Citrix ADC

Exigir el cumplimiento de HTTP RFC

Citrix Web App Firewall inspecciona el tráfico entrante en busca de cumplimiento de HTTP RFC y elimina cualquier solicitud que tenga infracciones de RFC de forma predeterminada. Sin embargo, hay ciertos casos en los que el dispositivo puede tener que omitir o bloquear una solicitud de cumplimiento que no sea de RFC. En tales casos, puede configurar el dispositivo para que omita o bloquee dichas solicitudes a nivel global o de perfil.

Bloquee o evite las solicitudes que no cumplen con RFC a nivel global

El módulo HTTP identifica una solicitud como no válida si está incompleta y WAF no puede procesar dichas solicitudes. Por ejemplo, una solicitud HTTP entrante a la que falta un encabezado de host. Para bloquear o evitar estas solicitudes no válidas, debe configurar la opción malformedReqAction en la configuración global del firewall de aplicaciones.

El parámetro ‘MalformedReqAction’ valida la solicitud entrante de longitud de contenido no válida, solicitud en porciones no válida, ninguna versión HTTP, encabezado incompleto, etc.

Nota:

Si inhabilita la opción de bloqueo en el parámetro malformedReqAction, el dispositivo omite todo el procesamiento del firewall de la aplicación para todas las solicitudes de cumplimiento que no son RFC y las reenvía al siguiente módulo.

Para bloquear u omitir solicitudes HTTP de quejas no válidas que no sean de RFC mediante la interfaz de línea de comandos

Para bloquear u omitir solicitudes no válidas, introduzca el siguiente comando:

set appfw settings -malformedreqaction <action>

Ejemplo:

set appfw settings –malformedReqAction block

Para mostrar la configuración de acción de solicitud mal formada

Para mostrar la configuración de acción de solicitud mal formada, introduzca el siguiente comando:

show appfw settings

Salida:

DefaultProfile:  APPFW_BYPASS UndefAction:  APPFW_BLOCK SessionTimeout:  900     LearnRateLimit:  400     SessionLifetime:  0 SessionCookieName:  citrix_ns_id ImportSizeLimit:  134217728 SignatureAutoUpdate:  OFF SignatureUrl:"https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml" CookiePostEncryptPrefix:  ENC GeoLocationLogging:  OFF CEFLogging:  OFF       EntityDecoding:  OFF     UseConfigurableSecretKey:  OFF SessionLimit:  100000    MalformedReqAction:  block log stats
 Done
<!--NeedCopy-->

Para bloquear u omitir solicitudes HTTP no válidas de quejas no RFC mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página Citrix Web App Firewall, haga clic en Cambiar configuración del motor en Configuración.
  3. En la página Configurar la configuración de Citrix Web App Firewall, seleccione la opción Registrar solicitud mal formada como Bloque, Registro o Estadísticas.
  4. Haga clic en Aceptar y cerrar.

Nota:

Si anula la selección de la acción de bloqueo o no selecciona ninguna acción de solicitud mal formada, el dispositivo omite la solicitud sin intimidar al usuario.

Bloquear u omitir solicitudes que no cumplan con RFC a nivel de perfil

Otras solicitudes no compatibles con RFC se pueden configurar para bloquear u omitir a nivel de perfil. Debe configurar el perfil RFC en modo Bloque o Bypass. Al realizar esta configuración, cualquier tráfico no válido que coincida con el perfil de Web App Firewall se omite o se bloquea en consecuencia. El perfil RFC valida las siguientes comprobaciones de seguridad:

  • Solicitudes de GWT-RPC no válidas
  • Encabezados de tipos de contenido no válidos
  • Solicitudes multiparte no válidas
  • Solicitudes JSON no válidas
  • Comprobaciones de pares de valores de nombres de cookie

Nota:

Cuando establece el perfil RFC en modo “Omitir”, debe asegurarse de inhabilitar la opción de transformación en las secciones Configuración de scripts HTML entre sitios y en las secciones Configuración de inyección HTML SQL. Si habilita y establece el perfil RFC en modo Omisión, el dispositivo muestra un mensaje de advertencia: “Transformar scripts entre sitios” y “Transformar caracteres especiales de SQL” están activadas actualmente. Se recomienda apagarlo cuando se use con APPFW_RFC_BYPASS.

Importante:

Además, el dispositivo muestra una nota de advertencia: “Las comprobaciones de seguridad de Appfw habilitadas podrían no ser aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes podrían transformarse parcialmente que contengan infracciones de RFC. “

Para configurar un perfil RFC en el perfil de Web App Firewall mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los comandos siguientes:

set appfw profile <profile_name> -rfcprofile <rfcprofile_name

Ejemplo

set appfw profile P1 -rfcprofile APPFW_RFC_BLOCK

Nota:

De forma predeterminada, el perfil RFC está enlazado al perfil de Web App Firewall en modo Bloquear.

Para configurar un perfil RFC en el perfil de Web App Firewall mediante la GUI

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En la página Perfiles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Web App Firewall, haga clic en Configuración de perfil en la sección Configuración avanzada.
  4. En la sección Configuración HTML, establece el perfil RFC en modo APPFW_RFC_BYPASS. El sistema muestra un mensaje de advertencia: “Las comprobaciones de seguridad de Appfw habilitadas podrían no ser aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes pueden transformarse parcialmente que contengan infracciones de RFC”.
Exigir el cumplimiento de HTTP RFC