Citrix ADC

Détection de bot

Le système de gestion de bot Citrix ADC utilise six techniques différentes pour détecter le trafic de bot entrant. Les techniques sont utilisées comme règles de détection pour détecter le type de bot. Les techniques sont la liste d’autorisation de bot, la liste de blocage de bot, la réputation IP, l’empreinte digitale de périphérique, la limitation de débit, le piège de bot, TPS et CAPTCHA.

Remarque :

La gestion des bots prend en charge un maximum de 32 entités de configuration pour les techniques de liste de blocs, de liste d’autorisation et de limitation de vitesse.

Liste blanche du bot. Liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie qui peuvent être contournées en tant que liste autorisée.

Liste noire du bot. Liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie qui doivent être bloquées pour accéder à vos applications Web.

Réputation de l’IP. Cette règle détecte si le trafic de bot entrant provient d’une adresse IP malveillante.

Empreintes digitales de l’appareil. Cette règle détecte si le trafic de bot entrant comporte l’ID d’empreinte de périphérique dans l’en-tête de requête entrante et les attributs du navigateur d’un trafic de bot client entrant.

Limitation :

  1. JavaScript doit être activé dans le navigateur client.
  2. Ne prend pas en charge dans les navigateurs sans tête.
  3. Ne fonctionne pas pour les réponses XML.

Limitation du taux. Ce taux de règle limite les requêtes multiples provenant du même client.

Piège à bots. Détecte et bloque les robots automatisés en publiant une URL de piège dans la réponse du client. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. La technique de détection est efficace pour bloquer les attaques des robots automatisés.

TPS. Détecte le trafic entrant en tant que robots si le nombre maximal de demandes et le pourcentage d’augmentation des demandes dépasse l’intervalle de temps configuré.

CAPTCHA. Cette règle utilise un CAPTCHA pour atténuer les attaques de bot. Un CAPTCHA est une validation de challenge-response pour déterminer si le trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. La validation permet de bloquer les robots automatisés qui causent des violations de sécurité aux applications Web. Vous pouvez configurer CAPTCHA en tant qu’action bot dans les techniques de détection d’empreintes digitales de réputation IP et de réputation IP.

Maintenant, laissez-nous voir comment vous pouvez configurer chaque technique pour détecter et gérer votre trafic de bot.

Procédure de mise à niveau vers la configuration de gestion de bot basée sur l’interface client Citrix ADC

Vous devez effectuer les étapes suivantes pour mettre à niveau votre appliance vers la configuration de gestion de bot basée sur l’interface client Citrix ADC :

  1. Sauvegarde des signatures Bot

À l’invite de commandes, tapez :

create system backup [<fileName>] -comment <string>

  1. Unset Bot signature from Bot profiles

À l’invite de commandes, tapez :

unset bot profile <profile_name> -signature

  1. Remove Bot signature file

À l’invite de commandes, tapez :

rm bot signature <signature_file_name>

  1. Save configuration

À l’invite de commandes, tapez :

save ns config

À l’invite de commandes, tapez :

save ns config

Configurer la gestion des robots basée sur l’interface client Citrix ADC

La configuration de gestion de bot vous permet de lier une ou plusieurs techniques de détection de bot à un profil de bot spécifique. Vous commencez le processus en activant la fonctionnalité de gestion des robots sur votre appliance. Une fois que vous l’avez activé, vous importez le fichier de signature du bot dans l’appliance. Après l’importation, vous devez créer un profil bot. Vous créez ensuite une stratégie de bot avec le profil de bot lié à elle pour évaluer le trafic entrant en tant que bot et liez la stratégie globalement ou à un serveur virtuel.

Remarque :

Si vous mettez à niveau votre appliance à partir d’une version antérieure, vous devez d’abord convertir manuellement la configuration de gestion de bot existante en configuration de gestion de bot basée sur l’interface de ligne de commande Citrix ADC. Pour plus d’informations, consultez la rubrique Configuration de la gestion des robots basée sur l’interface de ligne de commande Citrix ADC.

Vous devez effectuer les étapes suivantes pour configurer la gestion de bot basée sur Citrix ADC :

  1. Activer la gestion des bots
  2. Importer la signature de bot
  3. Ajouter un profil de bot
  4. Bind profil bot
  5. Ajouter une stratégie de bot
  6. Stratégie de liaison du bot
  7. Configurer les paramètres du bot

Activer la gestion des bots

Avant de commencer, assurez-vous que la fonctionnalité Gestion des robots est activée sur l’appliance. Si vous disposez d’un nouveau Citrix ADC ou VPX, vous devez activer la fonctionnalité avant de la configurer. Si vous mettez à niveau un dispositif Citrix ADC ou VPX à partir d’une version antérieure de la version du logiciel Citrix ADC vers la version actuelle, vous devez activer la fonctionnalité avant de la configurer. À l’invite de commandes, tapez :

enable ns feature Bot

Importer la signature de bot

Vous devez importer le fichier de signature par défaut et le lier au profil de bot. À l’invite de commandes, tapez :

import bot signature [<src>] <name> [-comment <string>] [-overwrite]

Où, src. Chemin d’accès local et nom de ou URL (protocole, hôte, chemin d’accès et nom de fichier) pour le fichier dans lequel stocker le fichier de signature importé. Remarque : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès. Longueur maximale : 2047 nom. Nom à affecter à l’objet fichier de signature de bot sur Citrix ADC. C’est un argument obligatoire. Longueur maximale : 31 commentaire. Tout commentaire permettant de conserver les informations sur l’objet fichier de signature. Longueur maximale : 255. écrasement. Remplace le fichier existant. Remarque : Utilisez l’option de remplacement pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser laupdate bot signature <name> commande pour mettre à jour le fichier de signature sur l’appliance Citrix ADC

Exemple

import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite

Remarque :

Vous pouvez utiliser l’option de remplacement pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser laupdate bot signature <name> commande pour mettre à jour le fichier de signature dans l’appliance Citrix ADC.

Ajouter un profil de bot

Un profil bot est un ensemble de paramètres de profil permettant de configurer la gestion du bot sur l’appliance. Vous pouvez configurer les paramètres pour effectuer la détection des robots.

À l’invite de commandes, tapez :

add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-comment <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )] [-trapAction ( none | log | drop | redirect | reset )] [-tps ( ON | OFF )]

Exemple :

add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON

Bind profil bot

Après avoir créé un profil de bot, vous devez lier le mécanisme de détection de bot au profil.

À l’invite de commandes, tapez :

bind bot profile <name> ((-blackList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-action ( log | drop | reset )] [-logMessage <string>] [-comment <string>]) | (-whiteList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-log ( ON | OFF )] [-logMessage <string>] [-comment <string>])) | (-rateLimit [-type ( session |SOURCE_IP | url )] [-enabled ( ON | OFF )] [-url <string>] [-cookieName <string>] [-rate <positive_integer>] [-timeslice <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>]) | (-captchaResource [-url <string>] [-enabled ( ON | OFF )] [-waitTime <positive_integer>] [-gracePeriod <positive_integer>] [-mutePeriod <positive_integer>] [-requestLengthLimit <positive_integer>] [-retryAttempts <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-tps [-type ( SOURCE_IP | GeoLocation | REQUEST_URL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>])

Exemple :

L’exemple suivant concerne la liaison d’une technique de détection de réputation IP à un profil de bot spécifique.

bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message

Ajouter une stratégie de bot

Vous devez ajouter la stratégie de bot pour évaluer le trafic de bot.

À l’invite de commandes, tapez :

add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]

Où,

Nom. Nom de la stratégie de bot. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Peut être modifié après l’ajout de la stratégie de bot.

Règle. Expression utilisée par la stratégie pour déterminer si le profil de bot doit être appliqué à la demande spécifiée. C’est un argument obligatoire. Longueur maximale : 1499

profileName. Nom du profil de bot à appliquer si la demande correspond à cette stratégie de bot. C’est un argument obligatoire. Longueur maximale : 127

undefAction. Mesures à prendre si le résultat de l’évaluation des politiques n’est pas défini (UNDEF). Un événement UNDEF indique une condition d’erreur interne. Longueur maximale : 127

Commentaire. Tout type d’informations sur cette politique de bot. Longueur maximale : 255

logAction. Nom de l’action messagelog à utiliser pour les demandes qui correspondent à cette stratégie. Longueur maximale : 127

Exemple :

add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1

Lier la stratégie globale de bot

À l’invite de commandes, tapez :

bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]

Exemple :

bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Liaison d’une stratégie de bot à un serveur virtuel

À l’invite de commandes, tapez :

bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type ( REQUEST | RESPONSE )] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile <string>@)

Exemple :

bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Configurer les paramètres du bot

Vous pouvez personnaliser les paramètres par défaut si nécessaire. À l’invite de commandes, tapez :

set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|*>] [-proxyPort <port|*>]

Où,

defaultProfile. Profil à utiliser lorsqu’une connexion ne correspond à aucune stratégie. Le paramètre par défaut est “, » qui renvoie des connexions non appariées à Citrix ADC sans tenter de les filtrer plus loin. Longueur maximale : 31

javaScriptName. Nom du JavaScript que la fonctionnalité BotNet utilise en réponse. Doit commencer par une lettre ou un chiffre, et peut être composé de 1 à 31 lettres, de chiffres, de tirets (-) et de traits de soulignement (_). La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon nom de cookie » ou « mon nom de cookie »). Longueur maximale : 31

sessionTimeout. Délai d’expiration, en secondes, après quoi une session utilisateur est interrompue. Valeur minimale : 1, Valeur maximale : 65535

sessionCookieName. Nom du SessionCookie utilisé par la fonctionnalité BotNet pour le suivi. Doit commencer par une lettre ou un chiffre, et peut être composé de 1 à 31 lettres, de chiffres, de tirets (-) et de traits de soulignement (_). L’exigence suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon nom de cookie » ou « mon nom de cookie »). Longueur maximale : 31

dfpRequestLimit. Nombre de demandes à autoriser sans cookie de session bot si l’empreinte digitale du périphérique est activée Valeur minimale : 1, Valeur maximale : 4294967295

SignatureAutoUpdate. Indicateur utilisé pour activer/désactiver les signatures de mise à jour automatique du bot. Valeurs possibles : ON, OFF Valeur par défaut : OFF

SignatureURL. URL pour télécharger le fichier de mappage de signature bot à partir du serveur. Valeur par défaut :https://s3.amazonaws.com/NSBotSignatures/BotSignatureMapping.json. Longueur maximale : 2047 ProxyServer. IP du serveur proxy pour obtenir les signatures mises à jour d’AWS. Port ProxyPort. Port serveur proxy pour obtenir les signatures mises à jour d’AWS. Valeur par défaut : 8080

Exemple :

set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session

Configuration de la gestion des robots à l’aide de l’interface graphique Citrix ADC

Vous pouvez configurer la gestion de bot Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois que vous l’activez, vous pouvez créer une stratégie de bot pour évaluer le trafic entrant en tant que bot et envoyer le trafic au profil de bot. Ensuite, vous créez un profil de bot, puis liez le profil à une signature de bot. Vous pouvez également cloner le fichier de signature de bot par défaut et utiliser le fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, vous pouvez l’importer dans le profil de bot. Toutes ces étapes sont effectuées dans l’ordre ci-dessous :

Page Gestion des robots

  1. Activer la fonctionnalité de gestion de bot
  2. Configurer les paramètres de gestion des robots
  3. Cloner la signature par défaut du bot Citrix
  4. Importer la signature de bot Citrix
  5. Configurer les paramètres de signature de bot
  6. Créer un profil de bot
  7. Créer une stratégie de bot

Activer la fonctionnalité de gestion de bot

Suivez les étapes ci-dessous pour activer la gestion des robots :

  1. Dans le volet de navigation, développez Système, puis cliquez sur Paramètres.
  2. Dans la page Configurer les fonctionnalités avancées, activez la case à cocher Gestion des robots.
  3. Cliquez sur OK, puis sur Fermer.

    Activation de la gestion des robots

Configuration des paramètres de gestion de bot pour la technique d’empreintes digitales de l’appareil

Suivez les étapes ci-dessous pour configurer la technique d’empreinte digitale du périphérique :

  1. Accédez à Sécurité > Citrix Bot Management.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion du bot Citrix.
  3. Dans les paramètres Configurer Citrix Bot Management, définissez les paramètres suivants.

    1. Profil par défaut. Sélectionnez un profil de bot.
    2. Nom JavaScript. Nom du fichier JavaScript utilisé par la gestion des robots dans sa réponse au client.
    3. Délai d’expiration de la session. Délai d’expiration en secondes après quoi la session utilisateur est terminée.
    4. Cookie de session. Nom du cookie de session utilisé par le système de gestion de bot pour le suivi.
    5. Limite de demande d’empreintes digitales du périphérique. Nombre de demandes à autoriser sans cookie de session de bot, si l’empreinte digitale de l’appareil est activée

    Paramètres de gestion de bot

  4. Cliquez sur OK.

Fichier de signature de bot de clone

Suivez les étapes ci-dessous pour cloner le fichier de signature de bot :

  1. Accédez à Sécurité > Citrix Bot Management and Signatures.
  2. Dans la page Signatures de gestion de bot Citrix, sélectionnez l’enregistrement de signatures de bot par défaut et cliquez sur Cloner.
  3. Dans la page Clone Bot Signature, entrez un nom et modifiez les données de signature.
  4. Cliquez sur Créer.

    Fichier de signature de bot de clone

Importer un fichier de signature de bot

Si vous avez votre propre fichier de signature, vous pouvez l’importer en tant que fichier, texte ou URL. Procédez comme suit pour importer le fichier de signature de bot :

  1. Accédez à Sécurité > Citrix Bot Management and Signatures.
  2. Sur la page Citrix Bot Management Signatures, importez le fichier sous forme d’URL, de fichier ou de texte.
  3. Cliquez sur Continue.

    Importer un fichier de signature de bot

  4. Dans la page Importer la signature de gestion de bot Citrix, définissez les paramètres suivants.
    1. Nom. Nom du fichier de signature de bot.
    2. Commentaire. Brève description du fichier importé.
    3. Remplacer. Activez la case à cocher pour autoriser l’écrasement des données lors de la mise à jour du fichier.
    4. Données de signature. Modifier les paramètres de signature
  5. Cliquez sur Terminé.

    Importer un fichier de signature de bot

Configurer la liste d’autorisation des robots à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de contourner les URL que vous configurez une liste autorisée. Suivez les étapes ci-dessous pour configurer une URL de liste autorisée :

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Liste blanche.
  4. Dans la section Liste blanche, définissez les paramètres suivants :
    1. Activé. Activez la case à cocher pour valider les URL de liste autorisées dans le cadre du processus de détection.
    2. Configurer les types. Configurez une URL de liste autorisée. L’URL est contournée lors de la détection de bot. Cliquez sur Ajouter pour ajouter une URL à la liste des robots autorisés.
    3. Dans la page Configurer la liaison de liste blanche de profil Citrix Bot Management, définissez les paramètres suivants :
      1. Tapez. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP correspondant à une expression de stratégie.
      2. Activé. Activez la case à cocher pour valider l’URL.
      3. Valeur. Adresse URL.
      4. Journal. Activez la case à cocher pour stocker les entrées de journal.
      5. Consigner le message. Brève description du journal.
      6. Commentaires. Brève description de l’URL de liste autorisée.
      7. Cliquez sur OK.

    Configurer la liste des robots autorisés

  5. Cliquez sur Update.
  6. Cliquez sur Terminé.

    Configurer la liste des robots autorisés

Configurer la liste des blocs de bot à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de supprimer les URL que vous configurez comme bloc répertorié. Suivez les étapes ci-dessous pour configurer une URL de liste de blocs.

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Liste noire.
  4. Dans la section Liste noire, définissez les paramètres suivants :

    1. Activé. Activez la case à cocher pour valider les URL de liste de blocs dans le cadre du processus de détection.
    2. Configurer les types. Configurez une URL pour qu’elle fasse partie du processus de détection de listes de blocs de robots. Ces URL sont supprimées lors de la détection de bot. Cliquez sur Ajouter pour ajouter une URL à la liste des blocs de robots
    3. Dans la page Configurer la liaison de liste noire de profil Citrix Bot Management, définissez les paramètres suivants.

      1. Tapez. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP.
      2. Activé. Activez la case à cocher pour valider l’URL.
      3. Valeur. Adresse URL.
      4. Journal. Activez la case à cocher pour stocker les entrées de journal.
      5. Consigner le message. Brève description de la connexion.
      6. Commentaires. Brève description de l’URL de la liste des blocs.
      7. Cliquez sur OK.

    Configuration de la liste des blocs de bots

  5. Cliquez sur Update.
  6. Cliquez sur Terminé.

    Configuration de la liste des blocs de bots

Configurer la réputation IP à l’aide de l’interface graphique Citrix ADC

Cette configuration est une condition préalable à la fonctionnalité de réputation IP du bot. La technique de détection vous permet d’identifier s’il existe une activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de robots malveillants et associons une action de bot à chacune d’elles. Suivez les étapes ci-dessous pour configurer la technique de réputation IP.

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Réputation IP.
  4. Dans la section Réputation IP, définissez les paramètres suivants :
    1. Activé. Activez la case à cocher pour valider le trafic de bot entrant dans le cadre du processus de détection.
    2. Configurer les catégories. Vous pouvez utiliser la technique de réputation IP pour le trafic de bot entrant dans différentes catégories. En fonction de la catégorie configurée, vous pouvez supprimer ou rediriger le trafic de bot. Cliquez sur Ajouter pour configurer une catégorie de robots malveillants.
    3. Dans la page Configurer la liaison de réputation IP de profil Citrix Bot Management, définissez les paramètres suivants :

      1. Catégorie. Sélectionnez une catégorie de bot malveillant dans la liste. Associer une action de bot en fonction de la catégorie.
      2. Activé. Activez la case à cocher pour valider la détection de signature de réputation IP.
      3. Action de bot. En fonction de la catégorie configurée, vous ne pouvez affecter aucune action, suppression, redirection, atténuation ou action CAPTCHA.
      4. Journal. Activez la case à cocher pour stocker les entrées de journal.
      5. Consigner le message. Brève description du journal.
      6. Commentaires. Brève description de la catégorie bot.
  5. Cliquez sur OK.
  6. Cliquez sur Update.
  7. Cliquez sur Terminé.

    Configurer la réputation IP

Configurer la limite de débit de bot à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de bloquer les robots en fonction du nombre de demandes reçues dans un délai prédéfini à partir d’une adresse IP client, d’une session ou d’une ressource configurée (par exemple, à partir d’une URL). Suivez les étapes ci-dessous pour configurer la technique de limite de débit.

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Limite de débit.
  4. Dans la section Limite de débit, définissez les paramètres suivants :
    1. Activé. Activez la case à cocher pour valider le trafic de bot entrant dans le cadre du processus de détection.
    2. Séance. Taux de demandes de limite en fonction d’une session. Cliquez sur Ajouter pour configurer les demandes de limite de débit en fonction d’une session.
    3. Dans la page Configurer Citrix Bot Management Limite de taux de signature, définissez les paramètres suivants.
      1. Catégorie. Sélectionnez une catégorie de bot malveillant dans la liste. Associer une action en fonction de la catégorie.
      2. Activé. Activez la case à cocher pour valider le trafic de bot entrant.
      3. Action de bot. Choisissez une action de bot pour la catégorie sélectionnée.
      4. Journal. Activez la case à cocher pour stocker les entrées de journal.
      5. Consigner le message. Brève description du journal.
      6. Commentaires. Brève description de la catégorie bot.
      7. Cliquez sur OK.

    Configurer la limite de débit

  5. Cliquez sur Update.
  6. Cliquez sur Terminé.

    Configurer la limite de débit

Configurer l’empreinte digitale de l’appareil à l’aide de l’interface graphique Citrix ADC

Cette technique de détection envoie un défi de script java au client et extrait les informations du périphérique. En fonction des informations sur l’appareil, la technique abandonne ou contourne le trafic bot. Suivez les étapes pour configurer la technique de détection.

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Empreinte digitale de l’appareil.
  4. Dans la section Device Fingerprint, définissez les paramètres suivants :

    1. Activé. Définissez cette option pour activer la règle.
    2. Configuration. Pour l’empreinte digitale de l’appareil donné, n’affectez aucune action, aucun dépôt, aucune redirection, atténuation ou action CAPTCHA.
    3. Journal. Activez la case à cocher pour stocker les entrées de journal.
  5. Cliquez sur Update.
  6. Cliquez sur Terminé.

Configurer l'empreinte digitale du périphérique

Configurer l’URL d’interruption de bot à l’aide de l’interface graphique Citrix ADC

Bot trap technique annonce une URL d’interruption dans la réponse du client. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et lorsqu’il y a accès, l’attaquant est classé comme bot et toute requête ultérieure du bot est bloquée. La technique de piège est efficace pour bloquer les attaques des robots.

Remarque :

L’URL d’interruption par défaut est statique. Toutefois, la gestion du bot Citrix ADC vous permet de configurer une URL d’interruption personnalisée dans le profil de gestion du bot. Ceci est fait pour renforcer la technique de détection de bot et rendre plus difficile pour les attaquants de trouver l’URL de piège.

Pour terminer la technique de piège bot, vous devez effectuer les étapes suivantes.

  1. Activer l’URL de l’interruption
  2. Configurer l’URL de l’interruption de bot dans le profil

Activer l’URL de l’interruption

Avant de commencer, vous devez vous assurer que la fonctionnalité URL d’interruption de bot est activée sur l’appliance. À l’invite de commandes, tapez :

enable ns feature Bot

Configurer l’URL d’interruption de bot à l’aide de l’interface graphique Citrix ADC

Suivez les étapes ci-dessous pour définir l’URL du robot trap :

  1. Accédez à Sécurité > Citrix Bot Management > Profils.
  2. Dans la page Profils de gestion des robots Citrix, cliquez sur Modifier pour configurer les paramètres d’URL d’interruption du robot.
  3. Dans la page Créer un profil de gestion de bot Citrix, définissez les paramètres suivants. 1.Trap URL. Tapez l’URL que vous souhaitez confirmer en tant qu’URL d’interruption du robot.

    Configuration de l'interruption de bot

  4. Dans la section Paramètres de signature, cliquez sur Piège de bots.
  5. Dans la section Bot Trap, définissez les paramètres suivants :
    1. Activé. Activez la case à cocher pour activer la détection des interruptions de robots.
    2. Dans la section Configurer, définissez les paramètres suivants.
      1. Action. Action à prendre pour le bot détecté par l’accès au piège du bot.
      2. Journal. Activer ou désactiver la journalisation pour la liaison d’interruption de bot. Enregistrement des interruptions de bot
  6. Cliquez sur Mettre à jour et Terminé.

Configurer CAPTCHA pour la réputation IP et la détection des empreintes digitales des périphériques

CAPTCHA est un acronyme qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ». CAPTCHA est conçu pour tester si un trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. CAPTCHA aide à bloquer les robots automatisés qui causent des violations de sécurité aux applications Web. Dans l’appliance Citrix ADC, CAPTCHA utilise le module challenge-response pour identifier si le trafic entrant provient d’un utilisateur humain et non d’un robot automatisé.

Configurer la signature statique du bot à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet d’identifier les informations de l’agent utilisateur à partir des détails du navigateur. Sur la base des informations de l’agent utilisateur, le bot est identifié comme un bot mauvais ou bon, puis vous lui attribuez une action de bot. Suivez les étapes ci-dessous pour configurer la technique de signature statique.

Fonctionnement de CAPTCHA dans la gestion des robots Citrix ADC

Dans la gestion des robots Citrix ADC, la validation CAPTCHA est configurée comme une action de stratégie à exécuter après l’évaluation de la stratégie de bot. L’action CAPTCHA n’est disponible que pour la réputation IP et les techniques de détection d’empreintes digitales des appareils. Voici les étapes pour comprendre comment CAPTCHA fonctionne :

  1. Si une violation de sécurité est observée lors de la détection du robot d’empreintes digitales ou de la réputation IP, l’appliance ADC envoie un défi CAPTCHA.
  2. Le client envoie la réponse CAPTCHA.
  3. L’appliance valide la réponse CAPTCHA et, si elle est valide, la demande est autorisée et elle est transmise au serveur principal.
  4. Si la réponse CATCHA n’est pas valide, l’appliance envoie un nouveau défi CAPTCHA jusqu’à ce que le nombre maximal de tentatives soit atteint.
  5. Si la réponse CAPTCHA n’est pas valide même après le nombre maximal de tentatives, l’appliance supprime ou redirige la requête vers l’URL d’erreur configurée.
  6. Si vous avez configuré l’action du journal, l’appliance stocke les détails de la demande dans le fichier ns.log.

Configurer les paramètres CAPTCHA à l’aide de l’interface graphique Citrix ADC

L’action CAPTCHA de gestion de bot est prise en charge uniquement pour la réputation IP et les techniques de détection d’empreintes digitales de périphériques. Suivez les étapes ci-dessous pour configurer les paramètres CAPTCHA.

  1. Accédez à Sécurité > Gestion des robots Citrix et profils.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur CAPTCHA.
  4. Dans la section Paramètres CAPTCHA, cliquez sur Ajouter pour configurer les paramètres CAPTCHA dans le profil :
  5. Dans la page Configurer Citrix Bot Management CAPTCHA, définissez les paramètres suivants.
    1. URL. URL du bot pour laquelle l’action CAPTCHA est appliquée lors des techniques de détection d’empreintes digitales et de réputation IP.

    2. Activé. Définissez cette option pour activer la prise en charge de CAPTCHA.
    3. Le temps de grâce. Durée jusqu’au moment où aucune nouvelle contestation CAPTCHA n’est envoyée après réception de la réponse CAPTCHA valide actuelle.
    4. Temps d’attente. Durée nécessaire pour que l’appliance ADC attende jusqu’à ce que le client envoie la réponse CAPTCHA.
    5. Période de muet. Durée pendant laquelle le client qui a envoyé une réponse CAPTCHA incorrecte doit attendre jusqu’à ce qu’il soit autorisé à essayer ensuite. Pendant cette période de mise en sourdine, l’appliance ADC n’autorise aucune demande. Plage : 60 à 900 secondes, Recommandé : 300 secondes
    6. Limite de longueur de demande. Durée de la demande pour laquelle la contestation CAPTCHA est envoyée au client. Si la longueur est supérieure à la valeur de seuil, la demande est supprimée. La valeur par défaut est de 10 à 3000 octets.
    7. Tentatives de nouvelle tentative. Nombre de tentatives que le client est autorisé à réessayer pour résoudre le défi CAPTCHA. Plage : 1—10, Recommandé : 5.
    8. Aucune action action/drop/redirection à effectuer si le client échoue la validation CAPTCHA.
    9. Journal. Définissez cette option pour stocker les informations de demande du client en cas d’échec de la réponse CAPTCHA. Les données sont stockées dans le fichier ns.log.
    10. Commentaire. Une brève description de la configuration CAPTCHA.
  6. Cliquez sur OK et Terminé.

    Configuration de l'interface graphique de bot-captcha

  7. Accédez à Sécurité > Citrix Bot Management > Signatures.
  8. Dans la page Citrix Bot Management Signatures, sélectionnez un fichier de signatures et cliquez sur Edit.
  9. Sur la page Signature de gestion de bot Citrix, accédez à la section Paramètres de signature et cliquez sur Signatures de bot .
  10. Dans la section Signatures de bot, définissez les paramètres suivants :

  11. Configurer les signatures statiques. Sélectionnez un enregistrement de signature statique de bot et cliquez sur Modifier pour lui affecter une action de bot.
  12. Cliquez sur OK.
  13. Cliquez sur Mettre à jour la signature.
  14. Cliquez sur Terminé.

Signature statique du bot

Mise à jour automatique pour les signatures de bot

La technique de signature statique du bot utilise une table de recherche de signature avec une liste de bots bons et de bots défectueux. Les bots sont classés en fonction des chaînes d’utilisateur-agent et des noms de domaine. Si la chaîne d’utilisateur-agent et le nom de domaine dans le trafic bot entrant correspondent à une valeur dans la table de recherche, une action de bot configurée est appliquée. Les mises à jour de signature de bot sont hébergées sur le cloud AWS et la table de recherche de signatures communique avec la base de données AWS pour les mises à jour de signature. Le planificateur de mise à jour automatique des signatures s’exécute toutes les 1 heures pour vérifier la base de données AWS et mettre à jour la table des signatures dans l’appliance ADC.

L’URL de mise à jour automatique de la signature à configurer esthttps://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json

Remarque :

Vous pouvez également configurer un serveur proxy et mettre à jour périodiquement les signatures du cloud AWS vers l’appliance ADC via proxy. Pour la configuration du proxy, vous devez définir l’adresse IP du proxy et l’adresse du port dans les paramètres du bot.

Comment fonctionne la mise à jour automatique de signature de bot

Le diagramme suivant montre comment les signatures de bot sont récupérées à partir du cloud AWS, mises à jour sur Citrix ADC et affichées sur Citrix ADM pour le résumé des mises à jour de signature.

Mise à jour automatique de signature bot

Le planificateur de mise à jour automatique de la signature du bot effectue les opérations suivantes :

  1. Récupère le fichier de mappage à partir de l’URI AWS.
  2. Vérifie les signatures les plus récentes dans le fichier de mappage avec les signatures existantes dans l’appliance ADC.
  3. Télécharge les nouvelles signatures d’AWS et vérifie l’intégrité de la signature.
  4. Met à jour les signatures de bot existantes avec les nouvelles signatures dans le fichier de signature de bot.
  5. Génère une alerte SNMP et envoie le résumé de la mise à jour de signature à Citrix ADM.

Configurer la mise à jour automatique de signature

Pour configurer la mise à jour automatique de la signature du bot, procédez comme suit :

Activer la mise à jour automatique de signature

Vous devez activer l’option de mise à jour automatique dans les paramètres du robot sur l’appliance ADC. À l’invite de commandes, tapez :

set bot settings –signatureAutoUpdate ON

Configurer les paramètres du serveur proxy (facultatif)

Si vous accédez à la base de données de signatures AWS via un serveur proxy, vous devez configurer le serveur proxy et le port. set bot settings –proxyserver –proxyport

Exemple :

set bot settings –proxy server 1.1.1.1 –proxyport 1356

Configurer la mise à jour automatique de la signature de bot à l’aide de l’interface graphique de Citrix

Procédez comme suit pour configurer la mise à jour automatique de la signature du bot :

  1. Accédez à Sécurité > Citrix Bot Management.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion du bot Citrix.
  3. Dans le Configurer les paramètres de gestion des bots Citrix, activez la case à cocher Mise à jour automatique de la signature .

    Paramètre de signature de mise à jour automatique

  4. Cliquez sur OK et Fermer.

Créer un profil de gestion de bot

Un profil de bot est un ensemble de paramètres de gestion de bot utilisés pour détecter le type de bot. Dans un profil, vous déterminez comment le Web App Firewall applique chacun de ses filtres (ou contrôles) au trafic bot sur vos sites Web, ainsi que les réponses de ceux-ci.

Suivez les étapes ci-dessous pour configurer le profil de bot :

  1. Accédez à Sécurité > Citrix Bot Management > Profils.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Créer un profil de gestion de bot Citrix, définissez les paramètres suivants.

    1. Nom. Nom du profil de bot.
    2. Signature. Nom du fichier de signature de bot.
    3. URL d’erreur. URL pour les redirections.
    4. Commentaire. Brève description du profil.
  4. Cliquez sur Créer et Fermer.

Configurer le profil de gestion de bot

Créer une stratégie de bot

La stratégie de bot contrôle le trafic vers le système de gestion de bot et aussi pour contrôler les journaux de bot envoyés au serveur auditlog. Suivez la procédure pour configurer la stratégie de bot.

  1. Accédez à Sécurité > Citrix Bot Management > Stratégies de bot.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Créer une stratégie de gestion de bot Citrix, définissez les paramètres suivants.
    1. Nom. Nom de la stratégie Bot.
    2. Expression. Tapez l’expression ou la règle de stratégie directement dans la zone de texte.
    3. Profil de bot. Profil de bot pour appliquer la stratégie de bot.
    4. Action non définie. Sélectionnez une action que vous préférez attribuer.
    5. Commentaire. Brève description de la politique.
    6. Actions de journalisation. Action de message de journal d’audit pour la journalisation du trafic de bot. Pour plus d’informations sur l’action du journal d’audit, voir rubrique Journalisation d’audit.
  4. Cliquez sur Créer et Fermer.

Configurer le profil de gestion de bot

Transactions de bot par seconde (TPS)

La technique de bot Transactions par seconde (TPS) détecte le trafic entrant en tant que bot si le nombre de requêtes par seconde (RPS) et l’augmentation en pourcentage de RPS dépassent la valeur de seuil configurée. La technique de détection protège vos applications Web contre les robots automatisés qui peuvent provoquer des activités deWeb scrapping, des connexions de force brute et d’autres attaques malveillantes.

Remarque :

La technique bot détecte un trafic entrant en tant que bot uniquement si les deux paramètres sont configurés et si les deux valeurs augmentent au-delà de la limite de seuil. Considérons un scénario, où l’appliance reçoit de nombreuses demandes provenant d’une URL spécifique et que vous voulez que la gestion du bot Citrix ADC détecte s’il y a une attaque de bot. La technique de détection TPS examine le nombre de demandes (valeur configurée) provenant de l’URL dans un délai de 1 seconde et le pourcentage d’augmentation (valeur configurée) du nombre de demandes reçues dans les 30 minutes. Si les valeurs dépassent la limite de seuil, le trafic est considéré comme bot et l’appliance exécute l’action configurée.

Technique de configuration des transactions de bot par seconde (TPS)

Pour configurer TPS, vous devez effectuer les étapes suivantes :

  1. Activer le robot TPS
  2. Liaison des paramètres TPS au profil de gestion du bot

Liaison des paramètres TPS au profil de gestion du bot

Une fois que vous avez activé la fonctionnalité TPS du bot, vous devez lier les paramètres TPS au profil de gestion du bot.

À l’invite de commandes, tapez :

bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])

Exemple :

bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log

Activer la transaction bot par seconde (TPS)

Avant de commencer, vous devez vous assurer que la fonctionnalité Bot TPS est activée sur l’appliance. À l’invite de commandes, tapez :

set bot profile profile1 –enableTPS ON

Configurer les transactions de bot par seconde (TPS) à l’aide de l’interface graphique Citrix ADC

Suivez les étapes ci-dessous pour terminer la configuration :

  1. Accédez à Sécurité > Citrix Bot Management > Profils.
  2. Dans la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la page Créer un profil Citrix Bot Management, cliquez sur TPS sous la section Paramètres de signature.
  4. Dans la section TPS, activez la fonctionnalité et cliquez sur Ajouter.

    Transactions de gestion de bot par seconde section

  5. Dans la page Configurer la liaison TPS de profil Citrix Bot Management, définissez les paramètres suivants.

    1. Tapez. Types d’entrée autorisés par la technique de détection TPS. Valeurs possibles : IP SOURCE, GEOLOCATION, HOST, URL.

      SOURCE_IP — TPS basé sur l’adresse IP du client.

      GÉOLOCATION — TPS basé sur l’emplacement géographique du client.

      HOST - TPS basé sur les demandes client transférées à une adresse IP de serveur principal spécifique.

      URL — TPS basé sur les demandes des clients provenant d’une URL spécifique.

    2. Seuil fixe. Nombre maximal de demandes autorisées à partir d’un type d’entrée TPS dans un intervalle de temps d’une seconde.

    3. Seuil de pourcentage. Pourcentage maximal d’augmentation des demandes provenant d’un type d’entrée TPS dans un intervalle de temps de 30 minutes.

    4. Action. Action à prendre pour le bot détecté par liaison TPS.

    5. Journal. Activer ou désactiver la journalisation pour la liaison TPS.

    6. Consigner le message. Message à enregistrer pour le bot détecté par liaison TPS. Longueur maximale : 255.

    7. Commentaires. Une brève description de la configuration TPS. Longueur maximale : 255

  6. Cliquez sur OK, puis sur Fermer .

Transactions de gestion de bot par seconde section