Seguimiento de solicitudes HTML con registros de seguridad
Nota:
Esta función está disponible en Citrix ADC versión 10.5.e.
La solución de problemas requiere el análisis de los datos recibidos en la solicitud del cliente y puede ser un reto. Especialmente si hay tráfico pesado que fluye a través del dispositivo. El diagnóstico de problemas puede afectar a la funcionalidad o la seguridad de la aplicación puede requerir una respuesta rápida.
Citrix ADC aísla el tráfico de un perfil de Web App Firewall y lo recopila nstrace para las solicitudes HTML. El nstrace recopilado en modo appfw incluye detalles de solicitud con mensajes de registro. Puede utilizar “Follow TCP stream” en el seguimiento para ver los detalles de la transacción individual, incluidos los encabezados, la carga útil y el mensaje de registro correspondiente en la misma pantalla.
Esto le ofrece una visión general completa sobre su tráfico. Tener una vista detallada de la solicitud, la carga útil y los registros asociados puede ser útil para analizar la infracción de comprobación de seguridad. Puede identificar fácilmente el patrón que está desencadenando la infracción. Si se debe permitir el patrón, puede tomar la decisión de modificar la configuración o agregar una regla de relajación.
Ventajas
- Aislar tráfico para un perfil específico: Esta mejora resulta útil cuando se aísla tráfico para un solo perfil o transacciones específicas de un perfil para solucionar problemas. Ya no tiene que revisar todos los datos recopilados en el rastreo o necesita filtros especiales para aislar las solicitudes que le interesan, lo que puede ser tedioso con el tráfico pesado. Puede ver los datos que prefiera.
- Recopilar datos para solicitudes específicas: El seguimiento se puede recopilar durante una duración determinada. Puede recopilar seguimiento solo para un par de solicitudes para aislar, analizar y depurar transacciones específicas si es necesario.
- Identificar restablecencias o anulaciones: el cierre inesperado de las conexiones no es fácil de ver. La traza recopilada en el modo —appfw captura un reinicio o un aborto, desencadenado por el Web App Firewall. Esto permite un aislamiento más rápido de un problema cuando no aparece un mensaje de infracción de comprobación de seguridad. Las solicitudes mal formadas u otras solicitudes no compatibles con RFC terminadas por Web App Firewall ahora serán más fáciles de identificar.
- Ver tráfico SSL descifrado: El tráfico HTTPS se captura en texto sin formato para facilitar la solución de problemas.
- Proporciona una vista completa: Le permite ver toda la solicitud en el nivel de paquete, comprobar la carga útil, mirar los registros para comprobar qué infracción de comprobación de seguridad se está desencadenando e identificar el patrón de coincidencia en la carga útil. Si la carga se compone de datos inesperados, cadenas no deseadas o caracteres no imprimibles (carácter nulo,\ r o\ n, etc.), son fáciles de descubrir en la traza.
- Modificar configuración: la depuración puede proporcionar información útil para decidir si el comportamiento observado es el correcto o si la configuración debe modificarse.
- Acelerar el tiempo de respuesta: una depuración más rápida del tráfico objetivo puede mejorar el tiempo de respuesta para proporcionar explicaciones o análisis de causa raíz por parte del equipo de ingeniería y soporte de Citrix.
Para obtener más información, consulte el tema Configuración manual mediante la interfaz de línea de comandos.
Para configurar el seguimiento de depuración para un perfil mediante la interfaz de línea de comandos
Paso 1. Habilitar seguimiento ns.
Puede utilizar el comando show para verificar la configuración configurada.
set appfw profile <profile> -trace ON
Paso 2. Recoge rastros. Puede seguir mediante todas las opciones que son aplicables para el nstrace comando.
start nstrace -mode APPFW
Paso 3. Detén el rastro.
stop nstrace
Ubicación de la traza: El nstrace se almacena en una carpeta con sello de tiempo que se crea en el directorio /var/nstrace y se puede ver mediante wireshark. Puede seguir el /var/log/ns.log para ver los mensajes de registro que proporcionan detalles sobre la ubicación de la nueva traza.
Sugerencias:
-
Cuando se utiliza la opción de modo appfw, el solo
nstracerecogerá los datos de uno o más perfiles para los que se habilitó el “nstrace”. - Habilitar el seguimiento en el perfil no comenzará a recopilar automáticamente las trazas hasta que ejecute explícitamente el comando “start ns trace” para recopilar el seguimiento.
-
Aunque la habilitación de seguimiento en un perfil puede no tener ningún efecto adverso en el rendimiento del Web App Firewall, pero puede que quiera habilitar esta función solo durante el tiempo durante el que quiera recopilar los datos. Se recomienda desactivar el indicador —trace después de haber recopilado el seguimiento. La opción evita el riesgo de obtener datos inadvertidamente de los perfiles para los que había habilitado este indicador en el pasado.
-
La acción de bloque o registro debe estar habilitada para que la comprobación de seguridad del registro de transacción se incluya en
nstrace. -
Los restabres y los abortos se registran independientemente de las acciones de comprobación de seguridad cuando el seguimiento está “On” para los perfiles.
-
La función solo es aplicable para solucionar problemas de las solicitudes recibidas del cliente. Las trazas en el modo —appfw no incluyen las respuestas recibidas del servidor.
-
Puede seguir mediante todas las opciones que son aplicables para el
nstracecomando. Por ejemplo:start nstrace -tcpdump enabled -size 0 -mode appFW -
Si una solicitud desencadena varias infracciones, el
nstracepara ese registro incluye todos los mensajes de registro correspondientes. -
El formato de mensaje de registro CEF es compatible con esta funcionalidad.
-
Las infracciones de firma que activan la acción de bloqueo o registro para las comprobaciones del lado de la solicitud también se incluirán en el seguimiento.
- Solo las solicitudes HTML (no XML) se recopilan en el seguimiento.