Citrix ADC

Configuración del perfil de Web App Firewall

A continuación se presentan los parámetros de perfil que debe configurar en el dispositivo.

En el símbolo del sistema, escriba:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

Ejemplo:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Donde:

invalidPercentHandling. Configure el método para manejar los nombres y valores codificados por porcentajes.

Los ajustes disponibles funcionan de la siguiente manera:

asp_mode: Elimina y analiza el porcentaje no válido para el análisis. Ejemplo፦curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se despoja de y se inspecciona el resto del contenido y se realiza una acción para la comprobación SQLInjection. secure_mode: Detectamos el valor codificado de porcentaje no válido y lo ignoramos. Ejemplo: -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se detecta, los contadores se incrementan y el contenido se pasa tal como está al servidor. apache_mode: Este modo funciona de forma similar al modo seguro.Valores posibles: Apache_mode, asp_mode, secure_mode Valor predeterminado: Secure_mode

optimizePartialReqs. Cuando está desactivado (sin objeto seguro), un dispositivo Citrix ADC envía la solicitud parcial al servidor back-end. Esta respuesta parcial se envía de vuelta al cliente. OptimizePartialReqs tiene sentido cuando se configura el objeto Safe. El dispositivo envía solicitudes de respuesta completa desde el servidor cuando está desactivado, solicita solo una respuesta parcial cuando está activado.

Los ajustes disponibles son los siguientes:

ON : Las solicitudes parciales del cliente dan como resultado solicitudes parciales al servidor back-end. OFF: Las solicitudes parciales del cliente se cambian a solicitudes completas al servidor back-end Valores posibles: ON, OFF Valor predeterminado: ON

URLDecodeRequestCookies. Cookies de solicitud de descifrado de URL antes de someterlas a comprobaciones de scripts SQL y entre sitios.

Valores posibles: ON, OFF Valor predeterminado: OFF

Límite de cuerpo de publicación de firma (Bytes). Limita la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas con la ubicación especificada como ‘HTTP_POST_BODY’.

Valor predeterminado: 8096 Valor mínimo: 0 Valor máximo: 4294967295

Límite de cuerpo de publicación (Bytes). Limita la carga útil de solicitud (en bytes) inspeccionada por Web Application Firewall.

Valor predeterminado: 20000000 Valor mínimo: 0 Valor máximo: 10 GB

PostbodyLimitAction. PostBodyLimit respeta la configuración de error cuando se especifica el tamaño máximo del cuerpo HTTP que se permitirá. Para cumplir la configuración de error, debe configurar una o más acciones de Límite de cuerpo de publicación. La configuración también es aplicable a las solicitudes en las que el encabezado de codificación de transferencia está fragmentado.

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Dónde, Bloquear: Esta acción bloquea la conexión que infringe la comprobación de seguridad y se basa en el tamaño máximo del cuerpo HTTP configurado (límite de cuerpo de publicación). La opción siempre debe estar habilitada.

Registro: Registrar infracciones de esta comprobación de seguridad.

Estadísticas: Generar estadísticas para esta comprobación de seguridad.

Nota:

El formato de registro para la acción límite de cuerpo de publicación ahora se cambia para seguir el formato de registro de auditoría estándar, por ejemplo: ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.

InspectQueryContentTypes Inspeccionar las consultas de solicitud y los formularios web para buscar scripts SQL inyectados y entre sitios para los siguientes tipos de contenido.

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

Valores posibles: HTML, XML, JSON, OTRO

De forma predeterminada, este parámetro se establece como “InspectQueryContentTypes: HTML JSON OTRO” para perfiles appfw básicos y avanzados.

Ejemplo para inspeccionar el tipo de contenido de consulta como XML:

> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.

Ejemplo para inspeccionar el tipo de contenido de consulta como HTML:

> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done

Ejemplo para inspeccionar el tipo de contenido de consulta como JSON:

> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done

Expresión ErrorURL. La dirección URL que Citrix Web App Firewall utiliza como dirección URL de error. Longitud máxima: 2047.

Nota:

Para las infracciones de bloqueo en una dirección URL solicitada, si la dirección URL de error es similar a la URL de firma, el dispositivo restablece la conexión.

Configuración del perfil de Web App Firewall