Citrix Application Delivery Management

Security Insight

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones contra ataques, debe tener visibilidad de las amenazas, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.

Nota

Security Insight es compatible con Citrix Application Delivery Management (ADM) con dispositivos Citrix ADC que se ejecutan en la versión 11.0 Build 65.31 y versiones posteriores.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. La información de seguridad se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema Application Firewall y Citrix ADC. Los informes incluyen la siguiente información para cada aplicación:

  • Índice de amenaza. Sistema de clasificación de un solo dígito que indica la importancia de los ataques en la aplicación, independientemente de si la aplicación está protegida o no por un dispositivo Citrix ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

    El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, le proporciona información sobre los ataques en la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Un gran número de infracciones y vulnerabilidades conducen a un alto valor de índice de amenazas.

  • Índice de seguridad Sistema de clasificación de un solo dígito que indica con qué seguridad ha configurado las instancias Citrix ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

    El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema Citrix ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen rigurosas comprobaciones de firewall de aplicaciones pero no se han adoptado medidas de seguridad del sistema Citrix ADC, como una contraseña segura para el usuario nsroot, se asigna a las aplicaciones un valor de índice de seguridad bajo.

  • Información procesable. Información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la velocidad a la que se están atacando las aplicaciones, etc.

Configurar Security Insight

Citrix ADM admite Security Insight de todas las instancias de Citrix ADC que tienen un firewall de aplicaciones configurado en ellas.

Para configurar información de seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones. Aunque puede enlazar globalmente la directiva de firewall de aplicaciones, Citrix recomienda que la directiva esté enlazada al servidor virtual.

Para ver los análisis en Citrix ADM, habilite la función AppFlow en la instancia, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. También aquí, aunque puede enlazar globalmente la directiva de firewall de aplicaciones, Citrix recomienda que la directiva esté enlazada al servidor virtual. Citrix también recomienda usar Citrix ADM para implementar configuraciones de AppFlow en las instancias de ADC. Al configurar el recopilador, debe especificar la dirección IP del servidor Citrix ADM en el que quiere supervisar los informes.

Para configurar información de seguridad en una instancia de Citrix ADC:

  1. Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

    add appfw profile <name> [-defaults ( basic | avanzado)]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    O bien:

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    O bien:

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

Para habilitar AppFlow desde Citrix ADM:

  1. En un explorador web, escriba la dirección IP de Citrix ADM (por ejemplo, http://192.168.100.1).

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador.

  3. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar AppFlow.

  4. En la lista Seleccionar acción, seleccione Configurar análisis.

  5. Seleccione los servidores virtuales y haga clic en Habilitar AppFlow.

  6. En el campo Habilitar AppFlow, escriba true y seleccione Security Insight.

  7. Haga clic en Aceptar.

    Habilitar AppFlow

Ver ubicaciones geográficas para los informes de Security Insight

Los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Puede ver las ubicaciones geográficas en Citrix ADM. El archivo de base de datos geográfica incorporado en Citrix ADC contiene la mayoría de las direcciones IP públicas. El archivo está disponible en la ubicación /var/netscaler/inbuilt_db en Citrix ADC.

Para habilitar ubicaciones geográficas:

Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:

  • agregar archivoUbicación <Complete path with the DB filename>

  • establecer la configuración de appfw -GeolocationLogging ON

  • establecer la configuración de appfw -Ceflogging ON

Si no hay ninguna dirección IP disponible en el archivo de base de datos geográfica, puede agregar la dirección IP para la ubicación geográfica. Junto con la dirección IP, también puede agregar un nombre de ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación.

Abra el archivo de base de datos geográfica con un editor de texto, como vi editor, y agregue una entrada para cada ubicación.

La entrada debe tener el siguiente formato:

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

Por ejemplo:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

Reputación de IP

Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP de su tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.

Para obtener información sobre la configuración y el uso de la Reputación de IP, consulte Reputación de IP.

Supervisar la reputación IP

La función Reputación de IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.

La puntuación de reputación IP indica el riesgo asociado con una dirección IP. La puntuación tiene los siguientes rangos son:

Puntuación de reputación IP Nivel de riesgo
1–20 Alto riesgo
21–40 Sospecha
41–60 Riesgo moderado
61–80 Riesgo bajo
81–100 De confianza

Para supervisar la reputación IP:

  1. Vaya a Analytics> Security Insight y seleccione la aplicación que quiere supervisar.

  2. En la ficha Índice de amenazas, seleccione Reputación de IP.

    Reputación de IP

  3. Seleccione una gravedad para mostrar más detalles de los ataques que estaban en ese nivel. Puede hacer clic en el gráfico de barras o en la tabla debajo del gráfico.

  4. Seleccione el período de tiempo para el que quiere ver los detalles. Puede utilizar el control deslizante de tiempo para personalizar aún más el período seleccionado. A continuación, haga clic en Ir.

    Reputación de IP1

  5. Para personalizar la pantalla, haga clic en el botón de configuración.

    Reputación de IP2

Umbrales

Puede establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral:

  1. Vaya a Analytics > Configuración > Umbrales y seleccione Agregar.

  2. Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información necesaria en los otros campos apropiados, como Nombre, Duración y Entidad.

  3. En la sección Configurar regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.

    Por ejemplo, “Threat Index” “>” “5”

  4. En Configuración de notificaciones, seleccione el tipo de notificación.

  5. Haga clic en Crear.

Para ver las infracciones de umbral:

  1. Vaya a Analytics > Security Insight > Dispositivos y seleccione la instancia de Citrix ADC.

  2. En la sección Aplicación, puede ver el número de brechas de umbral ocurridas para cada servidor virtual en la columna Infracción de umbral.

Casos de uso de Security Insight

En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado Citrix ADM para supervisar el entorno de amenazas. Debe revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que pueden haber experimentado las aplicaciones. Esta revisión le permite centrarse primero en las aplicaciones que necesitan más atención. El panel de información de seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo que elija y para un dispositivo Citrix ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Por ejemplo, es posible que esté supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y que quiera revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.

Entorno de amenazas

Para ver información de un período de tiempo diferente, seleccione un período de tiempo en la lista situada en la parte superior izquierda.

Valor de diferencia

Para ver un resumen de otra instancia de Citrix ADC, en Dispositivos, haga clic en la dirección IP de la instancia de Citrix ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo en el panel de seguridad de Security Insight, quiere determinar la exposición a amenazas antes de decidir protegerlas. Es decir, quiere determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Puede determinar la exposición a amenazas de una aplicación revisando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y quiere saber qué factores contribuyen a este índice de amenazas alto.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel Security Insight, haga clic en Outlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

Exposición de aplicaciones

Haga clic en Índice de amenazas > Infracciones de comprobación de seguridad y revise la información de infracción que aparece.

Verificación de seguridad

Haga clic en Infracciones de firma y revise la información de infracción que aparece.

Infracciones de firma

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:

  • Configuración de Firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
  • Seguridad del sistema NetScaler. Muestra cuántas opciones de seguridad del sistema no están configuradas.

Seguridad del sistema

En el caso de uso anterior, revisó la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, quiere saber qué configuraciones de seguridad existen para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En el panel Security Insight, haga clic en Outlook y, a continuación, haga clic en la ficha Índice de seguridad. Revise la información proporcionada en el área Resumen del índice de seguridad.

Índice de seguridad

En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información de comprobación de seguridad y infracción de firmas en los gráficos circulares.

Perfil de Outlook

Gráfico de configuración

Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.

Estado de configuración

Haga clic en el nodo NetScaler System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son aquellas que tienen un alto índice de amenazas y un bajo índice de seguridad.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que tenga que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

Atención

Determine el número de ataques en un período de tiempo determinado

Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de la aplicación, haga clic en el número de infracciones. La página Total de Infracciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.

Ataques

La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:

  • Tiempo de ataque

  • Dirección IP del cliente desde el que se produjo el ataque

  • Gravedad

  • Categoría de infracción

  • URL desde la que se originó el ataque y otros detalles.

Attacks1

Aunque siempre puede ver la hora del ataque en un informe por hora como se ve en la imagen, ahora puede ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si selecciona “1 día” en la lista de períodos de tiempo, el informe Security Insight muestra todos los ataques agregados y el tiempo de ataque se muestra en un intervalo de una hora. Si elige “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.

Attacks2

Obtener información detallada sobre infracciones de seguridad

Es posible que quiera ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia Citrix ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, puede que quiera determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel Security Insight, haga clic en Lync > Total de infracciones. En la tabla, haga clic en el icono de filtro en el encabezado de columna Acción tomada y, a continuación, seleccione Bloqueado.

Infracción de seguridad

Para obtener información acerca de los recursos solicitados, revise la columna URL. Para obtener información acerca de los orígenes de los ataques, revise la columna IP del cliente.

Ver detalles de expresiones de registro

Las instancias Citrix ADC utilizan expresiones de registro configuradas con el perfil de Firewall de aplicaciones para realizar acciones en caso de ataques a una aplicación de su empresa. En Security Insight, puede ver los valores devueltos para las expresiones de registro utilizadas por la instancia de Citrix ADC. Estos valores incluyen encabezado de solicitud, cuerpo de solicitud, etc. Además de los valores de expresión de registro, también puede ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Application Firewall que la instancia de Citrix ADC utilizó para realizar acciones para el ataque.

Requisitos previos

Asegúrese de que:

  • Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

  • Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:

    1. Vaya a Analytics > Configuración y haga clic en Habilitar funciones para Analytics.

    2. En la página Habilitar función para análisis, seleccione Habilitar Security Insight en la sección Configuración de información de seguridad basada en expresiones de registro y haga clic en Aceptar.

    Expresión de registro

Por ejemplo, es posible que quiera ver los valores de la expresión de registro devuelta por la instancia Citrix ADC para la acción que tomó para un ataque a Microsoft Lync en su empresa.

En el panel de control de Security Insight, vaya a Lync > Total de infracciones. En la tabla Resumen de la aplicación, haga clic en la dirección URL para ver los detalles completos de la infracción en la página Información de infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de Citrix ADC para la acción.

Valores de expresión de registro

Determinar el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad se producen después de implementar la configuración de seguridad en una instancia de Citrix ADC, pero es posible que quiera evaluar la eficacia de la configuración de seguridad antes de implementarla.

Por ejemplo, puede que quiera evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia Citrix ADC con la dirección IP 10.102.60.27.

En el panel Security Insight, en Dispositivos, haga clic en la dirección IP de la instancia de Citrix ADC que configuró. Puede ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y el tipo de ataques en la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Implementar configuración

Haga clic en Sap > Índice de seguridad > SAP_profile y evalúe la información del índice de seguridad que aparece.

SAP

En el resumen del firewall de la aplicación, puede ver el estado de configuración de diferentes configuraciones de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.

Firewall

Security Insight