Security Insight

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.

Nota

Security Insight es compatible con Citrix Application Delivery Management (ADM) con todos los dispositivos ADC que se ejecutan en la versión 11.0 Build 65.31 y versiones posteriores.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. Security Insight se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema de Application Firewall y ADC. Los informes incluyen la siguiente información para cada aplicación:

  • Índice de amenazas. Sistema de clasificación de un solo dígito que indica la importancia de los ataques a la aplicación, independientemente de si la aplicación está protegida o no por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

    El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, le proporciona información sobre los ataques en la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Un gran número de infracciones y vulnerabilidades conducen a un alto valor de índice de amenazas.

  • Índice de seguridad. Sistema de clasificación de un solo dígito que indica la seguridad con que ha configurado las instancias ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

    El índice de seguridad tiene en cuenta tanto la configuración del firewall de la aplicación como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen rigurosas comprobaciones de firewall de aplicaciones pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el usuario nsroot, se asigna a las aplicaciones un valor de índice de seguridad bajo.

  • Información procesable. Información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la velocidad a la que se están atacando las aplicaciones, etc.

Configuración de Security Insight

Nota

Security Insight solo se admite en instancias ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar Security Insight en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones y, a continuación, vincule la directiva de firewall de aplicaciones globalmente.

A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. Al configurar el recopilador, debe especificar la dirección IP del agente de servicio Citrix ADM en el que quiere supervisar los informes.

Configurar Security Insight en una instancia ADC

  1. Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

     **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]
    
     **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]
    
     **add appfw policy** \<name\> \<rule\> \<profileName\>
    
     **bind appfw global** \<policyName\> \<priority\>
    
     O bien:
    
     **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Ejemplo:

        add appfw profile pr_appfw -defaults advanced
        set  appfw profile pr_appfw -startURLaction log stats learn
        add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
        bind appfw global pr_appfw_pol 1
        or,
        bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
    
  2. Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

     **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>
    
    **set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED o DISABLED )\]
    
     **add appflow action** \<name\> **-collectors** \<string\>
    
     **add appflow policy** \<name\> \<rule\> \<action\>
    
    **bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]
    
     O bien:
    
     **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Ejemplo:

        add appflow collector col -IPAddress 10.102.63.85
        set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
        add appflow action act1 -collectors col
        add appflow action af_action_Sap_10.102.63.85 -collectors col
        add appflow policy pol1 true act1
        add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
        bind appflow global pol1 1 END -type REQ_DEFAULT
        or,
        bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
    

Habilitar Security Insight desde Citrix ADM

  1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar Analytics.

  3. En la ventana Configurar análisis en servidor virtual :

    1. Seleccione los servidores virtuales que quiere habilitar Security Insight y haga clic en Habilitar análisis.

      Aparece la ventana Habilitar análisis.

    2. Seleccionar Security Insight

    3. En Opciones avanzadas, seleccione Logstreamo IPFIXcomo Modo de transporte

      Nota

      Para Citrix ADC 12.0 o versiones anteriores, IPFIX es la opción predeterminada para el modo Transaport. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información acerca de IPFIX y Logstream, consulte Visión general de Logstream.

    4. La expresión es verdadera por defecto

    5. Haga clic en OK.

      Imagen localizada

      Nota

      • Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero concede licencias a esos servidores virtuales y, a continuación, habilita el análisis

      • Para particiones de administración, solo se admite Web Insight

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Imagen localizada

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configuración de grupos en Citrix ADM.

Configuración de ubicaciones geográficas para informes de Security Insight

Si configura ubicaciones geográficas en Citrix ADM, los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Para habilitar ubicaciones geográficas, especifique un bloque IP privado o un rango de direcciones IP para cada ubicación geográfica de la organización. Agregue esa información en el archivo de la base de datos geográfica, junto con el nombre de ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación. Póngase en contacto con su representante de Citrix para obtener el archivo de base de datos geográfica y, a continuación, cargue el archivo en la instancia ADC.

Para configurar ubicaciones geográficas:

  1. Copie el archivo de base de datos geográfica, Citrix_NetScaler_InBuilt_Geoip_DB.csv, en cualquier ubicación del dispositivo ADC.
  2. Abra el archivo de base de datos geográfica con un editor de texto, como vi editor, y agregue una entrada para cada ubicación de su organización.

    La entrada debe tener el siguiente formato:

    <start IP>,<end IP>,,<country>,<state>,,<city>,,longitude,latitude

    Por ejemplo:

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:

    • add locationFile <Complete path with DB file>
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

Reputación IP

Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP de su tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.

Para obtener información sobre la configuración y el uso de la Reputación IP, consulte Reputación IP.

Supervisión de la reputación IP

La función Reputación IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.

La puntuación de reputación IP indica el riesgo asociado con una dirección IP. La puntuación tiene los siguientes rangos son:

Puntuación de reputación IP Nivel de riesgo
1-20 Alto riesgo
21 – 40 Sospecha
41 – 60 Riesgo moderado
61 – 80 Riesgo bajo
81 – 100 De confianza

Para supervisar la reputación IP:

  1. Vaya a Analytics > Security Insight y seleccione la aplicación que quiere supervisar.

  2. En la ficha Índice de amenazas, seleccione Reputación IP.

    Imagen localizada

  3. Seleccione una gravedad para mostrar más detalles de los ataques que estaban en ese nivel. Puede hacer clic en el gráfico de barras o en la tabla debajo del gráfico.

  4. Seleccione el período de tiempo para el que quiere ver los detalles. Puede utilizar el control deslizante de tiempo para personalizar aún más el período seleccionado. A continuación, haga clic en Ir.

    Imagen localizada

  5. Para personalizar la pantalla, haga clic en el botón de configuración.

    Imagen localizada

Umbrales

Puede establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral:

  1. Vaya a Sistema > Configuración de Analytics > Umbrales y seleccione Agregar.

  2. Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información necesaria en los otros campos apropiados, como Nombre, Duración y Entidad.

  3. En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.

    Por ejemplo, “Threat Index” “>” “5”

  4. Haga clic en Crear.

Para ver las infracciones de umbral:

  1. Vaya a Analytics > Security Insight > Dispositivos y seleccione la instancia ADC.

  2. En la sección Aplicación, puede ver el número de brechas de umbral ocurridas para cada servidor virtual en la columna Infracción de umbral.

Casos de uso de Security Insight

En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado Citrix ADM para supervisar el entorno de amenazas. Debe revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber experimentado, de modo que pueda centrarse primero en las aplicaciones que necesitan más atención. El panel de Security Insight proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo de su elección y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Por ejemplo, es posible que esté supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y que quiera revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.

Imagen localizada

Para ver información de un período de tiempo diferente, seleccione un período de tiempo en el menú desplegable situado en la parte superior izquierda.

Imagen localizada

Para ver un resumen de una instancia de ADC diferente, en Dispositivos, haga clic en la dirección IP de la instancia de ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Después de revisar un resumen del entorno de amenazas en el panel de Security Insight para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo, quiere determinar su exposición a amenazas antes de decidir cómo protegerlas. Es decir, quiere determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Puede determinar la exposición a amenazas de una aplicación revisando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y quiere saber qué factores contribuyen a este índice de amenazas alto.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel Security Insight, haga clic en Outlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

Imagen localizada

Haga clic en Índice de amenazas > Violaciones de comprobación de seguridad y revise la información de infracción que aparece.

Imagen localizada

Haga clic en Violaciones de firma y revise la información de infracción que aparece.

Imagen localizada

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:

  • Configuración del cortafuegos de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
  • Seguridad del sistema Citrix ADM. Muestra cuántas opciones de seguridad del sistema no están configuradas.

Imagen localizada

En el caso de uso anterior, revisó la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, quiere saber qué configuraciones de seguridad existen para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En el panel Security Insight, haga clic en Outlook y, a continuación, haga clic en la ficha Índice de seguridad. Revise la información proporcionada en el área Resumen del índice de seguridad.

Imagen localizada

En el nodo Configuración del cortafuegos de aplicaciones, haga clic en Outlook_Profile y revise la información de comprobación de seguridad y violación de firmas en los gráficos circulares.

Imagen localizada

Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.

Imagen localizada

Haga clic en el nodo Citrix ADM System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son aquellas que tienen un alto índice de amenazas y un bajo índice de seguridad.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que tenga que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

Imagen localizada

Imagen localizada

Determinar el número de ataques en un período de tiempo determinado

Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de la aplicación, haga clic en el número de infracciones. La página Total de Violaciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.

Imagen localizada

La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:

  • Tiempo de ataque

  • Dirección IP del cliente desde el que se produjo el ataque

  • Gravedad

  • Categoría de violación

  • URL desde la que se originó el ataque y otros detalles.

Imagen localizada

Aunque siempre puede ver la hora del ataque en un informe por hora como se ve en la imagen anterior, ahora puede ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si selecciona “1 día” en la lista de períodos de tiempo, el informe Security Insight muestra todos los ataques agregados y el tiempo de ataque se muestra en un intervalo de una hora. Si elige “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.

Imagen localizada

Obtener información detallada sobre infracciones de seguridad

Es posible que quiera ver una lista de los ataques en una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, puede que quiera determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel Security Insight, haga clic en Lync > Total de violaciones. En la tabla, haga clic en el icono de filtro en el encabezado de columna Acción tomada y, a continuación, seleccione Bloqueado.

Imagen localizada

Para obtener información acerca de los recursos solicitados, revise la columna URL. Para obtener información acerca de los orígenes de los ataques, revise la columna IP del cliente.

Ver detalles de expresiones de registro

Las instancias Citrix ADC utilizan expresiones de registro configuradas con el perfil de Firewall de aplicaciones para realizar acciones en caso de ataques a una aplicación de su empresa. En Security Insight, puede ver los valores devueltos para las expresiones de registro utilizadas por la instancia ADC. Estos valores incluyen, encabezado de solicitud, cuerpo de solicitud, etc. Además de los valores de expresión de registro, también puede ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Firewall de aplicaciones que la instancia de ADC utilizó para realizar acciones para el ataque.

Requisitos previos:

Asegúrese de que:

  • Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, vea Firewall de aplicaciones.
  • Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:
    1. Vaya a Analytics > Configuracióny haga clic en Habilitar funciones para Analytics.
    2. En la página Habilitar función para análisis, seleccione Habilitar Security Insight en la sección Configuración de Security Insight basada en expresiones de registro y haga clic en Aceptar.

Imagen localizada

Por ejemplo, es posible que quiera ver los valores de la expresión de registro devuelta por la instancia de ADC para la acción realizada para un ataque a Microsoft Lync en su empresa.

En el panel de control de Security Insight, vaya a Lync > Total de violaciones. En la tabla Resumen de aplicación, haga clic en la dirección URL para ver los detalles completos de la infracción en la página Información de infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.

Imagen localizada

Determinar el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad se producen después de implementar la configuración de seguridad en una instancia de ADC, pero es posible que quiera evaluar la eficacia de la configuración de seguridad antes de implementarla.

Por ejemplo, puede que quiera evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia ADC con la dirección IP 10.102.60.27.

En el panel Security Insight, en Dispositivos, haga clic en la dirección IP de la instancia ADC que configuró. Puede ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y el tipo de ataques en la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Imagen localizada

Haga clic en Sap > Índice de seguridad > SAP_profile y evalúe la información del índice de seguridad que aparece.

Imagen localizada

En el resumen del firewall de la aplicación, puede ver el estado de configuración de diferentes configuraciones de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.

Imagen localizada