Citrix ADC

Vertrauliche Felder

Sie können Webformularfelder als vertraulich festlegen, um die Informationen zu schützen, die Benutzer in sie eingeben. Normalerweise werden alle Informationen, die ein Benutzer in ein Webformular auf einem Ihrer geschützten Webserver eingibt, in den Citrix ADC Protokollen protokolliert. Die Informationen, die in ein als vertraulich eingestuft werden, werden jedoch nicht protokolliert. Diese Informationen werden nur dort gespeichert, wo die Website so konfiguriert ist, dass diese Daten gespeichert werden, normalerweise in einer sicheren Datenbank.

Häufige Arten von Informationen, die Sie mit einer vertraulichen Feldbezeichnung schützen möchten, sind:

  • Kennwörter
  • Kreditkartennummern, Validierungscodes und Ablaufdatum
  • Sozialversicherungsnummern
  • Steuer-ID-Nummern
  • Privatadressen
  • Private Telefonnummern

Neben der bewährten Praxis kann die ordnungsgemäße Verwendung vertraulicher Feldbezeichnungen für die PCI-DSS-Konformität auf E-Commerce-Servern, die HIPAA-Konformität auf Servern, die medizinische Informationen in den USA verwalten, und die Einhaltung anderer Datenschutzstandards erforderlich sein.

Wichtig:

In den folgenden beiden Fällen funktioniert die Bezeichnung Vertrauliches Feld nicht wie erwartet:

  • Wenn ein Webformular über ein vertrauliches Feld oder eine Aktions-URL mit mehr als 256 Zeichen verfügt, wird die Feld- oder Aktions-URL in den Citrix ADC Protokollen abgeschnitten.
  • Bei bestimmten SSL-Transaktionen werden die Protokolle abgeschnitten, wenn entweder das vertrauliche Feld oder die Aktions-URL länger als 127 Zeichen ist.

In jedem dieser Fälle maskiert die Web App Firewall eine fünfzehnstellige Zeichenfolge mit dem Buchstaben x anstelle der normalen 8-stelligen Zeichenfolge. Um sicherzustellen, dass vertrauliche Informationen entfernt werden, muss der Benutzer Formularfeldnamen und Aktions-URL-Ausdrücke verwenden, die mit den ersten 256 übereinstimmen, oder (in Fällen, in denen SSL verwendet wird) die ersten 127 Zeichen.

Um Ihre Web App Firewall so zu konfigurieren, dass ein Webformularfeld auf einer geschützten Website als vertraulich behandelt wird, fügen Sie dieses Feld der Liste Vertrauliche Felder hinzu. Sie können den Feldnamen als Zeichenfolge eingeben oder einen PCRE-kompatiblen regulären Ausdruck eingeben, der mindestens ein Feld angibt. Sie können die Bezeichnung vertraulicher Felder aktivieren, wenn Sie das Feld hinzufügen, oder Sie können die Bezeichnung später ändern.

So fügen Sie mit der Befehlszeilenschnittstelle ein vertrauliches Feld hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add appfw confidField <fieldName> <url> [-isRegex ( REGEX | NOTREGEX )] [-comment "<string>"] [-state ( ENABLED | DISABLED )]
  • save ns config

Beispiel

Im folgenden Beispiel werden alle Webformularfelder, deren Namen mit “Password” beginnen, zur Liste vertraulicher Felder hinzugefügt.

add appfw confidField Password "https?://www[.]example[.]com/[^<>]\*[^a-z]password[0-9a-z._-]\*[.](asp|cgi|htm|html|htp|js|php)" -isRegex REGEX -state ENABLED
save ns config

So ändern Sie ein vertrauliches Feld mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw confidField <fieldName> <url> [-isRegex ( REGEX | NOTREGEX )][-comment "<string>"] [-state ( ENABLED | DISABLED )]
  • `save ns config’

Beispiel

Im folgenden Beispiel wird die Bezeichnung vertraulicher Felder geändert, um einen Kommentar hinzuzufügen.

set appfw confidField Password "https?://www[.]example[.]com/[^<>]\*[^a-z]password[0-9a-z._-]\*[.](asp|cgi|htm|html|htp|js|php)" -comment "Protect password fields." -isRegex REGEX -state ENABLED
save ns config

So entfernen Sie ein vertrauliches Feld mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • rm appfw confidField <fieldName> <url>
  • save ns config

So konfigurieren Sie ein vertrauliches Feld mit der GUI

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Vertrauliche Felder verwalten.
  3. Führen Sie im Dialogfeld Vertrauliche Felder verwalten eine der folgenden Aktionen aus:
    • Um der Liste ein neues Formularfeld hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene vertrauliche Feldbezeichnung zu ändern, wählen Sie das Feld aus, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Vertrauliche Felder der Web App Firewall wird angezeigt.

      Hinweis:

      Wenn Sie eine vorhandene vertrauliche Feldbezeichnung auswählen und dann auf Hinzufügenklicken, werden im Dialogfeld Vertrauliches Formularfeld erstellendie Informationen für dieses vertrauliche Feld angezeigt. Sie können diese Informationen ändern, um Ihr neues vertrauliches Feld zu erstellen.

  4. Füllen Sie im Dialogfeld die Elemente aus. Sie sind:
    • Aktiviert. Aktivieren oder deaktivieren Sie diese vertrauliche Feldbezeichnung.
    • Ist Formularfeldname ein regulärer Ausdruck Kontrollkästchen. Aktivieren oder deaktivieren Sie diese Option, um reguläre Ausdrücke im Formularfeldnamen im PCRE-Format zu aktivieren.
    • Feldname. Geben Sie eine literale Zeichenfolge oder einen regulären Ausdruck im PCRE-Format ein, der entweder einen bestimmten Feldnamen darstellt oder mehrere Felder mit Namen übereinstimmt, die einem Muster folgen.
    • Aktions-URL. Geben Sie eine literale URL oder einen regulären Ausdruck ein, der eine oder mehrere URLs der Webseite (n) definiert, auf der sich die Webformulare befinden, die das vertrauliche Feld enthält.
    • Kommentare. Geben Sie einen Kommentar ein. Optional.
  5. Klicken Sie auf Erstellen oder OK.
  6. Um eine vertrauliche Feldbezeichnung aus der Liste vertraulicher Felder zu entfernen, wählen Sie die Liste vertraulicher Felder aus, die Sie entfernen möchten, klicken Sie dann auf Entfernen, um sie zu entfernen, und klicken Sie dann auf OK, um Ihre Auswahl zu bestätigen.
  7. Wenn Sie mit dem Hinzufügen, Ändern und Entfernen vertraulicher Feldbezeichnungen fertig sind, klicken Sie auf Schließen.

Beispiele

Im Folgenden finden Sie einige reguläre Ausdrücke, die Formularfeldnamen definieren, die Sie möglicherweise nützlich finden:

  • ^passwd_ (Wendet den Status vertraulicher Felder auf alle Feldnamen an, die mit der Zeichenfolge passwd_ beginnen.)

  • ^(([0-9a-zA-Z.-]*||\x[0-9A-Fa-f][0-9A-Fa-f])+-)?passwd (Wendet den Status vertraulicher Felder auf alle Feldnamen an, die mit der Zeichenfolge passwd_ beginnen oder die die Zeichenfolge -passwd_ nach einer anderen Zeichenfolge enthalten, die Nicht-ASCII-Sonderzeichen enthalten könnte.)

Im Folgenden finden Sie einige reguläre Ausdrücke, die bestimmte URL-Typen definieren, die Sie möglicherweise nützlich finden. Ersetzen Sie Ihre eigenen Web-Hosts und Domain (s) für diejenigen in den Beispielen.

  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example.com erscheint, aber alle diese Webseiten haben den Namen logon.pl? verwenden, können Sie den folgenden regulären Ausdruck verwenden:

     https?://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_.-]*/)*logon[.]pl?
    
  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example-español.com angezeigt wird, der das Sonderzeichen n-tilde (ñ) enthält, können Sie den folgenden regulären Ausdruck verwenden, der das n-tilde-Sonderzeichen als kodierte UTF-8-Zeichenfolge darstellt, die C3 B1 enthält, den hexadezimalen Code, der diesem Zeichen im UTF-8-Zeichensatz:

     https?://www[.]example-espa\xC3\xB1ol[.]com/([0-9A-Za-z][0-9A-Za-z_.-]\*/)\* logon[.]pl?
    
  • Wenn das Webformular, das query.pl enthält, auf mehreren Webseiten auf verschiedenen Hosts innerhalb der Domäne example.com angezeigt wird, können Sie den folgenden regulären Ausdruck verwenden:

     https?://([0-9A-Za-z][0-9A-Za-z_-.]*[.])\*example[.]com/([0-9A-Za-z][0-9A-Za-z_-.]\*/)*logon[.]pl?
    
  • Wenn das Webformular, das query.pl enthält, auf mehreren Webseiten auf verschiedenen Hosts in verschiedenen Domänen angezeigt wird, können Sie den folgenden regulären Ausdruck verwenden:

     https?://([0-9A-Za-z][0-9A-Za-z_-.]\*[.])\*[0-9A-Za-z][0-9A-Za-z_-.]+[.][a-z]{2,6}/([0-9A-Za-z][0-9A-Za-z_-.]*/)*logon[.]pl?
    
  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example.com erscheint, aber alle diese Webseiten haben den Namen logon.pl? verwenden, können Sie den folgenden regulären Ausdruck verwenden:

     https?://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-.]*/)*logon[.]pl?