Citrix ADC

Sichere Objektprüfung

Die Safe-Object-Prüfung bietet vom Benutzer konfigurierbaren Schutz für vertrauliche Geschäftsinformationen wie Kundennummern, Bestellnummern und länder- oder regionsspezifische Telefonnummern oder Postleitzahlen. Ein benutzerdefinierter regulärer Ausdruck oder ein benutzerdefiniertes Plug-In teilt der Web App Firewall das Format dieser Informationen mit und definiert die Regeln, die zu deren Schutz verwendet werden sollen. Wenn eine Zeichenfolge in einer Benutzeranforderung mit einer sicheren Objektdefinition übereinstimmt, blockiert die Web App Firewall entweder die Antwort, maskiert die geschützten Informationen oder entfernt die geschützten Informationen aus der Antwort, bevor sie an den Benutzer gesendet werden, je nachdem, wie Sie diese bestimmte Regel für sichere Objekte konfiguriert haben.

Der Safe Object Check verhindert, dass Angreifer eine Sicherheitslücke in Ihrer Webserver-Software oder auf Ihrer Website ausnutzen, um an sensible private Informationen wie Firmenkreditkartennummern oder Sozialversicherungsnummern zu gelangen. Wenn Ihre Websites keinen Zugriff auf diese Art von Informationen haben, müssen Sie diese Prüfung nicht konfigurieren. Wenn Sie über einen Einkaufswagen oder eine andere Anwendung verfügen, die auf diese Informationen zugreifen kann, oder Ihre Websites Zugriff auf Datenbankserver haben, die solche Informationen enthalten, müssen Sie den Schutz für jede Art von sensiblen privaten Informationen konfigurieren, die Sie verarbeiten und speichern.

Hinweis:

Eine Website, die nicht auf eine SQL-Datenbank zugreift, hat normalerweise keinen Zugriff auf vertrauliche private Informationen.

Die sichere Objektprüfung unterscheidet sich von der bei jeder anderen Prüfung. Jeder sichere Objektausdruck, den Sie erstellen, entspricht einer separaten Sicherheitsüberprüfung, ähnlich der Kreditkartenprüfung, für diese Art von Informationen.

Konfigurieren Sie die sichere Objektprüfung mit der GUI

Hinweis:

Sie müssen die sichere Objektprüfung nur mit der GUI konfigurieren. Die Befehlszeilenschnittstelle wird nicht unterstützt.

So fügen Sie eine Sicherheitsüberprüfung für sichere Objekte über die GUI hinzu:

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.

  2. Wählen Sie das gewünschte Profil aus und klicken Sie auf Bearbeiten.

  3. Klicken Sie im Bereich Erweiterte Einstellungen auf Relaxationsregeln.

  4. Wählen Sie Sicheres Objekt und klicken Sie auf Bearbeiten

  5. Klicken Sie auf Hinzufügen und konfigurieren Sie Folgendes:

    • Sicherer Objektname. Ein Name für Ihr neues sicheres Objekt. Der Name kann mit einem Buchstaben, einer Zahl oder einem Unterstrich beginnen. Der Name kann aus einem bis 255 Buchstaben, Zahlen und den Symbolen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At-Zeichen (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstrich (_) bestehen.
    • Aktionen. Aktivieren oder deaktivieren Sie die Aktionen Blockieren, Protokollierenund Statistiken sowie die folgenden Aktionen:
      • X-Out. Maskieren Sie alle Informationen, die dem sicheren Objektausdruck entsprechen, mit dem Buchstaben “X”.
      • Remove. Entfernen Sie alle Informationen, die dem sicheren Objektausdruck entsprechen.
    • Regulärer Ausdruck. Geben Sie einen PCRE-kompatiblen regulären Ausdruck ein, der das sichere Objekt definiert. Sie können den regulären Ausdruck auf eine der folgenden Arten erstellen:
      • Geben Sie den regulären Ausdruck direkt in das Textfeld ein
      • Mithilfe des Menüs Regex-Tokens können Sie reguläre Ausdruckselemente und Symbole direkt in das Textfeld eingeben
      • Öffnen Sie den Editor für reguläre Ausdrücke und verwenden Sie ihn zum Erstellen des Ausdrucks. Der reguläre Ausdruck darf nur aus ASCII-Zeichen bestehen. Schneiden Sie keine Zeichen aus, die nicht Teil des grundlegenden ASCII-Sets mit 128 Zeichen sind, und fügen Sie sie nicht ein. Wenn Sie Nicht-ASCII-Zeichen einschließen möchten, müssen Sie diese Zeichen manuell im hexadezimalen PCRE-Zeichencodierungsformat eingeben.

      Hinweis:

      Verwenden Sie keine Startanker (^) am Anfang von Safe-Object-Ausdrücken oder Endanker ($) am Ende von Safe-Object-Ausdrücken. Diese PCRE-Entitäten werden in Safe-Object-Ausdrücken nicht unterstützt und führen bei Verwendung dazu, dass Ihr Ausdruck nicht mit dem übereinstimmt, was er eigentlich erreichen sollte.

    • Maximale Spieldauer. Geben Sie eine positive Ganzzahl ein, die die maximale Länge der Zeichenfolge darstellt, die Sie abgleichen möchten. Wenn Sie beispielsweise die US-Sozialversicherungsnummern abgleichen möchten, geben Sie die Nummer 11 in dieses Feld ein. Dadurch kann Ihr regulärer Ausdruck einer Zeichenfolge mit neun Ziffern und zwei Bindestrichen entsprechen. Wenn Sie die kalifornischen Führerscheinnummern abgleichen möchten, geben Sie die Nummer acht (8) ein.

      Achtung:

      Wenn Sie keine maximale Übereinstimmungslänge festlegen, verwendet die Web App Firewall beim Filtern nach Zeichenfolgen, die Ihren sicheren Objektausdrücken entsprechen, den Standardwert eins (1). Infolgedessen stimmen die meisten sicheren Objektausdrücke nicht mit ihren Zielzeichenfolgen überein.

Sie können einen vorhandenen Ausdruck ändern, indem Sie den gewünschten Ausdruck auswählen, auf Öffnen klicken und dann den Ausdruck im Dialogfeld Sicheres Objekt ändern konfigurieren.

Im Folgenden finden Sie Beispiele für reguläre Ausdrücke zur Überprüfung sicherer Objekte:

  • Suchen Sie nach Zeichenfolgen, bei denen es sich anscheinend um US-amerikanische Sozialversicherungsnummern (SSN) handelt. Die SSN besteht aus den folgenden Zeichen in der angegebenen Reihenfolge:
    • Drei Ziffern (von denen die erste nicht Null sein darf)
    • Ein Bindestrich
    • Zwei weitere Ziffern
    • Ein zweiter Bindestrich
    • Eine Reihe von vier weiteren Ziffern
     [1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4}
     <!--NeedCopy-->
    
  • Suchen Sie nach Zeichenfolgen, bei denen es sich anscheinend um kalifornische Führerscheinausweise handelt, die mit einem Buchstaben beginnen und auf die eine Zeichenfolge aus genau sieben Ziffern folgt:

     [A-Za-z][0-9]{7,7}
     <!--NeedCopy-->
    
  • Suchen Sie nach Zeichenfolgen, die als Kunden-IDs erscheinen. Die Kunden-IDs bestehen in der angegebenen Reihenfolge aus folgenden Bestandteilen:
    • Eine Zeichenfolge aus fünf hexadezimalen Zeichen (alle Ziffern und die Buchstaben A bis F)
    • Ein Bindestrich
    • Ein Drei-Buchstaben-Code
    • Ein zweiter Bindestrich
    • Eine Zeichenfolge aus 10 Ziffern
     [0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10}
     <!--NeedCopy-->
    

Achtung:

Reguläre Ausdrücke sind leistungsstark. Wenn Sie mit regulären Ausdrücken im PCRE-Format weniger vertraut sind, überprüfen Sie alle regulären Ausdrücke, die Sie schreiben. Stellen Sie sicher, dass der reguläre Ausdruck genau den Typ der Zeichenfolge definiert, den Sie als sichere Objektdefinition hinzufügen möchten. Die unvorsichtige Verwendung von Platzhaltern und insbesondere der Punkt-Sternchen (.*) -Metazeichen/Platzhalterkombination kann zu Ergebnissen führen, die Sie nicht wollten oder erwarten, z. B. zum Blockieren des Zugriffs auf Webinhalte, die Sie nicht blockieren wollten.

Sichere Objektprüfung