ADC

Web App Firewall NetScaler

Le pare-feu NetScaler Web App Firewall propose des options faciles à configurer pour répondre à un large éventail d’exigences de sécurité des applications. Les profils Web App Firewall, qui consistent en des ensembles de contrôles de sécurité, peuvent être utilisés pour protéger à la fois les demandes et les réponses en effectuant des inspections approfondies au niveau des paquets. Chaque profil inclut une option permettant de sélectionner des protections de base ou des protections avancées. Certaines protections peuvent nécessiter l’utilisation d’autres fichiers. Par exemple, les contrôles de validation XML peuvent nécessiter des fichiers WSDL ou de schéma. Les profils peuvent également utiliser d’autres fichiers, tels que des signatures ou des objets d’erreur. Ces fichiers peuvent être ajoutés localement ou importés à l’avance et enregistrés sur l’appliance pour une utilisation ultérieure.

Chaque stratégie identifie un type de trafic et ce trafic est inspecté pour détecter les violations de contrôle de sécurité spécifiées dans le profil associé à la stratégie. Les stratégies peuvent avoir différents points de liaison, qui déterminent la portée de la stratégie. Par exemple, une stratégie liée à un serveur virtuel spécifique est invoquée et évaluée uniquement pour le trafic transitant par ce serveur virtuel. Les stratégies sont évaluées dans l’ordre de leurs priorités désignées, et la première qui correspond à la demande ou à la réponse est appliquée.

  • Déploiement rapide de la protection par pare-feu des applications Web

    Vous pouvez utiliser la procédure suivante pour déployer rapidement la sécurité du Web App Firewall :

    1. Ajoutez un profil de Web App Firewall et sélectionnez le type approprié (html, xml, JSON) en fonction des exigences de sécurité de l’application.
    2. Sélectionnez le niveau de sécurité requis (de base ou avancé).
    3. Ajoutez ou importez les fichiers requis, tels que des signatures ou WSDL.
    4. Configurez le profil pour qu’il utilise les fichiers et apportez toute autre modification nécessaire aux paramètres par défaut.
    5. Ajoutez une stratégie de Web App Firewall pour ce profil.
    6. Liez la stratégie au point de liaison cible et spécifiez la priorité.
  • Entités de Web App Firewall

    Profil : un profil Web App Firewall spécifie ce qu’il faut rechercher et ce qu’il faut faire. Il examine à la fois la demande et la réponse afin de déterminer quelles violations potentielles de sécurité doivent être vérifiées et quelles mesures doivent être prises lors du traitement d’une transaction. Un profil peut protéger une charge utile HTML, XML ou HTML et XML. En fonction des exigences de sécurité de l’application, vous pouvez créer un profil de base ou un profil avancé. Un profil de base peut protéger contre les attaques connues. Si une sécurité accrue est requise, vous pouvez déployer un profil avancé pour permettre un accès contrôlé aux ressources de l’application et bloquer les attaques Zero Day. Cependant, un profil de base peut être modifié pour offrir des protections avancées, et inversement. Plusieurs choix d’actions (par exemple, bloquer, enregistrer, apprendre et transformer) sont disponibles. Les contrôles de sécurité avancés peuvent utiliser des cookies de session et des balises de formulaire masquées pour contrôler et surveiller les connexions des clients. Les profils de Web App Firewall peuvent apprendre les violations déclenchées et suggérer les règles de relaxation.

    Protections de base : un profil de base inclut un ensemble préconfiguré de règles de relaxation d’URL de démarrage et de refus d’URL. Ces règles d’assouplissement déterminent quelles demandes doivent être autorisées et celles qui doivent être refusées. Les demandes entrantes sont comparées à ces listes et les actions configurées sont appliquées. Cela permet à l’utilisateur de sécuriser les applications avec une configuration minimale pour les règles de relaxation. Les règles d’URL de démarrage protègent contre la navigation forcée. Les vulnérabilités connues des serveurs Web exploitées par des pirates peuvent être détectées et bloquées en activant un ensemble de règles de refus d’URL par défaut. Les attaques lancées couramment, telles que Buffer Overflow, SQL ou cross-site scripting peuvent également être facilement détectées.

    Protections avancées : comme son nom l’indique, les protections avancées sont utilisées pour les applications qui présentent des exigences de sécurité plus élevées. Les règles de relaxation sont configurées pour autoriser l’accès à des données spécifiques et bloquer le reste. Ce modèle de sécurité positif atténue les attaques inconnues, qui peuvent ne pas être détectées par les contrôles de sécurité de base. Outre toutes les protections de base, un profil avancé permet de suivre la session d’un utilisateur en contrôlant la navigation, en vérifiant la présence de cookies, en spécifiant les exigences de saisie pour les différents champs de formulaire et en protégeant contre la falsification des formulaires ou les attaques de falsification de demandes intersites. L’apprentissage, qui observe le trafic et déploie les relaxations appropriées, est activé par défaut pour de nombreux contrôles de sécurité. Bien que faciles à utiliser, les protections avancées nécessitent une attention particulière, car elles offrent une sécurité plus étroite, mais nécessitent également plus de traitement et ne permettent pas l’utilisation de la mise en cache, ce qui peut affecter les performances.

    Importer—La fonctionnalité d’importation est utile lorsque les profils Web App Firewall doivent utiliser des fichiers externes, c’est-à-dire des fichiers hébergés sur un serveur Web externe ou interne, ou qui doivent être copiés à partir d’une machine locale. Il est utile d’importer un fichier et de le stocker sur l’appliance, en particulier dans les situations où vous devez contrôler l’accès à des sites Web externes, ou lorsque la compilation prend beaucoup de temps, que des fichiers volumineux doivent être synchronisés sur des déploiements HA ou vous pouvez réutiliser un fichier en le copiant sur plusieurs périphériques. Par exemple :

    • Les WSDL hébergés sur des serveurs Web externes peuvent être importés localement avant de bloquer l’accès à des sites Web externes.
    • Les fichiers de signature volumineux générés par un outil d’analyse externe tel que Cenzic peuvent être importés et précompilés à l’aide du schéma de l’appliance NetScaler ADC.
    • Une page d’erreur HTML ou XML personnalisée peut être importée à partir d’un serveur Web externe ou copiée à partir d’un fichier local.

    Signatures—Les signatures sont puissantes, car elles utilisent la correspondance de motifs pour détecter les attaques malveillantes et peuvent être configurées pour vérifier à la fois la demande et la réponse d’une transaction. Ils sont une option privilégiée lorsqu’une solution de sécurité personnalisable est nécessaire. Plusieurs choix (par exemple, bloquer, enregistrer, apprendre et transformer) sont disponibles pour l’action à effectuer lorsqu’une correspondance de signature est détectée. Le Web App Firewall possède un objet de signature par défaut intégré composé de plus de 1 300 règles de signature, avec une option permettant d’obtenir les règles les plus récentes à l’aide de la fonction de mise à jour automatique. Les règles créées par d’autres outils d’analyse peuvent également être importées. L’objet de signature peut être personnalisé en ajoutant de nouvelles règles, qui peuvent fonctionner avec les autres contrôles de sécurité spécifiés dans le profil Web App Firewall. Une règle de signature peut comporter plusieurs modèles et ne peut signaler une violation que lorsque tous les modèles correspondent, évitant ainsi les faux positifs. Une sélection minutieuse d’un fastmatch motif littéral pour une règle peut considérablement optimiser le temps de traitement.

    Stratégies—Les stratégies de pare-feu Web App sont utilisées pour filtrer et séparer le trafic en différents types. Cela offre la flexibilité nécessaire pour implémenter différents niveaux de protection de sécurité pour les données de l’application. L’accès à des données très sensibles peut être dirigé vers des inspections de sécurité avancées, tandis que les données moins sensibles sont protégées par des inspections de sécurité de base. Des stratégies peuvent également être configurées pour contourner les contrôles de sécurité en cas de trafic inoffensif. Une sécurité accrue nécessite davantage de traitement. Une conception soignée des stratégies peut donc fournir la sécurité souhaitée ainsi que des performances optimisées. La priorité de la stratégie détermine l’ordre dans lequel elle est évaluée, et son point de référence détermine la portée de son application.

Résumé

  1. Possibilité de sécuriser un large éventail d’applications en protégeant différents types de données, en mettant en œuvre le niveau de sécurité approprié pour différentes ressources, tout en obtenant des performances optimales.
  2. Possibilité d’ajouter ou de modifier une configuration de sécurité. Vous pouvez renforcer ou assouplir les contrôles de sécurité en activant ou en désactivant les protections de base et avancées.
  3. Possibilité de convertir un profil HTML en profil XML ou Web2.0 (HTML+XML) et inversement, offrant la flexibilité nécessaire pour renforcer la sécurité pour différents types de charge utile.
  4. Des actions faciles à déployer pour bloquer les attaques, les surveiller dans des journaux, collecter des statistiques ou même transformer certaines chaînes d’attaques pour les rendre inoffensives.
  5. Possibilité de détecter les attaques en inspectant les demandes entrantes et de prévenir les fuites de données sensibles en inspectant les réponses envoyées par les serveurs.
  6. Possibilité d’apprendre à partir du modèle de trafic pour obtenir des recommandations concernant des règles de relaxation facilement modifiables qui peuvent être déployées pour autoriser les exceptions.
  7. Modèle de sécurité hybride qui applique la puissance des signatures personnalisables pour bloquer les attaques correspondant à des modèles spécifiques, et qui offre la flexibilité nécessaire pour utiliser les contrôles du modèle de sécurité positif pour des protections de sécurité de base ou avancées.
  8. Disponibilité de rapports de configuration complets, y compris des informations sur la conformité à la norme PCI-DSS.
Web App Firewall NetScaler

Dans cet article