Categorización de URL

La categorización de URL restringe el acceso de los usuarios a sitios web y categorías de sitios web específicos. Como servicio suscrito ofrecido por Citrix Secure Web Gateway (SWG), la función permite a los clientes empresariales filtrar el tráfico web mediante una base de datos de categorización comercial. La base de datos tiene un gran número (miles de millones) de URL clasificadas en diferentes categorías, como redes sociales, juegos de azar, contenido para adultos, nuevos medios de comunicación y compras. Además de la categorización, cada URL tiene una puntuación de reputación actualizada basada en el perfil de riesgo histórico del sitio. Para filtrar el tráfico, puede configurar directivas avanzadas basadas en categorías, grupos de categorías (como Terrorismo, Drogas ilegales) o puntuaciones de reputación de sitio.

Por ejemplo, puede bloquear el acceso a sitios peligrosos, como sitios conocidos por estar infectados con malware, y restringir selectivamente el acceso a contenido como contenido para adultos o medios de transmisión de entretenimiento para usuarios empresariales. También puede capturar los detalles transaccionales del usuario y los detalles del tráfico saliente para supervisar el análisis de tráfico web en el servidor ADM de Citrix.

Cómo funciona la categorización de URL

En la siguiente figura se muestra cómo se integra el servicio de categorización de URL de Citrix SWG con una base de datos de categorización de URL comercial y servicios en la nube para actualizaciones frecuentes.

Imagen localizada

Los componentes interactúan de la siguiente manera:

  1. Un cliente envía una solicitud de URL enlazada a Internet.

  2. El proxy SWG de Citrix aplica una aplicación de directivas a la solicitud basada en los detalles de categoría (como categoría, grupo de categorías y puntuación de reputación de sitio) recuperados de la base de datos de categorización de URL. Si la base de datos devuelve los detalles de la categoría, el proceso salta al paso 5.

  3. Si la base de datos pierde los detalles de categorización, la solicitud se envía a un servicio de búsqueda basado en la nube mantenido por un proveedor de categorización de URL. Sin embargo, el dispositivo no espera una respuesta; en su lugar, la dirección URL se marca como no categorizada y se realiza una aplicación de directivas (vaya al paso 5). El dispositivo sigue supervisando los comentarios de las consultas en la nube y actualiza la caché para que las solicitudes futuras puedan beneficiarse de la búsqueda en la nube.

  4. El dispositivo SWG recibe los detalles de la categoría URL (categoría, grupo de categorías y puntuación de reputación) del servicio basado en la nube y los almacena en la base de datos de categorización.

  5. La directiva permite que la URL y la solicitud se envíe al servidor de origen. De lo contrario, el dispositivo elimina, redirige o responde con una página HTML personalizada.

  6. El servidor de origen responde con los datos solicitados al dispositivo SWG.

  7. El dispositivo envía la respuesta al cliente.

Caso de uso: uso de Internet bajo cumplimiento corporativo para empresas

Puede utilizar la característica Filtrado de URL para detectar e implementar directivas de cumplimiento para bloquear sitios que infrinjan el cumplimiento corporativo. Estos pueden ser sitios como adultos, medios de transmisión, redes sociales que podrían considerarse no productivos o consumir exceso de ancho de banda de Internet en una red empresarial. Bloquear el acceso a estos sitios web puede mejorar la productividad de los empleados, reducir los costos operativos para el uso del ancho de banda y reducir la sobrecarga del consumo de red.

Requisitos previos

La característica de categorización de URL funciona en una plataforma Citrix SWG sólo si tiene un servicio de suscripción opcional con funciones de filtrado de URL e inteligencia de amenazas para Citrix Secure Web Gateway. La suscripción permite a los clientes descargar las últimas categorizaciones de amenazas para sitios web y, a continuación, aplicar esas categorías en Secure Web Gateway. La suscripción está disponible para las versiones de dispositivos de hardware y software (VPX) de Secure Web Gateway. Antes de habilitar y configurar la función, debe instalar las siguientes licencias: CNS_WEBF_SSERVER_Retail.lic

CNS_XXXXX_SERVER_SWG_Retail.lic.

Donde, XXXXX es el tipo de plataforma, por ejemplo: V25000

Expresiones de directiva de respuesta

En la tabla siguiente se enumeran las distintas expresiones de directiva que se pueden utilizar para comprobar si se debe permitir, redirigir o bloquear una dirección URL entrante.

  1. <text>. URL_CATEGORIZE (<min_reputation>, <max_reputation>) - Devuelve unURL_CATEGORY objeto. Si<min_reputation> es mayor que 0, el objeto devuelto no contiene una categoría con una reputación inferior a<min_reputation> . Si<max_reputation> es mayor que 0, el objeto devuelto no contiene una categoría con una reputación superior a<max_reputation> . Si la categoría no se resuelve de manera oportuna, se devuelve el valor undef.
  2. <url_category>. CATEGORY() - Devuelve la cadena de categoría para este objeto. Si la URL no tiene una categoría, o si la URL está mal formada, el valor devuelto es “Desconocido. ”
  3. <url_category>. CATEGORY_GROUP() - Devuelve una cadena que identifica el grupo de categorías del objeto. Se trata de una agrupación de categorías de mayor nivel, lo que resulta útil en operaciones que requieren información menos detallada sobre la categoría URL. Si la URL no tiene una categoría, o si la URL está mal formada, el valor devuelto es “Desconocido. ”
  4. <url_category>. REPUTATION() - Devuelve la puntuación de reputación como un número de 0 a 5, donde 5 indica la reputación más arriesgada. Si hay que la categoría es “Desconocido”, el valor de reputación es 1.

Tipos de directivas:

  1. Diretiva para selecionar solicitações de URLs que estão na categoria Motor de Pesquisa -add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY().EQ("Search Engine")
  2. Diretiva para selecionar solicitações para URLs que estão no grupo de categorias Adulto -add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY_GROUP().EQ("Adult")’
  3. Política para seleccionar las solicitudes de URL del motor de búsqueda con una puntuación de reputación inferior a 4 -add responder policy p2 ‘HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL).URL_CATEGORIZE(4,0).HAS_CATEGORY("Search Engine")
  4. Política para selecionar pedidos de URL do motor de pesquisa e do Shopping -add responder policy p3 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY().EQ ("good_categories")
  5. Política para seleccionar las solicitudes de URL del motor de búsqueda con una puntuación de reputación igual o superior a 4 -add responder policy p5 ‘CLIENT.SSL.DETECTED_DOMAIN.URL_CATEGORIZE(4,0). CATEGORY().EQ("Search Engines")
  6. Directiva para seleccionar las solicitudes de direcciones URL que están en la categoría Motor de búsqueda y compararlas con un conjunto de direcciones URL:‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY().EQ("Search Engine") && HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URLSET_MATCHES_ANY("u1")’

Tipos de directivas de respuesta

Hay dos tipos de políticas utilizadas en la característica de categorización de URL y cada uno de estos tipos de políticas se explica a continuación:

Tipo de directiva Descripción
Categoría de URL Clasifique el tráfico web y, en función de los bloques de resultados de evaluación, permite o redirige el tráfico.
Puntuación de reputación de URL Determina la puntuación de reputación del sitio web y permite controlar el acceso en función del nivel de umbral de puntuación de reputación establecido por el administrador.

Configurar categorización de URL

Para configurar la categorización de URL en un dispositivo Citrix SWG, haga lo siguiente:

  1. Habilitar filtrado de URL.
  2. Configurar un servidor proxy para el tráfico Web.
  3. Configure la interceptación SSL para el tráfico Web en modo explícito.
  4. Configure la memoria compartida para limitar la memoria caché.
  5. Configure los parámetros de categorización de URL.
  6. Configure la categorización de URL mediante el asistente SWG de Citrix.
  7. Configure los parámetros de categorización de URL mediante el asistente SWG.
  8. Configurar la ruta de la base de datos seedd y el nombre del servidor en la

Paso 1: Habilitar el filtrado de URL

Para habilitar la categorización de URL, habilite la función de filtrado de URL y habilite los modos de categorización de URL.

Para habilitar la categorización de URL mediante Citrix SWG: CLI

En el símbolo del sistema, escriba:

enable ns feature URLFiltering

disable ns feature URLFiltering

Paso 2: Configurar un servidor proxy para el tráfico web en modo explícito

El dispositivo Citrix SWG admite servidores virtuales proxy transparentes y explícitos. Para configurar un servidor virtual proxy para el tráfico SSL en modo explícito, haga lo siguiente:

  1. Agregar un servidor proxy.
  2. Vincular una directiva SSL al servidor proxy.

Para agregar un servidor proxy mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add cs vserver <name> [-td <positive_integer>] <serviceType>  [-cltTimeout <secs>]

Ejemplo:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Vincular una directiva SSL a un servidor virtual proxy mediante la CLI de Citrix SWG

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Paso 3: Configurar la interceptación SSL para el tráfico HTTPS

Para configurar la interceptación SSL para el tráfico HTTPS, haga lo siguiente:

  1. Vincular un par de claves de certificado de CA al servidor virtual proxy.
  2. Configure el perfil SSL predeterminado con parámetros SSL.
  3. Enlace un perfil SSL front-end al servidor virtual proxy y habilite la interceptación SSL en el perfil SSL front-end.

Para enlazar un par de claves de certificado de CA al servidor virtual proxy mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA –skipCAName

Para configurar el perfil SSL predeterminado mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set ssl profile <name> -denySSLReneg <denySSLReneg> -sslInterception (ENABLED | DISABLED) -ssliMaxSessPerServer positive_integer>

Vincular un perfil SSL front-end a un servidor virtual proxy mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set ssl vserver <vServer name>  -sslProfile ssl_profile_interception

Paso 4: Configurar la memoria compartida para limitar la memoria caché

Para configurar la memoria compartida para limitar la memoria caché mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set cache parameter [-memLimit <megaBytes>]

Donde, el límite de memoria configurado para el almacenamiento en caché se establece como 10 MB.

Paso 5: Configurar parámetros de categorización de URL

Para configurar los parámetros de categorización de URL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>]

Ejemplo:

Set urlfiltering parameter –urlfilt_hours_betweenDB_updates 20

Paso 6: Configurar la categorización de URL mediante el Asistente para SWG de Citrix

Para configurar la categorización de URL mediante la GUI de Citrix SWG

  1. Inicie sesión en el dispositivo Citrix SWG y vaya a la página Secured Web Gateway.
  2. En el panel de detalles, realice una de las acciones siguientes: 1. Haga clic en Asistente para puerta de enlace web segura para crear una nueva configuración. 1. Seleccione una configuración existente y haga clic en Editar.
  3. En la sección Filtrado de URL, haga clic en Editar.
  4. Seleccione la casilla de verificación Categorización de URL para habilitar la función.
  5. Seleccione una directiva de categorización de URL y haga clic en Vincular.
  6. Haga clic en Continuar y, a continuación, en Listo.

Para obtener más información acerca de la directiva de categorización de URL, consulteCómo crear una directiva de categorización de URL.

Paso 7: Configuración de parámetros de categorización de URL mediante el Asistente SWG

Para configurar los parámetros de categorización de URL mediante la GUI de Citrix SWG

  1. Inicie sesión en el dispositivo Citrix SWG y vaya a Secured Web Gateway > Filtrado de URL.
  2. En la página Filtrado de URL, haga clic en el vínculo Cambiar configuración de filtrado de URL.
  3. En la página Configuración de parámetros de filtrado de URL, especifique los siguientes parámetros.
    1. Horas entre actualizaciones de base de datos. Horas de filtrado de URL entre las actualizaciones de la base de datos. Valor mínimo: 0 y Valor máximo: 720.
    2. Hora del día para actualizar la base de datos. Filtrado de URL hora del día para actualizar la base de datos.
    3. Host en la nube. La ruta URL del servidor en la nube.
    4. Ruta de base de datos semilla. Ruta de dirección URL del servidor de búsqueda de la base de datos semilla.
  4. Haga clic en Aceptar y Cerrar.

Configuración de ejemplo:

enable ns feature LB CS SSL IC RESPONDER AppFlow URLFiltering

enable ns mode FR L3 Edge USNIP PMTUD

set ssl profile ns_default_ssl_profile_frontend -denySSLReneg NONSECURE -sslInterception ENABLED -ssliMaxSessPerServer 100

add ssl certKey swg_ca_cert -cert ns_swg_ca.crt -key ns_swg_ca.key

set cache parameter -memLimit 100

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

add responder action act1 respondwith ""HTTP/1.1 200 OK\r\n\r\n" + http.req.url.url_categorize(0,0).reputation + "\n""

add responder policy p1 "HTTP.REQ.URL.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") || HTTP.REQ.URL.URL_CATEGORIZE(0,0).CATEGORY.eq("Search Engines & Portals

")" act1

bind cs vserver starcs_PROXY -policyName p1 -priority 10 -gotoPriorityExpression END -type REQUEST

add dns nameServer 10.140.50.5

set ssl parameter -denySSLReneg NONSECURE -defaultProfile ENABLED -sigDigestType RSA-MD5 RSA-SHA1 RSA-SHA224 RSA-SHA256 RSA-SHA384 RSA-SHA512 -ssliErrorCache ENABLED

-ssliMaxErrorCacheMem 100000000

add ssl policy pol1 -rule "client.ssl.origin_server_cert.subject.  URL_CATEGORIZE(0,0).CATEGORY.eq("Search Engines & Portals")"" -action INTERCEPT

add ssl policy pol3 -rule "client.ssl.origin_server_cert.subject.ne("citrix")" -action INTERCEPT

add ssl policy swg_pol -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).CATEGORY.ne("Uncategorized")" -action INTERCEPT

set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00

Configurar la ruta de base de datos semilla y el nombre del servidor en la nube

Ahora puede configurar la ruta de la base de datos semilla y el nombre del servidor de búsqueda en la nube para establecer manualmente el nombre del servidor de búsqueda en la nube y la ruta de la base de datos semilla. Para ello, se agregan dos nuevos parámetros, “CloudHost” y “SeedDBPath” al comando de parámetros de filtrado de URL.

En el símbolo del sistema, escriba: set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>] [-LocalDatabaseThreads <positive_integer>] [-CloudHost <string>] [-SeedDBPath <string>]

Ejemplo set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00 –CloudHost localhost –SeedDBPath /mypath

Configurar la mensajería del registro de auditoría

El registro de auditoría permite revisar una condición o una situación en cualquier fase del proceso de categorización de URL. Cuando un dispositivo Citrix ADC recibe una dirección URL entrante, si la directiva de respuesta tiene una expresión de filtrado de URL, la función de registro de auditoría recopila la información del conjunto de URL en la dirección URL y la almacena como mensajes de registro para cualquier destino permitido por el registro de auditoría.

  • Dirección IP de origen (la dirección IP del cliente que realizó la solicitud).
  • Dirección IP de destino (la dirección IP del servidor solicitado).
  • URL solicitada que contiene el esquema, el host y el nombre de dominio (http://www.example.com.
  • Categoría de URL que devuelve el marco de filtrado de URL.
  • grupo de categorías de URL que devolvió el marco de filtrado de URL.
  • Número de reputación de URL devuelto por el marco de filtrado de URL.
  • Acción de registro de auditoría realizada por la directiva.

Para configurar el registro de auditoría para la función Lista de direcciones URL, debe completar las siguientes tareas:

  1. Habilitar registros de auditoría.
  2. Acción de mensaje Crear registro de auditoría.
  3. Establezca la directiva de respuesta de lista de direcciones URL con la acción de mensaje de registro de auditoría.

Para obtener más información, consulteRegistro de auditoríael tema.

Almacenamiento de errores mediante la mensajería SYSLOG

En cualquier etapa del proceso de filtrado de URL, si hay un error en el nivel del sistema, el dispositivo ADC Citrix utiliza el mecanismo de registro de auditoría para almacenar registros en el archivo ns.log. Los errores se almacenan como mensajes de texto en formato SYSLOG para que, un administrador pueda verlo más adelante en un orden cronológico de ocurrencia de eventos. Estos registros también se envían a un servidor SYSLOG externo para archivarlos. Para obtener más información, consulte artículo CTX229399.

Por ejemplo, si se produce un error al inicializar el SDK de filtrado de URL, el mensaje de error se almacena en el siguiente formato de mensajería.

Oct 3 15:43:40 <local0.err> ns URLFiltering[1349]: Error initializing NetStar SDK (SDK error=-1). (status=1).

El dispositivo Citrix ADC almacena los mensajes de error en cuatro categorías de errores diferentes:

  • Error de descarga. Si se produce un error al intentar descargar la base de datos de categorización.
  • Error de integración. Si se produce un error al integrar una actualización en la base de datos de categorización existente.
  • Error de inicialización. Si se produce un error al inicializar la función de categorización de URL, definir parámetros de categorización o finalizar un servicio de categorización.
  • Error de recuperación. Si se produce un error cuando el dispositivo recupera los detalles de categorización de la solicitud.

Mostrar el resultado de categorización de URL a través de la interfaz de comandos

La categorización de URL permite introducir una URL y recuperar los resultados de categorización (como categoría, grupo y puntuación de reputación) de la base de datos de categorización de URL de terceros de NetStar.

Al introducir una dirección URL, la función de filtrado de URL recupera y muestra el resultado de categorización en la interfaz de comandos. Al introducir otras direcciones URL, el dispositivo excluye las direcciones URL más antiguas de la lista y muestra el resultado de las tres direcciones URL más recientes.

Para mostrar el resultado de la categoría URL hasta tres URL, siga los pasos que se indican a continuación:

  1. Agregar URL de categorización
  2. Mostrar detalles de categorización de URL hasta tres direcciones URL
  3. Borrar los datos de categorización de URL.

Para agregar URL de categorización de filtrado de URL

Para agregar una dirección URL y recuperar sus detalles de categorización, haga lo siguiente: En el símbolo del sistema, escriba:

add urlfiltering categorization –Url <string>

Ejemplo:

add urlfiltering categorization –Url www.facebook.com

Para mostrar detalles de categorización de URL hasta tres direcciones URL

En el símbolo del sistema, escriba:

> show urlfiltering categorization

Ejemplo:

show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Done

Configuración de ejemplo:

add urlfiltering categorization -url www.facebook.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Done

add urlfiltering categorization -url www.google.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Done

add urlfiltering categorization -url www.citrix.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Done

add urlfiltering categorization -url www.in.gr
Done
show urlfiltering categorization
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Url: http://www.in.gr   Categorization: Search Engines & Portals,Search,1 Done

Para borrar el resultado de categorización de URL

En el símbolo del sistema, escriba:

clear urlfiltering categorization
done

show urlfiltering categorization
done

Mostrar resultado de categorización de URL a través de interfaz GUI

  1. En el panel de navegación, expanda Secure Web Gateway > Filtrado de URL.
  2. En el panel de detalles, haga clic en Filtrado de URL Enlace categorización de búsqueda en la sección Herramientas.
  3. En la página Filtrado de URL categorización de búsqueda, introduzca una solicitud de URL y haga clic en Buscar.

    Imagen localizada

  4. El dispositivo muestra el resultado de la categoría de la dirección URL solicitada y de las dos solicitudes URL anteriores.