-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Cheque de tarjeta de crédito
Si tiene una aplicación que acepta tarjetas de crédito o sus sitios web tienen acceso a servidores de bases de datos que almacenan números de tarjetas de crédito, debe utilizar las medidas de prevención de fugas de datos (DLP) y configurar la protección para cada tipo de tarjeta de crédito que acepte.
La comprobación de la tarjeta de crédito de Citrix Web App Firewall evita que los atacantes exploten los defectos de Prevención de fugas de datos para obtener números de tarjeta de crédito de sus clientes. Siguiendo sencillos pasos de configuración, puede aplicar la protección de una o más de las siguientes tarjetas de crédito: 1) Visa, 2) Master Card, 3) Discover, 4) American Express (Amex), 5) JCB y 6) Diners Club.
La comprobación de seguridad de tarjeta de crédito examina las respuestas del servidor para identificar instancias de los números de tarjeta de crédito de destino y aplica una acción especificada cuando se encuentra dicho número. La acción puede ser transformar la respuesta al tachar todos menos el último grupo de dígitos del número de tarjeta de crédito, o bloquear la respuesta si contiene más de un número especificado de números de tarjeta de crédito. Si especifica ambos, la acción de bloqueo tiene prioridad. El valor Máximo de tarjetas de crédito permitidas por página determina cuándo se invoca la acción de bloqueo. La configuración predeterminada, 0 (no se permiten números de tarjeta de crédito en la página), es la más segura, pero puede permitir hasta 255. Dependiendo de dónde se detecte la infracción en la respuesta y se active la acción de bloqueo, es posible que obtenga menos del número máximo permitido de tarjetas de crédito en la respuesta.
Para evitar falsos positivos, puede aplicar relajantes para eximir números específicos de la comprobación de la tarjeta de crédito. Por ejemplo, un número de seguro social, un número de pedido de compra o un número de cuenta de Google pueden ser similares a un número de tarjeta de crédito. Puede especificar números individuales o utilizar una expresión regular para indicar la cadena de dígitos que se van a omitir al procesar la dirección URL de respuesta para la inspección de tarjetas de crédito.
Si no está seguro de qué números de tarjeta de crédito eximir, puede utilizar la función de aprendizaje para generar recomendaciones basadas en los datos aprendidos. Para obtener un beneficio óptimo sin comprometer el rendimiento, es posible que quiera habilitar esta opción durante un corto período de tiempo para obtener una muestra representativa de las reglas y, a continuación, implementar las relajaciones e inhabilitar el aprendizaje.
Si habilita la función de registro, la comprobación de tarjeta de crédito genera mensajes de registro que indican las acciones que realiza. Puede supervisar los registros para determinar si las respuestas a las solicitudes legítimas se están bloqueando. Un gran aumento en el número de mensajes de registro puede indicar intentos frustrados de obtener acceso. De forma predeterminada, el parámetro doSecureCreditCardLogging es ON, por lo que el número de tarjeta de crédito no se incluye en el mensaje de registro generado por la infracción de comercio seguro (tarjeta de crédito).
La función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que su aplicación está siendo atacada.
Para configurar la comprobación de seguridad de la tarjeta de crédito para proteger su aplicación, configure el perfil que rige la inspección del tráfico hacia y desde esta aplicación.
Nota:
Un sitio web que no tiene acceso a una base de datos SQL generalmente no tiene acceso a información privada confidencial, como números de tarjetas de crédito.
Uso de la línea de comandos para configurar la comprobación de la tarjeta de crédito
En la interfaz de línea de comandos, puede utilizar el comando set appfw profile o el comando add appfw profile para activar la comprobación de tarjetas de crédito y especificar qué acciones realizar. Puede utilizar el comando unset appfw profile para volver a la configuración predeterminada. Para especificar relajantes, utilice el comando bind appfw para enlazar números de tarjetas de crédito al perfil.
Para configurar una comprobación de tarjeta de crédito mediante la línea de comandos
Utilice el comando set appfw profile o el comando add appfw profile, de la siguiente manera:
set appfw profile <name> -creditCardAction ( ([block][learn] [log][stats]) | [none])
set appfw profile <name> -creditCard (VISA | MASTERCARD | DISCOVER | AMEX | JCB | DINERSCLUB)
set appfw profile <name> -creditCardMaxAllowed <integer>
-
set appfw profile <name> -creditCardXOut ([ON] | [OFF])<name> -doSecureCreditCardLogging ([ON] | [OFF])
-
Para configurar una regla de relajación de tarjeta de crédito mediante la línea de comandos
Utilice el comando enlazar para enlazar el número de tarjeta de crédito al perfil. Para quitar un número de tarjeta de crédito de un perfil, utilice el comando unbind, con los mismos argumentos que utilizó para el comando bind. Puede utilizar el comando show para mostrar los números de tarjetas de crédito enlazados a un perfil.
-
Para enlazar un número de tarjeta de crédito a un perfil
bind appfw profile <profile-name> -creditCardNumber <any number/regex> “<url>”
Ejemplo: bind appfw profile test_profile -creditCardNumber 378282246310005
http://www.example.com/credit\_card\_test.html
-
Para desvincular un número de tarjeta de crédito de un perfil
unbind appfw profile <profile-name> -creditCardNumber <credit card number / regex> <url>
-
Para mostrar la lista de números de tarjetas de crédito enlazados a un perfil.
show appfw profile <profile>
-
Uso de la interfaz gráfica de usuario para configurar la comprobación de la tarjeta de crédito
En la GUI, configure la comprobación de seguridad de la tarjeta de crédito en el panel para el perfil asociado a la aplicación.
Para agregar o modificar la comprobación de seguridad de la tarjeta de crédito mediante la interfaz gráfica de usuario
-
Desplácese hasta Web App Firewall > Perfiles, resalte el perfil de destino y haga clic en Modificar.
-
En el panel Configuración avanzada, haga clic en Comprobaciones de seguridad.
La tabla de comprobación de seguridad muestra los valores de acción configurados actualmente para todas las comprobaciones de seguridad. Tiene 2 opciones para la configuración:
- Si solo quiere habilitar o inhabilitar las acciones Bloquear, Registrar, Estadísticas y Aprender para la tarjeta de crédito, puede activar o desactivar las casillas de verificación de la tabla, hacer clic en Aceptar y, a continuación, en Guardar y Cerrar para cerrar el panel Comprobación de seguridad.
- Si quiere configurar opciones adicionales para esta comprobación de seguridad, haga doble clic en Tarjeta de crédito o seleccione la fila y haga clic en Configuración de acción para mostrar las opciones adicionales de la siguiente manera:
-
Fuera: Enmascara cualquier número de tarjeta de crédito detectado en una respuesta reemplazando cada dígito, excepto los dígitos del grupo final, por la letra “X”.
-
Máximo de tarjetas de crédito permitidas por página: Especifique el número de tarjetas de crédito que se pueden reenviar al cliente sin activar una acción de bloqueo.
-
Tarjetas de crédito protegidas. Active o desactive una casilla de verificación para habilitar o inhabilitar la protección para cada tipo de tarjeta de crédito.
-
También puede modificar las acciones Bloquear, Registrar, Estadísticas y Aprender en el panel Configuración de tarjeta de crédito.
Después de realizar cualquiera de los cambios anteriores, haga clic en Aceptar para guardar los cambios y volver a la tabla Comprobaciones de seguridad. Puede proceder a configurar otras comprobaciones de seguridad si es necesario. Haga clic en Aceptar para guardar todos los cambios realizados en la sección Comprobaciones de seguridad y, a continuación, haga clic en Guardar y cerrar para cerrar el panel Comprobación de seguridad.
-
-
En el panel Configuración avanzada, haga clic en Configuración del perfil. Para habilitar o inhabilitar el registro seguro de números de tarjetas de crédito, active o desactive la casilla de verificación Registro seguro de tarjetas de crédito. (Por defecto, está seleccionado).
Haga clic en Aceptar para guardar los cambios.
-
Para configurar una regla de relajación de tarjeta de crédito mediante la interfaz gráfica de usuario
- Vaya a Web App Firewall > Perfiles, resalte el perfil de destino y haga clic en Modificar.
- En el panel Configuración avanzada, haga clic en Reglas de relajación. La tabla Reglas de relajación tiene una entrada de tarjeta de crédito. Puede hacer doble clic o seleccionar esta fila y hacer clic en Modificar para acceder al diálogo Reglas de relajación de tarjetas de crédito. Puede realizar operaciones Agregar, Modificar, Eliminar, Habilitar o Inhabilitar para reglas de relajación.
Uso de la función de aprendizaje con la comprobación de tarjeta de crédito
Cuando la acción de aprendizaje está habilitada, el motor de aprendizaje de Web App Firewall supervisa el tráfico y descubre las infracciones desencadenadas. Puede inspeccionar periódicamente estas reglas aprendidas. Después de tener debidamente en cuenta, si quiere eximir una cadena específica de dígitos de la comprobación de seguridad de la tarjeta de crédito, puede implementar la regla aprendida como regla de relajación.
-
Para ver o utilizar datos aprendidos mediante la interfaz de línea de comandos
show appfw learningdata <profilename> creditCardNumber
rm appfw learningdata <profilename> -creditcardNumber <credit card number> "<url>"
export appfw learningdata <profilename> creditCardNumber
-
Para ver o utilizar datos aprendidos mediante la interfaz gráfica de usuario
- Vaya a Web App Firewall > Perfiles, resalte el perfil de destino y haga clic en Modificar.
- En el panel Configuración avanzada, haga clic en Reglas aprendidas. Puede seleccionar la entrada Tarjeta de crédito en la tabla Reglas aprendidas y hacer doble clic en ella para acceder a las reglas aprendidas. Puede implementar las reglas aprendidas o modificar una regla antes de implementarla como regla de relajación. Para descartar una regla, puede seleccionarla y hacer clic en el botón Omitir. Solo puede modificar una regla a la vez, pero puede seleccionar varias reglas para implementar u omitir.
También tiene la opción de mostrar una vista resumida de las relajaciones aprendidas seleccionando la entrada de tarjeta de crédito en la tabla Reglas aprendidas y haciendo clic en Visualizador para obtener una vista consolidada de todas las infracciones aprendidas. El visualizador hace que sea muy fácil administrar las reglas aprendidas. Presenta una visión completa de los datos en una pantalla y facilita la acción en un grupo de reglas con un solo clic. La mayor ventaja del visualizador es que recomienda expresiones regulares para consolidar varias reglas. Puede seleccionar un subconjunto de estas reglas, basado en el delimitador y la URL de acción. Puede mostrar 25, 50 o 75 reglas en el visualizador seleccionando el número de una lista desplegable. El visualizador de reglas aprendidas ofrece la opción de modificar las reglas e implementarlas como relajaciones. O puede omitir las reglas para ignorarlas.
Uso de la función de registro con la comprobación de la tarjeta de crédito
Cuando la acción de registro está habilitada, las infracciones de comprobación de seguridad de tarjeta de crédito se registran en el registro de auditoría como infracciones APTFW_SAFECOMMERCE o APTFW_SAFECOMMERCE_XFORM. El Web App Firewall admite los formatos de registro nativo y CEF. También puede enviar los registros a un servidor syslog remoto.
La configuración predeterminada para doSecureCreditCardLogging es ON. Si lo cambia a OFF, el número y el tipo de tarjeta de crédito se incluyen en el mensaje de registro.
Dependiendo de la configuración configurada para las comprobaciones de tarjeta de crédito, los mensajes de registro generados por el firewall de la aplicación pueden incluir la siguiente información:
- La respuesta se bloqueó o no se bloqueó.
- Los números de tarjetas de crédito se transformaron (X’d out). Se genera un mensaje de registro independiente para cada número de tarjeta de crédito transformado, por lo que se pueden generar varios mensajes de registro durante el procesamiento de una sola respuesta.
- La respuesta contenía el número máximo de posibles números de tarjetas de crédito.
-
Números de tarjetas de crédito y sus tipos correspondientes.
-
Para acceder a los mensajes de registro mediante la línea de comandos
Cambie al shell y siga los ns.logs en la carpeta /var/log/ para acceder a los mensajes de registro relacionados con las infracciones de la tarjeta de crédito:
- Shell
- cola -f /var/log/ns.log | grep SAFECOMMERCE
-
Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario
-
La GUI de Citrix incluye una herramienta muy útil (Syslog Viewer) para analizar los mensajes de registro. Tiene un par de opciones para acceder al Visor de Syslog: Desplácese hasta el perfil de destino > Comprobaciones de seguridad. Resalte la fila Tarjeta de crédito y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de seguridad de la tarjeta de crédito del perfil, filtra los mensajes de registro y muestra solo los registros relacionados con estas infracciones de comprobación de seguridad.
-
También puede acceder al Visor de Syslog navegando a NetScaler > Sistema > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de syslog para mostrar el Visor de syslog, que muestra todos los mensajes de registro, incluidos otros registros de infracciones de comprobación de seguridad. Esto es útil para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de solicitudes.
El Visor de Syslog basado en HTML proporciona varias opciones de filtro para seleccionar solo los mensajes de registro que le interesan. Para acceder a los mensajes de registro de infracciones de comprobación de seguridad de la tarjeta de crédito, filtre seleccionando APTFW en las opciones desplegables del módulo. El tipo de evento muestra un amplio conjunto de opciones para refinar aún más la selección. Por ejemplo, si activa las casillas de verificación APTFW_SAFECOMMERCE y APTFW_SAFECOMMERCE_XFORM y hace clic en el botón Aplicar, solo aparecerán mensajes de registro relacionados con las infracciones de comprobación de seguridad de tarjeta de crédito en el Visor de Syslog.
Si coloca el cursor en la fila de un mensaje de registro específico, aparecen varias opciones, como Module y EventType, debajo del mensaje de registro. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en los registros.
-
Ejemplo de un mensaje de registro de formato nativo cuando la respuesta no está bloqueada
May 29 01:26:31 <local0.info> 10.217.31.98 05/29/2015:01:26:31 GMT ns 0-PPE-0 :
default APPFW APPFW_SAFECOMMERCE 2181 0 : 10.217.253.62 1098-PPE0
4erNfkaHy0IeGP+nv2S9Rsdu77I0000 pr_ffc http://aaron.stratum8.net/FFC/CreditCardMind.html
Maximum number of potential credit card numbers seen <not blocked>
Ejemplo de un mensaje de registro de formato CEF cuando se transforma la respuesta
May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE_XFORM|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Transformed (xout) potential credit card numbers seen in server response
cn1=66 cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002
cs4=ALERT cs5=2015 act=transformed
Ejemplo de un mensaje de registro de formato CEF cuando la respuesta está bloqueada. El número y el tipo de tarjeta de crédito se pueden ver en el registro, ya que el parámetro doSecureCreditCardLogging está inhabilitado.
May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Credit Card number 4505050504030302 of type Visa is seen in response cn1=68
cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002 cs4=ALERT cs5=2015
act=blocked
Estadísticas de las violaciones de tarjetas de crédito
Cuando la acción de estadísticas está habilitada, el contador correspondiente para la comprobación de tarjeta de crédito se incrementa cuando el Web App Firewall realiza cualquier acción para esta comprobación de seguridad. Las estadísticas se recopilan para Rate and Total count para Tráfico, Violaciones y Registros. El incremento del contador de registro puede variar en función de la configuración configurada. Por ejemplo, si la acción de bloqueo está habilitada y la configuración de la tarjeta de crédito máxima permitida es 0, la solicitud de una página que contiene 20 números de tarjeta de crédito incrementa el contador de estadísticas en uno cuando se bloquea la página tan pronto como se detecta el primer número de tarjeta de crédito. Sin embargo, si el bloque está inhabilitado y la transformación está habilitada, el procesamiento de la misma solicitud aumenta en 20 el contador de estadísticas para los registros, ya que cada transformación de tarjeta de crédito genera un mensaje de registro independiente.
-
Para mostrar estadísticas de tarjetas de crédito mediante la línea de comandos
En el símbolo del sistema, escriba:
sh appfw stats
Para mostrar las estadísticas de un perfil específico, utilice el siguiente comando:
stat appfw profile <profile name>
Para mostrar las estadísticas de tarjetas de crédito mediante GUI
- Vaya a Sistema > Seguridad > Web App Firewall.
- En el panel derecho, acceda al Enlace de estadísticas.
- Utilice la barra de desplazamiento para ver las estadísticas sobre infracciones y registros de tarjetas de crédito. La tabla de estadísticas proporciona datos en tiempo real y se actualiza cada 7 segundos.
Resumen
Tenga en cuenta los siguientes puntos sobre la comprobación de seguridad de la tarjeta de crédito:
- El Web App Firewall le permite proteger la información de tarjetas de crédito y detectar cualquier intento de acceder a estos datos confidenciales.
- Para utilizar la comprobación de protección de tarjeta de crédito, debe especificar al menos un tipo de tarjeta de crédito y una acción. A continuación, la comprobación se aplica a los perfiles HTML, XML y Web 2.0.
- Puede canalizar la salida del comando sh appfw profile y grep para CreditCard para ver toda la configuración específica de la tarjeta de crédito. Por ejemplo, sh appfw profile my_profile | grep CreditCard muestra los ajustes configurados de varios parámetros, así como las reglas de relajación correspondientes a la comprobación de tarjeta de crédito para el perfil de Web App Firewall denominado my_profile.
- Puede excluir números específicos de la inspección de tarjetas de crédito sin omitir la inspección de comprobación de seguridad para el resto de los números de tarjetas de crédito.
- La relajación está disponible para todos los patrones de tarjetas de crédito protegidas por Web App Firewall. En la GUI, puede utilizar el visualizador para especificar operaciones Agregar, Modificar, Eliminar, Habilitar o Desactivar en reglas de relajación.
- El motor de aprendizaje de Web App Firewall puede supervisar el tráfico saliente para recomendar reglas basadas en infracciones observadas. La compatibilidad con visualizador también está disponible para administrar las reglas aprendidas de tarjetas de crédito en la GUI. Puede modificar e implementar las reglas aprendidas, u omitirlas después de una inspección cuidadosa.
- La configuración para el número de tarjetas de crédito permitidas se aplica a cada respuesta. No pertenece al total acumulado de números de tarjetas de crédito observados durante toda la sesión del usuario.
- El número de dígitos de salida X depende de la longitud de los números de la tarjeta de crédito. Diez dígitos son X para tarjetas de crédito que tienen de 13 a 15 dígitos. Doce dígitos son X para tarjetas de crédito que tienen 16 dígitos. Si su aplicación no requiere el envío del número completo de tarjeta de crédito en la respuesta, Citrix recomienda que habilite esta acción para enmascarar los dígitos de los números de tarjeta de crédito.
- La operación X-out transforma todas las tarjetas de crédito y funciona independientemente de los ajustes configurados para el número máximo de tarjetas de crédito permitidas. Por ejemplo, si hay 4 tarjetas de crédito en la respuesta y el parámetro CreditCardMaxAllowed se establece en 10, las 4 tarjetas de crédito son de salida X, pero no están bloqueadas. Si los números de la tarjeta de crédito se distribuyen en el documento, es posible que se envíe al cliente una respuesta parcial con números de salida X’d-out antes de que se bloquee la respuesta.
- No inhabilite el parámetro doSecureCreditCardLogging antes de tener debidamente en cuenta. Cuando este parámetro está desactivado, se muestran los números de tarjeta de crédito y se puede acceder a ellos en los mensajes de registro. Estos números no están enmascarados en los registros, incluso si la acción X-out está habilitada. Si envía registros a un servidor syslog remoto y los registros están comprometidos, los números de tarjeta de crédito se pueden exponer.
- Cuando la página de respuesta está bloqueada debido a una infracción de la tarjeta de crédito, Web App Firewall no redirige a la página de error.
Compartir
Compartir
En este artículo
- Uso de la línea de comandos para configurar la comprobación de la tarjeta de crédito
- Uso de la interfaz gráfica de usuario para configurar la comprobación de la tarjeta de crédito
- Uso de la función de aprendizaje con la comprobación de tarjeta de crédito
- Uso de la función de registro con la comprobación de la tarjeta de crédito
- Estadísticas de las violaciones de tarjetas de crédito
- Resumen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.