Citrix Application Delivery Management

Security Insight

Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.

Nota

Security Insight es compatible con Citrix Application Delivery Management (ADM) con dispositivos Citrix ADC que se ejecutan en la versión 11.0 Build 65.31 y versiones posteriores.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. La información de seguridad se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema Application Firewall y Citrix ADC. Los informes incluyen la siguiente información para cada aplicación:

  • Índice de amenazas. Sistema de clasificación de un solo dígito que indica la importancia de los ataques en la aplicación, independientemente de si la aplicación está protegida o no por un dispositivo Citrix ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

    El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, le proporciona información sobre los ataques en la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Un gran número de infracciones y vulnerabilidades conducen a un alto valor de índice de amenazas.

  • Índice de seguridad. Sistema de clasificación de un solo dígito que indica con qué seguridad ha configurado las instancias Citrix ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

    El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema Citrix ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si existen rigurosas comprobaciones de firewall de aplicaciones pero no se han adoptado medidas de seguridad del sistema Citrix ADC, como una contraseña segura para el usuario nsroot, se asigna a las aplicaciones un valor de índice de seguridad bajo.

  • Información procesable. Información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la velocidad a la que se están atacando las aplicaciones, etc.

Configurar Security Insight

Citrix ADM admite Security Insight de todas las instancias de Citrix ADC que tienen un firewall de aplicaciones configurado en ellas.

Para configurar información de seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones. Aunque puede enlazar globalmente la directiva de firewall de aplicaciones, Citrix recomienda que la directiva esté enlazada al servidor virtual.

Para ver los análisis en Citrix ADM, habilite la función AppFlow en la instancia, configure un recopilador, una acción y una directiva de AppFlow y vincule la directiva globalmente. También aquí, aunque puede enlazar globalmente la directiva de firewall de aplicaciones, Citrix recomienda que la directiva esté enlazada al servidor virtual. Citrix también recomienda usar Citrix ADM para implementar configuraciones de AppFlow en las instancias de ADC. Al configurar el recopilador, debe especificar la dirección IP del servidor Citrix ADM en el que quiere supervisar los informes.

Para configurar información de seguridad en una instancia de Citrix ADC:

  1. Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

    add appfw profile <name> [-defaults ( basic | avanzado)]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    O bien:

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    
  2. Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    O bien:

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    

Para habilitar Security Insight desde Citrix ADM:

Si su Citrix ADM es 13.0 Build 41.x:

  1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la lista Seleccionar acción, haga clic en Configurar análisis.

  3. En la página Configurar análisis en servidores virtuales, seleccione el servidor virtual y haga clic en Habilitar análisis.

  4. En la ventana Habilitar análisis:

    1. Seleccionar Security Insight

    2. Seleccione Logstream como modo de transporte

      Nota

      Para Citrix ADC 12.0 o versiones anteriores, IPFIX es la opción predeterminada para el modo Transaport. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información acerca de IPFIX y Logstream, consulte Visión general de Logstream.

    3. La expresión es verdadera por defecto

    4. Haga clic en Aceptar.

      Habilitar análisis

      Nota

      • Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero concede licencias a esos servidores virtuales y, a continuación, habilita el análisis

      • Para particiones de administración, solo se admite Web Insight

      • Para servidores virtuales como Redirección de caché, Autenticación y GSLB, no puede habilitar el análisis. Aparece un mensaje de error.

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Análisis de procesamiento

Si su Citrix ADM es 13.0 Build 36.27:

  1. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC que quiere habilitar AppFlow.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

  3. Seleccione los servidores virtuales y haga clic en Habilitar AppFlow.

  4. En el campo Habilitar AppFlow, escriba true y seleccione Security Insight.

  5. Haga clic en Ok.

    Imagen localizada

    Nota

    Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.

Ver ubicaciones geográficas para los informes de Security Insight

Los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Puede ver las ubicaciones geográficas en Citrix ADM. El archivo de base de datos geográfica incorporado en Citrix ADC contiene la mayoría de las direcciones IP públicas. El archivo está disponible en la ubicación /var/netscaler/inbuilt_db en Citrix ADC.

Para habilitar ubicaciones geográficas:

Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:

  • agregar archivoUbicación <Complete path with the DB filename>

  • establecer la configuración de appfw -GeolocationLogging ON

  • establecer la configuración de appfw -Ceflogging ON

Si no hay ninguna dirección IP disponible en el archivo de base de datos geográfica, puede agregar la dirección IP para la ubicación geográfica. Junto con la dirección IP, también puede agregar el nombre de ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación.

Abra el archivo de base de datos geográfica con un editor de texto, como vi editor, y agregue una entrada para cada ubicación.

La entrada debe tener el siguiente formato:

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

Por ejemplo:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

Reputación de IP

Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP de su tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.

Para obtener información sobre la configuración y el uso de la Reputación IP, consulte Reputación IP.

Supervisar la reputación IP

La función Reputación IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.

La puntuación de reputación IP indica el riesgo asociado con una dirección IP. La puntuación tiene los siguientes rangos son:

Puntuación de reputación IP Nivel de riesgo
1–20 Alto riesgo
21–40 Sospecha
41–60 Riesgo moderado
61–80 Riesgo bajo
81–100 De confianza

Para supervisar la reputación IP:

  1. Vaya a Analytics> Security Insight y seleccione la aplicación que quiere supervisar.

  2. En la ficha Índice de amenazas, seleccione Reputación IP.

    Imagen localizada

  3. Seleccione una gravedad para mostrar más detalles de los ataques que estaban en ese nivel. Puede hacer clic en el gráfico de barras o en la tabla debajo del gráfico.

  4. Seleccione el período de tiempo para el que quiere ver los detalles. Puede utilizar el control deslizante de tiempo para personalizar aún más el período seleccionado. A continuación, haga clic en Ir.

    Imagen localizada

  5. Para personalizar la pantalla, haga clic en el botón de configuración.

    Imagen localizada

Umbrales

Puede establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral:

  1. Vaya a Analytics > Configuración > Umbrales y seleccione Agregar.

  2. Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información necesaria en los otros campos apropiados, como Nombre, Duración y Entidad.

  3. En la sección Configurar regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.

    Por ejemplo, “Threat Index” “>” “5”

  4. En Configuración de notificaciones, seleccione el tipo de notificación.

  5. Haga clic en Crear.

Para ver las infracciones de umbral:

  1. Vaya a Analytics > Security Insight > Dispositivos y seleccione la instancia de Citrix ADC.

  2. En la sección Aplicación, puede ver el número de brechas de umbral ocurridas para cada servidor virtual en la columna Infracción de umbral.

Casos de uso de Security Insight

En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado Citrix ADM para supervisar el entorno de amenazas. Debe revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber experimentado, de modo que pueda centrarse primero en las aplicaciones que necesitan más atención. El panel de información de seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo que elija y para un dispositivo Citrix ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.

Por ejemplo, es posible que esté supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y que quiera revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.

Imagen localizada

Para ver información de un período de tiempo diferente, seleccione un período de tiempo en la lista situada en la parte superior izquierda.

Imagen localizada

Para ver un resumen de otra instancia de Citrix ADC, en Dispositivos, haga clic en la dirección IP de la instancia de Citrix ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo en el panel de seguridad de Security Insight, quiere determinar la exposición a amenazas antes de decidir protegerlas. Es decir, quiere determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Puede determinar la exposición a amenazas de una aplicación revisando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y quiere saber qué factores contribuyen a este índice de amenazas alto.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel Security Insight, haga clic en Outlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

Imagen localizada

Haga clic en Índice de amenazas > Violaciones de comprobación de seguridad y revise la información de infracción que aparece.

Imagen localizada

Haga clic en Violaciones de firma y revise la información de infracción que aparece.

Imagen localizada

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:

  • Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
  • Seguridad del sistema NetScaler. Muestra cuántas opciones de seguridad del sistema no están configuradas.

Imagen localizada

En el caso de uso anterior, revisó la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, quiere saber qué configuraciones de seguridad existen para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En el panel Security Insight, haga clic en Outlook y, a continuación, haga clic en la ficha Índice de seguridad. Revise la información proporcionada en el área Resumen del índice de seguridad.

Imagen localizada

En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información de comprobación de seguridad y violación de firmas en los gráficos circulares.

Imagen localizada

Imagen localizada

Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.

Imagen localizada

Haga clic en el nodo NetScaler System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son aquellas que tienen un alto índice de amenazas y un bajo índice de seguridad.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que tenga que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

Imagen localizada

Determinar el número de ataques en un tiempo dado

Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de la aplicación, haga clic en el número de infracciones. La página Total de Violaciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.

Imagen localizada

La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:

  • Tiempo de ataque

  • Dirección IP del cliente desde el que se produjo el ataque

  • Gravedad

  • Categoría de violación

  • URL desde la que se originó el ataque y otros detalles.

Imagen localizada

Aunque siempre puede ver la hora del ataque en un informe por hora como se ve en la imagen, ahora puede ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si selecciona “1 día” en la lista de períodos de tiempo, el informe Security Insight muestra todos los ataques agregados y el tiempo de ataque se muestra en un intervalo de una hora. Si elige “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.

Imagen localizada

Obtener información detallada sobre infracciones de seguridad

Es posible que quiera ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia Citrix ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, puede que quiera determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel Security Insight, haga clic en Lync > Total de violaciones. En la tabla, haga clic en el icono de filtro en el encabezado de columna Acción tomada y, a continuación, seleccione Bloqueado.

Imagen localizada

Para obtener información acerca de los recursos solicitados, revise la columna URL. Para obtener información acerca de los orígenes de los ataques, revise la columna IP del cliente.

Ver detalles de expresiones de registro

Las instancias Citrix ADC utilizan expresiones de registro configuradas con el perfil de Firewall de aplicaciones para realizar acciones en caso de ataques a una aplicación de su empresa. En Security Insight, puede ver los valores devueltos para las expresiones de registro utilizadas por la instancia de Citrix ADC. Estos valores incluyen encabezado de solicitud, cuerpo de solicitud, etc. Además de los valores de expresión de registro, también puede ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Application Firewall que la instancia de Citrix ADC utilizó para realizar acciones para el ataque.

Requisitos previos

Asegúrese de que:

  • Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

  • Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:

    1. Vaya a Analytics > Configuración y haga clic en Habilitar funciones para Analytics.

    2. En la página Habilitar función para análisis, seleccione Habilitar Security Insight en la sección Configuración de información de seguridad basada en expresiones de registro y haga clic en Aceptar.

    Imagen localizada

Por ejemplo, es posible que quiera ver los valores de la expresión de registro devuelta por la instancia Citrix ADC para la acción que tomó para un ataque a Microsoft Lync en su empresa.

En el panel de control de Security Insight, vaya a Lync > Total de violaciones. En la tabla Resumen de la aplicación, haga clic en la dirección URL para ver los detalles completos de la infracción en la página Información de infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de Citrix ADC para la acción.

Imagen localizada

Resaltar patrones de infracción para Web Application Firewall (WAF)

Ahora puede obtener detalles de ataques como encabezados http y carga útil http para solucionar problemas o analizar los ataques. Para obtener detalles de los ataques, debe actualizar el “VerboseLogLevel” en el perfil de Firewall de la aplicación, mediante el siguiente comando:

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern: Solo se registra el patrón de violación

  • patternPayload: Patrón de infracción + 150 bytes de valor del elemento de campo antes del patrón de ataque se registran

  • patternPayloadHdr: Patrón de infracción + 150 bytes de valor del elemento de campo antes del patrón de ataque + encabezados de solicitud http se registran

En función de la configuración “VerboseLogLevel”, Citrix ADM muestra los registros detallados de expresiones de registro.

La siguiente imagen es un ejemplo que resalta el patrón de ataque para la solicitud GET:

Expresión de registro detallado

La siguiente imagen es un ejemplo que resalta el patrón de ataque para la solicitud POST:

Detailed-log-expression-post

En estos dos ejemplos:

  • FIELDNAME hace referencia al nombre de campo correspondiente para el patrón de ataque.

  • PAYLOAD_OFFSET hace referencia al desplazamiento de ataque en la carga útil real.

  • ATTACK_PATTERN resalta el patrón de ataque e incluye 150 bytes de carga útil de prefijo en el valor.

Para obtener más información sobre cómo configurar el nivel de registro detallado en Citrix ADC, consulte Facilidad de solución de problemas con los registros de Web App Firewall.

Determinar el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad se producen después de implementar la configuración de seguridad en una instancia de Citrix ADC, pero es posible que quiera evaluar la eficacia de la configuración de seguridad antes de implementarla.

Por ejemplo, puede que quiera evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia Citrix ADC con la dirección IP 10.102.60.27.

En el panel Security Insight, en Dispositivos, haga clic en la dirección IP de la instancia de Citrix ADC que configuró. Puede ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y el tipo de ataques en la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Imagen localizada

Haga clic en Sap > Índice de seguridad > SAP_profile y evalúe la información del índice de seguridad que aparece.

Imagen localizada

En el resumen del firewall de la aplicación, puede ver el estado de configuración de diferentes configuraciones de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.

Imagen localizada