder benötigen spezielle Filter, um Anfragen zu isolieren, die Sie interessieren, was mit starkem Datenverkehr mühsam sein kann. Sie haben nun die Möglichkeit, nur die Daten anzuzeigen, die Sie interessieren.
  2. Sammeln von Daten für bestimmte Anforderungen: Der Trace kann für eine bestimmte Dauer gesammelt werden. Sie können Trace für nur einige Anforderungen sammeln, um bestimmte Transaktionen zu isolieren, zu analysieren und zu debuggen.
  3. Zurücksetzen oder Abbrüche identifizieren: Unerwartetes Schließen von Verbindungen ist nicht leicht sichtbar. Die im —appfw-Modus gesammelte Ablaufverfolgung erfasst einen Reset oder einen Abbruch, der von der Web App Firewall ausgelöst wird. Dies ermöglicht eine schnellere Isolierung des Problems, wenn keine Sicherheitsüberprüfungsverletzung angezeigt wird. Fehlgebildete Anforderungen oder andere nicht RFC-konforme Anforderungen, die von der Web App Firewall beendet werden, sind jetzt leichter zu identifizieren.
  4. Entschlüsselten SSL-Datenverkehr anzeigen: HTTPS-Datenverkehr wird im Klartext erfasst, um die Fehlerbehebung zu erleichtern.
  5. Bietet umfassende Ansicht: Ermöglicht es Ihnen, die gesamte Anforderung auf Paketebene zu betrachten, die Nutzlast zu überprüfen, die Protokolle zu überprüfen, welche Sicherheitsüberprüfungsverletzung ausgelöst wird, und das Übereinstimmungsmuster in der Nutzlast zu identifizieren. Wenn die Nutzlast aus unerwarteten Daten, Junk-Strings oder nicht druckbaren Zeichen (Nullzeichen, r oder n usw.) besteht, sind sie im Trace leicht zu erkennen.
  6. Konfiguration ändern: Das Debugging kann nützliche Informationen liefern, um zu entscheiden, ob das beobachtete Verhalten das korrekte Verhalten ist oder die Konfiguration geändert werden soll.
  7. Beschleunigen Sie die Reaktionszeit: Ein schnelleres Debugging für Zieldatenverkehr kann die Reaktionszeit verbessern, um Erklärungen und/oder Ursachenanalyse durch das Citrix Engineering- und Support-Team bereitzustellen.

Informationen zum Dokumentieren von Aufgaben finden Sie in jedem Aufgabenthema in eDocs. Manuelle Konfiguration über die Befehlszeilenschnittstelle

So konfigurieren Sie die Debug-Ablaufverfolgung für ein Profil mit der Befehlszeilenschnittstelle

Schritt 1. NS-Ablaufverfolgung aktivieren.

Sie können den Befehl show verwenden, um die konfigurierte Einstellung zu überprüfen.

  • set appfw profile <profile> -trace ON

Schritt 2. Sammeln Sie Spuren. Sie können weiterhin alle Optionen verwenden, die für den Befehl nstrace gelten.

  • start nstrace -mode APPFW

Schritt 3. Stoppen Sie die Spur.

  • stop nstrace

Speicherort der Ablaufverfolgung: Die nstrace wird in einem Zeitstempelordner gespeichert, der im Verzeichnis /var/nstrace erstellt wird und über wireshark angezeigt werden kann. Sie können den in der/var/log/ns.log Datei anzeigen, um die Protokollmeldungen anzuzeigen, die Details zum Speicherort der neuen Ablaufverfolgung enthalten.

Tipps:

  • Wenn die Option —appfw mode verwendet wird, sammelt das nstrace nur die Daten für die Profile, für die trace aktiviert wurde.

  • Wenn Sie Trace auf dem Profil aktivieren, beginnt das Sammeln der Traces erst dann automatisch, wenn Sie explizit den Befehl start nstrace ausführen, um die Trace zu sammeln.
  • Das Aktivieren der Ablaufverfolgung für ein Profil hat zwar keine nachteiligen Auswirkungen auf die Leistung der Web App Firewall, Sie können diese Funktion jedoch nur für die Dauer aktivieren, für die Sie die Daten erfassen möchten. Es wird empfohlen, dass Sie das —trace Flag deaktivieren, nachdem Sie die Ablaufverfolgung erfasst haben. Dies verhindert das Risiko, versehentlich Daten aus Profilen zu erhalten, für die Sie dieses Flag in der Vergangenheit aktiviert haben.

  • Die Block- oder Protokollaktion muss aktiviert sein, damit die Sicherheitsprüfung für den Transaktionsdatensatz in das nstrace aufgenommen werden kann.

  • Zurücksetzen und Abbrüche werden unabhängig von Sicherheitsüberprüfungsaktionen protokolliert, wenn die Ablaufverfolgung für die Profile Ein ist.

  • Diese Funktion ist nur für die Fehlerbehebung der vom Client empfangenen Anforderungen anwendbar. Die Traces im —appfw-Modus enthalten nicht die vom Server empfangenen Antworten.

  • Sie können weiterhin alle Optionen verwenden, die für den Befehl nstrace gelten. Beispiel:

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Wenn eine Anforderung mehrere Verletzungen auslöst, enthält die nstrace für diesen Datensatz alle entsprechenden Protokollmeldungen.

  • CEF-Protokollnachrichtenformat wird für diese Funktionalität unterstützt.

  • Signaturverletzungen, die Block- und/oder Protokollaktionen für anforderungsseitige Prüfungen auslösen, werden ebenfalls in die Ablaufverfolgung aufgenommen.

  • Im Ablaufverfolgungsprotokoll werden nur HTML-Anforderungen (Nicht-XML) erfasst.

Beispiel für einen Protokolldatensatz in der Ablaufverfolgung:

Protokolldatensatz in Ablaufverfolgung

Verfolgen von HTML-Anforderungen mit Sicherheitsprotokollen