Citrix ADC

Vertrauliche Felder

Sie können Webformularfelder als vertraulich festlegen, um die Informationen zu schützen, die Benutzer in sie eingeben. Normalerweise werden alle Informationen, die ein Benutzer in ein Webformular auf einem Ihrer geschützten Webserver eingibt, in den Citrix ADC-Protokollen protokolliert. Die Informationen, die in ein als vertraulich gekennzeichnetes Webformularfeld eingegeben werden, werden jedoch nicht protokolliert. Diese Informationen werden nur dort gespeichert, wo die Website so konfiguriert ist, dass sie solche Daten speichert, normalerweise in einer sicheren Datenbank.

Zu den gängigen Informationstypen, die Sie möglicherweise mit einer vertraulichen Feldbezeichnung schützen möchten, gehören:

  • Kennwörter
  • Kreditkartennummern, Validierungscodes und Ablaufdaten
  • Sozialversicherungsnummern
  • Steuer-Identifikationsnummern
  • Heim-Adressen
  • Private Telefonnummern

Zusätzlich zur bewährten Praxis kann die ordnungsgemäße Verwendung vertraulicher Feldbezeichnungen für die PCI-DSS-Konformität auf E-Commerce-Servern, die HIPAA-Konformität auf Servern, die medizinische Informationen in den USA verwalten, und die Einhaltung anderer Datenschutzstandards erforderlich sein.

Wichtig:

In den folgenden zwei Fällen funktioniert die Bezeichnung Vertrauliches Feld nicht wie erwartet:

  • Wenn ein Webformular entweder ein vertrauliches Feld oder eine Aktions-URL mit mehr als 256 Zeichen enthält, wird die Feld- oder Aktions-URL in den Citrix ADC-Protokollen abgeschnitten.
  • Bei bestimmten SSL-Transaktionen werden die Protokolle gekürzt, wenn entweder das vertrauliche Feld oder die Aktions-URL länger als 127 Zeichen ist.

In beiden Fällen maskiert die Web App Firewall eine fünfzehnstellige Zeichenfolge mit dem Buchstaben “x” anstelle der normalen achtstelligen Zeichenfolge. Um sicherzustellen, dass vertrauliche Informationen entfernt werden, muss der Benutzer Formularfeldnamen und Aktions-URL-Ausdrücke verwenden, die den ersten 256 oder (bei Verwendung von SSL) den ersten 127 Zeichen entsprechen.

Um Ihre Web App Firewall so zu konfigurieren, dass ein Webformularfeld auf einer geschützten Website vertraulich behandelt wird, fügen Sie dieses Feld der Liste Vertrauliche Felder hinzu. Sie können den Feldnamen als Zeichenfolge eingeben, oder Sie können einen PCRE-kompatiblen regulären Ausdruck eingeben, der ein oder mehrere Felder angibt. Sie können die Bezeichnung vertraulicher Felder aktivieren, wenn Sie das Feld hinzufügen, oder Sie können die Bezeichnung später ändern.

Hinweis

Ab Version 13.1 Build 27.x werden vertrauliche Felder auch in WAF-Profilen unterstützt. Weitere Informationen finden Sie unter Vertrauliche Felder im WAF-Profil.

So fügen Sie ein vertrauliches Feld mithilfe der Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add appfw confidField <fieldName> <url> [-isRegex ( REGEX | NOTREGEX )] [-comment "<string>"] [-state ( ENABLED | DISABLED )]
  • save ns config

Beispiel

Im folgenden Beispiel werden alle Webformularfelder, deren Namen mit “Password” beginnen, zur Liste der vertraulichen Felder hinzugefügt.

add appfw confidField Password "https?://www[.]example[.]com/[^<>]\*[^a-z]password[0-9a-z._-]\*[.](asp|cgi|htm|html|htp|js|php)" -isRegex REGEX -state ENABLED
save ns config
<!--NeedCopy-->

So ändern Sie ein vertrauliches Feld mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw confidField <fieldName> <url> [-isRegex ( REGEX | NOTREGEX )][-comment "<string>"] [-state ( ENABLED | DISABLED )]
  • save ns config

Beispiel

Im folgenden Beispiel wird die Bezeichnung des vertraulichen Felds geändert, um einen Kommentar hinzuzufügen.

set appfw confidField Password "https?://www[.]example[.]com/[^<>]\*[^a-z]password[0-9a-z._-]\*[.](asp|cgi|htm|html|htp|js|php)" -comment "Protect password fields." -isRegex REGEX -state ENABLED
save ns config
<!--NeedCopy-->

So entfernen Sie ein vertrauliches Feld mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • rm appfw confidField <fieldName> <url>
  • save ns config

So konfigurieren Sie ein vertrauliches Feld mit der GUI

  1. Navigieren Sie zu Sicherheit > Application Firewall.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Vertrauliche Felder verwalten.
  3. Führen Sie im Dialogfeld Vertrauliche Felder verwalten einen der folgenden Schritte aus:
    • Um der Liste ein neues Formularfeld hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene vertrauliche Feldbezeichnung zu ändern, wählen Sie das Feld aus, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Vertrauliche Felder der Web App Firewall wird angezeigt.

      Hinweis:

      Wenn Sie eine vorhandene vertrauliche Feldbezeichnung auswählen und dann auf Hinzufügenklicken, werden im Dialogfeld Vertrauliches Formularfeld erstellen die Informationen für dieses vertrauliche Feld angezeigt. Sie können diese Informationen ändern, um Ihr neues vertrauliches Feld zu erstellen.

  4. Füllen Sie im Dialogfeld die Elemente aus. Sie sind:
    • Kontrollkästchen aktiviert. Wählen oder deaktivieren Sie, um diese vertrauliche Feldbezeichnung zu aktivieren/deaktivieren
    • Ist der Formularfeldname ein Kontrollkästchen für reguläre Ausdrücke. Wählen oder deaktivieren Sie diese Option, um reguläre Ausdrücke im PCRE-Format im Formularfeldnamen zu aktivieren.
    • Feldname. Geben Sie eine Literalzeichenfolge oder einen regulären Ausdruck im PCRE-Format ein, der entweder einen bestimmten Feldnamen darstellt oder mehrere Felder mit Namen abgleicht, die einem Muster folgen.
    • Aktions-URL. Geben Sie eine literale URL oder einen regulären Ausdruck ein, der eine oder mehrere URLs der Webseite (n) definiert, auf denen sich die Webformulare befinden, die das vertrauliche Feld enthalten.
    • Kommentare. Geben Sie einen Kommentar ein. Optional.
  5. Klicken Sie auf Erstellen oder auf OK.
  6. Um eine vertrauliche Feldbezeichnung aus der Liste der vertraulichen Felder zu entfernen, wählen Sie die Liste der vertraulichen Felder aus, die Sie entfernen möchten. Klicken Sie dann auf Entfernen, um sie zu entfernen, und klicken Sie dann auf OK, um Ihre Auswahl
  7. Wenn Sie mit dem Hinzufügen, Ändern und Entfernen vertraulicher Feldbezeichnungen fertig sind, klicken Sie auf Schließen.

Beispiele

Im Folgenden finden Sie einige reguläre Ausdrücke, die Formularfeldnamen definieren, die für Sie nützlich sein könnten:

  • ^passwd_ (Applies confidential-field status to all field names that begin with the “passwd_” string.)

  • ^((\[0-9a-zA-Z._-]*||\\x\[0-9A-Fa-f][0-9A-Fa-f])+-)?passwd_ (Applies confidential-field status to all field names that begin with the string passwd_, or that contain the string -passwd_ after another string that might contain non-ASCII special characters.)

Im Folgenden finden Sie einige reguläre Ausdrücke, die bestimmte URL-Typen definieren, die Sie möglicherweise nützlich finden. Ersetzen Sie die in den Beispielen gezeigten Webhosts und Domain (s) durch Ihre eigenen Webhosts.

  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example.com erscheint, aber alle diese Webseiten logon.pl heißen? können Sie den folgenden regulären Ausdruck verwenden:

     https?://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_.-]*/)*logon[.]pl?
     <!--NeedCopy-->
    
  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example-español.com erscheint, der das Sonderzeichen n-Tilde (ñ) enthält, können Sie den folgenden regulären Ausdruck verwenden, der das n-Tilde-Sonderzeichen als codierte UTF-8-Zeichenfolge darstellt, die C3 B1 enthält, den Hexadezimalcode, der diesem zugewiesen ist Zeichen im UTF-8-Zeichensatz:

     https?://www[.]example-espa\xC3\xB1ol[.]com/([0-9A-Za-z][0-9A-Za-z_.-]\*/)\* logon[.]pl?
     <!--NeedCopy-->
    
  • Wenn das Webformular, das query.pl enthält, auf mehreren Webseiten auf verschiedenen Hosts innerhalb der Domäne example.com angezeigt wird, können Sie den folgenden regulären Ausdruck verwenden:

     https?://([0-9A-Za-z][0-9A-Za-z_-.]*[.])\*example[.]com/([0-9A-Za-z][0-9A-Za-z_-.]\*/)*logon[.]pl?
     <!--NeedCopy-->
    
  • Wenn das Webformular, das query.pl enthält, auf mehreren Webseiten auf verschiedenen Hosts in verschiedenen Domänen angezeigt wird, können Sie den folgenden regulären Ausdruck verwenden:

     https?://([0-9A-Za-z][0-9A-Za-z_-.]\*[.])\*[0-9A-Za-z][0-9A-Za-z_-.]+[.][a-z]{2,6}/([0-9A-Za-z][0-9A-Za-z_-.]*/)*logon[.]pl?
     <!--NeedCopy-->
    
  • Wenn das Webformular auf mehreren Webseiten auf dem Webhost www.example.com erscheint, aber alle diese Webseiten logon.pl heißen? können Sie den folgenden regulären Ausdruck verwenden:

     https?://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-.]*/)*logon[.]pl?
     <!--NeedCopy-->