ADC

Verfolgen von HTML-Anforderungen mit Sicherheitsprotokollen

Hinweis:

Diese Funktion ist in Citrix ADC Version 10.5.e verfügbar.

Die Fehlerbehebung erfordert eine Analyse der Daten, die in der Clientanforderung empfangen wurden, und kann eine Herausforderung darstellen. Vor allem, wenn starker Verkehr durch die Appliance fließt. Die Diagnose von Problemen kann sich auf die Funktionalität auswirken, oder die Anwendungssicherheit kann eine schnelle Reaktion erfordern.

Der Citrix ADC isoliert den Datenverkehr für ein Web App Firewall -Profil und sammelt nstrace für die HTML-Anfragen. Der im Appfw-Modus nstrace gesammelte Modus enthält Details zur Anfrage mit Protokollnachrichten. Sie können “TCP-Stream folgen” im Trace verwenden, um die Details der einzelnen Transaktion einschließlich Header, Payload und der entsprechenden Protokollnachricht auf demselben Bildschirm anzuzeigen.

So erhalten Sie einen umfassenden Überblick über Ihren Traffic. Eine detaillierte Ansicht der Anfrage, der Payload und der zugehörigen Protokolldatensätze kann nützlich sein, um die Verstöße gegen die Sicherheitsprüfung zu analysieren. Sie können leicht das Muster identifizieren, das die Verletzung auslöst. Wenn das Muster zulässig sein muss, können Sie eine Entscheidung treffen, die Konfiguration zu ändern oder eine Relaxationsregel hinzuzufügen.

Vorteile

  1. Datenverkehr für ein bestimmtes Profil isolieren: Diese Erweiterung ist nützlich, wenn Sie Datenverkehr für nur ein Profil oder bestimmte Transaktionen eines Profils zur Fehlerbehebung isolieren. Sie müssen nicht mehr die gesamten Daten durchlaufen, die in der Trace gesammelt werden, oder benötigen spezielle Filter, um Anfragen zu isolieren, die Sie interessieren, was mit starkem Datenverkehr mühsam sein kann. Sie können die von Ihnen bevorzugten Daten anzeigen.
  2. Sammeln von Daten für bestimmte Anforderungen: Der Trace kann für eine bestimmte Dauer gesammelt werden. Sie können Trace für nur einige Anforderungen sammeln, um bestimmte Transaktionen zu isolieren, zu analysieren und zu debuggen.
  3. Identifizieren Sie Resets oder Abbrüche: Unerwartetes Schließen von Verbindungen ist nicht leicht sichtbar. Die im —appfw-Modus gesammelte Ablaufverfolgung erfasst einen Reset oder einen Abbruch, der von der Web App Firewall ausgelöst wird. Dies ermöglicht eine schnellere Isolierung eines Problems, wenn Sie keine Meldung über eine Sicherheitsüberprüfung sehen. Fehlgebildete Anforderungen oder andere nicht RFC-konforme Anforderungen, die von der Web App Firewall beendet werden, sind jetzt leichter zu identifizieren.
  4. Entschlüsselten SSL-Datenverkehr anzeigen: HTTPS-Datenverkehr wird im Klartext erfasst, um die Fehlerbehebung zu erleichtern.
  5. Bietet umfassende Ansicht: Ermöglicht es Ihnen, die gesamte Anforderung auf Paketebene zu betrachten, die Nutzlast zu überprüfen, die Protokolle zu überprüfen, welche Sicherheitsüberprüfungsverletzung ausgelöst wird, und das Übereinstimmungsmuster in der Nutzlast zu identifizieren. Wenn die Nutzlast aus unerwarteten Daten, Junk-Strings oder nicht druckbaren Zeichen (Nullzeichen,\ r oder\ n usw.) besteht, sind sie im Trace leicht zu erkennen.
  6. Konfiguration ändern: Das Debugging kann nützliche Informationen liefern, um zu entscheiden, ob das beobachtete Verhalten das richtige Verhalten ist oder die Konfiguration geändert werden muss.
  7. SchnellereReaktionszeit: Schnelleres Debuggen im Zieldatenverkehr kann die Reaktionszeit verbessern, um Erklärungen oder Ursachenanalysen durch das Citrix Engineering- und Support-Team zu liefern.

Weitere Informationen finden Sie unter Manuelle Konfiguration mithilfe des Themas der Befehlszeilenschnittstelle .

So konfigurieren Sie die Debug-Ablaufverfolgung für ein Profil mit der Befehlszeilenschnittstelle

Schritt 1. NS-Ablaufverfolgung aktivieren.

Sie können den Befehl show verwenden, um die konfigurierte Einstellung zu überprüfen.

  • set appfw profile <profile> -trace ON

Schritt 2. Sammeln Sie Spuren. Sie können weiterhin alle Optionen verwenden, die für den nstrace Befehl gelten.

  • start nstrace -mode APPFW

Schritt 3. Stoppen Sie die Spur.

  • stop nstrace

Speicherort des Trace: Der nstrace wird in einem Zeitstempelordner gespeichert, der im Verzeichnis /var/nstrace erstellt und mit angezeigt werden kann wireshark. Sie können den in der/var/log/ns.log Datei anzeigen, um die Protokollmeldungen anzuzeigen, die Details zum Speicherort der neuen Ablaufverfolgung enthalten.

Tipps:

  • Wenn die Option appfw mode verwendet nstrace wird, sammelt der nur die Daten für ein oder mehrere Profile, für die der “nstrace” aktiviert wurde.

  • Wenn Sie den Trace im Profil aktivieren, werden die Traces nicht automatisch gesammelt, bis Sie explizit den Befehl “start ns trace” ausführen, um den Trace zu sammeln.
  • Obwohl das Aktivieren von Trace für ein Profil möglicherweise keine negativen Auswirkungen auf die Leistung der Web App Firewall hat, möchten Sie diese Funktion möglicherweise nur für die Dauer aktivieren, für die Sie die Daten erfassen möchten. Es wird empfohlen, dass Sie das —trace Flag deaktivieren, nachdem Sie die Ablaufverfolgung erfasst haben. Die Option verhindert das Risiko, versehentlich Daten aus Profilen zu erhalten, für die Sie dieses Flag in der Vergangenheit aktiviert haben.

  • Die Block- oder Protokollaktion muss für die Sicherheitsüberprüfung aktiviert sein, damit der Transaktionsdatensatz in den enthalten ist nstrace.

  • Rückgänge und Abbrüche werden unabhängig von Sicherheitsüberprüfungsaktionen protokolliert, wenn der Trace für die Profile “On” ist.

  • Die Funktion gilt nur für die Fehlerbehebung der vom Kunden eingegangenen Anfragen. Die Traces im —appfw-Modus enthalten nicht die vom Server empfangenen Antworten.

  • Sie können weiterhin alle Optionen verwenden, die für den nstrace Befehl gelten. Zum Beispiel:

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Wenn eine Anfrage mehrere Verstöße auslöst, enthält der nstrace für diesen Datensatz alle entsprechenden Protokollnachrichten.

  • CEF-Protokollnachrichtenformat wird für diese Funktionalität unterstützt.

  • Signaturverletzungen, die Block- oder Protokollaktionen für Prüfungen auf der Anforderungsseite auslösen, werden ebenfalls in den Trace aufgenommen.

  • Im Ablaufverfolgungsprotokoll werden nur HTML-Anforderungen (Nicht-XML) erfasst.
Verfolgen von HTML-Anforderungen mit Sicherheitsprotokollen