Citrix ADC

Appliquer la conformité HTTP RFC

Citrix Web App Firewall inspecte le trafic entrant pour vérifier la conformité HTTP RFC et supprime toute demande qui comporte des violations RFC par défaut. Toutefois, il existe certains scénarios dans lesquels l’appliance peut devoir contourner ou bloquer une demande de conformité non RFC. Dans ce cas, vous pouvez configurer la solution matérielle-logicielle pour contourner ou bloquer ces demandes au niveau global ou au niveau du profil.

Bloquer ou contourner les demandes non conformes à la RFC au niveau mondial

Le module HTTP marque une requête comme non valide si elle est incomplète ou invalide et que ces requêtes ne peuvent pas être traitées par WAF. Par exemple, une requête HTTP entrante dont l’en-tête d’hôte est manquant. Pour bloquer ou contourner ces demandes non valides, vous devez configurer l’ malformedReqAction option dans les paramètres globaux du pare-feu de l’application.

Remarque :

Si vous désactivez l’option de blocage dans le malformedReqAction paramètre, l’appliance contourne l’ensemble du traitement du pare-feu de l’application pour toutes les demandes de conformité non RFC et transmet les demandes au module suivant.

Pour bloquer ou contourner les demandes HTTP non RFC non valides à l’aide de l’interface de ligne de commande

Pour bloquer ou contourner les demandes non valides, entrez la commande suivante :

set appfw settings -malformedreqaction <action>

Exemple :

set appfw settings –malformedReqAction block

Pour afficher les paramètres d’action de demande mal formés

Pour afficher les paramètres d’action de demande mal formés, entrez la commande suivante :

show appfw settings

Sortie :

DefaultProfile:  APPFW_BYPASS UndefAction:  APPFW_BLOCK SessionTimeout:  900     LearnRateLimit:  400     SessionLifetime:  0 SessionCookieName:  citrix_ns_id ImportSizeLimit:  134217728 SignatureAutoUpdate:  OFF SignatureUrl:"https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml" CookiePostEncryptPrefix:  ENC GeoLocationLogging:  OFF CEFLogging:  OFF       EntityDecoding:  OFF     UseConfigurableSecretKey:  OFF SessionLimit:  100000    MalformedReqAction:  block log stats
 Done
<!--NeedCopy-->

Pour bloquer ou contourner les demandes HTTP non RFC non valides à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Web App Firewall.
  2. Dans la page Citrix Web App Firewall, cliquez sur Modifier les paramètres du moteur sous Paramètres.
  3. Dans la page Configurer les paramètres du Citrix Web App Firewall, sélectionnez l’option Log mal formed Request en tant que Bloc, Log ou Stats.
  4. Cliquez sur OK et sur Fermer.

Remarque :

Si vous désélectionnez l’action de blocage ou si vous ne sélectionnez aucune action de demande mal formée, l’appliance contourne la demande sans en insinuer l’utilisateur.

Bloquer ou contourner les demandes non conformes RFC au niveau du profil

D’autres demandes non conformes RFC peuvent être configurées pour bloquer ou contourner au niveau du profil. Vous devez configurer le profil RFC en mode Block ou Bypass. Ce faisant, tout trafic non valide qui correspond au profil de Web App Firewall est ignoré ou bloqué en conséquence.

Remarque :

Lorsque vous définissez le profil RFC en mode « Contournement », vous devez vous assurer de désactiver l’option de transformation dans les paramètres de script intersite HTML et dans les sections Paramètres d’injection HTML SQL . Si vous activez l’option et que vous définissez le profil rfc en mode Bypass, l’appliance affiche un message d’avertissement : « Transformer les scripts intersites » et « Transformer les caractères spéciaux SQL » sont tous deux activés. Il est recommandé de l’éteindre lorsqu’il est utilisé avec APPFW_RFC_BYPASS.

Important :

De plus, l’appliance affiche une note d’avertissement : « Les contrôles de sécurité Appfw activés peuvent ne pas être applicables aux demandes qui enfreignent les vérifications RFC lorsque ce profil est défini. L’activation d’un paramètre de transformation n’est pas recommandée car les demandes peuvent être partiellement transformées qui contiennent des violations RFC. «

Pour configurer un profil RFC dans le profil Web App Firewall à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

set appfw profile <profile_name> -rfcprofile <rfcprofile_name

Exemple

set appfw profile P1 -rfcprofile APPFW_RFC_BLOCK

Remarque :

Par défaut, le profil rfc est lié au profil Web App Firewall en mode Bloc.

Pour configurer un profil RFC dans le profil Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans la page Profils, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la page Profil du Web App Firewall, cliquez sur Paramètres de profil dans la section Paramètres avancés .
  4. Dans la section Paramètres HTML, définissez le profil RFC en mode APPFW_RFC_BYPASS. Le système affiche un message d’avertissement : « Les vérifications de sécurité Appfw activées peuvent ne pas s’appliquer aux demandes qui violent les vérifications RFC lorsque ce profil est défini. L’activation d’un paramètre de transformation n’est pas recommandée car les requêtes peuvent être partiellement transformées qui contiennent des violations RFC ».