Citrix ADC

Fonctionnement de Web App Firewall

Lorsque vous installez le Web App Firewall, vous créez une configuration de sécurité initiale, qui se compose d’une stratégie, d’un profil et d’un objet signatures. La stratégie est une règle qui identifie le trafic à filtrer et le profil identifie les modèles et les types de comportement à autoriser ou à bloquer lorsque le trafic est filtré. Les modèles les plus simples, appelés signatures, ne sont pas spécifiés dans le profil, mais dans un objet signatures associé au profil.

Une signature est une chaîne ou un motif qui correspond à un type d’attaque connu. Le Web App Firewall contient plus d’un millier de signatures dans sept catégories, chacune dirigée contre des attaques contre des types spécifiques de serveurs Web et de contenu Web. Citrix met à jour la liste avec de nouvelles signatures au fur et à mesure que de nouvelles menaces sont identifiées. Au cours de la configuration, vous spécifiez les catégories de signature appropriées pour les serveurs Web et le contenu que vous devez protéger. Les signatures offrent une bonne protection de base avec de faibles frais de traitement. Si vos applications présentent des vulnérabilités spéciales ou si vous détectez une attaque contre elles pour laquelle aucune signature n’existe, vous pouvez ajouter vos propres signatures.

Les protections les plus avancées sont appelées contrôles de sécurité. Une vérification de sécurité est une inspection algorithmique plus rigoureuse d’une demande de modèles ou de types de comportement spécifiques qui pourraient indiquer une attaque ou constituer une menace pour vos sites Web et services Web protégés. Il peut, par exemple, identifier une demande qui tente d’effectuer un certain type d’opération susceptible de violer la sécurité, ou une réponse qui inclut des informations confidentielles sensibles telles qu’un numéro de sécurité sociale ou un numéro de carte de crédit. Lors de la configuration, vous spécifiez les vérifications de sécurité appropriées pour les serveurs Web et le contenu que vous devez protéger. Les contrôles de sécurité sont restrictifs. Beaucoup d’entre eux peuvent bloquer les demandes et réponses légitimes si vous n’ajoutez pas les exceptions appropriées (relaxations) lors de leur configuration. Identifier les exceptions nécessaires n’est pas difficile si vous utilisez la fonction d’apprentissage adaptatif, qui observe l’utilisation normale de votre site Web et crée des exceptions recommandées.

Le Web App Firewall peut être installé en tant que périphérique réseau de couche 3 ou pont réseau de couche 2 entre vos serveurs et vos utilisateurs, généralement derrière le routeur ou le pare-feu de votre entreprise. Il doit être installé à un endroit où il peut intercepter le trafic entre les serveurs Web que vous souhaitez protéger et le concentrateur ou basculer par lequel les utilisateurs accèdent à ces serveurs Web. Vous configurez ensuite le réseau pour qu’il envoie des demandes au Web App Firewall plutôt que directement à vos serveurs Web, et des réponses au Web App Firewall plutôt que directement à vos utilisateurs. Le Web App Firewall filtre ce trafic avant de le transférer vers sa destination finale, en utilisant à la fois son jeu de règles interne et vos ajouts et modifications. Il bloque ou rend inoffensif toute activité qu’il détecte comme nuisible, puis transfère le trafic restant au serveur Web. La figure suivante donne une vue d’ensemble du processus de filtrage.

Remarque :

La figure omet l’application d’une stratégie au trafic entrant. Il illustre une configuration de sécurité dans laquelle la stratégie est de traiter toutes les demandes. De plus, dans cette configuration, un objet signatures a été configuré et associé au profil, et des vérifications de sécurité ont été configurées dans le profil.

Figure 1. Diagramme de flux du filtrage du Web App Firewall

Diagramme de flux Web App Firewall

Comme le montre la figure, lorsqu’un utilisateur demande une URL sur un site Web protégé, le Web App Firewall examine d’abord la demande pour s’assurer qu’elle ne correspond pas à une signature. Si la demande correspond à une signature, le Web App Firewall affiche l’objet d’erreur (page Web située sur l’appliance Web Pare-feu et que vous pouvez configurer à l’aide de la fonctionnalité d’importation) ou transfère la demande à l’URL d’erreur désignée (page d’erreur). Les signatures ne nécessitent pas autant de ressources que les vérifications de sécurité. La détection et l’arrêt des attaques détectées par une signature avant d’exécuter l’une des vérifications de sécurité réduisent la charge sur le serveur.

Si une demande réussit l’inspection des signatures, le Web App Firewall applique les vérifications de sécurité des demandes qui ont été activées. Les vérifications de sécurité de la demande vérifient que la demande est appropriée pour votre site Web ou service Web et qu’elle ne contient pas de matériel susceptible de constituer une menace. Par exemple, les vérifications de sécurité examinent la demande pour détecter des signes indiquant qu’elle peut être d’un type inattendu, demander du contenu inattendu ou contenir des données de formulaire Web, des commandes SQL ou des scripts inattendus et éventuellement malveillants. Si la demande échoue une vérification de sécurité, le Web App Firewall nettoie la demande, puis la renvoie à l’appliance Citrix ADC (ou à l’appliance virtuelle Citrix ADC), ou affiche l’objet d’erreur. Si la demande réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui termine tout autre traitement et transfère la demande au serveur Web protégé.

Lorsque le site Web ou le service Web envoie une réponse à l’utilisateur, le Web App Firewall applique les vérifications de sécurité des réponses qui ont été activées. Les contrôles de sécurité des réponses examinent la réponse à la suite de fuites d’informations confidentielles sensibles, de signes de dégradation du site Web ou d’autres contenus qui ne devraient pas être présents. Si la réponse échoue une vérification de sécurité, le Web App Firewall supprime le contenu qui ne doit pas être présent ou bloque la réponse. Si la réponse réussit les vérifications de sécurité, elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur.

Fonctionnalités du Web App Firewall

Les fonctionnalités de base du Web App Firewall sont des stratégies, des profils et des signatures, qui fournissent un modèle de sécurité hybride comme décrit dans Attaques Web connues Attaques Web inconnues et Fonctionnement de Web App Firewall. Il convient de noter la fonctionnalité d’apprentissage, qui observe le trafic vers vos applications protégées et recommande les paramètres de configuration appropriés pour certaines vérifications de sécurité.

La fonctionnalité d’importation gère les fichiers que vous téléchargez vers le Web App Firewall. Ces fichiers sont ensuite utilisés par le Web App Firewall dans divers contrôles de sécurité ou lors de la réponse à une connexion qui correspond à une vérification de sécurité.

Vous pouvez utiliser les fonctionnalités des journaux, des statistiques et des rapports pour évaluer les performances du Web App Firewall et identifier les besoins éventuels de protections supplémentaires.

Fonctionnement de Web App Firewall