Citrix ADC

Reputación IP

La reputación IP es una herramienta que identifica direcciones IP que envían solicitudes no deseadas. Con la lista de reputación IP puede rechazar solicitudes que provienen de una dirección IP con mala reputación. Optimice el rendimiento del firewall de aplicaciones web filtrando las solicitudes que no quiere procesar. Restablecer, eliminar una solicitud o incluso configurar una directiva de respuesta para realizar una acción de respuesta específica.

A continuación se presentan algunos ataques que puede evitar mediante la Reputación IP:

  • Equipos personales infectadas por virus. (PCs domésticos) son la fuente más grande de Spam en Internet. La reputación IP puede identificar la dirección IP que envía solicitudes no deseadas. La reputación IP puede ser especialmente útil para bloquear DDoS, DoS o ataques de inundación SYN anómalos a gran escala de fuentes infectadas conocidas.
  • Botnet gestionado centralmente y automatizado. Los atacantes han ganado popularidad por robar contraseñas, porque no toma mucho tiempo cuando cientos de equipos trabajan juntas para descifrar su contraseña. Es fácil lanzar ataques de botnet para averiguar contraseñas que usan palabras de diccionario comúnmente usadas.
  • Servidor web comprometido. Los ataques no son tan comunes porque el conocimiento y la seguridad del servidor han aumentado, por lo que los hackers y los spammers buscan objetivos más fáciles. Todavía hay servidores web y formularios en línea que los hackers pueden comprometer y utilizar para enviar spam (como virus y pornografía). Esta actividad es más fácil de detectar y cerrar rápidamente, o bloquear con una lista de reputación como SpamRats.
  • Exploits de Windows. (como IPs activas que ofrecen o distribuyen malware, código de shell, rootkits, gusanos o virus).
  • Conocidos spammers y hackers.
  • Campañas de marketing masivo por correo electrónico.
  • Proxies de suplantación de identidad (direcciones IP que alojan sitios de suplantación de identidad y otros fraudes, como el fraude por clic en anuncios o el fraude en juegos).
  • Proxies anónimos (IPs que proporcionan servicios de proxy y anonimización incluyendo The Onion Router aka TOR).

Un dispositivo Citrix ADC utiliza Webroot como proveedor de servicios para una base de datos IP malintencionada generada dinámicamente y los metadatos de esas direcciones IP. Los metadatos pueden incluir detalles de geolocalización, categoría de amenaza, recuento de amenazas, etc. El motor Webroot Threat Intelligence recibe datos en tiempo real de millones de sensores. Captura, escanea, analiza y evalúa los datos de forma automática y continua, mediante el aprendizaje automático avanzado y el análisis de comportamiento. La inteligencia sobre una amenaza se actualiza continuamente.

Cuando se detecta una amenaza en cualquier lugar de la red, la dirección IP se marca como maliciosa y todos los dispositivos conectados a la red se protegen inmediatamente. Los cambios dinámicos en las direcciones IP se procesan con alta velocidad y precisión mediante el aprendizaje automático avanzado.

Como se indica en la hoja de datos de Webroot, la red de sensores de Webroot identifica muchos tipos clave de amenazas IP, incluyendo fuentes de correo no deseado, vulnerabilidades de Windows, botnets, escáneres y otros. (Consulte el diagrama de flujo en la hoja de datos.)

El dispositivo Citrix ADC utiliza un proceso de cliente iprep para obtener la base de datos de Webroot. El cliente iprep utiliza el método HTTP GET para obtener la lista de IP absoluta de Webroot por primera vez. Más tarde, comprueba los cambios delta una vez cada 5 minutos.

Importante:

  • Asegúrese de que el dispositivo Citrix ADC tiene acceso a Internet y DNS está configurado antes de utilizar la función Reputación IP.

  • Para acceder a la base de datos de Webroot, el dispositivo Citrix ADC debe poder conectarse a api.bcti.brightcloud.com en el puerto 443. Cada nodo de la implementación de clúster o de alta disponibilidad obtiene la base de datos de Webroot y debe poder acceder a este nombre de dominio completo (FQDN).

  • Webroot aloja su base de datos de reputación en AWS actualmente. Por lo tanto, Citrix ADC debe poder resolver dominios de AWS para descargar la base de datos de reputación. Además, el firewall debe estar abierto para dominios de AWS.

  • El dispositivo Citrix ADC puede conectarse a wiprep-daily.*.amazonaws.com en el puerto 443 para obtener datos IP de AWS.

  • iPrep recopila análisis de uso del dispositivo Citrix ADC y envía los datos al servicio Citrix ADM.

Nota:

Cada motor de paquetes requiere al menos 4 GB para funcionar correctamente cuando la función Reputación IP está habilitada.

Expresiones de directivas avanzadas. Configure la función Reputación IP mediante expresiones de directiva avanzadas (expresiones de sintaxis predeterminadas) en las directivas vinculadas a módulos compatibles, como Firewall de aplicaciones web y respondedor. A continuación se presentan dos ejemplos que muestran expresiones que se pueden utilizar para detectar si la dirección IP del cliente es malicioso.

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: Esta expresión se evalúa como TRUE si el cliente está incluido en la lista de IP malintencionada.
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): Esta expresión se evalúa como TRUE si la IP del cliente es una IP malintencionada y se encuentra en la categoría de amenaza especificada.

Los siguientes son los valores posibles para la categoría de amenaza:

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANERS, DOS, REPUTATION, Phishing, PROXY, NETWORK_PROVEEDERS, MOBILE_

Nota:

La función de reputación IP comprueba las direcciones IP de origen y destino. Detecta direcciones IP maliciosas en el encabezado. Si la expresión PI de una directiva puede identificar la dirección IP, la comprobación de reputación IP determina si es maliciosa.

Mensaje de registro de iPrep. El archivo /var/log/iprep.log contiene mensajes útiles que capturan información sobre la comunicación con la base de datos de Webroot. La información puede referirse a las credenciales utilizadas durante la comunicación de Webroot, la falta de conexión con Webroot, la información incluida en una actualización (como el número de direcciones IP en la base de datos).

Crear una lista de bloqueo o lista de permisos de IP mediante un conjunto de datos de directivas. Puede mantener una lista de permisos para permitir el acceso a direcciones IP específicas que están bloqueadas en la base de datos Webroot. También puede crear una lista de bloqueo personalizada de direcciones IP para complementar la comprobación de reputación de Webroot. Estas listas se pueden crear mediante un conjunto de datos dedirectivas. Un conjunto de datos es una forma especializada de conjunto de patrones que es ideal para la coincidencia de direcciones IPv4. Para utilizar conjuntos de datos, primero cree el conjunto de datos y vincule direcciones IPv4 a él. Al configurar una directiva para comparar una cadena en un paquete, utilice un operador apropiado y pase el nombre del conjunto de patrones o conjunto de datos como argumento.

Para crear una lista de direcciones permitidas que se traten como excepciones durante la evaluación de reputación IP:

  • Configure la directiva para que la expresión PI se evalúe como False aunque una dirección de la lista de permisos aparezca como maliciosa por Webroot (o cualquier proveedor de servicios).

Habilitar o inhabilitar la reputación IP. La reputación IP es una parte de la función de reputación general, que se basa en licencias. Cuando habilita o inhabilita la función de reputación, habilita o inhabilita la reputación IP.

Procedimiento general. Implementar reputación IP implica las siguientes tareas

  • Compruebe que la licencia instalada en el dispositivo Citrix ADC tenga compatibilidad con reputación IP. Las licencias de firewall de aplicaciones premium e independientes admiten la función de reputación IP.
  • Habilite las funciones de reputación IP y firewall de aplicaciones.
  • Agregue un perfil de firewall de aplicaciones.
  • Agregue una directiva de firewall de aplicaciones mediante las expresiones PI para identificar las direcciones IP malintencionadas en la base de datos de reputación IP.
  • Enlazar la directiva de firewall de aplicaciones a un punto de enlace adecuado.
  • Compruebe que cualquier solicitud recibida de una dirección malintencionada se registra en el archivo ns.log para mostrar que la solicitud se procesó como se especifica en el perfil.

Configurar la función de reputación IP mediante la CLI

En el símbolo del sistema, escriba:

  • enable feature reputation
  • disable feature reputation

En los ejemplos siguientes se muestra cómo puede agregar una directiva de firewall de aplicaciones mediante la expresión PI para identificar direcciones malintencionadas. Puede utilizar los perfiles integrados, agregar un perfil, o configurar un perfil existente para invocar la acción deseada cuando una solicitud coincida con una coincidencia de directiva.

Los ejemplos 3 y 4 muestran cómo crear un dataset de directivas para generar una lista de bloques o una lista de direcciones IP permitidas.

Ejemplo 1:

El siguiente comando crea una directiva que identifica direcciones IP malintencionadas y bloquea la solicitud si se activa una coincidencia:

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

Ejemplo 2:

El siguiente comando crea una directiva que utiliza el servicio de reputación para comprobar la dirección IP del cliente en el X-Forwarded-For encabezado y restablecer la conexión si se activa una coincidencia.

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

Ejemplo 3:

En el ejemplo siguiente se muestra cómo agregar una lista para agregar excepciones que permitan direcciones IP especificadas:

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

Ejemplo 4:

En el ejemplo siguiente se muestra cómo agregar la lista personalizada para marcar direcciones IP especificadas como maliciosas:

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

Ejemplo 5:

En el ejemplo siguiente se muestra una expresión de directiva para bloquear la IP del cliente en las condiciones siguientes:

  • Coincide con una dirección IP configurada en el Block_list1 personalizado (ejemplo 4)
  • Coincide con una dirección IP que aparece en la base de datos de Webroot, a menos que sea relajada por inclusión en Allow_List1 (ejemplo 3).
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK

Uso del servidor proxy:

Si el dispositivo Citrix ADC no tiene acceso directo a Internet y está conectado a un proxy, configure el cliente de reputación IP para enviar solicitudes al proxy.

En el símbolo del sistema, escriba:

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

Ejemplo:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

Nota:

La IP del servidor proxy puede ser una dirección IP o un nombre de dominio completo (FQDN).

Configurar la reputación IP mediante la GUI de Citrix ADC

  1. Vaya a Sistema > Configuración. En la sección Modos y funciones, haga clic en el vínculo para acceder al panel Configurar funciones avanzadas y activar la casilla de verificación Reputación.
  2. Haga clic en OK.

Habilitar reputación de IP

Para configurar un servidor proxy mediante la GUI de Citrix ADC

  1. En la ficha de configuración, vaya a Seguridad > Reputación. En Configuración, haga clic en Cambiar configuración de reputaciónpara configurar un servidor proxy. También puede habilitar o inhabilitar la función de reputación. Elservidor proxy puede ser una dirección IP o un nombre de dominio completo (FQDN). El puerto proxy acepta valores en este intervalo: [1–65535].

Configuración de reputación

Crear una lista de permitidos y una lista de bloques de direcciones IP de clientes mediante la interfaz gráfica de usuario

  1. En la ficha Configuración, vaya a AppExpert > Conjuntos de datos.
  2. Haga clic en Agregar.

Configurar dataset

  • En el panel Crear conjunto de datos (o Configurar conjunto de datos), proporcione un nombre significativo para la lista de direcciones IP. El nombre debe reflejar el propósito de la lista.
  • Seleccione Tipo como IPv4.
  • Haga clic en Insertar para agregar una entrada.

Insertar dataset

  • En el panel de enlace Configurar conjunto de datos de directiva, agregue una dirección IP de formato IPv4 en el cuadro de entrada Valor.
  • Proporcione un índice.
  • Agregue un comentario que explique el propósito de la lista. Este paso es opcional, pero se recomienda porque un comentario descriptivo es útil para administrar la lista.

Del mismo modo, puede crear una lista de bloqueo y agregar las direcciones IP que se considerarán maliciosas.

También puede consultar Conjuntos de patrones y conjuntos de datos para obtener más detalles sobre el uso de conjuntos de datos y la configuración de expresiones de directiva de sintaxis predeterminadas.

Configurar una directiva de firewall de aplicaciones mediante la GUI de Citrix ADC

  1. En la ficha Configuración, vaya a Seguridad > Firewall de aplicaciones > Directivas > Firewall. Haga clic en Agregar para agregar una directiva mediante las expresiones PI para utilizar la reputación IP.

También puede utilizar el editor de expresiones para crear su propia expresión de directiva. La lista muestra opciones preconfiguradas que son útiles para configurar una expresión mediante las categorías de amenazas.

Resumen

  • Detenga de forma rápida y precisa el tráfico incorrecto en el borde de la red de direcciones IP malintencionadas conocidas que plantean diferentes tipos de amenazas. Puede bloquear la solicitud sin analizar el cuerpo.
  • Configure dinámicamente la funcionalidad de reputación IP para varias aplicaciones.
  • Proteja su red contra violaciones de datos sin una penalización de rendimiento y consolide las protecciones en un único entramado de servicios mediante implementaciones rápidas y sencillas.
  • Puede realizar comprobaciones de reputación IP en las direcciones IP de origen y destino.
  • También puede inspeccionar los encabezados para detectar IP maliciosas.
  • La comprobación de reputación IP se admite tanto en implementaciones de proxy de reenvío como de proxy inverso.
  • El proceso de reputación IP se conecta con Webroot y actualiza la base de datos cada 5 minutos.
  • Cada nodo de la implementación de alta disponibilidad (HA) o clúster obtiene la base de datos de Webroot.
  • Los datos de reputación IP se comparten en todas las particiones de las implementaciones de particiones administrativas.
  • Puede utilizar un conjunto de datos de AppExpert para crear listas de direcciones IP para agregar excepciones para IP bloqueadas en la base de datos Webroot. También puede crear su propia lista de bloqueo personalizada para designar direcciones IP específicas como maliciosas.
  • El archivo iprep.db se crea en la carpeta /var/nslog/iprep. Una vez creada, no se elimina incluso si la entidad está inhabilitada.
  • Cuando se habilita la función de reputación, se descarga la base de datos de Citrix ADC Webroot. Después de eso, se actualiza cada 5 minutos.
  • La versión principal de la base de datos de Webroot es la versión: 1.
  • La versión secundaria se actualiza todos los días. La versión de actualización se incrementa cada 5 minutos y se restablece de nuevo a 1 cuando se incrementa la versión secundaria.
  • Las expresiones PI permiten utilizar la reputación IP con otras funciones, como responder y reescribir.
  • Las direcciones IP de la base de datos están en notación decimal.

Sugerencias de depuración

  • Si no puede ver la función de reputación en la GUI, compruebe que tiene la licencia correcta.
  • Supervisar los mensajes en var/log/iprep.log para la depuración.
  • Conectividad de webroot: Si ve el mensaje ns iprep: Not able to connect/resolve WebRoot, asegúrese de que el dispositivo tiene acceso a Internet y DNS está configurado.
  • Servidor proxy: Si ve el mensaje ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy name, asegúrese de que la configuración del servidor proxy es correcta.
  • Lafunción Reputación IP no funciona: El proceso de Reputación IP tarda unos cinco minutos en iniciarse después de habilitar la función de reputación. Es posible que la función de reputación IP no funcione durante ese período.
  • Descarga de la basede datos: Si la descarga de datos de la base de datos IP falla después de habilitar la función de reputación IP, se observa el siguiente error en los registros.

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

Solución: Permita el tráfico de salida a las siguientes direcciones URL o configure un proxy para resolver el problema.

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443

Reputación IP