Citrix Application Delivery Management

Security Insight

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.

Nota

Security Insight es compatible con Citrix Application Delivery Management (ADM) con todos los dispositivos ADC que se ejecutan en la versión 11.0 Build 65.31 y versiones posteriores.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. Security Insight se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema de Application Firewall y ADC. Los informes incluyen la siguiente información para cada aplicación:

  • Índice de amenaza. Sistema de clasificación de un solo dígito que indica la criticidad de los ataques en la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

    El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, le proporciona información sobre los ataques en la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.

  • Índice de seguridad Sistema de clasificación de un solo dígito que indica la seguridad con que ha configurado las instancias ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

    El índice de seguridad tiene en cuenta tanto la configuración del firewall de la aplicación como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen comprobaciones rigurosas del cortafuegos de aplicaciones pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el nsroot usuario, a las aplicaciones se les asigna un valor bajo de índice de seguridad.

  • Información procesable. La información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras características de seguridad, la velocidad a la que se atacan las aplicaciones.

Configurar información sobre seguridad

Nota

Security Insight solo se admite en instancias ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar información sobre seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones y, a continuación, vincule la directiva de firewall de aplicaciones globalmente.

A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. Al configurar el recopilador, debe especificar la dirección IP del agente de servicio Citrix ADM en el que quiere supervisar los informes.

Configurar Security Insight en una instancia ADC

  1. Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

     **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]
    
     **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]
    
     **add appfw policy** \<name\> \<rule\> \<profileName\>
    
     **bind appfw global** \<policyName\> \<priority\>
    
     O bien:
    
     **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Ejemplo:

    ```
    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    O bien:
    bind lb vserver Outlook —PolicyName pr_appfw_pol —prioridad «20"
    ```
    
  2. Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

     **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>
    
    **set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED o DISABLED )\]
    
     **add appflow action** \<name\> **-collectors** \<string\>
    
     **add appflow policy** \<name\> \<rule\> \<action\>
    
    **bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]
    
     O bien:
    
     **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Ejemplo:

    ```
    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    O bien:
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
    ```
    

Habilitar información sobre seguridad de Citrix ADM

  1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar Analytics.

  3. En la ventana Configurar análisis en servidor virtual :

    1. Seleccione los servidores virtuales que quiere habilitar Security Insight y haga clic en Habilitar análisis.

      Aparece la ventana Habilitar análisis.

    2. Seleccionar Security Insight

    3. En Opciones avanzadas, seleccione Logstreamo IPFIXcomo Modo de transporte

      Nota

      Para Citrix ADC 12.0 o versiones anteriores, IPFIX es la opción predeterminada para el modo de transporte. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información acerca de IPFIX y Logstream, consulte Visión general de Logstream.

    4. La expresión es verdadera por defecto

    5. Haga clic en OK.

      Enable

      Nota

          -  Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero concede licencias a esos servidores virtuales y, a continuación, habilita el análisis
      
          -  Para particiones de administración, solo se admite **Web Insight**
      

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Habilitar análisis

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configuración de grupos en Citrix ADM.

Configurar ubicaciones geográficas para informes de información sobre seguridad

Si configura ubicaciones geográficas en Citrix ADM, los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Para habilitar ubicaciones geográficas, especifique un bloque IP privado o un rango de direcciones IP para cada ubicación geográfica de la organización. Agregue esa información en el archivo de la base de datos geográfica, junto con el nombre de ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación. Póngase en contacto con su representante de Citrix para obtener el archivo de base de datos geográfica y, a continuación, cargue el archivo en la instancia ADC.

Para configurar ubicaciones geográficas:

  1. Copie el archivo de base de datos geográfica, Citrix_NetScaler_InBuilt_Geoip_DB.csv, en cualquier ubicación del dispositivo ADC.

  2. Abra el archivo de base de datos geográfica con un editor de texto, como vi editor, y agregue una entrada para cada ubicación de su organización.

    La entrada debe tener el siguiente formato:

    <start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

    Por ejemplo:

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:

    • add locationFile <Complete path with DB file>
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

Reputación de IP

Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP del tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.

Para obtener más información sobre cómo configurar y utilizar Reputación IP, consulte Reputación de IP.

Supervisar la reputación IP

La función Reputación IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.

La puntuación de reputación IP indica el riesgo asociado a una dirección IP. La puntuación tiene los siguientes rangos:

Puntuación de reputación IP Nivel de riesgo
1–20 Alto riesgo
21–40 Sospecha
41–60 Riesgo moderado
61–80 Riesgo bajo
81–100 De confianza

Para supervisar la reputación IP:

  1. Vaya a Analytics > Seguridad > Violacionesde seguridad y, en WAF, seleccione la aplicación que desea supervisar.

  2. Se muestran las puntuaciones del Índice de amenazasy del Índice de seguridad. Haga clic enVer detalles.

  3. En Configuración de Firewall de aplicaciones, puede ver la puntuación del índice de seguridad de reputación IP.

Umbrales

Puede establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral:

  1. Vaya a Sistema > Configuración de Analytics > Umbrales y seleccione Agregar.

  2. Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información necesaria en los otros campos apropiados, como Nombre, Duración y Entidad.

  3. En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.

    Por ejemplo, “Threat Index” “>” “5”

  4. Haga clic en Crear.

Para ver las infracciones de umbral:

  1. Vaya a Analytics > Security Insight > Dispositivos y seleccione la instancia ADC.

  2. En la sección Aplicación, puede ver el número de brechas de umbral ocurridas para cada servidor virtual en la columna Infracción de umbral.

Casos de uso de información sobre seguridad

En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado Citrix ADM para supervisar el entorno de amenazas. Debe revisar el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que puedan haber experimentado las aplicaciones para centrarse primero en las aplicaciones críticas. El panel de Security Insight proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo de su elección y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Seguridad > Violación de seguridad y en WAF, las cinco aplicaciones principales se muestran en función del total de infracciones afectadas. Para ver todas las aplicaciones, puede hacer clic en Ver todas.

Aplicaciones WAF

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen de la aplicación.

El resumen proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:

  • Configuración de Firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
  • Seguridad del sistema Citrix ADM. Muestra cuántas opciones de seguridad del sistema no están configuradas.

    Configuración de seguridad

En el nodo Configuración de Firewall de aplicaciones, revise la comprobación de seguridad y la información de infracción de seguridad.

Configuración del firewall de aplicaciones

Haga clic en el nodo Citrix ADM System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son las aplicaciones que tienen un alto índice de amenazas y un índice de seguridad bajo.

Determinar el número de ataques en un tiempo dado

Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.

En WAF, haga clic en cualquier aplicación para ver el total de infracciones WAF detectadas durante la duración seleccionada.

Seleccionar duración

Haga clic en Registros para ver los detalles de los ataques basados en la gravedad y las medidas adoptadas. La página de registros proporciona los siguientes detalles:

  • Tiempo de ataque

  • Dirección IP del cliente desde el que se produjo el ataque

  • Gravedad

  • Categoría de violación

  • URL desde la que se originó el ataque y otros detalles.