ADC

Signatures

Les signatures du Web App Firewall fournissent des règles spécifiques configurables pour simplifier la tâche de protection de vos sites Web contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue contre un système d’exploitation, un serveur Web, un site Web, un service Web XML ou une autre ressource. Un ensemble complet de règles préconfigurées intégrées ou natives du Web App Firewall constitue une solution de sécurité facile à utiliser qui utilise la puissance de la mise en correspondance des modèles pour détecter les attaques et protéger les applications contre les vulnérabilités.

Vous pouvez créer vos propres signatures ou utiliser des signatures dans les modèles intégrés. Le Web App Firewall possède deux modèles intégrés :

  • Signatures par défaut : ce modèle contient une liste préconfigurée de plus de 1 300 signatures, en plus d’une liste complète de mots-clés d’injection SQL, de chaînes spéciales SQL, de règles de transformation SQL et de caractères génériques SQL. Il contient également des modèles refusés pour les scripts intersites, ainsi que des attributs et des balises autorisés pour les scripts intersites. Il s’agit d’un modèle en lecture seule. Vous pouvez consulter le contenu, mais vous ne pouvez rien ajouter, modifier ou supprimer dans ce modèle. Pour l’utiliser, vous devez en faire une copie. Dans votre propre copie, vous pouvez activer les règles de signature que vous souhaitez appliquer à votre trafic et spécifier les actions à entreprendre lorsque les règles de signature correspondent au trafic.

Les signatures du Web App Firewall sont dérivées des règles publiées par Snort, un système open source de prévention des intrusions capable d’effectuer une analyse du trafic en temps réel pour détecter diverses attaques et sondes.

  • *Modèles d’injection Xpath : ce modèle contient un ensemble préconfiguré de mots-clés littéraux et PCRE ainsi que des chaînes spéciales utilisées pour détecter les attaques par injection XPath (XML Path Language).

Signatures vierges : Outre la copie du modèle *Default Signatures intégré, vous pouvez utiliser un modèle de signatures vierge pour créer un objet de signature. L’objet de signature que vous créez à l’aide de l’option de signatures vierges ne possède aucune règle de signature native, mais, tout comme le modèle *Default, il possède toutes les entités intégrées de script SQL/intersite.

Signatures au format externe : le Web App Firewall prend également en charge les signatures au format externe. Vous pouvez importer le rapport d’analyse tiers à l’aide des fichiers XSLT pris en charge par NetScaler Web App Firewall. Un ensemble de fichiers XSLT intégrés est disponible pour les outils de numérisation suivants afin de traduire des fichiers au format externe au format natif :

  • Cenzic
  • Sécurité approfondie pour les applications Web
  • IBM AppScan Enterprise
  • Norme IBM AppScan.
  • Qualys
  • Qualys Cloud
  • Chapeau blanc
  • Hewlett Packard Enterprise WebInspect
  • Rapid7 AppSpider
  • Acunétix

Protection de sécurité pour votre application

Le renforcement de la sécurité augmente les frais de traitement. Les signatures fournissent les options de déploiement suivantes pour vous aider à optimiser la protection de vos applications :

  • Modèle de sécurité négatif : avec le modèlede sécurité négatif, vous utilisez un ensemble complet de règles de signature préconfigurées pour appliquer la puissance de la mise en correspondance des modèles afin de détecter les attaques et de vous protéger contre les vulnérabilités des applications. Vous ne bloquez que ce que vous ne voulez pas et vous autorisez le reste. Vous pouvez ajouter vos propres règles de signature, en fonction des besoins de sécurité spécifiques de vos applications, afin de concevoir vos propres solutions de sécurité personnalisées.

  • Modèle de sécurité hybride : Outre l’utilisation de signatures, vous pouvez utiliser des contrôles de sécurité positifs pour créer une configuration parfaitement adaptée à vos applications. Utilisez des signatures pour bloquer ce que vous ne voulez pas et utilisez des contrôles de sécurité positifs pour faire respecter ce qui est autorisé.

Pour protéger votre application à l’aide de signatures, vous devez configurer un ou plusieurs profils pour utiliser votre objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, de votre objet de signatures sont utilisés non seulement par les règles de signature, mais également par les contrôles de sécurité positifs configurés dans le profil Web App Firewall qui utilise l’objet de signatures.

Le Web App Firewall examine le trafic vers vos sites Web et services Web protégés afin de détecter le trafic correspondant à une signature. Une correspondance n’est déclenchée que lorsque chaque motif de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont appelées. Vous pouvez afficher une page d’erreur ou un objet d’erreur lorsqu’une demande est bloquée. Les messages de journal peuvent vous aider à identifier les attaques lancées contre votre application. Si vous activez les statistiques, le Web App Firewall conserve les données relatives aux demandes qui correspondent à une signature ou à un contrôle de sécurité du Web App Firewall.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, la plus restrictive des deux actions est appliquée. Par exemple, si une demande correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la demande correspond également à une vérification de sécurité positive SQL Injection pour laquelle l’action est bloquée, la demande est bloquée. Dans ce cas, la violation de signature peut être enregistrée sous forme <not blocked>, bien que la demande soit bloquée par le contrôle de l’injection SQL.

Personnalisation : si nécessaire, vous pouvez ajouter vos propres règles à un objet de signatures. Vous pouvez également personnaliser les modèles de script SQL/cross-site. La possibilité d’ajouter vos propres règles de signature, en fonction des besoins de sécurité spécifiques de vos applications, vous donne la possibilité de concevoir vos propres solutions de sécurité personnalisées. Vous ne bloquez que ce que vous ne voulez pas et vous autorisez le reste. Un modèle de correspondance rapide spécifique dans un emplacement spécifié peut réduire considérablement la surcharge de traitement afin d’optimiser les performances. Vous pouvez ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs RegEx et d’expressions intégrés vous aident à configurer vos modèles et à vérifier leur précision.

Mise à jour automatique : vous pouvez mettre à jour manuellement l’objet de signature pour obtenir les dernières règles de signature, ou vous pouvez appliquer la fonctionnalité de mise à jour automatique afin que le Web App Firewall puisse automatiquement mettre à jour les signatures à partir du service de mise à jour du Web App Firewall basé sur le cloud.

Remarque :

Si de nouvelles règles de signature sont ajoutées lors de la mise à jour automatique, elles sont désactivées par défaut. Vous devez vérifier régulièrement les signatures mises à jour et activer les règles récemment ajoutées qui sont pertinentes pour protéger vos applications.

Vous devez configurer CORS pour héberger les signatures sur les serveurs IIS.

La fonctionnalité de mise à jour automatique des signatures ne fonctionne pas sur le serveur Web local lorsque vous accédez à l’URL depuis l’interface graphique de NetScaler.

Mise en route

L’utilisation des signatures Citrix pour protéger votre application est simple et peut être réalisée en quelques étapes simples :

  1. Ajoutez un objet de signature.
  • Vous pouvez utiliser l’assistant qui vous invite à créer l’intégralité de la configuration du Web App Firewall, notamment en ajoutant le profil et la politique, en sélectionnant et en activant les signatures, et en spécifiant des actions pour les signatures et les contrôles de sécurité positifs. L’objet de signatures est créé automatiquement.
  • Vous pouvez créer une copie de l’objet de signatures à partir du modèle *Signatures par défaut, utiliser un modèle vierge pour créer une signature avec vos propres règles personnalisées ou ajouter une signature au format externe. Activez les règles et configurez les actions que vous souhaitez appliquer.
  1. Configurez le profil Web App Firewall cible pour utiliser cet objet de signatures.

  2. Envoyez du trafic pour valider la fonctionnalité

Résumé

  • L’objet de signatures par défaut est un modèle. Il ne peut être ni modifié ni supprimé. Pour l’utiliser, vous devez en créer une copie. Dans votre propre copie, vous pouvez activer les règles et l’action souhaitée pour chaque règle selon les besoins de votre application. Pour protéger l’application, vous devez configurer le profil cible afin qu’il utilise cette signature.
  • Le traitement des modèles de signature entraîne des frais supplémentaires. Essayez d’activer uniquement les signatures applicables à la protection de votre application, plutôt que d’activer toutes les règles de signature.
  • Chaque modèle de la règle doit correspondre pour déclencher une correspondance de signature.
  • Vous pouvez ajouter vos propres règles personnalisées pour inspecter les demandes entrantes afin de détecter différents types d’attaques, tels que les attaques par injection SQL ou par script intersite. Vous pouvez également ajouter des règles pour inspecter les réponses afin de détecter et de bloquer les fuites d’informations sensibles telles que les numéros de cartes de crédit.
  • Vous pouvez copier un objet de signature existant et le modifier en ajoutant ou en modifiant des règles et des modèles de script SQL/intersites, afin de protéger une autre application.
  • Vous pouvez utiliser la mise à jour automatique pour télécharger la dernière version des règles par défaut du Web App Firewall sans avoir à effectuer une surveillance continue pour vérifier la disponibilité de la nouvelle mise à jour.
  • Un objet de signature peut être utilisé par plusieurs profils. Même après avoir configuré un ou plusieurs profils pour utiliser un objet de signature, vous pouvez toujours activer ou désactiver les signatures ou modifier les paramètres d’action. Vous pouvez créer et modifier manuellement vos propres règles de signature personnalisées. Les modifications s’appliquent à tous les profils actuellement configurés pour utiliser cet objet de signature.
  • Vous pouvez configurer des signatures pour détecter les violations dans différents types de charges utiles, telles que HTML, XML, JSON et GWT.
  • Vous pouvez exporter un objet de signature configuré et l’importer vers une autre appliance NetScaler pour répliquer facilement vos règles de signature personnalisées.

Les signatures sont des modèles associés à une vulnérabilité connue. Vous pouvez utiliser la protection des signatures pour identifier le trafic qui tente d’exploiter ces vulnérabilités et prendre des mesures spécifiques.

Les signatures sont organisées en catégories. Vous pouvez optimiser les performances et réduire les frais de traitement en activant uniquement les règles dans les catégories appropriées à la protection de votre application.

Signatures