-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
Gracias por sus comentarios.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Comprobación de desbordamiento de búfer
La comprobación de desbordamiento de búfer detecta los intentos de provocar un desbordamiento de búfer en el servidor web. Si Web App Firewall detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede provocar un desbordamiento del búfer.
La comprobación de desbordamiento de búfer evita ataques contra software de servidor web o sistema operativo inseguro que puede bloquearse o comportarse de forma impredecible cuando recibe una cadena de datos mayor de lo que puede manejar. Las técnicas de programación adecuadas evitan los desbordamientos de búfer mediante la comprobación de los datos entrantes y el rechazo o truncamiento de cadenas excesivas. Muchos programas, sin embargo, no comprueban todos los datos entrantes y, por lo tanto, son vulnerables a los desbordamientos de búfer. Este problema afecta especialmente a las versiones anteriores del software del servidor web y los sistemas operativos, muchos de los cuales todavía están en uso.
La comprobación de seguridad de desbordamiento de búfer le permite configurar las acciones Bloque, Registro y Estadísticas. Además, también puede configurar los siguientes parámetros:
- Longitud máxima de URL. La longitud máxima que permite Web App Firewall en una URL solicitada. Las solicitudes con URL más largas están bloqueadas. Valores posibles: 0—65535. Predeterminado: 1024
- Longitud máxima de la cookie. La longitud máxima que el Web App Firewall permite para todas las cookies en una solicitud. Las solicitudes con cookies más largas desencadenan las infracciones. Valores posibles: 0—65535. Predeterminado: 4096
- Longitud máxima del encabezado. La longitud máxima que el Web App Firewall permite para encabezados HTTP. Las solicitudes con cabeceras más largas están bloqueadas. Valores posibles: 0—65535. Predeterminado: 4096
- Longitud de cadena de consulta. Longitud máxima permitida para la cadena de consulta en una solicitud entrante. Las solicitudes con consultas más largas están bloqueadas. Valores posibles: 0—65535. Predeterminado: 1024
- Longitud total de la solicitud. Longitud máxima de solicitud permitida para una solicitud entrante. Las solicitudes con mayor longitud están bloqueadas. Valores posibles: 0—65535. Predeterminado: 24820
Uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer
Para configurar acciones de comprobación de seguridad de desbordamiento de búfer y otros parámetros mediante la línea de comandos
En el símbolo del sistema, escriba:
add appfw profile <name> -bufferOverflowMaxURLLength <positive_integer> -bufferOverflowMaxHeaderLength <positive_integer> - bufferOverflowMaxCookieLength <positive_integer> -bufferOverflowMaxQueryLength <positive_integer> -bufferOverflowMaxTotalHeaderLength <positive_integer>
Ejemplo:
add appfw profile profile1 –bufferOverflowMaxURLLength 7000 –bufferOverflowMaxHeaderLength 7250 – bufferOverflowMaxCookieLength 7100 –bufferOverflowMaxQueryLength 7300 –bufferOverflowMaxTotalHeaderLength 7300
Configurar la comprobación de seguridad de desbordamiento de búfer mediante la GUI de Citrix ADC
- Vaya a Seguridad > Web App Firewall y perfiles.
- En la página Perfiles, seleccione un perfil y haga clic en Modificar.
- En la página Perfil de Citrix Web App Firewall, vaya a la sección Configuración avanzada y haga clic en Comprobaciones de seguridad.
- En la sección Comprobaciones de seguridad, seleccione Desbordamiento de búfer y haga clic en Configuración de acciones
- En la página Configuración de desbordamiento de búfer, establezca los siguientes parámetros. a. Acciones. Seleccione una o más acciones para la comprobación de seguridad de inyección de comandos. b. Longitud máxima de URL. Longitud máxima, en caracteres, para las URL de los sitios web protegidos. Las solicitudes con URL más largas están bloqueadas. c. Longitud máxima de cookie. Longitud máxima, en caracteres, para las cookies enviadas a sus sitios web protegidos. Las solicitudes con cookies más largas están bloqueadas. d. Longitud máxima de cabecera. Longitud máxima, en caracteres, para los encabezados HTTP en las solicitudes enviadas a los sitios web protegidos. Las solicitudes con cabeceras más largas están bloqueadas. e. Longitud máxima de la consulta. Longitud máxima, en bytes, para la cadena de consulta enviada a los sitios web protegidos. Las solicitudes con cadenas de consulta más largas están bloqueadas. f. Longitud máxima total del encabezado. Longitud máxima, en bytes, para la longitud total del encabezado HTTP en las solicitudes enviadas a los sitios web protegidos. Se utilizará el valor mínimo de este y MaxHeaderLen en HttpProfile. Las solicitudes con mayor longitud están bloqueadas.
-
Haga clic en Aceptar y Cerrar.
Uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer
Cuando la acción de registro está habilitada, las infracciones de comprobación de seguridad de desbordamiento de búfer se registran en el registro de auditoría como infracciones APTFW_BUFFEROVERFLOW_URL, APTFW_BUFFEROVERFLOW_COOKIE y APTFW_BUFFEROVERFLOW_HDR. El Web App Firewall admite los formatos de registro nativo y CEF. También puede enviar los registros a un servidor syslog remoto.
Si utiliza la interfaz gráfica de usuario para revisar los registros, puede utilizar la función de clic para implementar para aplicar las relajaciones indicadas por los registros.
Para acceder a los mensajes de registro mediante la línea de comandos
Cambie al shell y coloque los ns.logs en la carpeta /var/log/ para acceder a los mensajes de registro correspondientes a las violaciones de desbordamiento del búfer:
> \*\*Shell\*\*
> \*\*tail -f /var/log/ns.log | grep APPFW_BUFFEROVERFLOW\*\*
Ejemplo de un mensaje de registro CEF que muestra la violación BufferOverflowMaxCookieLength en modo no bloque
Oct 22 17:35:20 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|\*\*APPFW_BUFFEROVERFLOW_COOKIE\*\*|6|src=10.217.253.62 geolocation=Unknown spt=41198 method=GET request=http://aaron.stratum8.net/FFC/sc11.html \*\*msg=Cookie header length(43) is greater than maximum allowed(16).\*\* cn1=119 cn2=465 cs1=owa_profile cs2=PPE1 cs3=wvOOOb+cJ2ZRbstZpyeNXIqLj7Y0001 cs4=ALERT cs5=2015 \*\*act=not blocked\*\*
Ejemplo de un mensaje de registro CEF que muestra una infracción de BufferOverflowMaxUrlLength en modo no bloque
Oct 22 18:39:56 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|\*\*APPFW_BUFFEROVERFLOW_URL\*\*|6|src=10.217.253.62 geolocation=Unknown spt=19171 method=GET request=http://aaron.stratum8.net/FFC/sc11.html \*\*msg=URL length(39) is greater than maximum allowed(20).\*\* cn1=707 cn2=402 cs1=owa_profile cs2=PPE0 cs3=kW49GcKbnwKByByi3+jeNzfgWa80000 cs4=ALERT cs5=2015 \*\*act=not blocked\*\*
Ejemplo de un mensaje de registro de formato nativo que muestra una infracción de BufferOverflowMaxHeaderLength en modo de bloque
Oct 22 18:44:00 <local0.info> 10.217.31.98 10/22/2015:18:44:00 GMT ns 0-PPE-2 : default APPFW \*\*APPFW_BUFFEROVERFLOW_HDR\*\* 155 0 : 10.217.253.62 374-PPE2 khhBEeY4DB8V2D3H2sMLkXmfWnA0002 owa_profile \*\*Header(User-Agent) length(82) is greater than maximum allowed(10)\*\* : http://aaron.stratum8.net/ \*\*<blocked>\*\*
Para acceder a los mensajes de registro mediante la interfaz gráfica de usuario
La GUI de Citrix incluye una herramienta útil (Visor de syslog) para analizar los mensajes de registro. Tiene varias opciones para acceder al Visor de Syslog:
-
Vaya a Firewall de aplicaciones > Perfiles, seleccione el perfil de destino y haga clic en Comprobaciones de seguridad. Resalte la fila Desbordamiento de búfer y haga clic en Registros. Cuando accede a los registros directamente desde la comprobación de seguridad de desbordamiento de búfer del perfil, la GUI filtra los mensajes de registro y muestra solo los registros correspondientes a estas infracciones de comprobación de seguridad.
-
También puede acceder al Visor de Syslog navegando a NetScaler > Sistema > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos otros registros de infracciones de comprobación de seguridad. Esto es útil para depurar cuando se pueden desencadenar varias infracciones de comprobación de seguridad durante el procesamiento de solicitudes.
-
Vaya a Firewall de aplicaciones > Directivas > Auditoría. En la sección Mensajes de auditoría, haga clic en el vínculo Mensajes de Syslog para mostrar el Visor de Syslog, que muestra todos los mensajes de registro, incluidos otros registros de infracciones de comprobación de seguridad.
El Visor de Syslog basado en XML proporciona varias opciones de filtro para seleccionar solo los mensajes de registro que le interesan. Para seleccionar mensajes de registro para la comprobación Desbordamiento de búfer, filtre seleccionando APPFW en las opciones de la lista desplegable para Módulo. La lista Tipo de evento ofrece tres opciones, APTFW_BUFFEROVERFLOW_URL, APTFW_BUFFEROVERFLOW_COOKIE y APPFW_BUFFEROVERFLOW_HDR, para ver todos los mensajes de registro relacionados con la comprobación de seguridad de desbordamiento de búfer. Puede seleccionar una o varias opciones para refinar aún más la selección. Por ejemplo, si activa la casilla de verificación APPFW_BUFFEROVERFLO_COOKIE y hace clic en el botón Aplicar, solo aparecerán en el Visor de Syslog los mensajes de registro correspondientes a las infracciones de comprobación de seguridad de desbordamiento de búfer para el encabezado Cookie. Si coloca el cursor en la fila de un mensaje de registro específico, debajo del mensaje de registro aparecen varias opciones, como Módulo, Tipode evento, Id.de evento e IP de cliente. Puede seleccionar cualquiera de estas opciones para resaltar la información correspondiente en el mensaje de registro.
Hacer clic para implementar: La GUI proporciona funcionalidad de clic para implementar, que actualmente solo se admite para los mensajes de registro de desbordamiento de búfer relacionados con las infracciones de longitud de URL. Puede utilizar Syslog Viewer no solo para ver las infracciones desencadenadas, sino también para ejecutar decisiones informadas basadas en la longitud observada de los mensajes bloqueados. Si el valor actual es demasiado restrictivo y está activando falsos positivos, puede seleccionar un mensaje e implementarlo para reemplazar el valor actual por el valor de longitud de URL que aparece en el mensaje. Los mensajes de registro deben estar en formato de registro CEF para esta operación. Si se puede implementar la relajación para un mensaje de registro, aparece una casilla de verificación en el borde derecho del cuadro Visor de Syslog en la fila. Active la casilla de verificación y, a continuación, seleccione una opción de la lista Acción para implementar la relajación. Modificar e implementar, Implementar e Implementar todoestán disponibles como opciones de acción. Puede utilizar el filtro APTFW_BUFFEROVERFLOW_URL para aislar todos los mensajes de registro relacionados con las infracciones de longitud de URL configuradas.
Si selecciona un mensaje de registro individual, estarán disponibles las tres opciones de acción Modificar eimplementar, Implementare Implementar todo. Si selecciona Modificar e implementar, se mostrará el diálogo de configuración de desbordamiento de búfer. La nueva longitud de URL que se observó en la solicitud se inserta en el campo de entrada Longitud máxima de URL. Si hace clic en Cerrar sin modificaciones, los valores configurados actuales permanecen sin cambios. Si hace clic en el botón Aceptar, el nuevo valor de la longitud de URL máxima sustituye al valor anterior.
Nota
Las casillas de verificación de acción de bloque, registro y estadísticasno están marcadas en el diálogo de configuración de desbordamiento de búferque se muestra y deben reconfigurarse si selecciona la opción Modificar e implementar. Asegúrese de habilitar estas casillas de verificación antes de hacer clic en Aceptar; de lo contrario, la nueva longitud de URL se configurará pero las acciones se establecerá en ninguna.
Si activa las casillas de verificación de varios mensajes de registro, puede utilizar la opción Implementar o Implementar todo. Si los mensajes de registro implementados tienen diferentes longitudes de URL, el valor configurado se sustituye por el valor de longitud de URL más alto observado en los mensajes seleccionados. Al implementar la regla solo se cambia el valor BufferOverflowMaxUrlLength. Las acciones configuradas se conservan y permanecen sin cambios.
Para utilizar la funcionalidad Click-to-Deploy en la GUI
- En el Visor de syslog, seleccione APPFW en las opciones del módulo.
- Active la casilla de verificación APTFW_BUFFEROVERFLOW_URL como Tipo de evento para filtrar los mensajes de registro correspondientes.
- Active la casilla de verificación para seleccionar la regla.
- Utilice la lista desplegable Acción de opciones para implementar la relajación.
- Vaya a Firewall de aplicaciones > Perfiles, seleccione el perfil de destino y haga clic en Comprobaciones de seguridad para acceder al panel de configuración de desbordamiento de búfer para comprobar que se actualiza el valor Longitud máxima de URL.
Estadísticas de las infracciones de desbordamiento de búfer
Cuando la acción de estadísticas está habilitada, el contador de la comprobación de seguridad de desbordamiento de búfer se incrementa cuando el Web App Firewall realiza cualquier acción para esta comprobación de seguridad. Las estadísticas se recopilan para Rate and Total count para Tráfico, Violaciones y Registros. El tamaño de un incremento del contador de registro puede variar en función de la configuración configurada. Por ejemplo, si la acción de bloqueo está habilitada, una solicitud de una página que contiene tres infracciones de desbordamiento de búfer incrementa el contador de estadísticas en uno, porque la página se bloquea cuando se detecta la primera infracción. Sin embargo, si el bloque está inhabilitado, el procesamiento de la misma solicitud incrementa el contador de estadísticas para las infracciones porque cada infracción genera un mensaje de registro independiente.
Para mostrar las estadísticas de comprobación de seguridad de desbordamiento de búfer mediante la línea de comandos
En el símbolo del sistema, escriba:
> sh appfw stats
Para mostrar las estadísticas de un perfil específico, utilice el siguiente comando:
> stat appfw profile <profile name>
Para mostrar las estadísticas de desbordamiento de búfer mediante la interfaz gráfica de usuario
- Vaya a Sistema > Seguridad > Firewall de aplicaciones.
- En el panel derecho, acceda al Enlace de estadísticas.
- Utilice la barra de desplazamiento para ver las estadísticas sobre las infracciones y los registros de desbordamiento de búfer. La tabla de estadísticas proporciona datos en tiempo real y se actualiza cada 7 segundos.
Resumen
-
La comprobación de seguridad de desbordamiento de búfer le permite configurar límites para imponer la longitud máxima de las URL permitidas, las cookies y los encabezados.
-
Las acciones debloqueo, registro y estadísticasle permiten supervisar el tráfico y configurar la protección óptima para su aplicación.
-
El visor de Syslog permite filtrar y ver todos los mensajes de registro relacionados con violaciones de desbordamiento de búfer.
-
La funcionalidadde clic para implementar es compatible con las infracciones de BufferOverflowMaxUrlLength. Puede seleccionar e implementar una regla individual, o bien puede seleccionar varios mensajes de registro para ajustar y relajar el valor configurado actual de la longitud máxima permitida de la URL. El valor más alto de la dirección URL del grupo seleccionado se establece como el nuevo valor, para permitir todas estas solicitudes que están actualmente marcadas como infracciones.
-
El Web App Firewall ahora evalúa las cookies individuales al inspeccionar la solicitud entrante. Si la longitud de cualquier cookie recibida en el encabezado Cookie excede el BufferOverflowMaxCookieLengthconfigurado, se desencadena la infracción de desbordamiento de búfer.
Importante
En la versión 10.5.e (en algunas compilaciones provisionales de mejoras anteriores a la compilación 59.13xx.e) y en la versión 11.0 (en compilaciones anteriores a 65.x), se cambió el procesamiento de Web App Firewall del encabezado Cookie. En esas versiones, cada cookie se evalúa individualmente, y si la longitud de cualquier cookie recibida en el encabezado Cookie excede el BufferOverflowMaxCookieLength configurado, se desencadena la infracción de desbordamiento de búfer. Como resultado de este cambio, las solicitudes que se bloquearon en versiones 10.5 y versiones anteriores podrían ser permitidas, ya que la longitud de todo el encabezado de la cookie no se calcula para determinar la longitud de la cookie. ** En algunas situaciones, el tamaño total de la cookie reenviada al servidor puede ser mayor que el valor aceptado, y el servidor puede responder con “400 Bad Request”.
Este cambio se ha revertido. El comportamiento de la versión 10.5.e ->59.13xx.e y posteriores versiones de mejora 10.5.e, además de la versión 11.0 65.x y versiones posteriores, ahora es similar al de las compilaciones no mejoradas de la versión 10.5. Ahora se tiene en cuenta todo el encabezado de Cookie sin procesar al calcular la longitud de la cookie. Los espacios circundantes y los caracteres de punto y coma (;) que separan los pares nombre-valor también se incluyen para determinar la longitud de la cookie.
Gracias por sus comentarios.
Compartir
Compartir
En este artículo
- Uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer
- Configurar la comprobación de seguridad de desbordamiento de búfer mediante la GUI de Citrix ADC
- Uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer
- Estadísticas de las infracciones de desbordamiento de búfer
- Resumen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.