-
-
Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops
-
Préférence de zone optimisée pour l'équilibrage de la charge du serveur global (GSLB)
-
Déploiement d'une plateforme de publicité numérique sur AWS avec Citrix ADC
-
Amélioration de l'analyse des données de navigation dans AWS à l'aide de Citrix ADC
-
Citrix ADC dans un cloud privé géré par Microsoft Windows Azure Pack et Cisco ACI
-
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Installer une instance Citrix ADC VPX sur le cloud VMware sur AWS
-
Installer une instance Citrix ADC VPX sur des serveurs Microsoft Hyper-V
-
Installer une instance Citrix ADC VPX sur la plate-forme Linux-KVM
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide d'OpenStack
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide de Virtual Machine Manager
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau SR-IOV
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau PCI
-
Provisioning de l'appliance virtuelle Citrix ADC à l'aide du programme virsh
-
Provisioning de l'appliance virtuelle Citrix ADC avec SR-IOV, sur OpenStack
-
Configuration d'une instance Citrix ADC VPX sur KVM pour utiliser les interfaces hôtes OVS DPDK
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Serveurs d'équilibrage de charge dans différentes zones de disponibilité
-
Haute disponibilité dans toutes les zones de disponibilité AWS
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS
-
Ajout d'un service de mise à l'échelle automatique AWS back-end
-
Configurer une instance Citrix ADC VPX pour utiliser l'interface réseau SR-IOV
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau améliorée avec AWS ENA
-
Déployer une instance de Citrix ADC VPX sur Microsoft Azure
-
Architecture réseau pour les instances Citrix ADC VPX sur Microsoft Azure
-
Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX
-
Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau
-
Configurer les nœuds HA-INC à l'aide du modèle de haute disponibilité Citrix avec Azure ILB
-
Ajouter des paramètres de mise à l'échelle automatique Azure
-
Configurer GSLB sur une configuration haute disponibilité active en veille
-
Configurer des pools d'adresses (IIP) pour une appliance Citrix Gateway
-
Scripts PowerShell supplémentaires pour le déploiement Azure
-
-
Déployer une instance Citrix ADC VPX sur Google Cloud Platform
-
Déployer une paire haute disponibilité VPX sur Google Cloud Platform
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées sur Google Cloud Platform
-
Ajouter un service de mise à l'échelle automatique GCP back-end
-
Prise en charge de la mise à l'échelle VIP pour l'instance Citrix ADC VPX sur GCP
-
-
Solutions pour les fournisseurs de services de télécommunication
-
Trafic de plan de contrôle d'équilibrage de charge basé sur les protocoles Diameter, SIP et SMPP
-
Utilisation de la bande passante à l'aide de la fonctionnalité de redirection de cache
-
Optimisation TCP de Citrix ADC
-
Authentification, autorisation et audit du trafic des applications
-
Fonctionnement de l'authentification, de l'autorisation et de l'audit
-
Composants de base de la configuration d'authentification, d'autorisation et d'audit
-
-
Autorisation de l'accès des utilisateurs aux ressources applicatives
-
Citrix ADC en tant que proxy du service de fédération Active Directory
-
Citrix Gateway sur site en tant que fournisseur d'identité pour Citrix Cloud
-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Résoudre les problèmes liés à l'authentification et à l'autorisation
-
-
-
Prise en charge de la configuration Citrix ADC dans la partition d'administration
-
Prise en charge de VXLAN pour les partitions d'administration
-
Prise en charge de SNMP pour les partitions d'administration
-
Prise en charge des journaux d'audit pour les partitions d'administration
-
Afficher les adresses PMAC configurées pour la configuration VLAN partagée
-
-
-
-
Configuration de l'expression de stratégie avancée : Mise en route
-
Expressions de stratégie avancées : utilisation de dates, d'heures et de nombres
-
Expressions de stratégie avancées : analyse des données HTTP, TCP et UDP
-
Expressions de stratégie avancées : analyse des certificats SSL
-
Expressions de stratégie avancées : adresses IP et MAC, débit, ID VLAN
-
Expressions de stratégie avancées : fonctions d'analyse de flux
-
Référence aux expressions - Expressions de stratégie avancées
-
Résumé d'exemples d'expressions et de stratégies de syntaxe par défaut
-
Didacticiel exemples de stratégies de syntaxe par défaut pour la réécriture
-
Migration des règles Apache mod_rewrite vers la syntaxe par défaut
-
-
-
Détection de bot
-
-
-
Traduire l'adresse IP de destination d'une requête vers l'adresse IP d'origine
-
-
Prise en charge de la configuration de Citrix ADC dans un cluster
-
-
-
Groupes de nœuds pour les configurations spotted et striped partielles
-
Suppression du nœud d'un cluster déployé à l'aide de l'agrégation de liens de cluster
-
Surveillance des itinéraires pour les itinéraires dynamiques dans le cluster
-
Surveillance de la configuration du cluster à l'aide de MIB SNMP avec liaison SNMP
-
Surveillance des échecs de propagation des commandes dans un déploiement de cluster
-
Prise en charge de MSR pour les nœuds inactifs dans une configuration de cluster spotted
-
Liaison d'interface VRRP dans un cluster actif à nœud unique
-
Scénarios de configuration et d'utilisation du cluster
-
Migration d'une configuration HA vers une configuration de cluster
-
Interfaces communes pour le client et le serveur et interfaces dédiées pour le backplane
-
Commutateur commun pour le client, le serveur et le backplane
-
Commutateur commun pour le client et le serveur et commutateur dédié pour le backplane
-
Services de surveillance dans un cluster à l'aide de la surveillance des chemins
-
Opérations prises en charge sur des nœuds de cluster individuels
-
-
-
Configurer les enregistrements de ressources DNS
-
Créer des enregistrements MX pour un serveur d'échange de messagerie
-
Créer des enregistrements NS pour un serveur faisant autorité
-
Créer des enregistrements NAPTR pour le domaine des télécommunications
-
Créer des enregistrements PTR pour les adresses IPv4 et IPv6
-
Créer des enregistrements SOA pour les informations faisant autorité
-
Créer des enregistrements TXT pour contenir du texte descriptif
-
Configurer Citrix ADC en tant que résolveur de stub adapté à la sécurité sans validation
-
Prise en charge des trames Jumbo pour DNS pour gérer les réponses de grandes tailles
-
Configurer la mise en cache négative des enregistrements DNS
-
-
Équilibrage de charge globale des serveurs
-
Configurer les entités GSLB individuellement
-
Cas d'utilisation : Déploiement d'un groupe de services d'échelle automatique basé sur l'adresse IP
-
-
Remplacer le comportement de proximité statique en configurant les emplacements préférés
-
Configurer la sélection du service GSLB à l'aide du changement de contenu
-
Configurer GSLB pour les requêtes DNS avec les enregistrements NAPTR
-
Exemple de configuration parent-enfant complète à l'aide du protocole d'échange de mesures
-
-
Équilibrer la charge du serveur virtuel et des états de service
-
Protéger une configuration d'équilibrage de charge contre les défaillances
-
-
Configurer des serveurs virtuels d'équilibrage de charge sans session
-
Réécriture des ports et des protocoles pour la redirection HTTP
-
Insérer l'adresse IP et le port d'un serveur virtuel dans l'en-tête de requête
-
Utiliser une adresse IP source spécifiée pour la communication backend
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Utiliser un port source à partir d'une plage de ports spécifiée pour la communication backend
-
Configurer la persistance de l'IP source pour les communications backend
-
-
Paramètres avancés d'équilibrage de charge
-
Protéger les applications sur les serveurs protégés contre les surtensions de trafic
-
Activer le nettoyage des connexions de serveur virtuel et de service
-
Activer ou désactiver la session de persistance sur les services TROFS
-
Activer la vérification de l'état TCP externe pour les serveurs virtuels UDP
-
Maintenir la connexion client pour plusieurs demandes client
-
Utiliser l'adresse IP source du client lors de la connexion au serveur
-
Définir une limite de nombre de requêtes par connexion au serveur
-
Définir une valeur de seuil pour les moniteurs liés à un service
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Définir une valeur de délai d'attente pour les connexions au serveur inactif
-
Définir une limite sur l'utilisation de la bande passante par les clients
-
Configurer les moniteurs dans une configuration d'équilibrage de charge
-
Configurer l'équilibrage de charge pour les protocoles couramment utilisés
-
Cas d'utilisation 3 : Configurer l'équilibrage de charge en mode de retour direct du serveur
-
Cas d'utilisation 4 : Configurer les serveurs LINUX en mode DSR
-
Cas d'utilisation 5 : Configurer le mode DSR lors de l'utilisation de TOS
-
Cas d'utilisation 7 : Configurer l'équilibrage de charge en mode DSR à l'aide d'IP sur IP
-
Cas d'utilisation 8 : Configurer l'équilibrage de charge en mode à un bras
-
Cas d'utilisation 9 : Configurer l'équilibrage de charge en mode Inline
-
Cas d'utilisation 10 : Équilibrage de la charge des serveurs du système de détection d'intrusion
-
Cas d'utilisation 11 : Isolation du trafic réseau à l'aide de stratégies d'écoute
-
Cas d'utilisation 12 : Configurer XenDesktop pour l'équilibrage de charge
-
Cas d'utilisation 13 : Configurer XenApp pour l'équilibrage de charge
-
Cas d'utilisation 14 : Assistant ShareFile pour l'équilibrage de charge Citrix ShareFile
-
-
Configurer pour sourcer le trafic de données Citrix ADC FreeBSD à partir d'une adresse SNIP
-
Déchargement et accélération SSL
-
Prise en charge du protocole TLSv1.3 tel que défini dans la RFC 8446
-
Suites de chiffrement disponibles sur les appliances Citrix ADC
-
Matrice de prise en charge des certificats de serveur sur l'appliance ADC
-
Prise en charge du module de sécurité matérielle du réseau Gemalto SafeNet
-
-
-
-
Authentification et autorisation pour les utilisateurs du système
-
Configuration des utilisateurs, des groupes d'utilisateurs et des stratégies de commande
-
Réinitialisation du mot de passe administrateur par défaut (nsroot)
-
Configuration de l'authentification des utilisateurs externes
-
Authentification basée sur la clé SSH pour les administrateurs Citrix ADC
-
Authentification à deux facteurs pour les utilisateurs système
-
-
-
Configuration d'un tunnel de connecteur CloudBridge entre deux centres de données
-
Configuration de CloudBridge Connector entre Datacenter et AWS Cloud
-
Configuration d'un tunnel de connecteur CloudBridge entre un centre de données et Azure Cloud
-
Configuration du tunnel Connector CloudBridge entre Datacenter et SoftLayer Enterprise Cloud
-
-
Points à prendre en considération pour une configuration de haute disponibilité
-
Restriction du trafic de synchronisation haute disponibilité à un VLAN
-
Configuration des nœuds haute disponibilité dans différents sous-réseaux
-
Limitation des basculements causés par les moniteurs de routage en mode non-INC
-
Comprendre le calcul de la vérification de l'état de haute disponibilité
-
Gestion des messages de pulsation haute disponibilité sur une appliance Citrix ADC
-
Suppression et remplacement d'un Citrix ADC dans une configuration haute disponibilité
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Détection de bot
Le système de gestion de bot Citrix ADC utilise six techniques différentes pour détecter le trafic de bot entrant. Les techniques sont utilisées comme règles de détection pour détecter le type de bot. Les techniques sont la liste d’autorisation des robots, la liste de blocage des robots, la réputation IP, les empreintes digitales de l’appareil, la limitation de vitesse, le piège bot, TPS et CAPTCHA.
Remarque :
La gestion des robots prend en charge un maximum de 32 entités de configuration pour les techniques de liste de blocage, de liste d’autorisation et de limitation de débit.
Liste blanche du bot. Liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie pouvant être contournées en tant que liste autorisée.
Liste noire du bot. Liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie qui doivent être bloquées pour accéder à vos applications Web.
Réputation de l’IP. Cette règle détecte si le trafic de bot entrant provient d’une adresse IP malveillante.
Empreinte digitale du périphérique. Cette règle détecte si le trafic bot entrant a l’ID d’empreinte digitale du périphérique dans l’en-tête de requête entrante et les attributs du navigateur d’un trafic bot client entrant.
Limitation :
- JavaScript doit être activé dans le navigateur client.
- Ne prend pas en charge les navigateurs sans tête.
- Ne fonctionne pas pour les réponses XML.
Limite de taux. Ce taux de règle limite les requêtes multiples provenant du même client.
Piège à bot. Détecte et bloque les robots automatisés en annonçant une URL d’interruptions dans la réponse du client. L’URL apparaît invisible et inaccessible si le client est un utilisateur humain. La technique de détection est efficace pour bloquer les attaques des robots automatisés.
TPS. Détecte le trafic entrant sous forme de robots si le nombre maximal de demandes et le pourcentage d’augmentation des demandes dépasse l’intervalle de temps configuré.
CAPTCHA. Cette règle utilise un CAPTCHA pour atténuer les attaques de robots. Un CAPTCHA est une validation challenge-réponse permettant de déterminer si le trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. La validation permet de bloquer les robots automatisés qui causent des violations de sécurité aux applications Web. Vous pouvez configurer CAPTCHA comme action bot dans les techniques de détection d’empreintes digitales de réputation IP et de périphérique.
Maintenant, laissez-nous voir comment vous pouvez configurer chaque technique pour détecter et gérer votre trafic de bot.
Procédure de mise à niveau de votre appliance vers la configuration de gestion des robots basée sur Citrix ADC
Si vous mettez à niveau votre appliance à partir d’une version antérieure (Citrix ADC version 13.0 build 58.32 ou antérieure), vous devez d’abord convertir manuellement la configuration de gestion des robots existante en configuration de gestion des robots basée sur Citrix ADC CLI une seule fois. Procédez comme suit pour convertir manuellement votre configuration de gestion des robots.
-
Après la mise à niveau vers la dernière version, connectez-vous à l’outil de mise à niveau « upgrade_bot_config.py » à l’aide de la commande suivante
À l’invite de commandes, tapez :
shell "/var/python/bin/python /netscaler/upgrade_bot_config.py > /var/bot_upgrade_commands.txt"
-
Exécutez la configuration à l’aide de la commande suivante.
À l’invite de commandes, tapez :
batch -f /var/bot_upgrade_commands.txt
-
Enregistrez la configuration mise à niveau.
save ns config
Configuration de la gestion des robots Citrix ADC
La configuration de gestion des robots vous permet de lier une ou plusieurs techniques de détection de bot à un profil de bot spécifique. Vous commencez le processus en activant la fonctionnalité de gestion des robots sur votre appliance. Une fois que vous avez activé, importez le fichier de signature du robot dans l’appliance. Après l’importation, vous devez créer un profil de bot. Vous créez ensuite une stratégie de bot avec le profil bot qui lui est lié pour évaluer le trafic entrant en tant que bot et lier la stratégie globalement ou à un serveur virtuel.
Remarque :
Si vous mettez à niveau votre appliance à partir d’une version antérieure, vous devez d’abord convertir manuellement la configuration existante de gestion des robots. Pour plus d’informations, reportez-vous à Procédure de mise à niveau vers la configuration de gestion des robots basée sur Citrix ADC la section.
Vous devez effectuer les étapes suivantes pour configurer la gestion des robots basée sur Citrix ADC :
- Activer la gestion des bots
- Importer la signature de bot
- Ajouter un profil de bot
- Profil de bot de liaison
- Ajouter une stratégie de bot
- Politique de bot de liaison
- Configurer les paramètres du bot
Activer la gestion des bots
Avant de commencer, assurez-vous que la fonctionnalité Gestion des robots est activée sur l’appliance. Si vous disposez d’un nouveau Citrix ADC ou VPX, vous devez activer la fonctionnalité avant de la configurer. Si vous mettez à niveau un dispositif Citrix ADC ou VPX à partir d’une version antérieure de la version du logiciel Citrix ADC vers la version actuelle, vous devez activer la fonctionnalité avant de la configurer. À l’invite de commandes, tapez :
enable ns feature Bot
Importer la signature de bot
Vous devez importer le fichier de signature par défaut et le lier au profil de bot. À l’invite de commandes, tapez :
import bot signature [<src>] <name> [-comment <string>] [-overwrite]
Où,
src. Chemin d’accès local et nom de ou URL (protocole, hôte, chemin d’accès et nom de fichier) pour le fichier dans lequel stocker le fichier de signature importé. Remarque : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès. Longueur maximale : 2047
nom. Nom à affecter à l’objet fichier de signature de bot sur Citrix ADC. Il s’agit d’un argument obligatoire. Longueur maximale : 31
commentaire. Tout commentaire permettant de conserver les informations sur l’objet fichier de signature. Longueur maximale : 255.
Remplacer. Remplace le fichier existant.
Remarque : Utilisez l’ overwrite
option pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser la update bot signature <name>
commande pour mettre à jour le fichier de signature sur l’appliance Citrix ADC
Exemple
import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite
Remarque :
Vous pouvez utiliser l’option d’écrasement pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser la
update bot signature <name>
commande pour mettre à jour le fichier de signature dans l’appliance Citrix ADC.
Ajouter un profil de bot
Un profil de bot est un ensemble de paramètres de profil permettant de configurer la gestion des robots sur l’appliance. Vous pouvez configurer les paramètres pour effectuer la détection des robots.
À l’invite de commandes, tapez :
add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-comment <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )] [-trapAction ( none | log | drop | redirect | reset )] [-tps ( ON | OFF )]
Exemple :
add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON
Profil de bot de liaison
Après avoir créé un profil de bot, vous devez lier le mécanisme de détection de bot au profil.
À l’invite de commandes, tapez :
bind bot profile <name> ((-blackList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-action ( log | drop | reset )] [-logMessage <string>] [-comment <string>]) | (-whiteList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-log ( ON | OFF )] [-logMessage <string>] [-comment <string>])) | (-rateLimit [-type ( session |SOURCE_IP | url )] [-enabled ( ON | OFF )] [-url <string>] [-cookieName <string>] [-rate <positive_integer>] [-timeslice <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>]) | (-captchaResource [-url <string>] [-enabled ( ON | OFF )] [-waitTime <positive_integer>] [-gracePeriod <positive_integer>] [-mutePeriod <positive_integer>] [-requestLengthLimit <positive_integer>] [-retryAttempts <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-tps [-type ( SOURCE_IP | GeoLocation | REQUEST_URL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>])
Exemple :
L’exemple suivant permet de lier la technique de détection de réputation IP à un profil de bot spécifique.
bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message
Ajouter une stratégie de bot
Vous devez ajouter la stratégie de bot pour évaluer le trafic de bot.
À l’invite de commandes, tapez :
add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]
Où,
Nom. Nom de la stratégie de bot. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Peut être modifié après l’ajout de la stratégie de bot.
Règle. Expression utilisée par la stratégie pour déterminer si le profil bot doit être appliqué à la requête spécifiée. Il s’agit d’un argument obligatoire. Longueur maximale : 1499
profileName. Nom du profil de bot à appliquer si la demande correspond à cette stratégie de bot. Il s’agit d’un argument obligatoire. Longueur maximale : 127
undefAction. Mesures à prendre si le résultat de l’évaluation des politiques n’est pas défini (UNDEF). Un événement UNDEF indique une condition d’erreur interne. Longueur maximale : 127
Comment. Tout type d’informations sur cette politique de bot. Longueur maximale : 255
logAction. Nom de l’action de journal à utiliser pour les demandes qui correspondent à cette stratégie. Longueur maximale : 127
Exemple :
add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1
Lier la stratégie globale de bot
À l’invite de commandes, tapez :
bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]
Exemple :
bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE
Lier la stratégie de bot à un serveur virtuel
À l’invite de commandes, tapez :
bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type ( REQUEST | RESPONSE )] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile <string>@)
Exemple :
bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE
Configurer les paramètres du bot
Vous pouvez personnaliser les paramètres par défaut si nécessaire. À l’invite de commandes, tapez :
set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|*>] [-proxyPort <port|*>]
Où,
defaultProfile. Profil à utiliser lorsqu’une connexion ne correspond à aucune stratégie. Le paramètre par défaut est « , qui renvoie les connexions incomparables à Citrix ADC sans tenter de les filtrer davantage. Longueur maximale : 31
javaScriptName. Nom du JavaScript que la fonctionnalité BotNet utilise en réponse. Doit commencer par une lettre ou un chiffre, et peut être composé de 1 à 31 lettres, de chiffres, de tirets (-) et de traits de soulignement (_). La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon nom de cookie » ou « mon nom de cookie »). Longueur maximale : 31
sessionTimeout. La session s’arrête, en secondes, après quoi une session utilisateur est interrompue.
Valeur minimale : 1, Valeur maximale : 65535
sessionCookieName. Nom du SessionCookie utilisé par la fonctionnalité BotNet pour le suivi. Doit commencer par une lettre ou un chiffre, et peut être composé de 1 à 31 lettres, de chiffres, de tirets (-) et de traits de soulignement (_). L’exigence suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon nom de cookie » ou « mon nom de cookie »). Longueur maximale : 31
dfpRequestLimit. Nombre de requêtes à autoriser sans cookie de session bot si l’empreinte digitale de l’appareil est activée.
Valeur minimale : 1, Valeur maximale : 4294967295
signatureAutoUpdate. Indicateur utilisé pour activer/désactiver les signatures de mise à jour automatique des robots.
Valeurs possibles : ON, OFF
Valeur par défaut : OFF
signatureUrl. URL pour télécharger le fichier de mappage de signature de bot à partir du serveur.
Valeur par défaut : https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json
.
Longueur maximale : 2047
ProxyServer. IP du serveur proxy pour obtenir des signatures mises à jour d’AWS.
proxyPort. Port du serveur proxy pour obtenir des signatures mises à jour d’AWS. Valeur par défaut : 8080
Exemple :
set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session
Configuration de la gestion des robots à l’aide de l’interface graphique Citrix ADC
Vous pouvez configurer la gestion de bot Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois que vous l’activez, vous pouvez créer une stratégie de bot pour évaluer le trafic entrant en tant que bot et envoyer le trafic au profil de bot. Ensuite, vous créez un profil de bot, puis liez le profil à une signature de bot. Vous pouvez également cloner le fichier de signature de bot par défaut et utiliser le fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, vous pouvez l’importer dans le profil de bot.
- Activer la fonctionnalité de gestion de bot
- Configurer les paramètres de gestion des robots
- Cloner la signature par défaut du bot Citrix
- Importer la signature de bot Citrix
- Configurer les paramètres de signature de bot
- Créer un profil de bot
- Créer une stratégie de bot
Activer la fonctionnalité de gestion de bot
Procédez comme suit pour activer la gestion des robots :
- Dans le volet de navigation, développez Système, puis cliquez sur Paramètres.
- Dans la page Configurer les fonctionnalités avancées, activez la case à cocher Gestion des robots.
-
Cliquez sur OK, puis sur Fermer.
Configuration des paramètres de gestion de bot pour la technique d’empreintes digitales de l’appareil
Effectuez l’étape suivante pour configurer la technique d’empreintes digitales du périphérique :
- Accédez à Sécurité > Citrix Bot Management.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion du bot Citrix.
-
Dans les paramètres Configurer Citrix Bot Management, définissez les paramètres suivants.
- Profil par défaut. Sélectionnez un profil de bot.
- Nom JavaScript. Nom du fichier JavaScript utilisé par la gestion des robots dans sa réponse au client.
- Délai d’expiration de la session. Délai d’expiration en secondes après quoi la session utilisateur est terminée.
- Cookie de session. Nom du cookie de session utilisé par le système de gestion de bot pour le suivi.
- Limite de demande d’empreintes digitales du périphérique. Nombre de demandes à autoriser sans cookie de session de bot, si l’empreinte digitale de l’appareil est activée
- Cliquez sur OK.
Fichier de signature de bot de clone
Effectuez l’étape suivante pour cloner le fichier de signature du bot :
- Accédez à Sécurité > Citrix Bot Management and Signatures.
- Dans la page Signatures de gestion de bot Citrix, sélectionnez l’enregistrement de signatures de bot par défaut et cliquez sur Cloner.
- Dans la page Clone Bot Signature, entrez un nom et modifiez les données de signature.
-
Cliquez sur Créer.
Importer un fichier de signature de bot
Si vous avez votre propre fichier de signature, vous pouvez l’importer en tant que fichier, texte ou URL. Procédez comme suit pour importer le fichier de signature de bot :
- Accédez à Sécurité > Citrix Bot Management and Signatures.
- Sur la page Citrix Bot Management Signatures, importez le fichier sous forme d’URL, de fichier ou de texte.
-
Cliquez sur Continuer.
- Dans la page Importer la signature de gestion de bot Citrix, définissez les paramètres suivants.
- Nom. Nom du fichier de signature de bot.
- Comment. Brève description du fichier importé.
- Remplacer. Activez la case à cocher pour autoriser l’écrasement des données lors de la mise à jour du fichier.
- Données de signature. Modifier les paramètres de signature
-
Cliquez sur Terminé.
Configurer la liste d’autorisation des robots à l’aide de Citrix ADC GUI
Cette technique de détection vous permet de contourner les URL que vous configurez une liste autorisée. Effectuez l’étape suivante pour configurer une URL de liste d’autorisation :
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur Liste blanche.
- Dans la section Liste blanche, définissez les paramètres suivants :
- Activé. Activez la case à cocher pour valider les URL de liste d’autorisation dans le cadre du processus de détection.
- Configurer les types. Configurez une URL de liste d’autorisation. L’URL est contournée lors de la détection de bot. Cliquez sur Ajouter pour ajouter une URL à la liste des robots autorisés.
- Dans la page Configurer la liaison de liste blanche du profil de gestion des bot Citrix, définissez les paramètres suivants :
- Tapez. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP correspondant à une expression de stratégie.
- Activé. Activez la case à cocher pour valider l’URL.
- Valeur. Adresse URL.
- Journal. Activez la case à cocher pour stocker les entrées de journal.
- Consigner le message. Brève description du journal.
- Commentaires. Brève description de l’URL de la liste d’autorisation.
- Cliquez sur OK.
- Cliquez sur Update.
-
Cliquez sur Terminé.
Configurer la liste des blocs de robots à l’aide de Citrix ADC GUI
Cette technique de détection vous permet de supprimer les URL que vous configurez en tant que bloc listé un. Effectuez l’étape suivante pour configurer une URL de liste de blocage.
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Dans la page Profils de gestion des bot Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur Liste noire.
-
Dans la section Liste noire, définissez les paramètres suivants :
- Activé. Activez la case à cocher pour valider les URL des listes de blocage dans le cadre du processus de détection.
- Configurer les types. Configurez une URL pour qu’elle fasse partie du processus de détection de la liste de blocage des robots. Ces URL sont supprimées lors de la détection de bot. Cliquez sur Ajouter pour ajouter une URL à la liste des bots bloqués
-
Dans la page Configurer la liaison de liste noire Citrix Bot Management Profile, définissez les paramètres suivants.
- Tapez. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP.
- Activé. Activez la case à cocher pour valider l’URL.
- Valeur. Adresse URL.
- Journal. Activez la case à cocher pour stocker les entrées de journal.
- Consigner le message. Brève description de la connexion.
- Commentaires. Brève description de l’URL de la liste de blocage.
- Cliquez sur OK.
- Cliquez sur Update.
-
Cliquez sur Terminé.
Configurer la réputation IP à l’aide de l’interface graphique Citrix ADC
Cette configuration est une condition préalable à la fonctionnalité de réputation IP du bot. La technique de détection vous permet d’identifier s’il existe une activité malveillante provenant d’une adresse IP entrante. Dans le cadre de la configuration, nous définissons différentes catégories de robots malveillants et associons une action de bot à chacune d’elles. Suivez l’étape suivante pour configurer la technique de réputation IP.
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Dans la page Profils de gestion des bot Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur Réputation IP.
- Dans la section Réputation IP, définissez les paramètres suivants :
- Activé. Activez la case à cocher pour valider le trafic de bot entrant dans le cadre du processus de détection.
- Configurer les catégories. Vous pouvez utiliser la technique de réputation IP pour le trafic bot entrant dans différentes catégories. En fonction de la catégorie configurée, vous pouvez supprimer ou rediriger le trafic de bot. Cliquez sur Ajouter pour configurer une catégorie de robots malveillants.
-
Dans la page Configurer Citrix Bot Management Profile IP Reputation Reputation Page, définissez les paramètres suivants :
- Catégorie. Sélectionnez une catégorie de bot malveillant dans la liste. Associer une action de bot en fonction de la catégorie.
- Activé. Activez la case à cocher pour valider la détection de signature de réputation IP.
- Action de bot. En fonction de la catégorie configurée, vous ne pouvez affecter aucune action, suppression, redirection, atténuation ou action CAPTCHA.
- Journal. Activez la case à cocher pour stocker les entrées de journal.
- Consigner le message. Brève description du journal.
- Commentaires. Brève description de la catégorie bot.
- Cliquez sur OK.
- Cliquez sur Update.
-
Cliquez sur Terminé.
Configurer la limite de débit de bot à l’aide de Citrix ADC GUI
Cette technique de détection vous permet de bloquer les robots en fonction du nombre de demandes reçues dans un délai prédéfini à partir d’une adresse IP client, d’une session ou d’une ressource configurée (par exemple, à partir d’une URL). Suivez l’étape suivante pour configurer la technique de limite de débit.
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Dans la page Profils de gestion des bot Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur Limite de débit.
- Dans la section Limite de débit, définissez les paramètres suivants :
- Activé. Activez la case à cocher pour valider le trafic de bot entrant dans le cadre du processus de détection.
- Séance. Taux de demandes de limite en fonction d’une session. Cliquez sur Ajouter pour configurer les demandes de limite de débit en fonction d’une session.
- Dans la page Configurer Citrix Bot Management Limite de taux de signature, définissez les paramètres suivants.
- Catégorie. Sélectionnez une catégorie de bot malveillant dans la liste. Associer une action en fonction de la catégorie.
- Activé. Activez la case à cocher pour valider le trafic de bot entrant.
- Action de bot. Choisissez une action de bot pour la catégorie sélectionnée.
- Journal. Activez la case à cocher pour stocker les entrées de journal.
- Consigner le message. Brève description du journal.
- Commentaires. Brève description de la catégorie bot.
- Cliquez sur OK.
- Cliquez sur Update.
-
Cliquez sur Terminé.
Configurer la technique d’empreintes digitales de périphérique à l’aide de l’interface graphique Citrix ADC
Cette technique de détection envoie un défi de script java au client et extrait les informations du périphérique. Sur la base des informations de l’appareil, la technique diminue ou contourne le trafic du bot. Suivez les étapes pour configurer la technique de détection.
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Dans la page Profils de gestion des bot Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur Empreinte digitale du périphérique.
-
Dans la section Device Fingerprint, définissez les paramètres suivants :
- Activé. Définissez cette option pour activer la règle.
- Configuration. Pour l’empreinte digitale du périphérique donnée, n’affectez aucune action, chute, redirection, atténuation ou action CAPTCHA.
- Journal. Activez la case à cocher pour stocker les entrées de journal.
- Cliquez sur Update.
- Cliquez sur Terminé.
Configurer la technique des empreintes digitales de l’appareil pour les applications mobiles (Android)
La technique d’empreintes digitales de périphérique détecte un trafic entrant en tant que bot en insérant un script JavaScript dans la réponse HTML au client. Le script JavaScript lorsqu’il est invoqué par le navigateur, il collecte les attributs du navigateur et du client et envoie une requête à l’appliance. Les attributs sont examinés pour déterminer si le trafic est un Bot ou un humain.
La technique de détection est étendue pour détecter les bots sur une plateforme mobile (Android). Contrairement aux applications web, dans le trafic mobile (Android), la détection de bot basée sur le script JavaScript ne s’applique pas. Pour détecter les bots dans un réseau mobile, la technique utilise un kit SDK mobile bot qui est intégré aux applications mobiles côté client. Le SDK intercepte le trafic mobile, recueille les détails de l’appareil et envoie les données à l’appliance. Du côté de l’appliance, la technique de détection examine les données et détermine si la connexion provient d’un robot ou d’un humain.
Fonctionnement de la technique d’empreintes digitales des appareils pour applications mobiles
Les étapes suivantes expliquent le flux de travail de détection des robots pour détecter si une demande provenant d’un appareil mobile provient d’un humain ou d’un bot.
- Lorsqu’un utilisateur interagit avec une application mobile, le comportement de l’appareil est enregistré par le kit SDK mobile bot.
- Le client envoie une demande à l’appliance Citrix ADC.
- Lors de l’envoi de la réponse, l’appliance insère un cookie de session bot avec des détails de session et des paramètres pour collecter les paramètres du client.
- Lorsque l’application mobile reçoit la réponse, le kit SDK bot Citrix qui est intégré à l’application mobile valide la réponse, récupère les paramètres d’empreintes digitales du périphérique enregistré et l’envoie à l’appliance.
- La technique de détection d’empreintes digitales du périphérique côté matériel valide les détails de l’appareil et met à jour le cookie de session bot s’il s’agit d’un bot suspecté ou non.
- Lorsque le cookie est expiré ou que la protection des empreintes digitales de l’appareil préfère valider et collecter périodiquement les paramètres de l’appareil, toute la procédure ou la contestation est répétée.
Prérequis
Pour commencer à utiliser la technique de détection d’empreintes digitales de l’appareil Citrix ADC pour les applications mobiles, vous devez télécharger et installer le kit SDK mobile bot dans votre application mobile.
Configurer la technique de détection d’empreintes digitales pour les applications mobiles (Android) à l’aide de la CLI
À l’invite de commandes, tapez :
set bot profile <profile name> -deviceFingerprintMobile ( NONE | Android )
Exemple :
set bot profile profile 1 –deviceFingerprintMobile Android
Configurer la technique de détection d’empreintes digitales de périphérique pour les applications mobiles (Android) à l’aide de l’interface graphique
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, cliquez sur Empreinte digitale de périphérique sous Paramètres de profil.
- Dans la section Configurer Bot Mobile SDK, sélectionnez le type de client mobile.
- Cliquez sur Mettre à jour et Terminé.
Configurer la technique de piège bot
La technique d’interruptions de robot Citrix insère de manière aléatoire ou périodique une URL d’interruption dans la réponse du client. Vous pouvez également créer une liste d’URL d’interruptions et ajouter des URL pour cela L’URL apparaît invisible et non accessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et lorsqu’il y a accès, l’attaquant est classé comme bot et toute demande ultérieure du bot est bloquée. La technique de piège est efficace pour bloquer les attaques des robots.
L’URL d’interruptions est une URL alphanumérique de longueur configurable et elle est générée automatiquement à intervalle configurable. La technique vous permet également de configurer une URL d’injection de piège pour les sites Web les plus visités ou les sites Web fréquemment visités. Ce faisant, vous pouvez exiger le but d’injecter l’URL de trap bot pour les requêtes correspondant à l’URL d’injection d’interruptions.
Remarque :
Bien que l’URL de trap bot soit générée automatiquement, la gestion des robots Citrix ADC vous permet toujours de configurer une URL de trap personnalisée dans le profil de bot. Ceci est fait pour renforcer la technique de détection des robots et rendre plus difficile pour les attaquants l’accès à l’URL de piège.
Pour terminer la configuration des interruptions de bot, vous devez effectuer les étapes suivantes.
- Activer l’URL de trap bot
- Configurer l’URL de trap de bot dans le profil de bot
- Liez l’URL d’injection de piège bot au profil de bot
- Configurer la longueur et l’intervalle de l’URL d’interruptions de bot dans les paramètres
Activer la protection des URL de trap de bot
Avant de commencer, vous devez vous assurer que la protection URL d’interruptions du bot est activée sur l’appliance. À l’invite de commandes, tapez :
enable ns feature Bot
Configurer l’URL de trap de bot dans le profil de bot
Vous pouvez configurer l’URL de trap bot et spécifier une action d’interruptions dans le profil du bot.
À l’invite de commandes, tapez :
add bot profile <name> -trapURL <string> -trap ( ON | OFF ) -trapAction <trapAction>
Où,
trapURL
. URL que la protection Bot utilise comme URL d’interruptions. Longueur maximale : 127
trap
. Activez la détection d’interruptions de robot. Valeurs possibles : ON, OFF, Valeur par défaut : OFF
trapAction
. Action à prendre en fonction de la détection des robots. Valeurs possibles : NONE, LOG, DROP, REDIRECTION, RESET, ATTÉNUATION. Valeur par défaut : NONE
Exemple :
add bot profile profile1 -trapURL www.bottrap1.com trap ON -trapAction RESET
Liez l’URL d’injection de piège bot au profil de bot
Vous pouvez configurer l’URL d’injection d’interruptions de bot et la lier au profil du robot. À l’invite de commandes, tapez :
bind bot profile <profile_name> trapInjectionURL –url <url> -enabled ON|OFF -comment <comment>
Où,
URL
. Demande d’URL regex motif pour lequel l’URL de trap bot est insérée. Longueur maximale : 127
Exemple :
bind bot profile profile1 trapInjectionURL –url www.example.com –enabled ON –comment insert a trap URL randomly
Configurer la longueur et l’intervalle de l’URL d’interruptions de bot dans les paramètres
Vous pouvez configurer la longueur de l’URL de trap bot et également définir l’intervalle pour générer automatiquement l’URL de trap bot. À l’invite de commandes, tapez :
set bot settings -trapURLAutoGenerate ( ON | OFF ) –trapURLInterval <positive_integer> -trapURLLength <positive_integer>
Où,
trapURLInterval
. Durée en secondes après laquelle l’URL de trap bot est mise à jour. Valeur par défaut : 3600, Valeur minimale : 300, Valeur maximale : 86400
trapURLLength
. Longueur de l’URL de trap robots générée automatiquement. Valeur par défaut : 32, Valeur minimale : 10, Valeur maximale : 255
Exemple :
set bot settings -trapURLAutoGenerate ON –trapURLInterval 300 -trapURLLength 60
Configurer l’URL de trap de bot à l’aide de l’interface graphique
- Accédez à Sécurité > Gestion des bots Citrix > Profils.
- Dans la page Profils de gestion des bots Citrix, cliquez sur Modifier pour configurer la technique URL d’interruptions de robot.
-
Dans la page Créer un profil Citrix Bot Management, entrez l’URL d’interruption de robot dans la section générale.
- Dans la page Créer un profil Citrix Bot Management, cliquez sur Trap de botdans Paramètres de profil.
-
Dans la section Bot Trap, définissez les paramètres suivants.
a. Activé. Activez la case à cocher pour activer la détection des interruptions robots b. Description. Brève description de l’URL. c. Configurer les actions. Action à prendre pour les robots détectés par l’accès au piège bot.
- Dans la section Configurer les URL d’insertion d’interruptions, cliquez sur Ajouter.
-
Dans la page Configurer Citrix Bot Management Profile Bot Trap Liaison, définissez les paramètres suivants.
- URL d’interruptions. Tapez l’URL que vous souhaitez confirmer en tant qu’URL d’injection de trap bot.
- Activé. Activer ou désactiver l’URL d’injection d’interruptions de bot.
- Comment. Une brève description de l’URL d’injection d’interruptions.
- Dans la section Paramètres de signature, cliquez sur Trap de bot.
-
Dans la section Piège bot, définissez les paramètres suivants :
- Activé. Activez la case à cocher pour activer la détection des interruptions robots.
-
Dans la section Configurer, définissez les paramètres suivants.
- Action. Action à prendre pour les robots détectés par l’accès au piège bot.
- Journal. Activer ou désactiver la journalisation pour la liaison de trap bot.
- Cliquez sur Mettre à jour et Terminé.
Configuration des paramètres d’URL d’interruptions de bot
Procédez comme suit pour configurer les paramètres d’URL de trap bot :
- Accédez à Sécurité > Gestion des bots Citrix.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion du bot Citrix.
-
Dans les paramètres Configurer Citrix Bot Management, définissez les paramètres suivants.
- Intervalle d’URL d’interruptions Durée en secondes après laquelle l’URL de trap bot est mise à jour.
- Longueur de l’URL d’interruptions. Longueur de l’URL de trap robots générée automatiquement.
- Cliquez sur OK et Terminé.
Configurer CAPTCHA pour la réputation IP et la détection des empreintes digitales des périphériques
CAPTCHA est un acronyme qui signifie « Complètement Automated Public Turing test to tell Computers and Humans Apart ». CAPTCHA est conçu pour tester si un trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. CAPTCHA aide à bloquer les robots automatisés qui causent des violations de sécurité aux applications Web. Dans l’appliance ADC, CAPTCHA utilise le module challenge-réponse pour identifier si le trafic entrant provient d’un utilisateur humain et non d’un robot automatisé.
Configurer la signature statique de bot à l’aide de Citrix ADC GUI
Cette technique de détection vous permet d’identifier les informations de l’agent utilisateur à partir des détails du navigateur. Sur la base des informations de l’agent utilisateur, le bot est identifié comme un bot mauvais ou bon, puis vous lui attribuez une action de bot. Suivez les étapes pour configurer la technique de signature statique.
Fonctionnement de CAPTCHA dans la gestion des robots Citrix ADC
Dans la gestion des robots Citrix ADC, la validation CAPTCHA est configurée comme une action de stratégie à exécuter après l’évaluation de la stratégie bot. L’action CAPTCHA est disponible uniquement pour la réputation IP et les techniques de détection d’empreintes digitales des périphériques. Voici les étapes pour comprendre comment fonctionne CAPTCHA :
- Si une violation de sécurité est observée lors de la détection de la réputation IP ou de la détection d’empreintes digitales de périphérique, l’appliance ADC envoie un défi CAPTCHA.
- Le client envoie la réponse CAPTCHA.
- L’appliance valide la réponse CAPTCHA et, si elle est valide, la demande est autorisée et elle est transmise au serveur principal.
- Si la réponse CATCHA n’est pas valide, l’appliance envoie un nouveau défi CAPTCHA jusqu’à ce que le nombre maximal de tentatives soit atteint.
- Si la réponse CAPTCHA n’est pas valide même après le nombre maximal de tentatives, l’appliance supprime ou redirige la requête vers l’URL d’erreur configurée.
- Si vous avez configuré l’action de journal, l’appliance stocke les détails de la demande dans le fichier ns.log.
Configurer les paramètres CAPTCHA à l’aide de l’interface graphique Citrix ADC
L’action CAPTCHA de gestion des robots est prise en charge uniquement pour la réputation IP et les techniques de détection des empreintes digitales des périphériques. Procédez comme suit pour configurer les paramètres CAPTCHA.
- Accédez à Sécurité > Gestion des bots Citrix et profils.
- Sur la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
- Sur la page Profil Citrix Bot Management, accédez à la section Paramètres de signature et cliquez sur CAPTCHA.
- Dans la section Paramètres CAPTCHA, cliquez sur Ajouter pour configurer les paramètres CAPTCHA au profil :
- Dans la page Configurer Citrix Bot Management CAPTCHA, définissez les paramètres suivants.
-
URL. URL de bot pour laquelle l’action CAPTCHA est appliquée lors des techniques de détection d’empreintes digitales de réputation IP et de détection d’empreintes digitales de périphérique
- Activé. Définissez cette option pour activer la prise en charge CAPTCHA.
- Le temps de grâce. Durée jusqu’à ce qu’aucun nouveau défi CAPTCHA n’est envoyé après la réception de la réponse CAPTCHA valide actuelle.
- Temps d’attente. Durée prise pour que l’appliance ADC patiente jusqu’à ce que le client envoie la réponse CAPTCHA.
- Période muet. Durée pendant laquelle le client qui a envoyé une réponse CAPTCHA incorrecte doit attendre jusqu’à ce qu’il soit autorisé à essayer ensuite. Pendant cette période de mise en sourdine, l’appliance ADC n’autorise aucune demande. Portée : 60 à 900 secondes, Recommandé : 300 secondes
- Limite de longueur de la demande. Durée de la demande pour laquelle le défi CAPTCHA est envoyé au client. Si la longueur est supérieure à la valeur de seuil, la demande est supprimée. La valeur par défaut est de 10 à 3000 octets.
- Tentatives de nouvelle tentative. Nombre de tentatives que le client est autorisé à réessayer pour résoudre le défi CAPTCHA. Plage : 1 à 10, recommandé : 5.
- Aucune action action/drop/redirection à effectuer si le client échoue la validation CAPTCHA.
- Journal. Définissez cette option pour stocker les informations de demande du client lorsque la réponse CAPTCHA échoue. Les données sont stockées dans
ns.log
un fichier. - Comment. Une brève description de la configuration CAPTCHA.
-
-
Cliquez sur OK et Terminé.
- Accédez à Sécurité > Gestion des bots Citrix > Signatures.
- Dans la page Citrix Bot Management Signatures, sélectionnez un fichier de signatures et cliquez sur Edit.
- Sur la page Signature de gestion de bot Citrix, accédez à la section Paramètres de signature et cliquez sur Signatures de bot .
-
Dans la section Signatures de bot, définissez les paramètres suivants :
- Configurer les signatures statiques. Sélectionnez un enregistrement de signature statique de bot et cliquez sur Modifier pour lui affecter une action de bot.
- Cliquez sur OK.
- Cliquez sur Mettre à jour la signature.
- Cliquez sur Terminé.
Mise à jour automatique des signatures de robots
La technique de signature statique du bot utilise une table de recherche de signatures avec une liste de bons robots et de mauvais robots. Les robots sont classés en fonction de la chaîne de l’agent utilisateur et des noms de domaine. Si la chaîne de l’agent utilisateur et le nom de domaine dans le trafic bot entrant correspondent à une valeur de la table de choix, une action de bot configurée est appliquée. Les mises à jour des signatures de bot sont hébergées sur le cloud AWS et la table de recherche de signatures communique avec la base de données AWS pour les mises à jour des signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et met à jour la table de signatures dans l’appliance Citrix ADC.
L’URL de mise à jour automatique de la signature à configurer est, https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json
Remarque :
Vous pouvez également configurer un serveur proxy et mettre à jour périodiquement les signatures du cloud AWS vers l’appliance via le proxy. Pour la configuration du proxy, vous devez définir l’adresse IP du proxy et l’adresse de port dans les paramètres du bot.
Fonctionnement de la mise à jour automatique de la signature
Le diagramme suivant montre comment les signatures de bot sont extraites du cloud AWS, mises à jour sur Citrix ADC et affichées sur Citrix ADM pour le résumé de la mise à jour des signatures.
Le planificateur de mise à jour automatique de signature de bot effectue les opérations suivantes :
- Récupère le fichier de mappage à partir de l’URI AWS.
- Vérifie les dernières signatures du fichier de mappage avec les signatures existantes dans l’appliance ADC.
- Télécharge les nouvelles signatures d’AWS et vérifie l’intégrité de la signature.
- Met à jour les signatures de bot existantes avec les nouvelles signatures dans le fichier de signature de bot.
- Génère une alerte SNMP et envoie le résumé de la mise à jour de signature à Citrix ADM.
Configurer la mise à jour automatique de signature
Pour configurer la mise à jour automatique de signature de bot, procédez comme suit :
Activer la mise à jour automatique des signatures
Vous devez activer l’option de mise à jour automatique dans les paramètres du robot de l’appliance ADC. À l’invite de commandes, tapez :
set bot settings –signatureAutoUpdate ON
Configurer les paramètres du serveur proxy (facultatif)
Si vous accédez à la base de données de signatures AWS via un serveur proxy, vous devez configurer le serveur proxy et le port.
set bot settings –proxyserver –proxyport
Exemple :
set bot settings –proxy server 1.1.1.1 –proxyport 1356
Configurer la mise à jour automatique des signatures de bot à l’aide de l’interface graphique Citrix ADC
Procédez comme suit pour configurer la mise à jour automatique de signature de bot :
- Accédez à Sécurité > Gestion des bots Citrix.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion du bot Citrix.
-
Dans les paramètres de gestion des robots Citrix, activez la case à cocher Signature de mise à jour automatique .
- Cliquez sur OK et Fermer.
Créer un profil de gestion de bot
Un profil de bot est un ensemble de paramètres de gestion de bot utilisés pour détecter le type de bot. Dans un profil, vous déterminez comment le Web App Firewall applique chacun de ses filtres (ou contrôles) au trafic bot sur vos sites Web, ainsi que les réponses de ceux-ci.
Procédez comme suit pour configurer le profil de bot :
- Accédez à Sécurité > Citrix Bot Management > Profils.
- Dans le volet d’informations, cliquez sur Ajouter.
-
Dans la page Créer un profil de gestion de bot Citrix, définissez les paramètres suivants.
- Nom. Nom du profil de bot.
- Signature. Nom du fichier de signature de bot.
- URL d’erreur. URL pour les redirections.
- Comment. Brève description du profil.
- Cliquez sur Créer et Fermer.
Créer une stratégie de bot
La stratégie de bot contrôle le trafic vers le système de gestion de bot et aussi pour contrôler les journaux de bot envoyés au serveur auditlog. Suivez la procédure pour configurer la stratégie de bot.
- Accédez à Sécurité > Citrix Bot Management > Stratégies de bot.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la page Créer une stratégie de gestion de bot Citrix, définissez les paramètres suivants.
- Nom. Nom de la stratégie Bot.
- Expression. Tapez l’expression ou la règle de stratégie directement dans la zone de texte.
- Profil de bot. Profil de bot pour appliquer la stratégie de bot.
- Action non définie. Sélectionnez une action que vous préférez attribuer.
- Comment. Brève description de la politique.
- Actions de journalisation. Action de message de journal d’audit pour la journalisation du trafic de bot. Pour plus d’informations sur l’action du journal d’audit, voir rubrique Journalisation d’audit.
- Cliquez sur Créer et Fermer.
Transactions de bot par seconde (TPS)
La technique du bot Transactions Per Second (TPS) détecte le trafic entrant en tant que bot si le nombre de requêtes par seconde (RPS) et le pourcentage d’augmentation de RPS dépassent la valeur de seuil configurée. La technique de détection protège vos applications Web contre les robots automatisés qui peuvent provoquer des activités de Web scrapping, des connexions de force brute et d’autres attaques malveillantes.
Remarque :
La technique bot détecte un trafic entrant en tant que bot uniquement si les deux paramètres sont configurés et si les deux valeurs augmentent au-delà de la limite de seuil. Considérons un scénario, où l’appliance reçoit de nombreuses demandes provenant d’une URL spécifique et que vous souhaitez que la gestion des robots Citrix ADC détecte s’il y a une attaque de bot. La technique de détection TPS examine le nombre de demandes (valeur configurée) provenant de l’URL en 1 seconde et le pourcentage d’augmentation (valeur configurée) du nombre de demandes reçues dans les 30 minutes. Si les valeurs dépassent la limite de seuil, le trafic est considéré comme bot et l’appliance exécute l’action configurée.
Configurer la technique des transactions de bot par seconde (TPS)
Pour configurer TPS, vous devez effectuer les étapes suivantes :
- Activer le bot TPS
- Lier les paramètres TPS au profil de gestion des robots
Lier les paramètres TPS au profil de gestion des robots
Une fois que vous activez la fonctionnalité TPS bot, vous devez lier les paramètres TPS au profil de gestion des robots.
À l’invite de commandes, tapez :
bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])
Exemple :
bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log
Activer la transaction bot par seconde (TPS)
Avant de commencer, vous devez vous assurer que la fonctionnalité Bot TPS est activée sur l’appliance. À l’invite de commandes, tapez :
set bot profile profile1 –enableTPS ON
Configurer les transactions de bot par seconde (TPS) à l’aide de l’interface graphique Citrix ADC
Procédez comme suit pour configurer les transactions de bot par seconde :
- Accédez à Sécurité > Gestion des bots Citrix > Profils.
- Dans la page Citrix Bot Management Profils, sélectionnez un profil et cliquez sur Modifier.
- Dans la page Créer un profil Citrix Bot Management, cliquez sur TPS sous la section Paramètres de signature.
-
Dans la section TPS, activez la fonction et cliquez sur Ajouter.
-
Dans la page Configurer Citrix Bot Management Profile TPS Binding, définissez les paramètres suivants.
-
Tapez. Types d’entrée autorisés par la technique de détection. Valeurs possibles : IP SOURCE, GÉOLOCALISATION, HOST, URL.
SOURCE_IP — TPS basé sur l’adresse IP du client.
GÉOLOCALISATION — TPS basée sur l’emplacement géographique du client.
HOST - TPS basé sur les demandes client transférées à une adresse IP de serveur back-end spécifique.
URL : TPS basé sur les demandes client provenant d’une URL spécifique.
-
Seuil fixe. Nombre maximal de demandes autorisées à partir d’un type d’entrée TPS dans un intervalle de temps d’une seconde.
-
Seuil en pourcentage. Augmentation maximale en pourcentage des demandes provenant d’un type d’entrée TPS dans un intervalle de 30 minutes.
-
Action. Mesures à prendre pour les robots détectés par liaison TPS.
-
Journal. Activer ou désactiver la journalisation pour la liaison TPS.
-
Consigner le message. Message à consigner pour les robots détectés par la liaison TPS. Longueur maximale : 255.
-
Commentaires. Une brève description de la configuration TPS. Longueur maximale : 255
-
- Cliquez sur OK, puis sur Fermer .
Partager
Partager
Dans cet article
- Procédure de mise à niveau de votre appliance vers la configuration de gestion des robots basée sur Citrix ADC
- Configuration de la gestion des robots Citrix ADC
- Configuration de la gestion des robots à l’aide de l’interface graphique Citrix ADC
- Configuration des paramètres de gestion de bot pour la technique d’empreintes digitales de l’appareil
- Configurer la liste d’autorisation des robots à l’aide de Citrix ADC GUI
- Configurer la liste des blocs de robots à l’aide de Citrix ADC GUI
- Configurer la réputation IP à l’aide de l’interface graphique Citrix ADC
- Configurer la limite de débit de bot à l’aide de Citrix ADC GUI
- Configurer la technique d’empreintes digitales de périphérique à l’aide de l’interface graphique Citrix ADC
- Configurer la technique des empreintes digitales de l’appareil pour les applications mobiles (Android)
- Fonctionnement de la technique d’empreintes digitales des appareils pour applications mobiles
- Configurer la technique de piège bot
- Configurer CAPTCHA pour la réputation IP et la détection des empreintes digitales des périphériques
- Configurer la signature statique de bot à l’aide de Citrix ADC GUI
- Créer un profil de gestion de bot
- Créer une stratégie de bot
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.