Citrix ADC

Registros de Web App Firewall

Los mensajes de registro generados por Web App Firewall pueden ser muy útiles para realizar un seguimiento de los cambios de configuración, las invocaciones de directivas de Web App Firewall y las infracciones de comprobación de seguridad.

Cuando la acción de registro está habilitada para comprobaciones de seguridad o firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el Web App Firewall ha observado al proteger sus sitios web y aplicaciones. La información más importante es la acción realizada por Web App Firewall cuando se observó una firma o una infracción de comprobación de seguridad. Para algunas comprobaciones de seguridad, el mensaje de registro puede proporcionar información útil adicional, como la ubicación y el patrón detectado que desencadenó la infracción. Puede implementar comprobaciones de seguridad en modo no bloque y supervisar los registros para determinar si las transacciones que desencadenan violaciones de seguridad son transacciones válidas (falsos positivos). Si lo son, puede quitar o volver a configurar la firma o las comprobaciones de seguridad, implementar relajantes o tomar otras medidas adecuadas para mitigar los falsos positivos antes de habilitar el bloqueo de esa firma o comprobación de seguridad. Un aumento excesivo en el número de mensajes de infracción en los registros puede indicar un aumento en las solicitudes malintencionadas. Esto puede avisarle de que su aplicación podría estar siendo atacada para aprovechar una vulnerabilidad específica detectada y frustrada por las protecciones de Web App Firewall.

Registros de formato de Citrix ADC (nativo)

El Web App Firewall utiliza los registros de formato Citrix ADC (también denominados registros de formato nativo) de forma predeterminada. Estos registros tienen el mismo formato que los generados por otras funciones de Citrix ADC. Cada registro contiene los siguientes campos:

  • Marca de tiempo. Fecha y hora en que se produjo la conexión.
  • Gravedad. Nivel de gravedad del registro.
  • Módulo. Módulo Citrix ADC que generó la entrada de registro.
  • Tipo de evento. Tipo de evento, como violación de firma o violación de comprobación de seguridad.
  • Id. de evento. ID asignado al evento.
  • IP del cliente. Dirección IP del usuario cuya conexión se registró.
  • ID de transacción. ID asignado a la transacción que causó el registro.
  • ID de sesión. ID asignado a la sesión de usuario que causó el registro.
  • Mensaje. El mensaje de registro. Contiene información que identifica la firma o comprobación de seguridad que desencadenó la entrada de registro.

Puede buscar cualquiera de estos campos, o cualquier combinación de información de diferentes campos. Su selección solo está limitada por las capacidades de las herramientas que utiliza para ver los registros. Puede observar los mensajes de registro de Web App Firewall en la GUI accediendo al visor de sistema de Citrix ADC, o puede conectarse manualmente al dispositivo Citrix ADC y acceder a los registros desde la interfaz de línea de comandos, o bien puede colocar en el shell y seguir los registros directamente desde la carpeta /var/log/.

Ejemplo de un mensaje de registro de formato nativo

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_XSS 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>

Registros de formato de evento común (CEF)

El Web App Firewall también admite registros CEF. CEF es un estándar de administración de registros abiertos que mejora la interoperabilidad de la información relacionada con la seguridad de diferentes dispositivos y aplicaciones de seguridad y red. CEF permite a los clientes utilizar un formato de registro de eventos común para que los datos se puedan recopilar y agregar fácilmente para su análisis mediante un sistema de administración empresarial. El mensaje de registro se divide en diferentes campos para que pueda analizar fácilmente el mensaje y escribir scripts para identificar información importante.

Análisis del mensaje de registro CEF

Además de la fecha, la marca de hora, la IP del cliente, el formato de registro, el dispositivo, la empresa, la versión de compilación, el módulo y la información de comprobación de seguridad, los mensajes de registro CEF de Web App Firewall incluyen los siguientes detalles:

  • src: Dirección IP de origen
  • spt: Número de puerto de origen
  • request: URL de solicitud
  • acto: Acción (por ejemplo, bloqueado, transformado)
  • msg: Message (Mensaje con respecto a la violación observada de la comprobación de seguridad)
  • cn1: ID de evento
  • cn2: Id. de transacción HTTP
  • cs1: Nombre de perfil
  • cs2: ID del EPI (por ejemplo, PPE1)
  • cs3: Id. de sesión
  • cs4: Gravedad (p. ej. INFO, ALERTA)
  • cs5: Año del evento
  • cs6: Categoría de infracción de firma
  • method: Método (por ejemplo, GET/POST)

Por ejemplo, considere el siguiente mensaje de registro de formato CEF, que se generó cuando se desencadenó una infracción de URL de inicio:

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked

El mensaje anterior se puede dividir en diferentes componentes. Consulte la tabla Componentes de registro CEP.

Ejemplo de una infracción de comprobación de solicitud en formato de registro CEF: La solicitud no está bloqueada

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked

Ejemplo de infracción de comprobación de respuesta en formato CEF: La respuesta se transforma

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed

Ejemplo de una infracción de firma del lado de solicitud en formato CEF: La solicitud está bloqueada

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked

Registro de geolocalización en los mensajes de infracción de Web App Firewall

La geolocalización, que identifica la ubicación geográfica desde la que se originan las solicitudes, puede ayudarle a configurar el Web App Firewall para obtener el nivel óptimo de seguridad. Para evitar implementaciones de seguridad como la limitación de velocidad, que dependen de las direcciones IP de los clientes, los equipos maliciosos o no fiables pueden seguir cambiando la dirección IP de origen en las solicitudes. Identificar la región específica de donde provienen las solicitudes puede ayudar a determinar si las solicitudes proceden de un usuario válido o de un dispositivo que intenta lanzar ciberataques. Por ejemplo, si se recibe un número excesivamente grande de solicitudes de un área específica, es fácil determinar si las envían los usuarios o una máquina no fiable. El análisis de geolocalización del tráfico recibido puede ser muy útil para desviar ataques como ataques de denegación de servicio (DoS).

El Web App Firewall le ofrece la comodidad de utilizar la base de datos integrada de Citrix ADC para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes malintencionadas. A continuación, puede aplicar un mayor nivel de seguridad para las solicitudes de esas ubicaciones. Las expresiones de sintaxis predeterminada (PI) de Citrix le ofrecen la flexibilidad de configurar directivas basadas en ubicaciones que se pueden usar junto con la base de datos de ubicaciones integrada para personalizar la protección del firewall, reforzando su defensa contra ataques coordinados lanzados por clientes no fiables en una región específica.

Puede utilizar la base de datos integrada de Citrix ADC o cualquier otra base de datos. Si la base de datos no tiene ninguna información de ubicación para la dirección IP del cliente en particular, el registro CEF muestra la geolocalización como una geolocalización desconocida.

Nota: Elregistro de geolocalización utiliza el formato de evento común (CEF). De forma predeterminada, el registro CEF y GeoLocationLogging están desactivados. Debe habilitar explícitamente ambos parámetros.

Ejemplo de un mensaje de registro CEF que muestra información de geolocalización

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked

Ejemplo de un mensaje de registro que muestra geolocalización = Desconocido

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked

Usar la línea de comandos para configurar la acción de registro y otros parámetros de registro

Para configurar la acción de registro para una comprobación de seguridad de un perfil mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

Ejemplos

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

Para configurar el registro CEF mediante la línea de comandos

El registro CEF está inhabilitado de forma predeterminada. En el símbolo del sistema, escriba uno de los siguientes comandos para cambiar o mostrar la configuración actual:

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

Para configurar el registro de los números de tarjetas de crédito mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

Para configurar el registro de geolocalización mediante la línea de comandos

  1. Utilice el comando set para habilitar GeoLocationLogging. Puede habilitar el registro CEF al mismo tiempo. Utilice el comando unset para inhabilitar el registro de geolocalización. El comando show muestra la configuración actual de todos los parámetros de Web App Firewall, a menos que incluya el comando grep para mostrar la configuración de un parámetro específico.

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. Especificar la base de datos

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    O bien:

    add locationfile <path to database file>

Personalización de registros de Web App Firewall

Las expresiones de formato predeterminado (PI) le ofrecen la flexibilidad necesaria para personalizar la información incluida en los registros. Tiene la opción de incluir los datos específicos que quiere capturar en los mensajes de registro generados por Web App Firewall. Por ejemplo, si está utilizando la autenticación AAA-TM junto con las comprobaciones de seguridad de Web App Firewall y quiere saber la dirección URL a la que se ha accedido que desencadenó la infracción de comprobación de seguridad, el nombre del usuario que solicitó la dirección URL, la dirección IP de origen y el puerto de origen desde el que el usuario envió la solicitud, debe puede utilizar los siguientes comandos para especificar mensajes de registro personalizados que incluyan todos los datos:

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
> add appfw profile test_profile
 Done
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done

Configuración de la directiva de Syslog para segregar los registros de Web App Firewall

El Web App Firewall ofrece una opción para aislar y redirigir los mensajes de registro de seguridad de Web App Firewall a un archivo de registro diferente. Esto podría ser deseable si Web App Firewall está generando un gran número de registros, lo que dificulta la visualización de otros mensajes de registro Citrix ADC. También puede utilizar esta opción cuando solo está interesado en ver los mensajes de registro de Web App Firewall y no quiere ver los otros mensajes de registro.

Para redirigir los registros de Web App Firewall a un archivo de registro diferente, configure una acción syslog para enviar los registros de Web App Firewall a un servicio de registro diferente. Puede utilizar esta acción al configurar la directiva syslog y vincularla globalmente para que la use Web App Firewall.

Ejemplo:

  1. Cambie al shell y use un editor como vi para modificar el archivo /etc/syslog.conf. Agregue una nueva entrada para usar local2.* para enviar registros a un archivo independiente como se muestra en el siguiente ejemplo:

    local2.\* /var/log/ns.log.appfw

  2. Reinicie el proceso syslog. Puede utilizar el comando grep para identificar el ID de proceso syslog (PID), como se muestra en el ejemplo siguiente:

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. Desde la interfaz de línea de comandos, configure la acción y la directiva syslog. Enlácelo como una directiva global de Web App Firewall.

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. Todas las infracciones de comprobación de seguridad de Web App Firewall ahora se redireccionarán al archivo /var/log/ns.log.appfw. Puede seguir este archivo para ver las infracciones de Web App Firewall que se desencadenan durante el procesamiento del tráfico en curso.

    root@ns# tail -f ns.log.appfw

Advertencia: Si ha configurado la directiva syslog para redirigir los registros a un servicio de registro diferente, los mensajes de registro de Web App Firewall ya no aparecen en el archivo /var/log/ns.log.

Visualización de los registros de Web App Firewall

Puede ver los registros mediante el visor syslog o iniciando sesión en el dispositivo Citrix ADC, abriendo un shell UNIX y mediante el editor de texto UNIX que elija.

Para acceder a los mensajes de registro mediante la línea de comandos

Cambie al shell y siga los ns.logs en la carpeta /var/log/ para acceder a los mensajes de registro correspondientes a las infracciones de comprobación de seguridad de Web App Firewall:

  • Shell
  • tail -f /var/log/ns.log

Puede utilizar el editor vi, o cualquier editor de texto Unix o herramienta de búsqueda de texto, para ver y filtrar los registros para entradas específicas. Por ejemplo, puede utilizar el comando grep para acceder a los mensajes de registro relacionados con las infracciones de la tarjeta de crédito:

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario

La GUI de Citrix incluye una herramienta muy útil (Syslog Viewer) para analizar los mensajes de registro. Tiene varias opciones para acceder al Visor de Syslog:

  • Para ver los mensajes de registro de una comprobación de seguridad específica de un perfil, vaya a Web App Firewall > Perfiles, seleccione el perfil de destino y haga clic en Comprobaciones de seguridad. Resalte la fila de la comprobación de seguridad de destino y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de seguridad seleccionada del perfil, filtra los mensajes de registro y muestra solo los registros correspondientes a las infracciones de la comprobación de seguridad seleccionada. El visor de Syslog puede mostrar los registros de Web App Firewall en el formato nativo, así como en el formato CEF. Sin embargo, para que el visor de syslog filtre los mensajes de registro específicos del perfil de destino, los registros deben estar en el formato de registro CEF cuando se accede desde el perfil.
  • También puede acceder al Visor de Syslog navegando a Citrix ADC > Sistema > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad de Web App Firewall para todos los perfiles. Esto es útil para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de solicitudes.
  • Desplácese hasta Web App Firewall > Directivas > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad para todos los perfiles.

El Visor de Syslog basado en HTML proporciona las siguientes opciones de filtro para seleccionar solo los mensajes de registro que le interesan:

  • Archivo: El archivo/var/log/ns.log actual está seleccionado de forma predeterminada y los mensajes correspondientes aparecen en el Visor de Syslog. Hay una lista de otros archivos de registro en el directorio /var/log disponible en formato.gz comprimido. Para descargar y descomprimir un archivo de registro archivado, simplemente seleccione el archivo de registro en la opción desplegable. Los mensajes de registro correspondientes al archivo seleccionado se muestran en el visor syslog. Para actualizar la visualización, haga clic en el icono Actualizar (un círculo de dos flechas).

  • Cuadro de lista Módulos: Puede seleccionar el módulo Citrix ADC cuyos registros quiere ver. Puede configurarlo en APTFW para registros de Web App Firewall.

  • Cuadro de lista Tipo de evento: Este cuadro contiene un conjunto de casillas de verificación para seleccionar el tipo de evento que le interesa. Por ejemplo, para ver los mensajes de registro relacionados con las infracciones de firma, puede activar la casilla de verificación APTFW_SIGNATURE_MATCH. Del mismo modo, puede activar una casilla de verificación para habilitar la comprobación de seguridad específica que le interesa. Puede seleccionar varias opciones.

  • Gravedad: Puede seleccionar un nivel de gravedad específico para mostrar solo los registros de ese nivel de gravedad. Deje todas las casillas de verificación en blanco si quiere ver todos los registros.

    Para acceder a los mensajes de registro de infracciones de comprobación de seguridad de Web App Firewall para una comprobación de seguridad específica, filtre seleccionando APTFW en las opciones desplegables de Módulo. El tipo de evento muestra un amplio conjunto de opciones para refinar aún más la selección. Por ejemplo, si activa la casilla de verificación APTFW_FIELDFORMAT y hace clic en el botón Aplicar, solo aparecerán mensajes de registro pertenecientes a las infracciones de comprobación de seguridad Formatos de campo en el Visor de Syslog. Del mismo modo, si activa las casillas de verificación APTFW_SQL y APTFW_STARTURL y hace clic en el botón Aplicar, solo aparecerán mensajes de registro relacionados con estas dos infracciones de comprobación de seguridad en el visor de syslog.

Si coloca el cursor en la fila de un mensaje de registro específico, debajo del mensaje de registro aparecen varias opciones, como Module, EventType, EventID, ClientIP, TransactionID, etc. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en los registros.

Haga clic para implementar: Esta funcionalidad solo está disponible en la GUI. Puede utilizar Syslog Viewer no solo para ver los registros, sino también para implementar reglas de relajación basadas en los mensajes de registro para las infracciones de comprobación de seguridad de Web App Firewall. Los mensajes de registro deben estar en formato de registro CEF para esta operación. Si la regla de relajación se puede implementar para un mensaje de registro, aparece una casilla de verificación en el borde derecho del cuadro Visor de Syslog en la fila. Active la casilla de verificación y, a continuación, seleccione una opción de la lista Acción para implementar la regla de relajación. Modificar e implementar, Implementar e Implementar todo están disponibles como opciones de acción. Por ejemplo, puede seleccionar un mensaje de registro individual para modificarlo e implementarlo. También puede activar las casillas de verificación de varios mensajes de registro de una o varias comprobaciones de seguridad y utilizar la opción Implementar o Implementar todo. La funcionalidad de clic para implementar actualmente es compatible con las siguientes comprobaciones de seguridad:

  • StarTurl
  • Desbordamiento de búfer de URL
  • Inyección SQL
  • XSS
  • Consistencia de campo
  • Consistencia de cookies

Para utilizar la funcionalidad Click to Deploy en la GUI

  1. En el Visor de Syslog, seleccione APPFW en las opciones del módulo.
  2. Seleccione la comprobación de seguridad para la que quiere filtrar los mensajes de registro correspondientes.
  3. Active la casilla de verificación para seleccionar la regla.
  4. Utilice la lista desplegable Acción de opciones para implementar la regla de relajación.
  5. Compruebe que la regla aparece en la sección correspondiente de regla de relajación.

Nota:

Las reglas de SQL Injection y XSS que se implementan mediante la opción Hacer clic en Implementar no incluyen las recomendaciones de relajación de grano fino.

Resumen

  • Compatibilidad con formato de registroCEF: La opción de formato de registro CEF proporciona una opción conveniente para supervisar, analizar y analizar los mensajes de registro de Web App Firewall para identificar ataques, ajustar la configuración configurada para disminuir los falsos positivos y recopilar estadísticas.
  • Haga clic para implementar: El visor de Syslog proporciona una opción para filtrar, evaluar e implementar reglas de relajación para una o varias infracciones de comprobación de seguridad desde una ubicación conveniente.
  • Opción para personalizar el mensaje de registro: Puede utilizar expresiones PI avanzadas para personalizar los mensajes de registro e incluir los datos que quiere ver en los registros.
  • Segregar registros específicos de Web App Firewall: Tiene la opción de filtrar y redirigir los registros específicos de firewall de aplicaciones a un archivo de registro independiente.
  • Registro remoto: Puede redirigir los mensajes de registro a un servidor syslog remoto.
  • Registro de geolocalización: Puede configurar Web App Firewall para incluir la geolocalización del área desde donde se recibe la solicitud. Una base de datos de geolocalización integrada está disponible, pero tiene la opción de utilizar una base de datos de geolocalización externa. El dispositivo Citrix ADC admite bases de datos de geolocalización estática IPv4 e IPv6.
  • Mensaje de registro enriquecido de información: A continuación se presentan algunos ejemplos del tipo de información que se puede incluir en los registros, en función de la configuración:
    • Se ha activado una directiva de Web App Firewall.
    • Se ha desencadenado una infracción de comprobación de seguridad.
    • Se consideró que una solicitud estaba mal formada.
    • Una solicitud o la respuesta se bloqueó o no se bloqueó.
    • Los datos de solicitud (como caracteres especiales SQL o XSS) o los datos de respuesta (como números de tarjeta de crédito o cadenas de objetos seguros) se transformaron.
    • El número de tarjetas de crédito en la respuesta superó el límite configurado.
    • Número y tipo de tarjeta de crédito.
    • Las cadenas de registro configuradas en las reglas de firma y el ID de firma.
    • Información de geolocalización sobre el origen de la solicitud.
    • Entrada de usuario enmascarada (X’d out) para campos confidenciales protegidos.

Enmascara datos sensibles mediante un patrón de expresiones regulares

La función de directiva avanzada (PI) REGEX_REPLACE en una expresión de registro (enlazada a un perfil de Web App Firewall (WAF)) permite enmascarar datos confidenciales en registros WAF. Puede utilizar la opción para enmascarar datos mediante un patrón de expresiones regulares y proporcionar un carácter o un patrón de cadena para enmascarar los datos. Además, puede configurar la función PI para reemplazar la primera aparición o todas las apariciones del patrón de expresiones regulares.

De forma predeterminada, la interfaz GUI de Citrix proporciona la siguiente máscara:

  • SSN
  • Tarjeta de crédito
  • Password
  • Nombre de usuario

Enmascarar datos confidenciales en los registros de Web App Firewall

Puede enmascarar datos confidenciales en registros WAF configurando la expresión de directiva avanzada REGEX_REPLACE en la expresión de registro enlazada a un perfil WAF. Para enmascarar datos confidenciales, debe realizar los siguientes pasos:

  1. Agregar un perfil de Web App Firewall
  2. Enlazar una expresión de registro al perfil WAF

Agregar un perfil de Web App Firewall

En el símbolo del sistema, escriba:

add appfw profile <name>

Ejemplo:

Add appfw profile testprofile1

Vincular una expresión de registro con el perfil de Web App Firewall

En el símbolo del sistema, escriba:

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

Ejemplo:

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Enmascara los datos confidenciales en los registros de Web Application Firewall mediante la GUI de Citrix ADC

  1. En el panel de navegación, expanda Seguridad > Citrix Web App Firewall > Perfiles.
  2. En la página Perfiles, haga clic en Modificar.
  3. En la página Perfil de Citrix Web App Firewall, vaya a la sección Configuración avanzada y haga clic en Registro extendido.

    Sección de registro extendido

  4. En la sección Registro extendido, haga clic en Agregar.

    Enlace de registro WAF de Citrix

  5. En la página Crear enlace de registro extendido de Citrix Web App Firewall, establezca los siguientes parámetros:

    1. Nombre. Nombre de la expresión de registro.
    2. Habilitado. Seleccione esta opción para enmascarar datos confidenciales.
    3. Máscara de registro. Seleccione los datos que se van a enmascarar.
    4. Expresión. Introduzca la expresión de directiva avanzada que le permite enmascarar datos confidenciales en registros WAF
    5. Comentarios. Breve descripción sobre los datos confidenciales de enmascaramiento.
  6. Haga clic en Crear y cerrar.

    Enlace de registro WAF de Citrix