Citrix ADC

Intégration des règles Snort

Avec les attaques malveillantes sur les applications Web, il est important de protéger votre réseau interne. Les données malveillantes affectent non seulement vos applications Web au niveau de l’interface, mais les paquets malveillants atteignent également la couche d’application. Pour surmonter ces attaques, il est important de configurer un système de détection et de prévention des intrusions qui examine votre réseau interne.

Les règles Snort sont intégrées dans l’appliance pour examiner les attaques malveillantes dans les paquets de données au niveau de la couche d’application. Vous pouvez télécharger les règles de snort et les convertir en règles de signature WAF. Les signatures ont une configuration basée sur des règles qui peut détecter les activités malveillantes telles que les attaques DOS, les dépassements de tampon, les analyses de ports furtifs, les attaques CGI, les sondes SMB et les tentatives d’empreintes digitales du système d’exploitation. En intégrant les règles Snort, vous pouvez renforcer votre solution de sécurité au niveau de l’interface et au niveau de l’application.

Configurer les règles de snort

La configuration commence par télécharger d’abord les règles Snort, puis les importer dans les règles de signature WAF. Une fois les règles converties en signatures WAF, elles peuvent être utilisées comme contrôles de sécurité WAF. Les règles de signature basées sur le snort examinent le paquet de données entrant pour détecter s’il y a des attaques malveillantes sur votre réseau.

Un nouveau paramètre, « VendorType » est ajouté à la commande import pour convertir les règles Snort en signatures WAF.

Le paramètre « VendorType » est défini sur SNORT uniquement pour les règles Snort.

Télécharger les règles de snort à l’aide de l’interface de commande

Vous pouvez télécharger les règles Snort en tant que fichier texte à partir de l’URL ci-dessous :

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Importer des règles de snort à l’aide de l’interface de commande

Après avoir téléchargé, vous pouvez importer les règles Snort dans votre appliance.

À l’invite de commandes, tapez :

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

Exemple :

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

Arguments :

Src. URL (protocole, hôte, chemin d’accès et nom de fichier) pour l’emplacement où stocker l’objet signatures importé.

Remarque :

L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès. Argument obligatoire de longueur maximale : 2047

Nom. Nom à attribuer à l’objet signatures sur Citrix ADC. Argument obligatoire de longueur maximale : 31

Comment. Description de la façon de conserver les informations sur l’objet signatures. Longueur maximale : 255 écrasement. Remplacer tout objet signatures existant du même nom.

Merge. Fusionne la signature existante avec de nouvelles règles de signature.

Preservedefactions. Conserve les actions de déf des règles de signature.

VendorType. Fournisseur tiers pour générer les signatures WAF. Valeurs possibles : Snort.

Configurer les règles de snort à l’aide de l’interface graphique Citrix ADC

La configuration de l’interface graphique pour les règles Snort est similaire à la configuration d’autres scanners d’applications Web externes comme Cenzic, Qualys, Whitehat.

Suivez les étapes ci-dessous pour configurer Snort :

  1. Accédez à Configuration > Sécurité > Citrix Web App Firewall > Signatures.
  2. Dans la page Signatures, cliquez sur Ajouter.
  3. Dans la page Ajouter des signatures, définissez les paramètres suivants pour configurer les règles Snort.

    1. File format. Sélectionnez le format de fichier comme externe.
    2. Importer à partir de. Sélectionnez l’option d’importation en tant que fichier Snort ou URL pour entrer l’URL.
    3. Snort V3 Vendor. Activez la case à cocher pour importer les règles Snort à partir d’un fichier ou d’une URL.
  4. Cliquez sur Ouvrir.

    Ajouter des signatures

    L’appliance importe les règles Snort en tant que règles de signature WAF basées sur le snort.

    Ajouter des signatures

    Il est recommandé d’utiliser des actions de filtrage pour activer les règles de reniement que vous préférez importer en tant que règles de signature WAF sur l’appliance.

    Importe des signatures basées sur le snort

  5. Pour confirmer, cliquez sur Yes.

    Boîte de dialogue Confirmation

  6. Les règles sélectionnées sont activées sur l’appliance.

    Règles de signature basées sur le snort activées

  7. Cliquez sur OK.
Intégration des règles Snort