Citrix ADC

Exigir el cumplimiento de HTTP RFC

Citrix Web App Firewall inspecciona el tráfico entrante para comprobar el cumplimiento de HTTP RFC y elimina cualquier solicitud que tenga infracciones de RFC de forma predeterminada. Sin embargo, hay ciertos escenarios en los que el dispositivo podría tener que omitir o bloquear una solicitud de cumplimiento que no sea RFC. En tales casos, puede configurar el dispositivo para que omite o bloquee dichas solicitudes a nivel global o de perfil.

Bloquear o eludir las solicitudes que no cumplen con RFC a nivel global

El módulo HTTP etiqueta una solicitud como no válida si está incompleta o no es válida y tales solicitudes no pueden ser procesadas por WAF. Por ejemplo, una solicitud HTTP entrante a la que falta un encabezado de host. Para bloquear o evitar estas solicitudes no válidas, debe configurar la malformedReqAction opción en la configuración global del firewall de aplicaciones.

Nota:

Si inhabilita la opción de bloqueo en el malformedReqAction parámetro, el dispositivo omite todo el procesamiento del firewall de la aplicación para todas las solicitudes de cumplimiento que no son RFC y las reenvía al siguiente módulo.

Para bloquear o omitir solicitudes HTTP de quejas no válidas que no sean RFC mediante la interfaz de línea de comandos

Para bloquear o omitir solicitudes no válidas, introduzca el siguiente comando:

set appfw settings -malformedreqaction <action>

Ejemplo:

set appfw settings –malformedReqAction block

Para mostrar la configuración de la acción de solicitud mal formada

Para mostrar la configuración de la acción de solicitud mal formada, introduzca el siguiente comando:

show appfw settings

Salida:

DefaultProfile:  APPFW_BYPASS UndefAction:  APPFW_BLOCK SessionTimeout:  900     LearnRateLimit:  400     SessionLifetime:  0 SessionCookieName:  citrix_ns_id ImportSizeLimit:  134217728 SignatureAutoUpdate:  OFF SignatureUrl:"https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml" CookiePostEncryptPrefix:  ENC GeoLocationLogging:  OFF CEFLogging:  OFF       EntityDecoding:  OFF     UseConfigurableSecretKey:  OFF SessionLimit:  100000    MalformedReqAction:  block log stats
 Done
<!--NeedCopy-->

Para bloquear o omitir solicitudes HTTP de quejas no válidas que no son RFC mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página Citrix Web App Firewall, haga clic en Cambiar configuración del motor en Configuración.
  3. En la página Configurar la configuración de Citrix Web App Firewall, seleccione la opción Registrar solicitud mal formada como Bloque, Registro o Estadísticas.
  4. Haga clic en Aceptar y Cerrar.

Nota:

Si anula la selección de la acción de bloqueo o no selecciona ninguna acción de solicitud mal formada, el dispositivo omite la solicitud sin intimidar al usuario.

Bloquear u omitir solicitudes que no cumplan con RFC a nivel de perfil

Otras solicitudes no compatibles con RFC se pueden configurar para bloquear u omitir a nivel de perfil. Debe configurar el perfil RFC en modo Bloque o Bypass. Al hacerlo, cualquier tráfico no válido que coincida con el perfil de Web App Firewall se omite o se bloquea en consecuencia.

Nota:

Cuando establece el perfil de RFC en modo “Omitir”, debe asegurarse de inhabilitar la opción de transformación en la Configuración de scripts HTML entre sitios y en las secciones Configuración de inyección HTML SQL . Si habilita la opción y establece el perfil rfc en modo Omitir, el dispositivo muestra un mensaje de advertencia: “Transformar scripts entre sitios” y “Transformar caracteres especiales SQL” están activados actualmente. Se recomienda apagarlo cuando se use con APPFW_RFC_BYPASS.

Importante:

Además, el dispositivo muestra una nota de advertencia: “Las comprobaciones de seguridad de Appfw habilitadas podrían no ser aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes podrían transformarse parcialmente que contengan infracciones de RFC. “

Para configurar un perfil RFC en el perfil de Web App Firewall mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

set appfw profile <profile_name> -rfcprofile <rfcprofile_name

Ejemplo

set appfw profile P1 -rfcprofile APPFW_RFC_BLOCK

Nota:

De forma predeterminada, el perfil rfc está enlazado al perfil de Web App Firewall en modo Bloque.

Para configurar un perfil RFC en el perfil de Web App Firewall mediante la GUI

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En la página Perfiles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Web App Firewall, haga clic en Configuración de perfil en la sección Configuración avanzada .
  4. En la sección Configuración HTML, establezca el perfil RFC en modo APPFW_RFC_BYPASS. El sistema muestra un mensaje de advertencia: “Las comprobaciones de seguridad de Appfw habilitadas podrían no ser aplicables a las solicitudes que infrinjan las comprobaciones de RFC cuando se establece este perfil. No se recomienda habilitar ninguna configuración de transformación, ya que las solicitudes pueden transformarse parcialmente que contengan infracciones de RFC”.
Exigir el cumplimiento de HTTP RFC