Citrix ADC

Lista de URL

La función Lista de URL permite a los clientes empresariales controlar el acceso a sitios web específicos y categorías de sitios web. La función filtra sitios web aplicando una directiva de respuesta vinculada a un algoritmo de coincidencia de URL. El algoritmo hace coincidir la URL entrante con un conjunto de URL que consta de hasta un millón (1.000.000) de entradas. Si la solicitud de dirección URL entrante coincide con una entrada del conjunto, el dispositivo utiliza la directiva de respuesta para evaluar la solicitud (HTTP/HTTPS) y controlar el acceso a ella.

Tipos de conjuntos de direcciones URL

Cada entrada de un conjunto de URL puede incluir una URL y, opcionalmente, sus metadatos (categoría de URL, grupos de categorías o cualquier otro dato relacionado). Para las direcciones URL con metadatos, el dispositivo utiliza una expresión de directiva que evalúa los metadatos. Para obtener más información, consulte Conjunto de URL.

El proxy de reenvío SSL admite conjuntos de URL personalizados. También puede utilizar conjuntos de patrones para filtrar las URL.

Conjunto de URL personalizado. Puede crear un conjunto de direcciones URL personalizado con un máximo de 1.000.000 entradas de URL e importarlo como archivo de texto en el dispositivo.

Juego de patrones. Un dispositivo ADC puede utilizar conjuntos de patrones para filtrar direcciones URL antes de conceder acceso a sitios web. Un conjunto de patrones es un algoritmo de coincidencia de cadenas que busca una coincidencia exacta de cadenas entre una URL entrante y hasta 5000 entradas. Para obtener más información, consulte Conjunto de patrones.

Cada URL de un conjunto de URL importado puede tener una categoría personalizada en forma de metadatos de URL. La organización puede alojar el conjunto y configurar el dispositivo ADC para actualizarlo periódicamente sin necesidad de intervención manual.

Una vez actualizado el conjunto, el dispositivo Citrix ADC detecta automáticamente los metadatos y la categoría está disponible como expresión de directiva para evaluar la dirección URL y aplicar una acción como permitir, bloquear, redirigir o notificar al usuario.

Expresiones de directiva avanzadas utilizadas con conjuntos de direcciones URL

En la tabla siguiente se describen las expresiones básicas que puede utilizar para evaluar el tráfico entrante.

  1. .URLSET_MATCHES_ANY: Evalúa como TRUE si la URL coincide exactamente con cualquier entrada en el conjunto de URL.
  2. .GET_URLSET_METADATA (): La expresión GET_URLSET_METADATA () devuelve los metadatos asociados si la URL coincide exactamente con cualquier patrón dentro del conjunto de URL. Se devuelve una cadena vacía si no hay coincidencia.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA () .TYPECAST_LIST_T (‘,’) .GET (0) .EQ (): Evalúa como TRUE si los metadatos coincidentes están al principio de la categoría. Este patrón se puede utilizar para codificar campos separados dentro de los metadatos, pero solo coinciden con el primer campo.
  5. HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL): Se une a los parámetros de host y URL, que luego se puede utilizar como un para la coincidencia.

Tipos de acción del respondedor

Nota: En la tabla, HTTP.REQ.URL se generaliza como <URL expression>.

En la tabla siguiente se describen las acciones que se pueden aplicar al tráfico entrante de Internet.

Acción del Respondedor Descripción
Permitir Permitir que la solicitud acceda a la URL de destino.
Redirigir Redirigir la solicitud a la URL especificada como destino.
Bloquear Denegar la solicitud.

Requisitos previos

Debe configurar un servidor DNS si importa un conjunto de direcciones URL desde una dirección URL de nombre de host. Esto no es necesario si utiliza una dirección IP.

En el símbolo del sistema, escriba:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Ejemplo:

add dns nameServer 10.140.50.5

Configurar una lista de direcciones URL

Para configurar una lista de direcciones URL, puede utilizar el asistente de proxy de reenvío SSL de Citrix o la interfaz de línea de comandos (CLI) de Citrix ADC. En el dispositivo Citrix ADC, primero debe configurar la directiva de respondedor y, a continuación, enlazar la directiva a un conjunto de direcciones URL.

Citrix recomienda utilizar el asistente de proxy de reenvío SSL de Citrix como opción preferida para configurar una lista de direcciones URL. Utilice el asistente para enlazar una directiva de respondedor a un conjunto de direcciones URL. Alternativamente, puede enlazar la directiva a un conjunto de patrones.

Configurar una lista de direcciones URL mediante el asistente de proxy de reenvío SSL

Para configurar la lista de URL para el tráfico HTTPS mediante la GUI:

  1. Vaya a la página Seguridad > Proxy de reenvío SSL.
  2. En el panel de detalles, realice una de las acciones siguientes:
    1. Haga clic en Asistente de proxy de reenvío SSL.
    2. Seleccione una configuración existente y haga clic en Modificar.
  3. En la sección Filtrado de URL, haga clic en Modificar.
  4. Active la casilla Lista de direcciones URL para habilitar la función.
  5. Seleccione una directiva de lista de direcciones URL y haga clic en Enlazar.
  6. Haga clic en Continuar y, a continuación, en Listo.

Para obtener más información, consulte Cómo crear una directiva de lista de direcciones URL.

Configurar una lista de direcciones URL mediante la CLI

Para configurar una lista de direcciones URL, haga lo siguiente.

  1. Configure un servidor virtual proxy para el tráfico HTTP y HTTPS.
  2. Configure la intercepción SSL para interceptar el tráfico HTTPS.
  3. Configure una lista de direcciones URL que contenga un conjunto de direcciones URL para el tráfico HTTP.
  4. Configure la lista de direcciones URL que contiene el conjunto de direcciones URL para el tráfico HTTPS.
  5. Configure un conjunto de direcciones URL privadas.

Nota

Si ya ha configurado un dispositivo ADC, puede omitir los pasos 1 y 2 y configurarlo con el paso 3.

Configuración de un servidor virtual proxy para el tráfico de Internet

El dispositivo Citrix ADC admite servidores virtuales proxy transparentes y explícitos. Para configurar un servidor virtual proxy para el tráfico de Internet en modo explícito, haga lo siguiente:

  1. Agregue un servidor virtual SSL proxy.
  2. Enlazar una directiva de respondedor al servidor virtual proxy.

Para agregar un servidor virtual proxy mediante la CLI:

En el símbolo del sistema, escriba:

add cs vserver <name> <serviceType> <IPAddress> <port>

Ejemplo:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Para enlazar una directiva de respondedor a un servidor virtual proxy mediante la CLI:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Nota

Si ya ha configurado el interceptor SSL como parte de la configuración de Citrix ADC, puede omitir el siguiente procedimiento.

Configurar la intercepción SSL para el tráfico HTTPS

Para configurar la intercepción SSL para el tráfico HTTPS, haga lo siguiente:

  1. Enlazar un par de claves de certificado de CA al servidor virtual proxy.
  2. Habilite el perfil SSL predeterminado.
  3. Cree un perfil SSL front-end y enlaza al servidor virtual proxy y habilite la interceptación SSL en el perfil SSL front-end.

Para enlazar un par de claves de certificado de CA al servidor virtual proxy mediante la CLI:

En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

Para configurar un perfil SSL front-end mediante la CLI:

En el símbolo del sistema, escriba:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

Para enlazar un perfil SSL front-end a un servidor virtual proxy mediante la CLI

En el símbolo del sistema, escriba:

set ssl vserver <vServer name>  -sslProfile <name>

Configurar una lista de direcciones URL importando un conjunto de direcciones URL para el tráfico HTTP

Para obtener información acerca de cómo configurar un conjunto de direcciones URL para el tráfico HTTP, consulte Conjunto de URL.

Realizar coincidencia explícita de subdominio

Ahora puede realizar una coincidencia explícita de subdominio para un conjunto de direcciones URL importadas. Para hacer esto, se agrega un nuevo parámetro, “SubDomainExactMatch” al comando import policy URLset.

Al habilitar el parámetro, el algoritmo de filtrado de URL realiza una coincidencia explícita de subdominio. Por ejemplo, si la dirección URL entrante es news.example.com y si la entrada del conjunto de direcciones URL es example.com, el algoritmo no coincide con las direcciones URL.

En el símbolo del sistema, escriba: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Ejemplo import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurar un conjunto de direcciones URL para el tráfico HTTPS

Para configurar un conjunto de direcciones URL para el tráfico HTTPS mediante la CLI

En el símbolo del sistema, escriba:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

Ejemplo:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

Para configurar un conjunto de direcciones URL para el tráfico HTTPS mediante el asistente de proxy de reenvío SSL

Citrix recomienda utilizar el asistente de proxy de reenvío SSL como opción preferida para configurar una lista de direcciones URL. Utilice el asistente para importar un conjunto de direcciones URL personalizado y enlazar a una directiva de respondedor.

  1. Vaya a Seguridad > Proxy de reenvío SSL > Filtrado de URL > Listas de URL.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Directiva de lista de direcciones URL, especifique el nombre de la directiva.
  4. Seleccione una opción para importar un conjunto de direcciones URL.
  5. En la página de separador Directiva de lista de direcciones URL, active la casilla de verificación Importar conjunto de direcciones URL y especifique los siguientes parámetros de conjunto de direcciones URL.
    1. Nombre de conjunto de direcciones URL: Nombre del conjunto de direcciones URL personalizado.
    2. URL: Dirección web de la ubicación en la que se accede al conjunto de direcciones URL.
    3. Sobrescribir (Overwrite): Sobrescribir un conjunto de direcciones URL importado previamente.
    4. Delimitador: Secuencia de caracteres que delimita un registro de archivo CSV.
    5. Separador de filas: Separador de filas utilizado en el archivo CSV.
    6. Intervalo: Intervalo en segundos, redondeado al número de segundos más cercano igual a 15 minutos, en el que se actualiza el conjunto de direcciones URL.
    7. Conjunto privado: Opción para impedir la exportación del conjunto de direcciones URL.
    8. URL Canary: URL interna para comprobar si el contenido del conjunto de URL debe mantenerse confidencial. La longitud máxima de la URL es de 2047 caracteres.
  6. Seleccione una acción de respuesta en la lista desplegable.
  7. Haga clic en Crear y cerrar.

Configurar un conjunto de direcciones URL privadas

Si configura un conjunto de direcciones URL privadas y mantiene su contenido confidencial, es posible que el administrador de red no conozca las direcciones URL incluidas en la lista negra del conjunto. En estos casos, puede configurar una URL Canary y agregarla al conjunto de direcciones URL. Mediante la URL Canary, el administrador puede solicitar que se utilice el conjunto de direcciones URL privadas para cada solicitud de búsqueda. Puede consultar la sección del asistente para obtener descripciones de cada parámetro.

Para importar un conjunto de direcciones URL mediante la CLI:

En el símbolo del sistema, escriba:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

Ejemplo:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

Mostrar conjunto de direcciones URL importadas

Ahora puede mostrar conjuntos de direcciones URL importados además de conjuntos de direcciones URL agregados. Para hacer esto, se agrega un nuevo parámetro “importado” al comando “show urlset”. Si habilita esta opción, el dispositivo muestra todos los conjuntos de direcciones URL importados y distingue los conjuntos de direcciones URL importados de los conjuntos de direcciones URL agregados.

En el símbolo del sistema, escriba: show policy urlset [<name>] [-imported]

Ejemplo show policy urlset -imported

Configurar la mensajería del registro de auditoría

El registro de auditoría le permite revisar una condición o una situación en cualquier fase del proceso de lista de direcciones URL. Cuando un dispositivo Citrix ADC recibe una dirección URL entrante, si la directiva de respondedor tiene una expresión avanzada de directiva de conjunto de direcciones URL, la función de registro de auditoría recopila información de conjunto de direcciones URL en la URL y almacena los detalles como un mensaje de registro para cualquier destino permitido por el registro de auditoría.

El mensaje de registro contiene la siguiente información:

  1. Marca de tiempo.
  2. Tipo de mensaje de registro.
  3. Niveles de registro predefinidos (Crítico, Error, Aviso, Advertencia, Informativo, Depuración, Alerta y Emergencia).
  4. Información de mensajes de registro, como el nombre de conjunto de direcciones URL, la acción de directiva o la dirección URL.

Para configurar el registro de auditoría para la función Lista de URL, debe completar las siguientes tareas:

  1. Habilitar registros de auditoría.
  2. Acción de mensaje Crear registro de auditoría.
  3. Establecer la directiva de respuesta de lista de URL con la acción de mensaje Registro de auditoría.

Para obtener más información, consulte el tema Registro de auditoría.