Kreditkarten-Scheck

Wenn Sie über eine Anwendung verfügen, die Kreditkarten akzeptiert oder Ihre Websites Zugriff auf Datenbankserver haben, auf denen Kreditkartennummern gespeichert sind, müssen Sie DLP-Maßnahmen (Data Leak Prevention) verwenden und den Schutz für jeden Kreditkartentyp konfigurieren, den Sie akzeptieren.

Die Kreditkartenprüfung der Citrix Web App Firewall verhindert, dass Angreifer Fehler beim Schutz vor Datenlecks ausnutzen, um Kreditkartennummern Ihrer Kunden zu erhalten. Durch einfache Konfigurationsschritte können Sie den Schutz einer oder mehrerer der folgenden Kreditkarten erzwingen: 1) Visa, 2) Master Card, 3) Discover, 4) American Express (Amex), 5) JCB und 6) Diners Club.

Die Kreditkarten-Sicherheitsprüfung untersucht Serverantworten, um Instanzen der Zielkreditkartennummern zu identifizieren, und wendet eine bestimmte Aktion an, wenn eine solche Nummer gefunden wird. Die Aktion kann darin bestehen, die Antwort zu transformieren, indem alle Ziffern außer der letzten Gruppe in der Kreditkartennummer herausgenommen werden, oder die Antwort zu blockieren, wenn sie mehr als eine bestimmte Anzahl von Kreditkartennummern enthält. Wenn Sie beide angeben, hat die Blockaktion Vorrang. Die Einstellung Maximal zulässige Kreditkarten pro Seite legt fest, wann die Sperraktion aufgerufen wird. Die Standardeinstellung 0 (auf der Seite sind keine Kreditkartennummern zulässig) ist die sicherste, aber Sie können bis zu 255 zulassen. Je nachdem, wo die Verletzung in der Antwort erkannt wird und die Sperraktion ausgelöst wird, wird möglicherweise weniger als die maximal zulässige Anzahl an Kreditkarten in der Antwort angezeigt.

Um Fehlalarme zu vermeiden, können Sie Entspannungen anwenden, um bestimmte Nummern vom Kreditkartenscheck zu befreien. Beispielsweise könnte eine Sozialversicherungsnummer, eine Bestellnummer oder eine Google-Kontonummer mit einer Kreditkartennummer vergleichbar sein. Sie können einzelne Zahlen angeben oder einen regulären Ausdruck verwenden, um die Zeichenfolge anzugeben, die bei der Verarbeitung der Antwort-URL für die Kreditkartenprüfung umgangen werden soll.

Wenn Sie nicht sicher sind, welche Kreditkartennummern Sie befreien möchten, können Sie mit der Lernfunktion Empfehlungen basierend auf den erlernten Daten generieren. Um den optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Sie diese Option für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Entspannungen bereitzustellen und das Lernen zu deaktivieren.

Wenn Sie die Protokollfunktion aktivieren, generiert die Kreditkartenprüfung Protokollmeldungen, die die durchgeführten Aktionen angeben. Sie können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Eine starke Zunahme der Anzahl von Protokollmeldungen kann auf vereitelte Zugriffsversuche hinweisen. Standardmäßig ist der Parameter doSecureCreditCardLogging auf ON, so dass die Kreditkartennummer nicht in der Protokollnachricht enthalten ist, die durch den Verstoß gegen den sicheren Handel (Kreditkarte) generiert wurde.

Die Statistikfunktion sammelt Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg im Statistikzähler deutet möglicherweise darauf hin, dass Ihre Anwendung angegriffen wird.

Um die Kreditkarten-Sicherheitsprüfung für den Schutz Ihrer Anwendung zu konfigurieren, konfigurieren Sie das Profil, das die Überprüfung des Datenverkehrs zu und von dieser Anwendung regelt.

Hinweis:

Eine Website, die nicht auf eine SQL-Datenbank zugreift, hat in der Regel keinen Zugriff auf vertrauliche private Informationen wie Kreditkartennummern.

Verwenden der Befehlszeile zum Konfigurieren der Kreditkartenprüfung

In der Befehlszeilenschnittstelle können Sie entweder den Befehl set appfw profile oder den Befehl add appfw profile verwenden, um die Kreditkartenprüfung zu aktivieren und festzulegen, welche Aktionen ausgeführt werden sollen. Sie können den Befehl unset appfw profile verwenden, um auf die Standardeinstellungen zurückzusetzen. Verwenden Sie zum Festlegen von Relaxationen den Befehl bind appfw, um Kreditkartennummern an das Profil zu binden.

So konfigurieren Sie eine Kreditkartenprüfung mit der Befehlszeile

Verwenden Sie entweder den Befehl set appfw profile oder den Befehl add appfw profile wie folgt:

  • set appfw profile <name> -creditCardAction ( ([block][learn] [log][stats]) | [none])
  • set appfw profile <name> -creditCard (VISA | MASTERCARD | DISCOVER | AMEX | JCB | DINERSCLUB)
  • set appfw profile <name> -creditCardMaxAllowed <integer>
  • set appfw profile <name> -creditCardXOut ([ON] | [OFF])<name> -doSecureCreditCardLogging ([ON] | [OFF])

  • So konfigurieren Sie eine Kreditkartenentspannungsregel mit der Befehlszeile

    Verwenden Sie den Befehl bind, um die Kreditkartennummer an das Profil zu binden. Um eine Kreditkartennummer aus einem Profil zu entfernen, verwenden Sie den Befehl unbind mit den gleichen Argumenten, die Sie für den Befehl bind verwendet haben. Mit dem Befehl show können Sie die Kreditkartennummern anzeigen, die an ein Profil gebunden sind.

  • So binden Sie eine Kreditkartennummer ein Profil

    bind appfw profile <profile-name> -creditCardNumber <any number/regex> “<url>”

    Beispiel: bind appfw profile test_profile -creditCardNumber 378282246310005 http://www.example.com/credit\_card\_test.html

    • So heben Sie die Bindung einer Kreditkartennummer von einem Profil auf

      unbind appfw profile <profile-name> -creditCardNumber <credit card number / regex> <url>

    • Um die Liste der Kreditkartennummern anzuzeigen, die an ein Profil gebunden sind.

      show appfw profile <profile>

Verwenden der GUI zum Konfigurieren der Kreditkartenüberprüfung

In der GUI konfigurieren Sie die Kreditkartensicherheitsprüfung im Bereich für das Profil, das Ihrer Anwendung zugeordnet ist.

So fügen Sie die Kreditkarten-Sicherheitsprüfung mit der GUI hinzu oder ändern

  1. Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil, und klicken Sie auf Bearbeiten.

  2. Klicken Sie im Bereich Erweiterte Einstellungen auf Sicherheitsprüfungen.

    In der Tabelle Sicherheitsprüfung werden die aktuell konfigurierten Aktionseinstellungen für alle Sicherheitsprüfungen angezeigt. Sie haben 2 Optionen für die Konfiguration:

    1. Wenn Sie nur Sperren, Protokollieren, Statistiken und Lernaktionen für Kreditkarte aktivieren oder deaktivieren möchten, können Sie die Kontrollkästchen in der Tabelle aktivieren oder deaktivieren, klicken Sie auf OK, und klicken Sie dann auf Speichernund Schließen, um den Bereich Sicherheitsprüfungzu schließen.
    2. Wenn Sie zusätzliche Optionen für diese Sicherheitsprüfung konfigurieren möchten, doppelklicken Sie auf Kreditkarte, oder wählen Sie die Zeile aus und klicken Sie auf Aktionseinstellungen, um weitere Optionen wie folgt anzuzeigen:
      • Ausgang — Maskieren Sie jede in einer Antwort erkannte Kreditkartennummer, indem Sie jede Ziffer mit Ausnahme der Ziffern in der endgültigen Gruppe durch den Buchstaben X.

      • Maximal zulässige Kreditkarten pro Seite — Geben Sie die Anzahl der Kreditkarten an, die an den Client weitergeleitet werden können, ohne eine Sperraktion auszulösen.

      • Geschützte Kreditkarten. Aktivieren oder deaktivieren Sie ein Kontrollkästchen, um den Schutz für jeden Kreditkartentyp zu aktivieren oder zu deaktivieren.

      • Sie können auch die Aktionen Sperren, Protokollieren, Statistiken und Lernen im Bereich Kreditkarteneinstellungen bearbeiten.

        Nachdem Sie eine der oben genannten Änderungen vorgenommen haben, klicken Sie auf OK, um die Änderungen zu speichern und zur Tabelle Sicherheitsprüfungen zurückzukehren. Sie können bei Bedarf weitere Sicherheitsprüfungen konfigurieren. Klicken Sie auf OK, um alle Änderungen zu speichern, die Sie im Abschnitt Sicherheitsprüfungen vorgenommen haben, und klicken Sie dann auf Speichern und Schließen, um den Bereich Sicherheitsprüfung zu schließen.

  3. Klicken Sie im Bereich Erweiterte Einstellungen auf Profileinstellungen . Aktivieren oder deaktivieren Sie das Kontrollkästchen Sichere Kreditkartenprotokollierung, um die sichere Protokollierung von Kreditkartennummern zu aktivieren oder zu deaktivieren. (Standardmäßig ist es ausgewählt).

    Klicken Sie auf OK, um die Änderungen zu speichern.

  • So konfigurieren Sie eine Kreditkartenentspannungsregel mit der GUI

    1. Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil, und klicken Sie auf Bearbeiten .
    2. Klicken Sie im Bereich Erweiterte Einstellungen auf Relaxationsregeln . Die Tabelle Relaxationsregeln enthält einen Kreditkarteneintrag. Sie können doppelklicken oder diese Zeile auswählen und auf Bearbeiten klicken, um den Dialog Kreditkartenentspannungsregeln aufzurufen. Sie können Vorgänge zum Hinzufügen, Bearbeiten, Löschen, Aktivieren oder Deaktivieren für Relaxationsregeln ausführen.

Verwenden der Learn-Funktion mit dem Kreditkartencheck

Wenn die Lernaktion aktiviert ist, überwacht die Web App Firewall Learning Engine den Datenverkehr und lernt die ausgelösten Verletzungen. Sie können diese gelernten Regeln regelmäßig überprüfen. Wenn Sie nach gebührender Überlegung eine bestimmte Zeichenfolge von der Kreditkarten-Sicherheitsprüfung ausnehmen möchten, können Sie die Gelernte Regel als Relaxationsregel bereitstellen.

  • So zeigen Sie gelernte Daten mit der Befehlszeilenschnittstelle an oder verwenden

    show appfw learningdata <profilename> creditCardNumber

    rm appfw learningdata <profilename> -creditcardNumber <credit card number> "<url>"

    export appfw learningdata <profilename> creditCardNumber

  • So zeigen Sie gelernte Daten mit der GUI an oder verwenden

    1. Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil, und klicken Sie auf Bearbeiten .
    2. Klicken Sie im Bereich Erweiterte Einstellungen auf Gelernte Regeln . Sie können den Kreditkarteneintrag in der Tabelle Gelernte Regeln auswählen und darauf doppelklicken, um auf die gelernten Regeln zuzugreifen. Sie können die erlernten Regeln bereitstellen oder eine Regel bearbeiten, bevor Sie sie als Relaxationsregel bereitstellen. Um eine Regel zu verwerfen, können Sie sie auswählen und auf die Schaltfläche Überspringen klicken. Sie können jeweils nur eine Regel bearbeiten, aber Sie können mehrere Regeln zum Bereitstellen oder Überspringen auswählen.

    Sie haben auch die Möglichkeit, eine zusammengefasste Ansicht der gelernten Entspannungen anzuzeigen, indem Sie in der Tabelle Gelernte Regeln den Eintrag Kreditkarte auswählen und auf Visualizer klicken, um eine konsolidierte Ansicht aller gelernten Verletzungen zu erhalten. Der Visualizer macht es sehr einfach, die erlernten Regeln zu verwalten. Es bietet eine umfassende Ansicht der Daten auf einem Bildschirm und erleichtert das Handeln an einer Gruppe von Regeln mit einem Klick. Der größte Vorteil des Visualizers besteht darin, dass reguläre Ausdrücke zur Konsolidierung mehrerer Regeln empfohlen werden. Sie können eine Teilmenge dieser Regeln basierend auf dem Trennzeichen und der Aktions-URL auswählen. Sie können 25, 50 oder 75 Regeln im Visualizer anzeigen, indem Sie die Nummer aus einer Dropdownliste auswählen. Der Visualizer für erlernte Regeln bietet die Möglichkeit, die Regeln zu bearbeiten und als Relaxation bereitzustellen. Oder Sie können die Regeln überspringen, um sie zu ignorieren.

Verwenden der Log-Funktion mit dem Kreditkartencheck

Wenn die Protokollaktion aktiviert ist, werden die Verletzungen der Kreditkarten-Sicherheitsprüfung im Überwachungsprotokoll als Verstöße APPFW_SAFECOMMERCE oder APPFW_SAFECOMMERCE_XFORM protokolliert. Die Web App Firewall unterstützt sowohl native als auch CEF-Protokollformate. Sie können die Protokolle auch an einen entfernten Syslog-Server senden.

Die Standardeinstellung für doSecureCreditCardLogging ist ON. Wenn Sie es in OFF ändern, werden sowohl Kreditkartennummer als auch Typ in der Protokollnachricht enthalten.

Abhängig von den Einstellungen, die für die Kreditkartenüberprüfungen konfiguriert wurden, können die vom Anwendungs-Firewall generierten Protokollmeldungen folgende Informationen enthalten:

  • Antwort wurde blockiert oder nicht blockiert.
  • Kreditkartennummern wurden transformiert (X’d out). Für jede transformierte Kreditkartennummer wird eine separate Protokollnachricht generiert, so dass während der Verarbeitung einer einzelnen Antwort mehrere Protokollnachrichten generiert werden können.
  • Die Antwort enthielt die maximale Anzahl potenzieller Kreditkartennummern.
  • Kreditkartennummern und ihre entsprechenden Typen.

  • So greifen Sie mit der Befehlszeile auf die Protokollmeldungen zu

    Wechseln Sie zur Shell und senden Sie die ns.logs im Ordner /var/log/, um auf die Protokollmeldungen zu den Kreditkartenverstößen zuzugreifen:

    • Shell
    • tail -f /var/log/ns.log | grep SAFECOMMERCE
  • So greifen Sie mit der GUI auf die Protokollmeldungen zu

    1. Die Citrix GUI enthält ein sehr nützliches Tool (Syslog Viewer) zur Analyse der Protokollmeldungen. Sie haben einige Optionen für den Zugriff auf den Syslog Viewer: Navigieren Sie zum Zielprofil > Sicherheitsprüfungen . Markieren Sie die Zeile Kreditkarte, und klicken Sie auf Protokolle. Wenn Sie direkt über die Kreditkarten-Sicherheitsprüfung des Profils auf die Protokolle zugreifen, filtert es die Protokollmeldungen aus und zeigt nur die Protokolle an, die sich auf diese Sicherheitsüberprüfungsverstöße beziehen.

    2. Sie können auch auf den Syslog Viewer zugreifen, indem Sie zu NetScaler > System > Auditing navigieren . Klicken Sie im Abschnitt Überwachungsmeldungen auf den Link Syslog-Nachrichten, um den Syslog-Viewer anzuzeigen, in dem alle Protokollmeldungen, einschließlich anderer Protokolle für die Sicherheitsüberprüfung, angezeigt werden. Dies ist nützlich für das Debuggen, wenn während der Anforderungsverarbeitung mehrere Sicherheitsüberprüfungsverletzungen ausgelöst werden können.

      Der HTML-basierte Syslog Viewer bietet verschiedene Filteroptionen, um nur die Protokollmeldungen auszuwählen, die für Sie von Interesse sind. Um auf die Protokollmeldungen der Kreditkarten-Sicherheitsüberprüfung zuzugreifen, filtern Sie, indem Sie APPFW in den Dropdown-Optionen für Modul auswählen. Der Ereignistyp zeigt eine Reihe von Optionen an, um Ihre Auswahl weiter zu verfeinern. Wenn Sie beispielsweise die Kontrollkästchen APPFW_SAFECOMMERCE und APPFW_SAFECOMMERCE_XFORM aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog-Viewer nur Protokollmeldungen angezeigt, die sich auf die Verstöße der Kreditkarten-Sicherheitsprüfung beziehen.

      Wenn Sie den Cursor in der Zeile für eine bestimmte Protokollmeldung platzieren, werden unter der Protokollmeldung mehrere Optionen wie Module und EventType angezeigt. Sie können eine dieser Optionen auswählen, um die entsprechenden Informationen in den Protokollen hervorzuheben.

Beispiel für eine Protokollmeldung im nativen Format, wenn die Antwort nicht blockiert ist

May 29 01:26:31 <local0.info> 10.217.31.98 05/29/2015:01:26:31 GMT ns 0-PPE-0 :
default APPFW APPFW_SAFECOMMERCE 2181 0 :  10.217.253.62 1098-PPE0
4erNfkaHy0IeGP+nv2S9Rsdu77I0000 pr_ffc http://aaron.stratum8.net/FFC/CreditCardMind.html
Maximum number of potential credit card numbers seen <not blocked>

Beispiel für eine Protokollmeldung im CEF-Format, wenn die Antwort transformiert wird

May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE_XFORM|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Transformed (xout) potential credit card numbers seen in server response
cn1=66 cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002
cs4=ALERT cs5=2015 act=transformed

Beispiel für eine Protokollmeldung im CEF-Format, wenn die Antwort blockiert wird. Die Kreditkartennummer und der Typ sind im Protokoll zu sehen, da der Parameter doSecureCreditCardLogging deaktiviert ist.

May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Credit Card number 4505050504030302 of type Visa is seen in response cn1=68
cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002 cs4=ALERT cs5=2015
act=blocked

Statistiken für die Kreditkartenverstöße

Wenn die Aktion Statistik aktiviert ist, wird der entsprechende Zähler für die Kreditkartenprüfung erhöht, wenn die Web App Firewall eine Aktion für diese Sicherheitsprüfung ausführt. Die Statistiken werden für Rate und Gesamtanzahl für Traffic, Verletzungen und Protokolle gesammelt. Die Inkrement des Protokollzählers kann je nach konfigurierten Einstellungen variieren. Wenn beispielsweise die Aktion Sperren aktiviert ist und die Einstellung Maximal zulässige Kreditkarte 0 lautet, erhöht die Anforderung für eine Seite, die 20 Kreditkartennummern enthält, den Statistikzähler um eins, wenn die Seite blockiert wird, sobald die erste Kreditkartennummer erkannt wird. Wenn der Block jedoch deaktiviert ist und Transformation aktiviert ist, erhöht die Verarbeitung derselben Anforderung den Statistikindikator für Protokolle um 20, da jede Kreditkartentransformation eine separate Protokollnachricht generiert.

  • So zeigen Sie Kreditkartenstatistiken mit der Befehlszeile an

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    sh appfw stats

    Verwenden Sie den folgenden Befehl, um Statistiken für ein bestimmtes Profil anzuzeigen:

    stat appfw profile <profile name>

    So zeigen Sie Kreditkartenstatistiken mit der GUI an

    1. Navigieren Sie zu System > Sicherheit > Web App Firewall .
    2. Greifen Sie im rechten Fensterbereich auf den Statistiklink zu.
    3. Verwenden Sie die Bildlaufleiste, um Statistiken über Kreditkartenverstöße und -protokolle anzuzeigen. Die Statistiktabelle enthält Echtzeitdaten und wird alle 7 Sekunden aktualisiert.

Highlights

Beachten Sie die folgenden Punkte zur Kreditkarten-Sicherheitsprüfung:

  • Mit der Web App Firewall können Sie Kreditkarteninformationen schützen und versuchen, auf diese sensiblen Daten zuzugreifen.
  • Um die Kreditkartenschutzprüfung zu verwenden, müssen Sie mindestens einen Kreditkartentyp und eine Aktion angeben. Die Prüfung wird dann auf HTML-, XML- und Web 2.0-Profile angewendet.
  • Sie können die Ausgabe von sh appfw profile Befehl und grep für CreditCard übergeben, um alle Kreditkarten-spezifische Konfiguration zu sehen. Beispielsweise zeigt sh appfw profile my_profile | grep CreditCard die konfigurierten Einstellungen verschiedener Parameter sowie die Relaxationsregeln für die Kreditkartenprüfung für das Web App Firewall Profil my_profile an.
  • Sie können bestimmte Nummern von der Kreditkartenprüfung ausschließen, ohne die Sicherheitskontrolle für die restlichen Kreditkartennummern zu umgehen.
  • Entspannung steht für alle mit Web App Firewall geschützten Kreditkartenmuster zur Verfügung. In der grafischen Benutzeroberfläche können Sie den Visualisierer verwenden, um Vorgänge zum Hinzufügen, Bearbeiten, Löschen, Aktivieren oder Deaktivieren für Relaxationsregeln anzugeben.
  • Die Web App Firewall Lernmodul kann den ausgehenden Datenverkehr überwachen, um Regeln basierend auf beobachteten Verstößen zu empfehlen. Visualizer-Unterstützung ist auch für die Verwaltung der erlernten Kreditkartenregeln in der GUI verfügbar. Sie können die erlernten Regeln bearbeiten und bereitstellen oder sie nach sorgfältiger Prüfung überspringen.
  • Die Einstellung für die Anzahl der zulässigen Kreditkarten gilt für jede Antwort. Sie bezieht sich nicht auf die kumulative Summe der Kreditkartennummern, die während der gesamten Benutzersitzung beobachtet wurden.
  • Die Anzahl der X’d out Ziffern hängt von der Länge der Kreditkartennummern ab. Zehn Ziffern sind x’d out für Kreditkarten mit 13 bis 15 Ziffern. Zwölf Ziffern sind x’d out für Kreditkarten mit 16 Ziffern. Wenn für Ihre Anwendung nicht die gesamte Kreditkartennummer in der Antwort gesendet werden muss, empfiehlt Citrix, diese Aktion zu aktivieren, um die Ziffern in den Kreditkartennummern zu maskieren.
  • Der X-Out-Vorgang transformiert alle Kreditkarten und arbeitet unabhängig von den konfigurierten Einstellungen für die maximale Anzahl zulässiger Kreditkarten. Wenn beispielsweise 4 Kreditkarten in der Antwort enthalten sind und der Parameter CreditCardMaxAllowed auf 10 gesetzt ist, sind alle 4 Kreditkarten X’d-out, aber sie werden nicht blockiert. Wenn die Kreditkartennummern im Dokument verteilt sind, kann eine Teilantwort mit X’d-Out-Nummern an den Kunden gesendet werden, bevor die Antwort blockiert wird.
  • Deaktivieren Sie den Parameter doSecureCreditCardLogging nicht vor angemessener Berücksichtigung. Wenn dieser Parameter ausgeschaltet ist, werden die Kreditkartennummern angezeigt und sind in den Protokollmeldungen zugänglich. Diese Zahlen werden in den Protokollen nicht maskiert, selbst wenn die X-out-Aktion aktiviert ist. Wenn Sie Protokolle an einen entfernten Syslog-Server senden und die Protokolle kompromittiert werden, können die Kreditkartennummern offengelegt werden.
  • Wenn die Antwortseite wegen einer Kreditkartenverletzung blockiert ist, leitet die Web App Firewall nicht zur Fehlerseite um.