Citrix ADC

Integración de reglas de Snort

Con ataques maliciosos en aplicaciones web, es importante proteger su red interna. Los datos maliciosos no solo afectan a sus aplicaciones web a nivel de interfaz, sino que los paquetes maliciosos también llegan a la capa de aplicación. Para superar estos ataques, es importante configurar un sistema de detección y prevención de intrusiones que examine su red interna.

Las reglas de Snort se integran en el dispositivo para examinar los ataques maliciosos en paquetes de datos en la capa de aplicación. Puede descargar las reglas de snort y convertirlas en reglas de firmas WAF. Las firmas tienen una configuración basada en reglas que puede detectar actividades malintencionadas como ataques DOS, desbordamientos de búfer, análisis de puertos sigilosos, ataques CGI, sondeos SMB e intentos de huellas digitales del sistema operativo. Al integrar las reglas de Snort, puede fortalecer su solución de seguridad en la interfaz y en el nivel de la aplicación.

Configurar reglas de snort

La configuración comienza descargando primero las reglas de Snort y luego importándolas a las reglas de firma WAF. Una vez que haya convertido las reglas en firmas WAF, las reglas se pueden utilizar como comprobaciones de seguridad WAF. Las reglas de firma basadas en snort examinan el paquete de datos entrante para detectar si hay ataques maliciosos en la red.

Se agrega un nuevo parámetro, “VendorType” al comando import para convertir las reglas de Snort en firmas WAF.

El parámetro “VendorType” se establece en Snort solo para las reglas de Snort.

Descargar reglas de snort mediante la interfaz de comandos

Puede descargar las reglas de Snort como un archivo de texto desde la siguiente URL:

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Importar reglas de snort mediante la interfaz de comandos

Después de descargar, puede importar las reglas de Snort en el dispositivo.

En el símbolo del sistema, escriba:

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

Ejemplo:

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

Cliente:

Sr.c. URL (protocolo, host, ruta de acceso y nombre de archivo) para la ubicación en la que almacenar el objeto de firmas importadas.

Nota:

Se produce un error en la importación si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso. Argumento obligatorio de longitud máxima: 2047

Name. Nombre que se asignará al objeto de firmas en Citrix ADC. Argumento obligatorio de longitud máxima: 31

Comment. Descripción de cómo conservar información sobre el objeto firmas. Longitud máxima: 255 sobrescribir. Sobrescribir cualquier objeto de firmas existente del mismo nombre.

Merge. Combina Firma existente con nuevas reglas de firma.

Preservedefactions. Conserva las acciones de def de las reglas de firma.

VendorType. Proveedor externo para generar las firmas WAF. Valores posibles: Snort.

Configurar reglas de snort mediante la GUI de Citrix ADC

La configuración de GUI para las reglas de Snort es similar a la configuración de otros escáneres externos de aplicaciones web como Cenzic, Qualys, Whitehat.

Siga los pasos que se indican a continuación para configurar Snort:

  1. Vaya a Configuración > Seguridad > Citrix Web App Firewall > Firmas.
  2. En la página Firmas, haga clic en Agregar.
  3. En la página Agregar firmas, establezca los siguientes parámetros para configurar las reglas de Snort.

    1. Formato de archivo. Seleccione el formato de archivo como externo.
    2. Importar desde. Seleccione la opción de importación como archivo de snort o URL para introducir la URL.
    3. Snort V3 proveedor. Active la casilla de verificación para importar reglas de Snort desde un archivo o desde una dirección URL.
  4. Haga clic en Abrir.

    Agregar firmas

    El dispositivo importa las reglas de Snort como reglas de firma WAF basadas en snort.

    Agregar firmas

    Como práctica recomendada, debe utilizar acciones de filtro para habilitar las reglas de snort que prefiera importar como reglas de firma WAF en el dispositivo.

    Importa firmas basadas en snort

  5. Para confirmar, haga clic en .

    Cuadro de diálogo Confirmación

  6. Las reglas seleccionadas están habilitadas en el dispositivo.

    Reglas de firma basadas en esnórquel habilitadas

  7. Haga clic en Aceptar.

Integración de reglas de Snort