Citrix ADC

Intégration de Citrix ADC à des dispositifs de sécurité passifs (système de détection d’intrusion)

Une appliance Citrix ADC est désormais intégrée à des dispositifs de sécurité passifs tels que le système de détection d’intrusion (IDS). Ces appareils passifs stockent des journaux et déclenchent des alertes lorsqu’ils détectent un trafic défectueux ou non conforme. Il génère également des rapports à des fins de conformité. Si l’appliance Citrix ADC est intégrée à deux appareils IDS ou plus et lorsqu’il y a un volume de trafic élevé, l’appliance peut équilibrer la charge des appareils en clonant le trafic au niveau du serveur virtuel.

Pour une protection de sécurité avancée, une appliance Citrix ADC est intégrée aux périphériques de sécurité passifs tels que les IDS déployés en mode de détection uniquement. Ces appareils stockent le journal et déclenchent des alertes lorsqu’ils détectent un trafic mauvais ou non conforme. Il génère également des rapports à des fins de conformité. Voici quelques-uns des avantages de l’intégration de Citrix ADC à un appareil IDS.

  • Inspection du trafic chiffré. La plupart des dispositifs de sécurité contournent le trafic chiffré, ce qui rend les serveurs vulnérables aux attaques. Une appliance Citrix ADC peut déchiffrer le trafic et l’envoyer aux appareils IDS afin d’améliorer la sécurité du réseau du client.
  • Déchargement des appareils en ligne du traitement TLS/SSL. Le traitement TLS/SSL est coûteux et il entraîne un processeur système élevé dans les dispositifs de détection d’intrusion s’ils décryptent le trafic. Le trafic chiffré augmentant rapidement, ces systèmes ne parviennent pas à déchiffrer et à inspecter le trafic chiffré. Citrix ADC permet de décharger le trafic vers les appareils IDS du traitement TLS/SSL. Cette façon de décharger les données permet à un dispositif IDS de prendre en charge un volume élevé d’inspection du trafic.
  • Périphériques IDS d’équilibragede L’appliance Citrix ADC équilibre la charge de plusieurs appareils IDS lorsqu’il y a un volume de trafic élevé en clonant le trafic au niveau du serveur virtuel.
  • Réplication du trafic vers des appareils passifs. Le trafic entrant dans l’appliance peut être répliqué vers d’autres appareils passifs pour générer des rapports de conformité. Par exemple, peu d’agences gouvernementales exigent que chaque transaction soit enregistrée sur certains appareils passifs.
  • Fanning du trafic vers plusieurs appareils passifs. Certains clients préfèrent répartir ou répliquer le trafic entrant sur plusieurs appareils passifs.
  • Sélection intelligente du trafic. Chaque paquet entrant dans l’appliance peut ne pas faire l’objet d’une inspection de contenu, par exemple le téléchargement de fichiers texte. L’utilisateur peut configurer l’appliance Citrix ADC pour sélectionner un trafic spécifique (par exemple des fichiers .exe) à inspecter et envoyer le trafic aux appareils IDS pour le traitement des données.

Comment Citrix ADC est intégré à un appareil IDS avec une connectivité L2

Le schéma suivant montre comment IDS est intégré à une appliance Citrix ADC.

Intégration IDS

L’interaction entre les composants est donnée comme suit :

  1. Un client envoie une demande HTTP/HTTPS à l’appliance Citrix ADC.
  2. L’appliance intercepte le trafic et le réplique sur un périphérique IDS en fonction de l’évaluation de la stratégie d’inspection du contenu.
  3. Si le trafic est chiffré, l’appliance déchiffre les données et les envoie en texte brut.
  4. Sur la base de l’évaluation de la stratégie, l’appliance applique une action d’inspection de contenu de type « MIROIR ».
  5. Le service IDS ou le service d’équilibrage de charge (pour plusieurs intégrations de périphériques IDS) est configuré dans l’action.
  6. Le périphérique IDS est configuré en tant que type de service d’inspection de contenu « Tout » sur l’appliance. Le service d’inspection de contenu est ensuite associé au profil d’inspection de contenu de type « MIRROR » qui spécifie l’interface de sortie par laquelle les données doivent être transmises au dispositif IDS. Vous pouvez également configurer une balise VLAN dans le profil d’inspection du contenu.

    Remarque :

    • L’adresse IP utilisée pour le service ou le serveur IDS est une adresse fictive.
    • L’appliance Citrix ADC ne prend pas en charge le canal LA pour l’interface de sortie.
  7. L’appareil réplique ensuite les données via l’interface de sortie vers un ou plusieurs dispositifs IDS.
  8. De même, lorsque le serveur principal envoie une réponse à Citrix ADC, l’appliance réplique les données et les transmet au périphérique IDS.
  9. Si votre appliance est intégrée à un ou plusieurs appareils IDS et si vous préférez équilibrer la charge des appareils, vous pouvez utiliser le serveur virtuel d’équilibrage de charge.

Licences logicielles

Pour déployer l’intégration d’appareils en ligne, votre appliance Citrix ADC doit être provisionnée avec l’une des licences suivantes :

  1. ADC Premium
  2. ADC Avancé
  3. Telco Advanced
  4. Télécoms Premium

Configuration de l’intégration du système de détection

Vous pouvez intégrer l’appareil IDS à Citrix ADC de deux manières différentes.

Scénario 1 : intégration avec un seul appareil IDS

Voici les étapes que vous devez configurer à l’aide de l’interface de ligne de commande.

  1. Activer l’inspection du contenu
  2. Ajoutez un profil d’inspection de contenu de type MIRROR pour le service représentant le périphérique IDS
  3. Ajouter un service IDS de type « ANY »
  4. Ajouter une action d’inspection de contenu de type « MIRROR »
  5. Ajout d’une stratégie d’inspection du contenu pour l’inspection
  6. Lier la stratégie d’inspection de contenu au service virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Activer l’inspection du contenu

Si vous souhaitez que l’appliance Citrix ADC envoie le contenu pour inspection aux appareils IDS, vous devez activer les fonctionnalités d’inspection du contenu et d’équilibrage de charge indépendamment du déchiffrement effectué.

À l’invite de commandes, tapez :

enable ns feature contentInspection LoadBalancing

Add Content Inspection profile de type « MIRROR »

Le profil d’inspection du contenu de type « MIRROR » explique comment vous pouvez vous connecter au périphérique IDS. À l’invite de commandes, tapez.

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

Exemple :

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

Ajouter un service IDS

Vous devez configurer un service de type « ANY » pour chaque périphérique IDS intégré à l’appliance. Le service contient les détails de configuration de l’appareil IDS. Le service représente l’appareil IDS.

À l’invite de commandes, tapez :

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

Exemple :

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

Ajout d’une action d’inspection de contenu de type MIRROR pour le service

Après avoir activé la fonctionnalité Inspection du contenu, puis ajouté le profil et le service IDS, vous devez ajouter l’action Inspection du contenu pour traiter la demande. En fonction de l’action d’inspection du contenu, l’appliance peut supprimer, réinitialiser, bloquer ou envoyer des données au périphérique IDS.

À l’invite de commandes, tapez :

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

Exemple :

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

Ajout d’une stratégie d’inspection du contenu pour l’inspection

Après avoir créé une action d’inspection du contenu, vous devez ajouter des stratégies d’inspection du contenu pour évaluer les demandes d’inspection. La stratégie est basée sur une règle qui consiste en une ou plusieurs expressions. La stratégie évalue et sélectionne le trafic à inspecter en fonction de la règle.

À l’invite de commandes, tapez ce qui suit :

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

Exemple :

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Lier la stratégie d’inspection de contenu au service virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Pour recevoir le trafic Web, vous devez ajouter un serveur virtuel d’équilibrage de charge. À l’invite de commandes, tapez :

add lb vserver <name> <vserver name>

Exemple :

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

Lier la stratégie d’inspection du contenu au serveur virtuel de commutation de contenu ou au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Vous devez lier le serveur virtuel d’équilibrage de charge ou le serveur virtuel de commutation de contenu de type HTTP/SSL à la stratégie d’inspection du contenu.

À l’invite de commandes, tapez ce qui suit :

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

Exemple :

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Scénario 2 : équilibrage de charge de plusieurs périphériques IDS

Si vous utilisez deux appareils IDS ou plus, vous devez équilibrer la charge des appareils à l’aide de différents services d’inspection de contenu. Dans ce cas, l’appliance Citrix ADC équilibre la charge des appareils en plus d’envoyer un sous-ensemble de trafic à chaque appareil. Pour les étapes de configuration de base, reportez-vous au scénario 1.

Équilibrage de charge de plusieurs périphériques

Voici les étapes que vous devez configurer à l’aide de l’interface de ligne de commande.

  1. Ajouter le profil d’inspection de contenu 1 de type MIRROR pour le service IDS 1
  2. Ajouter le profil d’inspection de contenu 2 de type MIRROR pour le service IDS 2
  3. Ajouter le service IDS 1 de type ANY pour le périphérique IDS 1
  4. Ajouter le service IDS 2 de type ANY pour le périphérique IDS 2
  5. Ajouter un serveur virtuel d’équilibrage de charge de type ANY
  6. Lier le service IDS 1 au serveur virtuel d’équilibrage de charge
  7. Lier le service IDS 2 au serveur virtuel d’équilibrage de charge
  8. Ajoutez une action d’inspection du contenu pour l’équilibrage de charge des périphériques IDS.
  9. Ajouter une stratégie d’inspection du contenu pour l’inspection
  10. Ajouter un serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL
  11. Lier la stratégie d’inspection du contenu au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Ajouter le profil d’inspection de contenu 1 de type MIRROR pour le service IDS 1

La configuration IDS peut être spécifiée dans une entité appelée profil d’inspection du contenu. Le profil possède un ensemble de paramètres d’appareil. Le profil d’inspection du contenu1 est créé pour le service IDS 1.

À l’invite de commandes, tapez :

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

Exemple :

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

Ajouter le profil d’inspection de contenu 2 pour le type MIRROR for IDS service 2

Le profil d’inspection du contenu 2 est ajouté pour le service 2 et le périphérique en ligne communique avec l’appliance via l’interface de sortie 1/1.

À l’invite de commandes, tapez :

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

Exemple :

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

Ajouter le service IDS 1 de type ANY pour le périphérique IDS 1

Après avoir activé la fonction d’inspection du contenu et ajouté le profil en ligne, vous devez ajouter un service en ligne 1 pour que le périphérique en ligne 1 fasse partie de la configuration de l’équilibrage de charge. Le service que vous ajoutez fournit tous les détails de configuration en ligne.

À l’invite de commandes, tapez :

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

Exemple :

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

Remarque

L’adresse IP mentionnée dans l’exemple est fictive.

Ajouter le service IDS 2 de type ANY pour le périphérique IDS 2

Après avoir activé la fonctionnalité d’inspection du contenu et ajouté le profil en ligne, vous devez ajouter un service en ligne 2 pour le périphérique en ligne 2. Le service que vous ajoutez fournit tous les détails de configuration en ligne.

À l’invite de commandes, tapez :

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

Exemple :

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

Remarque

L’adresse IP mentionnée dans l’exemple est fictive.

Ajouter un serveur virtuel d’équilibrage de charge

Après avoir ajouté le profil en ligne et les services, vous devez ajouter un serveur virtuel d’équilibrage de charge pour l’équilibrage de charge des services.

À l’invite de commandes, tapez :

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

Exemple :

add lb vserver lb-IDS_vserver ANY 1.1.1.2

Lier le service IDS 1 au serveur virtuel d’équilibrage de charge

Après avoir ajouté le serveur virtuel d’équilibrage de charge, liez maintenant le serveur virtuel d’équilibrage de charge au premier service.

À l’invite de commandes, tapez :

bind lb vserver <Vserver_name> <Service_name_1>

Exemple :

bind lb vserver lb-IDS_vserver IDS_service1

Lier le service IDS 2 au serveur virtuel d’équilibrage de charge

Après avoir ajouté le serveur virtuel d’équilibrage de charge, liez maintenant le serveur au deuxième service.

À l’invite de commandes, tapez :

bind lb vserver <Vserver_name> <Service_name_1>

Exemple :

bind lb vserver lb-IDS_vserver IDS_service2

Ajouter une action d’inspection de contenu pour le service IDS

Après avoir activé la fonctionnalité Inspection du contenu, vous devez ajouter l’action Inspection du contenu pour gérer les informations de demande en ligne. En fonction de l’action sélectionnée, l’appliance supprime, réinitialise, bloque ou envoie du trafic vers le périphérique IDS.

À l’invite de commandes, tapez :

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

Exemple :

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

Ajouter une stratégie d’inspection du contenu pour l’inspection

Après avoir créé une action d’inspection du contenu, vous devez ajouter une stratégie d’inspection du contenu pour évaluer les demandes de service.

À l’invite de commandes, tapez ce qui suit :

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

Exemple :

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Ajouter un serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Ajoutez un serveur virtuel de commutation de contenu ou d’équilibrage de charge pour accepter le trafic Web. Vous devez également activer la connexion layer2 sur le serveur virtuel.

Pour plus d’informations sur l’équilibrage de charge, reportez-vous à la rubrique Fonctionnement de l’équilibrage de charge .

À l’invite de commandes, tapez :

add lb vserver <name> <vserver name>

Exemple :

add lb vserver http_vserver HTTP 1.1.1.1 8080

Lier la stratégie d’inspection du contenu au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Vous devez lier le serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL à la stratégie d’inspection du contenu.

À l’invite de commandes, tapez ce qui suit :

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

Exemple :

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Configurer l’intégration des services en ligne à l’aide de l’interface Citrix ADC

  1. Accédez à Sécurité > Inspection du contenu > Profils d’inspection du contenu.
  2. Sur la page Profil d’inspection du contenu, cliquez sur Ajouter.
  3. Sur la page Créer un profil d’inspection du contenu, définissez les paramètres suivants.
    1. Nom du profil. Nom du profil d’inspection du contenu pour IDS.
    2. Type. Sélectionnez les types de profil en tant que MIROIR.
    3. Interface de sortie. Interface via laquelle le trafic est envoyé depuis Citrix ADC vers l’appareil IDS.
    4. VLAN de sortie (facultatif). ID VLAN de l’interface par laquelle le trafic est envoyé au périphérique IDS.
  4. Cliquez sur Créer.

    Créer un profil d'inspection de contenu

  5. Accédez à Gestion du trafic > Équilibrage de charge > Services, puis cliquez sur Ajouter.
  6. Sur la page Service d’équilibrage de charge, entrez les détails du service d’inspection du contenu.
  7. Dans la section Paramètres avancés, cliquez sur Profils.
  8. Accédez à la section Profils et cliquez sur l’icône Crayon pour ajouter le profil d’inspection du contenu.
  9. Cliquez sur OK.

    Créer un profil d'inspection de contenu

  10. Accédez à Équilibrage de charge > Serveurs. Ajoutez un serveur virtuel de type HTTP ou SSL.
  11. Après avoir saisi les détails du serveur, cliquez sur OK, puis de nouveau sur OK.
  12. Dans la section Paramètres avancés, cliquez sur Stratégies.
  13. Accédez à la section Stratégies et cliquez sur l’icône en forme de crayon pour configurer la stratégie d’inspection du contenu.
  14. Sur la page Choisir une stratégie, sélectionnez Inspection du contenu. Cliquez sur Continuer.
  15. Dans la section Liaison de stratégie, cliquez sur « + » pour ajouter une stratégie d’inspection du contenu.
  16. Sur la page Créer une stratégie de CI, entrez un nom pour la stratégie d’inspection du contenu en ligne.
  17. Dans le champ Action, cliquez sur le signe « + » pour créer une action d’inspection du contenu IDS de type MIRROR.
  18. Sur la page Créer une action de CI, définissez les paramètres suivants.

    a. Nom. Nom de la stratégie en ligne d’inspection du contenu.

    b. Type. Sélectionnez le type en tant que MIROIR. c. Nom du serveur. Sélectionnez le nom du serveur/service en tant que périphériques en ligne.

    d. En cas de panne du serveur. Sélectionnez une opération si le serveur tombe en panne. e. Délai d’expiration de la demande. Sélectionnez une valeur de délai d’expiration. Les valeurs par défaut peuvent être utilisées.

    f. Action de délai d’expiration de demande. Sélectionnez une action de délai d’expiration. Les valeurs par défaut peuvent être utilisées.

  19. Cliquez sur Créer.

    Action d'inspection de création de contenu

  20. Sur la page Créer une stratégie de CI, entrez d’autres détails.
  21. Cliquez sur OK et sur Fermer.

Pour plus d’informations sur la configuration de l’interface graphique Citrix ADC pour l’équilibrage de charge et la réplication du trafic sur les appareils IDS, voir Équilibrage de charge.

Créer une stratégie d'inspection de contenu

Pour plus d’informations sur la configuration de l’interface graphique Citrix ADC pour l’équilibrage de charge et le transfert du trafic vers le serveur d’origine principal après la transformation du contenu, reportez-vous à la rubrique Équilibrage de charge .

Intégration de Citrix ADC à des dispositifs de sécurité passifs (système de détection d’intrusion)