Guía de implementación de prueba de concepto para Citrix Web Application Firewall

Información general

Esta guía de prueba de concepto (PoC) está diseñada para ayudarle a implementar rápidamente Citrix Web App Firewall (WAF), ya sea independiente o como parte de una implementación de ADC existente para proteger aplicaciones y servicios web. Esta guía cubre algunos de los conceptos básicos de Citrix WAF, las prácticas recomendadas de implementación y los siguientes pasos para sus proyectos WAF. Esta guía NO cubrirá todas las protecciones disponibles ni cubrirá todas las tecnologías web disponibles en la actualidad.

Estas instrucciones cubren la clonación de una aplicación o servidor que ya está siendo proxy por un dispositivo ADC, lo que permite a los administradores crear directivas y reglas sin interrumpir el tráfico existente. Esta no es la única forma de implementar una PoC para Web Application Firewall, pero es más fácil que otros métodos.

Arquitectura Conceptual

Citrix Web Application Firewall y arquitectura de aplicaciones

Un Firewall de aplicaciones web funciona en la capa 7, la capa de aplicación, a diferencia de los firewall de red tradicionales que operan en la capa 3 o la capa 4. Entiende los protocolos web y de aplicaciones como HTTP, XML, SQL y HTML.

El Citrix WAF proporciona modelos de seguridad tanto positivos como negativos para la protección más amplia posible. El modelo de seguridad negativa emplea firmas de vulnerabilidad para evitar ataques conocidos. También permite una rápida implementación inicial y proporciona un mecanismo para “Parches virtuales” de aplicaciones importando los resultados de herramientas de evaluación de terceros.

Citrix Web Application Firewall y arquitectura de aplicaciones

El modelo de seguridad positiva define los patrones de tráfico y los comportamientos de los usuarios permitidos y bloquea todo lo demás. El motor WAF utiliza el perfilado dinámico para crear conjuntos de reglas para el comportamiento aceptable.

Citrix Web Application Firewall y arquitectura de aplicaciones

Requisitos previos

En esta guía se supone que lo siguiente ya está configurado en Citrix ADC o Citrix WAF independiente:

  1. Una comprensión básica de los conceptos de redes y la administración del Citrix ADC
  2. El dispositivo ADC ya está implementado y accesible en la red
  3. Se ha aplicado una licencia adecuada: Ya sea WAF independiente o para ADC, se requiere una licencia Premium
  4. Se ha asignado un NSIP y es accesible para la administración
  5. Se ha asignado un SNIP y puede comunicarse con uno o más servicios protegidos
  6. Una única dirección IP interna y una entrada DNS para otro VIP (el servicio puede estar ya equilibrado con la carga ADC, asegúrese de que una IP y DNS independientes estén disponibles)

    Nota: El

    uso de un nombre DNS y una URL diferentes para acceder a una aplicación PUEDE requerir agregar configuración a la aplicación para que conozca el nuevo nombre.

  7. Una comprensión básica de la arquitectura y la estructura de la aplicación o servicio que está protegiendo. Por ejemplo, si el sitio procesa la información de la tarjeta de crédito determina si las protecciones de tarjetas de crédito están habilitadas, o si la aplicación utiliza una base de datos SQL para el almacenamiento determina si se utilizan protecciones SQLi
  8. Una comprensión básica de los protocolos web y tecnologías como HTTP, HTML, expresiones regulares, JavaScript y más, dependiendo de la aplicación que se esté protegiendo
  9. Comprensión básica del equilibrio de carga y la configuración de la capa 4 en el Citrix ADC
  10. Un servidor syslog dedicado: Mientras que los syslogs locales están disponibles, se recomienda tener configurado un servidor syslog dedicado. Como alternativa, Citrix ADM con Security Insight proporciona análisis detallados del motor WAF y la seguridad de las aplicaciones

Consideraciones de prueba de concepto WAF

Lo más probable es que el servicio web o la aplicación que queremos proteger ya esté siendo proxy por el ADC para el equilibrio de carga u otra administración del tráfico. Durante la implementación de WAF PoC, NO queremos interrumpir la funcionalidad o disponibilidad de la aplicación para los usuarios existentes. Para lograr esto, se realiza un servidor virtual duplicado con la única diferencia de que el servidor virtual duplicado tiene directivas WAF vinculadas a él.

Este método también ofrece a los usuarios la capacidad de probar la aplicación para asegurarse de que funciona correctamente y crear reglas WAF para un tráfico aceptable.

El tamaño de la implementación de ADC debe tenerse en cuenta antes de habilitar Web Application Firewall, ya que puede introducir un consumo significativo de recursos. La mejor manera de estimar el tamaño es usar el servidor web para analizar y estimar los tamaños de solicitud, los tamaños de respuesta y el número de formularios. Citrix ADC se puede utilizar para recopilar métricas básicas de tamaño web, pero solo si la aplicación ya está siendo proxy:


show httpband -type RESPONSE
show httpband -type REQUEST
<!--NeedCopy-->

Algunas protecciones requieren mucho más recursos que otras, denominadas protecciones avanzadas. Las protecciones avanzadas consumen más recursos porque recuerdan campos de formulario, URL, cookies y otros datos en la transacción web. El motor WAF valida que los datos no cambian entre transacciones para asegurarse de que las solicitudes y respuestas no se alteran y, como tal, consumen más memoria del dispositivo. Algunas protecciones avanzadas admiten la comprobación sin sesión como se indica en la configuración: La protección sin sesión requiere más recursos de CPU en lugar de memoria.

Por ejemplo, un dispositivo con directivas avanzadas puede procesar aproximadamente una décima parte del tráfico que un dispositivo idéntico con solo protecciones básicas. Consulte las hojas de datos de Citrix ADC para conocer las capacidades de rendimiento WAF compatibles para cada dispositivo diferente.

Protecciones recomendadas

Estas comprobaciones de seguridad normalmente se pueden habilitar en el perfil WAF. La mayoría de estas comprobaciones requieren que se apliquen reglas aprendidas antes de habilitar el bloqueo; NO habilite BLOCK de forma predeterminada, sin implementar primero las reglas aprendidas.

Nota:

Esta lista NO es exhaustiva. Algunas protecciones no son compatibles con algunas aplicaciones y algunas protecciones no añaden ningún beneficio a otras aplicaciones.

  • Consistencia de cookies
    • Permite que las cookies de sesión de la aplicación se cifren o usen un intermediario mediante el motor WAF
    • La coherencia de las cookies impide que un actor malintencionado altere las cookies
    • La coherencia de las cookies es una protección avanzada

      Nota:

      NO habilite esta configuración cuando los usuarios estén utilizando activamente la aplicación, ya que no se permitirán las cookies de sesión no encriptadas enviadas

    • Más información en Citrix Prod Docs
  • Desbordamiento de búfer
    • Evita ataques contra SO inseguro o software de servidor web que puede comportarse de forma impredecible al recibir datos que son más grandes de lo que puede manejar
    • Desbordamiento de búfer detecta si la URL, las cookies o los encabezados son más largos que el tamaño máximo especificado
    • Más información en Citrix Prod Docs
  • Comprobación de coherencia de campos de formulario
    • Valida que los formularios web devueltos por los usuarios no se hayan modificado antes de enviarse al servidor
    • Form Field Consistency es una protección avanzada con soporte sin sesión
    • Más información en Citrix Prod Docs
  • Inyección SQL
    • Bloquea o transforma palabras clave y caracteres especiales de SQL desde el cuerpo POST, el encabezado y las cookies
    • Solo aplicable si la aplicación web utiliza una base de datos SQL
    • Más información en Citrix Prod Docs
  • Comprobación de scripts entre sitios (XSS)
    • Comprueba los encabezados y los cuerpos POST de las solicitudes de ataques de scripts entre sitios
    • WAF puede bloquear la solicitud por completo o transformar los scripts ofendidos para evitar que se ejecuten
    • Más información en Citrix Prod Docs
  • Denegar URL
    • Bloquea las conexiones a direcciones URL a las que suelen acceder los hackers y códigos o scripts malintencionados
    • Las reglas de URL de denegación personalizadas se pueden agregar en la interfaz de usuario Reglas de relajación > Denegar URL, haciendo clic en Modificar y luego en Agregar
    • Más información en Citrix Prod Docs
  • Dirección URL de inicio (cierre de URL)
    • Impide el acceso directo a direcciones URL aleatorias de un sitio (navegación forzosa) a través de marcadores, enlaces externos, saltos de página o introducción manual de URL
    • La URL de inicio es una protección avanzada con soporte sin sesión; las reglas aprendidas DEBEN implementarse antes de bloquear en función de la URL de inicio
    • Más información en Citrix Prod Docs

Configuración inicial de WAF

Hay dos opciones al configurar la protección WAF:

  • Opción 1: Utilice el Asistente para configuración de Web App Firewall para crear un perfil WAF y una directiva WAF
    • El asistente le guiará a través de la creación de un conjunto de firmas inicial y otras comprobaciones y configuraciones de seguridad de la siguiente manera:
      • En la interfaz de usuario web, vaya a: Seguridad > Citrix Web App Firewall

      Citrix Web Application Firewall y arquitectura de aplicaciones

      • Elija un nombre para el perfil WAF y el tipo de perfil (Web, XML o JSON según el tipo de aplicación que esté protegiendo)

      Citrix Web Application Firewall y arquitectura de aplicaciones

      • Especificar la expresión que determina qué tráfico procesa el motor WAF

      Citrix Web Application Firewall y arquitectura de aplicaciones

      • Seleccione las firmas que aplican protecciones para vulnerabilidades conocidas; hay opciones para usar un conjunto de firmas existente o crear un nuevo conjunto. Para elegir qué firmas aplicar a este perfil de protección, hay dos opciones de editor que ofrecen capacidades básicas o avanzadas.

      • Hay opciones de navegación en ambos editores para seleccionar las firmas y luego habilitar, bloquear, registrar o estadísticas. Tenga cuidado con varias páginas de firmas y asegúrese de que todas están seleccionadas. Es más fácil comenzar con el editor básico, mientras que el editor avanzado ofrece más capacidades

      Nota:

      Asegúrese de que las firmas estén marcadas como HABILITADAS antes de pasar al siguiente paso

      Citrix Web Application Firewall y arquitectura de aplicaciones

      Citrix Web Application Firewall y arquitectura de aplicaciones

      • Elija las protecciones profundas que sean aplicables a la aplicación. Se recomienda comenzar habilitando el registro, las estadísticas y el aprendizaje; NO habilite el bloqueo inicialmente, ya que muchas protecciones requieren cierta cantidad de reglas aprendidas

      Citrix Web Application Firewall y arquitectura de aplicaciones

      IMPORTANTE:

      Si el asistente WAF se utiliza para crear un perfil y una directiva, ¡se enlazado GLOBALMENTE! Si la expresión de filtrado se deja como predeterminada (true), el motor WAF procesa TODO el tráfico, lo que probablemente provoque un comportamiento incorrecto de las aplicaciones. La acción recomendada es desenlazar la directiva del punto de enlace Global predeterminado y, en su lugar, enlazar al servidor virtual LB que se crea más tarde. Para desvincular una directiva WAF del punto de enlace global, haga lo siguiente:

      • Vaya a Seguridad > Citrix Web App Firewall > Directivas > Firewall
      • Elija Administrador de directivasy, a continuación, elija Global predeterminado
      • Resalte la directiva WAF enumerada y elija Desenlazar

    Citrix Web Application Firewall y arquitectura de aplicaciones

  • Opción 2: Alternativamente, la protección WAF se puede aplicar a una aplicación o sitio creando manualmente un perfil WAF, una directiva WAF y aplicando un conjunto de firmas
    1. Crear un conjunto de firmas para la aplicación
      1. Vaya a Seguridad > Citrix Web App Firewall > Firmas
      2. Resalte las firmas predeterminadas y, a continuación, presione Agregar para crear una copia del conjunto de firmas predeterminado
      3. Seleccione las firmas adecuadas en función de la aplicación o sitio que se esté protegiendo y asegúrese de que las firmas están configuradas en ENABLED
    2. Crear un perfil de Web App Firewall
      1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles
      2. Asigne al perfil un nombre descriptivo y, a continuación, seleccione Web, XML o JSON en función del tipo de aplicación que esté protegiendo
      3. Seleccione Básico para aplicar la configuración predeterminada básica
      4. Una vez creado, resalte el nuevo perfil y presione Modificar
      5. Abra Comprobaciones de seguridad y anule la selección de BLOQUE en todos
      6. Abrir configuración de perfil
        • Seleccione el conjunto de firmas creado anteriormente en la configuración Firmas enlazadas
        • Si el servidor de aplicaciones back-end admite _solicitudes_por parte, habilite la transmisión para mejorar el rendimiento
        • Modificar cualquier configuración adicional basada en la aplicación o sitio web que se está protegiendo
    3. Crear una directiva de Web App Firewall
      1. Vaya a Seguridad > Citrix Web App Firewall > Directivas > Firewall
      2. Presione Agregar para crear una nueva directiva
      3. Asigne a la directiva un nombre descriptivo y seleccione el perfil WAF creado anteriormente
      4. Crear una expresión de tráfico que determine qué tráfico procesa el motor WAF

Independientemente del método utilizado, ahora está disponible una configuración básica de Web App Firewall para enlazar. El último paso es actualizar el archivo de firma.

  • Vaya a Seguridad > Citrix Web App Firewall > Firmas
  • Resalte el conjunto de firmas recién creado y presione Seleccionar acción > Configuración de actualización automática
  • Habilite la actualización automática de firmas y asegúrese de que la URL de actualización esté rellena

    Nota:

    La actualización de firmas requiere que el ADC pueda resolver nombres DNS y acceder a Internet público desde el NSIP

Citrix Web Application Firewall y arquitectura de aplicaciones

  • Una vez configurada la actualización automática, ADC comprueba si hay actualizaciones una vez por hora. Las firmas también se pueden actualizar manualmente y una actualización manual debe ejecutarse una vez después de crear el perfil y la directiva WAF

Para comprobar si el dispositivo ADC puede alcanzar las actualizaciones de firmas, se ejecuta el siguiente comando desde la CLI (exit to shell):


shell
curl -I https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml
<!--NeedCopy-->

El sistema debe devolver un HTTP/1.1 200 OK

Citrix Web Application Firewall y arquitectura de aplicaciones

La documentación de actualización de firmas más reciente está disponible en Documentos de Citrix Prod: Las actualizaciones a través de RSS también están disponibles.

De forma predeterminada, el registro de formato de evento común (CEF) no está habilitado, y el WAF utiliza el formato de registro nativo. Además, el acoplamiento WAF puede incluir información de GeoLocation para solicitudes. Para facilitar la solución de problemas, se recomienda habilitar el registro CEF y GeoLocation navegando a Seguridad > Citrix Web App Firewall > Cambiar la configuración del motor. Marque las casillas para el registro CEF y el registro de geolocalización. Alternativamente, estas configuraciones se pueden habilitar a través de la CLI de la siguiente manera:


set appfw settings GeoLocationLogging ON CEFLogging ON
<!--NeedCopy-->

Clonar configuración de servidor virtual

Una vez que se han creado el perfil y la directiva del Web App Firewall, es necesario enlazar al servidor virtual de equilibrio de carga. Si la aplicación o servicio aún no está configurado en el ADC, debe configurarse desde cero. Si la aplicación ya está configurada, debe ser clonada.

Para clonar rápidamente un servidor virtual existente, haga lo siguiente:

  • Vaya a Administración del Tráfico > Equilibrio de carga > Servidores virtuales

Citrix Web Application Firewall y arquitectura de aplicaciones

  • Resalte el servidor virtual existente y presione Agregar para crear un nuevo servidor virtual con configuraciones similares.
    • Proporcione al nuevo servidor virtual un nuevo nombre y una dirección IP diferente
    • Asegúrese de que el puerto y el protocolo sean correctos y, a continuación, pulse OK
    • Enlazar servicios o grupos de servicios y luego presione Continuar
    • Modifique el método de equilibrio de carga, la persistencia y cualquier otra configuración de tráfico necesaria para que coincida con el servidor virtual existente
    • Si este servidor virtual es un servidor virtual HTTPS, asegúrese de que un certificado apropiado esté enlazado y que un conjunto de cifrado seguro esté enlazado

Citrix Web Application Firewall y arquitectura de aplicaciones

Citrix Web Application Firewall y arquitectura de aplicaciones

A continuación, la directiva WAF debe estar vinculada a este nuevo servidor virtual:

  • Vaya a Administración del Tráfico > Equilibrio de carga > Servidores virtuales
  • Resalte el servidor virtual recién creado y presione Modificar
  • En la columna de la derecha Configuración avanzada, elija Directivas
  • Presione el ícono + (más) para agregar una directiva
    • Elegir una directiva de Firewall de aplicaciones con un tipo de Solicitud
    • Los detalles de enlace predeterminados se pueden dejar solos

Citrix Web Application Firewall y arquitectura de aplicaciones

Citrix Web Application Firewall y arquitectura de aplicaciones

Pruebas de aceptación de usuarios y solución de problemas iniciales

En este punto, los usuarios pueden comenzar a probar la aplicación mediante la nueva URL, accediendo a la aplicación web con directivas WAF enlazadas. Dependiendo de la complejidad de la aplicación, varios usuarios de diferentes unidades de negocio necesitan utilizar la aplicación para generar una cantidad aceptable de tráfico. El motor de aprendizaje utiliza este tráfico para ver todas las partes de la aplicación y asegurarse de que no hay bloques falsos positivos que impidan la funcionalidad de la aplicación.

Durante la prueba inicial, la información relativa a la solicitud infractor puede ser difícil de encontrar, pero hay algunos ajustes que ayudan con esto. El primero es establecer un objeto de error HTML personalizado que presente información de diagnóstico cada vez que se bloquea una solicitud. Si no se establece un objeto de error, a menudo se presenta al usuario una página en blanco que no proporciona ninguna información.

Nota:

Se recomienda que se elimine o cambie una vez que la aplicación protegida WAF esté expuesta a una audiencia que no esté probando.

  • Establecer el objeto de error HTML para presentar información de diagnóstico
    • Vaya al perfil WAFy, a continuación, expanda Configuración de perfil
    • Seleccione el objeto Error HTML y haga clic en el botón Agregar (o más) para crear un nuevo objeto
    • En la ‘Importar página de error HTML ‘, elija Texto
    • Asigne un nombre al objeto de error y pegue el código siguiente:
<html>
<head>
<title>Application Firewall Block Page</title>
</head>
<body>
<h1><B>Your request has been blocked by a security policy<B><BR></H1>
<H3>Access has been blocked - if you feel this is in error, please contact the site
administrators quoting the following: </H3> <UL>
<li>NS Transaction ID: ${NS_TRANSACTION_ID}
<li>AppFW Session ID: ${NS_APPFW_SESSION_ID}
<li>Violation Category: ${NS_APPFW_VIOLATION_CATEGORY}
<li>Violation Details: ${NS_APPFW_VIOLATION_LOG} </UL>
</body>
</html>
<!--NeedCopy-->

Citrix Web Application Firewall y arquitectura de aplicaciones

La página de error resultante presenta información valiosa de diagnóstico, incluida la categoría de infracción y los detalles del registro. Esta información permite al administrador validar si el bloque necesita ser relajado debido a un falso positivo.

Citrix Web Application Firewall y arquitectura de aplicaciones

Importante:

Algunos bloques WAF solo impiden que ciertos elementos de la página se carguen, por ejemplo, una imagen, formato CSS, script o botón\ formulario funcionalidad puede no funcionar. Estos bloques todavía se consideran problemas, aunque la página de error de diagnóstico no se muestra. Utilice el visor de syslog (consulte el ejemplo siguiente) para encontrar la firma ofendida o la comprobación de seguridad que está causando el problema.

Los mensajes de Syslog generados por el motor WAF ayudan a entender las sesiones bloqueadas cuando la página de error de diagnóstico no está disponible

  • Vaya a Sistema > Auditoría > Mensajes de Syslog

Citrix Web Application Firewall y arquitectura de aplicaciones

  • En la columna Filtrar por, seleccione Módulo y elija APPFW
  • Presione aplicar

Citrix Web Application Firewall y arquitectura de aplicaciones

Algunas violaciones se pueden relajar inmediatamente desde el visor de Syslog si hay bloques falsos positivos

  • En la vista Mensajes de Syslog (anterior), busque un mensaje de Syslog que sea una infracción de regla.
  • Marque la casilla en la esquina superior derecha del mensaje
  • Seleccione el menú Acción y, a continuación, elija implementar
  • Alternativamente, puede modificar la regla de relajación antes de implementarla

Citrix Web Application Firewall y arquitectura de aplicaciones

Nota:

Un bloque falso positivo de una violación de firma a menudo significa que la aplicación web no está siguiendo los estándares o está mal escrita. La acción inmediata para permitir que la aplicación funcione es aplicar una regla de relajación, pero el objetivo a largo plazo es arreglar la aplicación en sí misma. Las reglas de relajación en aplicaciones mal escritas pueden permitir que el contenido malicioso pase por medio de permitir que la aplicación funcione.

Al activar las estadísticas de todos los elementos, el dispositivo recopila contadores cada vez que se infringe una regla o firma. Esto es útil en el inicialmente, ya que permite borrar los contadores para ver si se produjeron nuevas solicitudes bloqueadas como resultado de la directiva WAF.

En la ficha Panel de la interfaz de usuario de ADC, establezca la vista de estadísticas en Application Firewall para ver todos los recuentos de estadísticas asociados. Las estadísticas también se pueden borrar de esta vista.

Citrix Web Application Firewall y arquitectura de aplicaciones

Como alternativa, las estadísticas se pueden ver desde la línea de comandos del shell del dispositivo mediante el siguiente comando:


nsonmsg -d stats | grep appfw
<!--NeedCopy-->

Tenga en cuenta que el Firewall de aplicaciones web sigue los estándares web y, de forma predeterminada, las solicitudes mal formadas se bloquean. Para cambiar este comportamiento, haga lo siguiente:

  • Citrix WAF utiliza una comprobación HTTP estricta
  • De forma predeterminada no válida, las solicitudes HTTP no compatibles con RFC se bloquean
    • Para modificar la gestión de solicitudes que no cumple con RFC, vaya a Seguridad > Citrix Web App Firewall y, a continuación, Cambiar la configuración del motor
    • Consulte el siguiente código para el método CLI para establecer solo el registro y la generación de estadísticas para solicitudes mal formadas

      Nota:

      Esta configuración es global. Si inhabilita la opción de bloqueo, el motor WAF omite el procesamiento del firewall de aplicaciones para cualquier solicitud que no cumpla con RFC. Esto no es recomendable.

Citrix Web Application Firewall y arquitectura de aplicaciones


set appfw settings -malformedReqAction log stats
<!--NeedCopy-->

Aprendizaje de comprobación de seguridad

Los datos aprendidos se utilizan para crear reglas para el modelo de seguridad positivo del motor WAF: Algunos detalles rápidos sobre las reglas aprendidas:

  • Almacenado en formato RegEx y se puede exportar a CSV para análisis o migración
  • Se propagan en un par de dispositivos HA
  • Las comprobaciones de seguridad se pueden dejar en modo de aprendizaje permanentemente, pero no es necesario
  • Recoge datos más útiles cuanto más tráfico se procesa durante la UAT
  • Se recomienda encarecidamente configurar Clientes de aprendizaje de confianza para aprender cuando el dispositivo recibe tráfico de clientes conocidos y desconocidos. Esta configuración garantiza que el tráfico malintencionado no esté permitido en una regla aprendida.

El motor aprendido se ejecuta a medida que el aslearn proceso y las reglas se almacenan en formato SQLite en la siguiente ubicación:


/var/nslog/asl/appfwprofile.db
<!--NeedCopy-->

Citrix Web Application Firewall y arquitectura de aplicaciones

El modo de aprendizaje se puede habilitar permanentemente, pero la base de datos de aprendizaje tiene un límite de tamaño de 20 MB. El motor de aprendizaje no agrega nuevos datos una vez que la base de datos alcanza este tamaño.

Desde una perspectiva de proceso, el aprendizaje ocurre de la siguiente manera:

Citrix Web Application Firewall y arquitectura de aplicaciones

Cada vez que un usuario accede a la nueva aplicación con una directiva WAF vinculada que contiene comprobaciones de aprendizaje habilitadas, se generan reglas aprendidas. Al utilizar un enfoque de servidor virtual duplicado, el tráfico de producción no se bloquea mientras los usuarios prueban la aplicación protegida. Además, todo el tráfico que se pasa a través del motor WAF en este punto generará reglas aprendidas.

El flujo típico para construir reglas de relajación y garantizar que la aplicación funcione como se esperaba sin bloques falsos positivos ocurre continuamente:

Citrix Web Application Firewall y arquitectura de aplicaciones

Este proceso debe repetirse cada vez que se produzca un cambio en una aplicación o flujo de trabajo en el que no se crearon previamente las reglas.

Para ver los datos aprendidos mediante la interfaz de usuario, haga lo siguiente:

  • Vaya a Seguridad > Citrix Web App Firewall > Perfiles, seleccione el perfil de Firewall de aplicaciones y, a continuación, elija Modificar
  • En la columna derecha, selecciona Reglas aprendidas
  • Cada una de las comprobaciones de seguridad que admiten el aprendizaje se muestra con algunas opciones:
    • Seleccione Modificar para ver e implementar las reglas que se han aprendido para una comprobación de seguridad específica

Citrix Web Application Firewall y arquitectura de aplicaciones

  • Una vez implementadas las reglas, se mueven de reglas aprendidas a reglas de relajación
  • Desde la interfaz de usuario de reglas aprendidas, las reglas se pueden exportar a CSV mediante el botón Exportar datos aprendidos antes de mover las reglas a reglas de relajación
  • El visualizador también es una herramienta valiosa especialmente para las comprobaciones de URL de inicio para visualizar reglas y un mapa de URL de la aplicación protegida

Citrix Web Application Firewall y arquitectura de aplicaciones

Una vez que las reglas aprendidas se han implementado en reglas de relajación, la comprobación de seguridad se puede establecer en Bloquear.

Nota:

Si no se ha procesado suficiente tráfico o el motor WAF no ha visto todas las rutas de la aplicación, es probable que haya bloques falsos positivos. El proceso de regla aprendido se puede repetir hasta que la aplicación se comporte como se esperaba.

Importar exportación

La configuración completa de un perfil de Firewall de aplicaciones web se puede replicar en varios dispositivos. Este proceso capturará todos los objetos enlazados, como el objeto de error HTML, el objeto de error XML, el esquema WSDL\ XML, las firmas, las reglas de relajación, etc. Esto puede ser particularmente útil cuando se migra desde un entorno de prueba\ dev a un entorno de producción o para realizar una copia de seguridad de la configuración WAF antes de realizar cambios.

Nota:

Las configuraciones exportadas requieren que ambos dispositivos estén en la misma compilación.

Para exportar el perfil WAF mediante la GUI, en el dispositivo de origen, vaya a Seguridad > Citrix Web App Firewall > Perfiles > Seleccionar el perfil WAF y, a continuación, seleccione Acción > Exportar El proceso de exportación puede tardar algún tiempo en generar el archivo de exportación. Una vez archivado, se descarga un archivo Wafprofile.tgz en el equipo cliente.

Para importar el perfil WAF mediante la GUI, en el dispositivo de destino, vaya a Seguridad > Citrix Web App Firewall > Perfiles > Seleccionar acción > Importar. Seleccione ‘Importar de’ Archivo y, a continuación, seleccione ‘Elegir archivo’ para localizar el archivo descargado anteriormente. Cualquier problema con el proceso de importación se registra en:


/var/log/ns.log
<!--NeedCopy-->

Nota:

El proceso de importación NO crea una directiva o enlace WAF.

Creación de perfiles dinámicos

La función de perfil dinámico se agregó al motor WAF en la versión 13.0 y permite que los datos aprendidos se implementen automáticamente en reglas de relajación después de un umbral configurado. Se envía una alerta a los administradores para permitirles omitir los datos si no son válidos; de lo contrario, se agrega automáticamente. De forma predeterminada, el perfil dinámico está inhabilitado para todas las comprobaciones de seguridad admitidas; para habilitarlo y configurar los ajustes, haga lo siguiente:

  • Vaya a Seguridad > Citrix Web App Firewall > Perfiles, seleccione el perfil de Firewall de aplicaciones y, a continuación, elija Modificar
  • En la columna derecha, elija Perfilado dinámico.
    • Cada comprobación de seguridad se puede habilitar o inhabilitar desde esta interfaz de usuario
    • La configuración de perfiles dinámicos para este perfil waF también se puede modificar seleccionando Configuración

Citrix Web Application Firewall y arquitectura de aplicaciones

Citrix Web Application Firewall y arquitectura de aplicaciones

Al utilizar perfiles dinámicos, se recomienda encarecidamente habilitar Clientes de aprendizaje de confianza para garantizar que solo el tráfico de aplicaciones válido genere reglas. Estos clientes se pueden agregar desde:

  • UI de reglas aprendidas
  • Interfaz de usuario de perfil dinámico

Citrix Web Application Firewall y arquitectura de aplicaciones

Consideraciones al pasar a la producción

La consideración más importante al utilizar el método de servidor virtual duplicado es que cualquiera de las reglas aprendidas que incluyen URL no se aplica si cambia la URL de la aplicación. Por ejemplo, las reglas de etiquetado de formularios CSRF y URL de inicio incluyen direcciones URL.

La mejor manera de migrar al servidor virtual de producción sería desactivar el bloqueo para comprobaciones de seguridad y volver a aprender e implementar reglas que incluyan direcciones URL. Alternativamente, las reglas aprendidas podrían exportarse y luego leerse después de modificar la URL. También sería muy importante habilitar los clientes de aprendizaje de confianza si aún no se han agregado.

Por último, si la PoC se está ejecutando en una plataforma de prueba que tiene recursos diferentes a los de producción, es importante tener en cuenta los requisitos de recursos que cambian habilitando el Firewall de aplicaciones web.

Referencias

Documentación del producto Citrix - Web App Firewall

Documentación del producto de Citrix WAF - Preguntas más frecuentes

Cómo Citrix Application Firewall modifica el tráfico de datos de aplicaciones

WAF Basic VS Protecciones Avanzadas

Compatibilidad con el registro de Formato de evento común (CEF) en el Firewall de aplicaciones

Exportación e importación de un perfil de Web App Firewall

Guía de implementación de prueba de concepto para Citrix Web Application Firewall