Citrix ADC

Datei-Upload-Schutz

Viele Angreifer versuchen, bösartigen Code, Viren oder Malware als Dateianhänge während der Übermittlung mehrerer Formulare hochzuladen. Es ist wichtig, unser Netzwerk zu schützen und solche Bedrohungen zu überwinden. Um ein solches Hochladen bösartiger Dateien zu verhindern, kann ein Citrix ADC Administrator nun eine Reihe zulässiger Dateiupload-Formate im WAF-Profil konfigurieren. Auf diese Weise beschränken Sie Dateiuploads auf bestimmte Formate und schützen die Appliance vor bösartigen Dateiuploads. Der Schutz funktioniert jedoch nur, wenn Sie die Option ExcludeFileUploadFormChecks im WAF-Profil deaktivieren.

Funktionsweise des Dateiupload

Wenn Sie zulässige Dateiupload-Formate konfigurieren, ist die Komponenteninteraktion wie folgt:

  • Kundenanfrage hat eine Formularübergabe mit einem Datei-Upload-Typ, zum Beispiel PDF.
  • Im Rahmen der Sicherheitsprüfung überprüft WAF die Anforderungsnutzlast und validiert den Dateityp (basierend auf magischen Signaturnummern).
  • Wenn der Dateityp ein zulässiges Dateiformat ist, wird die entsprechende Aktion basierend auf der Dateitypbindung angewendet.
  • Zur Validierung des Dateityps überprüft die Appliance die Nutzlast und prüft bei bekannten Offsets auf die bekannten magischen Nummern. Jeder Dateityp hat eine Folge von magischen Zahlen, die den Dateityp validieren.
  • Nur wenn die Validierung erfolgreich ist, identifiziert WAF die Datei als zulässiges Format und die zugehörige Aktion wird angewendet.

Konfigurieren des Uploads von Dateityps mit der Citrix ADC CLI

Um zulässige Dateiformate zu konfigurieren, verwendet die Appliance ein WAF-Profil, das an Dateiupload-Parameter gebunden ist.

  1. Webanwendungs-Firewall-Profil konfigurieren

Geben Sie Folgendes ein, um ein Firewallprofil für Webanwendungen zu konfigurieren:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

Beispiel

set appfw profile profile1 –fileUploadTypesAction block

  1. Binden Sie das Web Application Firewall-Profil mit Datei-Upload-Parametern.

Um ein Profil mit Datei-Upload-Parametern zu binden, geben Sie Folgendes ein:

bind appfw profile <profile_name> - fileUploadType <form_field > <form_action_url> -fileType <fileType> ( pdf | msdoc | text | image | any)

Beispiel

bind appfw profile profile1 -fileuploadType image action_url -fileType image

Konfigurieren des Sicherheitsschutzes zum Hochladen von Dateien über die Citrix ADC GUI

Gehen Sie folgendermaßen vor, um die Einstellungen für den Dateiupload festzulegen.

  1. Navigieren Sie im Navigationsbereich zu Sicherheit > Profile .
  2. Klicken Sie auf der Seite Profile auf Hinzufügen.
  3. Klicken Sie auf der Seite Citrix Web App Firewall Profil unter Erweiterte Einstellungen auf Sicherheitsprüfungen.
  4. Wechseln Sie im Abschnitt Sicherheitsprüfungen zu Einstellungen für Datei-Upload-Typen .

    Konfigurieren der Sicherheitseinstellungen für Dateiupload

  5. Aktivieren Sie das Kontrollkästchen, und klicken Sie auf Aktionseinstellungen.
  6. Legen Sie auf der Seite Einstellungen für Datei-Upload-Typen die Datei-Upload-Aktion fest.
  7. Klicken Sie auf OK.
  8. Klicken Sie auf der Seite Citrix Web App Firewall profil auf OK und Fertig .

    Konfigurieren der Sicherheitseinstellungen für Dateiupload

Konfigurieren der Relaxationsregel zum Hochladen von Dateien über die Citrix ADC GUI

Sie können einen Datei-Upload-Sicherheitsschutz entspannen, um Fehlalarme zu vermeiden. Beispielsweise kann die Appliance Dateiuploads blockieren, Sie können jedoch eine Relaxationsregel hinzufügen, um Dateiuploads von bestimmten Websites zuzulassen. Auf diese Weise umgeht die Appliance die Sicherheitsprüfung für das angegebene Formularfeld und ermöglicht es Benutzern, Dateien von der Website hochzuladen, die in der Aktions-URL angegeben ist.

Gehen Sie wie folgt vor, um eine Entspannungsregel zu erstellen.

  1. Navigieren Sie im Navigationsbereich zu Sicherheit > Citrix Web App Firewall < Profile.
  2. Klicken Sie auf der Seite Profile auf Hinzufügen.
  3. Klicken Sie auf der Seite Citrix Web App Firewall Profil unter Erweiterte Einstellungen auf Relaxationsregeln.
  4. Wählen Sie im Abschnitt Relaxationsregeln die Option Datei-Upload-Typen aus, und klicken Sie auf Bearbeiten.

    Konfigurieren der Sicherheitseinstellungen für Dateiupload

  5. Klicken Sie auf der Seite Rexalationsregeln für Datei-Upload-Typen auf Hinzufügen.
  6. Legen Sie auf der Seite Relaxationsregel für Datei-Upload-Typen die folgenden Parameter fest:

    1. Aktiviert Aktivieren Sie dieses Kontrollkästchen, um die Entspannungsregel zu aktivieren.
    2. Name des Formularfelds. Geben Sie den Feldnamen ein, für den keine Sicherheitsüberprüfung erforderlich ist.
    3. Aktions-URL. Die Formularübermittlungs-URL, die von der Sicherheitsprüfung ausgenommen werden muss.
    4. Dateityp. Dateityp, der für den Benutzer zum Hochladen zugelassen sein muss.
    5. Bemerkungen. Eine kurze Beschreibung des Datei-Uploads.
  7. Klicken Sie auf Erstellen.

    Konfigurieren der Sicherheitseinstellungen für Dateiupload

  8. Klicken Sie auf der Seite Citrix Web App Firewall profil auf OK und Fertig .

    Konfigurieren der Sicherheitseinstellungen für Dateiupload