Citrix ADC

Configuración de la acción predeterminada para una directiva de respondedor

El dispositivo Citrix ADC genera un evento no definido (evento UNDEF) cuando una solicitud no coincide con una directiva de respuesta. A continuación, el dispositivo realiza la acción predeterminada asignada a eventos no definidos. De forma predeterminada, la acción reenvía la solicitud a la siguiente función, como equilibrio de carga, filtrado de contenido, etc. Este comportamiento predeterminado garantiza que las solicitudes no requieren ninguna acción de respuesta específica para enviarse a los servidores web. Además, los clientes reciben acceso al contenido que han solicitado.

Sin embargo, si uno o varios sitios web que protege el dispositivo Citrix ADC reciben un número significativo de solicitudes no válidas o malintencionadas, es posible que quiera cambiar la acción predeterminada para restablecer la conexión del cliente o eliminar la solicitud. En este tipo de configuración, escribiría una o más directivas de respuesta que coincidieran con cualquier solicitud legítima y simplemente redirigirlas a sus destinos originales. A continuación, su dispositivo Citrix ADC bloquearía cualquier otra solicitud según lo especificado por la acción predeterminada que haya configurado.

Puede asignar cualquiera de las siguientes acciones a un evento indefinido:

  • NOOP. La acción NOOP aborta el procesamiento de respondedor pero no altera el flujo del paquete. De modo que el dispositivo continúe procesando solicitudes que no coinciden con ninguna directiva de respuesta y, finalmente, las reenvía a la dirección URL solicitada a menos que interviene otra función y bloquee o redirija la solicitud. Esta acción es apropiada para las solicitudes normales a los servidores web y es la configuración predeterminada.
  • RESTABLECER. Si la acción indefinida se establece en RESTABLECER, el dispositivo restablece la conexión del cliente e informa al cliente de que debe restablecer su sesión con el servidor web. La acción es adecuada para solicitudes repetidas de páginas web que no existen, o para conexiones que podrían ser intentos de hackear o sondear sus sitios web protegidos.
  • DROP. Si la acción indefinida se establece en DROP, el dispositivo descarta la solicitud de forma silenciosa sin responder al cliente de ninguna manera. Esta acción es apropiada para las solicitudes que parecen formar parte de un ataque DDoS u otro ataque sostenido en los servidores.

Nota: Los eventos UNDEF se activan solo para las solicitudes de los clientes. No se activan eventos del UNDEF para las respuestas.

Para establecer la acción indefinida mediante la línea de comandos de Citrix ADC:

En el símbolo del sistema, escriba el siguiente comando para establecer la acción indefinida y verificar la configuración:

  • set responder param -undefAction (RESET|DROP|NOOP) [-timeout <msecs>]
  • show responder param

Donde:

timeout: Tiempo máximo en milisegundos para permitir el procesamiento de todas las directivas y sus acciones seleccionadas sin interrupción. Si se alcanza el tiempo de espera, la evaluación hace que se eleve un Fondo de las Naciones Unidas para el Medio Entorno y no se realiza ningún procesamiento posterior.

Valor mínimo: 1

Valor máximo: 5000

Ejemplo:

>set responder param -undefAction RESET -timeout 3900
 Done
> show responder param
Action Name: RESET
Timeout: 3900
 Done
>

Establecer la acción indefinida mediante la GUI

  1. Vaya a AppExpert > Responder y, a continuación, en Configuración, haga clic en el vínculo Cambiar configuración de respondedor.
  2. En la página Definir Parámetros de Respondedor, establezca los siguientes parámetros:

    1. Acción global de resultados indefinidos. La acción de resultado no definido se prefiere en una excepción de procesamiento no controlado en las directivas y acciones de respuesta. Seleccione NOOP, RESETo DROP.
    2. Tiempo de espera. Tiempo máximo en milisegundos para permitir el procesamiento de todas las directivas y sus acciones seleccionadas sin interrupción. Si se alcanza el tiempo de espera, la evaluación hace que se eleve un Fondo de las Naciones Unidas para el Medio Entorno y no se realiza ningún procesamiento posterior.
  3. Haga clic en Aceptar.

Procedimiento GUI para establecer una acción no definida para la directiva de respuesta.

Configuración de la acción predeterminada para una directiva de respondedor