Seguimiento de solicitudes HTML con registros de seguridad

Nota:

Esta función está disponible en Citrix ADC versión 10.5.e.

La solución de problemas requiere el análisis de los datos recibidos en la solicitud del cliente y puede ser un reto. Especialmente si hay tráfico pesado que fluye a través del dispositivo. El diagnóstico de problemas puede afectar a la funcionalidad o la seguridad de la aplicación puede requerir una respuesta rápida.

Citrix ADC tiene una opción para aislar el tráfico de un perfil de Web App Firewall y recopilar nstrace para las solicitudes HTML. El nstrace recopilado en el modo —appfw incluirá detalles de toda la solicitud, incluidos los mensajes de registro generados por Web App Firewall. Puede usar “Follow TCP stream” en el seguimiento para ver los detalles de la transacción individual incluyendo encabezados, carga útil, así como el mensaje de registro correspondiente, juntos en la misma pantalla.

Esto le ofrece una visión general completa sobre su tráfico. Tener una vista detallada de la solicitud, la carga útil y los registros de registro asociados puede ser muy útil para analizar la infracción de comprobación de seguridad. Puede identificar fácilmente el patrón que está desencadenando la infracción. Si el patrón debe ser permitido, puede tomar la decisión de modificar la configuración y/o agregar una regla de relajación.

Ventajas

  1. Aislar tráfico para un perfil específico: esta mejora resulta útil cuando se aísla tráfico para un solo perfil o transacciones específicas de un perfil para solucionar problemas. Ya no tiene que revisar todos los datos recopilados en el rastreo o necesita filtros especiales para aislar las solicitudes que le interesan, lo que puede ser tedioso con el tráfico pesado. Ahora tiene la opción de ver solo los datos que le interesan.
  2. Recopilar datos para solicitudes específicas: el seguimiento se puede recopilar durante una duración determinada. Puede recopilar seguimiento solo para un par de solicitudes para aislar, analizar y depurar transacciones específicas si es necesario.
  3. Identificar restablecimientos o anulaciones: el cierre inesperado de conexiones no es fácilmente visible. La traza recopilada en el modo —appfw captura un reinicio o un aborto, desencadenado por el Web App Firewall. Esto permite un aislamiento más rápido del problema cuando no ve un mensaje de infracción de comprobación de seguridad. Las solicitudes mal formadas u otras solicitudes no compatibles con RFC terminadas por Web App Firewall ahora serán más fáciles de identificar.
  4. Ver tráfico SSL descifrado: el tráficoHTTPS se captura en texto sin formato para facilitar la solución de problemas.
  5. Proporciona una vista completa: le permite ver toda la solicitud en el nivel de paquete, comprobar la carga útil, mirar los registros para comprobar qué infracción de comprobación de seguridad se está desencadenando e identificar el patrón de coincidencia en la carga útil. Si la carga útil consiste en datos inesperados, cadenas basura o caracteres no imprimibles (carácter nulo, r o n, etc.), son fáciles de descubrir en la traza.
  6. Modificar configuración: la depuración puede proporcionar información útil para decidir si el comportamiento observado es el correcto o si la configuración debe modificarse.
  7. Acelerar el tiempo de respuesta: una depuración más rápida del tráfico de destino puede mejorar el tiempo de respuesta para proporcionar explicaciones y/o análisis de causa raíz por parte del equipo de ingeniería y soporte técnico de Citrix.

Consulte cualquier tema de tarea en eDocs para documentar tareas. Configuración manual mediante la interfaz de línea de comandos

Para configurar el seguimiento de depuración para un perfil mediante la interfaz de línea de comandos

Paso 1: Habilitar seguimiento ns.

Puede utilizar el comando show para verificar la configuración configurada.

  • set appfw profile <profile> -trace ON

Paso 2: Recoge rastros. Puede seguir mediante todas las opciones aplicables al comando nstrace.

  • start nstrace -mode APPFW

Paso 3: Detén el rastro.

  • stop nstrace

Ubicación del seguimiento: El nstrace se almacena en una carpeta con sello de tiempo que se crea en el directorio /var/nstrace y se puede ver mediante wireshark. Puede seguir el /var/log/ns.log para ver los mensajes de registro que proporcionan detalles sobre la ubicación de la nueva traza.

Consejos:

  • Cuando se utiliza la opción —appfw mode, nstrace solo recopilará los datos de los perfiles para los que se habilitó “trace”.

  • Habilitar el seguimiento en el perfil no comenzará automáticamente a recopilar los rastros hasta que ejecute explícitamente el comando “start nstrace” para recopilar el seguimiento.
  • Aunque, habilitar el seguimiento en un perfil puede no tener ningún efecto adverso en el rendimiento del Web App Firewall, pero es posible que quiera habilitar esta función solo durante el tiempo durante el que quiere recopilar los datos. Se recomienda desactivar el indicador —trace después de haber recopilado el seguimiento. Esto evitará el riesgo de obtener datos inadvertidamente de los perfiles para los que había habilitado este indicador en el pasado.

  • La acción de bloqueo o registro debe estar habilitada para que la comprobación de seguridad del registro de transacción se incluya en el nstrace.

  • Los restablecimientos y cancelaciones se registrarán independientemente de las acciones de comprobaciones de seguridad cuando el seguimiento esté “On” para los perfiles.

  • Esta función solo es aplicable para solucionar problemas de las solicitudes recibidas del cliente. Las trazas en el modo —appfw no incluyen las respuestas recibidas del servidor.

  • Puede seguir mediante todas las opciones aplicables al comando nstrace. Por ejemplo,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Si una solicitud desencadena varias violaciones, el nstrace para ese registro incluirá todos los mensajes de registro correspondientes.

  • El formato de mensaje de registro CEF es compatible con esta funcionalidad.

  • Las infracciones de firma que desencadenan acciones de bloqueo y/o registro para las comprobaciones del lado de solicitud también se incluirán en el seguimiento.

  • Solo las solicitudes HTML (no XML) se recopilan en el seguimiento.

Ejemplo de un registro de registro en el seguimiento:

Imagen localizada

Seguimiento de solicitudes HTML con registros de seguridad