Citrix ADC

Integración de Citrix ADC con dispositivos de seguridad pasivos (sistema de detección de intrusiones)

Un dispositivo Citrix ADC ahora se integra con dispositivos de seguridad pasivos, como el Sistema de detección de intrusiones (IDS). Estos dispositivos pasivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o no conforme. También genera informes para el propósito de cumplimiento. Si el dispositivo Citrix ADC está integrado con dos o más dispositivos IDS y cuando hay un gran volumen de tráfico, el dispositivo puede equilibrar la carga de los dispositivos clonando el tráfico en el nivel del servidor virtual.

Para una protección de seguridad avanzada, un dispositivo Citrix ADC se integra con dispositivos de seguridad pasivos, como IDS, implementados en modo de solo detección. Estos dispositivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o que no cumple con las normas. También genera informes para el propósito de cumplimiento. A continuación se presentan algunos de los beneficios de integrar Citrix ADC con un dispositivo IDS.

  • Inspeccionar el tráfico cifrado. La mayoría de los dispositivos de seguridad eluden el tráfico cifrado, lo que deja a los servidores vulnerables a Un dispositivo Citrix ADC puede descifrar el tráfico y enviarlo a los dispositivos IDS para mejorar la seguridad de la red del cliente.
  • Descarga de dispositivos en línea del procesamiento TLS/SSL. El procesamiento TLS/SSL es caro y da como resultado una CPU de sistema alta en los dispositivos de detección de intrusiones si descifran el tráfico. A medida que el tráfico cifrado crece a un ritmo acelerado, estos sistemas no pueden descifrar ni inspeccionar el tráfico cifrado. Citrix ADC ayuda a descargar el tráfico a los dispositivos IDS desde el procesamiento TLS/SSL. Esta forma de descargar datos da como resultado que un dispositivo IDS admita un alto volumen de inspección de tráfico.
  • Carga de dispositivos IDS de equilibrio. La carga del dispositivo Citrix ADC equilibra la carga de varios dispositivos IDS cuando hay un gran volumen de tráfico al clonar el tráfico en el nivel del servidor virtual.
  • Replicar el tráfico en dispositivos pasivos. El tráfico que fluye hacia el dispositivo se puede replicar en otros dispositivos pasivos para generar informes de cumplimiento. Por ejemplo, pocas agencias gubernamentales exigen que todas las transacciones se registren en algunos dispositivos pasivos.
  • Dirigir el tráfico a varios dispositivos pasivos. Algunos clientes prefieren desplegarse o replicar el tráfico entrante en varios dispositivos pasivos.
  • Selección inteligente del tráfico. Es posible que no se deba inspeccionar el contenido de todos los paquetes que fluyen hacia el dispositivo, por ejemplo, la descarga de archivos de texto. El usuario puede configurar el dispositivo Citrix ADC para seleccionar tráfico específico (por ejemplo, archivos.exe) para su inspección y enviar el tráfico a los dispositivos IDS para procesar los datos.

Cómo se integra Citrix ADC con el dispositivo IDS con conectividad L2

El siguiente diagrama muestra cómo se integra IDS con un dispositivo Citrix ADC.

Integración de IDS

La interacción de los componentes se da de la siguiente manera:

  1. Un cliente envía una solicitud HTTP/HTTPS al dispositivo Citrix ADC.
  2. El dispositivo intercepta el tráfico y lo replica en un dispositivo IDS en función de la evaluación de la directiva de inspección de contenido.
  3. Si el tráfico está cifrado, el dispositivo descifra los datos y los envía como texto sin formato.
  4. Según la evaluación de directivas, el dispositivo aplica una acción de inspección de contenido de tipo “ESPEJO”.
  5. La acción tiene configurado el servicio IDS o el servicio de equilibrio de carga (para integraciones de varios dispositivos IDS).
  6. El dispositivo IDS se configura como el tipo de servicio de inspección de contenido “Any” en el dispositivo. El servicio de inspección de contenido se asocia al perfil de inspección de contenido de tipo “MIRROR”, que especifica la interfaz de salida a través de la cual los datos deben enviarse al dispositivo IDS. De manera opcional, también puede configurar una etiqueta de VLAN en el perfil de inspección de contenido.

    Nota:

    • La dirección IP utilizada para el servicio o servidor de IDS es una dirección ficticia.
    • El dispositivo Citrix ADC no admite el canal LA para la interfaz de salida.
  7. A continuación, el dispositivo replica los datos a través de la interfaz de salida en uno o más dispositivos IDS.
  8. Del mismo modo, cuando el servidor back-end envía una respuesta al Citrix ADC, el dispositivo replica los datos y los reenvía al dispositivo IDS.
  9. Si su dispositivo está integrado en uno o más dispositivos IDS y si prefiere equilibrar la carga de los dispositivos, puede usar el servidor virtual de equilibrio de carga.

Licencias de software

Para implementar la integración de dispositivos en línea, su dispositivo Citrix ADC debe aprovisionarse con una de las siguientes licencias:

  1. ADC Premium
  2. ADC Avanzado
  3. Telco avanzado
  4. Telco Premium

Configuración de la integración del sistema de detección de

Puede integrar el dispositivo IDS con Citrix ADC de dos maneras diferentes.

Caso 1: integración con un único dispositivo IDS

Los siguientes son los pasos que debe configurar mediante la interfaz de línea de comandos.

  1. Permitir la inspección de contenido
  2. Agregue un perfil de inspección de contenido de tipo MIRROR para el servicio que representa el dispositivo
  3. Agregue el servicio IDS de tipo “ANY”
  4. Agregar acción de inspección de contenido de tipo “MIRROR”
  5. Agregar directiva de inspección de contenido para la inspección de IDS
  6. Vincular la directiva de inspección de contenido al servicio virtual de cambio de contenido o equilibrio de carga de tipo HTTP/SSL

Habilitar inspección de contenido

Si quiere que el dispositivo Citrix ADC envíe el contenido para su inspección a los dispositivos IDS, debe habilitar las funciones de inspección de contenido y equilibrio de carga independientemente de realizar el descifrado.

En el símbolo del sistema, escriba:

enable ns feature contentInspection LoadBalancing

Agregar perfil de inspección de contenido de tipo “MIRROR

El perfil de inspección de contenido de tipo “MIRROR” explica cómo puede conectarse al dispositivo IDS. En el símbolo del sistema, escriba.

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

Ejemplo:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

Agregar el servicio IDS

Debe configurar un servicio de tipo “ANY” para cada dispositivo IDS que esté integrado con el dispositivo. El servicio tiene los detalles de configuración del dispositivo IDS. El servicio representa el dispositivo IDS.

En el símbolo del sistema, escriba:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

Ejemplo:

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

Agregar acción de inspección de contenido de tipo MIRROR para el servicio IDS

Después de habilitar la función Inspección de contenido y, a continuación, agregar el perfil y el servicio de IDS, debe agregar la acción Inspección de contenido para gestionar la solicitud. Según la acción de inspección de contenido, el dispositivo puede eliminar, restablecer, bloquear o enviar datos al dispositivo IDS.

En el símbolo del sistema, escriba:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

Ejemplo:

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

Agregar directiva de inspección de contenido para la inspección de IDS

Después de crear una acción de inspección de contenido, debe agregar directivas de inspección de contenido para evaluar las solicitudes de inspección. La directiva se basa en una regla que consiste en una o más expresiones. La directiva evalúa y selecciona el tráfico para su inspección en función de la regla.

En el símbolo del sistema, escriba lo siguiente:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

Ejemplo:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Vincular la directiva de inspección de contenido al servicio virtual de cambio de contenido o equilibrio de carga de tipo HTTP/SSL

Para recibir el tráfico web, debe agregar un servidor virtual de equilibrio de carga. En el símbolo del sistema, escriba:

add lb vserver <name> <vserver name>

Ejemplo:

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

Enlace la directiva de inspección de contenido al servidor virtual de conmutación de contenido o al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Debe vincular el servidor virtual de equilibrio de carga o el servidor virtual de conmutación de contenido de tipo HTTP/SSL a la directiva de inspección de contenido.

En el símbolo del sistema, escriba lo siguiente:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

Ejemplo:

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Caso 2: equilibrio de carga de varios dispositivos IDS

Si utiliza dos o más dispositivos IDS, debe equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido. En este caso, la carga del dispositivo Citrix ADC equilibra los dispositivos además de enviar un subconjunto de tráfico a cada dispositivo. Para ver los pasos de configuración básicos, consulte el caso 1.

Equilibrio de carga de varios dispositivos

Los siguientes son los pasos que debe configurar mediante la interfaz de línea de comandos.

  1. Agregue el perfil de inspección de contenido 1 de tipo MIRROR para el servicio IDS 1
  2. Agregue el perfil de inspección de contenido 2 de tipo MIRROR para el servicio IDS 2
  3. Agregue el servicio IDS 1 de tipo ANY para el dispositivo IDS 1
  4. Agregue el servicio IDS 2 de tipo ANY para el dispositivo IDS 2
  5. Agregue un servidor virtual de equilibrio de carga de tipo ANY
  6. Enlace el servicio IDS 1 al servidor virtual de equilibrio de carga
  7. Enlace el servicio IDS 2 al servidor virtual de equilibrio de carga
  8. Agregue una acción de inspección de contenido para el equilibrio de carga de los dispositivos IDS.
  9. Agregar directiva de inspección de contenido para la inspección
  10. Agregar un servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL
  11. Vincular la directiva de inspección de contenido al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Agregue el perfil de inspección de contenido 1 de tipo MIRROR para el servicio IDS 1

La configuración de IDS se puede especificar en una entidad denominada perfil de inspección de contenido. El perfil tiene una colección de configuraciones del dispositivo. El perfil de inspección de contenido1 se crea para el servicio IDS 1.

En el símbolo del sistema, escriba:

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

Ejemplo:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

Agregue el perfil de inspección de contenido 2 para el tipo MIRROR para el servicio IDS

El perfil de inspección de contenido 2 se agrega para el servicio 2 y el dispositivo en línea se comunica con el dispositivo a través de la interfaz de salida 1/1.

En el símbolo del sistema, escriba:

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

Ejemplo:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

Agregue el servicio IDS 1 de tipo ANY para el dispositivo IDS 1

Después de habilitar la función de inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 1 para que el dispositivo en línea 1 forme parte de la configuración de equilibrio de carga. El servicio que agrega proporciona todos los detalles de configuración en línea.

En el símbolo del sistema, escriba:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

Ejemplo:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

Nota

La dirección IP mencionada en el ejemplo es ficticia.

Agregue el servicio IDS 2 de tipo ANY para el dispositivo IDS 2

Después de habilitar la función de inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 2 para el dispositivo en línea 2. El servicio que agrega proporciona todos los detalles de configuración en línea.

En el símbolo del sistema, escriba:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

Ejemplo:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

Nota

La dirección IP mencionada en el ejemplo es ficticia.

Agregar un servidor virtual de equilibrio de carga

Después de agregar el perfil en línea y los servicios, debe agregar un servidor virtual de equilibrio de carga para equilibrar la carga de los servicios.

En el símbolo del sistema, escriba:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

Ejemplo:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

Enlace el servicio IDS 1 al servidor virtual de equilibrio de carga

Después de agregar el servidor virtual de equilibrio de carga, ahora vincule el servidor virtual de equilibrio de carga al primer servicio.

En el símbolo del sistema, escriba:

bind lb vserver <Vserver_name> <Service_name_1>

Ejemplo:

bind lb vserver lb-IDS_vserver IDS_service1

Enlace el servicio IDS 2 al servidor virtual de equilibrio de carga

Después de agregar el servidor virtual de equilibrio de carga, ahora vincule el servidor al segundo servicio.

En el símbolo del sistema, escriba:

bind lb vserver <Vserver_name> <Service_name_1>

Ejemplo:

bind lb vserver lb-IDS_vserver IDS_service2

Agregar acción de inspección de contenido para el servicio IDS

Después de habilitar la función Inspección de contenido, debe agregar la acción Inspección de contenido para gestionar la información de la solicitud en línea. Según la acción seleccionada, el dispositivo descarta, restablece, bloquea o envía tráfico al dispositivo IDS.

En el símbolo del sistema, escriba:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

Ejemplo:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

Agregar directiva de inspección de contenido para la inspección

Después de crear una acción de inspección de contenido, debe agregar una directiva de inspección de contenido para evaluar las solicitudes de servicio.

En el símbolo del sistema, escriba lo siguiente:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

Ejemplo:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Agregar un servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL

Agregue un servidor virtual de conmutación de contenido o equilibrio de carga para aceptar el tráfico web. También debe habilitar la conexión layer2 en el servidor virtual.

Para obtener más información sobre el equilibrio de cargas, consulte el tema Cómo funciona el equilibrio de cargas.

En el símbolo del sistema, escriba:

add lb vserver <name> <vserver name>

Ejemplo:

add lb vserver http_vserver HTTP 1.1.1.1 8080

Vincular la directiva de inspección de contenido al servidor virtual de equilibrio de carga de tipo HTTP/SSL

Debe vincular el servidor virtual de conmutación de contenido o equilibrio de carga de tipo HTTP/SSL a la directiva de inspección de contenido.

En el símbolo del sistema, escriba lo siguiente:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

Ejemplo:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Configurar la integración de servicios en línea mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Inspección de contenido > Perfiles de inspección de contenido.
  2. En la página Perfil de inspección de contenido, haga clic en Agregar.
  3. En la página Crear perfil de inspección de contenido, defina los siguientes parámetros.
    1. Nombre del perfil. Nombre del perfil de inspección de contenido de IDS.
    2. Tipo. Seleccione los tipos de perfil como MIRROR.
    3. Interfaz de salida. La interfaz a través de la cual se envía el tráfico desde Citrix ADC al dispositivo IDS.
    4. VLAN de salida (opcional). El identificador de VLAN de interfaz a través del cual se envía el tráfico al dispositivo IDS.
  4. Haga clic en Crear.

    Crear perfil de inspección de contenido

  5. Vaya a Administración del tráfico > Equilibrio de carga > Servicios y haga clic en Agregar.
  6. En la página Servicio de equilibrio de carga, introduzca los detalles del servicio de inspección de contenido.
  7. En la sección Configuración avanzada, haga clic en Perfiles.
  8. Vaya a la sección Perfiles y haga clic en el icono de lápiz para agregar el perfil de inspección de contenido.
  9. Haga clic en OK.

    Crear perfil de inspección de contenido

  10. Vaya a Equilibrio de carga > Servidores. Agregue un servidor virtual de tipo HTTP o SSL.
  11. Después de introducir los detalles del servidor, haga clic en Aceptar y de nuevo en Aceptar.
  12. En la sección Configuración avanzada, haga clic en Directivas.
  13. Vaya a la sección Directivas y haga clic en el icono de lápiz para configurar la directiva de inspección de contenido.
  14. En la página Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
  15. En la sección Vinculación de directivas, haga clic en “+” para agregar una directiva de inspección de contenido.
  16. En la página Crear directiva de CI, introduzca un nombre para la directiva de inspección de contenido en línea.
  17. En el campo Acción, haga clic en el signo “+” para crear una acción de inspección de contenido IDS de tipo MIRROR.
  18. En la página Crear acción de CI, defina los siguientes parámetros.

    1. Nombre. Nombre de la directiva en línea de inspección de contenido.
    2. Tipo. Seleccione el tipo como ESPEJO.
    3. Nombre del servidor. Seleccione el nombre del servidor/servicio como dispositivos en línea.
    4. Si el servidor está inactivo. Seleccione una operación si el servidor deja de funcionar.
    5. Solicitud de tiempo de espera. Seleccione un valor de tiempo de espera. Se pueden usar valores predeterminados.
    6. Solicitud de acción de tiempo de espera. Seleccione una acción de tiempo de espera. Se pueden usar valores predeterminados.
  19. Haga clic en Crear.

    Crear acción de inspección de contenido

  20. En la página Crear directiva de CI, introduzca otros detalles.
  21. Haga clic en Aceptar y cerrar.

Para obtener información sobre la configuración de la GUI de Citrix ADC para equilibrar la carga y replicar el tráfico en dispositivos IDS, consulte Equilibrio de carga.

Crear directiva de inspección de contenido

Para obtener información sobre la configuración de la GUI de Citrix ADC para equilibrar la carga y reenviar el tráfico al servidor de origen back-end después de la transformación del contenido, consulte el tema Equilibrio de carga.

Integración de Citrix ADC con dispositivos de seguridad pasivos (sistema de detección de intrusiones)