Citrix Application Delivery Management

Security Insight

November 16, 2022

Contribución de:

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.

Nota

Citrix ADM admite Security Insight y todos los dispositivos ADC se ejecutan en la versión 11.0, compilación 65.31 y versiones posteriores.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. Citrix ADM incluye información sobre seguridad y genera informes periódicamente basados en las configuraciones de seguridad del sistema Application Firewall y ADC. Los informes incluyen la siguiente información para cada aplicación:

Índice de amenazas. Sistema de clasificación de un solo dígito que indica la criticidad de los ataques en la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría del ataque, la ubicación y los detalles del cliente, le brinda información sobre los ataques a la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.
Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que se han configurado las instancias ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

El índice de seguridad tiene en cuenta tanto la configuración del firewall de la aplicación como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen comprobaciones rigurosas del cortafuegos de aplicaciones pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el nsroot usuario, a las aplicaciones se les asigna un valor bajo de índice de seguridad.
Información procesable. La información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras características de seguridad, la velocidad a la que se atacan las aplicaciones.

Configurar información sobre seguridad

Nota

Security Insight solo se admite en instancias ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar información sobre seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones y, a continuación, vincule la directiva de firewall de aplicaciones globalmente.

A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. Al configurar el recopilador, debe especificar la dirección IP del agente Citrix ADM en el que quiere supervisar los informes.

Configure la información de seguridad en una instancia de ADC

Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

 **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]

 **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]

 **add appfw policy** \<name\> \<rule\> \<profileName\>

 **bind appfw global** \<policyName\> \<priority\>

 or,

 **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>

Muestra:

```
add appfw profile pr_appfw -defaults advanced
set  appfw profile pr_appfw -startURLaction log stats learn
add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
bind appfw global pr_appfw_pol 1
or,
bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
<!--NeedCopy--> ```

Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

 **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>

**set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\]

 **add appflow action** \<name\> **-collectors** \<string\>

 **add appflow policy** \<name\> \<rule\> \<action\>

**bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]

 or,

 **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>

Muestra:

```
add appflow collector col -IPAddress 10.102.63.85
set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
add appflow action act1 -collectors col
add appflow action af_action_Sap_10.102.63.85 -collectors col
add appflow policy pol1 true act1
add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
bind appflow global pol1 1 END -type REQ_DEFAULT
or,
bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
<!--NeedCopy--> ```

Habilitar información sobre seguridad de Citrix ADM

Vaya a Infraestructura > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.
Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.
En la ventana Configurar análisis en el servidor virtual :
1. Seleccione los servidores virtuales en los que quiere habilitar la información de seguridad y haga clic en Habilitar análisis.
  
  Aparece la ventana Habilitar análisis.
2. Seleccione Violaciones de seguridad de WAF
3. En Opciones avanzadas, seleccione Logstream o IPFIX como modo de transporte
  
  Nota
  
  Para Citrix ADC 12.0 o anterior, IPFIX es la opción predeterminada para el modo de transporte. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.
  
  Para obtener más información sobre IPFIX y Logstream, consulte Introducción a Logstream.
4. La expresión es verdadera por defecto
5. Haga clic en OK.
  Nota
  - Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y, a continuación, habilita el análisis.
  - Para las particiones de administración, solo se admite Web Insight

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Habilitar análisis

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configuración de grupos en Citrix ADM.

Configurar ubicaciones geográficas para informes de información sobre seguridad

Si configura ubicaciones geográficas en Citrix ADM, los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Para habilitar las ubicaciones geográficas, especifique un bloque de IP privado o un rango de direcciones IP para cada ubicación geográfica de su organización. Agregue esa información en el archivo de base de datos geográfica, junto con el nombre de la ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación. Póngase en contacto con su representante de Citrix para obtener el archivo de base de datos geográfica y, a continuación, cárguelo a la instancia de ADC.

Para configurar ubicaciones geográficas:

Copie el archivo de base de datos geográfica, Citrix_Netscaler_InBuilt_GeoIP_DB.csv, a cualquier ubicación del dispositivo ADC.
Abra el archivo de base de datos geográfica con un editor de texto, como el editor vi, y agregue una entrada para cada ubicación de su organización.

La entrada debe tener el siguiente formato:

<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

Por ejemplo:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:
- agregar archivo de ubicación <Complete path with DB file>
- establecer la configuración de appfw -GeolocationLogging ON
- establecer la configuración de appfw -CEFLogging ON

Reputación de IP

Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP del tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.

Para obtener información sobre cómo configurar y usar la reputación IP, consulte Reputación IP.

Supervisar la reputación IP

La función Reputación de IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.

La puntuación de reputación IP indica el riesgo asociado a una dirección IP. La puntuación tiene los siguientes rangos:

Puntuación de reputación IP	Nivel de riesgo
1–20	Alto riesgo
21–40	Suspi
41–60	Riesgo moderado
61–80	Riesgo bajo
81–100	Confiable

Para supervisar la reputación IP:

Vaya a Seguridad > Violacionesde seguridad y, en WAF, seleccione la aplicación que quiere supervisar.
Se muestran las puntuaciones del Índice de amenazasy del Índice de seguridad. Haga clic enVer detalles.
En Configuración de Firewall de aplicaciones, puede ver la puntuación del índice de seguridad de reputación IP.

Umbrales

Puede establecer y ver los umbrales del índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral:

Vaya a Configuración > Configuración de análisis > Umbralesy seleccione Agregar.
Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información requerida en los demás campos apropiados, como el nombre, la duración y la entidad.
En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.

Por ejemplo, «Índice de amenazas» «>» «5”
Haga clic en Crear.

Casos de uso de información sobre seguridad

En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtenga una visión general del entorno de amenazas

En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado Citrix ADM para supervisar el entorno de amenazas. Debe revisar el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que puedan haber experimentado las aplicaciones para centrarse primero en las aplicaciones críticas. El panel de Security Insight proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo de su elección y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Seguridad > Infracción de seguridad y, en WAF, se muestran las cinco aplicaciones principales según el total de infracciones afectadas. Para ver todas las aplicaciones, puede hacer clic en Ver todas.

Aplicaciones WAF

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen de la aplicación.

El resumen proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:

Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
Seguridad del sistema Citrix ADM. Muestra cuántas opciones de seguridad del sistema no están configuradas.

En el nodo Configuración de Firewall de aplicaciones, revise la comprobación de seguridad y la información de infracción de seguridad.

Configuración del firewall de aplicaciones

Haga clic en el nodo Citrix ADM System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son las aplicaciones que tienen un alto índice de amenazas y un índice de seguridad bajo.

Determinar el número de ataques en un tiempo dado

Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.

En WAF, haga clic en cualquier aplicación para ver el total de infracciones WAF detectadas durante la duración seleccionada.

Seleccionar duración

Haga clic en Registros para ver los detalles de los ataques basados en la gravedad y las medidas adoptadas. La página de registros proporciona los siguientes detalles:

Tiempo de ataque
Dirección IP del cliente desde el que se produjo el ataque
Gravedad
Categoría de infracción
URL desde la que se originó el ataque y otros detalles.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Citrix solo tiene traducción automática. Citrix no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Citrix se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Citrix, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Citrix no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Security Insight

November 16, 2022

Contribución de:

November 16, 2022

Contribución de:

En este artículo

Cómo funciona Security Insight
Configurar información sobre seguridad
Configurar ubicaciones geográficas para informes de información sobre seguridad
Reputación de IP
Umbrales
Casos de uso de información sobre seguridad

¿Le ha resultado útil?