Reputación IP

La reputación IP es una herramienta que identifica direcciones IP que envían solicitudes no deseadas. Utilice la lista de reputación IP que puede rechazar las solicitudes que provienen de una dirección IP con mala reputación. También puede optimizar el rendimiento de Firewall de aplicaciones web filtrando las solicitudes que no desea procesar. Puede restablecer, eliminar una solicitud o incluso configurar una directiva de respondedor para realizar una acción de respondedor específica.

A continuación se presentan algunos ataques que puede evitar mediante la Reputación IP:

  • Equipos personales infectadas por virus. (PCs domésticos) son la fuente más grande de Spam en Internet. La reputación IP puede identificar la dirección IP que envía solicitudes no deseadas. La reputación IP puede ser especialmente útil para bloquear DDoS, DoS o ataques de inundación SYN anómalos a gran escala de fuentes infectadas conocidas.
  • Botnet gestionado centralmente y automatizado. Los atacantes han ganado popularidad por robar contraseñas, porque no toma mucho tiempo cuando cientos de equipos trabajan juntas para descifrar tu contraseña. Es fácil lanzar ataques de botnet para averiguar contraseñas que usan palabras de diccionario comúnmente usadas.
  • Servidor web comprometido. Los ataques no son tan comunes porque el conocimiento y la seguridad del servidor han aumentado, por lo que los hackers y los spammers buscan objetivos más fáciles. Todavía hay servidores web y formularios en línea que los hackers pueden comprometer y usar para enviar spam (como virus y pornografía), pero generalmente dicha actividad es más fácil de detectar y cerrar rápidamente, o bloquear con una lista de reputación como SpamRats.
  • Exploits de Windows. (como IPs activas que ofrecen o distribuyen malware, código de shell, rootkits, gusanos o virus).
  • Conocidos spammers y hackers.
  • Campañas de marketing masivo por correo electrónico.
  • Proxies de suplantación de identidad (direcciones IP que alojan sitios de suplantación de identidad y otros fraudes, como el fraude por clic en anuncios o el fraude en juegos).
  • Proxies anónimos (IPs que proporcionan servicios de proxy y anonimización incluyendo The Onion Router aka TOR).

Un dispositivo Citrix ADC utiliza Webroot como proveedor de servicios para la base de datos IP malintencionada generada dinámicamente y los metadatos de esas direcciones IP. Los metadatos pueden incluir detalles de geolocalización, categoría de amenaza, recuento de amenazas, etc. El motor Webroot Threat Intelligence recibe datos en tiempo real de millones de sensores. Captura, escanea, analiza y evalúa los datos de forma automática y continua, mediante el aprendizaje automático avanzado y el análisis de comportamiento. La inteligencia sobre una amenaza se actualiza continuamente.

Cuando se detecta una amenaza en cualquier lugar de la red, la dirección IP se marca como maliciosa y todos los dispositivos conectados a la red se protegen inmediatamente. Los cambios dinámicos en las direcciones IP se procesan con alta velocidad y precisión mediante el aprendizaje automático avanzado.

Como se indica en el hoja de datos de Webroot, la red de sensores de Webroot identifica muchos tipos clave de amenazas IP, incluyendo fuentes de spam, vulnerabilidades de Windows, botnets, escáneres y otros. (Consulte el diagrama de flujo en la hoja de datos)

El dispositivo Citrix ADC utiliza un proceso de cliente iprep para obtener la base de datos de Webroot. El cliente iprep utiliza el método HTTP GET para obtener la lista de IP absoluta de Webroot por primera vez. Más tarde, comprueba los cambios delta una vez cada 5 minutos.

Importante:

  • Asegúrese de que el dispositivo Citrix ADC tiene acceso a Internet y DNS está configurado antes de utilizar la función Reputación IP.

  • Para acceder a la base de datos de Webroot, el dispositivo Citrix ADC debería poder conectarse a api.bcti.brightcloud.com en el puerto 443. Cada nodo de la implementación de alta disponibilidad (HA) o clúster obtiene la base de datos directamente desde el webroot y debería poder acceder a este nombre de dominio completo (FQDN).

  • Webroot aloja su base de datos de reputación en AWS actualmente. Por lo tanto, Citrix ADC debería poder resolver dominios de AWS para descargar la base de datos de reputación. Además, el firewall debe estar abierto para los dominios de AWS.

  • El dispositivo Citrix ADC puede conectarse a wiprep-daily.*.amazonaws.com en el puerto 443 para obtener datos IP de AWS.

  • iPrep recopila análisis de uso del dispositivo Citrix ADC y envía los datos al servicio Citrix ADM. La dirección IP del servicio ADM es 54.173.79.18

Nota:

Cada motor de paquetes requiere al menos 4 GB para funcionar correctamente cuando la función Reputación IP está habilitada.

Expresiones de directivas avanzadas. La función Reputación de IP se puede configurar mediante expresiones de directiva avanzadas (expresiones de sintaxis predeterminadas de Citrix ADC) en las directivas enlazadas a módulos compatibles como Firewall de aplicaciones web y respondedor. A continuación se presentan dos ejemplos que muestran expresiones que se pueden utilizar para detectar si la dirección IP del cliente es malicioso.

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: Esta expresión se evalúa como TRUE si el cliente está incluido en la lista de IP malintencionada.
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): Esta expresión se evalúa como TRUE si la IP del cliente es una IP malintencionada y se encuentra en la categoría de amenaza especificada.

Los siguientes son los valores posibles para la categoría de amenaza:

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANERS, DOS, REPUTATION, Phishing, PROXY, NETWORK_PROVEEDERS, MOBILE_

Nota:

La función de reputación IP puede comprobar las direcciones IP de origen y de destino. También puede detectar IPs maliciosas en el encabezado. Si la expresión PI de una directiva puede identificar la dirección IP, la comprobación de la reputación IP puede determinar si es maliciosa.

Mensaje de registro de iPrep. El archivo /var/log/iprep.log contiene mensajes útiles que capturan información sobre la comunicación con la base de datos de Webroot. La información puede ser acerca de las credenciales utilizadas durante la comunicación de Webroot, la falta de conexión con Webroot, lo que se incluye en una actualización (como el número de direcciones IP en la base de datos), etc.

Crear una lista negra o lista blanca de direcciones IP mediante un conjunto de datos de directivas. Puede mantener una lista blanca para permitir el acceso a direcciones IP específicas que aparecen en la lista negra en la base de datos de Webroot. También puede crear una lista negra personalizada de direcciones IP para complementar la comprobación de reputación de Webroot. Estas listas se pueden crear mediante el conjunto de datos dedirectivas. Un conjunto de datos es una forma especializada de conjunto de patrones que es ideal para la coincidencia de direcciones IPv4. Para utilizar conjuntos de datos, primero cree el conjunto de datos y vincule direcciones IPv4 a él. A continuación, cuando configure una directiva para comparar una cadena en un paquete, utilice un operador apropiado y pase el nombre del conjunto de patrones o del conjunto de datos como argumento.

Para utilizar el conjunto de datos para crear una lista blanca personalizada de direcciones que se tratarán como excepciones durante la evaluación de la reputación IP, configure la directiva de modo que la expresión PI se evalúe como False aunque Webroot (o cualquier proveedor de servicios) muestre una dirección de la lista blanca como maliciosa.

Habilitar o inhabilitar la reputación IP. La reputación IP es una parte de la función de reputación general, que se basa en licencias. Cuando habilita o inhabilita la función de reputación, habilita o inhabilita la reputación IP.

Procedimiento general. Implementar reputación IP implica las siguientes tareas

  • Compruebe que la licencia instalada en el dispositivo Citrix ADC tenga compatibilidad con reputación IP. Las licencias de firewall de aplicaciones premium e independientes admiten la función de reputación IP.
  • Habilite las funciones de reputación IP y firewall de aplicaciones.
  • Agregue un perfil de firewall de aplicaciones.
  • Agregue una directiva de firewall de aplicaciones mediante las expresiones PI para identificar las direcciones IP malintencionadas en la base de datos de reputación IP.
  • Enlazar la directiva de firewall de aplicaciones a un punto de enlace adecuado.
  • Compruebe que cualquier solicitud recibida de una dirección malintencionada se registra en el archivo ns.log para mostrar que la solicitud se procesó como se especifica en el perfil.

Uso de la línea de comandos para configurar la función de reputación IP

Para habilitar o inhabilitar la reputación IP mediante CLI, puede utilizar los siguientes comandos:

  • enable feature reputation
  • disable feature reputation

En los ejemplos siguientes se muestra cómo puede agregar una directiva de firewall de aplicaciones mediante la expresión PI para identificar direcciones malintencionadas. Puede utilizar los perfiles integrados, agregar un perfil, o configurar un perfil existente para invocar la acción deseada cuando una solicitud coincida con una coincidencia de directiva.

Los ejemplos 3 y 4 muestran cómo crear un conjunto de datos de directivas para generar una lista de direcciones IP negra (que se bloqueará) o blanca (que se permitirá).

Ejemplo 1:

El siguiente comando crea una directiva que identifica direcciones IP malintencionadas y bloquea la solicitud si se activa una coincidencia:

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

Ejemplo 2:

El siguiente comando crea una directiva que utiliza el servicio de reputación para comprobar la dirección IP del cliente en un encabezado específico (X-Forwarded-For) y restablecer la conexión si se activa una coincidencia:

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

Ejemplo 3:

En el ejemplo siguiente se muestra cómo agregar una lista para agregar excepciones que permitan direcciones IP especificadas:

> add policy dataset Allow_list ipv4

> bind policy dataset Allow_list 10.217.25.17 -index 1

> bind policy dataset Allow_list 10.217.25.18 -index 2

Ejemplo 4:

En el ejemplo siguiente se muestra cómo agregar la lista personalizada para marcar direcciones IP especificadas como maliciosas:

> add policy dataset Block_List ipv4

> bind policy dataset Block_List 10.217.31.48 -index 1

> bind policy dataset Block_List 10.217.25.19 -index 2

Ejemplo 5:

En el ejemplo siguiente se muestra una expresión de directiva para bloquear la IP del cliente si coincide con una dirección IP configurada en Block_list personalizada (ejemplo 4) o si coincide con una dirección IP que aparece en la base de datos de Webroot a menos que se relaje mediante la inclusión en Allow_list (ejemplo 3).

> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_List")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_List")))" APPFW_BLOCK

Uso del servidor proxy:

Si el dispositivo Citrix ADC no tiene acceso directo a Internet y está conectado al proxy, utilice el siguiente comando para configurar el cliente de reputación IP para enviar solicitudes al proxy.

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

Ejemplo:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

Nota

La IP del servidor proxy puede ser una dirección IP o un nombre de dominio completo (FQDN).

Configurar la reputación IP mediante la GUI de Citrix ADC

  1. Vaya a Sistema > Configuración. En la sección Modos y funciones, haga clic en el vínculo para acceder al panel Configurar funciones avanzadas y activar la casilla de verificación Reputación.
  2. Haga clic en Aceptar.

habilitar la reputación IP

Para configurar un servidor proxy mediante la GUI de Citrix ADC

  1. En la ficha de configuración, vaya a Seguridad > Reputación. En Configuración, haga clic en Cambiar configuración de reputaciónpara configurar un servidor proxy. También puede habilitar o inhabilitar la función de reputación. Elservidor proxy puede ser una dirección IP o un nombre de dominio completo (FQDN). El puerto proxy acepta valores en este intervalo: [1–65535].

configuración de reputación

Para crear una lista blanca y una lista negra de direcciones IP de cliente

Siga el procedimiento siguiente para configurar una lista blanca y una lista negra de direcciones IP de cliente.

  1. En la ficha Configuración, vaya a AppExpert > Conjuntos de datos.
  2. Haga clic en Agregar.

configurar dataset

  • En el panel Crear conjunto de datos (o Configurar conjunto de datos), proporcione un nombre significativo para la lista de direcciones IP. El nombre debe reflejar el propósito de la lista. Por ejemplo, puede utilizar un nombre como la lista blanca o Allow_List al crear una lista de direcciones IP que desea eximir de la acción realizada cuando la comprobación de reputación IP determina que la IP de origen coincide con una dirección IP designada como una IP malintencionada en el webroot base de datos. Del mismo modo, utilice nombres como Block_List o Malicious_IP_List si va a agregar una lista de direcciones IP que desea marcar como malintencionadas para complementar la base de datos de webroot.
  • Seleccione Tipo como IPv4.
  • Haga clic en Insertar para agregar una entrada.

Insertar dataset

  • En el panel de enlace Configurar conjunto de datos de directiva, agregue una dirección IP de formato IPv4 en el cuadro de entrada Valor.
  • Proporcione un índice.
  • Agregue un comentario que explique el propósito de la lista. Este paso es opcional, pero se recomienda porque un comentario descriptivo es útil para administrar la lista.

Del mismo modo, puede crear una block_list y agregar las direcciones IP que deben considerarse maliciosas.

También puede consultar Conjuntos de patrones y conjuntos de datos para obtener más detalles sobre el uso de conjuntos de datos y la configuración de expresiones de directiva de sintaxis predeterminadas.

Configurar una directiva de firewall de aplicaciones mediante la GUI de Citrix ADC

  1. En la ficha Configuración, vaya a Seguridad > Firewall de aplicaciones > Directivas > Firewall. Haga clic en Agregar para agregar una directiva mediante las expresiones PI para utilizar la reputación IP.

También puede utilizar el editor de expresiones para crear su propia expresión de directiva. La lista muestra opciones preconfiguradas que son útiles para configurar una expresión mediante las categorías de amenazas.

Resumen

  • Detenga de forma rápida y precisa el tráfico incorrecto en el borde de la red de direcciones IP malintencionadas conocidas que plantean diferentes tipos de amenazas. Puede bloquear la solicitud sin analizar el cuerpo.
  • Configure dinámicamente la funcionalidad de reputación IP para varias aplicaciones.
  • Proteja su red contra violaciones de datos sin una penalización de rendimiento y consolide las protecciones en un único entramado de servicios mediante implementaciones rápidas y sencillas.
  • Puede realizar comprobaciones de reputación IP en las direcciones IP de origen y destino.
  • También puede inspeccionar los encabezados para detectar IP maliciosas.
  • La comprobación de reputación IP se admite tanto en implementaciones de proxy de reenvío como de proxy inverso.
  • El proceso de reputación IP se conecta con Webroot y actualiza la base de datos cada 5 minutos.
  • Cada nodo de la implementación de alta disponibilidad (HA) o clúster obtiene la base de datos de Webroot.
  • Los datos de reputación IP se comparten en todas las particiones de las implementaciones de particiones administrativas.
  • Puede utilizar un conjunto de datos de AppExpert para crear listas de direcciones IP con el fin de agregar excepciones para IPs incluidas en la lista negra en la base de datos de Webroot. También puede crear su propia lista negra personalizada para designar direcciones IP específicas como maliciosas.
  • El archivo iprep.db se crea en la carpeta /var/nslog/iprep. Una vez creada, no se elimina incluso si la entidad está inhabilitada.
  • Cuando se habilita la función de reputación, se descarga la base de datos de Citrix ADC Webroot. Después de eso, se actualiza cada 5 minutos.
  • La versión principal de la base de datos de Webroot es la versión: 1.
  • La versión secundaria se actualiza todos los días. La versión de actualización se incrementa cada 5 minutos y se restablece de nuevo a 1 cuando se incrementa la versión secundaria.
  • Las expresiones PI permiten utilizar la reputación IP con otras funciones, como responder y reescribir.
  • Las direcciones IP de la base de datos están en notación decimal.

Sugerencias de depuración

  • Si no puede ver la función de reputación en la GUI, compruebe que tiene la licencia correcta
  • Supervisar los mensajes en var/log/iprep.log para la depuración.
  • Conectividad de webroot: Si ve el mensaje ns iprep: Not able to connect/resolve WebRoot, asegúrese de que el dispositivo tiene acceso a Internet y DNS está configurado.
  • Servidor proxy: Si ve el mensaje ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy name, asegúrese de que la configuración del servidor proxy es correcta.
  • Lafunción Reputación IP no funciona: El proceso de Reputación IP tarda unos cinco minutos en iniciarse después de habilitar la función de reputación. Es posible que la función de reputación IP no funcione durante ese período.
  • Descarga de basede datos: Si la descarga de datos IP DB está fallando después de habilitar la función de reputación IP, el siguiente error se ve en los registros.

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

Solución: Permita el tráfico de salida a las siguientes direcciones URL o configure un proxy para resolver el problema.

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443