Réputation IP

La réputation IP est un outil qui identifie les adresses IP qui envoient des demandes indésirables. Utilisez la liste de réputation IP, vous pouvez rejeter les demandes provenant d’une adresse IP ayant une mauvaise réputation. Vous pouvez également optimiser les performances du pare-feu d’application Web en filtrant les demandes que vous ne souhaitez pas traiter. Vous pouvez réinitialiser, supprimer une demande ou même configurer une stratégie de répondeur pour qu’elle prenne une action spécifique.

Voici quelques attaques que vous pouvez empêcher à l’aide de la réputation IP :

  • Ordinateurs personnels infectés par le virus. (PC domestiques) sont la plus grande source de spam sur Internet. La réputation IP peut identifier l’adresse IP qui envoie des demandes indésirables. La réputation IP peut être particulièrement utile pour bloquer les attaques de DDoS à grande échelle, de DoS ou d’inondation de SYN anormales provenant de sources infectées connues.
  • Botnet géré de manière centralisée et automatisé. Les attaquants ont gagné en popularité pour voler des mots de passe, car cela ne prend pas longtemps lorsque des centaines d’ordinateurs travaillent ensemble pour casser votre mot de passe. Il est facile de lancer des attaques de botnet pour trouver des mots de passe qui utilisent des mots de passe couramment utilisés dans le dictionnaire.
  • Serveur Web compromis. Les attaques ne sont pas aussi fréquentes car la sensibilisation et la sécurité des serveurs ont augmenté, de sorte que les pirates et les spammeurs recherchent des cibles plus faciles. Il existe encore des serveurs Web et des formulaires en ligne que les pirates peuvent compromettre et utiliser pour envoyer du spam (tels que des virus et du pornographie), mais généralement une telle activité est plus facile à détecter et à arrêter rapidement, ou bloquer avec une liste de réputation telle que SpamRats.
  • Exploits Windows. (telles que les IP actives proposant ou distribuant des logiciels malveillants, du code shell, des rootkits, des vers ou des virus).
  • Spammeurs et pirates connus.
  • Campagnes de marketing par e-mailde masse.
  • Proxies par hameçonnage (adresses IP hébergeant des sites de phishing et autres fraudes telles que la fraude par clic publicitaire ou la fraude par jeu).
  • Proxies anonymes (adresses IP fournissant des services de proxy et d’anonymisation y compris The Onion Router aka TOR).

Une appliance Citrix ADC utilise Webroot comme fournisseur de services pour la base de données IP malveillante générée dynamiquement et les métadonnées de ces adresses IP. Les métadonnées peuvent inclure des détails de géolocalisation, la catégorie de menaces, le nombre de menaces, etc. Le moteur d’intelligence des menaces de Webroot reçoit des données en temps réel provenant de millions de capteurs. Il capture, analyse, analyse et note automatiquement et en continu les données, en utilisant l’apprentissage automatique avancé et l’analyse comportementale. Les renseignements sur une menace sont constamment mis à jour.

Lorsqu’une menace est détectée n’importe où sur le réseau, l’adresse IP est signalée comme étant malveillante et toutes les appliances connectées au réseau sont immédiatement protégées. Les changements dynamiques dans les adresses IP sont traités avec grande vitesse et précision grâce à l’apprentissage automatique avancé.

Comme indiqué dans lefiche techniquede Webroot, le réseau de capteurs de Webroot identifie de nombreux types de menaces IP clés, y compris les sources de spam, les exploits Windows, les botnets, les scanners, etc. (Voir le diagramme de flux sur la fiche technique)

L’appliance Citrix ADC utilise un processusiprep client pour obtenir la base de données à partir de Webroot. Leiprep client utilise la méthode HTTP GET pour obtenir la liste IP absolue de Webroot pour la première fois. Plus tard, il vérifie les changements delta une fois toutes les 5 minutes.

Important :

  • Assurez-vous que l’appliance Citrix ADC dispose d’un accès Internet et que le DNS est configuré avant d’utiliser la fonctionnalité de réputation IP.

  • Pour accéder à la base de données Webroot, l’appliance Citrix ADC doit pouvoir se connecter à api.bcti.brightcloud.com sur le port 443. Chaque nœud du déploiement de haute disponibilité (HA) ou de cluster obtient la base de données directement à partir du webroot et devrait pouvoir accéder à ce nom de domaine complet (FQDN).

  • Webroot héberge actuellement sa base de données de réputation dans AWS. Par conséquent, Citrix ADC devrait être en mesure de résoudre les domaines AWS pour le téléchargement de la base de données de réputation. De plus, le pare-feu doit être ouvert pour les domaines AWS.

  • L’appliance Citrix ADC peut se connecterwiprep-daily.*.amazonaws.com au port 443 pour obtenir des données IP d’AWS.

  • iPrep collecte des analyses d’utilisation à partir de l’appliance Citrix ADC et envoie les données au service Citrix ADM. L’adresse IP du service ADM est 54.173.79.18

Remarque :

Chaque moteur de paquets nécessite au moins 4 Go pour fonctionner correctement lorsque la fonctionnalité de réputation IP est activée.

Expressions de stratégie avancées. La fonctionnalité de réputation IP peut être configurée à l’aide d’expressions de stratégie avancées (expressions de syntaxe par défaut Citrix ADC) dans les stratégies liées aux modules pris en charge tels que le pare-feu d’application Web et le répondeur. Voici deux exemples montrant les expressions qui peuvent être utilisées pour détecter si l’adresse IP du client est malveillante.

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS : Cette expression est évaluée à TRUE si le client est inclus dans la liste des adresses IP malveillantes.
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY) : Cette expression est évaluée à TRUE si l’adresse IP du client est une adresse IP malveillante et se trouve dans la catégorie de menace spécifiée.

Voici les valeurs possibles pour la catégorie de menace :

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, CLOUD_PROVIDERS, MOBILE_THREATS.

Remarque :

La fonctionnalité de réputation IP peut vérifier à la fois les adresses IP source et de destination. Il peut également détecter des adresses IP malveillantes dans l’en-tête. Si l’expression PI dans une stratégie peut identifier l’adresse IP, le contrôle de réputation IP peut déterminer si elle est malveillante.

Message du journal IPrep. Le fichier /var/log/iprep.log contient des messages utiles qui capturent des informations sur la communication avec la base de données Webroot. Les informations peuvent concerner les informations d’identification utilisées pendant la communication Webroot, l’échec de connexion avec Webroot, ce qui est inclus dans une mise à jour (comme le nombre d’adresses IP dans la base de données), etc.

Création d’une liste noire ou blanche d’adresses IP à l’aide d’un ensemble de données de stratégie. Vous pouvez tenir à jour une liste blanche pour autoriser l’accès à des adresses IP spécifiques figurant sur la liste noire dans la base de données Webroot. Vous pouvez également créer une liste noire personnalisée d’adresses IP pour compléter le contrôle de réputation de Webroot. Ces listes peuvent être créées à l’aide d’un ensemble de données de stratégie. Un ensemble de données est une forme spécialisée de jeu de motifs qui convient parfaitement à la correspondance d’adresses IPv4. Pour utiliser des ensembles de données, créez d’abord l’ensemble de données et liez-y des adresses IPv4. Ensuite, lorsque vous configurez une stratégie pour comparer une chaîne dans un paquet, utilisez un opérateur approprié et passez le nom du jeu de motifs ou de l’ensemble de données comme argument.

Pour utiliser le jeu de données pour créer une liste blanche personnalisée d’adresses à traiter comme des exceptions lors de l’évaluation de réputation IP, configurez la stratégie de sorte que l’expression PI ait la valeur False, même si une adresse de la liste blanche est répertoriée comme malveillante par Webroot (ou tout fournisseur de services).

Activation ou désactivation de la réputation IP. La réputation IP fait partie de la fonctionnalité de réputation générale, qui est basée sur la licence. Lorsque vous activez ou désactivez la fonctionnalité de réputation, elle active ou désactive la réputation IP.

Procédure générale. Le déploiement de la réputation IP implique les tâches suivantes

  • Vérifiez que la licence installée sur l’appliance Citrix ADC est prise en charge de la réputation IP. Les licences de pare-feu d’application Premium et autonomes prennent en charge la fonctionnalité de réputation IP.
  • Activez les fonctionnalités de réputation IP et de pare-feu d’application.
  • Ajoutez un profil de pare-feu d’application.
  • Ajoutez une stratégie de pare-feu d’application à l’aide des expressions PI pour identifier les adresses IP malveillantes dans la base de données de réputation IP.
  • Liez la stratégie de pare-feu de l’application à un point de liaison approprié.
  • Vérifiez que toute demande reçue d’une adresse malveillante est enregistrée dans le fichier ns.log pour indiquer que la demande a été traitée comme spécifié dans le profil.

Utilisation de la ligne de commande pour configurer la fonctionnalité de réputation IP

Pour activer ou désactiver la réputation IP à l’aide de la CLI, vous pouvez utiliser les commandes suivantes :

  • enable feature reputation
  • disable feature reputation

Les exemples suivants montrent comment ajouter une stratégie de pare-feu d’application à l’aide de l’expression PI pour identifier les adresses malveillantes. Vous pouvez utiliser les profils intégrés, ajouter un profil ou configurer un profil existant pour appeler l’action souhaitée lorsqu’une demande correspond à une correspondance de stratégie.

Les exemples 3 et 4 montrent comment créer un jeu de données de stratégie pour générer une liste d’adresses IP noire (à bloquer) ou blanche (à autoriser).

Exemple 1 :

La commande suivante crée une stratégie qui identifie les adresses IP malveillantes et bloque la demande si une correspondance est déclenchée :

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

Exemple 2 :

La commande suivante crée une stratégie qui utilise le service de réputation pour vérifier l’adresse IP du client dans un en-tête spécifique (X-Forwarded-For) et réinitialiser la connexion si une correspondance est déclenchée :

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

Exemple 3 :

L’exemple suivant montre comment ajouter une liste pour ajouter des exceptions autorisant des adresses IP spécifiées :

> add policy dataset Allow_list ipv4

> bind policy dataset Allow_list 10.217.25.17 -index 1

> bind policy dataset Allow_list 10.217.25.18 -index 2

Exemple 4 :

L’exemple suivant montre comment ajouter la liste personnalisée pour marquer les adresses IP spécifiées comme malveillantes :

> add policy dataset Block_List ipv4

> bind policy dataset Block_List 10.217.31.48 -index 1

> bind policy dataset Block_List 10.217.25.19 -index 2

Exemple 5 :

L’exemple suivant montre une expression de stratégie pour bloquer l’adresse IP du client si elle correspond à une adresse IP configurée dans la liste Block_list personnalisée (exemple 4) ou si elle correspond à une adresse IP répertoriée dans la base de données Webroot, sauf si elle est relâchée par inclusion dans la liste Allow_list (exemple 3).

> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_List")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_List")))" APPFW_BLOCK

Utilisation du serveur proxy :

Si l’appliance Citrix ADC ne dispose pas d’un accès direct à Internet et est connectée au proxy, utilisez la commande suivante pour configurer le client de réputation IP afin d’envoyer des demandes au proxy.

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

Exemple :

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

Remarque

L’adresse IP du serveur proxy peut être une adresse IP ou un nom de domaine complet (FQDN).

Configurer la réputation IP à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Paramètres. Dans la section Modes et fonctionnalités, cliquez sur le lien pour accéder au volet Configurer les fonctionnalités avancées et activez la case à cocher Réputation.
  2. Cliquez sur OK.

activer la réputation IP

Pour configurer un serveur proxy à l’aide de l’interface graphique Citrix ADC

  1. Sous l’onglet Configuration, accédez à Sécurité > Réputation. Sous Paramètres, cliquez sur Modifier les paramètres de réputationpour configurer un serveur proxy. Vous pouvez également activer ou désactiver la fonction de réputation. Leserveur proxy peut être une adresse IP ou un nom de domaine complet (FQDN). Le port proxy accepte les valeurs entre [1–65535].

paramètres de réputation

Pour créer une liste blanche et une liste noire des adresses IP du client

Suivez la procédure ci-dessous pour configurer une liste blanche et une liste noire des adresses IP des clients.

  1. Sous l’onglet Configuration, accédez à AppExpert > Jeux de données.
  2. Cliquez sur Ajouter.

configurer le jeu de données

  • Dans le volet Créer un jeu de données (ou Configurer un jeu de données), indiquez un nom significatif pour la liste des adresses IP. Le nom doit refléter l’objet de la liste. Par exemple, vous pouvez utiliser un nom tel que la liste blanche ou la liste d’adresses IP lors de la création d’une liste d’adresses IP que vous souhaitez exempter de l’action effectuée lorsque le contrôle de réputation IP détermine que l’adresse IP source correspond à une adresse IP désignée comme étant une adresse IP malveillante dans le webroot base de données. De même, utilisez des noms tels que Block_list ou Malicious_IP_list si vous ajoutez une liste d’adresses IP que vous souhaitez signaler comme malveillantes pour compléter la base de données webroot.
  • Sélectionnez Type comme IPv4.
  • Cliquez sur Insérer pour ajouter une entrée.

Insérer un jeu de données

  • Dans le volet de liaison Configurer le jeu de données Stratégie, ajoutez une adresse IP au format IPv4 dans la zone de saisie Valeur.
  • Fournissez un index.
  • Ajoutez un commentaire qui explique le but de la liste. Cette étape est facultative, mais elle est recommandée car un commentaire descriptif est utile pour gérer la liste.

De même, vous pouvez créer un block_list et ajouter les adresses IP qui doivent être considérées comme malveillantes.

Consultez également Jeux de motifs et jeux de données pour plus de détails sur l’utilisation des ensembles de données et la configuration des expressions de stratégie de syntaxe par défaut, reportez-vous à la section.

Configurer une stratégie de pare-feu d’application à l’aide de l’interface graphique Citrix ADC

  1. Sous l’onglet Configuration, accédez à Sécurité > Pare-feu d’application > Stratégies > Pare-feu. Cliquez sur Ajouter pour ajouter une stratégie à l’aide des expressions PI pour utiliser la réputation IP.

Vous pouvez également utiliser l’éditeur d’expression pour créer votre propre expression de stratégie. La liste affiche les options préconfigurées qui sont utiles pour configurer une expression à l’aide des catégories de menaces.

Résumé

  • Arrêtez rapidement et avec précision le trafic défectueux à la périphérie du réseau à partir d’adresses IP malveillantes connues posant différents types de menaces. Vous pouvez bloquer la requête sans analyser le corps.
  • Configurez dynamiquement la fonctionnalité de réputation IP pour plusieurs applications.
  • Sécurisez votre réseau contre les violations de données sans pénaliser les performances et consolidez les protections sur une structure de services unique grâce à des déploiements rapides et faciles.
  • Vous pouvez effectuer des vérifications de réputation IP sur les adresses IP source et destination.
  • Vous pouvez également inspecter les en-têtes pour détecter les adresses IP malveillantes.
  • La vérification de la réputation IP est prise en charge dans les déploiements de proxy aval et de proxy inverse.
  • Le processus de réputation IP se connecte à Webroot et met à jour la base de données toutes les 5 minutes.
  • Chaque nœud du déploiement Haute disponibilité (HA) ou Cluster obtient la base de données de Webroot.
  • Les données de réputation IP sont partagées entre toutes les partitions dans les déploiements de partitions d’administration.
  • Vous pouvez utiliser un jeu de données AppExpert pour créer des listes d’adresses IP afin d’ajouter des exceptions pour les adresses IP figurant sur la liste noire dans la base de données Webroot. Vous pouvez également créer votre propre liste noire personnalisée pour désigner des adresses IP spécifiques comme malveillantes.
  • Le fichier iprep.db est créé dans le dossier /var/nslog/iprep. Une fois créé, il n’est pas supprimé même si la fonctionnalité est désactivée.
  • Lorsque la fonctionnalité de réputation est activée, la base de données Citrix ADC Webroot est téléchargée. Après cela, il est mis à jour toutes les 5 minutes.
  • La version majeure de la base de données Webroot est la version : 1.
  • La version mineure est mise à jour tous les jours. La version de mise à jour est incrémentée toutes les 5 minutes et est réinitialisée à 1 lorsque la version mineure est incrémentée.
  • Les expressions PI vous permettent d’utiliser la réputation IP avec d’autres fonctionnalités, telles que le répondeur et la réécriture.
  • Les adresses IP de la base de données sont en notation décimale.

Conseils de débogage

  • Si vous ne pouvez pas voir la fonctionnalité de réputation dans l’interface graphique, vérifiez que vous disposez de la bonne licence
  • Surveillez les messages dansvar/log/iprep.log pour le débogage.
  • Connectivité Webroot : si lens iprep: Not able to connect/resolve WebRootmessage s’affiche, assurez-vous que l’appliance dispose d’un accès Internet et que le DNS est configuré.
  • Serveur proxy : si lens iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy namemessage s’affiche, assurez-vous que la configuration du serveur proxy est exacte.
  • Lafonctionnalité de réputation IP ne fonctionne pas : le processus de réputation IP prend environ cinq minutes pour démarrer une fois que vous avez activé la fonction de réputation. La fonctionnalité de réputation IP peut ne pas fonctionner pendant cette durée.
  • Téléchargement de la basede données : Si le téléchargement de données DB IP échoue après l’activation de la fonctionnalité de réputation IP, l’erreur suivante apparaît dans les journaux.

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

Solution : autorisez le trafic sortant vers les URL suivantes ou configurez un proxy pour résoudre le problème.

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443