Citrix ADC

Integración de Citrix ADC capa 3 con dispositivos de seguridad pasivos (sistema de detección de intrusiones)

Un dispositivo Citrix ADC ahora está integrado con dispositivos de seguridad pasivos, como el sistema de detección de intrusiones (IDS). En esta configuración, el dispositivo envía una copia del tráfico original de forma segura a dispositivos IDS remotos. Estos dispositivos pasivos almacenan registros y activan alertas cuando detecta un tráfico incorrecto o no compatible. También genera informes con fines de cumplimiento. Si el dispositivo Citrix ADC está integrado con dos o más dispositivos IDS y cuando hay un gran volumen de tráfico, el dispositivo puede equilibrar la carga de los dispositivos clonando tráfico en el nivel del servidor virtual.

Para una protección de seguridad avanzada, un dispositivo Citrix ADC está integrado con dispositivos de seguridad pasivos como el sistema de detección de intrusiones (IDS) implementado en modo de detección. Estos dispositivos almacenan alertas de registro y activan cuando ve un tráfico incorrecto o no compatible. También genera informes con fines de cumplimiento. A continuación se presentan algunas de las ventajas de integrar Citrix ADC con un dispositivo IDS.

  • Inspeccionando el tráfico cifrado. La mayoría de los dispositivos de seguridad omiten el tráfico cifrado, lo que deja a los servidores vulnerables a los ataques. Un dispositivo Citrix ADC puede descifrar el tráfico y enviarlo a dispositivos IDS para mejorar la seguridad de la red del cliente.
  • Descarga de dispositivos en línea del procesamiento TLS/SSL. El procesamiento TLS/SSL es costoso y da como resultado una alta CPU del sistema en los dispositivos de detección de intrusiones si descifran el tráfico. Como el tráfico cifrado está creciendo a un ritmo rápido, estos sistemas no logran descifrar e inspeccionar el tráfico cifrado. Citrix ADC ayuda a descargar tráfico a dispositivos IDS desde el procesamiento TLS/SSL. Esta forma de descarga de datos resulta en un dispositivo IDS que admite un alto volumen de inspección de tráfico.
  • Carga de dispositivos IDS de equilibrio. La carga del dispositivo Citrix ADC equilibra varios dispositivos IDS cuando hay un gran volumen de tráfico mediante la clonación del tráfico en el nivel del servidor virtual.
  • Replicando el tráfico a dispositivos pasivos. El tráfico que fluye hacia el dispositivo se puede replicar a otros dispositivos pasivos para generar informes de conformidad. Por ejemplo, pocas agencias gubernamentales exigen que cada transacción se registre en algunos dispositivos pasivos.
  • Ventilando el tráfico a varios dispositivos pasivos. Algunos clientes prefieren ventilar o replicar el tráfico entrante en varios dispositivos pasivos.
  • Selección inteligente de tráfico. Es posible que no sea necesario inspeccionar el contenido de cada paquete que entra en el dispositivo, por ejemplo, la descarga de archivos de texto. El usuario puede configurar el dispositivo Citrix ADC para seleccionar tráfico específico (por ejemplo, archivos.exe) para su inspección y enviar el tráfico a dispositivos IDS para procesar datos.

Cómo se integra Citrix ADC con el dispositivo IDS con conectividad L3

El siguiente diagrama muestra cómo se integra el sistema de detección de intrusiones (IDS) con un dispositivo Citrix ADC.

Integración con IDS

La interacción de componentes se da de la siguiente manera:

  1. Un cliente envía una solicitud HTTP/HTTPS al dispositivo Citrix ADC.
  2. El dispositivo intercepta el tráfico y envía los datos a dispositivos IDS remotos a través de diferentes centros de datos o incluso en una nube. Esta integración se realiza a través de la capa 3 de túnel IP. Para obtener más información acerca de la tunelización IP en un dispositivo Citrix ADC, consulte el tema de túneles IP.
  3. Si el tráfico es cifrado, el dispositivo descifra los datos y los envía como texto sin formato.
  4. En función de la evaluación de directivas, el dispositivo aplica una acción de inspección de contenido de tipo “MIRROR”.
  5. La acción tiene el servicio IDS o el servicio de equilibrio de carga (para la integración de varios dispositivos IDS) configurado en ella.
  6. El dispositivo IDS se configura como el tipo de servicio de inspección de contenido “Any” en el dispositivo. El servicio de inspección de contenido se asocia entonces al perfil de inspección de contenido de tipo “MIRROR” y al parámetro de túnel que especifica la interfaz IP de capa 3 tunelada a través de la cual los datos se reenvían al dispositivo IDS. Nota: Opcionalmente, también puede configurar una etiqueta VLAN en el perfil de inspección de contenido.
  7. Del mismo modo, cuando el servidor back-end envía una respuesta a Citrix ADC, el dispositivo replica los datos y los reenvía al dispositivo IDS.
  8. Si el dispositivo está integrado en uno o varios dispositivos IDS y prefiere equilibrar la carga de los dispositivos, puede utilizar el servidor virtual de equilibrio de carga.

Licencias de software

Para implementar la integración del sistema de detección de intrusiones (IDS), el dispositivo Citrix ADC debe aprovisionarse con una de las licencias que se indican a continuación:

  1. ADC Premium
  2. ADC Avanzado

Configuración de la integración del sistema de detección de intrusiones

Puede integrar el dispositivo IDS con Citrix ADC de dos maneras diferentes.

Caso 1: Integración con un único dispositivo IDS

Los siguientes son los pasos que debe configurar mediante la interfaz de línea de comandos.

  1. Habilitar inspección de contenido
  2. Agregue el perfil de inspección de contenido de tipo MIRROR para el servicio que representa el dispositivo IDS.
  3. Agregar servicio IDS de tipo “CUALQUIER”
  4. Agregar acción de inspección de contenido del tipo “MIRROR”
  5. Agregar directiva de inspección de contenido para la inspección de IDS
  6. Vincular la directiva de inspección de contenido al servicio virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL

Habilitar inspección de contenido

Si quiere que el dispositivo Citrix ADC envíe el contenido para su inspección a los dispositivos IDS, debe habilitar las funciones de inspección de contenido y equilibrio de carga independientemente de que se realice el descifrado.

En el símbolo del sistema, escriba:

enable ns feature contentInspection LoadBalancing

Agregar perfil de inspección de contenido del tipo “MIRROR”

El perfil de inspección de contenido del tipo “MIRROR” explica cómo puede conectarse al dispositivo IDS. En el símbolo del sistema, escriba.

Nota Elparámetro de túnel IP debe utilizarse solo para la topología IDS de capa 3. De lo contrario, debe utilizar la interfaz de salida con la opción VLAN de salida.

add contentInspection profile <name> -type MIRROR -ipTunnel <iptunnel_name>

Ejemplo:

add contentInspection profile IDS_profile1 -type MIRROR –ipTunnel ipsect-tunnel1

Agregar servicio IDS

Debe configurar un servicio de tipo “CUALQUIER” para cada dispositivo IDS integrado con el dispositivo. El servicio tiene los detalles de configuración del dispositivo IDS. El servicio representa el dispositivo IDS.

En el símbolo del sistema, escriba:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

Ejemplo:

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

Agregar acción de inspección de contenido de tipo MIRROR para el servicio IDS

Después de habilitar la función Inspección de contenido y, a continuación, agregar el perfil y el servicio IDS, debe agregar la acción de inspección de contenido para gestionar la solicitud. Según la acción de inspección de contenido, el dispositivo puede soltar, restablecer, bloquear o enviar datos al dispositivo IDS.

En el símbolo del sistema, escriba:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

Ejemplo:

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

Agregar directiva de inspección de contenido para la inspección de IDS

Después de crear una acción de inspección de contenido, debe agregar directivas de Inspección de contenido para evaluar las solicitudes de inspección. La directiva se basa en una regla que consta de una o más expresiones. La directiva evalúa y selecciona el tráfico para la inspección en función de la regla.

En el símbolo del sistema, escriba lo siguiente:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

Ejemplo:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Vincular la directiva de inspección de contenido al servicio virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL

Para recibir el tráfico web, debe agregar un servidor virtual de equilibrio de carga. En el símbolo del sistema, escriba:

add lb vserver <name> <vserver name>

Ejemplo:

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

Vincular la directiva de inspección de contenido al servidor virtual de conmutación de contenido o al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Debe vincular el servidor virtual de equilibrio de carga o el servidor virtual de conmutación de contenido de tipo HTTP/SSL a la directiva de inspección de contenido.

En el símbolo del sistema, escriba lo siguiente:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

Ejemplo:

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Caso 2: Equilibrio de carga de varios dispositivos IDS

Si utiliza dos o más dispositivos IDS, debe equilibrar la carga de los dispositivos IDS mediante diferentes servicios de inspección de contenido. En este caso, la carga del dispositivo Citrix ADC equilibra los dispositivos además de enviar un subconjunto de tráfico a cada dispositivo. Para ver los pasos básicos de configuración, consulte el caso 1.

Equilibrio de carga múltiples dispositivos IDS

Los siguientes son los pasos que debe configurar mediante la interfaz de línea de comandos.

  1. Agregar perfil de inspección de contenido 1 de tipo MIRROR para el servicio IDS 1
  2. Agregar el perfil de inspección de contenido 2 de tipo MIRROR para el servicio IDS 2
  3. Agregar el servicio IDS 1 de tipo CUALQUIER para el dispositivo IDS 1
  4. Agregar el servicio IDS 2 de tipo CUALQUIER para el dispositivo IDS 2
  5. Agregar servidor virtual de equilibrio de carga de tipo ANI
  6. Vincular el servicio 1 de IDS al servidor virtual de equilibrio de carga
  7. Vincular el servicio IDS 2 al servidor virtual de equilibrio de carga
  8. Agregue una acción de inspección de contenido para el equilibrio de carga de dispositivos IDS.
  9. Agregar directiva de inspección de contenido para inspección
  10. Agregar servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL
  11. Vincular directiva de inspección de contenido al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Agregar perfil de inspección de contenido1 de tipo MIRROR para el servicio IDS 1

La configuración IDS se puede especificar en una entidad denominada perfil de inspección de contenido. El perfil tiene una colección de configuraciones del dispositivo. El perfil1 de inspección de contenido1 se crea para el servicio IDS 1.

Nota: Elparámetro de túnel IP solo debe utilizarse para topología IDS de capa 3. De lo contrario, debe utilizar la interfaz de salida con la opción VLAN de salida.

En el símbolo del sistema, escriba:

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

Ejemplo:

add contentInspection profile IDS_profile1 -type MIRROR - ipTunnel ipsect_tunnel1

Agregar perfil de inspección de contenido 2 para el tipo MIRROR para el servicio IDS 2

El perfil de inspección de contenido 2 se agrega para el servicio 2 y el dispositivo en línea se comunica con el dispositivo a través de la interfaz de salida 1/1.

En el símbolo del sistema, escriba:

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

Ejemplo:

add contentInspection profile IDS_profile2 -type ANY – ipTunnel ipsect_tunnel2

Agregar el servicio IDS 1 de tipo CUALQUIER para el dispositivo IDS 1

Después de habilitar la función Inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 1 para que el dispositivo en línea 1 forme parte de la configuración de equilibrio de carga. El servicio que se agrega proporciona todos los detalles de configuración en línea.

En el símbolo del sistema, escriba:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

Ejemplo:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

Nota:

La dirección IP mencionada en el ejemplo es falsa.

Agregar el servicio IDS 2 de tipo CUALQUIER para el dispositivo IDS 2

Después de habilitar la función Inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 2 para el dispositivo en línea 2. El servicio que se agrega proporciona todos los detalles de configuración en línea.

En el símbolo del sistema, escriba:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

Ejemplo:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

Nota:

La dirección IP mencionada en el ejemplo es falsa.

Agregar servidor virtual de equilibrio de carga

Después de agregar el perfil en línea y los servicios, debe agregar un servidor virtual de equilibrio de carga para equilibrar la carga de los servicios.

En el símbolo del sistema, escriba:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

Ejemplo:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

Vincular el servicio 1 de IDS al servidor virtual de equilibrio de carga

Después de agregar el servidor virtual de equilibrio de carga, ahora vincule el servidor virtual de equilibrio de carga al primer servicio.

En el símbolo del sistema, escriba:

bind lb vserver <Vserver_name> <Service_name_1>

Ejemplo:

bind lb vserver lb-IDS_vserver IDS_service1

Vincular el servicio IDS 2 al servidor virtual de equilibrio de carga

Después de agregar el servidor virtual de equilibrio de carga, ahora vincule el servidor al segundo servicio.

En el símbolo del sistema, escriba:

bind lb vserver <Vserver_name> <Service_name_1>

Ejemplo:

bind lb vserver lb-IDS_vserver IDS_service2

Agregar acción de inspección de contenido para el servicio IDS

Después de habilitar la función Inspección de contenido, debe agregar la acción de inspección de contenido para gestionar la información de solicitud en línea. Según la acción seleccionada, el dispositivo descarta, restablece, bloquea o envía tráfico al dispositivo IDS.

En el símbolo del sistema, escriba:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

Ejemplo:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

Agregar directiva de inspección de contenido para inspección

Después de crear una acción de inspección de contenido, debe agregar la directiva Inspección de contenido para evaluar las solicitudes de servicio.

En el símbolo del sistema, escriba lo siguiente:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

Ejemplo:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Agregar servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL

Agregue un servidor virtual de conmutación de contenido o equilibrio de carga para aceptar tráfico web. También debe habilitar la conexión layer2 en el servidor virtual.

Para obtener más información sobre el equilibrio de carga, consulte el tema Cómo funciona el equilibrio de carga.

En el símbolo del sistema, escriba:

add lb vserver <name> <vserver name>

Ejemplo:

add lb vserver http_vserver HTTP 1.1.1.1 8080

Vincular directiva de inspección de contenido al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Debe vincular el servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL a la directiva de inspección de contenido.

En el símbolo del sistema, escriba lo siguiente:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

Ejemplo:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Configurar la integración de servicios en línea mediante la GUI de Citrix ADC

  1. Acceda a Seguridad > Inspección de contenido > Perfiles de inspección de contenido.
  2. En la página Perfil de inspección de contenido, haga clic en Agregar.
  3. En la página Crear ContentInspectionProfile, defina los siguientes parámetros.
    1. Nombre del perfil. Nombre del perfil de inspección de contenido para IDS.
    2. Type. Seleccione los tipos de perfil como MIRROR.
    3. Conectividad. Interfaz de capa 2 o capa 3.
    4. Túnel IP. Seleccione el canal de comunicación de red entre dos redes.
  4. Haga clic en Crear.

    Crear perfil de inspección de contenido

  5. Vaya a Administración del tráfico > Equilibrio de carga > Servicios y haga clic en Agregar.
  6. En la página Servicio de equilibrio de carga, introduzca los detalles del servicio de inspección de contenido.
  7. En la sección Configuración avanzada, haga clic en Perfiles.
  8. Vaya a la sección Perfiles y haga clic en el icono Lápiz para agregar el perfil de inspección de contenido.
  9. Haga clic en Aceptar.

    Crear perfil de inspección de contenido

  10. Desplácese hasta Equilibrio de carga > Servidores. Agregue un servidor virtual de tipo HTTP o SSL.
  11. Después de introducir los detalles del servidor, haga clic en Aceptar y de nuevo en Aceptar.
  12. En la sección Configuración avanzada, haga clic en Directivas.
  13. Vaya a la sección Directivas y haga clic en el icono Lápiz para configurar la directiva de inspección de contenido.
  14. En la página Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
  15. En la sección Enlace de directivas, haga clic en “+” para agregar una directiva de inspección de contenido.
  16. En la página Crear directiva de CI, escriba un nombre para la directiva de inspección de contenido en línea.
  17. En el campo Acción, haga clic en el signo “+” para crear una acción de inspección de contenido IDS de tipo MIRROR.
  18. En la página Crear Acción de CI, establezca los siguientes parámetros.
    1. Nombre. Nombre de la directiva Inline de inspección de contenido.
    2. Type. Seleccione el tipo como MIRROR.
    3. Nombre del servidor. Seleccione el nombre del servidor/servicio como dispositivos Inline.
    4. Si el servidor está inactivo. Seleccione una operación si el servidor no funciona.
    5. Solicite tiempo de espera. Seleccione un valor de tiempo de espera. Se pueden utilizar valores predeterminados.
    6. Solicitar acción de tiempo de espera. Seleccione una acción de tiempo de espera. Se pueden utilizar valores predeterminados.
  19. Haga clic en Crear.

    Acción Crear Inspección de Contenido

  20. En la página Crear directiva de CI, introduzca otros detalles.
  21. Haga clic en Aceptar y Cerrar.

Para obtener información acerca de la configuración de la GUI de Citrix ADC para equilibrar la carga y replicar el tráfico en dispositivos IDS, consulte Equilibrio de carga.

Crear directiva de inspección de contenido

Para obtener información acerca de la configuración de la GUI de Citrix ADC para el equilibrio de carga y el reenvío del tráfico al servidor de origen back-end después de la transformación del contenido, vea Equilibrio de carga.

Integración de Citrix ADC capa 3 con dispositivos de seguridad pasivos (sistema de detección de intrusiones)