Citrix ADC

Perfilado dinámico

La función de aprendizaje es un filtro de patrones que observa y aprende las actividades en el servidor back-end. Basándose en la observación, el motor de aprendizaje genera hasta 2000 reglas o excepciones (relajaciones) para cada comprobación de seguridad. Para automatizar el proceso e implementar automáticamente las reglas de relajación, el dispositivo Citrix ADC utiliza la creación de perfiles dinámicos.

Con la creación de perfiles dinámicos, el dispositivo registra los datos aprendidos para un umbral predefinido y envía una alerta SNMP al usuario. Si el usuario no omite los datos en un período de gracia, el dispositivo los implementa automáticamente como regla de relajación. Anteriormente, el usuario tenía que implementar manualmente las reglas de relajación. Actualmente, la creación de perfiles dinámicos solo está disponible para las siguientes comprobaciones de seguridad:

  1. Inyección HTML SQL
  2. Scripts HTML entre sitios
  3. Formato de campo
  4. URL de inicio
  5. Tipo de contenido
  6. formatos de campo
  7. Etiquetado de formularios CSRF
  8. Consistencia de cookies
  9. Denegar URL
  10. Desbordamiento de búfer
  11. Tarjeta de crédito
  12. Protección por tipo de contenido
  13. Protección contra inyección JSON Cmd

Por ejemplo, considere la comprobación de seguridad HTML SQL Injection habilitada con la creación de perfiles dinámicos. Puede utilizar el aprendizaje para obtener una lista de IP (denominada lista de clientes de aprendizaje de confianza) a partir de la cual la función de aprendizaje debe generar recomendaciones. Para configurar una lista de clientes de confianza, consulte el tema Learning Trusted Clients. Si el tráfico entrante presenta infracciones, se registra como datos aprendidos. Si los datos aprendidos se registran en el motor de aprendizaje, el dispositivo envía una alerta SNMP al usuario. Si el usuario no reconoce un falso positivo y no omite los datos aprendidos en un período de gracia, el dispositivo lo implementa automáticamente como regla de relajación.

Nota: Después de configurar el perfil dinámico, debe revisar periódicamente la configuración del dispositivo para la implementación automática de las reglas de relajación y guardarla en el dispositivo.

Configurar perfiles dinámicos mediante la interfaz de comandos de Citrix ADC

La creación de perfiles dinámicos está disponible para las comprobaciones de seguridad de URL de inicio, scripts HTML entre sitios, formato de campo o inyección SQL HTML. Para configurar la creación de perfiles dinámicos, debe completar los pasos siguientes.

  1. Configurar el aprendizaje dinámico
  2. Configurar período de gracia de implementación automática

Configurar el aprendizaje dinámico

Como primer paso, debe configurar el aprendizaje dinámico en el dispositivo. En el símbolo del sistema, escriba:

set appfw profile <profile_name> dynamicLearning <security_checks>

Ejemplo

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

Configurar período de gracia de implementación automática

Una vez habilitada la función en comprobaciones de seguridad específicas, debe configurar el período de gracia para la implementación automática.

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>

set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

Ejemplo

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30

set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7

set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10

set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

Nota:

En este caso, el período de gracia de implementación automática es en minutos.

Configuración de perfiles dinámicos mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfil.
  2. En el panel de detalles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de la aplicación web de Citrix, haga clic en Generación de perfiles dinámicos en Configuración avanzada.

    Configuración de perfil dinámico

  4. En la sección Creación de perfiles dinámicos, seleccione una comprobación de seguridad y haga clic en Modificar.

    Sección de perfilado dinámico

  5. En la página Configuración dinámica de perfiles y aprendizaje, defina el período de gracia de la comprobación de seguridad.

    Sección de perfilado dinámico

  6. Haga clic en Aceptar y Listo.

Exportación e importación de normas de relajación

Al habilitar la creación de perfiles dinámicos, los datos aprendidos se implementan automáticamente como reglas de relajación. Junto con esto, el dispositivo también le permite exportar las reglas de relajación basadas en perfiles dinámicos y las reglas de relajación regulares. Puede exportar las reglas del entorno de ensayo e importarlas al entorno de producción.

Nota:

Al importar reglas al entorno de producción, debe asegurarse de que el proceso es aditivo y no invalida la configuración existente.

Cómo exportar e importar reglas de relajación

Para exportar e importar las reglas de relajación, debe completar los siguientes pasos:

  1. En primer lugar, debe exportar los datos basados en perfiles dinámicos. Para ello, la opción de exportación está disponible para las reglas de relajación del perfil WAF. Al seleccionar esta opción, se exportan las reglas de relajación de perfiles dinámicos y las reglas de relajación regulares. Puede utilizar la opción de exportación para descargar la configuración como un paquete comprimido en el dispositivo.
  2. Una vez exportados los datos del entorno provisional, debe importarlos a otro dispositivo Citrix ADC. Para ello, debe utilizar la opción de importación disponible en las reglas de relajación del perfil WAF. Al seleccionar esta opción, el dispositivo importa las reglas de relajación especificadas incluidas y las restaura en el perfil WAF del dispositivo seleccionado.

Nota:

Si va a importar reglas de relajación en un perfil WAF, existen dos tipos de acción: Aumentar: esta acción garantiza que la importación sea aditiva y, por lo tanto, no anula ninguna configuración existente. Sobrescribir: esta acción sobrescribe la configuración existente con la configuración presente en el paquete de exportación comprimido”.

Importar archivo de reglas de relajación archivado mediante CLI

Para importar las reglas de relajación, debe importar el archivo en el dispositivo Citrix ADC y, a continuación, ejecutar el comando de restauración para extraer la configuración. El siguiente conjunto de comandos CLI se puede utilizar para exportar, importar y administrar las configuraciones.

Para importar el archivo archivado desde la ubicación específica y restaurarlo, en el símbolo del sistema, escriba:

import appfw archive <src> <name> [-comment <string>]

Donde: “src”: Indica el origen del archivo tar en el formulario, <protocol>://<host>[:<port>][/<path>] “nombre”: Indica el nombre del archivo. “ comentario”: Comentarios asociados a este archivo.

restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]

Dónde, archivename: Indica el origen del archivo tar. Este es un argumento obligatorio. “RelaxationRules”: Opción para importar todas las reglas de relajación de appfw.

importProfileName: Indica el nombre del perfil creado o actualizado para asociar las reglas de relajación durante la operación de restauración. “ MatChurlString”: Indica la cadena URL de acción para coincidir en las reglas de relajación archivadas.

replaceUrlString: Indica una cadena que se va a reemplazar en la URL de acción mientras restaura las reglas de relajación.

overwrite: acción de reglas existentes para purgar las reglas de relajación existentes y sustituirlas durante la importación.

augment: acción de reglas existentes para aumentar las reglas de relajación durante la importación.

Ejemplo: import appfw archive local: dutA_test_pr.tgz demo restore appfw profile dutA_test_pr

Exportar el archivo archivado al dispositivo seleccionado mediante la CLI

Si utiliza la CLI para exportar las reglas de relajación appfw, debe archivar la configuración y, a continuación, exportarla. Para archivar y exportar el archivo archivado, en el símbolo del sistema, escriba:

archive appfw profile <name> <archivename> [-comment <string>]

Dónde, archive name: Indica el origen del archivo tar. Este es un argumento obligatorio. name: Indica el nombre del perfil appfw que contiene las reglas de relajación que se van a exportar

export appfw archive <name> <target>

Dónde, Nombre. Nombre del archivo tar. Este es un argumento obligatorio. Longitud máxima: 31 objetivo. Ruta del archivo que se va a exportar. Este es un argumento obligatorio. Longitud máxima: 2047

Ejemplo: > archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

Para exportar reglas de relajación mediante la GUI de Citrix ADC

Siga los pasos que se indican a continuación para exportar las reglas de relajación:

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página de detalles, haga clic en el enlace Perfiles de Citrix Web App Firewall en la sección Resumen de configuración .
  3. En la página Perfil de Citrix Web App Firewall, haga clic en el enlace Reglas de relajación de la sección Configuración avanzada .
  4. En la sección Reglas de relajación, haga clic en Exportar todas las reglas de relajación. La acción se aplica a todas las comprobaciones de seguridad y a las que el aprendizaje dinámico está habilitado en ese perfil.

    Reglas de relajación de la exportación

Para importar reglas de relajación mediante la GUI de Citrix ADC

Complete los pasos para importar reglas de relajación:

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página de detalles, haga clic en el enlace Perfiles de Citrix Web App Firewall en la sección Resumen de configuración .
  3. En la página Perfil de Citrix Web App Firewall, haga clic en el enlace Reglas de relajación de la sección Configuración avanzada .
  4. En la sección Reglas de relajación, haga clic en Importar todas las reglas de relajación.
  5. En la página Configurar perfil de Citrix Web App Firewall, defina los siguientes parámetros:
    1. Archivo local. Nombre del archivo archivado comprimido que contiene las reglas de relajación.
    2. Nombre del perfil. Nombre del perfil al que están vinculadas las reglas de relajación.
    3. Cadena URL coincidente. Parte de la URL que coincide.
    4. Reemplazar cadena URL. Parte de la URL que sustituye a la cadena URL.
    5. Acción de regla existente. Seleccione si la regla debe sobrescribir las reglas existentes o aumentar las reglas existentes.
  6. Haga clic en OK.

    Reglas de relajación de importación

Perfilado dinámico