Citrix ADC

Registros de Web App Firewall

Los mensajes de registro generados por Web App Firewall pueden ser muy útiles para realizar un seguimiento de los cambios de configuración, las invocaciones de directivas de Web App Firewall y las infracciones de las comprobaciones de seguridad.

Cuando la acción de registro está habilitada para firmas o comprobaciones de seguridad, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que ha observado Web App Firewall al tiempo que protege sus sitios web y aplicaciones. La información más importante es la acción que realiza Web App Firewall cuando se observa una infracción de firma o de comprobación de seguridad. Para algunas comprobaciones de seguridad, el mensaje de registro puede proporcionar información útil adicional, como la ubicación y el patrón detectado que desencadenaron la infracción. Puede implementar comprobaciones de seguridad en modo no bloqueado y supervisar los registros para determinar si las transacciones que desencadenan infracciones de seguridad son transacciones válidas (falsos positivos). Si lo están, puede quitar o volver a configurar las comprobaciones de firma o seguridad, implementar relajaciones o tomar otras medidas adecuadas para mitigar los falsos positivos antes de habilitar el bloqueo de esa firma o comprobación de seguridad. Un aumento excesivo en el número de mensajes de infracción en los registros puede indicar un aumento de las solicitudes maliciosas. Esto puede alertarle de que su aplicación podría estar siendo atacada para explotar una vulnerabilidad específica que las protecciones de Web App Firewall detectan y frustran.

Nota:

El registro de Citrix Web App Firewall debe utilizarse únicamente con servidores SYSLOG externos.

Registros de formato Citrix ADC (nativo)

Web App Firewall utiliza los registros de formato de Citrix ADC (también denominados registros de formato nativo) de forma predeterminada. Estos registros tienen el mismo formato que los generados por otras funciones de Citrix ADC. Cada registro contiene los campos siguientes:

  • Marca de tiempo. Fecha y hora en que se produjo la conexión.
  • Gravedad. Nivel de gravedad del registro.
  • Módulo. Módulo Citrix ADC que generó la entrada de registro.
  • Tipo de evento. Tipo de suceso, como infracción de firma o de comprobación de seguridad.
  • ID de evento. ID asignado al evento.
  • IP del cliente. Dirección IP del usuario cuya conexión se ha registrado.
  • ID de transacción. ID asignado a la transacción que ha provocado el registro.
  • ID de sesión. ID asignado a la sesión de usuario que ha provocado el registro.
  • Mensaje. El mensaje de registro. Contiene información que identifica la firma o la comprobación de seguridad que ha desencadenado la entrada del registro.

Puede buscar cualquiera de estos campos o cualquier combinación de información de distintos campos. Su selección está limitada únicamente por las capacidades de las herramientas que utiliza para ver los registros. Puede observar los mensajes de registro de Web App Firewall en la GUI accediendo al visor syslog de Citrix ADC, o puede conectarse manualmente al dispositivo Citrix ADC y acceder a los registros desde la interfaz de línea de comandos, o puede colocar en el shell y seguir los registros directamente desde la carpeta /var/log/.

Ejemplo de mensaje de registro de formato nativo

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_cross-site scripting 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>
<!--NeedCopy-->

Registros de formato de sucesos comunes (CEF)

Web App Firewall también admite registros CEF. CEF es un estándar de administración de registros abiertos que mejora la interoperabilidad de la información relacionada con la seguridad de diferentes dispositivos y aplicaciones de seguridad y red. CEF permite a los clientes utilizar un formato de registro de eventos común para que un sistema de gestión empresarial pueda recopilar y agregar datos fácilmente para su análisis. El mensaje de registro se divide en diferentes campos para que pueda analizar fácilmente el mensaje y escribir scripts para identificar información importante.

Análisis del mensaje de registro CEF

Además de la información de fecha, marca de tiempo, IP del cliente, formato de registro, dispositivo, empresa, versión de compilación, módulo y comprobación de seguridad, los mensajes de registro CEF de Web App Firewall incluyen los siguientes detalles:

  • src — dirección IP de origen
  • spt — número de puerto de origen
  • request — URL de solicitud
  • act — acción (por ejemplo, bloqueada, transformada)
  • msg — message (Mensaje sobre la infracción de la comprobación de seguridad observada)
  • cn1 — ID de evento
  • cn2 — ID de transacción HTTP
  • cs1 — nombre del perfil
  • cs2 — ID del EPI (por ejemplo, PPE1)
  • cs3 - ID de sesión
  • cs4 — Gravedad (por ejemplo, INFO, ALERT)
  • cs5 — año del evento
  • cs6 - Categoría de infracción de firma
  • method — Método (por ejemplo, GET/POST)

Por ejemplo, considere el siguiente mensaje de registro de formato CEF, que se generó cuando se desencadenó una infracción de URL de inicio:

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked
<!--NeedCopy-->

El mensaje anterior se puede dividir en diferentes componentes. Consulte la tabla de componentes del registro CEP .

Ejemplo de una infracción de comprobación de solicitud en formato de registro CEF: La solicitud no está bloqueada

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked
<!--NeedCopy-->

Ejemplo de infracción de comprobación de respuestas en formato CEF: la respuesta se transforma

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed
<!--NeedCopy-->

Ejemplo de infracción de firma del lado de la solicitud en formato CEF: la solicitud está bloqueada

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked
<!--NeedCopy-->

Registrar la geolocalización en los mensajes de infracción de Web App Firewall

La geolocalización, que identifica la ubicación geográfica desde la que se originan las solicitudes, puede ayudarle a configurar Web App Firewall para obtener el nivel de seguridad óptimo. Para evitar implementaciones de seguridad como la limitación de velocidad, que dependen de las direcciones IP de los clientes, el malware o los equipos no fiables pueden seguir cambiando la dirección IP de origen en las solicitudes. Identificar la región específica de la que provienen las solicitudes puede ayudar a determinar si las solicitudes provienen de un usuario válido o de un dispositivo que intenta lanzar ciberataques. Por ejemplo, si se recibe un número excesivamente elevado de solicitudes de un área específica, es fácil determinar si los usuarios o una máquina no autorizada las envían. El análisis de geolocalización del tráfico recibido puede ser muy útil para desviar ataques como los ataques de denegación de servicio (DoS).

Web App Firewall le ofrece la comodidad de utilizar la base de datos integrada de Citrix ADC para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes malintencionadas. A continuación, puede aplicar un mayor nivel de seguridad para las solicitudes de esas ubicaciones. Las expresiones de directivas (PI) de Citrix Advanced le ofrecen la flexibilidad de configurar directivas basadas en la ubicación que se pueden utilizar junto con la base de datos de ubicaciones integrada para personalizar la protección del firewall, lo que refuerza su defensa contra ataques coordinados lanzados desde clientes no fiables en una región específica.

Puede utilizar la base de datos integrada de Citrix ADC o cualquier otra base de datos. Si la base de datos no tiene información de ubicación para la dirección IP del cliente en particular, el registro CEF muestra la geolocalización como geolocalización desconocida.

Nota: El registro de geolocalización utiliza el formato de evento común (CEF). De forma predeterminada, los registros CEF y GeolocationLogging están DESACTIVADOS. Debe habilitar explícitamente ambos parámetros.

Ejemplo de mensaje de registro CEF que muestra información de geolocalización

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->

Ejemplo de mensaje de registro que muestra geolocation= Unknown

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked
<!--NeedCopy-->

Uso de la línea de comandos para configurar la acción de registro y otros parámetros de registro

Para configurar la acción de registro para las comprobaciones de seguridad de un perfil mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

Ejemplos

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

Para configurar el registro CEF mediante la línea de comandos

El registro CEF está inhabilitado de forma predeterminada. En el símbolo del sistema, escriba uno de los comandos siguientes para cambiar o mostrar la configuración actual:

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

Para configurar el registro de los números de tarjetas de crédito mediante la línea de comandos

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

Para configurar el registro de geolocalización mediante la línea de comandos

  1. Utilice el comando set para habilitar GeolocationLogging. Puede habilitar el registro CEF al mismo tiempo. Utilice el comando unset para inhabilitar el registro de geolocalización. El comando show muestra la configuración actual de todos los parámetros de Web App Firewall, a menos que incluya el comando grep para mostrar la configuración de un parámetro específico.

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. Especificar la base de datos

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    O bien:

    add locationfile <path to database file>

Personalización de los registros de Web App Firewall

Las expresiones de formato predeterminado (PI) le dan la flexibilidad de personalizar la información incluida en los registros. Tiene la opción de incluir los datos específicos que quiere capturar en los mensajes de registro generados por Web App Firewall. Por ejemplo, si está usando la autenticación AAA-TM junto con las comprobaciones de seguridad de Web App Firewall y quiere saber la dirección URL a la que se ha accedido que desencadenó la infracción de comprobación de seguridad, el nombre del usuario que solicitó la dirección URL, la dirección IP de origen y el puerto de origen desde el que el usuario envió la solicitud, debe puede utilizar los siguientes comandos para especificar mensajes de registro personalizados que incluyan todos los datos:

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
<!--NeedCopy-->
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
<!--NeedCopy-->
> add appfw profile test_profile
 Done
<!--NeedCopy-->
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done
<!--NeedCopy-->

Configuración de la directiva Syslog para separar los registros de Web App Firewall

Web App Firewall le ofrece la opción de aislar y redirigir los mensajes de registro de seguridad de Web App Firewall a otro archivo de registro. Esto podría ser conveniente si Web App Firewall genera un gran número de registros, lo que dificulta la visualización de otros mensajes de registro de Citrix ADC. También puede utilizar esta opción si solo le interesa ver los mensajes de registro de Web App Firewall y no quiere ver los demás mensajes de registro.

Para redirigir los registros de Web App Firewall a un archivo de registro diferente, configure una acción syslog para enviar los registros de Web App Firewall a una instalación de registro diferente. Puede utilizar esta acción al configurar la directiva syslog y vincularla globalmente para que la use Web App Firewall.

Ejemplo:

  1. Cambie al shell y utilice un editor como vi para modificar el archivo /etc/syslog.conf. Agregue una nueva entrada para utilizar local2.* para enviar registros a un archivo independiente, como se muestra en el siguiente ejemplo:

    local2.\* /var/log/ns.log.appfw

  2. Reinicie el proceso syslog. Puede utilizar el comando grep para identificar el ID del proceso syslog (PID), como se muestra en el siguiente ejemplo:

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. Desde la interfaz de línea de comandos, configure la acción y la directiva syslog. Enlazarlo como una directiva global de Web App Firewall.

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. Todas las infracciones de comprobación de seguridad de Web App Firewall se redirigirán al archivo /var/log/ns.log.appfw. Puede seguir este archivo para ver las infracciones de Web App Firewall que se desencadenan durante el procesamiento del tráfico en curso.

    root@ns# tail -f ns.log.appfw

Advertencia: Si ha configurado la directiva syslog para redirigir los registros a una función de registro diferente, los mensajes de registro de Web App Firewall ya no aparecerán en el archivo /var/log/ns.log.

Visualización de los registros de Web App Firewall

Puede ver los registros mediante el visor de syslog o iniciando sesión en el dispositivo Citrix ADC, abriendo un shell UNIX y utilizando el editor de texto UNIX de su elección.

Para acceder a los mensajes de registro mediante la línea de comandos

Cambie al shell y haga cola a los ns.logs de la carpeta /var/log/ para acceder a los mensajes de registro relacionados con las infracciones de comprobación de seguridad de Web App Firewall:

  • Shell
  • tail -f /var/log/ns.log

Puede utilizar el editor vi, o cualquier editor de texto Unix o herramienta de búsqueda de texto, para ver y filtrar los registros de entradas específicas. Por ejemplo, puede utilizar el comando grep para acceder a los mensajes de registro relacionados con las infracciones de la tarjeta de crédito:

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario

La GUI de Citrix incluye una herramienta muy útil (Syslog Viewer) para analizar los mensajes de registro. Tiene varias opciones para acceder al Visor de Syslog:

  • Para ver los mensajes de registro de una comprobación de seguridad específica de un perfil, vaya a Web App Firewall > Perfiles, seleccione el perfil de destino y haga clic en Comprobaciones de seguridad. Resalte la fila de la comprobación de seguridad de destino y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de seguridad seleccionada del perfil, filtra los mensajes de registro y muestra solo los registros relativos a las infracciones de la comprobación de seguridad seleccionada. El visor de syslog puede mostrar los registros de Web App Firewall en formato nativo y en formato CEF. Sin embargo, para que el visor de syslog filtre los mensajes de registro específicos del perfil de destino, los registros deben tener el formato de registro CEF cuando se acceda desde el perfil.
  • También puede acceder al Visor de Syslog navegando a Citrix ADC > Sistema > Auditoría. En la sección Mensajes de auditoría, haga clic en el enlace Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad de Web App Firewall para todos los perfiles. Esto resulta útil para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de solicitudes.
  • Vaya a Web App Firewall > directivas > Auditoría. En la sección Mensajes de auditoría, haga clic en el enlace Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos todos los registros de infracciones de comprobación de seguridad de todos los perfiles.

Syslog Viewer basado en HTML proporciona las siguientes opciones de filtro para seleccionar solo los mensajes de registro que le interesan:

  • Archivo: el archivo /var/log/ns.log actual está seleccionado de forma predeterminada y los mensajes correspondientes aparecen en Syslog Viewer. Hay disponible una lista de otros archivos de registro del directorio /var/log en formato.gz comprimido. Para descargar y descomprimir un archivo de registro archivado, seleccione el archivo de registro en la opción desplegable. Los mensajes de registro correspondientes al archivo seleccionado se muestran en el visor de syslog. Para actualizar la pantalla, haga clic en el icono Actualizar (un círculo de dos flechas).

  • Cuadro de lista de módulos: puede seleccionar el módulo Citrix ADC cuyos registros quiere ver. Puede configurarlo en APPFW para los registros de Web App Firewall.

  • Cuadro de lista Tipo de evento: este cuadro contiene un conjunto de casillas de verificación para seleccionar el tipo de evento que le interesa. Por ejemplo, para ver los mensajes de registro relativos a las infracciones de firma, puede seleccionar la casilla APPFW_SIGNATURE_MATCH . Del mismo modo, puede seleccionar una casilla de verificación para habilitar la comprobación de seguridad específica que le interese. Puede seleccionar varias opciones.

  • Gravedad: puede seleccionar un nivel de gravedad específico para mostrar solo los registros de ese nivel de gravedad. Deje todas las casillas de verificación en blanco si quiere ver todos los registros.

    Para acceder a los mensajes de registro de infracciones de comprobación de seguridad de Web App Firewall para una comprobación de seguridad específica, filtre seleccionando APPFW en las opciones desplegables de Módulo. El tipo de evento muestra un amplio conjunto de opciones para refinar aún más la selección. Por ejemplo, si selecciona la casilla APPFW_FIELDFORMAT y hace clic en el botón Aplicar, en Syslog Viewer solo aparecerán los mensajes de registro relacionados con las infracciones de comprobación de seguridad de formatos de campo. Del mismo modo, si selecciona las casillas de verificación APPFW_SQL y APPFW_STARTURL y hace clic en el botón Aplicar, en el visor de syslog solo aparecerán los mensajes de registro relacionados con estas dos infracciones de comprobación de seguridad.

Si coloca el cursor en la fila de un mensaje de registro específico, aparecen varias opciones, como Module, EventType, EventID, ClientIp, transactionID, etc. debajo del mensaje de registro. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en los registros.

Haga clic para implementar: esta funcionalidad solo está disponible en la interfaz gráfica de usuario. Puede utilizar Syslog Viewer no solo para ver los registros, sino también para implementar reglas de relajación basadas en los mensajes de registro de las infracciones de comprobación de seguridad de Web App Firewall. Los mensajes de registro deben estar en formato de registro CEF para esta operación. Si la regla de relajación se puede implementar para un mensaje de registro, aparece una casilla de verificación en el borde derecho del cuadro Syslog Viewer de la fila. Marque la casilla y, a continuación, seleccione una opción de la lista Acción para implementar la regla de relajación. Modificar e implementar, Implementare Implementar todo están disponibles como opciones de acción. Por ejemplo, puede seleccionar un mensaje de registro individual para modificarlo e implementarlo. También puede seleccionar las casillas de verificación de varios mensajes de registro de una o varias comprobaciones de seguridad y utilizar la opción Implementar o Implementar todo. La funcionalidad Click to Deploy es compatible actualmente con las siguientes comprobaciones de seguridad:

  • URL de inicio
  • Desbordamiento del búfer URL
  • Inyección SQL
  • scripting entre sitios
  • Coherencia de
  • Consistencia de cookies

Para utilizar la funcionalidad Click to Deploy en la GUI

  1. En el visor de syslog, seleccione APPFW en las opciones del módulo .
  2. Seleccione la comprobación de seguridad para la que quiere filtrar los mensajes de registro correspondientes.
  3. Active la casilla de verificación para seleccionar la regla.
  4. Utilice la lista desplegable Acción de opciones para implementar la regla de relajación.
  5. Compruebe que la regla aparece en la sección de reglas de relajación correspondiente.

Nota:

Las reglas de inyección SQL y scripts entre sitios que se implementan mediante la opción Click Deploy no incluyen las recomendaciones de relajación de grano fino.

Resumen

  • Compatibilidad con el formato de registroCEF: la opción de formato de registro CEF proporciona una opción práctica para supervisar, analizar y analizar los mensajes de registro de Web App Firewall para identificar ataques, ajustar la configuración configurada para reducir los falsos positivos y recopilar estadísticas.
  • Haga clic para implementar: el visor de Syslog ofrece una opción para filtrar, evaluar e implementar reglas de relajación para una o varias infracciones de comprobación de seguridad desde una ubicación conveniente.
  • Opción para personalizar el mensaje de registro: puede utilizar expresiones PI avanzadas para personalizar los mensajes de registro e incluir los datos que quiere ver en los registros.
  • Segregar registros específicos de Web App Firewall: tiene la opción de filtrar y redirigir los registros específicos del firewall de aplicaciones a un archivo de registro independiente.
  • Registro remoto: puede redirigir los mensajes de registro a un servidor syslog remoto.
  • Registro de geolocalización: puede configurar Web App Firewall para incluir la geolocalización del área desde la que se recibe la solicitud. Hay disponible una base de datos de geolocalización integrada, pero tiene la opción de utilizar una base de datos de geolocalización externa. El dispositivo Citrix ADC admite bases de datos de geolocalización estática IPv4 e IPv6.
  • Mensaje de registro rico en información: a continuación se muestran algunos ejemplos del tipo de información que se puede incluir en los registros, según la configuración:
    • Se ha activado una directiva de Web App Firewall.
    • Se ha desencadenado una infracción de la comprobación de seguridad.
    • Se consideró que una solicitud estaba mal formada.
    • Se ha bloqueado o no se ha bloqueado una solicitud o una respuesta.
    • Se han transformado los datos de solicitud (como caracteres especiales de scripts SQL o de scripts entre sitios) o datos de respuesta (como números de tarjetas de crédito o cadenas de objetos seguros).
    • El número de tarjetas de crédito de la respuesta superó el límite configurado.
    • Número y tipo de tarjeta de crédito.
    • Las cadenas de registro configuradas en las reglas de firma y el ID de firma.
    • Información de geolocalización sobre el origen de la solicitud.
    • Entrada de usuario enmascarada (con X) para campos confidenciales protegidos.

Enmascarar datos confidenciales mediante un patrón de expresiones

La función de directiva avanzada (PI) REGEX_REPLACE de una expresión de registro (enlazada a un perfil de Firewall de aplicaciones web (WAF)) permite enmascarar datos confidenciales en registros WAF. Puede utilizar la opción para enmascarar los datos mediante un patrón de expresiones regulares y proporcionar un carácter o un patrón de cadena para enmascarar los datos. Además, puede configurar la función PI para reemplazar la primera aparición o todas las apariciones del patrón de expresiones regulares.

De forma predeterminada, la interfaz GUI de Citrix proporciona la siguiente máscara:

  • SSN
  • Tarjeta de crédito
  • Password
  • Nombre de usuario

Enmascarar datos confidenciales en los registros de firewall de aplicaciones web

Puede enmascarar datos confidenciales en los registros WAF configurando la expresión de directiva avanzada REGEX_REPLACE en la expresión de registro enlazada a un perfil WAF. Para enmascarar datos confidenciales, debe completar los siguientes pasos:

  1. Agregar un perfil de Firewall de aplicaciones web
  2. Enlazar una expresión de registro al perfil WAF

Agregar un perfil de Firewall de aplicaciones web

En el símbolo del sistema, escriba:

add appfw profile <name>

Ejemplo:

Add appfw profile testprofile1

Enlazar una expresión de registro con el perfil de Web Application Firewall

En el símbolo del sistema, escriba:

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

Ejemplo:

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Enmascarar datos confidenciales en los registros de Web Application Firewall mediante la GUI de Citrix ADC

  1. En el panel de navegación, expanda Seguridad > Citrix Web App Firewall > Perfiles.
  2. En la página Perfiles, haga clic en Modificar.
  3. En la página Perfil de Citrix Web App Firewall, vaya a la sección Configuración avanzada y haga clic en Registro extendido.

    Sección de registro ampliada

  4. En la sección Registro extendido, haga clic en Agregar.

    Enlace de registro WAF de Citrix

  5. En la página Crear enlace de registro extendido de Citrix Web App Firewall, defina los siguientes parámetros:

    1. Name. Nombre de la expresión de registro.
    2. Habilitada. Seleccione esta opción para enmascarar los datos confidenciales.
    3. Máscara de troncos. Seleccione los datos que se van a enmascarar.
    4. expresión. Introduzca la expresión de directiva avanzada que le permite enmascarar datos confidenciales en los registros WAF
    5. Comentarios. Breve descripción del enmascaramiento de datos confidenciales.
  6. Haga clic en Crear y cerrar.

    Enlace de registro WAF de Citrix