Citrix ADC

Exigir el cumplimiento de HTTP RFC

Citrix Web App Firewall inspecciona el tráfico entrante para comprobar el cumplimiento de HTTP RFC y elimina cualquier solicitud que tenga infracciones de RFC de forma predeterminada. Sin embargo, hay ciertos casos en los que el dispositivo puede tener que omitir o bloquear una solicitud de cumplimiento que no sea RFC. En tales casos, puede configurar el dispositivo para que omita o bloquee dichas solicitudes a nivel global o de perfil.

Bloquear u omitir solicitudes que no cumplan con RFC a nivel global

El módulo HTTP etiqueta una solicitud como no válida si está incompleta o no es válida y tales solicitudes no pueden ser procesadas por WAF. Por ejemplo, una solicitud HTTP entrante que no tiene encabezado de host. Para bloquear u omitir dichas solicitudes no válidas, debe configurar la opción “malformedReqAction” en la configuración global del firewall de la aplicación.

Nota:

Si inhabilita la opción “bloquear” en el parámetro “malformedReqAction”, el dispositivo omite todo el procesamiento del firewall de la aplicación para todas las solicitudes de cumplimiento que no sean RFC y las reenvía al módulo siguiente.

Para bloquear u omitir solicitudes HTTP no válidas que no sean RFC mediante la interfaz de línea de comandos

Para bloquear u omitir solicitudes no válidas, escriba el siguiente comando:

set appfw settings -malformedreqaction <action>

Ejemplo:

set appfw settings –malformedReqAction block

Para mostrar la configuración de acción de solicitud incorrecta

Para mostrar la configuración de acción de solicitud incorrecta, escriba el siguiente comando:

show appfw settings

Salida:

DefaultProfile:  APPFW_BYPASS UndefAction:  APPFW_BLOCK SessionTimeout:  900     LearnRateLimit:  400     SessionLifetime:  0 SessionCookieName:  citrix_ns_id ImportSizeLimit:  134217728 SignatureAutoUpdate:  OFF SignatureUrl:"https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml" CookiePostEncryptPrefix:  ENC GeoLocationLogging:  OFF CEFLogging:  OFF       EntityDecoding:  OFF     UseConfigurableSecretKey:  OFF SessionLimit:  100000    MalformedReqAction:  block log stats
 Done

Para bloquear u omitir solicitudes HTTP no válidas que no sean RFC mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página Citrix Web App Firewall, haga clic en Cambiar configuración del motor en Configuración.
  3. En la página Configurar configuración de Citrix Web App Firewall, seleccione la opción Registrar solicitud mal formada como Bloque, Registro o Estadísticas.
  4. Haga clic en Aceptar y Cerrar.

Nota:

Si desactiva la acción “bloquear” o no selecciona ninguna acción de solicitud con formato incorrecto, el dispositivo omite la solicitud sin necesidad de interponer al usuario.

Bloquear u omitir solicitudes que no cumplan con RFC a nivel de perfil

Otras solicitudes no compatibles con RFC se pueden configurar para bloquear u omitir a nivel de perfil. Debe configurar el perfil RFC en el modo “Bloquear” o “Omitir”. Al hacerlo, cualquier tráfico no válido que coincida con el perfil de Web App Firewall se omite o se bloquea en consecuencia.

Nota:

Cuando establece el perfil RFC en modo “Bypass”, debe asegurarse de inhabilitar la opción de transformación en las secciones “Configuración de scripts de sitios HTML” y “Configuración de inyección HTML SQL”. Si habilita la opción y establece el perfil rfc en el modo “Omitir”, el dispositivo muestra un mensaje de advertencia: “Transformar scripts entre sitios” y “Transformar caracteres especiales de SQL” están activados actualmente. Se recomienda desactivarlo cuando se utiliza con APPFW_RFC_BYPASS”.

Importante:

Además, el dispositivo muestra una nota de advertencia: “Es posible que las comprobaciones de seguridad de Appfw habilitadas no sean aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes pueden transformarse parcialmente que contengan infracciones de RFC”.

Para configurar el perfil RFC en el perfil de Web App Firewall mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

set appfw profile <profile_name> -rfcprofile <rfcprofile_name

Ejemplo

set appfw profile P1 -rfcprofile APPFW_RFC_BLOCK

Nota:

De forma predeterminada, el perfil rfc está enlazado al perfil de Web App Firewall en modo “Bloquear”.

Para configurar el perfil RFC en el perfil de Web App Firewall mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.
  2. En la página Perfiles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Web App Firewall, haga clic en Configuración de perfil en la sección Configuración avanzada.
  4. En la sección Configuración HTTP, establezca el perfil RFC en el modo APPFW_RFC_BYPASS. El sistema muestra un mensaje de advertencia: “Las comprobaciones de seguridad de Appfw habilitadas podrían no ser aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes pueden transformarse parcialmente que contengan infracciones de RFC”.