Conceptos avanzados

Guía de implementación de Citrix ADC VPX en AWS

Información general

Citrix ADC es una solución de distribución de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Se presenta en una amplia variedad de factores de forma y opciones de implementación sin bloquear a los usuarios en una sola configuración o nube. Las licencias de capacidad agrupada permiten el movimiento de la capacidad entre las implementaciones en la nube.

Como líder indiscutible en la prestación de servicios y aplicaciones, Citrix ADC se implementa en miles de redes de todo el mundo para optimizar, proteger y controlar la prestación de todos los servicios empresariales y en la nube. Implementado directamente frente a los servidores web y de bases de datos, Citrix ADC combina el equilibrio de carga de alta velocidad y la conmutación de contenido, la compresión HTTP, el almacenamiento en caché de contenido, la aceleración SSL, la visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión integral que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar directivas mediante un simple motor de directivas declarativas sin necesidad de experiencia en programación.

Citrix ADC VPX

El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y nube.

Esta guía de implementación se centra en Citrix ADC VPX en Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) es una plataforma de computación en nube completa y en evolución proporcionada por Amazon que incluye una combinación de ofertas de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y paquetes de software como servicio (SaaS). Los servicios de AWS ofrecen herramientas como potencia informática, almacenamiento de bases de datos y servicios de entrega de contenido.

AWS ofrece los siguientes servicios esenciales:

  • Servicios informáticos de AWS

  • Servicios de migración

  • Almacenamiento

  • Servicios base de datos

  • Herramientas de gestión

  • Servicios de seguridad

  • Análisis

  • Redes

  • Mensajería

  • Herramientas para desarrolladores

  • Servicios móviles

Terminología de AWS

A continuación se incluye una breve descripción de los términos clave utilizados en este documento con los que los usuarios deben estar familiarizados:

  • Interfaz de red elástica (ENI): interfaz de red virtual que los usuarios pueden conectar a una instancia en una nube privada virtual (VPC).

  • Dirección IP elástica (EIP): dirección IPv4 pública y estática que los usuarios han asignado en Amazon EC2 o Amazon VPC y, a continuación, se han adjuntado a una instancia. Las direcciones IP elásticas están asociadas a las cuentas de usuario, no a una instancia específica. Son elásticos porque los usuarios pueden asignarlos, adjuntarlos, separarlos y liberarlos fácilmente a medida que cambian sus necesidades.

  • Subred: segmento del intervalo de direcciones IP de una VPC al que se pueden conectar instancias de EC2. Los usuarios pueden crear subredes para agrupar instancias según las necesidades operativas y de seguridad.

  • Nube privada virtual (VPC): un servicio web para aprovisionar una sección aislada de forma lógica de la nube de AWS en la que los usuarios pueden lanzar recursos de AWS en una red virtual que ellos definan.

A continuación se incluye una breve descripción de otros términos utilizados en este documento con los que los usuarios deben estar familiarizados:

  • Imagen de máquina de Amazon (AMI): imagen de máquina que proporciona la información necesaria para lanzar una instancia, que es un servidor virtual en la nube.

  • Elastic Block Store: proporciona volúmenes de almacenamiento de bloques persistentes para su uso con instancias de Amazon EC2 en la nube de AWS.

  • Simple Storage Service (S3): almacenamiento para Internet. Está diseñado para que la informática a escala web sea más fácil para los desarrolladores.

  • Elastic Compute Cloud (EC2): un servicio web que proporciona capacidad informática segura y redimensionable en la nube. Está diseñado para que la informática en la nube a escala web sea más fácil para los desarrolladores.

  • Elastic Kubernetes Service (EKS): Amazon EKS es un servicio administrado que facilita a los usuarios la ejecución de Kubernetes en AWS sin necesidad de ponerse de pie o mantener su propio plano de control de Kubernetes… Amazon EKS ejecuta instancias del plano de control de Kubernetes en varias zonas de disponibilidad para garantizar una alta disponibilidad. Amazon EKS es un servicio administrado que facilita a los usuarios la ejecución de Kubernetes en AWS sin necesidad de instalar y operar sus propios clústeres de Kubernetes.

  • Equilibrio de carga de aplicaciones (ALB): Amazon ALB opera en la capa 7 de la pila OSI, por lo que se emplea cuando los usuarios desean redirigir o seleccionar el tráfico en función de los elementos de la conexión HTTP o HTTPS, ya sea basada en host o en ruta. La conexión ALB es sensible al contexto y puede tener solicitudes directas basadas en cualquier variable individual. Se equilibra la carga de las aplicaciones en función de su comportamiento peculiar, no solo en la información del servidor (sistema operativo o capa de virtualización).

  • Elastic Load Balancing (ALB/ELB/NLB): Amazon ELB distribuye el tráfico de aplicaciones entrantes en varias instancias de EC2, en varias zonas de disponibilidad. Esto aumenta la tolerancia a fallos de las aplicaciones de usuario.

  • Equilibrio de carga de red (NLB): Amazon NLB opera en la capa 4 de la pila OSI e inferior y no está diseñado para tener en cuenta nada en la capa de la aplicación, como el tipo de contenido, los datos de cookie, los encabezados personalizados, la ubicación del usuario o el comportamiento de la aplicación. No tiene contexto y solo se preocupa por la información de la capa de red contenida en los paquetes que dirige. Distribuye el tráfico en función de variables de red, como la dirección IP y los puertos de destino.

  • Tipo de instancia: Amazon EC2 ofrece una amplia selección de tipos de instancias optimizados para adaptarse a diferentes casos de uso. Los tipos de instancias comprenden distintas combinaciones de CPU, memoria, almacenamiento y capacidad de red, y ofrecen a los usuarios la flexibilidad de elegir la combinación adecuada de recursos para sus aplicaciones.

  • Identity and Access Management (IAM): una identidad de AWS con directivas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Los usuarios pueden usar una función de IAM para permitir que las aplicaciones que se ejecutan en una instancia de EC2 accedan de forma segura a sus recursos de AWS. El rol de IAM es necesario para implementar instancias VPX en una configuración de alta disponibilidad.

  • Puerta de enlace de Internet: conecta una red a Internet. Los usuarios pueden redirigir el tráfico de direcciones IP fuera de la VPC a la puerta de enlace de Internet.

  • Par de claves: conjunto de credenciales de seguridad con las que los usuarios prueban su identidad electrónicamente. Un par de claves consiste en una clave privada y una clave pública.

  • Tabla de rutas: un conjunto de reglas de redirección que controla el tráfico que sale de cualquier subred que esté asociada a la tabla de rutas. Los usuarios pueden asociar varias subredes con una sola tabla de rutas, pero una subred solo se puede asociar con una tabla de rutas a la vez.

  • Auto Scale Groups: un servicio web para lanzar o terminar instancias de Amazon EC2 automáticamente en función de directivas, programas y comprobaciones de estado definidos por el usuario.

  • CloudFormation: un servicio para escribir o cambiar plantillas que crea y elimina recursos de AWS relacionados juntos como una unidad.

  • Web Application Firewall (WAF): WAF se define como una solución de seguridad que protege la capa de aplicaciones web en el modelo de red OSI. Un WAF no depende de la aplicación que esté protegiendo. Este documento se centra en la exposición y evaluación de los métodos y funciones de seguridad proporcionados específicamente por Citrix WAF.

  • Bot: el bot se define como un dispositivo, programa o software autónomo en una red (especialmente Internet) que puede interactuar con los sistemas informáticos o los usuarios para ejecutar comandos, responder mensajes o realizar tareas rutinarias. Un bot es un programa de software en Internet que realiza tareas repetitivas. Algunos bots pueden ser buenos, mientras que otros pueden tener un impacto negativo enorme en un sitio web o aplicación.

Ejemplo de arquitectura de Citrix WAF en AWS

Arquitectura de Citrix WAF en AWS para la implementación de producción

La imagen anterior muestra una nube privada virtual (VPC) con parámetros predeterminados que crea un entorno Citrix WAF en la nube de AWS.

En una implementación de producción, se configuran los siguientes parámetros para el entorno de Citrix WAF:

  • Esta arquitectura supone el uso de una plantilla de AWS CloudFormation y una guía de inicio rápido de AWS, que se pueden encontrar aquí: GitHub/AWS-Quickstart/Quickstart-Citrix-ADC-VPX.

  • Una VPC que abarca dos zonas de disponibilidad, configuradas con dos subredes públicas y cuatro privadas, de acuerdo con las prácticas recomendadas de AWS, para proporcionarle su propia red virtual en AWS con un bloque de redirección entre dominios sin clase (CIDR) /16 (una red con 65 536 direcciones IP privadas).*

  • Dos instancias de Citrix WAF (principal y secundaria), una en cada zona de disponibilidad.

  • Tres grupos de seguridad, uno para cada interfaz de red (Administración, Cliente, Servidor), que actúan como firewalls virtuales para controlar el tráfico de sus instancias asociadas.

  • Tres subredes, para cada instancia: una para la administración, otra para el cliente y otra para el servidor back-end.

  • Una puerta de enlace de Internet conectada a la VPC y una tabla de rutas de subredes públicas que está asociada a subredes públicas para permitir el acceso a Internet. El host WAF utiliza esta puerta de enlace para enviar y recibir tráfico. Para obtener más información sobre las puertas de enlace de Internet, consulte: Internet Gateways. *

  • 5 tablas de rutas: una tabla de rutas públicas asociada con subredes de cliente de WAF principal y secundario. Las 4 tablas de redirección restantes se vinculan a cada una de las 4 subredes privadas (subredes de administración y del lado del servidor de WAF primario y secundario).*

  • AWS Lambda in WAF se encarga de lo siguiente:

    • Configuración de dos WAF en cada zona de disponibilidad del modo HA

    • Crear un perfil WAF de ejemplo y, por lo tanto, impulsar esta configuración con respecto a WAF

  • AWS Identity and Access Management (IAM) para controlar de forma segura el acceso de sus usuarios a los servicios y recursos de AWS. De forma predeterminada, la plantilla de CloudFormation (CFT) crea la función de IAM necesaria. Sin embargo, los usuarios pueden proporcionar su propia función de IAM para las instancias de Citrix ADC.

  • En las subredes públicas, dos puertas de enlace de traducción de direcciones de red (NAT) administraron para permitir el acceso saliente a Internet para los recursos de las subredes públicas.

Nota:

La plantilla WAF de CFT que implementa Citrix WAF en una VPC existente omite los componentes marcados con asteriscos y solicita a los usuarios su configuración de VPC existente.

La CFT no implementa servidores backend.

Flujo lógico de Citrix WAF en AWS

Diagrama lógico de Citrix WAF en AWS

Flujo lógico

El firewall de aplicaciones web se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, generalmente detrás del router o firewall de la empresa del cliente. Debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web que los usuarios desean proteger y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. A continuación, los usuarios configuran la red para enviar solicitudes al Web Application Firewall en lugar de hacerlo directamente a sus servidores web, y las respuestas al Web Application Firewall en lugar de hacerlo directamente a sus usuarios. El Web Application Firewall filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas internas como las adiciones y modificaciones del usuario. Bloquea o hace inofensiva cualquier actividad que detecte como dañina y, a continuación, reenvía el tráfico restante al servidor web. La imagen anterior ofrece una visión general del proceso de filtrado.

Nota:

El diagrama omite la aplicación de una directiva al tráfico entrante. Ilustra una configuración de seguridad en la que la directiva es procesar todas las solicitudes. Además, en esta configuración, se ha configurado y asociado un objeto de firmas con el perfil, y se han configurado comprobaciones de seguridad en el perfil.

Como se muestra en el diagrama, cuando un usuario solicita una URL en un sitio web protegido, el Web Application Firewall examina primero la solicitud para asegurarse de que no coincide con una firma. Si la solicitud coincide con una firma, Web Application Firewall muestra el objeto de error (una página web que se encuentra en el dispositivo Web Application Firewall y que los usuarios pueden configurar mediante la función de importación) o reenvía la solicitud a la URL de error designada (la página de error).

Si una solicitud pasa la inspección de firma, Web Application Firewall aplica las comprobaciones de seguridad de la solicitud que se han habilitado. Las comprobaciones de seguridad de la solicitud verifican que la solicitud es adecuada para el sitio web o el servicio web del usuario y no contiene material que pueda representar una amenaza. Por ejemplo, las comprobaciones de seguridad examinan la solicitud de signos que indican que puede ser de un tipo inesperado, solicitar contenido inesperado o contener datos de formularios web inesperados y posiblemente malintencionados, comandos SQL o scripts. Si la solicitud no supera una comprobación de seguridad, Web Application Firewall sanea la solicitud y, a continuación, la envía de vuelta al dispositivo Citrix ADC (o al dispositivo virtual Citrix ADC) o muestra el objeto de error. Si la solicitud supera las comprobaciones de seguridad, se envía de nuevo al dispositivo Citrix ADC, que completa cualquier otro procesamiento y reenvía la solicitud al servidor web protegido.

Cuando el sitio web o el servicio web envía una respuesta al usuario, Web Application Firewall aplica las comprobaciones de seguridad de respuesta que se han habilitado. Las comprobaciones de seguridad de respuesta examinan la respuesta en busca de filtraciones de información privada confidencial, señales de desfiguración del sitio web u otro contenido que no debería estar presente. Si la respuesta no supera una comprobación de seguridad, el Web Application Firewall elimina el contenido que no debería estar presente o bloquea la respuesta. Si la respuesta pasa las comprobaciones de seguridad, se envía de nuevo al dispositivo Citrix ADC, que la reenvía al usuario.

Coste y licencias

Los usuarios son responsables del coste de los servicios de AWS utilizados durante la ejecución de las implementaciones de AWS. Las plantillas de AWS CloudFormation que se pueden utilizar para esta implementación incluyen parámetros de configuración que los usuarios pueden personalizar según sea necesario. Algunas de estas configuraciones, como el tipo de instancia, afectan al coste de la implementación. Para obtener estimaciones de costes, los usuarios deben consultar las páginas de precios de cada servicio de AWS que utilizan. Los precios están sujetos a cambios.

Un WAF de Citrix ADC en AWS requiere una licencia. Para obtener licencias de Citrix WAF, los usuarios deben colocar la clave de licencia en un bucket de S3 y especificar su ubicación cuando lanzan la implementación.

Nota:

Cuando los usuarios eligen el modelo de licencia Bring your own license (BYOL), deben asegurarse de que tienen habilitada la función de AppFlow. Para obtener más información sobre las licencias BYOL, consulte: AWS Marketplace/Citrix ADC VPX - Customer Licensed.

Las siguientes opciones de licencia están disponibles para Citrix ADC WAF que se ejecuta en AWS. Los usuarios pueden elegir una AMI (Amazon Machine Image) en función de un solo factor, como el rendimiento.

Nota:

Si los usuarios desean modificar dinámicamente el ancho de banda de una instancia VPX, deben elegir una opción BYOL, por ejemplo, la capacidad agrupada de Citrix ADC, donde pueden asignar las licencias de Citrix ADM, o pueden consultar las licencias de las instancias de Citrix ADC de acuerdo con la capacidad mínima y máxima de la instancia según demanda y sin reinicio. Solo es necesario reiniciar si los usuarios desean cambiar la edición de la licencia.

  • Rendimiento: 200 Mbps o 1 Gbps

  • Paquete: Premium

Opciones de implementación

Esta guía de implementación ofrece dos opciones de implementación:

  • La primera opción es realizar la implementación con un formato de Guía de inicio rápido y las siguientes opciones:

    • Implemente Citrix WAF en una nueva VPC (implementación de extremo a extremo). Esta opción crea un nuevo entorno de AWS que consta de la VPC, las subredes, los grupos de seguridad y otros componentes de la infraestructura y, a continuación, implementa Citrix WAF en esta nueva VPC.

    • Implemente Citrix WAF en una VPC existente. Esta opción aprovisiona Citrix WAF en la infraestructura de AWS existente del usuario.

  • La segunda opción es implementar con WAF StyleBooks con Citrix ADM

Pasos de implementación mediante una guía de inicio rápido

Paso 1: inicie sesión en la cuenta de usuario de AWS

  • Inicie sesión en la cuenta de usuario de AWS: AWS con una función de usuario de IAM (gestión de identidad y acceso) que tenga los permisos necesarios para crear una cuenta de Amazon (si es necesario) o iniciar sesión en una cuenta de Amazon.

  • Utilice el selector de región de la barra de navegación para elegir la región de AWS en la que los usuarios quieren implementar la alta disponibilidad en las zonas de disponibilidad de AWS.

  • Asegúrese de que la cuenta de AWS del usuario esté configurada correctamente; consulte la sección Requisitos técnicos de este documento para obtener más información.

Paso 2: Suscribirse a la AMI de Citrix WAF

  • Esta implementación requiere una suscripción a la AMI para Citrix WAF en AWS Marketplace.

  • Inicie sesión en la cuenta de AWS del usuario.

  • Abra la página de la oferta de Citrix WAF eligiendo uno de los enlaces de la siguiente tabla.

    • Cuando los usuarios inician la Guía de inicio rápido para implementar Citrix WAF en el paso 3 a continuación, utilizan el parámetro Imagen de Citrix WAF para seleccionar la opción de paquete y rendimiento que coincida con su suscripción de AMI. La siguiente lista muestra las opciones de la AMI y los ajustes de parámetros correspondientes. La instancia de AMI VPX requiere un mínimo de 2 CPU virtuales y 2 GB de memoria.

Nota:

Para recuperar el ID de AMI, consulte la página Productos Citrix en AWS Marketplace en GitHub: Productos Citrix en AWS Marketplace.

Página de AWS Marketplace para un firewall de aplicaciones web (WAF) de Citrix

  • Revise los términos y condiciones de uso del software y, a continuación, seleccione Aceptar términos.

Aceptación de los términos del acuerdo de licencia de usuario de Citrix WAF

Nota:

Los usuarios reciben una página de confirmación y se envía una confirmación por correo electrónico al propietario de la cuenta. Para obtener instrucciones detalladas sobre la suscripción, consulte Introducción en la documentación de AWS Marketplace: Getting Started.

  • Cuando finalice el proceso de suscripción, salga de AWS Marketplace sin ninguna acción adicional. No aprovisione el software de AWS Marketplace; los usuarios implementarán la AMI con la Guía de inicio rápido.

Paso 3: Lanzamiento de la Guía de inicio rápido para implementar la AMI

Importante:

Si los usuarios implementan Citrix WAF en una VPC existente, deben asegurarse de que su VPC abarque dos zonas de disponibilidad, con una subred pública y dos privadas en cada zona de disponibilidad para las instancias de carga de trabajo, y que las subredes no se compartan. Esta guía de implementación no admite subredes compartidas, consulte Working with Shared VPC: Working with Shared VPC. Estas subredes requieren puertas de enlace NAT en sus tablas de redirección para permitir que las instancias descarguen paquetes y software sin exponerlas a Internet. Para obtener más información acerca de las puertas de enlace NAT, consulte: Puertas de enlace NAT. Configure las subredes para que no haya superposición de subredes.

Además, los usuarios deben asegurarse de que la opción de nombre de dominio en las opciones de DHCP esté configurada como se explica en la documentación de Amazon VPC que se encuentra aquí: Conjuntos de opciones de DHCP: Conjuntos de opciones de DHCP. Se solicita a los usuarios la configuración de la VPC cuando inician la Guía de inicio rápido.

  • Cada implementación tarda unos 15 minutos en completarse.

  • Compruebe la región de AWS que se muestra en la esquina superior derecha de la barra de navegación y cámbiela si es necesario. Aquí es donde se construirá la infraestructura de red para Citrix WAF. La plantilla se lanza en la región EE.UU. Este (Ohio) de forma predeterminada.

Nota:

Esta implementación incluye Citrix WAF, que actualmente no se admite en todas las regiones de AWS. Para obtener una lista actualizada de las regiones admitidas, consulte AWS Service Endpoints: AWS Service Endpoints.

  • En la página Seleccionar plantilla, mantenga la configuración predeterminada para la URL de la plantilla y, a continuación, haga clic en Siguiente.

  • En la página Especificar detalles, especifique el nombre de la pila según la conveniencia del usuario. Revise los parámetros de la plantilla. Proporcione valores para los parámetros que requieren entrada. Para todos los demás parámetros, revise la configuración predeterminada y personalícela según sea necesario.

  • En la siguiente tabla, los parámetros se enumeran por categoría y se describen por separado para la opción de implementación:

  • Parámetros para implementar Citrix WAF en una VPC nueva o existente (opción de implementación 1)

  • Cuando los usuarios terminen de revisar y personalizar los parámetros, deben elegir Siguiente.

Parámetros para implementar Citrix WAF en una nueva VPC

Configuración de red de VPC

Para obtener información de referencia sobre esta implementación, consulte la plantilla de CFT aquí: AWS-Quickstart/Quickstart-Citrix-ADC-WAF/templates.

Etiqueta de parámetro (nombre) Valor predeterminado Descripción
Zona de disponibilidad principal (PrimaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación principal de Citrix WAF
Zona de disponibilidad secundaria (SecondaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación secundaria de Citrix WAF
CIDR DE VPC (VPCCIDR) 10.0.0.0/16 El bloque CIDR de la VPC. Debe ser un intervalo de IP CIDR válido con el formato x.x.x.x/x.
IP de CIDR SSH remoto (administración) (SSHCIDR restringido) Requiere entrada El intervalo de direcciones IP que puede enviar SSH a la instancia EC2 (puerto: 22).
IP de CIDR HTTP remoto (cliente) (WebAppCIDR restringido) 0.0.0.0/0 El intervalo de direcciones IP que puede enviar HTTP a la instancia EC2 (puerto: 80)
IP de CIDR HTTP remoto (cliente) (WebAppCIDR restringido) 0.0.0.0/0 El intervalo de direcciones IP que puede enviar HTTP a la instancia EC2 (puerto: 80)
CIDR de subred privada de administración primaria (PrimaryManagementPrivateSubnetCIDR) 10.0.1.0/24 El bloque CIDR para la subred de administración primaria ubicada en la zona de disponibilidad 1.
IP privada de administración primaria (PrimaryManagementPrivateIP) IP privada asignada a la ENI de administración primaria (el último octeto debe estar entre 5 y 254) desde el CIDR de la subred de administración primaria.
CIDR de subred pública del cliente principal (PrimaryClientPublicSubnetCIDR) 10.0.2.0/24 El bloque CIDR para la subred del cliente principal ubicada en la zona de disponibilidad 1.
IP privada del cliente principal (PrimaryClientPrivateIP) IP privada asignada al ENI del cliente principal (el último octeto debe estar entre 5 y 254) desde la IP del cliente principal del CIDR de la subred del cliente principal.
CIDR de subred privada del servidor principal (PrimaryServerPrivateSubnetCIDR) 10.0.3.0/24 El bloque CIDR para el servidor principal ubicado en la zona de disponibilidad 1.
IP privada del servidor principal (PrimaryServerPrivateIP) IP privada asignada a la ENI del servidor primario (el último octeto debe estar entre 5 y 254) desde el CIDR de la subred del servidor primario.
CIDR de subred privada de administración secundaria (SecondaryManagementPrivateSubnetCIDR) 10.0.4.0/24 El bloque CIDR para la subred de administración secundaria ubicada en la zona de disponibilidad 2.
IP privada de administración secundaria (SecondaryManagementPrivateIP) IP privada asignada al ENI de gestión secundaria (el último octeto debe estar entre 5 y 254). Asignaría la IP de administración secundaria desde el CIDR de la subred de administración secundaria.
CIDR de subred pública de cliente secundario (SecondaryClientPublicSubnetCIDR) 10.0.5.0/24 El bloque CIDR para la subred de cliente secundaria ubicada en la zona de disponibilidad 2.
IP privada de cliente secundario (SecondaryClientPrivateIP) IP privada asignada al ENI del cliente secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del cliente secundario desde el CIDR de la subred del cliente secundario.
CIDR de subred privada del servidor secundario (SecondaryServerPrivateSubnetCIDR) 10.0.6.0/24 El bloque CIDR para la subred del servidor secundario ubicada en la zona de disponibilidad 2.
IP privada del servidor secundario (SecondaryServerPrivateIP) IP privada asignada a la ENI del servidor secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del servidor secundario desde el CIDR de la subred del servidor secundario.
Atributo de tenencia de VPC (VPCTenancy) default La tenencia permitida de las instancias lanzadas en la VPC. Elija Arrendamiento dedicado para lanzar instancias de EC2 dedicadas a un solo cliente.

Configuración de host Bastion

Etiqueta de parámetro (nombre) Valor predeterminado Descripción
Se requiere Bastion Host (LinuxBastionHostEIP) No De forma predeterminada, no se configurará ningún host bastión. Pero si los usuarios quieren optar por la implementación de sandbox, seleccione “sí” en el menú, lo que implementaría un host Bastion de Linux en la subred pública con un EIP que daría a los usuarios acceso a los componentes de la subred pública y privada.

Configuración de Citrix WAF

Etiqueta de parámetro (nombre) Valor predeterminado Descripción
Nombre del par de claves (keypairName) Requiere entrada Un par de claves pública/privada, que permite a los usuarios conectarse de forma segura a la instancia de usuario después de su lanzamiento. Este es el par de claves que los usuarios crearon en su región de AWS preferida; consulte la sección Requisitos técnicos.
Tipo de instancia de Citrix ADC (CitrixADCINstanceType) m4.xlarge El tipo de instancia de EC2 que se va a usar para las instancias de ADC. Asegúrese de que el tipo de instancia por el que se optó coincide con los tipos de instancias disponibles en el mercado de AWS o, de lo contrario, la CFT podría fallar.
ID de AMI de Citrix ADC (CitrixADCimageID) La AMI de AWS Marketplace que se utilizará para la implementación de Citrix WAF. Debe coincidir con los usuarios de AMI suscritos en el paso 2.
Función de IAM de Citrix ADC VPX (iam:GetRole) Esta plantilla: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates crea la función de IAM y el perfil de instancia necesarios para Citrix ADC VPX. Si se deja vacío, CFT crea la función de IAM requerida.
IP pública del cliente (EIP) (IP pública del cliente) No Seleccione “Sí” si los usuarios desean asignar una EIP pública a la interfaz de red de cliente del usuario. De lo contrario, incluso después de la implementación, los usuarios seguirán teniendo la opción de asignarla más adelante si es necesario.

Configuración de licencias agrupadas

|**Etiqueta de parámetro (nombre)**|**Valor predeterminado**|**Descripción**| |:—|:—|:—| |**Licencias agrupadas de ADM**|No|Si elige la opción BYOL para la licencia, seleccione **sí** en la lista. Esto permite a los usuarios cargar sus licencias ya compradas. Antes de que los usuarios comiencen, deben configurar la capacidad agrupada de Citrix ADC para garantizar que las licencias agrupadas de ADM estén disponibles. Consulte: Configuración de la capacidad agrupada de Citrix ADC. | |Adm alcanzable/IP del agente ADM |Requiereentrada|Para la opción Licencia del cliente, si los usuarios implementan Citrix ADM en prem o un agente en la nube, asegúrese de tener una IP de ADM accesible que luego se utilizará como parámetro de entrada. | |Modo de licencia|Opcional|Los usuarios pueden elegir entre los 3 modos de licencia:

  • Configurar la capacidad agrupada de Citrix ADC: configurar la capacidad agrupada de Citrix ADC
  • Licencias de registro y salida (CICO) de Citrix ADC VPX: Licencias de registro y salida de Citrix ADC VPX
  • Licencias de CPU virtual de Citrix ADC: Licencias de CPU virtualde Citrix ADC | | Ancho debanda de licencia en Mbps|0 Mbps|Solo si el modo de licencia es Pooled-Licensing, este campo aparece en la imagen. Asigna un ancho de banda inicial de la licencia en Mbps que se asignará después de que se creen los ADC BYOL. Debe ser un múltiplo de 10 Mbps. | |License Edition|Premium|License Edition para el modo de licencia de capacidad agrupada es Premium| |Tipo de plataforma de dispositivo|Opcional|Elija el tipo de plataforma de dispositivo requerido, solo si los usuarios optan por el modo de licencia de CICO. Los usuarios obtienen las siguientes opciones: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |License Edition|Premium|License Edition para licencias basadas en vCPU es Premium.|

Configuración de la guía rápida de AWS

Nota:

Recomendamos que los usuarios mantengan la configuración predeterminada para los dos parámetros siguientes, a menos que estén personalizando las plantillas de la Guía de inicio rápido para sus propios proyectos de implementación. Al cambiar la configuración de estos parámetros, se actualizarán automáticamente las referencias de código para que apunten a una nueva ubicación de la Guía de inicio rápido. Para obtener más información, consulte la Guía del colaborador de la Guía de inicio rápido de AWS que se encuentra aquí: AWS Quick Starts/Option 1 - Adopt a Quick Start.

Etiqueta de parámetro (nombre) Valor predeterminado Descripción
Guía de inicio rápidoNombre del bucketS3 (QSS3bucketName) aws-quickstart Los usuarios del bucket de S3 que crearon para su copia de los recursos de la Guía de inicio rápido, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. El nombre del depósito puede incluir números, letras minúsculas, mayúsculas y guiones, pero no debe empezar ni terminar con un guion.
Prefijo de clave S3 de la Guía de inicio rápido (QSS3KeyPrefix) inicio rápido-citrix-adc-vpx/ El prefijo del nombre de clave S3, de Object Key and Metadata: Object Key and Metadata, se utiliza para simular una carpeta para la copia del usuario de los recursos de la Guía de inicio rápido, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. Este prefijo puede incluir números, letras minúsculas, mayúsculas, guiones y barras inclinadas.
  • En la página Opciones, los usuarios pueden especificar una etiqueta de recurso o un par clave-valor para los recursos de la pila y establecer opciones avanzadas. Para obtener más información sobre las etiquetas de recursos, consulte: Etiqueta de recursos. Para obtener más información sobre cómo configurar las opciones de pila de AWS CloudFormation, consulte: Setting AWS CloudFormation Stack Options Cuando los usuarios terminen, deben elegir Siguiente.

  • En la página Revisar, revisa y confirma la configuración de la plantilla. En Capacidades, active las dos casillas de verificación para confirmar que la plantilla crea recursos de IAM y que puede requerir la capacidad de expandir automáticamente las macros.

  • Elija Crear para implementar la pila.

  • Supervise el estado de la pila. Cuando el estado es CREATE_COMPLETE, la instancia de Citrix WAF está lista.

  • Utilice las URL que se muestran en la ficha Resultados de la pila para ver los recursos que se crearon.

Salidas de Citrix WAF después de una implementación correcta

Paso 4: Probar la implementación

Nos referimos a las instancias de esta implementación como primarias y secundarias. Cada instancia tiene diferentes direcciones IP asociadas. Cuando Quick Start se implementa correctamente, el tráfico pasa por la instancia principal de Citrix WAF configurada en la zona de disponibilidad 1. Durante las condiciones de conmutación por error, cuando la instancia principal no responde a las solicitudes de los clientes, la instancia WAF secundaria se hace cargo.

La dirección IP elástica de la dirección IP virtual de la instancia principal migra a la instancia secundaria, que pasa a ser la nueva instancia principal.

En el proceso de conmutación por error, Citrix WAF hace lo siguiente:

  • Citrix WAF comprueba los servidores virtuales que tienen conjuntos de IP conectados a ellos.

  • Citrix WAF encuentra la dirección IP que tiene una dirección IP pública asociada de las dos direcciones IP en las que escucha el servidor virtual. Uno que se conecta directamente al servidor virtual y otro que se conecta a través del conjunto de IP.

  • Citrix WAF vuelve a asociar la dirección IP elástica pública a la dirección IP privada que pertenece a la nueva dirección IP virtual principal.

Para validar la implementación, realice lo siguiente:

  • Conectarse a la instancia principal

Por ejemplo, con un servidor proxy, un host de salto (una instancia de Linux/Windows/FW que se ejecuta en AWS o el host bastión) u otro dispositivo accesible para esa VPC o Direct Connect si se trata de conectividad local.

  • Realiza una acción de activación para forzar la conmutación por error y comprobar si la instancia secundaria se hace cargo.

Consejo:

Para validar aún más la configuración con respecto a Citrix WAF, ejecute el siguiente comando después de conectarse a la instancia principal de Citrix WAF:

Sh appfw profile QS-Profile

Conéctese al par HA de Citrix WAF mediante Bastion Host

Si los usuarios optan por la implementación de Sandbox (por ejemplo, como parte de CFT, los usuarios optan por configurar un Bastion Host), se configurará un host Bastion de Linux implementado en una subred pública para acceder a las interfaces WAF.

En la consola de AWS CloudFormation, a la que se accede iniciando sesión aquí: Inicie sesión, elija la pila maestra y, en la ficha Outputs, busque el valor de LinuxBastionHostEIP1.

Recursos de implementación de pares HA de Citrix WAF

  • Valor de la clave PrivateManagementPrivateNSIP y PrimaryADCInstanceID que se utilizará en los pasos posteriores para SSH en el ADC.

  • Elige Servicios.

  • En la ficha Computación, seleccione EC2.

    • En Recursos, elija Running Instances.

    • En la ficha Descripción de la instancia de WAF principal, anote la dirección IP pública IPv4. Los usuarios necesitan esa dirección IP para crear el comando SSH.

Descripción de la consola de Amazon EC2 con instancia principal

  • Para guardar la clave en el llavero del usuario, ejecute el comando ssh-add -K [your-key-pair].pem

En Linux, es posible que los usuarios deban omitir la marca -K.

  • Inicie sesión en el host bastión con el siguiente comando, con el valor de LinuxBastionHostEIP1 que los usuarios anotaron en el paso 1.

ssh -A ubuntu@[LinuxBastionHostEIP1]

  • Desde el host bastión, los usuarios pueden conectarse a la instancia WAF principal mediante SSH.

ssh nsroot@[Primary Management Private NSIP]

Contraseña: [ID de instancia de ADC principal]

Conexión a la instancia principal de Citrix WAF

Ahora los usuarios están conectados a la instancia principal de Citrix WAF. Para ver los comandos disponibles, los usuarios pueden ejecutar el comando help. Para ver la configuración de alta disponibilidad actual, los usuarios pueden ejecutar el comando show HA node.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución sencilla y escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN que se implementan de forma local o en la nube.

Los usuarios pueden usar esta solución de nube para administrar, supervisar y solucionar problemas de toda la infraestructura de entrega de aplicaciones global desde una consola única, unificada y centralizada basada en la nube. Citrix ADM Service proporciona todas las capacidades necesarias para configurar, implementar y administrar rápidamente la entrega de aplicaciones en implementaciones de Citrix ADC y con análisis detallados del estado, el rendimiento y la seguridad de las aplicaciones.

Citrix ADM Service ofrece las siguientes ventajas:

  • Ágil: fácil de operar, actualizar y consumir. El modelo de servicio de Citrix ADM Service está disponible en la nube, lo que facilita el funcionamiento, la actualización y el uso de las funciones que proporciona Citrix ADM Service. La frecuencia de las actualizaciones, combinada con la función de actualización automática, mejora rápidamente la implementación de Citrix ADC por parte de los usuarios.

  • Generación de valormás rápida: logro más rápido de los objetivos empresariales. A diferencia de la implementación local tradicional, los usuarios pueden usar su servicio Citrix ADM con unos pocos clics. Los usuarios no solo ahorran tiempo de instalación y configuración, sino que también evitan perder tiempo y recursos en posibles errores.

  • Administración de varios sitios: panel único para instancias en centros de datos de varios sitios. Con Citrix ADM Service, los usuarios pueden administrar y supervisar los ADC de Citrix que se encuentran en varios tipos de implementaciones. Los usuarios tienen una administración integral para los ADC de Citrix implementados en las instalaciones y en la nube.

  • Eficiencia operativa: forma optimizada y automatizada de lograr una mayor productividad operativa. Con Citrix ADM Service, los costes operativos de los usuarios se reducen al ahorrar tiempo, dinero y recursos al usuario en el mantenimiento y la actualización de las implementaciones de hardware tradicionales.

Funcionamiento del servicio Citrix ADM

Citrix ADM Service está disponible como un servicio en Citrix Cloud. Después de que los usuarios se registren en Citrix Cloud y comiencen a usar el servicio, instale los agentes en el entorno de red del usuario o inicie el agente integrado en las instancias. A continuación, agrega al servicio las instancias que los usuarios quieren administrar.

Un agente permite la comunicación entre el servicio Citrix ADM y las instancias administradas en el centro de datos del usuario. El agente recopila datos de las instancias administradas en la red de usuarios y los envía al servicio Citrix ADM.

Cuando los usuarios agregan una instancia al servicio Citrix ADM, se agrega implícitamente como destino de captura y recopila un inventario de la instancia.

El servicio recopila detalles de instancia como:

  • Nombre de host

  • Versión de software

  • Configuración en ejecución y guardada

  • Certificados

  • Entidades configuradas en la instancia, etc.

Citrix ADM Service sondea periódicamente las instancias administradas para recopilar información.

La siguiente imagen ilustra la comunicación entre el servicio, los agentes y las instancias:

image-vpx-aws-appsecurity-deployment-09

Guía de documentación

La documentación del servicio Citrix ADM incluye información sobre cómo empezar a utilizar el servicio, una lista de las funciones admitidas en el servicio y la configuración específica de esta solución de servicio.

Implementación de instancias de Citrix ADC VPX en AWS mediante Citrix ADM

Cuando los clientes trasladan sus aplicaciones a la nube, los componentes que forman parte de su aplicación aumentan, se distribuyen más y se deben administrar de forma dinámica.

Con las instancias de Citrix ADC VPX en AWS, los usuarios pueden extender sin problemas su pila de red L4-L7 a AWS. Con Citrix ADC VPX, AWS se convierte en una extensión natural de su infraestructura de TI local. Los clientes pueden usar Citrix ADC VPX en AWS para combinar la elasticidad y la flexibilidad de la nube, con las mismas funciones de optimización, seguridad y control que admiten los sitios web y las aplicaciones más exigentes del mundo.

Con Citrix Application Delivery Management (ADM) que supervisa sus instancias de Citrix ADC, los usuarios obtienen visibilidad del estado, el rendimiento y la seguridad de sus aplicaciones. Pueden automatizar la configuración, la implementación y la administración de su infraestructura de entrega de aplicaciones en entornos de multinube híbrida.

Diagrama de arquitectura

La siguiente imagen proporciona una descripción general de cómo Citrix ADM se conecta con AWS para aprovisionar instancias de Citrix ADC VPX en AWS.

image-vpx-aws-appsecurity-deployment-10

Tareas de configuración

Realice las siguientes tareas en AWS antes de aprovisionar instancias de Citrix ADC VPX en Citrix ADM:

  • Crear subredes

  • Crear grupos de seguridad

  • Crear un rol de IAM y definir una directiva

Realice las siguientes tareas en Citrix ADM para aprovisionar las instancias en AWS:

  • Crear sitio

  • Aprovisione la instancia Citrix ADC VPX en AWS

Creación de subredes

Cree tres subredes en una VPC. Las tres subredes que se requieren para aprovisionar instancias de Citrix ADC VPX en una VPC son administración, cliente y servidor. Especifique un bloque de CIDR IPv4 del intervalo que se define en la VPC para cada una de las subredes. Especifique la zona de disponibilidad en la que residirá la subred. Cree las tres subredes en la misma zona de disponibilidad. La siguiente imagen ilustra las tres subredes creadas en la región del cliente y su conectividad con el sistema cliente.

image-vpx-aws-appsecurity-deployment-11

Para obtener más información sobre VPC y subredes, consulte VPC y subredes.

Creación de grupos de seguridad

Cree un grupo de seguridad para controlar el tráfico entrante y saliente en la instancia de Citrix ADC VPX. Un grupo de seguridad actúa como un firewall virtual para una instancia de usuario. Cree grupos de seguridad en el nivel de instancia y no en el nivel de subred. Es posible asignar cada instancia de una subred de la VPC de usuario a un conjunto diferente de grupos de seguridad. Agregue reglas para cada grupo de seguridad para controlar el tráfico entrante que pasa a través de la subred del cliente a las instancias. Los usuarios también pueden agregar un conjunto independiente de reglas que controlan el tráfico saliente que pasa a través de la subred del servidor a los servidores de aplicaciones. Aunque los usuarios pueden usar el grupo de seguridad predeterminado para sus instancias, es posible que deseen crear sus propios grupos. Cree tres grupos de seguridad: Uno para cada subred. Cree reglas para el tráfico entrante y saliente que los usuarios quieran controlar. Los usuarios pueden agregar tantas reglas como deseen.

Para obtener más información sobre los grupos de seguridad, consulte:Grupos de seguridad para la VPC.

Creación de una función de IAM y definición de una directiva

Cree una función de IAM para que los clientes puedan establecer una relación de confianza entre sus usuarios y la cuenta de AWS de confianza de Citrix y crear una directiva con permisos de Citrix.

  1. En AWS, haga clic enServicios. En el panel de navegación del lado izquierdo, seleccioneIAM > Funcionesy haga clic enCrear función.

  2. Los usuarios conectan su cuenta de AWS con la cuenta de AWS en Citrix ADM. Por lo tanto, seleccioneOtra cuenta de AWSpara permitir que Citrix ADM realice acciones en la cuenta de AWS.

Escriba el ID de cuenta de AWS de Citrix ADM de 12 dígitos. El ID de Citrix es 835822366011. Los usuarios también pueden encontrar el ID de Citrix en Citrix ADM cuando crean el perfil de acceso a la nube.

image-vpx-aws-appsecurity-deployment-12

  1. ActiveRequerir ID externopara conectarse a una cuenta de terceros. Los usuarios pueden aumentar la seguridad de sus funciones si requieren un identificador externo opcional. Escriba un ID que puede ser una combinación de caracteres.

  2. Haga clic en Permisos.

  3. En la páginaAdjuntar directivas de permisos, haga clic enCrear directiva

  4. Los usuarios pueden crear y modificar una directiva en el editor visual o mediante JSON.

La lista de permisos de Citrix se proporciona en el cuadro siguiente:

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->
  1. Copie y pegue la lista de permisos en la ficha JSON y haga clic en Revisar directiva.

  2. En la páginaRevisar directiva, escriba un nombre para la directiva, introduzca una descripción y haga clic enCrear directiva.

Para crear un sitio en Citrix ADM

Cree un sitio en Citrix ADM y agregue los detalles de la VPC asociada a la función de AWS.

  1. En Citrix ADM, vaya aRedes > Sitios.

  2. Haga clic en Agregar.

  3. Seleccione el tipo de servicio como AWS y activeUsar VPC existente como sitio.

  4. Seleccione el perfil de acceso a la nube.

  5. Si el perfil de acceso a la nube no existe en el campo, haga clic enAgregarpara crear un perfil.

    • En la páginaCrear perfil de acceso a la nube, escriba el nombre del perfil con el que los usuarios quieren acceder a AWS.

    • Escriba el ARN asociado al rol que los usuarios han creado en AWS.

    • Escriba el ID externo que proporcionaron los usuarios al crear una función de administración de acceso e identidad (IAM) en AWS. Consulte el paso 4 de la tarea “Para crear una función de IAM y definir una directiva”. Asegúrese de que el nombre del rol de IAM especificado en AWS comience por Citrix-ADM- y aparezca correctamente en el ARN del rol.

image-vpx-aws-appsecurity-deployment-13

Los detalles de la VPC, como la región, el ID de VPC, el nombre y el bloque CIDR, asociados a su rol de IAM en AWS, se importan en Citrix ADM.

  1. Escriba un nombre para el sitio.

  2. Haga clic en Create.

Para aprovisionar Citrix ADC VPX en AWS

Utilice el sitio que los usuarios crearon anteriormente para aprovisionar las instancias de Citrix ADC VPX en AWS. Proporcione detalles del agente de servicio de Citrix ADM para aprovisionar las instancias vinculadas a ese agente.

  1. En Citrix ADM, vaya aRedes>Instancias>Citrix ADC.

  2. En la fichaVPX, haga clic enAprovisionar.

Esta opción muestra la páginaProvisioning Citrix ADC VPX on Cloud.

  1. SeleccioneAmazon Web Services (AWS)y haga clic enSiguiente.

  2. EnParámetros básicos,

    • Seleccione eltipo de instanciade la lista.

      • Independiente: esta opción aprovisiona una instancia de Citrix ADC VPX independiente en AWS.

      • HA: esta opción aprovisiona las instancias de alta disponibilidad de Citrix ADC VPX en AWS.

      Para aprovisionar las instancias de Citrix ADC VPX en la misma zona, seleccione la opciónZona únicaenTipo de zona.

      Para aprovisionar las instancias de Citrix ADC VPX en varias zonas, seleccione la opciónMulti zonaenTipo de zona. En la fichaCloud Parameters, asegúrese de especificar los detalles de red de cada zona que se cree en AWS.

    image-vpx-aws-appsecurity-deployment-14

    • Especifique el nombre de la instancia de Citrix ADC VPX.

    • EnSitio, seleccione el sitio que creó anteriormente.

    • EnAgent, seleccione el agente que se crea para administrar la instancia de Citrix ADC VPX.

    • EnCloud Access Profile, seleccione el perfil de acceso a la nube creado durante la creación del sitio.

    • EnPerfil del dispositivo, seleccione el perfil para proporcionar autenticación.

    Citrix ADM utiliza el perfil del dispositivo cuando requiere iniciar sesión en la instancia de Citrix ADC VPX.

    • Haga clic en Siguiente.
  3. EnCloud Parameters,

    • Seleccione lafunción Citrix IAMcreada en AWS. Un rol de IAM es una identidad de AWS con directivas de permisos que determinan lo que la identidad puede y no puede hacer en AWS.

    • En el campoProducto, seleccione la versión del producto Citrix ADC que los usuarios quieren aprovisionar.

    • Seleccione el tipo de instancia EC2 en la listaInstance Type.

    • Seleccione laversiónde Citrix ADC que los usuarios quieren aprovisionar. Seleccione la versiónprincipalysecundariade Citrix ADC.

    • EnGrupos de seguridad, seleccione los grupos de seguridad Administración, Cliente y Servidor que los usuarios crearon en su red virtual.

    • En IP de servidor Subred per Node, seleccione el número de direcciones IP en la subred del servidor por nodo para el grupo de seguridad.

    • EnSubredes, seleccione las subredes de administración, cliente y servidor para cada zona que se cree en AWS. Los usuarios también pueden seleccionar la región en la lista dezonas de disponibilidad.

    • Haga clic enFinalizar.

image-vpx-aws-appsecurity-deployment-15

La instancia de Citrix ADC VPX se aprovisiona ahora en AWS.

Nota:

Citrix ADM no admite el desaprovisionamiento de instancias de Citrix ADC de AWS.

Para ver el Citrix ADC VPX aprovisionado en AWS

  1. En la página de inicio de AWS, vaya aServiciosy haga clic enEC2.

  2. En la páginaRecursos, haga clic enEjecutar instancias.

  3. Los usuarios pueden ver el Citrix ADC VPX aprovisionado en AWS.

El nombre de la instancia de Citrix ADC VPX es el mismo nombre que los usuarios proporcionaron al aprovisionar la instancia en Citrix ADM.

Para ver el Citrix ADC VPX aprovisionado en Citrix ADM

  1. En Citrix ADM, vaya aRedes>Instancias>Citrix ADC.

  2. Seleccione la fichaCitrix ADC VPX.

  3. La instancia de Citrix ADC VPX aprovisionada en AWS se muestra aquí.

Los 10 mejores de Citrix ADC WAF y OWASP — 2017

El Open Web Application Security Project: OWASP publicó el Top 10 de OWASP para 2017 para la seguridad de aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. A continuación detallamos cómo configurar el Firewall de aplicaciones web (WAF) de Citrix ADC para mitigar estos defectos. WAF está disponible como módulo integrado en Citrix ADC (Premium Edition), así como en una gama completa de dispositivos.

El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

Top 10 de OWASP 2017 Funciones de Citrix ADC WAF
A 1:2017 - Inyección Prevención de ataques por inyección (SQL o cualquier otra inyección personalizada, como inyección de comandos del sistema operativo, inyección de XPath e inyección de LDAP), función de firma de actualización automática
A 2:2017 - Autenticación rota Citrix ADC AAA, protección contra manipulación de cookies, proxy de cookies, cifrado de cookies, etiquetado CSRF, uso de SSL
A 3:2017 - Exposición de datos confidenciales Protección de tarjetas de crédito, comercio seguro, proxy de cookies y cifrado de cookies
A 4:2017 Entidades externas XML (XXE) Protección XML que incluye comprobaciones WSI, validación de mensajes XML y comprobación de filtrado de errores SOAP XML
A 5:2017 Control de acceso roto Citrix ADC AAA, función de seguridad de autorización dentro del módulo Citrix ADC AAA de NetScaler, protecciones de formularios y protecciones contra la manipulación de cookies, StartURL y ClosureURL
A 6:2017 - Configuración errónea de seguridad Informes PCI, funciones SSL, generación de firmas a partir de informes de análisis de vulnerabilidades como Cenznic, Qualys, AppScan, WebInspect, Whitehat. Además, protecciones específicas, como el cifrado de cookies, el uso de proxy y la manipulación
A 7:2017 - Scripting entre sitios (XSS) Prevención de ataques XSS, bloquea todos los ataques de hojas de referencia XSS de OWASP
A 8:2017 — Deserialización insegura Comprobaciones de seguridad XML, tipo de contenido GWT, firmas personalizadas, Xpath para JSON y XML
A 9:2017 - Uso de componentes con vulnerabilidades conocidas Informes de análisis de vulnerabilidades, plantillas de firewall de aplicaciones y firmas personalizadas
A 10:2017 — Registro y supervisión insuficientes Registro personalizado configurable por el usuario, sistema de administración y análisis Citrix ADC

A 1:2017 - Inyección

Los errores de inyección, como la inyección de SQL, NoSQL, OS y LDAP, se producen cuando se envían datos que no son de confianza a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no intencionados o acceda a los datos sin la debida autorización.

Protecciones ADC WAF

  • La función de prevención de inyección SQL protege contra los ataques de inyección comunes. Se pueden cargar patrones de inyección personalizados para protegerse contra cualquier tipo de ataque de inyección, incluidos XPath y LDAP. Esto se aplica a las cargas útiles HTML y XML.

  • La función de actualización automática de firmas mantiene las firmas de inyección actualizadas.

  • La función de protección de formato de campo permite al administrador restringir cualquier parámetro de usuario a una expresión regular. Por ejemplo, puede hacer que un campo de código postal contenga solo números enteros o incluso enteros de 5 dígitos.

  • Coherencia de campos de formulario: valide cada formulario de usuario enviado con la firma del formulario de sesión de usuario para garantizar la validez de todos los elementos del formulario.

  • Las comprobaciones de desbordamiento de búfer garantizan que la URL, los encabezados y las cookies estén dentro de los límites correctos bloqueando cualquier intento de inyectar scripts o código de gran tamaño.

A 2:2017 — Autenticación rota

Las funciones de la aplicación relacionadas con la autenticación y la administración de sesiones a menudo se implementan de forma incorrecta, lo que permite a los atacantes poner en peligro contraseñas, claves o tokens de sesión, o aprovechar otros defectos de implementación para asumir la identidad de otros usuarios de forma temporal o permanente.

Protecciones ADC WAF

  • El módulo AAA de Citrix ADC realiza la autenticación de usuarios y proporciona la funcionalidad de inicio de sesión único a las aplicaciones de back-end. Está integrado en el motor de directivas de Citrix ADC AppExpert para permitir directivas personalizadas basadas en la información de usuarios y grupos.

  • Mediante el uso de las capacidades de descarga de SSL y transformación de URL, el firewall también puede ayudar a los sitios a utilizar protocolos de capa de transporte seguros para evitar el robo de tokens de sesión mediante el rastreo de red.

  • El proxy de cookie y el cifrado de cookies se pueden emplear para mitigar por completo el robo de cookies.

A 3:2017 - Exposición de datos confidenciales

Muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como los financieros, los de salud y la PII. Los atacantes pueden robar o modificar esos datos mal protegidos para cometer fraude con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales cuando se intercambian con el explorador.

Protecciones ADC WAF

  • Application Firewall protege las aplicaciones de la filtración de datos confidenciales, como los datos de las tarjetas

  • Los datos confidenciales se pueden configurar como objetos seguros en la protección de Safe Commerce para evitar la exposición.

  • Cualquier dato confidencial de las cookies se puede proteger mediante el uso de proxy de cookies y el cifrado de cookies.

A 4:2017 Entidades externas XML (XXE)

Muchos procesadores XML antiguos o mal configurados evalúan las referencias a entidades externas dentro de los documentos XML. Las entidades externas se pueden usar para divulgar archivos internos mediante el controlador de URI de archivos, recursos compartidos de archivos internos, análisis de puertos internos, ejecución remota de código y ataques de denegación de servicio.

Protecciones ADC WAF

  • Además de detectar y bloquear amenazas de aplicaciones comunes que se pueden adaptar para atacar aplicaciones basadas en XML (es decir, scripts entre sitios, inyección de comandos, etc.).

  • ADC Application Firewall incluye un amplio conjunto de protecciones de seguridad específicas de XML. Estas incluyen la validación de esquemas para verificar exhaustivamente los mensajes SOAP y las cargas XML, y una potente comprobación de datos adjuntos XML para bloquear los archivos adjuntos que contienen virus o ejecutables maliciosos.

  • Los métodos de inspección automática del tráfico bloquean los ataques de inyección de XPath en URL y formularios destinados a obtener acceso.

  • El firewall de aplicaciones de ADC también frustra varios ataques DoS, incluidas las referencias a entidades externas, la expansión recursiva, el anidamiento excesivo y los mensajes maliciosos que contienen una gran cantidad de atributos y elementos o una gran cantidad de atributos y elementos.

A 5:2017 Control de acceso roto

Las restricciones sobre lo que se permite hacer a los usuarios autenticados a menudo no se aplican correctamente. Los atacantes pueden aprovechar estas fallas para acceder a funciones y datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.

Protecciones ADC WAF

  • La función AAA de Citrix ADC que admite la autenticación, la autorización y la auditoría de todo el tráfico de aplicaciones permite al administrador del sitio administrar los controles de acceso con el dispositivo ADC.

  • La función de seguridad de autorización del módulo AAA de Citrix ADC del dispositivo ADC permite al dispositivo verificar qué contenido de un servidor protegido debe permitir el acceso de cada usuario.

  • Coherencia de campos de formulario: si las referencias a objetos se almacenan como campos ocultos en los formularios, al usar la coherencia de campos de formulario, puede validar que estos campos no se alteren en solicitudes posteriores.

  • Proxying de cookies y coherencia de cookies: las referencias a objetos que se almacenan en valores de cookies se pueden validar con estas protecciones.

  • Iniciar comprobación de URL con cierre de URL: Permite al usuario acceder a una lista predefinida de URL permitidas. El cierre de URL crea una lista de todas las URL que se ven en las respuestas válidas durante la sesión del usuario y permite automáticamente el acceso a ellas durante esa sesión.

A 6:2017 - Configuración errónea de seguridad

La mala configuración de la seguridad es el problema más frecuente. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o improvisadas, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo se deben configurar de forma segura todos los sistemas operativos, marcos, bibliotecas y aplicaciones, sino que se les deben aplicar parches y actualizar de manera oportuna.

Protecciones ADC WAF

  • El informe PCI-DSS generado por Application Firewall documenta la configuración de seguridad del dispositivo Firewall.

  • Los informes de las herramientas de escaneo se convierten en firmas ADC WAF para gestionar errores de configuración de seguridad.

  • ADC WAF admite Cenzic, IBM AppScan (Enterprise y Standard), Qualys, TrendMicro, WhiteHat e informes de análisis de vulnerabilidades personalizados.

A 7:2017 - Scripting entre sitios (XSS)

Las fallas de XSS se producen cuando una aplicación incluye datos que no son de confianza en una página web nueva sin la validación o el escape adecuados, o actualiza una página web existente con datos proporcionados por el usuario mediante una API de explorador que puede crear HTML o JavaScript. Los scripts entre sitios permiten a los atacantes ejecutar scripts en el explorador de la víctima que pueden secuestrar las sesiones de los usuarios, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Protecciones ADC WAF

  • La protección de scripts entre sitios protege contra ataques XSS comunes. Se pueden cargar patrones XSS personalizados para modificar la lista predeterminada de etiquetas y atributos permitidos. El ADC WAF utiliza una lista de permitidos de etiquetas y atributos HTML permitidos para detectar ataques XSS. Esto se aplica a las cargas útiles HTML y XML.

  • ADC WAF bloquea todos los ataques enumerados en la Hoja de referencia de evaluación de filtros XSS de OWASP.

  • La comprobación del formato de campo impide que un atacante envíe datos de formularios web inapropiados, lo que puede ser un posible ataque XSS.

  • Coherencia de campos de formulario.

A 8:2017 - Deserialización insegura

La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si las fallas de deserialización no dan lugar a la ejecución remota de código, se pueden usar para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios.

Protecciones ADC WAF

  • Inspección de carga útil JSON con firmas personalizadas.

  • Seguridad XML: protege contra denegación de servicio (xDoS) de XML, inyección de XML SQL y Xpath y scripting entre sitios, comprobaciones de formato, cumplimiento de perfiles básicos de WS-I y comprobación de archivos adjuntos XML.

  • Se pueden utilizar las comprobaciones de formato de campo además de la coherencia de cookies y la coherencia de campo.

A 9:2017 - Uso de componentes con vulnerabilidades conocidas

Los componentes, como bibliotecas, marcos y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar la pérdida grave de datos o la apropiación del servidor. Las aplicaciones y las API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de las aplicaciones y permitir diversos ataques e impactos.

Protecciones ADC WAF

  • Citrix recomienda tener los componentes de terceros actualizados.

  • Los informes de análisis de vulnerabilidades que se convierten en firmas ADC se pueden utilizar para aplicar parches virtuales a estos componentes.

  • Se pueden usar las plantillas de firewall de aplicaciones que están disponibles para estos componentes vulnerables.

  • Las firmas personalizadas se pueden vincular con el firewall para proteger estos componentes.

A 10:2017 - Registro y supervisión insuficientes

El registro y la supervisión insuficientes, junto con la integración faltante o ineficaz con la respuesta a incidentes, permiten a los atacantes atacar aún más los sistemas, mantener la persistencia, cambiar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días, por lo general detectada por partes externas en lugar de por procesos internos o supervisión.

Protecciones ADC WAF

  • Cuando la acción de registro está habilitada para comprobaciones de seguridad o firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el firewall de la aplicación ha observado al proteger sus sitios web y aplicaciones.

  • El firewall de aplicaciones ofrece la conveniencia de utilizar la base de datos ADC integrada para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes maliciosas.

  • Las expresiones de formato predeterminado (PI) ofrecen la flexibilidad de personalizar la información incluida en los registros con la opción de agregar los datos específicos para capturar en los mensajes de registro generados por el firewall de la aplicación.

  • El firewall de aplicaciones admite registros CEF.

Protección de seguridad de aplicaciones

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución escalable para administrar las implementaciones de Citrix ADC que incluyen dispositivos Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX y Citrix SD-WAN que se implementan en las instalaciones o en nube.

Funciones de administración y análisis de aplicaciones de Citrix ADM

Las siguientes funciones son clave para la función de ADM en App Security.

Gestión y análisis de aplicaciones

La función de análisis y administración de aplicaciones de Citrix ADM refuerza el enfoque centrado en las aplicaciones para ayudar a los usuarios a abordar diversos desafíos de entrega de aplicaciones. Este enfoque proporciona a los usuarios visibilidad de las puntuaciones de estado de las aplicaciones, ayuda a los usuarios a determinar los riesgos de seguridad y ayuda a los usuarios a detectar anomalías en los flujos de tráfico de las aplicaciones y a tomar medidas correctivas. La más importante de estas funciones para la seguridad de aplicaciones es la analítica de seguridad de aplicaciones:

  • Análisis de seguridad de aplicaciones: análisis de seguridad de aplicaciones. El panel de seguridad de aplicaciones ofrece una visión holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave, como infracciones de seguridad, infracciones de firmas, índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques, como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC descubiertas.

StyleBooks

Los StyleBooks simplifican la tarea de administrar configuraciones complejas de Citrix ADC para las aplicaciones de usuario. Un StyleBook es una plantilla que los usuarios pueden usar para crear y administrar configuraciones de Citrix ADC. Aquí los usuarios se preocupan principalmente por el StyleBook utilizado para implementar el Web Application Firewall. Para obtener más información sobre StyleBooks, consulte: StyleBooks.

Análisis

Proporciona una forma fácil y escalable de analizar los diversos conocimientos de los datos de las instancias de Citrix ADC para describir, predecir y mejorar el rendimiento de las aplicaciones. Los usuarios pueden usar una o más funciones de análisis simultáneamente. Las más importantes de estas funciones para la seguridad de aplicaciones son las siguientes:

  • Security Insight: Perspectiva Security Insight Proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones del usuario y tomar medidas correctivas para proteger las aplicaciones de los usuarios

  • Insight del bot

  • Para obtener más información sobre los análisis, consulte Análisis: análisis.

Otras funciones que son importantes para la funcionalidad de ADM son:

Gestión de eventos

Los eventos representan ocurrencias de eventos o errores en una instancia administrada de Citrix ADC. Por ejemplo, cuando se produce un error del sistema o un cambio en la configuración, se genera un evento y se registra en Citrix ADM. Las siguientes son las funciones relacionadas que los usuarios pueden configurar o ver mediante Citrix ADM:

Para obtener más información sobre la gestión de eventos, consulte: Eventos.

Administración de instancias

Permite a los usuarios administrar las instancias de Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway y Citrix SD-WAN. Para obtener más información sobre la administración de instancias, consulta: Adición de Instancias.

Gestión de licencias

Permite a los usuarios administrar las licencias de Citrix ADC mediante la configuración de Citrix ADM como administrador de licencias.

  • Capacidad agrupada de Citrix ADC: capacidad agrupada. Un grupo de licencias común desde el que una instancia de Citrix ADC de usuario puede extraer una licencia de instancia y solo el ancho de banda que necesite. Cuando la instancia ya no requiere estos recursos, vuelve a registrarlos en el grupo común, haciendo que los recursos estén disponibles para otras instancias que los necesiten.

  • Licencias de registro y salida de Citrix ADC VPX: Licencias de registro y salida de Citrix ADC VPX. Citrix ADM asigna licencias a las instancias de Citrix ADC VPX a pedido. Una instancia de Citrix ADC VPX puede retirar la licencia del Citrix ADM cuando se aprovisiona una instancia de Citrix ADC VPX, o volver a registrar su licencia en Citrix ADM cuando se quita o destruye una instancia.

  • Para obtener más información sobre la administración de licencias, consulte: Capacidad agrupada.

Administración de configuración

Citrix ADM permite a los usuarios crear trabajos de configuración que les ayudan a realizar tareas de configuración, como la creación de entidades, la configuración de funciones, la replicación de cambios de configuración, las actualizaciones del sistema y otras actividades de mantenimiento con facilidad en varias instancias. Las plantillas y los trabajos de configuración simplifican las tareas administrativas más repetitivas en una sola tarea en Citrix ADM. Para obtener más información sobre la administración de la configuración, consulte Trabajos de configuración: Trabajos de configuración.

Auditoría de configuración

Permite a los usuarios supervisar e identificar anomalías en las configuraciones en todas las instancias de usuario.

Las firmas ofrecen las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de las aplicaciones de los usuarios:

  • Modelo de seguridad negativo: con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones para detectar ataques y protegerse contra las vulnerabilidades de las aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden agregar sus propias reglas de firma, en función de las necesidades de seguridad específicas de las aplicaciones de usuario, para diseñar sus propias soluciones de seguridad personalizadas.

  • Modelo de seguridad híbrido: además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración ideal para las aplicaciones de usuario. Usa firmas para bloquear lo que los usuarios no quieren y usa controles de seguridad positivos para hacer cumplir lo permitido.

Para proteger las aplicaciones de usuario mediante el uso de firmas, los usuarios deben configurar uno o más perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección de SQL y scripting entre sitios y las reglas de transformación de SQL del objeto de firmas de usuario se utilizan no solo en las reglas de firma, sino también en las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto signatures.

El Web Application Firewall examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se están lanzando contra las aplicaciones Si los usuarios habilitan las estadísticas, Web Application Firewall mantiene datos sobre las solicitudes que coinciden con una firma o comprobación de seguridad de Web Application Firewall.

Si el tráfico coincide tanto con una firma como con una comprobación de seguridad positiva, se aplicará la más restrictiva de las dos acciones. Por ejemplo, si una solicitud coincide con una regla de firma para la que está inhabilitada la acción de bloqueo, pero la solicitud también coincide con una comprobación de seguridad positiva de SQL Injection para la que la acción es bloque, la solicitud se bloquea. En este caso, la infracción de firma puede registrarse como [no bloqueada], aunque la comprobación de inyección SQL bloquea la solicitud.

Personalización: si es necesario, los usuarios pueden agregar sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones de SQL/XSS. La opción de agregar sus propias reglas de firma, en función de las necesidades de seguridad específicas de las aplicaciones de los usuarios, brinda a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación específica puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden agregar, modificar o eliminar patrones de inyección SQL y scripting entre sitios. Los editores de expresiones regulares y expresiones integrados ayudan a los usuarios a configurar los patrones de usuario y verificar su precisión.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina equilibrio de carga de capa 4, administración de tráfico de capa 7, descarga de servidores, aceleración de aplicaciones, seguridad de aplicaciones, licencias flexibles y otras capacidades esenciales de entrega de aplicaciones. en una única instancia VPX, disponible cómodamente a través de AWS Marketplace. Además, todo se rige por un único marco de directivas y se administra con el mismo y potente conjunto de herramientas que se utilizan para administrar implementaciones locales de Citrix ADC. El resultado neto es que Citrix ADC en AWS permite varios casos de uso convincentes que no solo cubren las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos empresariales en la nube.

Firewall de aplicaciones web (WAF) de Citrix

Citrix Web Application Firewall (WAF) es una solución de nivel empresarial que ofrece protecciones de vanguardia para las aplicaciones modernas. Citrix WAF mitiga las amenazas contra los activos públicos, incluidos sitios web, aplicaciones web y API. Citrix WAF incluye filtrado basado en la reputación de IP, mitigación de bots, las 10 principales protecciones contra amenazas de aplicaciones de OWASP, protección contra DDoS de capa 7 y más. También se incluyen opciones para aplicar la autenticación, cifrados SSL/TLS fuertes, TLS 1.3, directivas de limitación de velocidad y reescritura. Con protecciones WAF básicas y avanzadas, Citrix WAF proporciona una protección integral para sus aplicaciones con una facilidad de uso sin igual. Ponerse en marcha es cuestión de minutos. Además, mediante el uso de un modelo de aprendizaje automatizado, denominado creación de perfiles dinámicos, Citrix WAF ahorra a los usuarios un tiempo precioso. Al aprender automáticamente cómo funciona una aplicación protegida, Citrix WAF se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. Citrix WAF contribuye al cumplimiento de todos los principales organismos y normas regulatorios, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil ponerse en marcha rápidamente. Con el escalado automático, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso a medida que aumenta el tráfico.

Estrategia de implementación de firewall de aplicaciones web

El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y aquellos para los que se puede omitir la inspección de seguridad de manera segura. Esto ayuda a los usuarios a crear una configuración óptima y a diseñar directivas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, es posible que los usuarios deseen configurar una directiva para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra directiva para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden usar varias directivas y perfiles para proteger diferentes contenidos de la misma aplicación.

El siguiente paso es hacer una línea base de la implementación. Comience por crear un servidor virtual y ejecute tráfico de prueba a través de él para tener una idea de la velocidad y la cantidad de tráfico que fluye a través del sistema del usuario.

A continuación, implemente el Web Application Firewall. Utilice Citrix ADM y Web Application Firewall StyleBook para configurar Web Application Firewall. Consulte la sección StyleBook que aparece a continuación en esta guía para obtener más información.

Después de implementar y configurar Web Application Firewall con el StyleBook de Web Application Firewall, un siguiente paso útil sería implementar Citrix ADC WAF y OWASP Top 10.

Por último, tres de las protecciones del firewall de aplicaciones web son especialmente eficaces contra los tipos comunes de ataques web y, por lo tanto, se utilizan con más frecuencia que cualquiera de las otras. Por lo tanto, deben implementarse en la implementación inicial. Se trata de:

  • Scripting HTML entre sitios. Examina las solicitudes y respuestas de scripts que intentan acceder o modificar el contenido de un sitio web diferente al que se encuentra en el que se encuentra el script. Cuando esta comprobación encuentra un script de este tipo, lo hace inofensivo antes de reenviar la solicitud o respuesta a su destino, o bloquea la conexión.

  • Inyección HTML SQL. Examina las solicitudes que contienen datos de campos de formulario para intentar inyectar comandos SQL en una base de datos SQL. Cuando esta comprobación detecta código SQL inyectado, bloquea la solicitud o hace que el código SQL inyectado sea inofensivo antes de reenviar la solicitud al servidor web.

Nota:

Si se aplican las dos condiciones siguientes a la configuración de usuario, los usuarios deben asegurarse de que el Web Application Firewall esté configurado correctamente:

  • Si los usuarios habilitan la comprobación de scripting entre sitios HTML o la comprobación de inyección HTML SQL (o ambas), y

  • Los sitios web protegidos por el usuario aceptan la carga de archivos o contienen formularios web que pueden contener grandes datos del cuerpo POST.

Para obtener más información sobre la configuración de Web Application Firewall para gestionar este caso, consulte Configuración del firewall de aplicaciones: configuración del Web App Firewall.

  • Desbordamientode Examina las solicitudes para detectar intentos de provocar un desbordamiento de búfer en el servidor web.

Configuración del firewall de aplicaciones web (WAF)

Los siguientes pasos suponen que el WAF ya está habilitado y funciona correctamente.

Citrix recomienda que los usuarios configuren WAF mediante el StyleBook de Web Application Firewall. La mayoría de los usuarios consideran que es el método más fácil de configurar Web Application Firewall y está diseñado para evitar errores. Tanto la GUI como la interfaz de línea de comandos están pensados para usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.

Inyección SQL

La comprobación de inyección SQL HTML de Application Firewall proporciona defensas especiales contra la inyección de código SQL no autorizado que podría dañar la seguridad de la aplicación del usuario. Citrix Web Application Firewall examina la carga útil de la solicitud en busca de código SQL inyectado en tres ubicaciones: 1) cuerpo POST, 2) encabezados y 3) cookies.

Un conjunto predeterminado de palabras clave y caracteres especiales proporciona palabras clave conocidas y caracteres especiales que se utilizan comúnmente para lanzar ataques SQL. Los usuarios también pueden agregar nuevos patrones y modificar el conjunto predeterminado para personalizar la inspección de comprobación SQL.

Hay varios parámetros que se pueden configurar para el procesamiento de inyección SQL. Los usuarios pueden comprobar los caracteres comodín de SQL. Los usuarios pueden cambiar el tipo de inyección SQL y seleccionar una de las 4 opciones (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) para indicar cómo evaluar las palabras clave SQL y los caracteres especiales de SQL al procesar la carga útil. Elparámetro Manejo de comentarios SQLofrece a los usuarios la opción de especificar el tipo de comentarios que deben inspeccionarse o eximirse durante la detección de Inyección SQL.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje puede ofrecer recomendaciones para configurar reglas de relajación.

Están disponibles las siguientes opciones para configurar una protección de inyección SQL optimizada para la aplicación de usuario:

Bloquear: Si los usuarios habilitan block, la acción de bloqueo solo se activa si la entrada coincide con la especificación del tipo de inyección SQL. Por ejemplo, si SQLSplCharANDKeyword está configurado como el tipo de inyección SQL, una solicitud no se bloquea si no contiene palabras clave, incluso si se detectan caracteres especiales de SQL en la entrada. Esta solicitud se bloquea si el tipo de inyección SQL se establece en SQLSplChar o SQLSplCharORKeyword.

Registro: Si los usuarios habilitan la función de registro, la comprobación de inyección SQL genera mensajes de registro que indican las acciones que lleva a cabo. Si block se inhabilita, se genera un mensaje de registro independiente para cada campo de entrada en el que se haya detectado la infracción de SQL. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera 1 mensaje de registro por solicitud para la operación de transformación, incluso cuando los caracteres especiales de SQL se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si se bloquean las respuestas a las solicitudes legítimas. Un gran aumento en la cantidad de mensajes de registro puede indicar intentos de lanzar un ataque.

Estadísticas: Si está habilitada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está siendo atacada. Si se bloquean las solicitudes legítimas, es posible que los usuarios tengan que volver a visitar la configuración para ver si necesitan configurar nuevas reglas de relajación o modificar las existentes.

Aprendizaje: Si los usuarios no están seguros de qué reglas de relajación de SQL podrían ser las más adecuadas para sus aplicaciones, pueden usar la función de aprendizaje para generar recomendaciones basadas en los datos aprendidos. El motor de aprendizaje Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje de SQL en función de los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, es posible que los usuarios deseen habilitar la opción de aprendizaje durante un breve período de tiempo para obtener una muestra representativa de las reglas y, a continuación, implementar las reglas e inhabilitar el aprendizaje.

Transformar caracteres especiales de SQL: el Web Application Firewall considera tres caracteres, comillas simples (‘), barra invertida () y punto y coma (;) como caracteres especiales para el procesamiento de la comprobación de seguridad de SQL. La función Transformación SQL modifica el código de inyección SQL en una solicitud HTML para garantizar que la solicitud se convierta en inofensiva. La solicitud HTML modificada se envía al servidor. Todas las reglas de transformación predeterminadas se especifican en el archivo /netscaler/default_custom_settings.xml.

  • La operación de transformación hace que el código SQL esté inactivo al realizar los siguientes cambios en la solicitud:

  • Comilla recta simple (‘) a comilla recta doble (“).

  • Barra invertida () a barra invertida doble ().

  • El punto y coma (;) se elimina por completo.

Estos tres caracteres (cadenas especiales) son necesarios para emitir comandos a un servidor SQL. A menos que un comando SQL vaya precedido de una cadena especial, la mayoría de los servidores SQL ignoran ese comando. Por lo tanto, los cambios que realiza el Web Application Firewall cuando la transformación está habilitada evitan que un atacante inyecte SQL activo. Una vez realizados estos cambios, la solicitud se puede reenviar de forma segura al sitio web protegido por el usuario. Cuando los formularios web en el sitio web protegido por el usuario pueden contener legítimamente cadenas especiales de SQL, pero los formularios web no dependen de las cadenas especiales para funcionar correctamente, los usuarios pueden inhabilitar el bloqueo y habilitar la transformación para evitar el bloqueo de datos legítimos de formularios web sin reducir la protección que ofrece la Web Application Firewall proporciona a los usuarios sitios web protegidos.

La operación de transformación funciona independientemente del valor Tipo de inyección SQL. Si la transformación está habilitada y el tipo de inyección SQL se especifica como palabra clave SQL, los caracteres especiales de SQL se transforman incluso si la solicitud no contiene ninguna palabra clave.

Sugerencia:

Los usuarios normalmente habilitan la transformación o el bloqueo, pero no ambos. Si la acción de bloqueo está habilitada, tiene prioridad sobre la acción de transformación. Si los usuarios tienen habilitado el bloqueo, habilitar la transformación es redundante.

Buscar caracteres comodín SQL: los caracteres comodín se pueden utilizar para ampliar las selecciones de una instrucción SQL (SQL-SELECT). Estos operadores comodín se pueden usar con los operadoresLIKEy NOTLIKE para comparar un valor con valores similares. Los caracteres de porcentaje (%) y subrayado (_) se utilizan con frecuencia como comodines. El signo de porcentaje es análogo al carácter comodín de asterisco (*) utilizado con MS-DOS y para hacer coincidir cero, uno o varios caracteres en un campo. El guión bajo es similar al signo de interrogación de MS-DOS (?) carácter comodín. Coincide con un solo número o carácter en una expresión.

Por ejemplo, los usuarios pueden usar la siguiente consulta para realizar una búsqueda de cadenas para encontrar todos los clientes cuyos nombres contengan el carácter D.

SELECCIONE * del nombre WHERE del cliente como “%D%”:

El siguiente ejemplo combina los operadores para encontrar cualquier valor salarial que tenga 0 en segundo y tercer lugar.

SELECCIONE * del cliente WHERE salario como ‘_ 00% ‘:

Diferentes proveedores de DBMS han ampliado los caracteres comodín agregando operadores adicionales. Citrix Web Application Firewall puede proteger contra los ataques que se lanzan mediante la inserción de estos caracteres comodín. Los 5 caracteres comodín predeterminados son porcentaje (%), guión bajo (_), intercalación (^), corchete de apertura ([) y corchete de cierre (]). Esta protección se aplica tanto a perfiles HTML como XML.

Los caracteres comodín predeterminados son una lista de literales especificados en*Firmas predeterminadas:

  • <wildchar type=” LITERAL”>%</wildchar>

  • <wildchar type=”LITERAL”]>_</wildchar>

  • <wildchar type=”LITERAL”>^</wildchar>

  • <wildchar type=”LITERAL”>[</wildchar>

  • <wildchar type=”LITERAL”>]</wildchar>

Los caracteres comodín en un ataque pueden ser PCRE, como [^A-F]. El Web Application Firewall también admite comodines PCRE, pero los caracteres comodín literales que se muestran aquí son suficientes para bloquear la mayoría de los ataques.

Nota:

La comprobación de caracteres comodín SQL es diferente de la comprobación de caracteres especiales SQL. Esta opción debe usarse con precaución para evitar falsos positivos.

Solicitud de comprobación que contiene el tipo de inyección de SQL: el Web Application Firewall ofrece 4 opciones para implementar el nivel de rigurosidad deseado para la inspección de inyección de SQL, en función de las necesidades individuales de la aplicación. La solicitud se compara con la especificación del tipo de inyección para detectar infracciones de SQL. Las 4 opciones de tipo de inyección SQL son:

  • Carácter especial y palabra clave de SQL: deben estar presentes tanto una palabra clave SQL como un carácter especial de SQL en la entrada para desencadenar una infracción de SQL. Esta configuración menos restrictiva también es la configuración predeterminada.

  • Carácter especial de SQL: debe haber al menos uno de los caracteres especiales en la entrada para desencadenar una infracción de SQL.

  • Palabra clave SQL: al menos una de las palabras clave SQL especificadas debe estar presente en la entrada para desencadenar una infracción de SQL. No seleccione esta opción sin la debida consideración. Para evitar falsos positivos, asegúrese de que no se espera ninguna de las palabras clave en las entradas.

  • Character especial o palabra clave de SQL: La palabra clave o la cadena de caracteres especial deben estar presentes en la entrada para desencadenar la infracción de comprobación de seguridad.

Sugerencia:

Si los usuarios configuran Web Application Firewall para comprobar si hay entradas que contengan un carácter especial de SQL, Web Application Firewall omite los campos de formulario web que no contengan ningún carácter especial. Dado que la mayoría de los servidores SQL no procesan comandos SQL que no estén precedidos por un carácter especial, habilitar esta opción puede reducir significativamente la carga en el Web Application Firewall y acelerar el procesamiento sin poner en riesgo los sitios web protegidos por el usuario.

Gestión de comentarios SQL: De forma predeterminada, Web Application Firewall comprueba todos los comentarios SQL en busca de comandos SQL inyectados. Sin embargo, muchos servidores SQL ignoran cualquier cosa en un comentario, incluso si van precedidos de un carácter especial de SQL. Para un procesamiento más rápido, si el servidor SQL ignora los comentarios, puede configurar Web Application Firewall para omitir los comentarios al examinar las solicitudes de SQL inyectado. Las opciones de manejo de comentarios SQL son:

  • ANSI: Omita los comentarios SQL en formato ANSI, que normalmente utilizan las bases de datos SQL basadas en UNIX. Por ejemplo:

    • /— (Dos guiones) - Este es un comentario que comienza con dos guiones y termina con el final de la línea.

    • {}: Tirantes (Las llaves encierran el comentario. El {precede al comentario y el} lo sigue. Las llaves pueden delimitar los comentarios de una o varias líneas, pero los comentarios no se pueden anidar)

    • /**/: comentarios estilo C (no permite comentarios anidados). Tenga en cuenta /*! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/

    • MySQL Server admite algunas variantes de comentarios de estilo C. Permiten a los usuarios escribir código que incluya extensiones de MySQL, pero que siga siendo portátil, mediante comentarios de la siguiente forma: [/*! Código específico de MySQL [*/]

    • .#: Comentarios de MySQL: Este es un comentario que comienza con el carácter # y termina con el final de la línea

  • Anidado: Omita los comentarios SQL anidados, que normalmente usa Microsoft SQL Server. Por ejemplo; — (Dos guiones) y/**/(Permite comentarios anidados)

  • ANSI/anidado: Omita los comentarios que se adhieren a los estándares de comentarios ANSI y SQL anidado. Los comentarios que coincidan solo con el estándar ANSI, o solo con el estándar anidado, aún se comprueban en busca de SQL inyectado.

  • Comprobar todos los comentarios: Compruebe toda la solicitud de SQL inyectado sin omitir nada. Esta es la opción predeterminada.

Sugerencia:

En la mayoría de los casos, los usuarios no deben elegir la opción anidada o ANSI/anidada a menos que su base de datos back-end se ejecute en Microsoft SQL Server. La mayoría de los otros tipos de software de SQL Server no reconocen los comentarios anidados. Si los comentarios anidados aparecen en una solicitud dirigida a otro tipo de servidor SQL, pueden indicar un intento de violar la seguridad en ese servidor.

Comprobar encabezados de solicitud: Habilite esta opción si, además de examinar la entrada en los campos del formulario, los usuarios desean examinar los encabezados de solicitud para detectar ataques de inyección HTML SQL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en el panelConfiguración avanzada -> Configuracióndeperfildel perfil de Web Application Firewall.

Nota:

Si los usuarios habilitan el indicador de encabezado Check Request, es posible que tengan que configurar una regla de relajación para el encabezadoUser-Agent. La presencia de la palabra clave SQLlikey un carácter especial de SQL y punto y coma (;) puede provocar falsos positivos y bloquear las solicitudes que contienen este encabezado. Advertencia: Si los usuarios habilitan tanto la verificación como la transformación del encabezado de la solicitud, también se transformarán los caracteres especiales de SQL que se encuentren Los encabezados Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect y User-Agent normalmente contienen punto y coma (;). La activación simultánea de la verificación y la transformación de encabezados de solicitud puede provocar errores.

InspectQueryContentTypes: configure esta opción si los usuarios desean examinar la parte de consulta de solicitud para detectar ataques de inyección SQL para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en el panelConfiguración avanzada->Configuración del perfilde Firewall de aplicaciones.

Scripting entre sitios

La comprobación de scripts de sitios HTML (scripts de sitios) examina tanto los encabezados como los cuerpos POST de las solicitudes de los usuarios para detectar posibles ataques de scripts de sitios. Si encuentra un script de sitios, modifica (transforma) la solicitud para que el ataque sea inofensivo o bloquea la solicitud.

Nota:

La comprobación de scripts de sitios HTML (scripts de sitios) solo funciona para el tipo de contenido, la longitud del contenido, etc. No funciona para las cookie. Asegúrese también de tener habilitada la opción “checkRequestHeaders” en el perfil de Web Application Firewall del usuario.

Para evitar el uso indebido de los scripts en los sitios web protegidos por el usuario para violar la seguridad de los sitios web de los usuarios, la comprobación HTML Cross-Site Scripting bloquea los scripts que infringen la misma regla de origen, que establece que los scripts no deben acceder ni modificar el contenido de ningún servidor que no sea el servidor en el que se encuentran. Cualquier script que infrinja la misma regla de origen se denomina scripting entre sitios y la práctica de utilizar scripts para acceder o modificar el contenido de otro servidor se denomina scripting entre sitios. La razón por la que los scripts de sitios son un problema de seguridad es que un servidor web que permite el scripting entre sitios puede ser atacado con un script que no esté en ese servidor web, sino en un servidor web diferente, como uno que sea propiedad y esté controlado por el atacante.

Desafortunadamente, muchas empresas tienen una gran base instalada de contenido web mejorado con JavaScript que infringe la misma regla de origen. Si los usuarios habilitan la comprobación de scripting entre sitios HTML en un sitio de este tipo, tienen que generar las excepciones adecuadas para que la comprobación no bloquee la actividad legítima.

El Web Application Firewall ofrece varias opciones de acción para implementar la protección de scripts entre sitios HTML. Además de las accionesBloquear,Registrar,EstadísticasyAprendizaje, los usuarios también tienen la opción detransformar scripts entre sitiospara hacer que un ataque sea inofensivo mediante la entidad que codifica las etiquetas de script en la solicitud enviada. Los usuarios pueden configurar Comprobar URL completas para el parámetro de scripting entre sitios para especificar si desean inspeccionar no solo los parámetros de consulta, sino toda la URL para detectar un ataque de scripting entre sitios. Los usuarios pueden configurar el parámetro InspectQueryContentTypespara inspeccionar la parte de consulta de solicitud en busca de un ataque de scripting entre sitios para los tipos de contenido específicos.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje de Web Application Firewall puede ofrecer recomendaciones para configurar reglas de relajación.

Están disponibles las siguientes opciones para configurar una protección optimizada de scripts entre sitios HTML para la aplicación de usuario:

  • Bloquear: Si los usuarios habilitan block, la acción de bloqueo se activa si se detectan las etiquetas de scripting entre sitios en la solicitud.

  • Registro: Si los usuarios habilitan la función de registro, la comprobación HTML Cross-Site Scripting genera mensajes de registro que indican las acciones que lleva a cabo. Si block se inhabilita, se genera un mensaje de registro independiente para cada campo de encabezado o formulario en el que se haya detectado la infracción de scripting entre sitios. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera 1 mensaje de registro por solicitud para la operación de transformación, incluso cuando las etiquetas de scripts de sitios se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si se bloquean las respuestas a las solicitudes legítimas. Un gran aumento en la cantidad de mensajes de registro puede indicar intentos de lanzar un ataque.

  • Estadísticas: Si está habilitada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está siendo atacada. Si se bloquean las solicitudes legítimas, es posible que los usuarios tengan que volver a visitar la configuración para ver si deben configurar nuevas reglas de relajación o modificar las existentes.

  • Aprender: Si los usuarios no están seguros de qué reglas de relajación podrían ser las más adecuadas para su aplicación, pueden usar la función de aprendizaje para generar recomendaciones de reglas de scripts entre sitios HTML basadas en los datos aprendidos. El motor de aprendizaje Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, es posible que los usuarios deseen habilitar la opción de aprendizaje durante un breve período de tiempo para obtener una muestra representativa de las reglas y, a continuación, implementar las reglas e inhabilitar el aprendizaje.

  • Transformar scripting entre sitios: Si se habilita, Web Application Firewall realiza los siguientes cambios en las solicitudes que coinciden con la comprobación de scripting entre sitios HTML:

    • Corchete angular izquierdo (<) a equivalente de entidad de caracteres HTML (<)

    • Corchete angular derecho (>) a equivalente de entidad de caracteres HTML (>)

Esto garantiza que los exploradores no interpreten etiquetas html no seguras, como<script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.

  • Comprobar URL completas para detectar scripting entre sitios: Si se habilita la comprobación de URL completas, Web Application Firewall examina las URL completas en busca de ataques de scripting entre sitios HTML en lugar de comprobar solo las partes de consulta de las URL.

  • Comprobar encabezados de solicitud: Si la comprobación del encabezado de solicitud está habilitada, Web Application Firewall examina los encabezados de las solicitudes de ataques de scripting entre sitios HTML, en lugar de solo las URL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en la ficha Configuración del perfil de Web Application Firewall.

  • InspectQueryContentTypes: Si está configurado Solicitar inspección de consultas, Application Firewall examina la consulta de solicitudes de ataques de scripting entre sitios para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en la ficha Configuración del perfil de Application Firewall.

Importante:

Como parte de los cambios de streaming, ha cambiado el procesamiento de Web Application Firewall de las etiquetas de scripting entre sitios. En versiones anteriores, la presencia de corchetes abiertos (<), or close bracket (>) o corchetes abiertos y cerrados (<>) se marcaba como una infracción de scripting entre sitios. El comportamiento ha cambiado en las compilaciones que incluyen soporte para la transmisión en el lado de la solicitud. Solo el carácter de corchete cerrado (>) ya no se considera un ataque. Las solicitudes se bloquean incluso cuando hay un carácter de corchete abierto (<) y se consideran un ataque. El ataque de scripts de sitios se marca.

Comprobación de desbordamiento de búfer

La comprobación de desbordamiento de búfer detecta los intentos de provocar un desbordamiento de búfer en el servidor web. Si el Web Application Firewall detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede provocar un desbordamiento de búfer.

La comprobación de desbordamiento de búfer evita ataques contra software de servidor web o sistema operativo inseguro que puede bloquearse o comportarse de forma impredecible cuando recibe una cadena de datos mayor de lo que puede manejar. Las técnicas de programación adecuadas evitan los desbordamientos de búfer mediante la comprobación de los datos entrantes y el rechazo o truncamiento de cadenas excesivas. Muchos programas, sin embargo, no comprueban todos los datos entrantes y, por lo tanto, son vulnerables a los desbordamientos de búfer. Este problema afecta especialmente a las versiones anteriores del software del servidor web y los sistemas operativos, muchos de los cuales todavía están en uso.

La comprobación de seguridad de desbordamiento de búfer permite a los usuarios configurar las accionesBloquear,RegistraryEstadísticas. Además, los usuarios también pueden configurar los siguientes parámetros:

  • Longitud máxima de URL. La longitud máxima que permite el Web Application Firewall en una URL solicitada. Las solicitudes con URL más largas están bloqueadas.Valores posibles: 0—65535.Predeterminado: 1024

  • Longitud máxima de las cookies. La longitud máxima que el Web Application Firewall permite para todas las cookies de una solicitud. Las solicitudes con cookies más largas desencadenan las infracciones.Valores posibles: 0—65535.Predeterminado: 4096

  • Longitud máxima del encabezado. La longitud máxima que el Web Application Firewall permite para los encabezados HTTP. Las solicitudes con cabeceras más largas están bloqueadas.Valores posibles: 0—65535.Predeterminado: 4096

  • Longitud de cadena de consulta. Longitud máxima permitida para una cadena de consulta en una solicitud entrante. Las solicitudes con consultas más largas están bloqueadas. Valores posibles: 0—65535. Predeterminado: 1024

  • Longitud total de la solicitud. Longitud máxima de solicitud permitida para una solicitud entrante. Se bloquean las solicitudes de mayor duración. Valores posibles: 0—65535. Predeterminado: 24820

Parches/firmas virtuales

Las firmas proporcionan reglas específicas y configurables para simplificar la tarea de proteger los sitios web de los usuarios contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas nativas o incorporadas preconfiguradas ofrece una solución de seguridad fácil de usar, que aplica el poder de la coincidencia de patrones para detectar ataques y proteger contra las vulnerabilidades de las aplicaciones.

Los usuarios pueden crear sus propias firmas o usar firmas en las plantillas integradas. El Web Application Firewall tiene dos plantillas integradas:

  • Firmas predeterminadas: esta plantilla contiene una lista preconfigurada de más de 1300 firmas, además de una lista completa de palabras clave de inyección SQL, cadenas especiales de SQL, reglas de transformación de SQL y caracteres comodín de SQL. También contiene patrones denegados para scripts entre sitios y atributos y etiquetas permitidos para scripts entre sitios. Esta es una plantilla de solo lectura. Los usuarios pueden ver el contenido, pero no pueden agregar, modificar ni eliminar nada de esta plantilla. Para usarlo, los usuarios deben hacer una copia. En su propia copia, los usuarios pueden habilitar las reglas de firma que desean aplicar a su tráfico y especificar las acciones que se llevarán a cabo cuando las reglas de firma coincidan con el tráfico.

Las firmas se derivan de las reglas publicadas por SNORT: SNORT, que es un sistema de prevención de intrusiones de código abierto capaz de realizar análisis de tráfico en tiempo real para detectar varios ataques y sondeos.

  • *Patrones de inyección Xpath: Esta plantilla contiene un conjunto preconfigurado de palabras clave literales y PCRE y cadenas especiales que se utilizan para detectar ataques de inyección XPath (lenguaje de ruta XML).

Firmas en blanco: además de hacer una copia de la plantilla Firmas predeterminadas integrada, los usuarios pueden usar una plantilla de firmas en blanco para crear un objeto de firma. El objeto de firma que los usuarios crean con la opción de firmas en blanco no tiene ninguna regla de firma nativa, pero, al igual que la plantilla *Default, tiene todas las entidades integradas de SQL/XSS.

Firmas de formato externo: El Web Application Firewall también admite firmas de formato externo. Los usuarios pueden importar el informe de análisis de terceros mediante los archivos XSLT que admite Citrix Web Application Firewall. Hay disponible un conjunto de archivos XSLT integrados para herramientas de escaneo seleccionadas para traducir archivos de formato externo al formato nativo (consulte la lista de archivos XSLT integrados más adelante en esta sección).

Si bien las firmas ayudan a los usuarios a reducir el riesgo de vulnerabilidades expuestas y a proteger los servidores web de misión crítica del usuario mientras buscan la eficacia, las firmas tienen un coste de procesamiento de CPU adicional.

Es importante elegir las firmas adecuadas para las necesidades de la aplicación del usuario. Habilite solo las firmas que sean relevantes para la aplicación/entorno del cliente.

Citrix ofrece firmas en más de 10 categorías diferentes en plataformas y sistemas operativos.

image-vpx-aws-appsecurity-deployment-16

La base de datos de reglas de firma es sustancial, ya que la información sobre ataques se ha ido acumulando a lo largo Por lo tanto, es posible que la mayoría de las reglas antiguas no sean relevantes para todas las redes, ya que es posible que los desarrolladores de software ya las hayan parcheado o que los clientes estén ejecutando una versión más reciente del sistema operativo.

Actualizaciones de firmas

Citrix Web Application Firewall admite la actualización automática y manual de firmas. También sugerimos activar la actualización automática de firmas para mantenerse al día.

image-vpx-aws-appsecurity-deployment-17

Estos archivos de firmas están alojados en el entorno de AWS y es importante permitir el acceso saliente a las IP de NetScaler desde los firewalls de red para obtener los archivos de firma más recientes. No hay ningún efecto de actualizar las firmas en el ADC mientras se procesa el tráfico en tiempo real

Análisis de seguridad de aplicaciones

Elpanel de seguridad de aplicacionesproporciona una visión holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave, como infracciones de seguridad, infracciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con los ataques, como ataques syn, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC descubiertas.

Nota:

Para ver las métricas del panel de seguridad de aplicaciones, la información de AppFlow for Security debe estar habilitada en las instancias de Citrix ADC que los usuarios quieren supervisar.

Para ver las métricas de seguridad de una instancia de Citrix ADC en el panel de seguridad de la aplicación

  1. Inicie sesión en Citrix ADM con las credenciales de administrador.

  2. Vaya a Aplicaciones > Panel de seguridad de aplicaciones y seleccione la dirección IP de la instancia en la lista Dispositivos.

Los usuarios pueden profundizar en las discrepancias informadas en el investigador de seguridad de aplicaciones haciendo clic en las burbujas trazadas en el gráfico.

Aprendizaje centralizado en ADM

Citrix Web Application Firewall (WAF) protege las aplicaciones web de los usuarios de ataques maliciosos, como la inyección de SQL y el scripting entre sitios (XSS). Para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada, los usuarios deben supervisar su tráfico en busca de amenazas y datos procesables en tiempo real sobre los ataques. A veces, los ataques denunciados pueden ser falsos positivos y deben proporcionarse como una excepción.

El aprendizaje centralizado en Citrix ADM es un filtro de patrones repetitivos que permite a WAF aprender el comportamiento (las actividades normales) de las aplicaciones web de los usuarios. En función de la supervisión, el motor genera una lista de reglas o excepciones sugeridas para cada comprobación de seguridad aplicada al tráfico HTTP.

Es mucho más fácil implementar reglas de relajación con el motor de aprendizaje que implementarlo manualmente como relajaciones necesarias.

Para implementar la función de aprendizaje, los usuarios deben configurar primero un perfil de Web Application Firewall (conjunto de configuraciones de seguridad) en el dispositivo Citrix ADC del usuario. Para obtener más información, consulte Creación de perfiles de Web Application Firewall: Creación de perfiles de Web App Firewall.

Citrix ADM genera una lista de excepciones (relajación) para cada comprobación de seguridad. Como administrador, los usuarios pueden revisar la lista de excepciones en Citrix ADM y decidir implementarlas o saltarlas.

Con la función de aprendizaje de WAF en Citrix ADM, los usuarios pueden:

  • Configurar un perfil de aprendizaje con las siguientes comprobaciones de seguridad

    • Desbordamiento de búfer

    • Scripts HTML entre sitios

    Nota:

    La limitación de ubicación de scripts entre sitios es solo FormField.

    • Inyección HTML SQL

    Nota:

    Para la comprobación de inyección HTML SQL, los usuarios debenset -sqlinjectionTransformSpecialChars configurar en ON yset -sqlinjectiontype sqlspclcharorkeywords en la instancia de Citrix ADC.

  • Compruebe las reglas de relajación en Citrix ADM y decida tomar las medidas necesarias (implementar u omitir)

  • Recibe las notificaciones por correo electrónico, slack y ServiceNow

  • Utilice el panel para ver los detalles de relajación

Para utilizar el aprendizaje WAF en Citrix ADM:

  1. Configurar el perfil de aprendizaje: Configurar el perfil de aprendizaje

  2. Consulte las reglas de relajación: Consulte las reglas de relajación y las reglas de inactividad

  3. Usar el panel de aprendizaje de WAF: Ver el panel de aprendizaje de WAF

Libro de estilos

Citrix Web Application Firewall es un Firewall de aplicaciones web (WAF) que protege las aplicaciones y los sitios web de ataques conocidos y desconocidos, incluidas todas las amenazas de capa de aplicaciones y de día cero.

Citrix ADM ahora proporciona un StyleBook predeterminado con el que los usuarios pueden crear más cómodamente una configuración de firewall de aplicaciones en las instancias de Citrix ADC.

Implementación de las configuraciones de firewall

La siguiente tarea le ayuda a implementar una configuración de equilibrio de carga junto con el firewall de aplicaciones y la directiva de reputación IP en instancias Citrix ADC en su red empresarial.

Para crear una configuración de LB con la configuración de firewall de aplicaciones

En Citrix ADM, vaya aAplicaciones>Configuraciones>StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para uso del cliente en Citrix

  • ADM. Desplácese hacia abajo y busque HTTP/SSL Load Balancing StyleBook con la directiva de firewall de aplicaciones y la directiva de reputación IP. Los usuarios también pueden buscar StyleBook escribiendo el nombre como lb-appfw. Haga clic enCrear configuración.

El StyleBook se abre como una página de interfaz de usuario en la que los usuarios pueden introducir los valores de todos los parámetros definidos en este StyleBook.

  • Introduzca valores para los siguientes parámetros:

    • Nombre de aplicación equilibrada de carga. Nombre de la configuración de equilibrio de carga con un firewall de aplicaciones para implementarlo en la red del usuario.

    • Cargar la dirección IP virtual de la aplicación equilibrada. Dirección IP virtual en la que la instancia de Citrix ADC recibe solicitudes de cliente.

    • Puerto virtual de la aplicación equilibrada de carga. El puerto TCP que utilizarán los usuarios para acceder a la aplicación con carga equilibrada.

    • Load Balanced App Protocol. Seleccione el protocolo front-end de la lista.

    • Protocolo de servidor de aplicaciones. Seleccione el protocolo del servidor de aplicaciones.

image-vpx-aws-appsecurity-deployment-18

  • Como opción, los usuarios pueden habilitar y configurar losajustes avanzados del equilibrador de carga.

image-vpx-aws-appsecurity-deployment-19

  • De manera opcional, los usuarios también pueden configurar un servidor de autenticación para autenticar el tráfico del servidor virtual de equilibrio de carga.

image-vpx-aws-appsecurity-deployment-20

  • Haga clic en “+” en la sección IPs y puertos del servidor para crear servidores de aplicaciones y los puertos a los que se puede acceder.

image-vpx-aws-appsecurity-deployment-21

  • Los usuarios también pueden crear nombres de FQDN para los servidores de aplicaciones.

image-vpx-aws-appsecurity-deployment-22

  • Los usuarios también pueden especificar los detalles del certificado SSL.

image-vpx-aws-appsecurity-deployment-23

  • Los usuarios también pueden crear monitores en la instancia de Citrix ADC de destino.

image-vpx-aws-appsecurity-deployment-24

  • Para configurar el firewall de aplicaciones en el servidor virtual, habilite Configuración de WAF.

Asegúrese de que la regla de directiva de firewall de aplicaciones sea verdadera si los usuarios desean aplicar la configuración del firewall de aplicaciones a todo el tráfico de esa VIP. De lo contrario, especifique la regla de directiva Citrix ADC para seleccionar un subconjunto de solicitudes al que aplicar la configuración del firewall de aplicaciones. A continuación, seleccione el tipo de perfil que debe aplicarse: HTML o XML.

image-vpx-aws-appsecurity-deployment-25

  • De manera opcional, los usuarios pueden configurar parámetros detallados del perfil de firewall de aplicaciones activando la casilla de verificación Configuración del perfil de firewall de aplicaciones

  • De manera opcional, si los usuarios desean configurar firmas de firewall de aplicaciones, introduzca el nombre del objeto de firma que se crea en la instancia de Citrix ADC en la que se va a implementar el servidor virtual.

Nota:

Los usuarios no pueden crear objetos de firma con este StyleBook.

  • A continuación, los usuarios también pueden configurar cualquier otra configuración del perfil de firewall de la aplicación, como la configuración de StartURL, la configuración de denegación de URL y otras.

image-vpx-aws-appsecurity-deployment-26

Para obtener más información sobre el firewall de aplicaciones y la configuración de configuración, vea Firewall de aplicaciones.

  • En la secciónTarget Instances, seleccione la instancia de Citrix ADC en la que desea implementar el servidor virtual de equilibrio de carga con el firewall de aplicaciones.

Nota:

Los usuarios también pueden hacer clic en el icono de actualización para agregar instancias de Citrix ADC descubiertas recientemente en Citrix ADM a la lista de instancias disponibles en esta ventana.

  • Los usuarios también pueden habilitar laverificación de reputaciónde IP para identificar la dirección IP que envía solicitudes no deseadas. Los usuarios pueden usar la lista de reputación de IP para rechazar de forma preventiva las solicitudes que provienen de la IP con mala reputación.

image-vpx-aws-appsecurity-deployment-27

Sugerencia:

Citrix recomienda que los usuarios seleccionen Ejecución en seco para comprobar los objetos de configuración que deben crearse en la instancia de destino antes de ejecutar la configuración real en la instancia.

Cuando la configuración se crea correctamente, StyleBook crea el servidor virtual de equilibrio de carga requerido, el servidor de aplicaciones, los servicios, los grupos de servicios, las etiquetas de firewall de aplicaciones, las directivas de firewall de aplicaciones y los vincula al servidor virtual de equilibrio de carga.

La siguiente ilustración muestra los objetos creados en cada servidor:

image-vpx-aws-appsecurity-deployment-28

  • Para ver el ConfigPack creado en Citrix ADM, vaya a Aplicaciones > Configuraciones.

image-vpx-aws-appsecurity-deployment-29

Análisis de Security Insight

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, los usuarios necesitan visibilidad de la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de los usuarios y tomar medidas correctivas para proteger las aplicaciones de los

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que ofrece a los usuarios una visibilidad total del entorno de amenazas asociado con las aplicaciones de los usuarios. La información de seguridad se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema ADC y Firewall de aplicaciones del usuario. Los informes incluyen la siguiente información para cada aplicación:

  • Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la gravedad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría del ataque, la ubicación y los detalles del cliente, proporciona a los usuarios información sobre los ataques a la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.

  • Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que los usuarios han configurado las instancias de ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

El índice de seguridad tiene en cuenta tanto la configuración del firewall de la aplicación como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen comprobaciones rigurosas del firewall de aplicaciones pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el usuario nsroot, a las aplicaciones se les asigna un valor bajo de índice de seguridad.

  • Información procesable. Información que los usuarios necesitan para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, los usuarios pueden revisar la información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de la aplicación y otras funciones de seguridad, la velocidad a la que se atacan las aplicaciones, etc.

Configuración de Security Insight

Nota:

Security Insight solo se admite en instancias ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar información sobre seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones y, a continuación, vincule la directiva de firewall de aplicaciones globalmente.

A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. Cuando los usuarios configuran el recopilador, deben especificar la dirección IP del agente de servicio Citrix ADM en el que quieren supervisar los informes.

Configurar Security Insight en una instancia de ADC

  • Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

add appfw profile <name> [-defaults ( basic o advanced )]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

bind appfw global <policyName> <priority>

O bien:

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

Muestra:


add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->
  • Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

add appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED o DISABLED )]

add appflow action <name> -collectors <string>

add appflow policy <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

O bien:

bind lb vserver <vserver> -policyName <policy> -priority <priority>

Muestra:


add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Habilitar Security Insight desde Citrix ADM

  1. Vaya aRedes>Instancias>Citrix ADCy seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la listaSeleccionar acción, seleccioneConfigurar análisis.

  3. En la ventanaConfigurar análisis en servidor virtual:

    • Seleccione los servidores virtuales que desea habilitar la información de seguridad y haga clic enHabilitar análisis.

    Aparece la ventanaHabilitar análisis.

    • SeleccioneSecurity Insight

    • EnOpciones avanzadas, seleccioneLogstreamoIPFIXcomo Modo de transporte

    • La expresión es verdadera por defecto

    • Haga clic enAceptar

image-vpx-aws-appsecurity-deployment-30

Nota:

  • Si los usuarios seleccionan servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y, a continuación, habilita el análisis.

  • Para las particiones de administración, solo se admite Web Insight

Después de que los usuarioshagan clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

image-vpx-aws-appsecurity-deployment-31

Nota:

Cuando los usuarios crean un grupo, pueden asignar funciones al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. Los análisis de Citrix ADM ahora admiten la autorización basada en direcciones IP virtuales. Los usuarios de los clientes ahora pueden ver los informes de todos los Insights solo para las aplicaciones (servidores virtuales) para las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos en Citrix ADM: Configurar grupos en Citrix ADM.

Umbrales

Los usuarios pueden establecer y ver los umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral

  • Vaya aSistema>Configuración de Analytics>Umbralesy seleccioneAgregar.

  • Seleccione el tipo de tráfico comoSeguridaden el campo Tipo de tráfico e introduzca la información necesaria en los demás campos apropiados, como Nombre, Duración y entidad.

  • En la secciónRegla, utilice los campos Métrica, Comparador y Valor para establecer un umbral. Por ejemplo, “Índice de amenazas” “>” “5”

  • Haga clic en Create.

Para ver los incumplimientos de umbral

  • Vaya aAnalytics>Security Insight>Dispositivosy seleccione la instancia de ADC.

  • En la secciónAplicación, los usuarios pueden ver el número de infracciones de umbral que se han producido para cada servidor virtual en la columna Incumplimiento de umbral.

Caso de uso de Security Insight

Los siguientes casos de uso describen cómo los usuarios pueden utilizar los conocimientos de seguridad para evaluar la exposición a amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, los usuarios tienen un conjunto de aplicaciones que están expuestas a ataques y han configurado Citrix ADM para supervisar el entorno de amenazas. Los usuarios deben revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber experimentado, para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de información sobre seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones del usuario durante un período de tiempo elegido por el usuario y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Por ejemplo, los usuarios pueden estar supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y es posible que los usuarios deseen revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya aAnalytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.

image-vpx-aws-appsecurity-deployment-32

Para ver información de un período de tiempo diferente, seleccione un período de tiempo en la lista situada en la parte superior izquierda.

image-vpx-aws-appsecurity-deployment-33

Para ver un resumen de una instancia de ADC diferente, enDispositivos, haga clic en la dirección IP de la instancia de ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Después de revisar un resumen del entorno de amenazas en el panel de Security Insight para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo, los usuarios desean determinar su exposición a las amenazas antes de decidir cómo protegerlas. Es decir, los usuarios quieren determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Los usuarios pueden determinar la exposición a amenazas de una aplicación consultando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y los usuarios desean saber qué factores contribuyen a este alto índice de amenazas.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel deSecurity Insight, haga clic enOutlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

image-vpx-aws-appsecurity-deployment-34

Haga clic en Índice de amenazas > Infracciones de comprobación de seguridad y revise la información de infracción que aparece.

image-vpx-aws-appsecurity-deployment-35

Haga clic en Infracciones de firmas y revise la información de infracción que aparece.

image-vpx-aws-appsecurity-deployment-36

Determinar las configuraciones de seguridad existentes y faltantes para una aplicación

Después de revisar la exposición a amenazas de una aplicación, los usuarios desean determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Los usuarios pueden obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona a los usuarios información sobre la eficacia de las siguientes configuraciones de seguridad:

  • Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.

  • Seguridad del sistema Citrix ADM. Muestra cuántos parámetros de seguridad del sistema no están configurados.

image-vpx-aws-appsecurity-deployment-37

En el caso de uso anterior, los usuarios revisaron la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, los usuarios quieren saber qué configuraciones de seguridad están implementadas para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En elpanel de Security Insight, haga clic enOutlooky, a continuación, en la fichaÍndice de seguridad. Revise la información proporcionada en el áreaResumen del índice de seguridad.

image-vpx-aws-appsecurity-deployment-38

En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información sobre la comprobación de seguridad y la infracción de firma en los gráficos circulares.

image-vpx-aws-appsecurity-deployment-39

Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.

image-vpx-aws-appsecurity-deployment-40

Haga clic en el nodoSeguridad del sistema Citrix ADMy revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son aquellas que tienen un alto índice de amenazas y un bajo índice de seguridad.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que los usuarios tengan que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

image-vpx-aws-appsecurity-deployment-41

Determinar el número de ataques en un período de tiempo determinado

Es posible que los usuarios deseen determinar cuántos ataques se produjeron en una aplicación determinada en un momento dado o estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de aplicaciones, haga clic en el número de infracciones. La página Total de Infracciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.

image-vpx-aws-appsecurity-deployment-42

La tablaResumen de aplicacionesproporciona detalles sobre los ataques. Algunos de ellos son los siguientes:

  • Tiempo de ataque

  • Dirección IP del cliente desde el que se produjo el ataque

  • Gravedad

  • Categoría de infracción

  • URL desde la que se originó el ataque y otros detalles.

image-vpx-aws-appsecurity-deployment-43

Si bien los usuarios siempre pueden ver la hora del ataque en un informe por hora como se ve en la imagen, ahora pueden ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si los usuarios seleccionan “1 día” en la lista de períodos de tiempo, el informe de Security Insight muestra todos los ataques que se han agregado y el tiempo de ataque se muestra en un intervalo de una hora. Si los usuarios eligen “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.

image-vpx-aws-appsecurity-deployment-44

Obtener información detallada sobre infracciones de seguridad

Es posible que los usuarios deseen ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia de ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, es posible que los usuarios deseen determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.

En elpanel de Security Insight, haga clic enLync > Infracciones totales. En la tabla, haga clic en el icono de filtro del encabezado de la columnaAcción realizaday, a continuación, seleccioneBloqueado.

image-vpx-aws-appsecurity-deployment-45

Para obtener información sobre los recursos que se solicitaron, consulte la columnaURL. Para obtener información sobre los orígenes de los ataques, consulte la columnaIP del cliente.

Ver detalles de expresiones de registro

Las instancias de Citrix ADC utilizan expresiones de registro configuradas con el perfil de Application Firewall para tomar medidas ante los ataques a una aplicación en la empresa usuaria. En Security Insight, los usuarios pueden ver los valores devueltos para las expresiones de registro utilizadas por la instancia de ADC. Estos valores incluyen, encabezado de solicitud, cuerpo de solicitud, etc. Además de los valores de la expresión de registro, los usuarios también pueden ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Application Firewall que la instancia de ADC utilizó para actuar en el ataque.

Requisitos previos

Asegúrese de que los usuarios:

  • Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

  • Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:

    • Vaya aAnalytics > Configuracióny haga clic enHabilitar funciones para Analytics.

    • En la página Habilitar funciones para Analytics, seleccioneHabilitar Security Insight en la sección Configuración de Security Insight basada en expresiones de registroy haga clic enAceptar.

image-vpx-aws-appsecurity-deployment-46

Por ejemplo, es posible que los usuarios deseen ver los valores de la expresión de registro devuelta por la instancia de ADC para la acción que llevó a cabo en un ataque a Microsoft Lync en la empresa usuaria.

En el panel de Security Insight, vaya aLync > Infracciones totales. En la tabla Resumen de aplicaciones, haga clic en la URL para ver todos los detalles de la infracción en la páginaInformación de la infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.

image-vpx-aws-appsecurity-deployment-47

Determinar el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad se producen después de que los usuarios implementan la configuración de seguridad en una instancia de ADC, pero es posible que los usuarios deseen evaluar la eficacia de la configuración de seguridad antes de implementarla.

Por ejemplo, es posible que los usuarios deseen evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia de ADC con la dirección IP 10.102.60.27.

En elpanel de Security Insight, enDispositivos, haga clic en la dirección IP de la instancia de ADC que configuraron los usuarios. Los usuarios pueden ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas refleja directamente el número y el tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

image-vpx-aws-appsecurity-deployment-48

Haga clic enSap > Índice de seguridad > SAP_Profiley evalúe la información del índice de seguridad que aparece.

image-vpx-aws-appsecurity-deployment-49

En el resumen del firewall de aplicaciones, los usuarios pueden ver el estado de configuración de los distintos parámetros de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.

image-vpx-aws-appsecurity-deployment-50

Infracciones de seguridad

Ver detalles de infracciones de seguridad de aplicaciones

Las aplicaciones web que están expuestas a Internet se han vuelto drásticamente más vulnerables a los ataques. Citrix ADM permite a los usuarios visualizar detalles de infracciones procesables para proteger las aplicaciones de los ataques. Vaya a Seguridad > Infracciones de seguridad para obtener una solución de panel único para:

  • Acceder a las infracciones de seguridad de la aplicación en función de sus categorías, comoRed, Bot y WAF.

  • Tomar medidas correctivas para proteger las aplicaciones

Para ver las infracciones de seguridad en Citrix ADM, asegúrese de:

  • Los usuarios tienen una licencia premium para la instancia de Citrix ADC (para infracciones de WAF y BOT).

  • Los usuarios han aplicado una licencia en los servidores virtuales de equilibrio de carga o cambio de contenido (para WAF y BOT). Para obtener más información, consulte Administrar licencias en servidores virtuales.

  • Los usuarios habilitan más configuraciones. Para obtener más información, consulte el procedimiento disponible en la sección Configuración de la documentación del producto Citrix: Configuración.

Categorías de infracción**

Citrix ADM permite a los usuarios ver las siguientes infracciones:

RED Bot WAF
HTTP Lento Loris Conexiones excesivas de clientes Transacciones de carga inusualmente alta
Loris lentos DNS Adquisición de cuenta** Transacciones de descarga inusualmente altas
Entrada lenta HTTP Volumen de carga inusualmente alto IP únicas excesivas
Ataque de inundación de NXDomain Tasa de solicitudes inusualmente alta IPs únicas excesivas por geo
Ataque de desincronización HTTP Volumen de descarga inusualmente alto  
Ataque Bleichenbacher    
Ataque SegmentSmack    
Ataque de inundación Syn    

** - Los usuarios deben configurar la opción de apropiación de cuentas en Citrix ADM. Consulte el requisito previo mencionado en Account Takeover: Account Takeover.

Además de estas infracciones, los usuarios también pueden ver las siguientes infracciones de Security Insight y Bot Insight en las categorías WAF y Bot respectivamente:

WAF Bot
Desbordamiento de búfer Crawler
Tipo de contenido Buscador de alimentación
Consistencia de cookies Comprobador de vínculos
Etiquetado de formularios CSRF Márketing
Denegar URL raspador
Consistencia de campos de formulario Creador de captura de pantalla
Formato de campo Buscador
Máximo de cargas Agente de servicio
Encabezado de referencia Monitor de sitio
Comercio seguro Probador de velocidad
Objeto seguro Herramienta
Inyección HTML SQL Sin categoría
URL de inicio Analizador de virus
XSS Analizador de vulnerabilidades
XML DoS Se ha superado la espera de DeviceFP
Formato XML DeviceFP no válido
XML WSI Respuesta Captcha no válida
XML SSL Se han superado los intentos de Captcha
Datos adjuntos XML Respuesta Captcha válida
Error SOAP de XML Cliente Captcha Silenciado
Validación XML Tiempo de espera de Captcha superado
Otros Excedido el límite de tamaño de solicitud
Reputación IP Límite de tasa superado
HTTP DOS Lista de bloqueos (IP, subred, expresión de directiva)
Ventana pequeña TCP Lista de permitidos (IP, subred, expresión de directiva)
Infracción de firma Solicitud de cero píxeles
Tipo de carga de archivo IP de origen
JSON XSS Host
JSON SQL Ubicación geográfica
JSON DOS URL
Inyección de  
Inducir XML de tipo de contenido  
Secuestro de cookies  

Configuración

Los usuarios deben habilitarAdvanced Security Analyticsy establecer laconfiguración de transacciones webenTodospara ver las siguientes infracciones en Citrix ADM:

  • Transacciones de carga inusualmente alta (WAF)

  • Transacciones de descarga inusualmente altas (WAF)

  • IP únicas excesivas (WAF)

  • Adquisición de cuentas (BOT)

Para otras infracciones, asegúrese de queMetrics Collectoresté habilitado. De forma predeterminada,Metrics Collectorestá habilitado en la instancia de Citrix ADC. Para obtener más información, consulte:Configurar Intelligent App Analytics.

Habilitar análisis de seguridad avanzado

  • Vaya aRedes > Instancias > Citrix ADCy seleccione el tipo de instancia. Por ejemplo, MPX.

  • Seleccione la instancia de Citrix ADC y, en la listaSeleccionar acción, seleccioneConfigurar análisis.

  • Seleccione el servidor virtual y haga clic enHabilitar análisis.

  • En la ventanaHabilitar análisis:

    • SeleccionaWeb Insight. Después de que los usuarios seleccionen Web Insight, la opciónAnálisis de seguridad avanzadode solo lectura se habilita automáticamente.

    Nota: La opciónAnálisis de seguridad avanzadasolo se muestra para las instancias de ADC con licencia premium.

    • SeleccioneLogstreamcomo modo de transporte

    • La expresión es verdadera por defecto

    • Haga clic enAceptar

image-vpx-aws-appsecurity-deployment-51

Habilitar la configuración de Transacción web

  • Vaya aAnalytics > Configuración.

Aparece la páginaConfiguración.

  • Haga clic enHabilitar funciones para análisis.

  • EnConfiguración de transacciones web, seleccionaTodo.

image-vpx-aws-appsecurity-deployment-52

  • Haga clic en Aceptar.

Panel de infracciones de seguridad

En el panel de control de infracciones de seguridad, los usuarios pueden ver:

  • Se han producido infracciones totales en todas las instancias y aplicaciones de ADC. Las infracciones totales se muestran en función de la duración de tiempo seleccionada.

image-vpx-aws-appsecurity-deployment-53

  • Total de infracciones en cada categoría.

image-vpx-aws-appsecurity-deployment-54

  • Total de ADC afectados, total de aplicaciones afectadas e infracciones superiores en función del total de incidencias y de las aplicaciones afectadas.

image-vpx-aws-appsecurity-deployment-55

Detalles de infracción

Para cada infracción, Citrix ADM supervisa el comportamiento durante un tiempo específico y detecta infracciones para comportamientos inusuales. Haga clic en cada ficha para ver los detalles de la infracción. Los usuarios pueden ver detalles como:

  • El total de incidencias, último ocurrido y el total de aplicaciones afectadas

  • En Detalles del evento, los usuarios pueden ver:

    • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

    • El gráfico que indica infracciones.

    Arrastre y seleccione en el gráfico que enumera las infracciones para restringir la búsqueda de infracciones.

    image-vpx-aws-appsecurity-deployment-56

    Haga clic enRestablecer zoompara restablecer el resultado del zoom

    • Acciones recomendadasque sugieren a los usuarios solucionar el problema

    • Otros detalles de infracción, como el tiempo de ocurrencia de violencia y el mensaje de detección

Insight del bot

Uso de Bot Insight en Citrix ADM

Una vez que los usuarios configuran la administración de bots en Citrix ADC, deben habilitarBot Insighten los servidores virtuales para ver la información en Citrix ADM.

Para activarBot Insight:

  • Vaya aRedes>Instancias>Citrix ADCy seleccione el tipo de instancia. Por ejemplo, VPX.

  • Seleccione la instancia y, en la listaSeleccionar acción, seleccioneConfigurar análisis.

  • Seleccione el servidor virtual y haga clic enHabilitar análisis.

  • En la ventanaHabilitar análisis:

    • SeleccioneBot Insight

    • EnOpción avanzada, seleccionaLogstream.

    image-vpx-aws-appsecurity-deployment-57

    • Haga clic en Aceptar.

Después de habilitarBot Insight, vaya aAnalytics>Seguridad>Bot Insight.

image-vpx-aws-appsecurity-deployment-58

  1. Lista de tiempos para ver los detalles del bot

  2. Arrastre el control deslizante para seleccionar un intervalo de tiempo específico y haga clic enIrpara mostrar los resultados personalizados.

  3. Total de instancias afectadas por bots

  4. Servidor virtual para la instancia seleccionada con ataques totales de bots

    • Total de bots: indica el total de ataques de bots (incluidas todas las categorías de bots) encontrados en el servidor virtual.

    • Total Human Browsers: indica el total de usuarios humanos que acceden al servidor virtual.

    • Proporción de bots humanos: indica la relación entre los usuarios humanos y los bots que acceden al servidor virtual.

    • Bots de firma,bot de huellas dactilares,bots basados en tasas,bots de reputación de IP,bots de listade permitidos ybots de lista de bloqueo: indica el total de ataques de bots ocurridos según la categoría de bot configurada. Para obtener más información sobre las categorías de bots, consulte:Configuración de técnicas de detección de bots en Citrix ADC.

  5. Haga clic en > para ver los detalles del bot en formato gráfico.

image-vpx-aws-appsecurity-deployment-59

Ver historial de eventos

Los usuarios pueden ver las actualizaciones de la firma del bot en elHistorial de eventoscuando:

  • Se agregan nuevas firmas bot en instancias de Citrix ADC.

  • Las firmas bot existentes se actualizan en las instancias de Citrix ADC.

Puede seleccionar la duración en la página de información del bot para ver el historial de eventos.

image-vpx-aws-appsecurity-deployment-60

El siguiente diagrama muestra cómo se recuperan las firmas de bot de la nube de AWS, se actualizan en Citrix ADC y se ve el resumen de la actualización de firmas en Citrix ADM.

image-vpx-aws-appsecurity-deployment-61

  1. El programador de actualización automática de la firma de bot recupera el archivo de asignación del URI de AWS.

  2. Comprueba las firmas más recientes del archivo de asignación con las firmas existentes en el dispositivo ADC.

  3. Descarga las nuevas firmas de AWS y verifica la integridad de la firma.

  4. Actualiza las firmas de bot existentes con las nuevas firmas del archivo de firma del bot.

  5. Genera una alerta SNMP y envía el resumen de actualización de firmas a Citrix ADM.

Ver bots

Haga clic en el servidor virtual para ver elresumen de la aplicación

image-vpx-aws-appsecurity-deployment-62

  1. Proporciona los detalles del resumen de la aplicación, tales como:

    • RPS promedio: indica el promedio de solicitudes de transacciones de bots por segundo (RPS) recibidas en los servidores virtuales.

    • Bots por gravedad: indica las transacciones de bots más altas en función de la gravedad. La gravedad se clasifica en función deCrítica,Alta,MediayBaja.

      Por ejemplo, si los servidores virtuales tienen 11770 bots de alta gravedad y 1550 bots de gravedad crítica, Citrix ADM muestra 1,55 K críticosenBots por gravedad.

    • Categoría de bot más grande: indica el mayor número de ataques de bot ocurridos en función de la categoría de bots.

      Por ejemplo, si los servidores virtuales tienen 8000 bots en la lista de bloques, 5000 bots permitidos en la lista y 10000 bots con límite de velocidad excedido, Citrix ADM muestraLímite de velocidad excedido de 10 000en lacategoría de bot más grande.

    • Origen geográfico más grande: Indica el mayor número de ataques de bots ocurridos en función de una región.

      Por ejemplo, si los servidores virtuales tienen 5000 ataques de bots en Santa Clara, 7000 ataques de bots en Londres y 9000 ataques de bots en Bangalore, Citrix ADM muestraBangalore 9 K en LargestGeo Source.

    • % promedio de tráfico de bots: indica la proporción de bots humanos.

  2. Muestra la gravedad de los ataques de bots en función de las ubicaciones en la vista de mapa

  3. Muestra los tipos de ataques de bots (buenos, malos y todos)

  4. Muestra el total de ataques de bots junto con las acciones configuradas correspondientes. Por ejemplo, si ha configurado:

    • Intervalo de direcciones IP (192.140.14.9 a 192.140.14.254) como bots de lista de bloqueo y seleccionado Drop como acción para estos intervalos de direcciones IP

    • Rango de IP (192.140.15.4 a 192.140.15.254) como bots de listas de bloqueo y seleccionado para crear un mensaje de registro como acción para estos intervalos de IP

      En este caso, Citrix ADM muestra:

      • Total de bots listados en bloque

      • Total de bots por debajo decaído

      • Total de bots bajo registro

Ver bots CAPTCHA

En las páginas web, los CAPTCHA están diseñados para identificar si el tráfico entrante proviene de un robot humano o automatizado. Para ver las actividades de CAPTCHA en Citrix ADM, los usuarios deben configurar CAPTCHA como una acción de bot para la reputación de IP y las técnicas de detección de huellas digitales del dispositivo en una instancia de Citrix ADC. Para obtener más información, consulte:Configurar la administración de bots.

Las siguientes son las actividades de CAPTCHA que Citrix ADM muestra en Bot insight:

  • Se han superado los intentos de CAPTCHA: indica el número máximo de intentos de CAPTCHA realizados después de errores de inicio de sesión

  • Cliente de Captcha silenciado: indica el número de solicitudes de clientes que se descartan o se redirigen porque estas solicitudes se detectaron anteriormente como bots maliciosos con el desafío de CAPTCHA

  • Humano: denota las entradas de captcha realizadas por los usuarios humanos

  • Respuesta de CAPTCHA no válida: indica el número de respuestas CAPTCHA incorrectas recibidas del bot o humano, cuando Citrix ADC envía un desafío de CAPTCHA

image-vpx-aws-appsecurity-deployment-63

Ver trampas para bots

Para ver las capturas de bot en Citrix ADM, debe configurar la trampa de bots en la instancia de Citrix ADC. Para obtener más información, consulteConfigurar la administración de bots.

image-vpx-aws-appsecurity-deployment-64

Para identificar la trampa de bots, se habilita un script en la página web y este script está oculto para los humanos, pero no para los bots. Citrix ADM identifica e informa de las trampas de bot cuando los bots acceden a este script.

Haga clic en el servidor virtual y seleccioneSolicitud de cero píxeles

image-vpx-aws-appsecurity-deployment-65

Ver detalles del bot

Para obtener más información, haga clic en el tipo de ataque debot en Categoría de bot.

Se muestran los detalles como el tiempo de ataque y el número total de ataques de bot para la categoría captcha seleccionada.

image-vpx-aws-appsecurity-deployment-66

Los usuarios también pueden arrastrar el gráfico de barras para seleccionar el intervalo de tiempo específico que se mostrará con los ataques de bots.

image-vpx-aws-appsecurity-deployment-67

Para obtener información adicional sobre el ataque del robot, haga clic para expandir.

image-vpx-aws-appsecurity-deployment-68

  • IP de la instancia: indica la dirección IP de la instancia de Citrix ADC

  • Total de bots: indica el total de ataques de bots ocurridos durante ese tiempo en particular.

  • URL de solicitud HTTP: indica la URL que está configurada para los informes de captcha

  • Código de país: indica el país en el que se produjo el ataque del bot

  • Región: indica la región en la que se produjo el ataque del bot

  • Nombre de perfil: indica el nombre de perfil que los usuarios proporcionaron durante la configuración.

Búsqueda avanzada

Los usuarios también pueden usar el cuadro de texto de búsqueda y la lista de duración, donde pueden ver los detalles del bot según los requisitos del usuario. Cuando los usuarios hacen clic en el cuadro de búsqueda, el cuadro de búsqueda les muestra la siguiente lista de sugerencias de búsqueda.

  • IP de la instancia: dirección IPde la instancia de Citrix ADC

  • Client-IP: dirección IP del cliente

  • Tipo de bot: tipo de bot como bueno o malo

  • Gravedad: gravedad del ataque del bot

  • Acción tomada: acción tomada después del ataque del bot, como Dejar caer, Sin acción, Redirigir

  • Categoría de bot: categoría del ataque de bot, como lista de bloqueo, lista de permitidos, huella digital, etc. Según una categoría, los usuarios pueden asociarle una acción de bot

  • Detección de bots: tipos de detección de bots (lista de bloqueados, lista de permitidos, etc.) que los usuarios han configurado en la instancia de Citrix ADC

  • Ubicación: región/país en el que se produjo el ataque del bot

  • request-URL: URL que tiene los posibles ataques de bot

Los usuarios también pueden usar operadores en las consultas de búsqueda de usuarios para restringir el enfoque de la búsqueda de usuarios. Por ejemplo, si los usuarios quieren ver todos los bots malos:

  • Haga clic en el cuadro de búsqueda y seleccioneTipo de bot

  • Vuelva a hacer clic en el cuadro de búsqueda y seleccione el operador**=**

  • Vuelva a hacer clic en el cuadro de búsqueda yseleccione

  • Haga clic enBuscarpara ver los resultados

image-vpx-aws-appsecurity-deployment-69

Detalles de infracción del bot

Conexiones excesivas de clientes

Cuando un cliente intenta acceder a la aplicación web, la solicitud de cliente se procesa en el dispositivo Citrix ADC, en lugar de conectarse directamente al servidor. El tráfico web comprende bots y bots pueden realizar varias acciones a un ritmo más rápido que un humano.

Con el indicadorExcesive Client Connections, los usuarios pueden analizar situaciones en las que una aplicación recibe conexiones de cliente inusualmente altas a través de bots.

image-vpx-aws-appsecurity-deployment-70

EnDetalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el total de direcciones IP que realizan la transacción de la aplicación

  • El intervalo de direcciones IP aceptadas que la aplicación puede recibir

Adquisición de cuenta

Nota:

Asegúrese de que los usuarios habiliten las opciones avanzadas de análisis de seguridad y transacciones web. Para obtener más información, consulte Configuración: configuración.

Algunos bots maliciosos pueden robar credenciales de usuario y realizar varios tipos de ciberataques. Estos bots maliciosos se conocen como bots malos. Es fundamental identificar los bots maliciosos y proteger el dispositivo del usuario de cualquier forma de ataque de seguridad avanzado.

Requisito previo

Los usuarios deben configurar los parámetros deapropiación de cuentasen Citrix ADM.

  • Vaya a Analytics > Configuración > Infracciones de seguridad.

  • Haga clic enAgregar

image-vpx-aws-appsecurity-deployment-71

  • En la página Agregar aplicación, especifique los siguientes parámetros:

    • Aplicación: seleccione el servidor virtual de la lista.

    • Método: seleccione el tipo de método HTTP de la lista. Las opciones disponibles sonGET,PUSH,POSTyUPDATE.

    • URL de inicio de sesión y código de respuesta de éxito: especifique la URL de la aplicación web y especifique el código de estado HTTP (por ejemplo, 200) para el que los usuarios quieren que Citrix ADM informe la infracción de apropiación de cuenta por parte de robots maliciosos.

    • Haga clic en Agregar.

image-vpx-aws-appsecurity-deployment-72

Después de que los usuarios configuren los ajustes, mediante el indicadorAccount Takeover, los usuarios pueden analizar si los robots maliciosos intentaron apoderarse de la cuenta de usuario, emitiendo múltiples solicitudes junto con las credenciales.

image-vpx-aws-appsecurity-deployment-73

EnDetalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica la actividad total de inicio de sesión fallida inusual, los inicios de sesión correctos y los inicios de sesión fallidos

  • La mala dirección IP del bot. Haga clic para ver detalles como la hora, la dirección IP, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

image-vpx-aws-appsecurity-deployment-74

Volumen de carga inusualmente alto

El tráfico web también incluye datos que se procesan para su carga. Por ejemplo, si el promedio de datos de carga del usuario por día es de 500 MB y si los usuarios cargan 2 GB de datos, esto se puede considerar como un volumen de datos de carga inusualmente alto. Los bots también son capaces de procesar la carga de datos con mayor rapidez que los humanos.

Con el indicador Volumen de carga excepcionalmente alto, los usuarios pueden analizar casos anormales de carga de datos a la aplicación a través de bots.

image-vpx-aws-appsecurity-deployment-75

EnDetalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el volumen total de datos de carga procesado

  • El intervalo aceptado de datos de carga a la aplicación

Volumen de descarga inusualmente alto

Similar al alto volumen de carga, los bots también pueden realizar descargas más rápido que los humanos.

Con el indicador Volumen de descarga excepcionalmente alto, los usuarios pueden analizar casos anormales de datos de descarga de la aplicación a través de bots.

image-vpx-aws-appsecurity-deployment-76

EnDetalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el volumen total de datos de descarga procesado

  • El intervalo aceptado de datos de descarga de la aplicación

Tasa de solicitudes inusualmente alta

Los usuarios pueden controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede realizar una tasa de solicitudes inusualmente alta. Por ejemplo, si los usuarios configuran una aplicación para permitir 100 solicitudes por minuto y si los usuarios observan 350 solicitudes, podría tratarse de un ataque de bot.

Con el indicador detasa de solicitudes excepcionalmente alta, los usuarios pueden analizar la tasa de solicitudes inusual recibida en la aplicación.

image-vpx-aws-appsecurity-deployment-77

EnDetalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y% de solicitudes excesivas recibidas que las solicitudes esperadas

  • El intervalo aceptado de la tasa de solicitud esperada varía de la aplicación

Casos de uso

Bot

A veces, el tráfico web entrante se compone de bots y la mayoría de las organizaciones sufren ataques de bots. Las aplicaciones web y móviles son importantes impulsores de ingresos para las empresas y la mayoría de las empresas están bajo la amenaza de ciberataques avanzados, como los bots. Un bot es un programa de software que realiza automáticamente ciertas acciones repetidamente a un ritmo mucho más rápido que un humano. Los bots pueden interactuar con páginas web, enviar formularios, ejecutar acciones, escanear textos o descargar contenido. Pueden acceder a vídeos, publicar comentarios y tuitear en plataformas de redes sociales. Algunos bots, conocidos como chatbots, pueden mantener conversaciones básicas con usuarios humanos. Un bot que realiza un servicio útil, como servicio al cliente, chat automatizado y rastreadores de motores de búsqueda son buenos bots. Al mismo tiempo, un bot que puede raspar o descargar contenido de un sitio web, robar credenciales de usuario, contenido de spam y realizar otros tipos de ciberataques son bots malos. Con un buen número de bots maliciosos que realizan tareas maliciosas, es esencial administrar el tráfico de bots y proteger las aplicaciones web de los usuarios de los ataques de bots. Al usar la administración de bots de Citrix, los usuarios pueden detectar el tráfico de bots entrante y mitigar los ataques de bots para proteger las aplicaciones web de los usuarios. La administración de bots de Citrix ayuda a identificar bots maliciosos y a proteger el dispositivo del usuario de ataques de seguridad avanzados. Detecta bots buenos y malos e identifica si el tráfico entrante es un ataque de bot. Mediante el uso de la gestión de bots, los usuarios pueden mitigar los ataques y proteger las aplicaciones web de los usuarios.

La administración de bots de Citrix ADC proporciona las siguientes ventajas:

  • Defiende contra bots, scripts y kits de herramientas. Proporciona mitigación de amenazas en tiempo real mediante la defensa estática basada en firmas y la toma de huellas digitales del dispositivo.

  • Neutraliza los ataques automatizados básicos y avanzados. Evita ataques, como DDoS de capa de aplicaciones, pulverización de contraseñas, relleno de contraseñas, raspadores de precios y raspadores de contenido.

  • Protege las API e inversiones de los usuarios. Protege las API de los usuarios del uso indebido injustificado y protege las inversiones en infraestructura del tráfico automatizado.

Algunos casos de uso en los que los usuarios pueden beneficiarse del sistema de administración de bots de Citrix son:

  • Inicio desesión por fuerza bruta. Un portal web del gobierno está siendo constantemente atacado por bots que intentan iniciar sesión de usuarios por fuerza bruta. La organización descubre el ataque revisando los registros web y viendo cómo los usuarios específicos son atacados una y otra vez con rápidos intentos de inicio de sesión y contraseñas que aumentan mediante un enfoque de ataque de diccionario. Por ley, deben protegerse a sí mismos y a sus usuarios. Al implementar la administración de bots de Citrix, pueden detener el inicio de sesión por fuerza bruta mediante técnicas de identificación digital del dispositivo y limitación de velocidad.

  • Bloquee los robots maliciosos y los robots desconocidos de huellas dactilares Una entidad web recibe 100.000 visitantes cada día. Tienen que mejorar la huella subyacente y están gastando una fortuna. En una auditoría reciente, el equipo descubrió que el 40 por ciento del tráfico provenía de bots, raspando contenido, recogiendo noticias, revisando perfiles de usuario y mucho más. Quieren bloquear este tráfico para proteger a sus usuarios y reducir sus costes de alojamiento. Con la gestión de bots, pueden bloquear los robots malos conocidos, y los robots desconocidos de huellas dactilares que están martillando su sitio. Al bloquear estos bots, pueden reducir el tráfico de bots en un 90 por ciento.

  • Permita buenos bots. Los bots “buenos” están diseñados para ayudar a las empresas y a los consumidores. Han existido desde principios de la década de 1990, cuando se desarrollaron los primeros robots de motores de búsqueda para rastrear Internet. Google, Yahoo y Bing no existirían sin ellos. Otros ejemplos de buenos bots, en su mayoría centrados en el consumidor, incluyen:

    • Los chatbots (también conocidos como chatterbots, bots inteligentes, bots conversacionales, bots de mensajería instantánea, bots sociales, bots de conversación) interactúan con los humanos a través del texto o el sonido. Uno de los primeros usos del texto fue para el servicio de atención al cliente en línea y aplicaciones de mensajería de texto como Facebook Messenger y iPhone Messages. Siri, Cortana y Alexa son chatbots, pero también lo son las aplicaciones móviles que permiten a los usuarios pedir café y luego decirles cuándo estará listo, ver avances de películas y buscar horarios de cine locales, o enviar a los usuarios una foto del modelo de automóvil y la matrícula cuando solicitan un servicio de transporte.

    • Los robots de compras recorren Internet en busca de los precios más bajos en los artículos que buscan los usuarios.

    • Los bots de supervisión controlan el estado (disponibilidad y capacidad de respuesta) de los sitios web. Downdetector es un ejemplo de un sitio independiente que proporciona información de estado en tiempo real, incluidas las interrupciones, de sitios web y otros tipos de servicios. Para obtener más información sobre Downdetector, consulte: Downdetector.

Detección de bot

Configuración de la administración de bots mediante la GUI de Citrix ADC

Los usuarios pueden configurar la administración de bots de Citrix ADC habilitando primero la función en el dispositivo. Una vez que los usuarios lo habilitan, pueden crear una directiva de bots para evaluar el tráfico entrante como bot y enviar el tráfico al perfil del bot. A continuación, los usuarios crean un perfil de bot y, a continuación, vinculan el perfil a una firma de bot. Como alternativa, los usuarios también pueden clonar el archivo de firma de bot predeterminado y usar el archivo de firma para configurar las técnicas de detección. Después de crear el archivo de firma, los usuarios pueden importarlo al perfil del bot. Todos estos pasos se realizan en la siguiente secuencia:

image-vpx-aws-appsecurity-deployment-78

  1. Activar función de administración de bots

  2. Configurar ajustes de administración de bots

  3. Clone la firma predeterminada del bot Citrix

  4. Importar firma bot Citrix

  5. Configurar los ajustes de firma bot

  6. Crear perfil de bot

  7. Crear directiva de bots

Activar la función de gestión de bots

  1. En el panel de navegación, expandaSistemay haga clic enConfiguración.

  2. En la páginaConfigurar funciones avanzadas, active la casilla de verificaciónAdministración de bots.

  3. Haga clic enAceptary, a continuación, enCerrar.

image-vpx-aws-appsecurity-deployment-79

Archivo de firma del bot de clonación

  1. Vaya aSeguridad > Administración de bots de Citrix > Firmas.

  2. En la páginaFirmas de administración de bots de Citrix, seleccione el registro de firmas de bot predeterminado y haga clic enCl

  3. En la página Clone Bot Signature, introduzca un nombre y modifique los datos de la firma.

  4. Haga clic en Create.

image-vpx-aws-appsecurity-deployment-80

Importar archivo de firma de bot

Si los usuarios tienen su propio archivo de firma, pueden importarlo como archivo, texto o URL. Realice los siguientes pasos para importar el archivo de firma del bot:

  • Vaya aSeguridad>Administración de bots yfirmasde Citrix.

  • En la páginaFirmas de administración de bots de Citrix, importe el archivo como URL, archivo o texto.

  • Haga clic en Continuar.

image-vpx-aws-appsecurity-deployment-81

  • En la página Importar firma de administración de bots de Citrix, defina los siguientes parámetros.

    • Nombre. Nombre del archivo de firma del bot.

    • Comentar. Breve descripción del archivo importado.

    • Sobrescribir. Marque la casilla para permitir la sobrescritura de datos durante la actualización del archivo.

    • Datos de firma. Modificar parámetros de firma

  • Haga clic en Done.

image-vpx-aws-appsecurity-deployment-82

Reputación IP

Configurar la reputación de IP mediante la GUI de Citrix ADC

Esta configuración es un requisito previo para la función de reputación de IP del bot. La técnica de detección permite a los usuarios identificar si hay alguna actividad maliciosa de una dirección IP entrante. Como parte de la configuración, establecemos diferentes categorías de bots maliciosos y asociamos una acción de bot a cada una de ellas.

  • Vaya aSeguridad>Administración de bots yperfilesde Citrix.

  • En la página Perfiles de administración de bots de Citrix, seleccione un archivo de firma y haga clic en Modificar.

  • En la páginaPerfil de administración de bots de Citrix, vaya a la secciónConfiguración de firmasy haga clic enReputación de IP.

  • En la sección Reputación de IP, defina los siguientes parámetros:

    • Habilitada. Seleccione la casilla de verificación para validar el tráfico de bot entrante como parte del proceso de detección.

    • Configurar categorías. Los usuarios pueden utilizar la técnica de reputación de IP para el tráfico de bots entrante en diferentes categorías. Según la categoría configurada, los usuarios pueden eliminar o redirigir el tráfico del bot. Haga clic en Agregar para configurar una categoría de bot malintencionado.

    • En la páginaConfigurar enlace de reputación de IP del perfil de administración de bots de Citrix, defina los siguientes parámetros:

      • Categoría. Seleccione una categoría de bot malicioso de la lista. Asocia una acción bot según la categoría.

      • Habilitada. Seleccione la casilla de verificación para validar la detección de firmas de reputación IP.

      • Acción de bot. Según la categoría configurada, los usuarios no pueden asignar ninguna acción, descartar, redirigir o CAPTCHA.

      • Registro. Seleccione la casilla de verificación para almacenar las entradas de registro.

      • Registrar mensaje. Breve descripción del registro.

      • Comentarios. Breve descripción de la categoría bot.

  • Haga clic en Aceptar.

  • Haga clic en Actualizar.

  • Haga clic en Done.

image-vpx-aws-appsecurity-deployment-83

Actualización automática de firmas de bots

La técnica de firma estática de bots utiliza una tabla de búsqueda de firmas con una lista de bots buenos y bots malos. Los bots se clasifican según la cadena de agente de usuario y los nombres de dominio. Si la cadena de agente de usuario y el nombre de dominio del tráfico de bot entrante coinciden con un valor de la tabla de búsqueda, se aplica una acción bot configurada. Las actualizaciones de firmas de bots se alojan en la nube de AWS y la tabla de búsqueda de firmas se comunica con la base de datos de AWS para obtener actualizaciones de firmas. El programador de actualización automática de firmas se ejecuta cada 1 hora para comprobar la base de datos de AWS y actualiza la tabla de firmas en el dispositivo ADC.

La URL de actualización automática de mapeo de firmas de bot para configurar firmas es:Mapeo de firmas de bot.

Nota:

Los usuarios también pueden configurar un servidor proxy y actualizar periódicamente las firmas desde la nube de AWS al dispositivo ADC a través de un proxy. Para la configuración del proxy, los usuarios deben establecer la dirección IP y la dirección del puerto del proxy en la configuración del bot.

Configurar la actualización automática de firmas de bots

Para configurar la actualización automática de firmas de bots, siga los pasos siguientes:

Activar actualización automática de firmas de bots

Los usuarios deben habilitar la opción de actualización automática en la configuración del bot del dispositivo ADC.

En el símbolo del sistema, escriba:

set bot settings –signatureAutoUpdate ON

Configuración de la actualización automática de firmas de bots mediante la GUI de Citrix ADC

Complete los siguientes pasos para configurar la actualización automática de firmas de bots:

  • Vaya aSeguridad > Administración de bots de Citrix.

  • En el panel de detalles, enConfiguración, haga clic enCambiar configuración de administración de bots de Citrix.

  • EnConfigure Citrix Bot Management Settings, seleccione la casilla de verificaciónAuto Update Signature.

image-vpx-aws-appsecurity-deployment-84

  • Haga clic enAceptaryCerrar.

Para obtener más información sobre la configuración de la reputación de IP mediante la CLI, consulte: Configurar la función de reputación de IP mediante la CLI.

Referencias

Para obtener información sobre el uso de relajaciones detalladas de SQL, consulte: Relajaciones de grano finode SQL.

Para obtener información sobre cómo configurar SQL Injection Check mediante la línea de comandos, consulte: HTML SQL Injection Check.

Para obtener información sobre cómo configurar SQL Injection Check mediante la GUI, consulte: Using the GUI to Configure the SQL Injection Security Check.

Para obtener información sobre el uso de la función de aprendizaje con la comprobación de inyección de SQL, consulte: Uso de la función de aprendizaje con la comprobación de inyección de SQL.

Para obtener información sobre el uso de la función de registro con la comprobación de inyección de SQL, consulte: Uso de la función de registro con la comprobación de inyección de SQL.

Para obtener información sobre las Estadísticas de las infracciones de Inyección SQL, consulte: Estadísticas de las Infracciones de Inyección SQL.

Para obtener información sobre los aspectos destacados de la comprobación de inyección SQL, consulte: Aspectos destacados

Para obtener información sobre las comprobaciones de inyección XML SQL, consulte: XML SQL Injection Check.

Para obtener información sobre el uso de relajaciones detalladas de scripts entre sitios, consulte: Relajaciones detalladas de SQL.

Para obtener información sobre la configuración de scripting entre sitios HTML mediante la línea de comandos, consulte: Uso de la línea de comandos para configurar la comprobación de scripting entre sitios HTML.

Para obtener información sobre la configuración de scripting entre sitios HTML mediante la GUI, consulte: Uso de la GUI para configurar la comprobación de scripting entre sitios HTML.

Para obtener información sobre el uso de la función Learn con la comprobación de scripting entre sitios HTML, consulte: Uso de la función Learn con la comprobación de scripting entre sitios HTML.

Para obtener información sobre el uso de la función de registro con la comprobación de scripting entre sitios HTML, consulte: Uso de la función de registro con la comprobación de scripting entre sitios HTML.

Para obtener información sobre las estadísticas de las infracciones de scripting entre sitios HTML, consulte: Estadísticas de las infracciones de scripting entre sitios HTML.

Para obtener información sobre los aspectos destacados de HTML Cross-Site Scripting, consulte: Aspectos destacados

Para obtener información sobre XML Cross-Site Scripting, visite: XML Cross-Site Scripting Check.

Para obtener más información sobre el uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Uso de la línea de comandos para configurar la comprobación de seguridadde

Para obtener información sobre el uso de la GUI para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Configurar la comprobación de seguridad de desbordamiento Citrix ADC búfer mediante la

Para obtener más información sobre el uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer, consulte: Uso de la función de registro con la comprobación de seguridad

Para obtener información sobre las estadísticas de las infracciones de desbordamiento de búfer, consulte: Estadísticas de las infracciones de desbordamiento.

Para obtener información sobre los aspectos más destacados de la comprobación de seguridad de desbordamiento de búfer

Para obtener información sobre cómo agregar o eliminar un objeto de firma, consulte: Adición o eliminación de un objeto de firma.

Para obtener información sobre la creación de un objeto de firmas a partir de una plantilla, consulte: Para crear un objeto de firmas a partir de una plantilla.

Para obtener información sobre la creación de un objeto de firmas mediante la importación de un archivo, consulte: Para crear un objeto de firmas mediante la importación de un archivo.

Para obtener información sobre la creación de un objeto de firmas mediante la importación de un archivo mediante la línea de comandos, consulte: Para crear un objeto de firmas mediante la importación de un archivo mediante la línea de comandos.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la interfaz gráfica de usuario, consulte: Para eliminar un objeto de firmas mediante la interfaz gráfica de usuario.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la línea de comandos, consulte: Para eliminar un objeto de firmas mediante la línea de comandos.

Para obtener información sobre la configuración o modificación de un objeto de firmas, consulte: Configuración o modificación de un objeto Signatures.

Para obtener más información sobre la actualización de un objeto de firma, consulte: Actualización de un objeto de firma.

Para obtener información sobre el uso de la línea de comandos para actualizar las firmas de Web Application Firewall desde el origen, consulte: Para actualizar las firmas de Web Application Firewall desde el origen mediante la línea de comandos.

Para obtener información sobre la actualización de un objeto de firmas desde un archivo de formato Citrix, consulte: Actualización de un objeto Signatures desde un archivo de formato Citrix.

Para obtener información sobre cómo actualizar un objeto de firmas desde una herramienta de análisis de vulnerabilidades compatible, consulte: Actualización de un objeto Signatures desde una herramienta de análisis de vulnerabilidades compatible.

Para obtener información sobre la integración de reglas de Snort, consulte Integración de reglas de Snort.

Para obtener información sobre la configuración de Reglas de Snort, consulte: Configurar Reglas de Snort.

Para obtener información sobre cómo configurar la administración de bots mediante la línea de comandos, consulte: Configurar la administración de bots.

Para obtener información sobre cómo configurar los ajustes de administración de bots para la técnica de huella digital del dispositivo, consulte: Configuración de los ajustes de administración de bots para la técnica de huellas digitales de dispositivos

Para obtener información sobre la configuración de listas de bots permitidos mediante la GUI de Citrix ADC, consulte: Configurar la lista de bots permitidos mediante la GUI de Citrix ADC.

Para obtener información sobre la configuración de listas de bloqueo de bots mediante la GUI de Citrix ADC, consulte: Configurar la lista de bots prohibidos mediante la GUI de Citrix ADC.

Para obtener más información sobre la configuración de la gestión de bots, consulte: Configurar la administración de bots.

Requisitos previos

Antes de intentar crear una instancia VPX en AWS, los usuarios deben asegurarse de tener lo siguiente:

  • Una cuenta de AWS para lanzar una AMI de Citrix ADC VPX en una nube privada virtual (VPC) de Amazon Web Services (AWS). Los usuarios pueden crear una cuenta de AWS de forma gratuita en Amazon Web Services: AWS.

  • Una cuenta de usuario de AWS Identity and Access Management (IAM) para controlar de forma segura el acceso de los usuarios a los servicios y recursos de AWS. Para obtener más información sobre cómo crear una cuenta de usuario de IAM, consulte el tema: Creación de usuarios de IAM (consola).

Una función de IAM es obligatoria tanto para implementaciones independientes como para implementaciones de alta disponibilidad. El rol de IAM debe tener los siguientes privilegios:

  • ec2:DescribeInstances

  • ec2:DescribeNetworkInterfaces

  • ec2:DetachNetworkInterface

  • ec2:AttachNetworkInterface

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:RebootInstances

  • ec2:DescribeAddresses

  • ec2:AssociateAddress

  • ec2:DisassociateAddress

  • ec2:AssignPrivateIpAddresses

  • autoscaling:*

  • sns:*

  • sqs: *

  • cloudwatch: *

  • IAM:SimulatePrincipalPolicy

  • IAM:GetRole

Para obtener más información sobre los permisos de IAM, consulte: AWS Managed Policies for Job Functions.

Si se utiliza la plantilla de Citrix CloudFormation, la función de IAM se crea automáticamente. La plantilla no permite seleccionar una función de IAM ya creada.

Nota:

Cuando los usuarios inician sesión en la instancia VPX a través de la GUI, aparece un mensaje para configurar los privilegios necesarios para la función de IAM. Ignore el mensaje si los privilegios ya se han configurado. Nota:

Se requiere la CLI de AWS para utilizar toda la funcionalidad proporcionada por la consola de administración de AWS desde el programa de terminal. Para obtener más información, consulte la guía del usuario de la CLI de AWS: What Is the AWS Command Line Interface. Los usuarios también necesitan la CLI de AWS para cambiar el tipo de interfaz de red a SR-IOV.

Para obtener más información sobre Citrix ADC y AWS, incluida la compatibilidad con Citrix Networking VPX en AWS, consulte la Guía de diseño de referencia validada de Citrix ADC y Amazon Web Services: Citrix ADC and Amazon Web Services Validated Reference Design.

Instrucciones de uso y limitaciones

Las siguientes limitaciones y directrices de uso se aplican al implementar una instancia de Citrix ADC VPX en AWS:

  • Los usuarios deben leer la terminología de AWS mencionada anteriormente antes de iniciar una nueva implementación.

  • La función de agrupación en clústeres solo se admite cuando se aprovisiona con Citrix ADM Auto Scale Groups.

  • Para que la configuración de alta disponibilidad funcione eficazmente, asocie un dispositivo NAT dedicado a la interfaz de administración o asocie una IP elástica (EIP) a NSIP. Para obtener más información sobre NAT, en la documentación de AWS, consulte: Instancias de NAT.

  • El tráfico de datos y el tráfico de administración deben estar segregados con ENIs pertenecientes a diferentes subredes.

  • Solo la dirección NSIP debe estar presente en el ENI de gestión.

  • Si se utiliza una instancia de NAT para la seguridad en lugar de asignar un EIP al NSIP, se requieren cambios de redirección de nivel de VPC adecuados. Para obtener instrucciones sobre cómo realizar cambios de redirección a nivel de VPC, en la documentación de AWS, consulte : Caso 2: VPC con subredes públicas y privadas.

  • Una instancia VPX se puede mover de un tipo de instancia EC2 a otro (por ejemplo, de m3.large a m3.xlarge). Para obtener más información, visite: Pautas de uso y limitaciones.

  • Para los medios de almacenamiento para VPX en AWS, Citrix recomienda EBS, porque es duradero y los datos están disponibles incluso después de separarse de la instancia.

  • No se admite la adición dinámica de ENIs a VPX. Reinicie la instancia VPX para aplicar la actualización. Citrix recomienda a los usuarios detener la instancia independiente o de alta disponibilidad, adjuntar la nueva ENI y, a continuación, reiniciar la instancia. La ENI principal no se puede cambiar ni conectar a una subred diferente una vez que se implementa. Los ENI secundarios se pueden separar y cambiar según sea necesario mientras el VPX está detenido.

  • Los usuarios pueden asignar varias direcciones IP a un ENI. El número máximo de direcciones IP por ENI viene determinado por el tipo de instancia de EC2; consulte la sección “Direcciones IP por interfaz de red por tipo de instancia” en Interfaces de red elásticas: interfaces de red elásticas. Los usuarios deben asignar las direcciones IP en AWS antes de asignarlas a las ENI. Para obtener más información, consulte Interfaces de red elástica: interfaces de red elástica.

  • Citrix recomienda que los usuarios eviten el uso de los comandos de interfaz enable y disable en las interfaces de Citrix ADC VPX.

  • Los comandos set ha node \<NODE\_ID\> -haStatus STAYPRIMARY y set ha node \<NODE\_ID\> -haStatus STAYSECONDARY de Citrix ADC están inhabilitados de forma predeterminada.

  • IPv6 no es compatible con VPX.

  • Debido a las limitaciones de AWS, estas funciones no son compatibles:

    • ARP gratuito (GARP)

    • Modo L2 (puenteo). Los servidores virtuales transparentes son compatibles con L2 (reescritura de MAC) para los servidores de la misma subred que el SNIP.

    • VLAN etiquetada

    • Redirección dinámica

    • MAC virtual

  • Para que funcionen la RNAT, la redirección y el servidor virtual transparente, asegúrese de que la verificación de origen/destino esté inhabilitada para todos los ENI de la ruta de datos. Para obtener más información, consulte “Cambio de la comprobación de origen/destino” en Elastic Network Interfaces: Elastic Network Interfaces.

  • En una implementación de Citrix ADC VPX en AWS, en algunas regiones de AWS, es posible que la infraestructura de AWS no pueda resolver llamadas a la API de AWS. Esto ocurre si las llamadas a la API se emiten a través de una interfaz que no es de administración en la instancia de Citrix ADC VPX. Como solución alternativa, restrinja las llamadas a la API únicamente a la interfaz de administración. Para ello, cree una NSVLAN en la instancia VPX y vincule la interfaz de administración a la NSVLAN mediante el comando apropiado.

  • Por ejemplo:

    • set ns config -nsvlan <vlan id>-ifnum 1/1 -etiquetado NO

    • guardar configuración

  • Reinicie la instancia VPX cuando se le solicite.

  • Para obtener más información sobre la configuración nsvlan, consulte Configuración de NSVLAN: Configuración de NSVLAN.

  • En la consola de AWS, el uso de vCPU mostrado para una instancia VPX en la ficha Supervisión puede ser alto (hasta el 100 por ciento), incluso cuando el uso real sea mucho menor. Para ver el uso real de vCPU, vaya a Ver todas las métricas de CloudWatch. Para obtener más información, consulte: Supervisar sus instancias con Amazon CloudWatch. Alternativamente, si la baja latencia y el rendimiento no son una preocupación, los usuarios pueden habilitar la función CPU Yield, lo que permite que los motores de paquetes estén inactivos cuando no hay tráfico. Visite el Knowledge Center de soporte de Citrix para obtener más información sobre la función Rendimiento de CPU y cómo habilitarla.

Requerimientos técnicos

Antes de que los usuarios inicien la Guía de inicio rápido para iniciar una implementación, la cuenta de usuario debe configurarse como se especifica en la siguiente tabla. De lo contrario, la implementación podría fallar.

Recursos

Si es necesario, inicie sesión en la cuenta de Amazon del usuario y solicite un aumento del límite de servicio para los siguientes recursos aquí: AWS/Sign in. Es posible que tenga que hacerlo si ya tiene una implementación existente que usa estos recursos y cree que puede superar los límites predeterminados con esta implementación. Para conocer los límites predeterminados, consulte las cuotas de servicio de AWS en la documentación de AWS: Cuotas de servicio de AWS.

AWS Trusted Advisor, que se encuentra aquí: AWS/Sign in, ofrece una comprobación de límites de servicio que muestra el uso y los límites de algunos aspectos de algunos servicios.

Recurso Esta implementación usa
VPC 1
Direcciones IP elásticas 0/1 (para host Bastion)
Grupos de seguridad de IAM 3
Funciones de IAM 1
Subredes 6 (3/zona de disponibilidad)
Puerta de enlace de Internet 1
Tablas de redirecciones 5
Instancias de WAF VPX 2
Anfitrión bastión 0/1
Puerta de enlace NAT 2

Regiones

Citrix WAF en AWS no se admite actualmente en todas las regiones de AWS. Para obtener una lista actualizada de las regiones admitidas, consulte AWS Service Endpoints en la documentación de AWS: AWS Service Endpoints.

Para obtener más información sobre las regiones de AWS y por qué es importante la infraestructura de nube, consulte: Global Infrastructure.

Par de claves

Asegúrese de que exista al menos un par de claves de Amazon EC2 en la cuenta de usuario de AWS en la región en la que los usuarios planean implementar mediante la Guía de inicio rápido. Tome nota del nombre del par de claves. Se solicita a los usuarios esta información durante la implementación. Para crear un par de claves, siga las instrucciones para los pares de claves de Amazon EC2 y las instancias de Linux en la documentación de AWS: Amazon EC2 Key Pairs and Linux Instances.

Si los usuarios implementan la Guía de inicio rápido con fines de prueba o prueba de concepto, se recomienda que creen un nuevo par de claves en lugar de especificar un par de claves que ya esté siendo utilizado por una instancia de producción.

Guía de implementación de Citrix ADC VPX en AWS

En este artículo