ADC

Firmas

Las firmas de Web App Firewall proporcionan reglas específicas y configurables para simplificar la tarea de proteger sus sitios web contra los ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas preconfiguradas, integradas o nativas de Web App Firewall, ofrece una solución de seguridad fácil de usar, que aplica el poder de la coincidencia de patrones para detectar ataques y proteger contra las vulnerabilidades de las aplicaciones.

Puede crear sus propias firmas o utilizarlas en las plantillas integradas. El Web App Firewall tiene dos plantillas integradas:

  • Firmas predeterminadas: esta plantilla contiene una lista preconfigurada de más de 1300 firmas, además de una lista completa de palabras clave de inyección de SQL, cadenas especiales de SQL, reglas de transformación de SQL y caracteres comodín de SQL. También contiene patrones denegados para scripts entre sitios y atributos y etiquetas permitidos para scripts entre sitios. Esta es una plantilla de solo lectura. Puede ver el contenido, pero no puede añadir, editar ni eliminar nada de esta plantilla. Para usarlo, debe hacer una copia. En su propia copia, puede habilitar las reglas de firma que quiere aplicar al tráfico y especificar las acciones que se deben realizar cuando las reglas de firma coincidan con el tráfico.

Las firmas de Web App Firewall se derivan de las reglas publicadas por Snort, que es un sistema de prevención de intrusiones de código abierto capaz de realizar análisis de tráfico en tiempo real para detectar varios ataques y sondeos.

  • *Patrones de inyección de Xpath: esta plantilla contiene un conjunto preconfigurado de palabras clave literales y PCRE y cadenas especiales que se utilizan para detectar los ataques de inyección de XPath (XML Path Language).

Firmas en blanco: además de hacer una copia de la plantilla integrada *Firmas predeterminadas, puedes usar una plantilla de firmas en blanco para crear un objeto de firma. El objeto de firma que se crea con la opción de firmas en blanco no tiene reglas de firma nativas, pero, al igual que la plantilla *Default, tiene todas las entidades integradas en las secuencias de comandos de SQL/CrossSite.

Firmasde formato externo: el Web App Firewall también admite firmasde formato externo. Puede importar el informe de escaneado de terceros mediante los archivos XSLT compatibles con el NetScaler Web App Firewall. Hay disponible un conjunto de archivos XSLT integrados para que las siguientes herramientas de escaneo traduzcan archivos de formato externo al formato nativo:

  • Cenzic
  • Seguridad profunda para aplicaciones web
  • IBM AppScan Enterprise
  • Estándar IBM AppScan.
  • Qualys
  • Qualys Cloud
  • Sombrero blanco
  • Hewlett Packard Enterprise WebInspect
  • Rapid7 Appspider
  • Acunetix

Protección de seguridad para su aplicación

Una seguridad más estricta aumenta la sobrecarga de procesamiento. Las firmas ofrecen las siguientes opciones de implementación para ayudarlo a optimizar la protección de sus aplicaciones:

  • Modelo de seguridad negativo: con el modelode seguridad negativo, se utiliza un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones a fin de detectar ataques y proteger contra las vulnerabilidades de las aplicaciones. Bloqueas solo lo que no quieres y permites el resto. Puede añadir sus propias reglas de firma, en función de las necesidades de seguridad específicas de sus aplicaciones, para diseñar sus propias soluciones de seguridad personalizadas.

  • Modelo de seguridad híbrido: además de utilizar firmas, puede utilizar comprobaciones de seguridad positivas para crear una configuración ideal para sus aplicaciones. Usa firmas para bloquear lo que no quieras y usa controles de seguridad positivos para hacer cumplir lo que está permitido.

Para proteger su aplicación mediante firmas, debe configurar uno o más perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, las reglas de firma utilizan no solo las reglas de firma, sino también las comprobaciones de seguridad positivas configuradas en el perfil de Web App Firewall que utiliza el objeto de firmas, sino también las comprobaciones de seguridad positivas configuradas en el perfil de Web App Firewall que utiliza el objeto de firmas.

El Web App Firewall examina el tráfico de los sitios web y servicios web protegidos para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Puede mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudarle a identificar los ataques que se lanzan contra su aplicación. Si habilita las estadísticas, el Web App Firewall conserva los datos sobre las solicitudes que coinciden con una firma o una comprobación de seguridad de Web App Firewall.

Si el tráfico coincide tanto con una firma como con una comprobación de seguridad positiva, se aplicará la más restrictiva de las dos acciones. Por ejemplo, si una solicitud coincide con una regla de firma para la que está inhabilitada la acción de bloqueo, pero la solicitud también coincide con una comprobación de seguridad positiva de SQL Injection para la que la acción es bloque, la solicitud se bloquea. En este caso, la infracción de firma puede registrarse como <not blocked>, aunque la verificación de inyección de SQL bloquea la solicitud.

Personalización: si es necesario, puede añadir sus propias reglas a un objeto de firmas. También puede personalizar los patrones de secuencias de comandos de SQL/CrossSite. La opción de agregar sus propias reglas de firma, en función de las necesidades de seguridad específicas de sus aplicaciones, le da la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Bloqueas solo lo que no quieres y permites el resto. Un patrón de coincidencia rápida específico en una ubicación específica puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Puede agregar, modificar o eliminar patrones de inyección SQL y secuencias de comandos entre sitios. Los editores de expresiones y expresiones RegEx integrados le ayudan a configurar sus patrones y verificar su precisión.

Actualización automática: puede actualizar manualmente el objeto de firma para obtener las reglas de firma más recientes o puede aplicar la función de actualización automática para que el Web App Firewall pueda actualizar automáticamente las firmas desde el servicio de actualizaciones de Web App Firewall basado en la nube.

Nota:

Si se añaden nuevas reglas de firma durante la actualización automática, se inhabilitan de forma predeterminada. Debe revisar periódicamente las firmas actualizadas y habilitar las reglas recién agregadas que sean pertinentes para proteger sus aplicaciones.

Debe configurar CORS para alojar firmas en servidores IIS.

La función de actualización automática de firmas no funciona en el servidor web local cuando se accede a la URL desde la GUI de NetScaler.

Introducción

Usar las firmas de Citrix para proteger su aplicación es fácil y se puede realizar en unos sencillos pasos:

  1. Añada un objeto de firma.
  • Puede utilizar el asistente que le pide que cree toda la configuración de Web App Firewall, incluida la adición del perfil y la directiva, la selección y la activación de las firmas y la especificación de las acciones para las firmas y las comprobaciones de seguridad positivas. El objeto de firmas se crea automáticamente.
  • Puede crear una copia del objeto de firmas a partir de la plantilla *Firmas predeterminadas, utilizar una plantilla en blanco para crear una firma con sus propias reglas personalizadas o añadir una firma en formato externo. Habilite las reglas y configure las acciones que desee aplicar.
  1. Configure el perfil de Web App Firewall de destino para usar este objeto de firmas.

  2. Enviar tráfico para validar la funcionalidad

Resumen

  • El objeto Default signatures es una plantilla. No se puede editar ni eliminar. Para usarlo, debe crear una copia. En su propia copia, puede habilitar las reglas y la acción deseada para cada regla según sea necesario para su aplicación. Para proteger la aplicación, debe configurar el perfil de destino para usar esta firma.
  • El procesamiento de patrones de firma tiene una sobrecarga. Intente habilitar solo las firmas que sean aplicables para proteger su aplicación, en lugar de habilitar todas las reglas de firma.
  • Todos los patrones de la regla deben coincidir para activar una coincidencia de firmas.
  • Puede añadir sus propias reglas personalizadas para inspeccionar las solicitudes entrantes y detectar varios tipos de ataques, como los ataques de inyección de SQL o de secuencias de comandos entre sitios. También puede añadir reglas para inspeccionar las respuestas a fin de detectar y bloquear la filtración de información confidencial, como números de tarjetas de crédito.
  • Puede hacer una copia de un objeto de firma existente y modificarlo añadiendo o editando reglas y patrones de secuencias de comandos de SQL/Cross-Site, para proteger otra aplicación.
  • Puede utilizar la actualización automática para descargar la versión más reciente de las reglas predeterminadas de Web App Firewall sin necesidad de realizar una supervisión continua para comprobar la disponibilidad de la nueva actualización.
  • Más de un perfil puede utilizar un objeto de firma. Incluso después de configurar uno o más perfiles para usar un objeto de firma, puede habilitar o inhabilitar las firmas o cambiar la configuración de las acciones. Puede crear y modificar manualmente sus propias reglas de firma personalizadas. Los cambios se aplican a todos los perfiles que están configurados actualmente para usar este objeto de firma.
  • Puede configurar las firmas para detectar infracciones en varios tipos de cargas, como HTML, XML, JSON y GWT.
  • Puede exportar un objeto de firmas configurado e importarlo a otro dispositivo NetScaler para replicar fácilmente sus reglas de firma personalizadas.

Las firmas son patrones que están asociados a una vulnerabilidad conocida. Puede utilizar la protección de firmas para identificar el tráfico que intenta aprovechar estas vulnerabilidades y tomar medidas específicas.

Las firmas se organizan en categorías. Puede optimizar el rendimiento y reducir la sobrecarga de procesamiento si habilita solo las reglas de las categorías adecuadas para proteger la aplicación.

Firmas