Guía de implementación de Citrix ADC VPX en Azure
Información general
Citrix ADC es una solución de distribución de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Se presenta en una amplia variedad de factores de forma y opciones de implementación sin bloquear a los usuarios en una sola configuración o nube. Las licencias de capacidad agrupada permiten el movimiento de la capacidad entre las implementaciones en la nube.
Como líder indiscutible en la prestación de servicios y aplicaciones, Citrix ADC se implementa en miles de redes de todo el mundo para optimizar, proteger y controlar la prestación de todos los servicios empresariales y en la nube. Implementado directamente frente a los servidores web y de bases de datos, Citrix ADC combina el equilibrio de carga de alta velocidad y la conmutación de contenido, la compresión HTTP, el almacenamiento en caché de contenido, la aceleración SSL, la visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión integral que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar directivas mediante un simple motor de directivas declarativas sin necesidad de experiencia en programación.
Citrix ADC VPX
El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y nube.
Esta guía de implementación se centra en Citrix ADC VPX en Azure.
Microsoft Azure
-
Microsoft Azure es un conjunto de servicios de computación en la nube en constante expansión para ayudar a las organizaciones a superar sus desafíos empresariales. Azure ofrece a los usuarios la libertad de crear, administrar e implementar aplicaciones en una red global masiva con sus herramientas y marcos preferidos. Con Azure, los usuarios pueden:
-
Prepárese para el futuro con la innovación continua de Microsoft para contribuir a su desarrollo actual y sus visiones de productos para el futuro.
-
Opere la nube híbrida sin problemas en las instalaciones, en la nube y en el perímetro: Azure se reúne con los usuarios donde estén.
-
Aproveche sus condiciones con el compromiso de Azure con el código abierto y la compatibilidad con todos los lenguajes y marcos, lo que permite a los usuarios crear como quieran e implementarlos donde quieran.
-
Confíe en su nube la seguridad desde cero, que cuenta con un equipo de expertos y un cumplimiento proactivo y líder del sector en el que confían las empresas, los gobiernos y las nuevas empresas.
Terminología de Azure
A continuación se incluye una breve descripción de los términos clave utilizados en este documento con los que los usuarios deben estar familiarizados:
-
Equilibrador de carga de Azure: El equilibrador de carga de Azure es un recurso que distribuye el tráfico entrante entre los equipos de una red. El tráfico se distribuye entre máquinas virtuales definidas en un conjunto de equilibradores de carga. Un equilibrador de carga puede ser externo o orientado a Internet, o puede ser interno.
-
Azure Resource Manager (ARM): ARM es el nuevo marco de administración para los servicios de Azure. Azure Load Balancer se administra mediante API y herramientas basadas en ARM.
-
Conjunto de direcciones back-end: son direcciones IP asociadas con la NIC de la máquina virtual a la que se distribuirá la carga.
-
BLOB: Objeto binario grande: Cualquier objeto binario como un archivo o una imagen que se puede almacenar en el almacenamiento de Azure.
-
Configuración de IP de front-end: Un equilibrador de carga de Azure puede incluir una o más direcciones IP de front-end, también conocidas como IP virtuales (VIP). Estas direcciones IP sirven como entrada para el tráfico.
-
IP pública a nivel de instancia (ILPIP): un ILPIP es una dirección IP pública que los usuarios pueden asignar directamente a una máquina virtual o instancia de rol, en lugar de al servicio de nube en el que reside la máquina virtual o la instancia de rol. Esto no reemplaza al VIP (IP virtual) que está asignado a su servicio en la nube. Más bien, se trata de una dirección IP adicional que se puede utilizar para conectarse directamente a una máquina virtual o a una instancia de rol.
Nota:
En el pasado, un ILPIP se denominaba PIP, que significa IP pública.
-
Reglas NAT entrantes: contiene reglas que asignan un puerto público del equilibrador de carga a un puerto para una máquina virtual específica en el grupo de direcciones de back-end.
-
IP-config: Se puede definir como un par de direcciones IP (IP pública e IP privada) asociado a una NIC individual. En una configuración IP, la dirección IP pública puede ser NULL. Cada NIC puede tener varias configuraciones IP asociadas, que pueden ser de hasta 255.
-
Reglas de equilibrio de carga: una propiedad de regla que asigna una combinación de puerto e IP de front-end dada a un conjunto de combinaciones de puertos y direcciones IP de back-end. Con una sola definición de un recurso de equilibrador de carga, los usuarios pueden definir varias reglas de equilibrio de carga, cada regla refleja una combinación de una IP de front-end y una IP de puerto y back-end y un puerto asociados con máquinas virtuales.
-
Grupo de seguridad de red (NSG): NSG contiene una lista de reglas de lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a instancias de máquinas virtuales en una red virtual. Los NSG se pueden asociar con subredes o instancias individuales de máquinas virtuales dentro de esa subred. Cuando un NSG está asociado a una subred, las reglas de ACL se aplican a todas las instancias de máquinas virtuales de esa subred. Además, el tráfico a una máquina virtual individual se puede restringir aún más asociando un NSG directamente a esa máquina virtual.
-
Direcciones IP privadas: se utilizan para la comunicación dentro de una red virtual de Azure y la red local del usuario cuando se usa una puerta de enlace VPN para extender una red de usuario a Azure. Las direcciones IP privadas permiten que los recursos de Azure se comuniquen con otros recursos de una red virtual o local a través de una Gateway VPN o un circuito ExpressRoute, sin utilizar una dirección IP accesible a Internet. En el modelo de implementación de Azure Resource Manager, se asocia una dirección IP privada con los siguientes tipos de recursos de Azure: Máquinas virtuales, equilibradores de carga internos (ILB) y puertas de enlace de aplicaciones.
-
Sondeos: contiene sondeos de estado que se utilizan para comprobar la disponibilidad de las instancias de máquinas virtuales en el grupo de direcciones de back-end. Si una máquina virtual en particular no responde a los sondeos de estado durante algún tiempo, entonces se saca del servicio de tráfico. Los sondeos permiten a los usuarios realizar un seguimiento del estado de las instancias virtuales. Si se produce un error en una sonda de estado, la instancia virtual se retira de la rotación automáticamente.
-
Direcciones IP públicas (PIP): PIP se utiliza para la comunicación con Internet, incluidos los servicios públicos de Azure y se asocia con máquinas virtuales, equilibradores de carga orientados a Internet, puertas de enlace VPN y puertas de enlace de aplicaciones.
-
Región: área dentro de una geografía que no cruza las fronteras nacionales y que contiene uno o varios centros de datos. Los precios, los servicios regionales y los tipos de oferta están expuestos a nivel regional. Una región suele estar emparejada con otra región, que puede estar hasta varios cientos de millas de distancia, para formar un par regional. Los pares regionales se pueden utilizar como mecanismo para la recuperación ante desastres y casos de alta disponibilidad. También se conoce generalmente como ubicación.
-
Grupo de recursos: un contenedor en Resource Manager que contiene los recursos relacionados para una aplicación. El grupo de recursos puede incluir todos los recursos de una aplicación o solo los recursos que están agrupados de forma lógica.
-
Cuenta de almacenamiento: una cuenta de almacenamiento de Azure proporciona a los usuarios acceso a los servicios de blob, cola, tabla y archivos de Azure en Azure Storage. Una cuenta de almacenamiento de usuario proporciona el espacio de nombres único para los objetos de datos de almacenamiento de Azure del usuario.
-
Máquina virtual: Implementación de software de un equipo físico que ejecuta un sistema operativo. Varias máquinas virtuales pueden ejecutarse simultáneamente en el mismo hardware. En Azure, las máquinas virtuales están disponibles en varios tamaños.
-
Red virtual: una red virtual de Azure es una representación de una red de usuario en la nube. Es un aislamiento lógico de la nube de Azure dedicado a una suscripción de usuario. Los usuarios pueden controlar completamente los bloques de direcciones IP, la configuración de DNS, las directivas de seguridad y las tablas de redirección dentro de esta red. Los usuarios también pueden segmentar aún más su VNet en subredes y lanzar máquinas virtuales de IaaS de Azure y servicios en la nube (instancias de rol de PaaS). Además, los usuarios pueden conectar la red virtual a su red local mediante una de las opciones de conectividad disponibles en Azure. En esencia, los usuarios pueden expandir su red a Azure, con un control total de los bloques de direcciones IP con el beneficio de la escala empresarial que ofrece Azure.
Flujo lógico de Citrix WAF en Azure
Ilustración 1: Diagrama lógico de Citrix WAF en Azure
Flujo lógico
El firewall de aplicaciones web se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, generalmente detrás del router o firewall de la empresa del cliente. Debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web que los usuarios desean proteger y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. A continuación, los usuarios configuran la red para enviar solicitudes al Web Application Firewall en lugar de hacerlo directamente a sus servidores web, y las respuestas al Web Application Firewall en lugar de hacerlo directamente a sus usuarios. El Web Application Firewall filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas internas como las adiciones y modificaciones del usuario. Bloquea o hace inofensiva cualquier actividad que detecte como dañina y, a continuación, reenvía el tráfico restante al servidor web. La ilustración anterior (Ilustración 1) proporciona una visión general del proceso de filtrado.
Nota: La ilustración omite la aplicación de una directiva al tráfico entrante. Ilustra una configuración de seguridad en la que la directiva es procesar todas las solicitudes. Además, en esta configuración, se ha configurado y asociado un objeto de firmas con el perfil, y se han configurado comprobaciones de seguridad en el perfil. Como se muestra en la ilustración, cuando un usuario solicita una URL en un sitio web protegido, el Web Application Firewall examina primero la solicitud para asegurarse de que no coincide con una firma. Si la solicitud coincide con una firma, Web Application Firewall muestra el objeto de error (una página web que se encuentra en el dispositivo Web Application Firewall y que los usuarios pueden configurar mediante la función de importación) o reenvía la solicitud a la URL de error designada (la página de error).
Si una solicitud pasa la inspección de firma, Web Application Firewall aplica las comprobaciones de seguridad de la solicitud que se han habilitado. Las comprobaciones de seguridad de la solicitud verifican que la solicitud es adecuada para el sitio web o el servicio web del usuario y no contiene material que pueda representar una amenaza. Por ejemplo, las comprobaciones de seguridad examinan la solicitud de signos que indican que puede ser de un tipo inesperado, solicitar contenido inesperado o contener datos de formularios web inesperados y posiblemente malintencionados, comandos SQL o scripts. Si la solicitud no supera una comprobación de seguridad, Web Application Firewall sanea la solicitud y, a continuación, la envía de vuelta al dispositivo Citrix ADC (o al dispositivo virtual Citrix ADC) o muestra el objeto de error. Si la solicitud supera las comprobaciones de seguridad, se envía de nuevo al dispositivo Citrix ADC, que completa cualquier otro procesamiento y reenvía la solicitud al servidor web protegido.
Cuando el sitio web o el servicio web envía una respuesta al usuario, Web Application Firewall aplica las comprobaciones de seguridad de respuesta que se han habilitado. Las comprobaciones de seguridad de respuesta examinan la respuesta en busca de filtraciones de información privada confidencial, señales de desfiguración del sitio web u otro contenido que no debería estar presente. Si la respuesta no supera una comprobación de seguridad, el Web Application Firewall elimina el contenido que no debería estar presente o bloquea la respuesta. Si la respuesta pasa las comprobaciones de seguridad, se envía de nuevo al dispositivo Citrix ADC, que la reenvía al usuario.
Casos de uso
En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en Azure combina el equilibrio de carga L4, la administración del tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de las aplicaciones y otras capacidades esenciales de entrega de aplicaciones en un solo VPX , disponible convenientemente a través de Azure Marketplace. Además, todo se rige por un único marco de directivas y se administra con el mismo y potente conjunto de herramientas que se utilizan para administrar implementaciones locales de Citrix ADC. El resultado neto es que Citrix ADC en Azure permite varios casos de uso convincentes que no solo cubren las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos empresariales en la nube.
Tipos de implementación
Implementación de IP múltiple de múltiples NIC (implementación de tres NIC)
-
Implementaciones típicas
-
impulsado por StyleBook
-
Con ADM
-
Con GSLB (Azure Traffic Management (TM) sin registro de dominio)
-
Licencias - Pooled/Marketplace
-
-
-
Casos de uso
-
Las implementaciones de múltiples NIC y IP múltiples (tres NIC) se utilizan para lograr un aislamiento real del tráfico de datos y administración.
-
Las implementaciones de múltiples NIC y IP múltiples (tres NIC) también mejoran la escala y el rendimiento del ADC.
-
Las implementaciones de múltiples NIC y IP múltiples (tres NIC) se utilizan en aplicaciones de red en las que el rendimiento suele ser de 1 Gbps o superior y se recomienda una implementación de tres NIC.
-
Implementación de múltiples NIC y IP múltiples (tres NIC) para alta disponibilidad (HA)
Los clientes podrían implementar mediante la implementación de tres NIC si se implementan en un entorno de producción donde la seguridad, la redundancia, la disponibilidad, la capacidad y la escalabilidad son fundamentales. Con este método de implementación, la complejidad y la facilidad de administración no son preocupaciones críticas para los usuarios.
Implementación de plantillas Azure Resource Manager
Los clientes implementarían plantillas ARM (Azure Resource Manager) si están personalizando sus implementaciones o automatizando sus implementaciones.
Plantillas ARM (Azure Resource Manager)
El repositorio de GitHub para plantillas ARM (Azure Resource Manager) deCitrix ADC aloja plantillas personalizadas de Citrix ADC para implementar Citrix ADC en Microsoft Azure Cloud Services. Todas las plantillas de este repositorio han sido desarrolladas y mantenidas por el equipo de ingeniería de Citrix ADC.
Cada plantilla de este repositorio tiene documentación coubicada que describe el uso y la arquitectura de la plantilla. Las plantillas intentan codificar la arquitectura de implementación recomendada de Citrix ADC VPX, presentar al usuario el Citrix ADC o demostrar una función, modificación u opción en particular. Los usuarios pueden reutilizar, modificar o mejorar las plantillas para adaptarlas a sus necesidades particulares de producción y pruebas. La mayoría de las plantillas requieren suficientes suscripciones a portal.azure.com para crear recursos e implementar plantillas. Las plantillas de Azure Resource Manager (ARM) de Citrix ADC VPX están diseñadas para garantizar una forma fácil y coherente de implementar Citrix ADC VPX independiente. Estas plantillas aumentan la fiabilidad y la disponibilidad del sistema con redundancia integrada. Estas plantillas ARM admiten selecciones Bring Your Own License (BYOL) o por hora. La elección de la selección se menciona en la descripción de la plantilla o se ofrece durante la implementación de la plantilla. Para obtener más información sobre cómo aprovisionar una instancia de Citrix ADC VPX en Microsoft Azure mediante plantillas ARM (Azure Resource Manager), visite: Plantillas de Citrix ADC Azure.
Para obtener más información sobre cómo implementar una instancia de Citrix ADC VPX en Microsoft Azure, consulte: Implementar una instancia de Citrix ADC VPX en Microsoft Azure.
Para obtener más información sobre cómo funciona una instancia de Citrix ADC VPX en Azure, visite: Cómo funciona una instancia de Citrix ADC VPX en Azure.
Pasos de implementación
Cuando los usuarios implementan una instancia de Citrix ADC VPX en Microsoft Azure Resource Manager (ARM), pueden usar las capacidades de computación en la nube de Azure y usar las funciones de equilibrio de carga y administración de tráfico de Citrix ADC para sus necesidades empresariales. Los usuarios pueden implementar instancias de Citrix ADC VPX en Azure Resource Manager como instancias independientes o como pares de alta disponibilidad en los modos activo-en espera.
Los usuarios pueden implementar una instancia de Citrix ADC VPX en Microsoft Azure de dos maneras:
-
A través de Azure Marketplace. El dispositivo virtual Citrix ADC VPX está disponible como imagen en Microsoft Azure Marketplace. La plantilla de Azure Resource Manager se publica en Azure Marketplace y se puede usar para implementar Citrix ADC en una implementación independiente y en una implementación de par HA.
-
Usar la plantilla json de Azure Resource Manager (ARM) de Citrix ADC disponible en GitHub. Para obtener más información, consulte el repositorio de GitHub para las plantillas de soluciones Citrix ADC.
Elección de la instancia de Azure correcta
Los dispositivos virtuales VPX en Azure se pueden implementar en cualquier tipo de instancia que tenga dos o más núcleos y más de 2 GB de memoria. En la siguiente tabla se enumeran los tipos de instancias recomendados para la licencia de ADC VPX:
Modelo VPX | Instancia de Azure (recomendada) |
---|---|
VPX10 | D2s v3 estándar |
VPX200 | D2s v3 estándar |
VPX1000 | D4s v3 estándar |
VPX3000 | D8s v3 estándar |
Una vez que se conoce la licencia y el tipo de instancia que deben usarse para la implementación, los usuarios pueden aprovisionar una instancia de Citrix ADC VPX en Azure mediante la arquitectura multi-IP de varias NIC recomendada.
Arquitectura multi-NIC multi-IP (tres NIC)
En este tipo de implementación, los usuarios pueden tener más de una interfaz de red (NIC) conectada a una instancia VPX. Cualquier NIC puede tener una o más configuraciones IP: direcciones IP públicas y privadas estáticas o dinámicas asignadas. La arquitectura de múltiples NIC se puede utilizar para implementaciones independientes y de pares de HA. Se pueden usar las siguientes plantillas ARM:
-
Citrix ADC independiente: plantilla ARM independiente 3-NIC
-
Par HA de Citrix ADC: par 3-NIC de plantilla ARM-HA
Consulte los siguientes casos de uso:
Arquitectura de implementación de Citrix ADM
La imagen siguiente proporciona una descripción general de cómo Citrix ADM se conecta con Azure para aprovisionar instancias de Citrix ADC VPX en Microsoft Azure.
Los usuarios deben tener tres subredes para aprovisionar y administrar las instancias de Citrix ADC VPX en Microsoft Azure. Se debe crear un grupo de seguridad para cada subred. Las reglas especificadas en Network Security Group (NSG) rigen la comunicación entre las subredes.
El agente de servicio Citrix ADM ayuda a los usuarios a aprovisionar y administrar instancias de Citrix ADC VPX.
Configuración de una configuración de alta disponibilidad con varias direcciones IP y NIC
En una implementación de Microsoft Azure, se logra una configuración de alta disponibilidad de dos instancias de Citrix ADC VPX mediante Azure Load Balancer (ALB). Esto se logra mediante la configuración de una sonda de estado en ALB, que supervisa cada instancia VPX mediante el envío de sondeos de estado cada 5 segundos a las instancias primaria y secundaria.
En esta configuración, solo el nodo principal responde a los sondeos de estado y el secundario no. Una vez que el primario envía la respuesta al sondeo de estado, el ALB comienza a enviar el tráfico de datos a la instancia. Si la instancia principal pierde dos sondeos de mantenimiento consecutivos, ALB no redirige el tráfico a esa instancia. En caso de conmutación por error, el nuevo primario comienza a responder a los sondeos de mantenimiento y el ALB redirige el tráfico hacia él. El tiempo de conmutación por error de alta disponibilidad VPX estándar es de tres segundos. El tiempo total de conmutación por error que puede ocurrir para la conmutación de tráfico puede ser de un máximo de 13 segundos.
Los usuarios pueden implementar un par de instancias de Citrix ADC VPX con varias NIC en una configuración de alta disponibilidad (HA) activa-pasiva en Azure. Cada NIC puede contener varias direcciones IP.
Las siguientes opciones están disponibles para una implementación de alta disponibilidad de varias NIC:
-
Alta disponibilidad con el conjunto de disponibilidad de Azure
-
Alta disponibilidad mediante zonas de disponibilidad de Azure
Para obtener más información sobre Azure Availability Set y Availability Zones, consulte la documentación de Azure Manage the Availability of Linux Virtual Machines.
Alta disponibilidad mediante el conjunto de disponibilidad
Una configuración de alta disponibilidad que utilice un conjunto de disponibilidad debe cumplir los siguientes requisitos:
-
Configuración de red independiente de HA (INC)
-
El equilibrador de carga de Azure (ALB) en modo de devolución directa del servidor (DSR)
Todo el tráfico pasa por el nodo principal. El nodo secundario permanece en modo de espera hasta que falla el nodo principal.
Nota:
Para que funcione una implementación de alta disponibilidad de Citrix VPX en la nube de Azure, los usuarios necesitan una IP pública flotante (PIP) que se pueda mover entre los dos nodos VPX. Azure Load Balancer (ALB) proporciona ese PIP flotante, que se mueve automáticamente al segundo nodo en caso de una conmutación por error.
En una implementación activa-pasiva, las direcciones IP públicas (PIP) front-end de ALB se agregan como direcciones VIP en cada nodo VPX. En una configuración HA-INC, las direcciones VIP son flotantes y las direcciones SNIP son específicas de la instancia.
Los usuarios pueden implementar un par VPX en modo de alta disponibilidad activo-pasivo de dos maneras mediante:
-
Plantilla de alta disponibilidad estándar de Citrix ADC VPX: Utilice esta opción para configurar un par de alta disponibilidad con la opción predeterminada de tres subredes y seis NIC.
-
Comandos de Windows PowerShell: Utilice esta opción para configurar un par de HA de acuerdo con los requisitos de la subred y NIC.
En esta sección se describe cómo implementar un par VPX en una configuración de alta disponibilidad activa-pasiva mediante la plantilla de Citrix. Si los usuarios desean implementar con comandos de PowerShell, consulte Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell.
Configuración de nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix
Los usuarios pueden implementar de forma rápida y eficiente un par de instancias VPX en modo HA-INC mediante el uso de la plantilla estándar. La plantilla crea dos nodos, con tres subredes y seis NIC. Las subredes son para el tráfico de administración, cliente y servidor, y cada subred tiene dos NIC para ambas instancias VPX.
Complete los siguientes pasos para iniciar la plantilla e implementar un par VPX de alta disponibilidad mediante Azure Availability Sets.
-
En Azure Marketplace, seleccione e inicie la plantilla de solución Citrix. Aparecerá la plantilla.
-
Asegúrese de que el tipo de implementación sea Administrador de recursos y seleccione Crear.
-
Aparecerá la página Básicos. Cree un grupo de recursos y seleccione Aceptar.
-
Aparecerá la página Configuración general. Escriba los detalles y seleccione Aceptar.
-
Aparecerá la página Configuración de red. Compruebe las configuraciones de VNet y subred, modifique la configuración requerida y seleccione Aceptar.
-
Aparecerá la página Resumen. Revise la configuración y modifique en consecuencia. Seleccione Aceptar para confirmar.
-
Aparecerá la página Comprar. Seleccione Comprar para completar la implementación.
Es posible que el Azure Resource Group demore un momento en crearse con las configuraciones requeridas. Una vez finalizado, seleccione el grupo de recursos en el portal de Azure para ver los detalles de configuración, como las reglas de LB, los grupos de back-end, los sondeos de estado, etc. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1.
Si se requieren más modificaciones para la configuración de HA, como crear más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.
A continuación, los usuarios deben configurar el servidor virtual de equilibrio de carga con la dirección IP pública frontend (PIP) de ALB, en el nodo principal. Para buscar el PIP de ALB, seleccione ALB > Configuración IP de frontend.
Consulte la sección Recursos para obtener más información sobre cómo configurar el servidor virtual de equilibrio de carga.
Recursos:
Los siguientes enlaces proporcionan información adicional relacionada con la implementación de alta disponibilidad y la configuración del servidor virtual:
Recursos relacionados:
Alta disponibilidad mediante zonas de disponibilidad
Las zonas de disponibilidad de Azure son ubicaciones aisladas por errores dentro de una región de Azure, que proporcionan alimentación redundante, refrigeración y redes y aumentan la resiliencia. Solo las regiones específicas de Azure admiten zonas de disponibilidad. Para obtener más información, consulte la documentación de Azure Availability Zones in Azure: Configure GSLB on an Active-Standby High-Availability Setup.
Los usuarios pueden implementar un par VPX en modo de alta disponibilidad mediante la plantilla denominada “NetScaler 13.0 HA con zonas de disponibilidad”, disponible en Azure Marketplace.
Complete los siguientes pasos para iniciar la plantilla e implementar un par VPX de alta disponibilidad mediante las zonas de disponibilidad de Azure.
-
En Azure Marketplace, seleccione e inicie la plantilla de solución Citrix.
-
Asegúrese de que el tipo de implementación sea Administrador de recursos y seleccione Crear.
-
Aparecerá la página Básicos. Introduzca los detalles y haga clic en Aceptar.
Nota: Asegúrese de que esté seleccionada una región de Azure que admita zonas de disponibilidad. Para obtener más información sobre las regiones que admiten zonas de disponibilidad, consulte la documentación de Azure Availability Zones in Azure: Regions and Availability Zones in Azure.
-
Aparecerá la página Configuración general. Escriba los detalles y seleccione Aceptar.
-
Aparecerá la página Configuración de red. Compruebe las configuraciones de VNet y subred, modifique la configuración requerida y seleccione Aceptar.
-
Aparecerá la página Resumen. Revise la configuración y modifique en consecuencia. Seleccione Aceptar para confirmar.
-
Aparecerá la página Comprar. Seleccione Comprar para completar la implementación.
Es posible que el Azure Resource Group demore un momento en crearse con las configuraciones requeridas. Después de finalizar, seleccione el grupo de recursos para ver los detalles de configuración, como reglas LB, grupos de back-end, sondeos de estado, etc., en el portal de Azure. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1. Además, los usuarios pueden ver la ubicación en la columna Ubicación.
Si se requieren más modificaciones para la configuración de HA, como crear más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.
Para obtener información más detallada sobre el aprovisionamiento de instancias de Citrix ADC VPX en Microsoft Azure, consulte: Aprovisionamiento de instancias de Citrix ADC VPX en Microsoft Azure.
Citrix Application Delivery Management
Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución sencilla y escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN que se implementan de forma local o en la nube.
Los usuarios pueden usar esta solución de nube para administrar, supervisar y solucionar problemas de toda la infraestructura de entrega de aplicaciones global desde una consola única, unificada y centralizada basada en la nube. Citrix ADM Service proporciona todas las capacidades necesarias para configurar, implementar y administrar rápidamente la entrega de aplicaciones en implementaciones de Citrix ADC y con análisis detallados del estado, el rendimiento y la seguridad de las aplicaciones.
Citrix ADM Service ofrece las siguientes ventajas:
-
Ágil: fácil de operar, actualizar y consumir. El modelo de servicio de Citrix ADM Service está disponible en la nube, lo que facilita el funcionamiento, la actualización y el uso de las funciones que proporciona Citrix ADM Service. La frecuencia de las actualizaciones, combinada con la función de actualización automática, mejora rápidamente la implementación de Citrix ADC por parte de los usuarios.
-
Generación de valormás rápida: logro más rápido de los objetivos empresariales. A diferencia de la implementación local tradicional, los usuarios pueden usar su servicio Citrix ADM con unos pocos clics. Los usuarios no solo ahorran tiempo de instalación y configuración, sino que también evitan perder tiempo y recursos en posibles errores.
-
Administración de varios sitios: panel único para instancias en centros de datos de varios sitios. Con Citrix ADM Service, los usuarios pueden administrar y supervisar los ADC de Citrix que se encuentran en varios tipos de implementaciones. Los usuarios tienen una administración integral para los ADC de Citrix implementados en las instalaciones y en la nube.
-
Eficiencia operativa: forma optimizada y automatizada de lograr una mayor productividad operativa. Con Citrix ADM Service, los costes operativos de los usuarios se reducen al ahorrar tiempo, dinero y recursos al usuario en el mantenimiento y la actualización de las implementaciones de hardware tradicionales.
Funcionamiento del servicio Citrix ADM
Citrix ADM Service está disponible como un servicio en Citrix Cloud. Después de que los usuarios se registren en Citrix Cloud y comiencen a usar el servicio, instale los agentes en el entorno de red del usuario o inicie el agente integrado en las instancias. A continuación, agrega al servicio las instancias que los usuarios quieren administrar.
Un agente permite la comunicación entre el servicio Citrix ADM y las instancias administradas en el centro de datos del usuario. El agente recopila datos de las instancias administradas en la red de usuarios y los envía al servicio Citrix ADM.
Cuando los usuarios agregan una instancia al servicio Citrix ADM, se agrega implícitamente como destino de captura y recopila un inventario de la instancia.
El servicio recopila detalles de instancia como:
-
Nombre de host
-
Versión de software
-
Configuración en ejecución y guardada
-
Certificados
-
Entidades configuradas en la instancia, etc.
Citrix ADM Service sondea periódicamente las instancias administradas para recopilar información.
La siguiente imagen ilustra la comunicación entre el servicio, los agentes y las instancias:
Guía de documentación
La documentación del servicio Citrix ADM incluye información sobre cómo empezar a utilizar el servicio, una lista de las funciones admitidas en el servicio y la configuración específica de esta solución de servicio.
Los diez primeros de Citrix ADC WAF y OWASP — 2017
El Open Web Application Security Project: OWASP (publicó el Top 10 de OWASP para 2017 para la seguridad de aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. A continuación detallamos cómo configurar el Firewall de aplicaciones web (WAF) de Citrix ADC para mitigar estos defectos. WAF está disponible como módulo integrado en Citrix ADC (Premium Edition) y en una gama completa de dispositivos.
El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.
Top 10 de OWASP 2017 | Funciones de Citrix ADC WAF |
---|---|
A 1:2017 - Inyección | Prevención de ataques por inyección (SQL o cualquier otra inyección personalizada, como inyección de comandos del sistema operativo, inyección de XPath e inyección de LDAP), función de firma de actualización automática |
A 2:2017 - Autenticación rota | AAA, protección contra manipulación de cookies, proxy de cookies, cifrado de cookies, etiquetado CSRF, uso de SSL |
A 3:2017 - Exposición de datos confidenciales | Protección de tarjetas de crédito, comercio seguro, proxy de cookies y cifrado de cookies |
A 4:2017 Entidades externas XML (XXE) | Protección XML que incluye comprobaciones WSI, validación de mensajes XML y comprobación de filtrado de errores SOAP XML |
A 5:2017 Control de acceso roto | AAA, función de seguridad de autorización dentro del módulo AAA de NetScaler, protecciones de formularios y protecciones contra la manipulación de cookies, StartURL y closureURL |
A 6:2017 - Configuración errónea de seguridad | Informes PCI, funciones SSL, generación de firmas a partir de informes de análisis de vulnerabilidades como Cenzic, Qualys, AppScan, WebInspect, Whitehat. Además, protecciones específicas, como el cifrado de cookies, el uso de proxy y la manipulación |
A 7:2017 - Scripting entre sitios (XSS) | Prevención de ataques XSS, bloquea todos los ataques de hojas de referencia XSS de OWASP |
A 8:2017 — Deserialización insegura | Comprobaciones de seguridad XML, tipo de contenido GWT, firmas personalizadas, Xpath para JSON y XML |
A 9:2017 - Uso de componentes con vulnerabilidades conocidas | Informes de análisis de vulnerabilidades, plantillas de firewall de aplicaciones y firmas personalizadas |
A 10:2017 — Registro y supervisión insuficientes | Registro personalizado configurable por el usuario, sistema de administración y análisis Citrix ADC |
A 1:2017 - Inyección
Los errores de inyección, como la inyección de SQL, NoSQL, OS y LDAP, se producen cuando se envían datos que no son de confianza a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no intencionados o acceda a los datos sin la debida autorización.
Protecciones ADC WAF
-
La función de prevención de inyección SQL protege contra los ataques de inyección comunes. Se pueden cargar patrones de inyección personalizados para protegerse contra cualquier tipo de ataque de inyección, incluidos XPath y LDAP. Esto se aplica a las cargas útiles HTML y XML.
-
La función de actualización automática de firmas mantiene las firmas de inyección actualizadas.
-
La función de protección de formato de campo permite al administrador restringir cualquier parámetro de usuario a una expresión regular. Por ejemplo, puede hacer que un campo de código postal contenga solo números enteros o incluso enteros de 5 dígitos.
-
Coherencia de campos de formulario: valide cada formulario de usuario enviado con la firma del formulario de sesión de usuario para garantizar la validez de todos los elementos del formulario.
-
Las comprobaciones de desbordamiento de búfer garantizan que la URL, los encabezados y las cookies estén dentro de los límites correctos bloqueando cualquier intento de inyectar scripts o código de gran tamaño.
A 2:2017 — Autenticación rota
Las funciones de la aplicación relacionadas con la autenticación y la administración de sesiones a menudo se implementan de forma incorrecta, lo que permite a los atacantes poner en peligro contraseñas, claves o tokens de sesión, o aprovechar otros defectos de implementación para asumir la identidad de otros usuarios de forma temporal o permanente.
Protecciones ADC WAF
-
El módulo AAA de Citrix ADC realiza la autenticación de usuarios y proporciona la funcionalidad de inicio de sesión único a las aplicaciones de fondo. Está integrado en el motor de directivas de Citrix ADC AppExpert para permitir directivas personalizadas basadas en la información de usuarios y grupos.
-
Mediante el uso de las capacidades de descarga de SSL y transformación de URL, el firewall también puede ayudar a los sitios a utilizar protocolos de capa de transporte seguros para evitar el robo de tokens de sesión mediante el rastreo de red.
-
El proxy de cookie y el cifrado de cookies se pueden emplear para mitigar por completo el robo de cookies.
A 3:2017 - Exposición de datos confidenciales
Muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como los financieros, los de salud y la PII. Los atacantes pueden robar o modificar esos datos mal protegidos para cometer fraude con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales cuando se intercambian con el explorador.
Protecciones ADC WAF
-
Application Firewall protege las aplicaciones de la filtración de datos confidenciales, como los datos de las tarjetas
-
Los datos confidenciales se pueden configurar como objetos seguros en la protección de Safe Commerce para evitar la exposición.
-
Cualquier dato confidencial de las cookies se puede proteger mediante el uso de proxy de cookies y el cifrado de cookies.
A 4:2017 Entidades externas XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan las referencias a entidades externas dentro de los documentos XML. Las entidades externas se pueden usar para divulgar archivos internos mediante el controlador de URI de archivos, recursos compartidos de archivos internos, análisis de puertos internos, ejecución remota de código y ataques de denegación de servicio.
Protecciones ADC WAF
-
Además de detectar y bloquear amenazas de aplicaciones comunes que se pueden adaptar para atacar aplicaciones basadas en XML (es decir, scripts entre sitios, inyección de comandos, etc.).
-
ADC Application Firewall incluye un amplio conjunto de protecciones de seguridad específicas de XML. Estas incluyen la validación de esquemas para verificar exhaustivamente los mensajes SOAP y las cargas XML, y una potente comprobación de datos adjuntos XML para bloquear los archivos adjuntos que contienen virus o ejecutables maliciosos.
-
Los métodos de inspección automática del tráfico bloquean los ataques de inyección de XPath en URL y formularios destinados a obtener acceso.
-
El firewall de aplicaciones de ADC también frustra varios ataques DoS, incluidas las referencias a entidades externas, la expansión recursiva, el anidamiento excesivo y los mensajes maliciosos que contienen atributos y elementos largos o numerosos.
A 5:2017 Control de acceso roto
Las restricciones sobre lo que se permite hacer a los usuarios autenticados a menudo no se aplican correctamente. Los atacantes pueden aprovechar estas fallas para acceder a funciones y datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.
Protecciones ADC WAF
-
La función AAA que admite autenticación, autorización y auditoría para todo el tráfico de aplicaciones permite al administrador del sitio administrar los controles de acceso con el dispositivo ADC.
-
La función de seguridad de autorización del módulo AAA del dispositivo ADC permite que el dispositivo verifique qué contenido de un servidor protegido debe permitir el acceso de cada usuario.
-
Coherencia de campos de formulario: si las referencias a objetos se almacenan como campos ocultos en los formularios, al usar la coherencia de campos de formulario, puede validar que estos campos no se alteren en solicitudes posteriores.
-
Proxying de cookies y coherencia de cookies: las referencias a objetos que se almacenan en valores de cookies se pueden validar con estas protecciones.
-
Iniciar comprobación de URL con cierre de URL: Permite al usuario acceder a una lista predefinida de URL permitidas. El cierre de URL crea una lista de todas las URL que se ven en las respuestas válidas durante la sesión del usuario y permite automáticamente el acceso a ellas durante esa sesión.
A 6:2017 - Configuración errónea de seguridad
La mala configuración de la seguridad es el problema más frecuente. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o improvisadas, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo se deben configurar de forma segura todos los sistemas operativos, marcos, bibliotecas y aplicaciones, sino que se les deben aplicar parches y actualizar de manera oportuna.
Protecciones ADC WAF
-
El informe PCI-DSS generado por Application Firewall documenta la configuración de seguridad del dispositivo Firewall.
-
Los informes de las herramientas de escaneo se convierten en firmas ADC WAF para gestionar errores de configuración de seguridad.
-
ADC WAF admite Cenzic, IBM AppScan (Enterprise y Standard), Qualys, TrendMicro, WhiteHat e informes de análisis de vulnerabilidades personalizados.
A 7:2017 - Scripting entre sitios (XSS)
Las fallas de XSS se producen cuando una aplicación incluye datos que no son de confianza en una página web nueva sin la validación o el escape adecuados, o actualiza una página web existente con datos proporcionados por el usuario mediante una API de explorador que puede crear HTML o JavaScript. XSS permite a los atacantes ejecutar scripts en el explorador de la víctima que pueden secuestrar las sesiones de los usuarios, desfigurar sitios web o redirigir al usuario a sitios maliciosos.
Protecciones ADC WAF
-
La protección XSS protege contra los ataques XSS comunes. Se pueden cargar patrones XSS personalizados para modificar la lista predeterminada de etiquetas y atributos permitidos. El ADC WAF utiliza una lista de atributos y etiquetas HTML permitidos para detectar ataques XSS. Esto se aplica a las cargas útiles HTML y XML.
-
ADC WAF bloquea todos los ataques enumerados en la Hoja de referencia de evaluación de filtros XSS de OWASP.
-
La comprobación del formato de campo impide que un atacante envíe datos de formularios web inapropiados, lo que puede ser un posible ataque XSS.
-
Coherencia de campos de formulario.
A 8:2017 - Deserialización insegura
La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si las fallas de deserialización no dan lugar a la ejecución remota de código, se pueden usar para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios.
Protecciones ADC WAF
-
Inspección de carga útil JSON con firmas personalizadas.
-
Seguridad XML: Protege contra denegación de servicio (xDoS) de XML, inyección de XML SQL y Xpath y scripting entre sitios, comprobaciones de formato, cumplimiento de perfiles básicos de WS-I y comprobación de archivos adjuntos XML.
-
Se pueden utilizar comprobaciones de formato de campo y coherencia de cookies y coherencia de campo.
A 9:2017 - Uso de componentes con vulnerabilidades conocidas
Los componentes, como bibliotecas, marcos y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar la pérdida grave de datos o la apropiación del servidor. Las aplicaciones y las API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de las aplicaciones y permitir diversos ataques e impactos.
Protecciones ADC WAF
-
Citrix recomienda tener los componentes de terceros actualizados.
-
Los informes de análisis de vulnerabilidades que se convierten en firmas ADC se pueden utilizar para aplicar parches virtuales a estos componentes.
-
Se pueden usar las plantillas de firewall de aplicaciones que están disponibles para estos componentes vulnerables.
-
Las firmas personalizadas se pueden vincular con el firewall para proteger estos componentes.
A 10:2017 - Registro y supervisión insuficientes
El registro y la supervisión insuficientes, junto con la integración faltante o ineficaz con la respuesta a incidentes, permiten a los atacantes atacar aún más los sistemas, mantener la persistencia, cambiar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días, normalmente detectada por partes externas en lugar de por procesos internos o supervisión.
Protecciones ADC WAF
-
Cuando la acción de registro está habilitada para comprobaciones de seguridad o firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el firewall de la aplicación ha observado al proteger sus sitios web y aplicaciones.
-
El firewall de aplicaciones ofrece la conveniencia de utilizar la base de datos ADC integrada para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes maliciosas.
-
Las expresiones de formato predeterminado (PI) ofrecen la flexibilidad de personalizar la información incluida en los registros con la opción de agregar los datos específicos para capturar en los mensajes de registro generados por el firewall de la aplicación.
-
El firewall de aplicaciones admite registros CEF.
Protección de seguridad de aplicaciones
Citrix ADM
Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución escalable para administrar las implementaciones de Citrix ADC que incluyen dispositivos Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX y Citrix SD-WAN que se implementan en las instalaciones o en nube.
Funciones de administración y análisis de aplicaciones de Citrix ADM
A continuación se enumeran y resumen las funciones principales que son clave para la función de ADM en la seguridad de aplicaciones.
Gestión y análisis de aplicaciones
La función de análisis y administración de aplicaciones de Citrix ADM refuerza el enfoque centrado en las aplicaciones para ayudar a los usuarios a abordar diversos desafíos de entrega de aplicaciones. Este enfoque proporciona a los usuarios visibilidad de las puntuaciones de estado de las aplicaciones, ayuda a los usuarios a determinar los riesgos de seguridad y ayuda a los usuarios a detectar anomalías en los flujos de tráfico de las aplicaciones y a tomar medidas correctivas. La más importante de estas funciones para la seguridad de aplicaciones es la analítica de seguridad de aplicaciones:
- Análisis de seguridad de aplicaciones: análisis de seguridad de aplicaciones. El panel de seguridad de aplicaciones ofrece una visión holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave, como infracciones de seguridad, infracciones de firmas, índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques, como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC descubiertas.
StyleBooks
Los StyleBooks simplifican la tarea de administrar configuraciones complejas de Citrix ADC para las aplicaciones de usuario. Un StyleBook es una plantilla que los usuarios pueden usar para crear y administrar configuraciones de Citrix ADC. Aquí los usuarios se preocupan principalmente por el StyleBook utilizado para implementar el Web Application Firewall. Para obtener más información sobre StyleBooks, consulte: StyleBooks.
Análisis
Proporciona una forma fácil y escalable de analizar los diversos conocimientos de los datos de las instancias de Citrix ADC para describir, predecir y mejorar el rendimiento de las aplicaciones. Los usuarios pueden usar una o más funciones de análisis simultáneamente. Las más importantes de estas funciones para la seguridad de aplicaciones son las siguientes:
-
Security Insight: Perspectiva Security Insight Proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones del usuario y tomar medidas correctivas para proteger las aplicaciones de los usuarios
-
Insight del bot
-
Para obtener más información sobre los análisis, consulte Análisis: análisis.
Otras funciones que son importantes para la funcionalidad de ADM son:
Gestión de eventos
Los eventos representan ocurrencias de eventos o errores en una instancia administrada de Citrix ADC. Por ejemplo, cuando se produce un error del sistema o un cambio en la configuración, se genera un evento y se registra en Citrix ADM. Las siguientes son las funciones relacionadas que los usuarios pueden configurar o ver mediante Citrix ADM:
-
Creación de reglas de eventos: Crear reglas de eventos
-
Ver y exportar mensajes de syslog: Ver y exportar mensajes de syslog
Para obtener más información sobre la gestión de eventos, consulte: Eventos.
Administración de instancias
Permite a los usuarios administrar las instancias de Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway y Citrix SD-WAN. Para obtener más información sobre la administración de instancias, consulta: Adición de Instancias.
Gestión de licencias
Permite a los usuarios administrar las licencias de Citrix ADC mediante la configuración de Citrix ADM como administrador de licencias.
-
Capacidad agrupada de Citrix ADC: capacidad agrupada. Un grupo de licencias común desde el que una instancia de Citrix ADC de usuario puede extraer una licencia de instancia y solo el ancho de banda que necesite. Cuando la instancia ya no requiere estos recursos, vuelve a registrarlos en el grupo común, haciendo que los recursos estén disponibles para otras instancias que los necesiten.
-
Licencias de registro y salida de Citrix ADC VPX: Licencias de registro y salida de Citrix ADC VPX. Citrix ADM asigna licencias a las instancias de Citrix ADC VPX a pedido. Una instancia de Citrix ADC VPX puede retirar la licencia del Citrix ADM cuando se aprovisiona una instancia de Citrix ADC VPX, o volver a registrar su licencia en Citrix ADM cuando se quita o destruye una instancia.
-
Para obtener más información sobre la administración de licencias, consulte: Capacidad agrupada.
Administración de configuración
Citrix ADM permite a los usuarios crear trabajos de configuración que les ayudan a realizar tareas de configuración, como la creación de entidades, la configuración de funciones, la replicación de cambios de configuración, las actualizaciones del sistema y otras actividades de mantenimiento con facilidad en varias instancias. Las plantillas y los trabajos de configuración simplifican las tareas administrativas más repetitivas en una sola tarea en Citrix ADM. Para obtener más información sobre la administración de la configuración, consulte Trabajos de configuración: Trabajos de configuración.
Auditoría de configuración
Permite a los usuarios supervisar e identificar anomalías en las configuraciones en todas las instancias de usuario.
-
Consejos de configuración: Obtenga consejos de configuración para la configuración de red. Permite a los usuarios identificar cualquier anomalía de configuración.
-
Plantilla de auditoría: cree plantillas de auditoría. Permite a los usuarios supervisar los cambios en una configuración específica.
-
Para obtener más información sobre la auditoría de configuración, consulte: Auditoría de configuración.
Las firmas ofrecen las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de las aplicaciones de los usuarios:
-
Modelo de seguridad negativo: con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones para detectar ataques y protegerse contra las vulnerabilidades de las aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden agregar sus propias reglas de firma, en función de las necesidades de seguridad específicas de las aplicaciones de usuario, para diseñar sus propias soluciones de seguridad personalizadas.
-
Modelo de seguridad híbrido: además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración ideal para las aplicaciones de usuario. Usa firmas para bloquear lo que los usuarios no quieren y usa controles de seguridad positivos para hacer cumplir lo permitido.
Para proteger las aplicaciones de usuario mediante el uso de firmas, los usuarios deben configurar uno o más perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección de SQL y scripting entre sitios y las reglas de transformación de SQL del objeto de firmas de usuario se utilizan no solo en las reglas de firma, sino también en las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto signatures.
El Web Application Firewall examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se están lanzando contra las aplicaciones Si los usuarios habilitan las estadísticas, Web Application Firewall mantiene datos sobre las solicitudes que coinciden con una firma o comprobación de seguridad de Web Application Firewall.
Si el tráfico coincide tanto con una firma como con una comprobación de seguridad positiva, se aplicará la más restrictiva de las dos acciones. Por ejemplo, si una solicitud coincide con una regla de firma para la que está inhabilitada la acción de bloqueo, pero la solicitud también coincide con una comprobación de seguridad positiva de SQL Injection para la que la acción es bloque, la solicitud se bloquea. En este caso, <not blocked>es posible que la infracción de firma se registre como, aunque la comprobación de inyección SQL bloquee la solicitud.
Personalización: si es necesario, los usuarios pueden agregar sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones de SQL/XSS. La opción de agregar sus propias reglas de firma, en función de las necesidades de seguridad específicas de las aplicaciones de los usuarios, brinda a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación específica puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden agregar, modificar o eliminar patrones de inyección SQL y scripting entre sitios. Los editores de expresiones regulares y expresiones integrados ayudan a los usuarios a configurar los patrones de usuario y verificar su precisión.
Casos de uso
En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina equilibrio de carga de capa 4, administración de tráfico de capa 7, descarga de servidores, aceleración de aplicaciones, seguridad de aplicaciones, licencias flexibles y otras capacidades esenciales de entrega de aplicaciones. en una única instancia VPX, disponible cómodamente a través de AWS Marketplace. Además, todo se rige por un único marco de directivas y se administra con el mismo y potente conjunto de herramientas que se utilizan para administrar implementaciones locales de Citrix ADC. El resultado neto es que Citrix ADC en AWS permite varios casos de uso convincentes que no solo cubren las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos empresariales en la nube.
Firewall de aplicaciones web (WAF) de Citrix
Citrix Web Application Firewall (WAF) es una solución de nivel empresarial que ofrece protecciones de vanguardia para las aplicaciones modernas. Citrix WAF mitiga las amenazas contra los activos públicos, incluidos sitios web, aplicaciones web y API. Citrix WAF incluye filtrado basado en la reputación de IP, mitigación de bots, las 10 principales protecciones contra amenazas de aplicaciones de OWASP, protección contra DDoS de capa 7 y más. También se incluyen opciones para aplicar la autenticación, cifrados SSL/TLS fuertes, TLS 1.3, directivas de limitación de velocidad y reescritura. Con protecciones WAF básicas y avanzadas, Citrix WAF proporciona una protección integral para sus aplicaciones con una facilidad de uso sin igual. Ponerse en marcha es cuestión de minutos. Además, mediante el uso de un modelo de aprendizaje automatizado, denominado creación de perfiles dinámicos, Citrix WAF ahorra a los usuarios un tiempo precioso. Al aprender automáticamente cómo funciona una aplicación protegida, Citrix WAF se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. Citrix WAF contribuye al cumplimiento de todos los principales organismos y normas regulatorios, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil ponerse en marcha rápidamente. Con el escalado automático, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso a medida que aumenta el tráfico.
Estrategia de implementación de firewall de aplicaciones web
El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y aquellos para los que se puede omitir la inspección de seguridad de manera segura. Esto ayuda a los usuarios a crear una configuración óptima y a diseñar directivas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, es posible que los usuarios deseen configurar una directiva para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra directiva para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden usar varias directivas y perfiles para proteger diferentes contenidos de la misma aplicación.
El siguiente paso es hacer una línea base de la implementación. Comience por crear un servidor virtual y ejecute tráfico de prueba a través de él para tener una idea de la velocidad y la cantidad de tráfico que fluye a través del sistema del usuario.
A continuación, implemente el Web Application Firewall. Utilice Citrix ADM y Web Application Firewall StyleBook para configurar Web Application Firewall. Consulte la sección StyleBook que aparece a continuación en esta guía para obtener más información.
Después de implementar y configurar Web Application Firewall con el StyleBook de Web Application Firewall, un siguiente paso útil sería implementar los diez principales de Citrix ADC WAF y OWASP.
Por último, tres de las protecciones del firewall de aplicaciones web son especialmente eficaces contra los tipos comunes de ataques web y, por lo tanto, se utilizan con más frecuencia que cualquiera de las otras. Por lo tanto, deben implementarse en la implementación inicial. Se trata de:
-
Scripting HTML entre sitios. Examina las solicitudes y respuestas de scripts que intentan acceder o modificar el contenido de un sitio web diferente al que se encuentra en el que se encuentra el script. Cuando esta comprobación encuentra un script de este tipo, lo hace inofensivo antes de reenviar la solicitud o respuesta a su destino, o bloquea la conexión.
-
Inyección HTML SQL. Examina las solicitudes que contienen datos de campos de formulario para intentar inyectar comandos SQL en una base de datos SQL. Cuando esta comprobación detecta código SQL inyectado, bloquea la solicitud o hace que el código SQL inyectado sea inofensivo antes de reenviar la solicitud al servidor web.
Nota: Si las dos condiciones siguientes se aplican a la configuración de usuario, los usuarios deben asegurarse de que el Web Application Firewall esté configurado correctamente:
Si los usuarios habilitan la comprobación de scripting entre sitios HTML o la comprobación de inyección HTML SQL (o ambas), y
Los sitios web protegidos por el usuario aceptan la carga de archivos o contienen formularios web que pueden contener grandes datos del cuerpo POST.
Para obtener más información sobre la configuración de Web Application Firewall para gestionar este caso, consulte Configuración del firewall de aplicaciones: configuración del Web App Firewall.
- Desbordamientode Examina las solicitudes para detectar intentos de provocar un desbordamiento de búfer en el servidor web.
Configuración del firewall de aplicaciones web (WAF)
Los siguientes pasos suponen que el WAF ya está habilitado y funciona correctamente.
Citrix recomienda que los usuarios configuren WAF mediante el StyleBook de Web Application Firewall. La mayoría de los usuarios consideran que es el método más fácil de configurar Web Application Firewall y está diseñado para evitar errores. Tanto la GUI como la interfaz de línea de comandos están pensados para usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.
Inyección SQL
La comprobación de inyección SQL HTML de Application Firewall proporciona defensas especiales contra la inyección de código SQL no autorizado que podría dañar la seguridad de la aplicación del usuario. Citrix Web Application Firewall examina la carga útil de la solicitud en busca de código SQL inyectado en tres ubicaciones: 1) cuerpo POST, 2) encabezados y 3) cookies.
Un conjunto predeterminado de palabras clave y caracteres especiales proporciona palabras clave conocidas y caracteres especiales que se utilizan comúnmente para lanzar ataques SQL. Los usuarios también pueden agregar nuevos patrones y modificar el conjunto predeterminado para personalizar la inspección de comprobación SQL.
Hay varios parámetros que se pueden configurar para el procesamiento de inyección SQL. Los usuarios pueden comprobar los caracteres comodín de SQL. Los usuarios pueden cambiar el tipo de inyección SQL y seleccionar una de las 4 opciones (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) para indicar cómo evaluar las palabras clave SQL y los caracteres especiales de SQL al procesar la carga útil. Elparámetro Manejo de comentarios SQLofrece a los usuarios la opción de especificar el tipo de comentarios que deben inspeccionarse o eximirse durante la detección de Inyección SQL.
Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje puede ofrecer recomendaciones para configurar reglas de relajación.
Están disponibles las siguientes opciones para configurar una protección de inyección SQL optimizada para la aplicación de usuario:
Bloquear: Si los usuarios habilitan el bloqueo, la acción de bloqueo solo se activa si la entrada coincide con la especificación del tipo de inyección SQL. Por ejemplo, si SQLSplCharANDKeyword está configurado como el tipo de inyección SQL, una solicitud no se bloquea si no contiene palabras clave, incluso si se detectan caracteres especiales de SQL en la entrada. Esta solicitud se bloquea si el tipo de inyección SQL se establece en SQLSplChar o SQLSplCharORKeyword.
Registro: Si los usuarios habilitan la función de registro, la comprobación de inyección SQL genera mensajes de registro que indican las acciones que lleva a cabo. Si el bloqueo está inhabilitado, se genera un mensaje de registro independiente para cada campo de entrada en el que se detectó la infracción SQL. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera un mensaje de registro por solicitud para la operación de transformación, incluso cuando los caracteres especiales de SQL se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si se bloquean las respuestas a las solicitudes legítimas. Un gran aumento en la cantidad de mensajes de registro puede indicar intentos de lanzar un ataque.
Estadísticas: Si está habilitada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está siendo atacada. Si se bloquean las solicitudes legítimas, es posible que los usuarios tengan que volver a visitar la configuración para ver si necesitan configurar nuevas reglas de relajación o modificar las existentes.
Aprendizaje: Si los usuarios no están seguros de qué reglas de relajación de SQL podrían ser las más adecuadas para sus aplicaciones, pueden usar la función de aprendizaje para generar recomendaciones basadas en los datos aprendidos. El motor de aprendizaje Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje de SQL en función de los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, es posible que los usuarios deseen habilitar la opción de aprendizaje durante un breve período de tiempo para obtener una muestra representativa de las reglas y, a continuación, implementar las reglas e inhabilitar el aprendizaje.
Transformar caracteres especiales de SQL: el Web Application Firewall considera tres caracteres, comillas simples (‘), barra invertida () y punto y coma (;) como caracteres especiales para el procesamiento de la comprobación de seguridad de SQL. La función Transformación SQL modifica el código de inyección SQL en una solicitud HTML para garantizar que la solicitud se convierta en inofensiva. La solicitud HTML modificada se envía al servidor. Todas las reglas de transformación predeterminadas se especifican en el archivo /netscaler/default_custom_settings.xml.
-
La operación de transformación hace que el código SQL esté inactivo al realizar los siguientes cambios en la solicitud:
-
Comilla recta simple (‘) a comilla recta doble (“).
-
Barra invertida () a barra invertida doble ().
-
El punto y coma (;) se elimina por completo.
Estos tres caracteres (cadenas especiales) son necesarios para emitir comandos a un servidor SQL. A menos que un comando SQL vaya precedido de una cadena especial, la mayoría de los servidores SQL ignoran ese comando. Por lo tanto, los cambios que realiza el Web Application Firewall cuando la transformación está habilitada evitan que un atacante inyecte SQL activo. Una vez realizados estos cambios, la solicitud se puede reenviar de forma segura al sitio web protegido por el usuario. Cuando los formularios web en el sitio web protegido por el usuario pueden contener legítimamente cadenas especiales de SQL, pero los formularios web no dependen de las cadenas especiales para funcionar correctamente, los usuarios pueden inhabilitar el bloqueo y habilitar la transformación para evitar el bloqueo de datos legítimos de formularios web sin reducir la protección que ofrece la Web Application Firewall proporciona a los usuarios sitios web protegidos.
La operación de transformación funciona independientemente de la configuración Tipo de inyección SQL. Si la transformación está habilitada y el tipo de inyección SQL se especifica como palabra clave SQL, los caracteres especiales SQL se transforman incluso si la solicitud no contiene palabras clave.
Consejo: Los usuarios normalmente habilitan la transformación o el bloqueo, pero no ambos. Si la acción de bloqueo está habilitada, tiene prioridad sobre la acción de transformación. Si los usuarios tienen habilitado el bloqueo, habilitar la transformación es redundante.
Comprobar caracteres comodín SQL: los caracteres comodín se pueden utilizar para ampliar las selecciones de una declaración SELECT
SQL. Estos operadores comodín se pueden usar con los operadoresLIKEy NOTLIKE para comparar un valor con valores similares. Los caracteres de porcentaje (%) y subrayado (_) se utilizan con frecuencia como comodines. El signo de porcentaje es análogo al carácter comodín de asterisco (*) utilizado con MS-DOS y para hacer coincidir cero, uno o varios caracteres en un campo. El guión bajo es similar al signo de interrogación de MS-DOS (?) carácter comodín. Coincide con un solo número o carácter en una expresión.
Por ejemplo, los usuarios pueden usar la siguiente consulta para realizar una búsqueda de cadenas para encontrar todos los clientes cuyos nombres contengan el carácter D.
SELECCIONE * del nombre WHERE del cliente como “%D%”:
El siguiente ejemplo combina los operadores para encontrar cualquier valor salarial que tenga 0 en segundo y tercer lugar.
SELECCIONE * del cliente WHERE salario como ‘_ 00% ‘:
Diferentes proveedores de DBMS han ampliado los caracteres comodín agregando operadores adicionales. Citrix Web Application Firewall puede proteger contra los ataques que se lanzan mediante la inserción de estos caracteres comodín. Los 5 caracteres comodín predeterminados son porcentaje (%), guión bajo (_), intercalación (^), corchete de apertura ([) y corchete de cierre (]). Esta protección se aplica tanto a perfiles HTML como XML.
Los caracteres comodín predeterminados son una lista de literales especificados en*Firmas predeterminadas:
-
<wildchar type=” LITERAL”>%</wildchar>
-
<wildchar type=”LITERAL”>_</wildchar>
-
<wildchar type=”LITERAL”>^</wildchar>
-
<wildchar type=”LITERAL”>[</wildchar>
-
<wildchar type=”LITERAL”>]</wildchar>
Los caracteres comodín en un ataque pueden ser PCRE, como [^A-F]. El Web Application Firewall también admite comodines PCRE, pero los caracteres comodín literales anteriores son suficientes para bloquear la mayoría de los ataques.
Nota: La comprobación de caracteres comodín SQL es diferente de la comprobación de caracteres especiales SQL. Esta opción debe usarse con precaución para evitar falsos positivos.
Solicitud de comprobación que contiene el tipo de inyección de SQL: el Web Application Firewall ofrece 4 opciones para implementar el nivel de rigurosidad deseado para la inspección de inyección de SQL, en función de las necesidades individuales de la aplicación. La solicitud se compara con la especificación del tipo de inyección para detectar infracciones de SQL. Las 4 opciones de tipo de inyección SQL son:
-
Carácter especial y palabra clave de SQL: deben estar presentes tanto una palabra clave SQL como un carácter especial de SQL en la entrada para desencadenar una infracción de SQL. Esta configuración menos restrictiva también es la configuración predeterminada.
-
Carácter especial de SQL: debe haber al menos uno de los caracteres especiales en la entrada para desencadenar una infracción de SQL.
-
Palabra clave SQL: al menos una de las palabras clave SQL especificadas debe estar presente en la entrada para desencadenar una infracción de SQL. No seleccione esta opción sin la debida consideración. Para evitar falsos positivos, asegúrese de que no se espera ninguna de las palabras clave en las entradas.
-
Character especial o palabra clave de SQL: La palabra clave o la cadena de caracteres especial deben estar presentes en la entrada para desencadenar la infracción de comprobación de seguridad.
Consejo: Si los usuarios configuran Web Application Firewall para comprobar si hay entradas que contengan un carácter especial de SQL, el Web Application Firewall omite los campos de formulario web que no contengan ningún carácter especial. Dado que la mayoría de los servidores SQL no procesan comandos SQL que no estén precedidos por un carácter especial, habilitar esta opción puede reducir significativamente la carga en el Web Application Firewall y acelerar el procesamiento sin poner en riesgo los sitios web protegidos por el usuario.
Gestión de comentarios SQL: De forma predeterminada, Web Application Firewall comprueba todos los comentarios SQL en busca de comandos SQL inyectados. Sin embargo, muchos servidores SQL ignoran cualquier cosa en un comentario, incluso si van precedidos de un carácter especial de SQL. Para un procesamiento más rápido, si el servidor SQL ignora los comentarios, puede configurar Web Application Firewall para omitir los comentarios al examinar las solicitudes de SQL inyectado. Las opciones de manejo de comentarios SQL son:
-
ANSI: omite los comentarios SQL en formato ANSI, que normalmente utilizan las bases de datos SQL basadas en UNIX. Por ejemplo:
-
/— (Dos guiones) - Este es un comentario que comienza con dos guiones y termina con el final de la línea.
-
{}: Tirantes (Las llaves encierran el comentario. El {precede al comentario y el} lo sigue. Las llaves pueden delimitar los comentarios de una o varias líneas, pero los comentarios no se pueden anidar)
-
/**/: comentarios estilo C (no permite comentarios anidados). Tenga en cuenta /*! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/
-
MySQL Server admite algunas variantes de comentarios de estilo C. Permiten a los usuarios escribir código que incluya extensiones de MySQL, pero que siga siendo portátil, mediante comentarios de la siguiente forma: [/*! Código específico de MySQL [*/]
-
.#: Comentarios de MySQL: Este es un comentario que comienza con el carácter # y termina con el final de la línea
-
-
Anidado: Omita los comentarios SQL anidados, que normalmente usa Microsoft SQL Server. Por ejemplo; — (Dos guiones) y/**/(Permite comentarios anidados)
-
ANSI/anidado: Omita los comentarios que se adhieren a los estándares de comentarios ANSI y SQL anidado. Los comentarios que coincidan solo con el estándar ANSI, o solo con el estándar anidado, aún se comprueban en busca de SQL inyectado.
-
Comprobar todos los comentarios: Compruebe toda la solicitud de SQL inyectado sin omitir nada. Esta es la opción predeterminada.
Consejo: Por lo general, los usuarios no deben elegir la opción anidada o ANSI/anidada a menos que su base de datos back-end se ejecute en Microsoft SQL Server. La mayoría de los otros tipos de software de SQL Server no reconocen los comentarios anidados. Si los comentarios anidados aparecen en una solicitud dirigida a otro tipo de servidor SQL, pueden indicar un intento de violar la seguridad en ese servidor.
Comprobar encabezados de solicitud: Habilite esta opción si, además de examinar la entrada en los campos del formulario, los usuarios desean examinar los encabezados de solicitud para detectar ataques de inyección HTML SQL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en el panelConfiguración avanzada -> Configuracióndeperfildel perfil de Web Application Firewall.
Nota: Si los usuarios habilitan la marca de encabezado Check Request, es posible que tengan que configurar una regla de relajación para el encabezadoUser-Agent. La presencia de la palabra clave SQLlikey un carácter especial de SQL y punto y coma (;) puede provocar falsos positivos y bloquear las solicitudes que contienen este encabezado. Advertencia: Si los usuarios habilitan tanto la verificación como la transformación del encabezado de la solicitud, también se transformarán los caracteres especiales de SQL que se encuentren Los encabezados Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect y User-Agent normalmente contienen punto y coma (;). La activación simultánea de la verificación y la transformación de encabezados de solicitud puede provocar errores.
InspectQueryContentTypes: configure esta opción si los usuarios desean examinar la parte de consulta de solicitud para detectar ataques de inyección SQL para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en el panelConfiguración avanzada->Configuración del perfilde Firewall de aplicaciones.
Scripting entre sitios
La comprobación de scripts de sitios HTML (scripts de sitios) examina tanto los encabezados como los cuerpos POST de las solicitudes de los usuarios para detectar posibles ataques de scripts de sitios. Si encuentra un script de sitios, modifica (transforma) la solicitud para que el ataque sea inofensivo o bloquea la solicitud.
Nota: La comprobación HTML Cross-Site Scripting (cross-site scripting) solo funciona para el tipo de contenido, la longitud del contenido, etc. No funciona para las cookie. Asegúrese también de tener habilitada la opción “checkRequestHeaders” en el perfil de Web Application Firewall del usuario.
Para evitar el uso indebido de los scripts en los sitios web protegidos por el usuario para violar la seguridad de los sitios web de los usuarios, la comprobación HTML Cross-Site Scripting bloquea los scripts que infringen la misma regla de origen, que establece que los scripts no deben acceder ni modificar el contenido de ningún servidor que no sea el servidor en el que se encuentran. Cualquier script que infrinja la misma regla de origen se denomina scripting entre sitios y la práctica de utilizar scripts para acceder o modificar el contenido de otro servidor se denomina scripting entre sitios. La razón por la que los scripts de sitios son un problema de seguridad es que un servidor web que permite el scripting entre sitios puede ser atacado con un script que no esté en ese servidor web, sino en un servidor web diferente, como uno que sea propiedad y esté controlado por el atacante.
Desafortunadamente, muchas empresas tienen una gran base instalada de contenido web mejorado con JavaScript que infringe la misma regla de origen. Si los usuarios habilitan la comprobación de scripting entre sitios HTML en un sitio de este tipo, tienen que generar las excepciones adecuadas para que la comprobación no bloquee la actividad legítima.
El Web Application Firewall ofrece varias opciones de acción para implementar la protección de scripts entre sitios HTML. Además de las accionesBloquear,Registrar,EstadísticasyAprendizaje, los usuarios también tienen la opción detransformar scripts entre sitiospara hacer que un ataque sea inofensivo mediante la entidad que codifica las etiquetas de script en la solicitud enviada. Los usuarios pueden configurar Comprobar URL completas para el parámetro de scripting entre sitios para especificar si desean inspeccionar no solo los parámetros de consulta, sino toda la URL para detectar un ataque de scripting entre sitios. Los usuarios pueden configurar el parámetro InspectQueryContentTypespara inspeccionar la parte de consulta de solicitud en busca de un ataque de scripting entre sitios para los tipos de contenido específicos.
Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje de Web Application Firewall puede ofrecer recomendaciones para configurar reglas de relajación.
Están disponibles las siguientes opciones para configurar una protección optimizada de scripts entre sitios HTML para la aplicación de usuario:
-
Bloquear: Si los usuarios habilitan el bloqueo, la acción de bloqueo se activa si se detectan las etiquetas de scripting entre sitios en la solicitud.
-
Registro: Si los usuarios habilitan la función de registro, la comprobación HTML Cross-Site Scripting genera mensajes de registro que indican las acciones que lleva a cabo. Si el bloqueo está inhabilitado, se genera un mensaje de registro independiente para cada encabezado o campo de formulario en el que se detectó la infracción de scripts de sitios. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera un mensaje de registro por solicitud para la operación de transformación, incluso cuando las etiquetas de scripts entre sitios se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si se bloquean las respuestas a las solicitudes legítimas. Un gran aumento en la cantidad de mensajes de registro puede indicar intentos de lanzar un ataque.
-
Estadísticas: Si está habilitada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está siendo atacada. Si se bloquean las solicitudes legítimas, es posible que los usuarios tengan que volver a visitar la configuración para ver si deben configurar nuevas reglas de relajación o modificar las existentes.
-
Aprender: Si los usuarios no están seguros de qué reglas de relajación podrían ser las más adecuadas para su aplicación, pueden usar la función de aprendizaje para generar recomendaciones de reglas de scripts entre sitios HTML basadas en los datos aprendidos. El motor de aprendizaje Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, es posible que los usuarios deseen habilitar la opción de aprendizaje durante un breve período de tiempo para obtener una muestra representativa de las reglas y, a continuación, implementar las reglas e inhabilitar el aprendizaje.
-
Transformar scripting entre sitios: Si se habilita, Web Application Firewall realiza los siguientes cambios en las solicitudes que coinciden con la comprobación de scripting entre sitios HTML:
-
Corchete angular izquierdo (<) a equivalente de entidad de caracteres HTML (<)
-
Corchete angular derecho (>) a equivalente de entidad de caracteres HTML (>)
-
Esto garantiza que los exploradores no interpreten etiquetas html no seguras, como<script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.
-
Comprobar URL completas para detectar scripting entre sitios: Si se habilita la comprobación de URL completas, Web Application Firewall examina las URL completas en busca de ataques de scripting entre sitios HTML en lugar de comprobar solo las partes de consulta de las URL.
-
Comprobar encabezados de solicitud: Si la comprobación del encabezado de solicitud está habilitada, Web Application Firewall examina los encabezados de las solicitudes de ataques de scripting entre sitios HTML, en lugar de solo las URL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en la ficha Configuración del perfil de Web Application Firewall.
-
InspectQueryContentTypes: Si está configurado Solicitar inspección de consultas, Application Firewall examina la consulta de solicitudes de ataques de scripting entre sitios para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en la ficha Configuración del perfil de Application Firewall.
Importante: Como parte de los cambios de streaming, ha cambiado el procesamiento de Web Application Firewall de las etiquetas de scripting entre sitios. En versiones anteriores, la presencia de corchetes abiertos (<), or close bracket (>) o corchetes abiertos y cerrados (<>) se marcaba como una infracción de scripting entre sitios. El comportamiento ha cambiado en las compilaciones que incluyen soporte para la transmisión en el lado de la solicitud. Solo el carácter de corchete cerrado (>) ya no se considera un ataque. Las solicitudes se bloquean incluso cuando hay un carácter de corchete abierto (<) y se consideran un ataque. El ataque de scripts de sitios se marca.
Comprobación de desbordamiento de búfer
La comprobación de desbordamiento de búfer detecta los intentos de provocar un desbordamiento de búfer en el servidor web. Si el Web Application Firewall detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede provocar un desbordamiento de búfer.
La comprobación de desbordamiento de búfer evita ataques contra software de servidor web o sistema operativo inseguro que puede bloquearse o comportarse de forma impredecible cuando recibe una cadena de datos mayor de lo que puede manejar. Las técnicas de programación adecuadas evitan los desbordamientos de búfer mediante la comprobación de los datos entrantes y el rechazo o truncamiento de cadenas excesivas. Muchos programas, sin embargo, no comprueban todos los datos entrantes y, por lo tanto, son vulnerables a los desbordamientos de búfer. Este problema afecta especialmente a las versiones anteriores del software del servidor web y los sistemas operativos, muchos de los cuales todavía están en uso.
La comprobación de seguridad de desbordamiento de búfer permite a los usuarios configurar las accionesBloquear,RegistraryEstadísticas. Además, los usuarios también pueden configurar los siguientes parámetros:
-
Longitud máxima de URL. La longitud máxima que permite el Web Application Firewall en una URL solicitada. Las solicitudes con URL más largas están bloqueadas.Valores posibles: 0—65535.Predeterminado: 1024
-
Longitud máxima de las cookies. La longitud máxima que el Web Application Firewall permite para todas las cookies de una solicitud. Las solicitudes con cookies más largas desencadenan las infracciones.Valores posibles: 0—65535.Predeterminado: 4096
-
Longitud máxima del encabezado. La longitud máxima que el Web Application Firewall permite para los encabezados HTTP. Las solicitudes con cabeceras más largas están bloqueadas.Valores posibles: 0—65535.Predeterminado: 4096
-
Longitud de cadena de consulta. Longitud máxima permitida para una cadena de consulta en una solicitud entrante. Las solicitudes con consultas más largas están bloqueadas. Valores posibles: 0—65535. Predeterminado: 1024
-
Longitud total de la solicitud. Longitud máxima de solicitud permitida para una solicitud entrante. Se bloquean las solicitudes de mayor duración. Valores posibles: 0—65535. Predeterminado: 24820
Parches/firmas virtuales
Las firmas proporcionan reglas específicas y configurables para simplificar la tarea de proteger los sitios web de los usuarios contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas nativas o incorporadas preconfiguradas ofrece una solución de seguridad fácil de usar, que aplica el poder de la coincidencia de patrones para detectar ataques y proteger contra las vulnerabilidades de las aplicaciones.
Los usuarios pueden crear sus propias firmas o usar firmas en las plantillas integradas. El Web Application Firewall tiene dos plantillas integradas:
- Firmas predeterminadas: esta plantilla contiene una lista preconfigurada de más de 1300 firmas, además de una lista completa de palabras clave de inyección SQL, cadenas especiales de SQL, reglas de transformación de SQL y caracteres comodín de SQL. También contiene patrones denegados para scripts entre sitios y atributos y etiquetas permitidos para scripts entre sitios. Esta es una plantilla de solo lectura. Los usuarios pueden ver el contenido, pero no pueden agregar, modificar ni eliminar nada de esta plantilla. Para usarlo, los usuarios deben hacer una copia. En su propia copia, los usuarios pueden habilitar las reglas de firma que desean aplicar a su tráfico y especificar las acciones que se llevarán a cabo cuando las reglas de firma coincidan con el tráfico.
Las firmas se derivan de las reglas publicadas por SNORT: SNORT, que es un sistema de prevención de intrusiones de código abierto capaz de realizar análisis de tráfico en tiempo real para detectar varios ataques y sondeos.
- *Patrones de inyección Xpath: Esta plantilla contiene un conjunto preconfigurado de palabras clave literales y PCRE y cadenas especiales que se utilizan para detectar ataques de inyección XPath (lenguaje de ruta XML).
Firmas en blanco: además de hacer una copia de la plantilla Firmas predeterminadas integrada, los usuarios pueden usar una plantilla de firmas en blanco para crear un objeto de firma. El objeto de firma que los usuarios crean con la opción de firmas en blanco no tiene ninguna regla de firma nativa, pero, al igual que la plantilla *Default, tiene todas las entidades integradas de SQL/XSS.
Firmas de formato externo: El Web Application Firewall también admite firmas de formato externo. Los usuarios pueden importar el informe de análisis de terceros mediante los archivos XSLT que admite Citrix Web Application Firewall. Hay disponible un conjunto de archivos XSLT integrados para herramientas de escaneo seleccionadas para traducir archivos de formato externo al formato nativo (consulte la lista de archivos XSLT integrados más adelante en esta sección).
Si bien las firmas ayudan a los usuarios a reducir el riesgo de vulnerabilidades expuestas y a proteger los servidores web de misión crítica del usuario mientras buscan la eficacia, las firmas tienen un coste de procesamiento de CPU adicional.
Es importante elegir las firmas adecuadas para las necesidades de la aplicación del usuario. Habilite solo las firmas que sean relevantes para la aplicación/entorno del cliente.
Citrix ofrece firmas en más de 10 categorías diferentes en plataformas y sistemas operativos.
La base de datos de reglas de firma es sustancial, ya que la información sobre ataques se ha ido acumulando a lo largo Por lo tanto, es posible que la mayoría de las reglas antiguas no sean relevantes para todas las redes, ya que es posible que los desarrolladores de software ya las hayan parcheado o que los clientes estén ejecutando una versión más reciente del sistema operativo.
Actualizaciones de firmas
Citrix Web Application Firewall admite la actualización automática y manual de firmas. También sugerimos activar la actualización automática de firmas para mantenerse al día.
Estos archivos de firmas están alojados en el entorno de AWS y es importante permitir el acceso saliente a las IP de NetScaler desde los firewalls de red para obtener los archivos de firma más recientes. La actualización de firmas en el ADC durante el procesamiento del tráfico en tiempo real no tiene ningún efecto.
Análisis de seguridad de aplicaciones
Elpanel de seguridad de aplicacionesproporciona una visión holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave, como infracciones de seguridad, infracciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con los ataques, como ataques syn, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC descubiertas.
Nota: Para ver las métricas del Panel de seguridad de aplicaciones, la información de AppFlow for Security debe estar habilitada en las instancias de Citrix ADC que los usuarios quieren supervisar.
Para ver las métricas de seguridad de una instancia de Citrix ADC en el panel de seguridad de la aplicación:
-
Inicie sesión en Citrix ADM con las credenciales de administrador.
-
Vaya aAplicaciones > Panel de seguridad de aplicacionesy seleccione la dirección IP de la instancia en la lista Dispositivos.
Los usuarios pueden profundizar en las discrepancias informadas en el investigador de seguridad de aplicaciones haciendo clic en las burbujas trazadas en el gráfico.
Aprendizaje centralizado en ADM
Citrix Web Application Firewall (WAF) protege las aplicaciones web de los usuarios de ataques maliciosos, como la inyección de SQL y el scripting entre sitios (XSS). Para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada, los usuarios deben supervisar su tráfico en busca de amenazas y datos procesables en tiempo real sobre los ataques. A veces, los ataques denunciados pueden ser falsos positivos y deben proporcionarse como una excepción.
El aprendizaje centralizado en Citrix ADM es un filtro de patrones repetitivos que permite a WAF aprender el comportamiento (las actividades normales) de las aplicaciones web de los usuarios. En función de la supervisión, el motor genera una lista de reglas o excepciones sugeridas para cada comprobación de seguridad aplicada al tráfico HTTP.
Es mucho más fácil implementar reglas de relajación con el motor de aprendizaje que implementarlo manualmente como relajaciones necesarias.
Para implementar la función de aprendizaje, los usuarios deben configurar primero un perfil de Web Application Firewall (conjunto de configuraciones de seguridad) en el dispositivo Citrix ADC del usuario. Para obtener más información, consulte Creación de perfiles de Web Application Firewall: Creación de perfiles de Web App Firewall.
Citrix ADM genera una lista de excepciones (relajación) para cada comprobación de seguridad. Como administrador, los usuarios pueden revisar la lista de excepciones en Citrix ADM y decidir implementarlas o saltarlas.
Con la función de aprendizaje de WAF en Citrix ADM, los usuarios pueden:
-
Configurar un perfil de aprendizaje con las siguientes comprobaciones de seguridad
-
Desbordamiento de búfer
- Scripts HTML entre sitios
Nota: La limitación de ubicación del script entre sitios es solo FormField.
- Inyección HTML SQL
Nota:
Para la comprobación de inyección HTML SQL, los usuarios deben configurar
set -sqlinjectionTransformSpecialChars ON
yset -sqlinjectiontype sqlspclcharorkeywords
en la instancia de Citrix ADC.
-
-
Compruebe las reglas de relajación en Citrix ADM y decida tomar las medidas necesarias (implementar u omitir)
-
Recibe las notificaciones por correo electrónico, slack y ServiceNow
-
Utilice el panel para ver los detalles de relajación
Para utilizar el aprendizaje WAF en Citrix ADM:
-
Configurar el perfil de aprendizaje: Configurar el perfil de aprendizaje
-
Consulte las reglas de relajación: Consulte las reglas de relajación y las reglas de inactividad
-
Usar el panel de aprendizaje de WAF: Ver el panel de aprendizaje de WAF
Libro de estilos
Citrix Web Application Firewall es un Firewall de aplicaciones web (WAF) que protege las aplicaciones y los sitios web de ataques conocidos y desconocidos, incluidas todas las amenazas de capa de aplicaciones y de día cero.
Citrix ADM ahora proporciona un StyleBook predeterminado con el que los usuarios pueden crear más cómodamente una configuración de firewall de aplicaciones en las instancias de Citrix ADC.
Implementación de las configuraciones de firewall
La siguiente tarea le ayuda a implementar una configuración de equilibrio de carga junto con el firewall de aplicaciones y la directiva de reputación IP en instancias Citrix ADC en su red empresarial.
Para crear una configuración de LB con la configuración de firewall de aplicaciones
En Citrix ADM, vaya aAplicaciones>Configuraciones>StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para uso del cliente en Citrix
- ADM. Desplácese hacia abajo y busque HTTP/SSL Load Balancing StyleBook con la directiva de firewall de aplicaciones y la directiva de reputación IP. Los usuarios también pueden buscar StyleBook escribiendo el nombre como
lb-appfw.
Haga clic en Crear configuración.
El StyleBook se abre como una página de interfaz de usuario en la que los usuarios pueden introducir los valores de todos los parámetros definidos en este StyleBook.
-
Introduzca valores para los siguientes parámetros:
-
Nombre de aplicación equilibrada de carga. Nombre de la configuración de equilibrio de carga con un firewall de aplicaciones para implementarlo en la red del usuario.
-
Cargar la dirección IP virtual de la aplicación equilibrada. Dirección IP virtual en la que la instancia de Citrix ADC recibe solicitudes de cliente.
-
Puerto virtual de la aplicación equilibrada de carga. El puerto TCP que utilizarán los usuarios para acceder a la aplicación con carga equilibrada.
-
Load Balanced App Protocol. Seleccione el protocolo front-end de la lista.
-
Protocolo de servidor de aplicaciones. Seleccione el protocolo del servidor de aplicaciones.
-
- Como opción, los usuarios pueden habilitar y configurar losajustes avanzados del equilibrador de carga.
- De manera opcional, los usuarios también pueden configurar un servidor de autenticación para autenticar el tráfico del servidor virtual de equilibrio de carga.
- Haga clic en “+” en la sección IPs y puertos del servidor para crear servidores de aplicaciones y los puertos a los que se puede acceder.
- Los usuarios también pueden crear nombres de FQDN para los servidores de aplicaciones.
- Los usuarios también pueden especificar los detalles del certificado SSL.
- Los usuarios también pueden crear monitores en la instancia de Citrix ADC de destino.
- Para configurar un firewall de aplicaciones en el servidor virtual, habilite Configuración WAF.
Asegúrese de que la regla de directiva de firewall de aplicaciones sea verdadera si los usuarios desean aplicar la configuración del firewall de aplicaciones a todo el tráfico de esa VIP. De lo contrario, especifique la regla de directiva Citrix ADC para seleccionar un subconjunto de solicitudes al que aplicar la configuración del firewall de aplicaciones. A continuación, seleccione el tipo de perfil que debe aplicarse: HTML o XML.
-
De manera opcional, los usuarios pueden configurar parámetros detallados del perfil de firewall de aplicaciones activando la casilla de verificación Configuración del perfil de firewall de aplicaciones
-
De manera opcional, si los usuarios desean configurar firmas de firewall de aplicaciones, introduzca el nombre del objeto de firma que se crea en la instancia de Citrix ADC en la que se va a implementar el servidor virtual.
Nota:
Los usuarios no pueden crear objetos de firma con este StyleBook.
- A continuación, los usuarios también pueden configurar cualquier otra configuración del perfil de firewall de la aplicación, como la configuración de StartURL, la configuración de denegación de URL y otras.
Para obtener más información sobre el firewall de aplicaciones y la configuración de configuración, vea Firewall de aplicaciones.
- En la secciónTarget Instances, seleccione la instancia de Citrix ADC en la que desea implementar el servidor virtual de equilibrio de carga con el firewall de aplicaciones.
Nota: Los usuarios también pueden hacer clic en el icono de actualización para agregar instancias de Citrix ADC descubiertas recientemente en Citrix ADM a la lista de instancias disponibles en esta ventana.
- Los usuarios también pueden habilitar laverificación de reputaciónde IP para identificar la dirección IP que envía solicitudes no deseadas. Los usuarios pueden usar la lista de reputación de IP para rechazar de forma preventiva las solicitudes que provienen de la IP con mala reputación.
Consejo: Citrix recomienda que los usuarios seleccionen Ejecución en seco para comprobar los objetos de configuración que deben crearse en la instancia de destino antes de ejecutar la configuración real en la instancia.
Cuando la configuración se crea correctamente, StyleBook crea el servidor virtual de equilibrio de carga requerido, el servidor de aplicaciones, los servicios, los grupos de servicios, las etiquetas de firewall de aplicaciones, las directivas de firewall de aplicaciones y los vincula al servidor virtual de equilibrio de carga.
La siguiente ilustración muestra los objetos creados en cada servidor:
- Para ver el ConfigPack creado en Citrix ADM, vaya a Aplicaciones > Configuraciones.
Análisis de Security Insight
Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, los usuarios necesitan visibilidad de la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de los usuarios y tomar medidas correctivas para proteger las aplicaciones de los
Cómo funciona Security Insight
Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que ofrece a los usuarios una visibilidad total del entorno de amenazas asociado con las aplicaciones de los usuarios. La información de seguridad se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema ADC y Firewall de aplicaciones del usuario. Los informes incluyen la siguiente información para cada aplicación:
- Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la gravedad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.
El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría del ataque, la ubicación y los detalles del cliente, proporciona a los usuarios información sobre los ataques a la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.
- Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que los usuarios han configurado las instancias de ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.
El índice de seguridad tiene en cuenta tanto la configuración del firewall de la aplicación como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen comprobaciones rigurosas del firewall de aplicaciones pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el usuario nsroot
, a las aplicaciones se les asigna un valor bajo de índice de seguridad.
- Información procesable. Información que los usuarios necesitan para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, los usuarios pueden revisar la información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de la aplicación y otras funciones de seguridad, la velocidad a la que se atacan las aplicaciones, etc.
Configuración de Security Insight
Nota: Security Insight solo se admite en instancias de ADC con licencia Premium o ADC Advanced con licencia de AppFirewall.
Para configurar información sobre seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones y, a continuación, vincule la directiva de firewall de aplicaciones globalmente.
A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. Cuando los usuarios configuran el recopilador, deben especificar la dirección IP del agente de servicio Citrix ADM en el que quieren supervisar los informes.
Configurar Security Insight en una instancia de ADC
- Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.
add appfw profile <name> [-defaults ( basic o advanced )]
set appfw profile <name> [-startURLAction <startURLAction> …]
add appfw policy <name> <rule> <profileName>
bind appfw global <policyName> <priority>
O bien:
bind lb vserver <lb vserver> -policyName <policy> -priority <priority>
Muestra:
add appfw profile pr_appfw -defaults advanced
set appfw profile pr_appfw -startURLaction log stats learn
add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
bind appfw global pr_appfw_pol 1
or,
bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
<!--NeedCopy-->
- Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:
add appflow collector <name> -IPAddress <ipaddress>
set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED o DISABLED )]
add appflow action <name> -collectors <string>
add appflow policy <name> <rule> <action>
bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]
O bien:
bind lb vserver <vserver> -policyName <policy> -priority <priority>
Muestra:
add appflow collector col -IPAddress 10.102.63.85
set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
add appflow action act1 -collectors col
add appflow action af_action_Sap_10.102.63.85 -collectors col
add appflow policy pol1 true act1
add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
bind appflow global pol1 1 END -type REQ_DEFAULT
or,
bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
<!--NeedCopy-->
Habilitar Security Insight desde Citrix ADM
-
Vaya aRedes>Instancias>Citrix ADCy seleccione el tipo de instancia. Por ejemplo, VPX.
-
Seleccione la instancia y, en la listaSeleccionar acción, seleccioneConfigurar análisis.
-
En la ventanaConfigurar análisis en servidor virtual:
- Seleccione los servidores virtuales que desea habilitar la información de seguridad y haga clic enHabilitar análisis.
Aparece la ventanaHabilitar análisis.
-
SeleccioneSecurity Insight
-
EnOpciones avanzadas, seleccioneLogstreamoIPFIXcomo Modo de transporte
-
La expresión es verdadera por defecto
-
Haga clic enAceptar
Nota:
Si los usuarios seleccionan servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y, a continuación, habilita el análisis.
Para las particiones de administración, solo se admite Web Insight
Después de que los usuarioshagan clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.
Nota: Cuando los usuarios crean un grupo, pueden asignar funciones al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. Los análisis de Citrix ADM ahora admiten la autorización basada en direcciones IP virtuales. Los usuarios de los clientes ahora pueden ver los informes de todos los Insights solo para las aplicaciones (servidores virtuales) para las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos en Citrix ADM: Configurar grupos en Citrix ADM.
Umbrales
Los usuarios pueden establecer y ver los umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.
Para establecer un umbral:
-
Vaya aSistema>Configuración de Analytics>Umbralesy seleccioneAgregar.
-
Seleccione el tipo de tráfico comoSeguridaden el campo Tipo de tráfico e introduzca la información necesaria en los demás campos apropiados, como Nombre, Duración y entidad.
-
En la secciónRegla, utilice los campos Métrica, Comparador y Valor para establecer un umbral. Por ejemplo, “Índice de amenazas” “>” “5”
-
Haga clic en Create.
Para ver los incumplimientos del umbral:
-
Vaya aAnalytics>Security Insight>Dispositivosy seleccione la instancia de ADC.
-
En la secciónAplicación, los usuarios pueden ver el número de infracciones de umbral que se han producido para cada servidor virtual en la columna Incumplimiento de umbral.
Caso de uso de Security Insight
Los siguientes casos de uso describen cómo los usuarios pueden utilizar los conocimientos de seguridad para evaluar la exposición a amenazas de las aplicaciones y mejorar las medidas de seguridad.
Obtener una visión general del entorno de amenazas
En este caso de uso, los usuarios tienen un conjunto de aplicaciones que están expuestas a ataques y han configurado Citrix ADM para supervisar el entorno de amenazas. Los usuarios deben revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber experimentado, para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de información sobre seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones del usuario durante un período de tiempo elegido por el usuario y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.
Por ejemplo, los usuarios pueden estar supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y es posible que los usuarios deseen revisar un resumen del entorno de amenazas para estas aplicaciones.
Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya aAnalytics > Security Insight.
Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.
Para ver información de un período de tiempo diferente, seleccione un período de tiempo en la lista situada en la parte superior izquierda.
Para ver un resumen de una instancia de ADC diferente, enDispositivos, haga clic en la dirección IP de la instancia de ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.
Determinar la exposición a amenazas de una aplicación
Después de revisar un resumen del entorno de amenazas en el panel de Security Insight para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo, los usuarios desean determinar su exposición a las amenazas antes de decidir cómo protegerlas. Es decir, los usuarios quieren determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Los usuarios pueden determinar la exposición a amenazas de una aplicación consultando el resumen de la aplicación.
En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y los usuarios desean saber qué factores contribuyen a este alto índice de amenazas.
Para determinar la exposición a amenazas de Microsoft Outlook, en el panel deSecurity Insight, haga clic enOutlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.
Haga clic en Índice de amenazas > Infracciones de comprobación de seguridad y revise la información de infracción que aparece.
Haga clic en Infracciones de firmas y revise la información de infracción que aparece.
Determinar la configuración de seguridad existente y faltante para una aplicación
Después de revisar la exposición a amenazas de una aplicación, los usuarios desean determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Los usuarios pueden obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.
El resumen del índice de seguridad proporciona a los usuarios información sobre la eficacia de las siguientes configuraciones de seguridad:
-
Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
-
Seguridad del sistema Citrix ADM. Muestra cuántos parámetros de seguridad del sistema no están configurados.
En el caso de uso anterior, los usuarios revisaron la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, los usuarios quieren saber qué configuraciones de seguridad están implementadas para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.
En elpanel de Security Insight, haga clic enOutlooky, a continuación, en la fichaÍndice de seguridad. Revise la información proporcionada en el áreaResumen del índice de seguridad.
En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información sobre la comprobación de seguridad y la infracción de firma en los gráficos circulares.
Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.
Haga clic en el nodoSeguridad del sistema Citrix ADMy revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.
Identificar aplicaciones que requieren atención inmediata
Las aplicaciones que necesitan atención inmediata son aquellas que tienen un alto índice de amenazas y un bajo índice de seguridad.
En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que los usuarios tengan que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.
Determinar el número de ataques en un período de tiempo determinado
Es posible que los usuarios deseen determinar cuántos ataques se produjeron en una aplicación determinada en un momento dado o estudiar la tasa de ataques durante un período de tiempo específico.
En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de aplicaciones, haga clic en el número de infracciones. La página Total de Infracciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.
La tablaResumen de aplicacionesproporciona detalles sobre los ataques. Algunos de ellos son los siguientes:
-
Tiempo de ataque
-
Dirección IP del cliente desde el que se produjo el ataque
-
Gravedad
-
Categoría de infracción
-
URL desde la que se originó el ataque y otros detalles.
Si bien los usuarios siempre pueden ver la hora del ataque en un informe por hora como se ve en la imagen anterior, ahora pueden ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si los usuarios seleccionan “1 día” en la lista de períodos de tiempo, el informe de Security Insight muestra todos los ataques que se han agregado y el tiempo de ataque se muestra en un intervalo de una hora. Si los usuarios eligen “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.
Obtener información detallada sobre infracciones de seguridad
Es posible que los usuarios deseen ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia de ADC, los recursos solicitados y el origen de los ataques.
Por ejemplo, es posible que los usuarios deseen determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.
En elpanel de Security Insight, haga clic enLync > Infracciones totales. En la tabla, haga clic en el icono de filtro del encabezado de la columnaAcción realizaday, a continuación, seleccioneBloqueado.
Para obtener información sobre los recursos que se solicitaron, consulte la columnaURL. Para obtener información sobre los orígenes de los ataques, consulte la columnaIP del cliente.
Ver detalles de expresiones de registro
Las instancias de Citrix ADC utilizan expresiones de registro configuradas con el perfil de Application Firewall para tomar medidas ante los ataques a una aplicación en la empresa usuaria. En Security Insight, los usuarios pueden ver los valores devueltos para las expresiones de registro utilizadas por la instancia de ADC. Estos valores incluyen, encabezado de solicitud, cuerpo de solicitud, etc. Además de los valores de la expresión de registro, los usuarios también pueden ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Application Firewall que la instancia de ADC utilizó para actuar en el ataque.
Requisitos previos:
Asegúrese de que los usuarios:
-
Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.
-
Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:
-
Vaya aAnalytics > Configuracióny haga clic enHabilitar funciones para Analytics.
-
En la página Habilitar funciones para Analytics, seleccioneHabilitar Security Insight en la sección Configuración de Security Insight basada en expresiones de registroy haga clic enAceptar.
-
Por ejemplo, es posible que los usuarios deseen ver los valores de la expresión de registro devuelta por la instancia de ADC para la acción que llevó a cabo en un ataque a Microsoft Lync en la empresa usuaria.
En el panel de Security Insight, vaya aLync > Infracciones totales. En la tabla Resumen de aplicaciones, haga clic en la URL para ver todos los detalles de la infracción en la páginaInformación de la infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.
Determinar el índice de seguridad antes de implementar la configuración
Las infracciones de seguridad se producen después de que los usuarios implementan la configuración de seguridad en una instancia de ADC, pero es posible que los usuarios deseen evaluar la eficacia de la configuración de seguridad antes de implementarla.
Por ejemplo, es posible que los usuarios deseen evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia de ADC con la dirección IP 10.102.60.27.
En elpanel de Security Insight, enDispositivos, haga clic en la dirección IP de la instancia de ADC que configuraron los usuarios. Los usuarios pueden ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas refleja directamente el número y el tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.
Haga clic enSap > Índice de seguridad > SAP_Profiley evalúe la información del índice de seguridad que aparece.
En el resumen del firewall de aplicaciones, los usuarios pueden ver el estado de configuración de los distintos parámetros de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.
Infracciones de seguridad
Ver detalles de infracciones de seguridad de aplicaciones
Las aplicaciones web que están expuestas a Internet se han vuelto drásticamente más vulnerables a los ataques. Citrix ADM permite a los usuarios visualizar detalles de infracciones procesables para proteger las aplicaciones de los ataques. Vaya aSeguridad>Infracciones de seguridad para obtener una solución de panel único para:
-
Acceder a las infracciones de seguridad de la aplicación en función de sus categorías, comoRed, Bot y WAF.
-
Tomar medidas correctivas para proteger las aplicaciones
Para ver las infracciones de seguridad en Citrix ADM, asegúrese de:
-
Los usuarios tienen una licencia premium para la instancia de Citrix ADC (para infracciones de WAF y BOT).
-
Los usuarios han aplicado una licencia en los servidores virtuales de equilibrio de carga o cambio de contenido (para WAF y BOT). Para obtener más información, consulte: Administrar licencias en servidores virtuales.
-
Los usuarios habilitan más configuraciones. Para obtener más información, consulte el procedimiento disponible en la sección Configuración de la documentación del producto Citrix: Configuración.
Categorías de infracción
Citrix ADM permite a los usuarios ver las siguientes infracciones:
RED | Bot | WAF |
---|---|---|
HTTP Lento Loris | Conexiones excesivas de clientes | Transacciones de carga inusualmente alta |
Loris lentos DNS | Adquisición de cuenta** | Transacciones de descarga inusualmente altas |
Entrada lenta HTTP | Volumen de carga inusualmente alto | IP únicas excesivas |
Ataque de inundación de NXDomain | Tasa de solicitudes inusualmente alta | IPs únicas excesivas por geo |
Ataque de desincronización HTTP | Volumen de descarga inusualmente alto | |
Ataque Bleichenbacher | ||
Ataque SegmentSmack | ||
Ataque de inundación Syn |
** - Los usuarios deben configurar la opción de apropiación de cuentas en Citrix ADM. Consulte el requisito previo mencionado en Account Takeover: Account Takeover.
Además de estas infracciones, los usuarios también pueden ver las siguientes infracciones de Security Insight y Bot Insight en las categorías WAF y Bot respectivamente:
WAF | Bot |
---|---|
Desbordamiento de búfer | Crawler |
Tipo de contenido | Buscador de alimentación |
Consistencia de cookies | Comprobador de vínculos |
Etiquetado de formularios CSRF | Márketing |
Denegar URL | raspador |
Consistencia de campos de formulario | Creador de captura de pantalla |
Formato de campo | Buscador |
Máximo de cargas | Agente de servicio |
Encabezado de referencia | Monitor de sitio |
Comercio seguro | Probador de velocidad |
Objeto seguro | Herramienta |
Inyección HTML SQL | Sin categoría |
URL de inicio | Analizador de virus |
XSS | Analizador de vulnerabilidades |
XML DoS | Se ha superado la espera de DeviceFP |
Formato XML | DeviceFP no válido |
XML WSI | Respuesta Captcha no válida |
XML SSL | Se han superado los intentos de Captcha |
Datos adjuntos XML | Respuesta Captcha válida |
Error SOAP de XML | Cliente Captcha Silenciado |
Validación XML | Tiempo de espera de Captcha superado |
Otros | Excedido el límite de tamaño de solicitud |
Reputación IP | Límite de tasa superado |
HTTP DOS | Lista de prohibidos (IP, subred, expresión de directiva) |
Ventana pequeña TCP | Lista de permitidos (IP, subred, expresión de directiva) |
Infracción de firma | Solicitud de cero píxeles |
Tipo de carga de archivo | IP de origen |
JSON XSS | Host |
JSON SQL | Ubicación geográfica |
JSON DOS | URL |
Inyección de | |
Inducir XML de tipo de contenido | |
Secuestro de cookies |
Configuración
Los usuarios deben habilitarAdvanced Security Analyticsy establecer laconfiguración de transacciones webenTodospara ver las siguientes infracciones en Citrix ADM:
-
Transacciones de carga inusualmente alta (WAF)
-
Transacciones de descarga inusualmente altas (WAF)
-
IP únicas excesivas (WAF)
-
Adquisición de cuentas (BOT)
Para otras infracciones, asegúrese de queMetrics Collectoresté habilitado. De forma predeterminada,Metrics Collectorestá habilitado en la instancia de Citrix ADC. Para obtener más información, consulte:Configurar Intelligent App Analytics.
Habilitar análisis de seguridad avanzado
-
Vaya aRedes>Instancias>Citrix ADCy seleccione el tipo de instancia. Por ejemplo, MPX.
-
Seleccione la instancia de Citrix ADC y, en la listaSeleccionar acción, seleccioneConfigurar análisis.
-
Seleccione el servidor virtual y haga clic enHabilitar análisis.
-
En la ventanaHabilitar análisis:
- SeleccionaWeb Insight. Después de que los usuarios seleccionen Web Insight, la opciónAnálisis de seguridad avanzadode solo lectura se habilita automáticamente.
Nota: La opciónAnálisis de seguridad avanzadasolo se muestra para las instancias de ADC con licencia premium.
-
SeleccioneLogstreamcomo modo de transporte
-
La expresión es verdadera por defecto
-
Haga clic enAceptar
Habilitar la configuración de Transacción web
- Vaya aAnalytics>Configuración.
Aparece la páginaConfiguración.
-
Haga clic enHabilitar funciones para análisis.
-
EnConfiguración de transacciones web, seleccionaTodo.
- Haga clic en Aceptar.
Panel de infracciones de seguridad
En el panel de control de infracciones de seguridad, los usuarios pueden ver:
- Se han producido infracciones totales en todas las instancias y aplicaciones de ADC. Las infracciones totales se muestran en función de la duración de tiempo seleccionada.
- Total de infracciones en cada categoría.
- Total de ADC afectados, total de aplicaciones afectadas e infracciones superiores en función del total de incidencias y de las aplicaciones afectadas.
Detalles de infracción
Para cada infracción, Citrix ADM supervisa el comportamiento durante un tiempo específico y detecta infracciones para comportamientos inusuales. Haga clic en cada ficha para ver los detalles de la infracción. Los usuarios pueden ver detalles como:
-
El total de incidencias, último ocurrido y el total de aplicaciones afectadas
-
En Detalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica infracciones.
Arrastre y seleccione en el gráfico que enumera las infracciones para restringir la búsqueda de infracciones.
Haga clic enRestablecer zoompara restablecer el resultado del zoom
-
Acciones recomendadasque sugieren a los usuarios solucionar el problema
-
Otros detalles de infracción, como el tiempo de ocurrencia de violencia y el mensaje de detección
-
Bot Insight
Uso de Bot Insight en Citrix ADM
Una vez que los usuarios configuran la administración de bots en Citrix ADC, deben habilitarBot Insighten los servidores virtuales para ver la información en Citrix ADM.
Para activarBot Insight:
-
Vaya aRedes>Instancias>Citrix ADCy seleccione el tipo de instancia. Por ejemplo, VPX.
-
Seleccione la instancia y, en la listaSeleccionar acción, seleccioneConfigurar análisis.
-
Seleccione el servidor virtual y haga clic enHabilitar análisis.
-
En la ventanaHabilitar análisis:
-
SeleccioneBot Insight
-
EnOpción avanzada, seleccionaLogstream.
- Haga clic en Aceptar.
-
Después de habilitarBot Insight, vaya aAnalytics>Seguridad>Bot Insight.
-
Lista de tiempos para ver los detalles del bot
-
Arrastre el control deslizante para seleccionar un intervalo de tiempo específico y haga clic enIrpara mostrar los resultados personalizados.
-
Total de instancias afectadas por bots
-
Servidor virtual para la instancia seleccionada con ataques totales de bots
-
Total de bots: indica el total de ataques de bots (incluidas todas las categorías de bots) encontrados en el servidor virtual.
-
Total Human Browsers: indica el total de usuarios humanos que acceden al servidor virtual.
-
Proporción de bots humanos: indica la relación entre los usuarios humanos y los bots que acceden al servidor virtual.
-
Bots de firma,bot de huellas dactilares,bots basados en tasas,bots de reputación de IP,bots de listade permitidos ybots de lista de bloqueo: indica el total de ataques de bots ocurridos según la categoría de bot configurada. Para obtener más información sobre la categoría de bots, consulte:Configuración de técnicas de detección de bots en Citrix ADC.
-
-
Haga clic en > para ver los detalles del bot en formato gráfico.
Ver historial de eventos
Los usuarios pueden ver las actualizaciones de la firma del bot en elHistorial de eventoscuando:
-
Se agregan nuevas firmas bot en instancias de Citrix ADC.
-
Las firmas bot existentes se actualizan en las instancias de Citrix ADC.
Los usuarios pueden seleccionar la duración del tiempo en la página de información del bot para ver el historial de eventos.
El siguiente diagrama muestra cómo se recuperan las firmas bot de la nube de AWS, se actualizan en Citrix ADC y ver el resumen de la actualización de firmas en Citrix ADM.
-
El programador de actualización automática de la firma de bot recupera el archivo de asignación del URI de AWS.
-
Comprueba las firmas más recientes del archivo de asignación con las firmas existentes en el dispositivo ADC.
-
Descarga las nuevas firmas de AWS y verifica la integridad de la firma.
-
Actualiza las firmas de bot existentes con las nuevas firmas del archivo de firma del bot.
-
Genera una alerta SNMP y envía el resumen de actualización de firmas a Citrix ADM.
Ver bots
Haga clic en el servidor virtual para ver elresumen de la aplicación
-
Proporciona los detalles del resumen de la aplicación, tales como:
-
RPS promedio: indica el promedio de solicitudes de transacciones de bots por segundo (RPS) recibidas en los servidores virtuales.
-
Bots por gravedad: indica las transacciones de bots más altas en función de la gravedad. La gravedad se clasifica en función deCrítica,Alta,MediayBaja.
Por ejemplo, si los servidores virtuales tienen 11770 bots de alta gravedad y 1550 bots de gravedad crítica, Citrix ADM muestra 1,55 K críticosenBots por gravedad.
- Categoría de bot más grande: indica el mayor número de ataques de bot ocurridos en función de la categoría de bots.
Por ejemplo, si los servidores virtuales tienen 8000 bots en la lista de bloques, 5000 bots permitidos en la lista y 10000 bots con límite de velocidad excedido, Citrix ADM muestraLímite de velocidad excedido de 10 000en lacategoría de bot más grande.
- Origen geográfico más grande: Indica el mayor número de ataques de bots ocurridos en función de una región.
Por ejemplo, si los servidores virtuales tienen 5000 ataques de bots en Santa Clara, 7000 ataques de bots en Londres y 9000 ataques de bots en Bangalore, Citrix ADM muestraBangalore 9 K en LargestGeo Source.
- % promedio de tráfico de bots: indica la proporción de bots humanos.
-
-
Muestra la gravedad de los ataques de bots en función de las ubicaciones en la vista de mapa
-
Muestra los tipos de ataques de bots (buenos, malos y todos)
-
Muestra el total de ataques de bots junto con las acciones configuradas correspondientes. Por ejemplo, si ha configurado:
-
Intervalo de direcciones IP (192.140.14.9 a 192.140.14.254) como bots de lista de bloqueo y seleccionado Drop como acción para estos intervalos de direcciones IP
-
Rango de IP (192.140.15.4 a 192.140.15.254) como bots de listas de bloqueo y seleccionado para crear un mensaje de registro como acción para estos intervalos de IP
En este caso, Citrix ADM muestra:
-
Total de bots listados en bloque
-
Total de bots por debajo decaído
-
Total de bots bajo registro
-
-
Ver bots CAPTCHA
En las páginas web, los CAPTCHA están diseñados para identificar si el tráfico entrante proviene de un robot humano o automatizado. Para ver las actividades de CAPTCHA en Citrix ADM, los usuarios deben configurar CAPTCHA como una acción de bot para la reputación de IP y las técnicas de detección de huellas digitales del dispositivo en una instancia de Citrix ADC. Para obtener más información, consulte:Configurar la administración de bots.
Las siguientes son las actividades de CAPTCHA que Citrix ADM muestra en Bot insight:
-
Se han superado los intentos de CAPTCHA: indica el número máximo de intentos de CAPTCHA realizados después de errores de inicio de sesión
-
Cliente de Captcha silenciado: indica el número de solicitudes de clientes que se descartan o se redirigen porque estas solicitudes se detectaron anteriormente como bots maliciosos con el desafío de CAPTCHA
-
Humano: denota las entradas de captcha realizadas por los usuarios humanos
-
Respuesta de CAPTCHA no válida: indica el número de respuestas CAPTCHA incorrectas recibidas del bot o humano, cuando Citrix ADC envía un desafío de CAPTCHA
Ver trampas para bots
Para ver las capturas de bot en Citrix ADM, debe configurar la trampa de bots en la instancia de Citrix ADC. Para obtener más información, consulte:Configurar la administración de bots.
Para identificar la trampa de bots, se habilita un script en la página web y este script está oculto para los humanos, pero no para los bots. Citrix ADM identifica e informa de las trampas de bot cuando los bots acceden a este script.
Haga clic en el servidor virtual y seleccioneSolicitud de cero píxeles
Ver detalles del bot
Para obtener más información, haga clic en el tipo de ataque debot en Categoría de bot.
Se muestran los detalles como el tiempo de ataque y el número total de ataques de bot para la categoría captcha seleccionada.
Los usuarios también pueden arrastrar el gráfico de barras para seleccionar el intervalo de tiempo específico que se mostrará con los ataques de bots.
Para obtener información adicional sobre el ataque del robot, haga clic para expandir.
-
IP de la instancia: indica la dirección IP de la instancia de Citrix ADC
-
Total de bots: indica el total de ataques de bots ocurridos durante ese tiempo en particular.
-
URL de solicitud HTTP: indica la URL que está configurada para los informes de captcha
-
Código de país: indica el país en el que se produjo el ataque del bot
-
Región: indica la región en la que se produjo el ataque del bot
-
Nombre de perfil: indica el nombre de perfil que los usuarios proporcionaron durante la configuración.
Búsqueda avanzada
Los usuarios también pueden usar el cuadro de texto de búsqueda y la lista de duración, donde pueden ver los detalles del bot según los requisitos del usuario. Cuando los usuarios hacen clic en el cuadro de búsqueda, el cuadro de búsqueda les muestra la siguiente lista de sugerencias de búsqueda.
-
IP de la instancia: dirección IPde la instancia de Citrix ADC
-
Client-IP: dirección IP del cliente
-
Tipo de bot: tipo de bot como bueno o malo
-
Gravedad: gravedad del ataque del bot
-
Acción tomada: acción tomada después del ataque del bot, como Dejar caer, Sin acción, Redirigir
-
Categoría de bot: categoría del ataque de bot, como lista de bloqueo, lista de permitidos, huella digital, etc. Según una categoría, los usuarios pueden asociarle una acción de bot
-
Detección de bots: tipos de detección de bots (lista de bloqueados, lista de permitidos, etc.) que los usuarios han configurado en la instancia de Citrix ADC
-
Ubicación: región/país en el que se produjo el ataque del bot
-
request-URL: URL que tiene los posibles ataques de bot
Los usuarios también pueden usar operadores en las consultas de búsqueda de usuarios para restringir el enfoque de la búsqueda de usuarios. Por ejemplo, si los usuarios quieren ver todos los bots malos:
-
Haga clic en el cuadro de búsqueda y seleccioneTipo de bot
-
Vuelva a hacer clic en el cuadro de búsqueda y seleccione el operador**=**
-
Vuelva a hacer clic en el cuadro de búsqueda yseleccione
-
Haga clic enBuscarpara ver los resultados
Detalles de infracción de bot
Conexiones excesivas de clientes
Cuando un cliente intenta acceder a la aplicación web, la solicitud de cliente se procesa en el dispositivo Citrix ADC, en lugar de conectarse directamente al servidor. El tráfico web comprende bots y bots pueden realizar varias acciones a un ritmo más rápido que un humano.
Con el indicadorExcesive Client Connections, los usuarios pueden analizar situaciones en las que una aplicación recibe conexiones de cliente inusualmente altas a través de bots.
EnDetalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección de la infracción, que indica el total de direcciones IP que realizan la transacción de la aplicación
-
El intervalo de direcciones IP aceptadas que la aplicación puede recibir
Adquisición de cuenta
Nota: Asegúrese de que los usuarios habilitan las opciones avanzadas de análisis de seguridad y transacciones web. Para obtener más información, consulte Configuración: configuración.
Algunos bots maliciosos pueden robar credenciales de usuario y realizar varios tipos de ciberataques. Estos bots maliciosos se conocen como bots malos. Es fundamental identificar los bots maliciosos y proteger el dispositivo del usuario de cualquier forma de ataque de seguridad avanzado.
Requisito previo
Los usuarios deben configurar los parámetros deapropiación de cuentasen Citrix ADM.
-
Vaya a Analytics > Configuración > Infracciones de seguridad.
-
Haga clic enAgregar
-
En la página Agregar aplicación, especifique los siguientes parámetros:
-
Aplicación: seleccione el servidor virtual de la lista.
-
Método: seleccione el tipo de método HTTP de la lista. Las opciones disponibles sonGET,PUSH,POSTyUPDATE.
-
URL de inicio de sesión y código de respuesta de éxito: especifique la URL de la aplicación web y especifique el código de estado HTTP (por ejemplo, 200) para el que los usuarios quieren que Citrix ADM informe la infracción de apropiación de cuenta por parte de robots maliciosos.
-
Haga clic en Agregar.
-
Después de que los usuarios configuren los ajustes, mediante el indicadorAccount Takeover, los usuarios pueden analizar si los robots maliciosos intentaron apoderarse de la cuenta de usuario, emitiendo múltiples solicitudes junto con las credenciales.
EnDetalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección de la infracción, que indica la actividad total de inicio de sesión fallida inusual, los inicios de sesión correctos y los inicios de sesión fallidos
-
La mala dirección IP del bot. Haga clic para ver detalles como la hora, la dirección IP, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.
Volumen de carga inusualmente alto
El tráfico web también incluye datos que se procesan para su carga. Por ejemplo, si el promedio de datos de carga del usuario por día es de 500 MB y si los usuarios cargan 2 GB de datos, esto se puede considerar como un volumen de datos de carga inusualmente alto. Los bots también son capaces de procesar la carga de datos con mayor rapidez que los humanos.
Con el indicador Volumen de carga excepcionalmente alto, los usuarios pueden analizar casos anormales de carga de datos a la aplicación a través de bots.
EnDetalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección de la infracción, que indica el volumen total de datos de carga procesado
-
El intervalo aceptado de datos de carga a la aplicación
Volumen de descarga inusualmente alto
Similar al alto volumen de carga, los bots también pueden realizar descargas más rápido que los humanos.
Con el indicador Volumen de descarga excepcionalmente alto, los usuarios pueden analizar casos anormales de datos de descarga de la aplicación a través de bots.
EnDetalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección de la infracción, que indica el volumen total de datos de descarga procesado
-
El intervalo aceptado de datos de descarga de la aplicación
Tasa de solicitudes inusualmente alta
Los usuarios pueden controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede realizar una tasa de solicitudes inusualmente alta. Por ejemplo, si los usuarios configuran una aplicación para permitir 100 solicitudes por minuto y si los usuarios observan 350 solicitudes, podría tratarse de un ataque de bot.
Con el indicador detasa de solicitudes excepcionalmente alta, los usuarios pueden analizar la tasa de solicitudes inusual recibida en la aplicación.
EnDetalles del evento, los usuarios pueden ver:
-
La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.
-
El gráfico que indica todas las infracciones
-
El tiempo de ocurrencia de la infracción
-
El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y% de solicitudes excesivas recibidas que las solicitudes esperadas
-
El intervalo aceptado de la tasa de solicitud esperada varía de la aplicación
Casos de uso
Bot
A veces, el tráfico web entrante se compone de bots y la mayoría de las organizaciones sufren ataques de bots. Las aplicaciones web y móviles son importantes impulsores de ingresos para las empresas y la mayoría de las empresas están bajo la amenaza de ciberataques avanzados, como los bots. Un bot es un programa de software que realiza automáticamente ciertas acciones repetidamente a un ritmo mucho más rápido que un humano. Los bots pueden interactuar con páginas web, enviar formularios, ejecutar acciones, escanear textos o descargar contenido. Pueden acceder a vídeos, publicar comentarios y tuitear en plataformas de redes sociales. Algunos bots, conocidos como chatbots, pueden mantener conversaciones básicas con usuarios humanos. Un bot que realiza un servicio útil, como servicio al cliente, chat automatizado y rastreadores de motores de búsqueda son buenos bots. Al mismo tiempo, un bot que puede raspar o descargar contenido de un sitio web, robar credenciales de usuario, contenido de spam y realizar otros tipos de ciberataques son bots malos. Con un buen número de bots maliciosos que realizan tareas maliciosas, es esencial administrar el tráfico de bots y proteger las aplicaciones web de los usuarios de los ataques de bots. Al usar la administración de bots de Citrix, los usuarios pueden detectar el tráfico de bots entrante y mitigar los ataques de bots para proteger las aplicaciones web de los usuarios. La administración de bots de Citrix ayuda a identificar bots maliciosos y a proteger el dispositivo del usuario de ataques de seguridad avanzados. Detecta bots buenos y malos e identifica si el tráfico entrante es un ataque de bot. Mediante el uso de la gestión de bots, los usuarios pueden mitigar los ataques y proteger las aplicaciones web de los usuarios.
La administración de bots de Citrix ADC proporciona las siguientes ventajas:
-
Defiende contra bots, scripts y kits de herramientas. Proporciona mitigación de amenazas en tiempo real mediante la defensa estática basada en firmas y la toma de huellas digitales del dispositivo.
-
Neutraliza los ataques automatizados básicos y avanzados. Evita ataques, como DDoS de capa de aplicaciones, pulverización de contraseñas, relleno de contraseñas, raspadores de precios y raspadores de contenido.
-
Protege las API e inversiones de los usuarios. Protege las API de los usuarios del uso indebido injustificado y protege las inversiones en infraestructura del tráfico automatizado.
Algunos casos de uso en los que los usuarios pueden beneficiarse del sistema de administración de bots de Citrix son:
-
Inicio desesión por fuerza bruta. Un portal web del gobierno está siendo constantemente atacado por bots que intentan iniciar sesión de usuarios por fuerza bruta. La organización descubre el ataque revisando los registros web y viendo cómo se atacan repetidamente a usuarios específicos con intentos rápidos de inicio de sesión y contraseñas que se incrementan mediante un enfoque de ataque de diccionario. Por ley, deben protegerse a sí mismos y a sus usuarios. Al implementar la administración de bots de Citrix, pueden detener el inicio de sesión por fuerza bruta mediante técnicas de identificación digital del dispositivo y limitación de velocidad.
-
Bloquee los robots maliciosos y los robots desconocidos de huellas dactilares Una entidad web recibe 100.000 visitantes cada día. Tienen que mejorar la huella subyacente y están gastando una fortuna. En una auditoría reciente, el equipo descubrió que el 40 por ciento del tráfico provenía de bots, raspando contenido, recogiendo noticias, revisando perfiles de usuario y mucho más. Quieren bloquear este tráfico para proteger a sus usuarios y reducir sus costes de alojamiento. Con la gestión de bots, pueden bloquear los robots malos conocidos, y los robots desconocidos de huellas dactilares que están martillando su sitio. Al bloquear estos bots, pueden reducir el tráfico de bots en un 90 por ciento.
-
Permita buenos bots. Los bots “buenos” están diseñados para ayudar a las empresas y a los consumidores. Han existido desde principios de la década de 1990, cuando se desarrollaron los primeros robots de motores de búsqueda para rastrear Internet. Google, Yahoo y Bing no existirían sin ellos. Otros ejemplos de buenos bots, en su mayoría centrados en el consumidor, incluyen:
-
Los chatbots (también conocidos como chatterbots, bots inteligentes, bots conversacionales, bots de mensajería instantánea, bots sociales, bots de conversación) interactúan con los humanos a través del texto o el sonido. Uno de los primeros usos del texto fue para el servicio de atención al cliente en línea y aplicaciones de mensajería de texto como Facebook Messenger y iPhone Messages. Siri, Cortana y Alexa son chatbots, pero también lo son las aplicaciones móviles que permiten a los usuarios pedir café y luego decirles cuándo estará listo, ver avances de películas y buscar horarios de cine locales, o enviar a los usuarios una foto del modelo de automóvil y la matrícula cuando solicitan un servicio de transporte.
-
Los robots de compras recorren Internet en busca de los precios más bajos en los artículos que buscan los usuarios.
-
Los bots de supervisión controlan el estado (disponibilidad y capacidad de respuesta) de los sitios web. Downdetector es un ejemplo de un sitio independiente que proporciona información de estado en tiempo real, incluidas las interrupciones, de sitios web y otros tipos de servicios. Para obtener más información sobre Downdetector, consulte: Downdetector.
-
Detección de bot
Configuración de la administración de bots mediante la GUI de Citrix ADC
Los usuarios pueden configurar la administración de bots de Citrix ADC habilitando primero la función en el dispositivo. Una vez que los usuarios lo habilitan, pueden crear una directiva de bots para evaluar el tráfico entrante como bot y enviar el tráfico al perfil del bot. A continuación, los usuarios crean un perfil de bot y, a continuación, vinculan el perfil a una firma de bot. Como alternativa, los usuarios también pueden clonar el archivo de firma de bot predeterminado y usar el archivo de firma para configurar las técnicas de detección. Después de crear el archivo de firma, los usuarios pueden importarlo al perfil del bot. Todos estos pasos se realizan en la siguiente secuencia:
-
Activar función de administración de bots
-
Configurar ajustes de administración de bots
-
Clone la firma predeterminada del bot Citrix
-
Importar firma bot Citrix
-
Configurar los ajustes de firma bot
-
Crear perfil de bot
-
Crear directiva de bots
Activar la función de gestión de bots
Siga los pasos que se indican a continuación para habilitar la administración de bots:
-
En el panel de navegación, expandaSistemay haga clic enConfiguración.
-
En la páginaConfigurar funciones avanzadas, active la casilla de verificaciónAdministración de bots.
-
Haga clic enAceptary, a continuación, enCerrar.
Archivo de firma del bot de clonación
Siga los pasos que se indican a continuación para clonar el archivo de firma bot:
-
Vaya aSeguridad>Administración de bots yfirmasde Citrix.
-
En la páginaFirmas de administración de bots de Citrix, seleccione el registro de firmas de bot predeterminado y haga clic enCl
-
En la página Clone Bot Signature, introduzca un nombre y modifique los datos de la firma.
-
Haga clic en Create.
Importar archivo de firma de bot
Si los usuarios tienen su propio archivo de firma, pueden importarlo como archivo, texto o URL. Realice los siguientes pasos para importar el archivo de firma del bot:
-
Vaya aSeguridad>Administración de bots yfirmasde Citrix.
-
En la páginaFirmas de administración de bots de Citrix, importe el archivo como URL, archivo o texto.
-
Haga clic en Continuar.
-
En la página Importar firma de administración de bots de Citrix, defina los siguientes parámetros.
-
Nombre. Nombre del archivo de firma del bot.
-
Comentar. Breve descripción del archivo importado.
-
Sobrescribir. Marque la casilla para permitir la sobrescritura de datos durante la actualización del archivo.
-
Datos de firma. Modificar parámetros de firma
-
-
Haga clic en Done.
Reputación de IP
Configurar la reputación de IP mediante la GUI de Citrix ADC
Esta configuración es un requisito previo para la función de reputación de IP del bot. La técnica de detección permite a los usuarios identificar si hay alguna actividad maliciosa de una dirección IP entrante. Como parte de la configuración, establecemos diferentes categorías de bots maliciosos y asociamos una acción de bot a cada una de ellas. Siga los pasos que se indican a continuación para configurar la técnica de reputación de IP.
-
Vaya aSeguridad>Administración de bots yperfilesde Citrix.
-
En la página Perfiles de administración de bots de Citrix, seleccione un archivo de firma y haga clic en Modificar.
-
En la páginaPerfil de administración de bots de Citrix, vaya a la secciónConfiguración de firmasy haga clic enReputación de IP.
-
En la sección Reputación de IP, defina los siguientes parámetros:
-
Habilitada. Seleccione la casilla de verificación para validar el tráfico de bot entrante como parte del proceso de detección.
-
Configurar categorías. Los usuarios pueden utilizar la técnica de reputación de IP para el tráfico de bots entrante en diferentes categorías. Según la categoría configurada, los usuarios pueden eliminar o redirigir el tráfico del bot. Haga clic en Agregar para configurar una categoría de bot malintencionado.
-
En la páginaConfigurar enlace de reputación de IP del perfil de administración de bots de Citrix, defina los siguientes parámetros:
-
Categoría. Seleccione una categoría de bot malicioso de la lista. Asocia una acción bot según la categoría.
-
Habilitada. Seleccione la casilla de verificación para validar la detección de firmas de reputación IP.
-
Acción de bot. Según la categoría configurada, los usuarios no pueden asignar ninguna acción, descartar, redirigir o CAPTCHA.
-
Registro. Seleccione la casilla de verificación para almacenar las entradas de registro.
-
Registrar mensaje. Breve descripción del registro.
-
Comentarios. Breve descripción de la categoría bot.
-
-
-
Haga clic en Aceptar.
-
Haga clic en Actualizar.
-
Haga clic en Done.
Actualización automática de firmas de bots
La técnica de firma estática de bots utiliza una tabla de búsqueda de firmas con una lista de bots buenos y bots malos. Los bots se clasifican según la cadena de agente de usuario y los nombres de dominio. Si la cadena de agente de usuario y el nombre de dominio del tráfico de bot entrante coinciden con un valor de la tabla de búsqueda, se aplica una acción bot configurada. Las actualizaciones de firmas de bots se alojan en la nube de AWS y la tabla de búsqueda de firmas se comunica con la base de datos de AWS para obtener actualizaciones de firmas. El programador de actualización automática de firmas se ejecuta cada 1 hora para comprobar la base de datos de AWS y actualiza la tabla de firmas en el dispositivo ADC.
La URL de actualización automática de mapeo de firmas de bot para configurar firmas es:Mapeo de firmas de bot.
Nota: Los usuarios también pueden configurar un servidor proxy y actualizar periódicamente las firmas desde la nube de AWS al dispositivo ADC a través del proxy. Para la configuración del proxy, los usuarios deben establecer la dirección IP y la dirección del puerto del proxy en la configuración del bot.
Configurar la actualización automática de firmas de bots
Para configurar la actualización automática de firmas de bots, siga los pasos siguientes:
Activar actualización automática de firmas de bots
Los usuarios deben habilitar la opción de actualización automática en la configuración del bot del dispositivo ADC.
En el símbolo del sistema, escriba:
set bot settings –signatureAutoUpdate ON
Configuración de la actualización automática de firmas de bots mediante la GUI de Citrix ADC
Complete los siguientes pasos para configurar la actualización automática de firmas de bots:
-
Vaya a Seguridad > Administración de bots de Citrix.
-
En el panel de detalles, en Configuración, haga clic en Cambiar configuración de administración de bots de Citrix.
-
EnConfigure Citrix Bot Management Settings, seleccione la casilla de verificaciónAuto Update Signature.
- Haga clic en Aceptar y Cerrar.
Para obtener más información sobre la configuración de la reputación de IP mediante la CLI, consulte: Configurar la función de reputación de IP mediante la CLI.
Referencias
Para obtener información sobre el uso de relajaciones detalladas de SQL, consulte: Relajaciones detalladas de SQL.
Para obtener información sobre cómo configurar SQL Injection Check mediante la línea de comandos, consulte: HTML SQL Injection Check.
Para obtener información sobre cómo configurar SQL Injection Check mediante la GUI, consulte: Using the GUI to Configure the SQL Injection Security Check.
Para obtener información sobre el uso de la función de aprendizaje con la comprobación de inyección de SQL, consulte: Uso de la función de aprendizaje con la comprobación de inyección de SQL.
Para obtener información sobre el uso de la función de registro con la comprobación de inyección de SQL, consulte: Uso de la función de registro con la comprobación de inyección de SQL.
Para obtener información sobre las Estadísticas de las infracciones de Inyección SQL, consulte: Estadísticas de las Infracciones de Inyección SQL.
Para obtener información sobre los aspectos destacados de la comprobación de inyección SQL, consulte: Aspectos destacados
Para obtener información sobre las comprobaciones de inyección XML SQL, consulte: XML SQL Injection Check.
Para obtener información sobre el uso de relajaciones detalladas de scripts entre sitios, consulte: Relajaciones detalladas de SQL.
Para obtener información sobre la configuración de scripting entre sitios HTML mediante la línea de comandos, consulte: Uso de la línea de comandos para configurar la comprobación de scripting entre sitios HTML.
Para obtener información sobre la configuración de scripting entre sitios HTML mediante la GUI, consulte: Uso de la GUI para configurar la comprobación de scripting entre sitios HTML.
Para obtener información sobre el uso de la función Learn con la comprobación de scripting entre sitios HTML, consulte: Uso de la función Learn con la comprobación de scripting entre sitios HTML.
Para obtener información sobre el uso de la función de registro con la comprobación de scripting entre sitios HTML, consulte: Uso de la función de registro con la comprobación de scripting entre sitios HTML.
Para obtener información sobre las estadísticas de las infracciones de scripting entre sitios HTML, consulte: Estadísticas de las infracciones de scripting entre sitios HTML.
Para obtener información sobre los aspectos destacados de HTML Cross-Site Scripting, consulte: Aspectos destacados
Para obtener información sobre XML Cross-Site Scripting, visite: XML Cross-Site Scripting Check.
Para obtener más información sobre el uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Uso de la línea de comandos para configurar la comprobación de seguridadde
Para obtener información sobre el uso de la GUI para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Configurar la comprobación de seguridad de desbordamiento Citrix ADC búfer mediante la
Para obtener más información sobre el uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer, consulte: Uso de la función de registro con la comprobación de seguridad
Para obtener información sobre las estadísticas de las infracciones de desbordamiento de búfer, consulte: Estadísticas de las infracciones de desbordamiento.
Para obtener información sobre cómo agregar o eliminar un objeto de firma, consulte: Adición o eliminación de un objeto de firma.
Para obtener información sobre la creación de un objeto de firmas a partir de una plantilla, consulte: Para crear un objeto de firmas a partir de una plantilla.
Para obtener información sobre la creación de un objeto de firmas mediante la importación de un archivo, consulte: Para crear un objeto de firmas mediante la importación de un archivo.
Para obtener información sobre la creación de un objeto de firmas mediante la importación de un archivo mediante la línea de comandos, consulte: Para crear un objeto de firmas mediante la importación de un archivo mediante la línea de comandos.
Para obtener información sobre cómo eliminar un objeto de firmas mediante la interfaz gráfica de usuario, consulte: Para eliminar un objeto de firmas mediante la interfaz gráfica de usuario.
Para obtener información sobre cómo eliminar un objeto de firmas mediante la línea de comandos, consulte: Para eliminar un objeto de firmas mediante la línea de comandos.
Para obtener información sobre la configuración o modificación de un objeto de firmas, consulte: Configuración o modificación de un objeto Signatures.
Para obtener más información sobre la actualización de un objeto de firma, consulte: Actualización de un objeto de firma.
Para obtener información sobre el uso de la línea de comandos para actualizar las firmas de Web Application Firewall desde el origen, consulte: Para actualizar las firmas de Web Application Firewall desde el origen mediante la línea de comandos.
Para obtener información sobre la actualización de un objeto de firmas desde un archivo de formato Citrix, consulte: Actualización de un objeto Signatures desde un archivo de formato Citrix.
Para obtener información sobre cómo actualizar un objeto de firmas desde una herramienta de análisis de vulnerabilidades compatible, consulte: Actualización de un objeto Signatures desde una herramienta de análisis de vulnerabilidades compatible.
Para obtener información sobre la integración de reglas de Snort, consulte Integración de reglas de Snort.
Para obtener información sobre la configuración de Reglas de Snort, consulte: Configurar Reglas de Snort.
Para obtener información sobre cómo configurar la administración de bots mediante la línea de comandos, consulte: Configurar la administración de bots.
Para obtener información sobre cómo configurar los ajustes de administración de bots para la técnica de huella digital del dispositivo, consulte: Configuración de los ajustes de administración de bots para la técnica de huellas digitales de dispositivos
Para obtener información sobre la configuración de listas de permitidos de bots mediante la GUI de Citrix ADC, consulte: Configurar la lista de bots permitidos mediante la GUI de Citrix ADC.
Para obtener información sobre la configuración de listas de bloqueo de bots mediante la GUI de Citrix ADC, consulte: Configurar la lista de bots permitidos mediante la GUI de Citrix ADC.
Para obtener más información sobre la configuración de la gestión de bots, consulte: Configurar la administración de bots.
Requisitos previos
Los usuarios necesitan algunos conocimientos previos antes de implementar una instancia de Citrix VPX en Azure:
-
Familiaridad con la terminología de Azure y los detalles de red. Para obtener información, consulte la terminología de Azure anterior.
-
Conocimiento de un dispositivo Citrix ADC. Para obtener información detallada sobre el dispositivo Citrix ADC, consulte:Citrix ADC 13.0.
-
Conocimiento de las redes Citrix ADC. Consulte: Redes.
Requisitos previos de Azure
En esta sección se describen los requisitos previos que los usuarios deben completar en Microsoft Azure y Citrix ADM antes de aprovisionar instancias de Citrix ADC VPX.
Este documento asume lo siguiente:
-
Los usuarios poseen una cuenta de Microsoft Azure que admite el modelo de implementación de Azure Resource Manager.
-
Los usuarios tienen un grupo de recursos en Microsoft Azure.
Para obtener más información sobre cómo crear una cuenta y otras tareas, consulte la documentación de Microsoft Azure: Documentación deMicrosoft Azure.
Limitaciones
La ejecución de la solución de equilibrio de carga Citrix ADC VPX en ARM impone las siguientes limitaciones:
-
La arquitectura de Azure no admite las siguientes funciones de Citrix ADC:
-
Agrupar en clústeres
-
IPv6
-
ARP gratuito (GARP)
-
Modo L2 (puenteo). Los servidores virtuales transparentes son compatibles con L2 (reescritura de MAC) para servidores en la misma subred que el SNIP.
-
VLAN etiquetada
-
Redirección dinámica
-
MAC virtual
-
USIP
-
Marcos Jumbo
-
-
Si los usuarios piensan que es posible que tengan que cerrar y desasignar temporalmente la máquina virtual Citrix ADC VPX en cualquier momento, deben asignar una dirección IP interna estática al crear la máquina virtual. Si no asignan una dirección IP interna estática, Azure podría asignar a la máquina virtual una dirección IP diferente cada vez que se reinicie y la máquina virtual podría quedar inaccesible.
-
En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.
-
Si se utiliza una instancia de Citrix ADC VPX con un número de modelo superior a VPX 3000, es posible que el rendimiento de la red no sea el mismo que el especificado en la licencia de la instancia. Sin embargo, otras funciones, como el rendimiento SSL y las transacciones SSL por segundo, podrían mejorar.
-
El “ID de implementación” que genera Azure durante el aprovisionamiento de máquinas virtuales no está visible para el usuario en ARM. Los usuarios no pueden usar el ID de implementación para implementar el dispositivo Citrix ADC VPX en ARM.
-
La instancia de Citrix ADC VPX admite un rendimiento de 20 MB/s y funciones de edición estándar cuando se inicializa.
-
Para una implementación de XenApp y XenDesktop, un servidor virtual VPN en una instancia VPX se puede configurar en los siguientes modos:
-
Modo básico, donde el parámetro del servidor virtual
ICAOnly
VPN se establece en ACTIVADO. El modo Básico funciona completamente en una instancia de Citrix ADC VPX sin licencia. -
Modo Smart-Access, en el que el parámetro del servidor virtual
ICAOnly
VPN está desactivado. El modo Smart-Access funciona solo para 5 usuarios de sesión AAA de NetScaler en una instancia de Citrix ADC VPX sin licencia.
-
Nota:
Para configurar la función Smart Control, los usuarios deben aplicar una licencia Premium a la instancia de Citrix ADC VPX.
Modelos y licencias compatibles con Azure-VPX
En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.
Una instancia de Citrix ADC VPX en Azure requiere una licencia. Las siguientes opciones de licencia están disponibles para las instancias de Citrix ADC VPX que se ejecutan en Azure. Los usuarios pueden elegir uno de estos métodos para licenciar los ADC de Citrix aprovisionados por Citrix ADM:
-
Uso de licencias ADC presentes en Citrix ADM: configure la capacidad agrupada, las licencias VPX o las licencias de CPU virtual mientras crea el grupo de escalabilidad automática. Por lo tanto, cuando se aprovisiona una nueva instancia para un grupo de escalabilidad automática, el tipo de licencia ya configurado se aplica automáticamente a la instancia aprovisionada.
- Capacidad agrupada: Asigna ancho de banda a todas las instancias aprovisionadas del grupo de Autoscale. Asegúrese de que los usuarios tengan el ancho de banda necesario disponible en Citrix ADM para aprovisionar nuevas instancias. Para obtener más información, consulte: Configurar la capacidad agrupada.
Cada instancia de ADC del grupo de Autoscale extrae una licencia de instancia y el ancho de banda especificado del grupo.
- Licencias VPX: aplica las licencias VPX a las instancias recién aprovisionadas. Asegúrese de que los usuarios tengan la cantidad necesaria de licencias VPX disponibles en Citrix ADM para aprovisionar nuevas instancias.
Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia del Citrix ADM. Para obtener más información, consulte: Licencias de registro y salida de Citrix ADC VPX.
- Licencias de CPU virtual: aplica licencias de CPU virtual a las instancias aprovisionadas recientemente. Esta licencia especifica el número de CPU con derecho a una instancia de Citrix ADC VPX. Asegúrese de que los usuarios tengan la cantidad necesaria de CPU virtuales en Citrix ADM para aprovisionar nuevas instancias.
Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de CPU virtual del Citrix ADM. Para obtener más información, consulte:Licencias de CPU virtual de Citrix ADC.
Cuando las instancias aprovisionadas se destruyen o anulan el aprovisionamiento, las licencias aplicadas se devuelven automáticamente a Citrix ADM.
Para supervisar las licencias consumidas, vaya a la páginaRedes>Licencias.
Uso de licencias de suscripción de Microsoft Azure: configure las licencias de Citrix ADC disponibles en Azure Marketplace mientras crea el grupo de escalabilidad automática. Por lo tanto, cuando se aprovisiona una nueva instancia para el grupo de Autoscale, la licencia se obtiene de Azure Marketplace.
Imágenes de máquinas virtuales Azure de Citrix ADC compatibles
Imágenes de máquinas virtuales Azure de Citrix ADC compatibles para aprovisionamiento
Utilice la imagen de máquina virtual de Azure que admita un mínimo de tres NIC. El aprovisionamiento de instancias de Citrix ADC VPX solo se admite en las ediciones Premium y Advanced. Para obtener más información sobre los tipos de imágenes de máquinas virtuales de Azure, consulte:Tamaños de máquinas virtuales de uso general.
A continuación se indican los tamaños de VM recomendados para el Provisioning:
-
Standard_DS3_v2
-
Standard_B2ms
-
Standard_DS4_v2
Directrices de uso de puertos
Los usuarios pueden configurar más reglas de entrada y salida en NSG mientras crean la instancia de NetScaler VPX o después de aprovisionar la máquina virtual. Cada regla de entrada y salida está asociada con un puerto público y un puerto privado.
Antes de configurar las reglas NSG, tenga en cuenta las siguientes pautas con respecto a los números de puerto que pueden usar los usuarios:
-
La instancia de NetScaler VPX reserva los siguientes puertos. Los usuarios no pueden definirlos como puertos privados cuando utilizan la dirección IP pública para solicitudes de Internet. Puertos 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Sin embargo, si los usuarios desean que los servicios con conexión a Internet, como el VIP, usen un puerto estándar (por ejemplo, el puerto 443), los usuarios deben crear una asignación de puertos mediante el NSG. A continuación, el puerto estándar se asigna a un puerto diferente que se configura en Citrix ADC VPX para este servicio VIP. Por ejemplo, un servicio VIP podría estar ejecutándose en el puerto 8443 en la instancia VPX, pero asignarse al puerto público 443. Por lo tanto, cuando el usuario accede al puerto 443 a través de la IP pública, la solicitud se dirige al puerto privado 8443.
-
La dirección IP pública no admite protocolos en los que la asignación de puertos se abra dinámicamente, como FTP pasivo o ALG.
-
La alta disponibilidad no funciona para el tráfico que utiliza una dirección IP pública (PIP) asociada a una instancia VPX, en lugar de un PIP configurado en el equilibrador de carga de Azure. Para obtener más información, consulte:Configuración de una configuración de alta disponibilidad con una sola dirección IP y una sola NIC.
-
En una implementación de NetScaler Gateway, los usuarios no necesitan configurar una dirección SNIP, porque el NSIP se puede usar como un SNIP cuando no hay ningún SNIP configurado. Los usuarios deben configurar la dirección VIP mediante la dirección NSIP y algún número de puerto no estándar. Para la configuración de devolución de llamada en el servidor back-end, se debe especificar el número de puerto VIP junto con la URL VIP (por ejemplo, url: port).
Nota:
-
En Azure Resource Manager, una instancia de Citrix ADC VPX está asociada a dos direcciones IP: Una dirección IP pública (PIP) y una dirección IP interna. Mientras el tráfico externo se conecta al PIP, la dirección IP interna o el NSIP no se puede redirigir. Para configurar un VIP en VPX, utilice la dirección IP interna (NSIP) y cualquiera de los puertos libres disponibles. No utilice el PIP para configurar un VIP.
-
Por ejemplo, si el NSIP de una instancia de Citrix ADC VPX es 10.1.0.3 y un puerto libre disponible es 10022, los usuarios pueden configurar un VIP proporcionando la combinación 10.1.0. 3:10022 (dirección NSIP + puerto).
-
En este artículo
- Información general
- Citrix ADC VPX
- Microsoft Azure
- Terminología de Azure
- Flujo lógico de Citrix WAF en Azure
- Casos de uso
- Tipos de implementación
- Implementación de múltiples NIC y IP múltiples (tres NIC) para alta disponibilidad (HA)
- Implementación de plantillas Azure Resource Manager
- Plantillas ARM (Azure Resource Manager)
- Pasos de implementación
- Arquitectura multi-NIC multi-IP (tres NIC)
- Arquitectura de implementación de Citrix ADM
- Citrix Application Delivery Management
- Los diez primeros de Citrix ADC WAF y OWASP — 2017
- A 1:2017 - Inyección
- A 2:2017 — Autenticación rota
- A 3:2017 - Exposición de datos confidenciales
- A 4:2017 Entidades externas XML (XXE)
- A 5:2017 Control de acceso roto
- A 6:2017 - Configuración errónea de seguridad
- A 7:2017 - Scripting entre sitios (XSS)
- A 8:2017 - Deserialización insegura
- A 9:2017 - Uso de componentes con vulnerabilidades conocidas
- A 10:2017 - Registro y supervisión insuficientes
- Protección de seguridad de aplicaciones
- Citrix ADM
- Casos de uso
- Firewall de aplicaciones web (WAF) de Citrix
- Estrategia de implementación de firewall de aplicaciones web
- Configuración del firewall de aplicaciones web (WAF)
- Inyección SQL
- Scripting entre sitios
- Comprobación de desbordamiento de búfer
- Parches/firmas virtuales
- Análisis de seguridad de aplicaciones
- Aprendizaje centralizado en ADM
- Libro de estilos
- Implementación de las configuraciones de firewall
- Análisis de Security Insight
- Configuración de Security Insight
- Umbrales
- Caso de uso de Security Insight
- Infracciones de seguridad
- Ver detalles de infracciones de seguridad de aplicaciones
- Categorías de infracción
- Configuración
- Panel de infracciones de seguridad
- Detalles de infracción
- Bot Insight
- Uso de Bot Insight en Citrix ADM
- Ver historial de eventos
- Ver bots
- Ver detalles del bot
- Búsqueda avanzada
- Detalles de infracción de bot
- Conexiones excesivas de clientes
- Adquisición de cuenta
- Volumen de carga inusualmente alto
- Volumen de descarga inusualmente alto
- Tasa de solicitudes inusualmente alta
- Casos de uso
- Detección de bot
- Reputación de IP
- Referencias
- Requisitos previos
- Requisitos previos de Azure
- Limitaciones
- Modelos y licencias compatibles con Azure-VPX
- Imágenes de máquinas virtuales Azure de Citrix ADC compatibles
- Imágenes de máquinas virtuales Azure de Citrix ADC compatibles para aprovisionamiento
- Directrices de uso de puertos