Documentation produit
Citrix ADC
Current Release 13.0 12.1 11.1
Voir PDF

Détection des robots

December 3, 2021
Contribution de: 
C

Le système de gestion des bots Citrix ADC utilise six techniques différentes pour détecter le trafic de robots entrant. Les techniques sont utilisées comme règles de détection pour détecter le type de bot. Les techniques sont la liste d’autorisation des robots, la liste des bots bloqués, la réputation IP, l’empreinte digitale de l’appareil, la limitation du débit, le piège de bot, le TPS et le CAPTCHA.

Remarque :

La gestion des bots prend en charge un maximum de 32 entités de configuration pour les techniques de liste de blocage, de liste d’autorisation et de limitation de débit.

Liste blanche des bots. Liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie pouvant être ignorées en tant que liste autorisée.

Liste noire des robots. Une liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie dont l’accès à vos applications Web doit être bloqué.

Réputation IP. Cette règle détecte si le trafic de bot entrant provient d’une adresse IP malveillante.

empreinte digitale de l’appareil. Cette règle détecte si le trafic de bot entrant comporte l’ID d’empreinte digitale de l’appareil dans l’en-tête de la demande entrante et les attributs de navigateur d’un trafic de bot client entrant.

Limitation :

  1. JavaScript doit être activé dans le navigateur client.
  2. Ne fonctionne pas pour les réponses XML.

Expression de journal de bot. La technique de détection vous permet de capturer des informations supplémentaires sous forme de messages de journal. Les données peuvent être le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande ou les données générées à partir d’une expression.

Limite de taux. Ce taux de règle limite les demandes multiples provenant du même client.

Piège à robots. Détecte et bloque les robots automatisés en annonçant une URL d’interruption dans la réponse du client. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. La technique de détection est efficace pour bloquer les attaques de robots automatisés.

TPS. Détecte le trafic entrant en tant que bots si le nombre maximal de demandes et le pourcentage d’augmentation des demandes dépassent l’intervalle de temps configuré.

CAPTCHA. Cette règle utilise un CAPTCHA pour atténuer les attaques de bots. Un CAPTCHA est une validation de question-réponse pour déterminer si le trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. La validation permet de bloquer les bots automatisés qui causent des violations de sécurité aux applications Web. Vous pouvez configurer CAPTCHA en tant qu’action de bot dans les techniques de réputation IP et de détection des empreintes digitales de l’appareil.

Voyons maintenant comment configurer chaque technique pour détecter et gérer le trafic de votre bot.

Comment mettre à niveau votre appliance vers la configuration de gestion des bots basée sur l’interface de ligne de commande Citrix ADC

Si vous mettez à niveau votre appliance à partir d’une version antérieure (Citrix ADC version 13.0 build 58.32 ou antérieure), vous devez d’abord convertir manuellement la configuration de gestion des bots existante en configuration de gestion des bots basée sur l’interface de ligne de commande Citrix ADC une seule fois. Suivez les étapes suivantes pour convertir manuellement votre configuration de gestion des bots.

  1. Après la mise à niveau vers la dernière version, connectez-vous à l’outil de mise à niveau “upgrade_bot_config.py” à l’aide de la commande suivante

    À l’invite de commandes, tapez :

    shell "/var/python/bin/python /netscaler/upgrade_bot_config.py > /var/bot_upgrade_commands.txt"

  2. Exécutez la configuration à l’aide de la commande suivante.

    À l’invite de commandes, tapez :

    batch -f /var/bot_upgrade_commands.txt

  3. Enregistrez la configuration mise à niveau.

save ns config

Configuration de la gestion des robots Citrix ADC basée sur l’interface de ligne

La configuration de la gestion des bots vous permet de lier une ou plusieurs techniques de détection de bots à un profil de bot spécifique. Vous commencez le processus en activant la fonctionnalité de gestion des bots sur votre appliance. Une fois cette option activée, vous importez le fichier de signature du bot dans l’appliance. Après l’importation, vous devez créer un profil de bot. Vous créez ensuite une stratégie de bot à laquelle le profil de bot est lié pour évaluer le trafic entrant en tant que bot et liez la stratégie globalement ou à un serveur virtuel.

Remarque :

Si vous mettez à niveau votre appliance à partir d’une version antérieure, vous devez d’abord convertir manuellement la configuration existante de gestion des robots. Pour plus d’informations, consultez la section Comment mettre à niveau vers la configuration de gestion des robots basée sur Citrix ADC CLI .

Vous devez effectuer les étapes suivantes pour configurer la gestion des robots basée sur Citrix ADC :

  1. Enable bot management
  2. Import bot signature
  3. Add bot profile
  4. Bind bot profile
  5. Add bot policy
  6. Bind bot policy
  7. Configure bot settings

Enable bot management

Avant de commencer, assurez-vous que la fonctionnalité de gestion des bots est activée sur l’appliance. Si vous disposez d’un nouveau Citrix ADC ou VPX, vous devez activer la fonctionnalité avant de la configurer. Si vous mettez à niveau un dispositif Citrix ADC d’une version antérieure vers la version actuelle, vous devez activer la fonctionnalité avant de la configurer. À l’invite de commandes, tapez :

enable ns feature Bot

Import bot signature

Vous pouvez importer le fichier bot de signature par défaut et le lier au profil de robot. À l’invite de commandes, tapez :

import bot signature [<src>] <name> [-comment <string>] [-overwrite]

Où, src. Chemin d’accès local et nom du fichier, ou URL (protocole, hôte, chemin d’accès et nom de fichier) du fichier dans lequel stocker le fichier de signature importé. Remarque : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite une authentification par certificat client pour y accéder. Longueur maximale : nom 2047. Nom à attribuer à l’objet de fichier de signature de bot sur Citrix ADC. Il s’agit d’un argument obligatoire. Longueur maximale : 31 commentaires. Tout commentaire permettant de conserver les informations relatives à l’objet de fichier de signature. Longueur maximale : 255. Ecraser. Écrase le fichier existant. Remarque : utilisez l’option overwrite pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser la commande update bot signature <name> pour mettre à jour le fichier de signature sur l’appliance Citrix ADC

Exemple

import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite

Remarque :

Vous pouvez utiliser l’option de remplacement pour mettre à jour le contenu du fichier de signature. Vous pouvez également utiliser la commande update bot signature <name> pour mettre à jour le fichier de signature dans l’appliance Citrix ADC.

Add bot profile

Un profil de bot est un ensemble de paramètres de profil permettant de configurer la gestion des bots sur l’appliance. Vous pouvez configurer les paramètres pour effectuer la détection des bots.

À l’invite de commandes, tapez :

add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-comment <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )] [-trapAction ( none | log | drop | redirect | reset )] [-tps ( ON | OFF )]

Exemple :

add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON

Bind bot profile

Après avoir créé un profil de bot, vous devez lier le mécanisme de détection des bots au profil.

À l’invite de commandes, tapez :

bind bot profile <name> ((-blackList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-action ( log | drop | reset )] [-logMessage <string>] [-comment <string>]) | (-whiteList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-log ( ON | OFF )] [-logMessage <string>] [-comment <string>])) | (-rateLimit [-type ( session |SOURCE_IP | url )] [-enabled ( ON | OFF )] [-url <string>] [-cookieName <string>] [-rate <positive_integer>] [-timeslice <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>]) | (-captchaResource [-url <string>] [-enabled ( ON | OFF )] [-waitTime <positive_integer>] [-gracePeriod <positive_integer>] [-mutePeriod <positive_integer>] [-requestLengthLimit <positive_integer>] [-retryAttempts <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-tps [-type ( SOURCE_IP | GeoLocation | REQUEST_URL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>])

Exemple :

L’exemple suivant concerne la liaison de la technique de détection de réputation IP à un profil de bot spécifique.

bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message

Add bot policy

Vous devez ajouter la stratégie de bot pour évaluer le trafic des robots.

À l’invite de commandes, tapez :

add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]

Où,

Nom. Nom de la stratégie de bot. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), le point (.), la livre (#), l’espace (), à (@), égal à (=), deux-points (:) et les caractères de soulignement. Peut être modifié après l’ajout de la stratégie de bot.

Rule. Expression utilisée par la stratégie pour déterminer si le profil de bot doit être appliqué à la demande spécifiée. Il s’agit d’un argument obligatoire. Longueur maximale : 1499

profileName. Nom du profil de bot à appliquer si la demande correspond à cette stratégie de bot. Il s’agit d’un argument obligatoire. Longueur maximale : 127

undefAction. Action à effectuer si le résultat de l’évaluation des politiques n’est pas défini (UNDEF). Un événement UNDEF indique une condition d’erreur interne. Longueur maximale : 127

Commentaire. Tout type d’informations concernant cette stratégie de bot. Longueur maximale : 255

logAction. Nom de l’action de journal à utiliser pour les demandes qui correspondent à cette stratégie. Longueur maximale : 127

Exemple :

add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1

Bind bot policy global

À l’invite de commandes, tapez :

bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]

Exemple :

bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Bind bot policy to a virtual server

À l’invite de commandes, tapez :

bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type ( REQUEST | RESPONSE )] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile <string>@)

Exemple :

bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Configure bot settings

Vous pouvez personnaliser les paramètres par défaut si nécessaire. À l’invite de commandes, tapez :

set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|*>] [-proxyPort <port|*>]

Où,

defaultProfile. Profil à utiliser lorsqu’une connexion ne correspond à aucune stratégie. Le paramètre par défaut est «, qui renvoie les connexions inégalées vers Citrix ADC sans essayer de les filtrer davantage. Longueur maximale : 31

javaScriptName. Nom du code JavaScript utilisé par la fonctionnalité BotNet en réponse. Doit commencer par une lettre ou un chiffre et peut être composé de 1 à 31 lettres, chiffres et symboles de trait d’union (-) et de trait de soulignement (_). La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « nom de mon cookie » ou « nom de mon cookie »). Longueur maximale : 31

SessionTimeout. La session expire, en secondes, après quoi une session utilisateur est interrompue.

Valeur minimale : 1, Valeur maximale : 65535

sessionCookieName. Nom du cookie SessionCookie que la fonctionnalité BotNet utilise pour le suivi. Doit commencer par une lettre ou un chiffre et peut être composé de 1 à 31 lettres, chiffres et symboles de trait d’union (-) et de trait de soulignement (_). La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, insérez le nom entre guillemets doubles ou simples (par exemple, « nom de mon cookie » ou « nom de mon cookie »). Longueur maximale : 31

dfpRequestLimit. Nombre de demandes à autoriser sans cookie de session de bot si l’empreinte digitale de l’appareil est activée.

Valeur minimale : 1, Valeur maximale : 4294967295

SignatureAutoUpdate. Indicateur utilisé pour activer/désactiver les signatures de mise à jour automatique des bots.

Valeurs possibles : ON, OFF

Valeur par défaut : OFF

signatureUrl. URL pour télécharger le fichier de mappage des signatures de bots à partir du serveur.

Valeur par défaut : https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json.

Longueur maximale : 2047

ProxyServer. IP du serveur proxy pour obtenir les signatures mises à jour d’AWS.

ProxyPort. Port du serveur proxy pour obtenir les signatures mises à jour d’AWS. Valeur par défaut : 8080

Exemple :

set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session

Configuration de la gestion des robots à l’aide de l’interface graphique Citrix ADC

Vous pouvez configurer la gestion des robots Citrix ADC en activant d’abord la fonctionnalité sur l’appliance. Une fois que vous l’avez activée, vous pouvez créer une stratégie de bot pour évaluer le trafic entrant en tant que bot et envoyer le trafic vers le profil de bot. Ensuite, vous créez un profil de bot, puis vous liez le profil à une signature de bot. Vous pouvez également cloner le fichier de signature du bot par défaut et utiliser le fichier de signature pour configurer les techniques de détection. Après avoir créé le fichier de signature, vous pouvez l’importer dans le profil du bot.

Page de gestion des bots

  1. Activer la fonctionnalité de gestion des robots
  2. Configuration des paramètres de gestion des bots
  3. Signature par défaut du robot Cloner Citrix
  4. Importer la signature du bot Citrix
  5. Configuration des paramètres de signature du bot
  6. Créer un profil de bot
  7. Créer une stratégie de bot

Activer la fonctionnalité de gestion des robots

Pour activer la gestion des bots, procédez comme suit :

  1. Dans le volet de navigation, développez Système, puis cliquez sur Paramètres.
  2. Sur la page Configurer les fonctionnalités avancées, cochez la case Gestion des bots .

  3. Cliquez sur OK, puis sur Fermer.

    Activer la gestion des robots

Configuration des paramètres de gestion des bots pour la technique d’empreinte digitale

Pour configurer la technique d’empreinte digitale de l’appareil, procédez comme suit :

  1. Accédez à Sécurité > Citrix Bot Management.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion des robots Citrix.

  3. Dans la section Configurer les paramètres de gestion des bots Citrix, définissez les paramètres suivants.

    1. Profil par défaut. Sélectionnez un profil de bot.
    2. Nom JavaScript. Nom du fichier JavaScript utilisé par la gestion des robots dans sa réponse au client.
    3. Délai d’expiration de session. Délai d’expiration en secondes après lequel la session utilisateur est interrompue.
    4. Cookie de session. Nom du cookie de session utilisé par le système de gestion des robots pour le suivi.
    5. Limite de demande d’empreinte digitale du périphérique Nombre de demandes à autoriser sans cookie de session de bot, si l’empreinte digitale de l’appareil est activée

    Paramètres de gestion des bots

  4. Cliquez sur OK.

Fichier de signature de robot clone

Pour cloner le fichier de signature du bot, procédez comme suit :

  1. Accédez à Sécurité > Citrix Bot Management and Signatures.
  2. Dans la page Signatures de Citrix Bot Management, sélectionnez l’enregistrement de signatures de bot par défaut et cliquez sur Cloner.
  3. Dans la page Signature du robot clone, saisissez un nom et modifiez les données de signature.

  4. Cliquez sur Créer.

    Fichier de signature de robot clone

Importer le fichier de signature de bot

Si vous possédez votre propre fichier de signature, vous pouvez l’importer sous forme de fichier, de texte ou d’URL. Pour importer le fichier de signature du bot, procédez comme suit :

  1. Accédez à Sécurité > Citrix Bot Management and Signatures.
  2. Sur la page Citrix Bot Management Signatures, importez le fichier sous forme d’URL, de fichier ou de texte.

  3. Cliquez sur Continuer.

    Importer le fichier de signature de bot

  4. Sur la page Importer la signature Citrix Bot Management, définissez les paramètres suivants.
    1. Nom. Nom du fichier de signature du bot.
    2. Commentaire. Brève description du fichier importé.
    3. Écraser. Activez cette case à cocher pour autoriser l’écrasement des données pendant la mise à jour du fichier.
    4. Données de signature. Modifier les paramètres de signature

  5. Cliquez sur Terminé.

    Importer le fichier de signature de bot

Configurer la liste des robots autorisés à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de contourner les URL que vous configurez une URL répertoriée autorisée. Pour configurer une URL de liste d’autorisation, procédez comme suit :

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Liste blanche.
  4. Dans la section Liste blanche, définissez les paramètres suivants :
    1. Activé. Cochez la case pour valider les URL de la liste d’autorisation dans le cadre du processus de détection.
    2. Configurez les types. Configurez une URL de liste d’autorisation. L’URL est ignorée lors de la détection du bot. Cliquez sur Ajouter pour ajouter une URL à la liste des robots autorisés.
    3. Dans la page Configurer la liaison de la liste blanche du profil Citrix Bot Management, définissez les paramètres suivants :
      1. Type. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP correspondant à une expression de stratégie.
      2. Activé. Cochez la case pour valider l’URL.
      3. Valeur. adresse URL.
      4. Journal. Activez la case à cocher pour stocker les entrées du journal.
      5. Message du journal. Brève description du journal.
      6. commentaires. Brève description de l’URL de la liste d’autorisation.
      7. Cliquez sur OK.

    Configurer la liste des robots autorisés

  5. Cliquez sur Update.

  6. Cliquez sur Terminé.

    Configurer la liste des robots autorisés

Configurer la liste des bots bloqués à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de supprimer les URL que vous configurez comme URL répertoriées dans la liste des blocs. Pour configurer une URL de liste de blocage, procédez comme suit.

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des robots Citrix, accédez à la section Paramètres de signature et cliquez sur Liste noire.

  4. Dans la section Liste noire, définissez les paramètres suivants :

    1. Activé. Activez la case à cocher pour valider les URL des listes bloquées dans le cadre du processus de détection.
    2. Configurez les types. Configurez une URL pour qu’elle fasse partie du processus de détection de la liste des bots bloqués. Ces URL sont supprimées lors de la détection du bot. Cliquez sur Ajouter pour ajouter une URL à la liste des bots bloqués

    3. Dans la page Configurer la liaison de la liste noire des profils Citrix Bot Management, définissez les paramètres suivants.

      1. Type. Le type d’URL peut être une adresse IPv4, une adresse IP de sous-réseau ou une adresse IP.
      2. Activé. Cochez la case pour valider l’URL.
      3. Valeur. adresse URL.
      4. Journal. Activez la case à cocher pour stocker les entrées du journal.
      5. Message du journal. Brève description de la connexion.
      6. commentaires. Brève description de l’URL de la liste de blocage.
      7. Cliquez sur OK.

    Configuration de la liste des bots bloqués

  5. Cliquez sur Update.

  6. Cliquez sur Terminé.

    Configuration de la liste des bots bloqués

Configuration de la réputation IP à l’aide de l’interface graphique Citrix ADC

La technique du bot de réputation IP utilise la base de données de réputation IP et la base de données des fournisseurs de services cloud de Webroot pour vérifier si une demande client est une adresse IP malveillante ou une adresse IP de cloud public. Dans le cadre des catégories de robots est configurée, puis une action de bot y est associée. Suivez les étapes ci-dessous pour configurer la réputation IP Webroot et les catégories de bases de données des fournisseurs de services cloud.

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Réputation IP.
  4. Dans la section Réputation IP, définissez les paramètres suivants :
    1. Activé. Activez cette case à cocher pour valider le trafic de bots entrant dans le cadre du processus de détection.
    2. Configurez les catégories. Vous pouvez utiliser la technique de réputation IP pour le trafic entrant des robots dans différentes catégories. En fonction de la catégorie configurée, vous pouvez supprimer ou rediriger le trafic du bot. Cliquez sur Ajouter pour configurer une catégorie de robots malveillants.

    3. Dans la page Configurer la liaison de réputation IP du profil Citrix Bot Management, définissez les paramètres suivants :

      1. Catégorie. Sélectionnez une catégorie de bot de réputation IP Webroot pour valider une demande client en tant qu’adresse IP malveillante.

        1. IP_BASED - Cette catégorie vérifie si l’adresse IP du client est malveillante ou non.
        2. BOTNET - Cette catégorie comprend les canaux C&C de botnet et les machines zombies infectées contrôlées par Bot Master.
        3. SPAM_SOURCES - Cette catégorie comprend le tunneling des messages de spam via un proxy, les activités SMTP anormales et les activités de spam sur les forums.
        4. SCANNERS - Cette catégorie comprend toutes les reconnaissances telles que les sondes, l’analyse de l’hôte, l’analyse de domaine et l’attaque par force brute par mot de passe
        5. DOS - Cette catégorie comprend DOS, DDOS, inondation de synchronisation anormale et détection de trafic anormal.
        6. RÉPUTATION - Cette catégorie refuse l’accès à partir d’adresses IP actuellement connues pour être infectées par des logiciels malveillants. Cette catégorie comprend également les adresses IP dont le score d’indice de réputation Webroot est faible en moyenne. L’activation de cette catégorie empêche l’accès des sources identifiées pour contacter les points de distribution de logiciels malveillants.
        7. HAMEÇONNAGE - Cette catégorie comprend les adresses IP hébergeant des sites de phishing et d’autres types d’activités frauduleuses telles que la fraude aux clics publicitaires ou la fraude aux jeux
        8. PROXY - Cette catégorie comprend les adresses IP fournissant des services proxy.
        9. RÉSEAU - IP fournissant des services de proxy et d’anonymisation, y compris The Onion Router aka TOR ou Darknet.
        10. MOBILE_THREATS - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses dangereuses pour les appareils mobiles.

      2. Catégorie. Sélectionnez une catégorie de fournisseur de services de cloud public Webroot pour valider qu’une demande client est une adresse IP de cloud public.

        1. AWS - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses de cloud public d’AWS.
        2. GCP - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses de cloud public de Google Cloud Platform.
        3. AZURE - Cette catégorie vérifie l’adresse du client avec la liste des adresses de cloud public d’Azure.
        4. ORACLE - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses de cloud public d’Oracle
        5. IBM - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses de cloud public d’IBM.
        6. SALESFORCE - Cette catégorie vérifie l’adresse IP du client avec la liste des adresses de cloud public de Salesforce.

        Valeurs possibles pour la catégorie de robots Webroot IP Reputation : IP, BOTNETS, SPAM_SOURCES, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, MOBILE_THREATS.

        Valeurs possibles pour la catégorie de fournisseur de services de cloud public Webroot : AWS, GCP, AZURE, ORACLE, IBM, SALESFORCE.

      3. Activé. Cochez la case pour valider la détection de signature de réputation IP.
      4. Action de robot. En fonction de la catégorie configurée, vous ne pouvez affecter aucune action, aucune baisse, redirection ou action d’atténuation.
      5. Journal. Activez la case à cocher pour stocker les entrées du journal.
      6. Message du journal. Brève description du journal.
      7. commentaires. Brève description de la catégorie de robots.
  5. Cliquez sur OK.
  6. Cliquez sur Update.

  7. Cliquez sur Terminé.

    Configurer la réputation IP

Configurez la limite de débit des robots à l’aide de l’interface graphique Citrix ADC

Cette technique de détection vous permet de bloquer les robots en fonction du nombre de demandes reçues dans un délai prédéfini à partir d’une adresse IP client, d’une session ou d’une ressource configurée (par exemple, à partir d’une URL). Pour configurer la technique de limite de débit, procédez comme suit.

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des bots Citrix, accédez à la section Paramètres de signature et cliquez sur Limite de débit.
  4. Dans la section Limite de taux, définissez les paramètres suivants :
    1. Activé. Cochez la case pour valider le trafic de bots entrant dans le cadre du processus de détection.
    2. Séance. Demandes de limite de débit en fonction d’une session. Cliquez sur Ajouter pour configurer les demandes de limite de débit en fonction d’une session.
    3. Dans la page Configurer la limite de débit de signature Citrix Bot Management, définissez les paramètres suivants.
      1. Catégorie. Sélectionnez une catégorie de bots malveillants dans la liste. Associez une action en fonction de la catégorie.
      2. Activé. Cochez la case pour valider le trafic de bots entrant.
      3. Action de robot. Choisissez une action de robot pour la catégorie sélectionnée.
      4. Journal. Activez la case à cocher pour stocker les entrées du journal.
      5. Message du journal. Brève description du journal.
      6. commentaires. Brève description de la catégorie de robots.
      7. Cliquez sur OK.

    Configuration de la limite de taux

  5. Cliquez sur Update.

  6. Cliquez sur Terminé.

    Configuration de la limite de taux

Configuration de la technique d’empreinte digitale de l’appareil à l’aide de l’interface graphique Citrix ADC

Cette technique de détection envoie un défi de script Java au client et extrait les informations du périphérique. En fonction des informations de l’appareil, la technique supprime ou contourne le trafic du bot. Suivez les étapes pour configurer la technique de détection.

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier de signature et cliquez sur Modifier.
  3. Sur la page Profil de gestion des robots Citrix, accédez à la section Paramètres de signature et cliquez sur Empreinte digitale du périphérique.

  4. Dans la section Device Fingerprint, définissez les paramètres suivants :

    1. Activé. Définissez cette option pour activer la règle.
    2. Configuration. Pour l’empreinte digitale de périphérique donnée, n’attribuez aucune action, suppression ou redirection, atténuation ou action CAPTCHA.
    3. Journal. Activez la case à cocher pour stocker les entrées du journal.
  5. Cliquez sur Update.
  6. Cliquez sur Terminé.

Configurer les empreintes digitales

Configuration de la technique d’empreinte digitale de l’appareil pour les applications mobiles (Android)

La technique d’empreinte digitale du périphérique détecte un trafic entrant en tant que bot en insérant un script JavaScript dans la réponse HTML au client. Le script JavaScript, lorsqu’il est appelé par le navigateur, collecte les attributs du navigateur et du client et envoie une demande à l’appliance. Les attributs sont examinés pour déterminer si le trafic est un bot ou un humain.

La technique de détection est encore étendue pour détecter les bots sur une plateforme mobile (Android). Contrairement aux applications Web, dans le trafic mobile (Android), la détection des bots basée sur un script JavaScript ne s’applique pas. Pour détecter les bots dans un réseau mobile, la technique utilise un SDK mobile de bot intégré aux applications mobiles côté client. Le SDK intercepte le trafic mobile, collecte les détails de l’appareil et envoie les données à l’appliance. Du côté de l’appliance, la technique de détection examine les données et détermine si la connexion provient d’un bot ou d’un humain.

Fonctionnement de la technique d’empreinte digitale de l’appareil pour une application mobile

Les étapes suivantes expliquent le flux de travail de détection des bots permettant de détecter si une demande émanant d’un appareil mobile provient d’un humain ou d’un robot.

  1. Lorsqu’un utilisateur interagit avec une application mobile, le comportement de l’appareil est enregistré par le SDK mobile de robot.
  2. Le client envoie une demande à l’appliance Citrix ADC.
  3. Lors de l’envoi de la réponse, l’appliance insère un cookie de session de bot avec les détails de la session et les paramètres pour collecter les paramètres du client.
  4. Lorsque l’application mobile reçoit la réponse, le kit SDK de robot Citrix qui est intégré à l’application mobile valide la réponse, récupère les paramètres d’empreinte digitale de l’appareil enregistrés et l’envoie à l’appliance.
  5. La technique de détection des empreintes digitales de l’appareil côté appliance valide les détails de l’appareil et met à jour le cookie de session de bot s’il s’agit d’un robot suspecté ou non.
  6. Lorsque le cookie a expiré ou que la protection par empreinte digitale de l’appareil préfère valider et collecter périodiquement les paramètres de l’appareil, toute la procédure ou le défi est répété.

Prérequis

Pour commencer à utiliser la technique de détection des empreintes digitales des appareils Citrix ADC pour les applications mobiles, vous devez télécharger et installer le SDK mobile bot dans votre application mobile.

Configuration de la technique de détection des empreintes digitales pour les applications mobiles (Android) à l’aide de la CLI

À l’invite de commandes, tapez :

set bot profile <profile name> -deviceFingerprintMobile ( NONE | Android )

Exemple :

set bot profile profile 1 –deviceFingerprintMobile Android

Configurer la technique de détection des empreintes digitales de l’appareil pour les applications mobiles (Android) à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Bot Management and Profiles.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un fichier et cliquez sur Modifier.
  3. Sur la page Citrix Bot Management Profile, cliquez sur Device Fingerprint sous Paramètres du profil.
  4. Dans la section Configure Bot Mobile SDK, sélectionnez le type de client mobile.
  5. Cliquez sur Mettre à jour et terminé.

Technique de détection d'empreintes digitales pour applications mobiles

Configurer l’expression du journal des robots

Si le client est identifié comme un robot, la gestion des robots Citrix vous permet de capturer des informations supplémentaires sous forme de messages de journal. Les données peuvent être le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande ou les données générées à partir d’une expression. Pour effectuer une journalisation personnalisée, vous devez configurer une expression de journal dans le profil de gestion des robots.

Liez l’expression de journal dans le profil de robot à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind bot profile <name> (-logExpression -name <string> -expression <expression> [-enabled ( ON | OFF )]) -comment <string>
<!--NeedCopy-->

Exemple :

bind bot profile profile1 –logExpression exp1 –expression HTTP.REQ.URL –enabled ON -comment "testing log expression"

Lier l’expression de journal au profil de bot à l’aide de l’interface graphique

  1. Accédez à Sécurité > Gestion des bots Citrix > Profils.
  2. Sur la page Profils de gestion Citrix Bot, sélectionnez Expressions de journal de bots dans la section Paramètres du profil .
  3. Dans la section Paramètres d’expression du journal de bots*, cliquez sur **Ajouter.
  4. Dans la page Configure Citrix Bot Management Profile Bot Log Expression Binding, définissez les paramètres suivants.
    1. Nom de l’expression du journal. Nom de l’expression du journal.
    2. Expression. Saisissez l’expression de journal.
    3. Activé. Activez ou désactivez la liaison de l’expression de journal.
    4. commentaires. Une brève description de la liaison d’expression du journal de bot.
  5. Cliquez surOK et sur Terminé.

Expression de journal de bot

Configurer la technique de piège bot

La technique d’interruption de robot Citrix insère de manière aléatoire ou périodique une URL d’interruption dans la réponse du client. Vous pouvez également créer une liste d’URL de déroutement et ajouter des URL pour cela. L’URL apparaît invisible et inaccessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et lorsqu’on y accède, l’attaquant est classé comme robot et toute demande ultérieure du bot est bloquée. La technique du piège est efficace pour bloquer les attaques des robots.

L’URL de déroutement est une URL alphanumérique de longueur configurable et elle est générée automatiquement à un intervalle configurable. La technique vous permet également de configurer une URL d’injection d’interruption pour les sites Web les plus visités ou les sites Web fréquemment visités. Ce faisant, vous pouvez spécifier l’objectif d’injection de l’URL d’interruption de bot pour les requêtes correspondant à l’URL d’injection de déroutement.

Remarque :

Bien que l’URL d’interruption de bot soit générée automatiquement, la gestion des bots Citrix ADC vous permet toujours de configurer une URL d’interruption personnalisée dans le profil de bot. Ceci est fait pour renforcer la technique de détection des bots et rendre plus difficile l’accès des attaquants à l’URL de trap.

Pour terminer la configuration du bot trap, vous devez suivre les étapes suivantes.

  1. Activer l’URL de bot-trap
  2. Configurer l’URL d’interruption de bot dans le profil de bot
  3. Liaison de l’URL d’injection de bot-trap au profil de bot
  4. Configurer la longueur et l’intervalle de l’URL d’interruption de bots dans les paramètres

Activer la protection des URL de bot-trap

Avant de commencer, vous devez vous assurer que la protection de l’URL de déroutement de bots est activée sur l’appliance. À l’invite de commandes, tapez :

enable ns feature Bot

Configurer l’URL d’interruption de bot dans le profil de bot

Vous pouvez configurer l’URL de l’interruption de bot et spécifier une action d’interruption dans le profil du bot.
À l’invite de commandes, tapez :

add bot profile <name> -trapURL <string> -trap ( ON | OFF ) -trapAction <trapAction>

Où,

trapURL. URL utilisée par la protection contre les bots comme URL de déroutement. Longueur maximale : 127

trap. Activez la détection des bots trap. Valeurs possibles : ON, OFF, Valeur par défaut : OFF

trapAction. Action à prendre en fonction de la détection des bots. Valeurs possibles : NONE, LOG, DROP, REDIRECT, RESET, MITIGATION. Valeur par défaut : AUCUN

Exemple :

add bot profile profile1 -trapURL www.bottrap1.com trap ON -trapAction RESET

Liaison de l’URL d’injection de bot-trap au profil de bot

Vous pouvez configurer l’URL d’injection de bot trap et la lier au profil de bot. À l’invite de commandes, tapez :

bind bot profile <profile_name> trapInjectionURL –url <url> -enabled ON|OFF -comment <comment>

Où,

URL. Request URL regex pattern pour lequel l’URL d’interruption de bot est insérée. Longueur maximale : 127

Exemple :

bind bot profile profile1 trapInjectionURL –url www.example.com –enabled ON –comment insert a trap URL randomly

Configurer la longueur et l’intervalle de l’URL d’interruption de bots dans les paramètres

Vous pouvez configurer la longueur de l’URL de l’interruption de bot et également définir l’intervalle de génération automatique de l’URL d’interruption de bot. À l’invite de commandes, tapez :

set bot settings -trapURLAutoGenerate ( ON | OFF ) –trapURLInterval <positive_integer> -trapURLLength <positive_integer>

Où,

trapURLInterval. Durée en secondes après laquelle l’URL de l’interruption de bot est mise à jour. Valeur par défaut : 3600, Valeur minimale : 300, Valeur maximale : 86400

trapURLLength. Longueur de l’URL d’interruption de bots générée automatiquement. Valeur par défaut : 32, Valeur minimale : 10, Valeur maximale : 255

Exemple :

set bot settings -trapURLAutoGenerate ON –trapURLInterval 300 -trapURLLength 60

Configurer l’URL de bot-trap à l’aide de l’interface graphique

  1. Accédez à Sécurité > Gestion des bots Citrix > Profils.
  2. Dans la page Profils de gestion des bots Citrix, cliquez sur Modifier pour configurer la technique d’URL de déroutement de robot.

  3. Dans la page Créer un profil de gestion des bots Citrix, saisissez l’URL de l’interruption de bot dans la section générale.

    Techniques de piège à bots dans le profil de gestion

  4. Dans la page Créer un profil Citrix Bot Management, cliquez sur Bot Trapdans les paramètres du profil.

  5. Dans la section Bot Trap, définissez les paramètres suivants.

    a. Activé. Activez la case à cocher pour activer la détection des déroutement de robots b. Description. Brève description de l’URL. c. Configurez les actions. Action à entreprendre pour le bot détecté par l’accès au bot-trap.

    Technique de bot-trap pour la configuration des bots trap

  6. Dans la section Configurer les URL d’insertion de déroutement, cliquez sur Ajouter.

  7. Dans la page Configurer la liaison d’interruption de bot Trap de profil Citrix Bot Management, définissez les paramètres suivants.

    1. URL de déroutement. Tapez l’URL que vous souhaitez confirmer en tant qu’URL d’injection de bots trap.
    2. Activé. Activez ou désactivez l’URL d’injection de bots trap.
    3. Commentaire. Une brève description de l’URL d’injection de déroutement. Technique de piège à bot pour la liaison de pièges à robots
  8. Dans la section Paramètres de signature, cliquez sur Bot Trap.

  9. Dans la section Bot Trap, définissez les paramètres suivants :

    1. Activé. Cochez la case pour activer la détection des bots trap.

    2. Dans la section Configurer, définissez les paramètres suivants.

      1. Action. Action à entreprendre pour le bot détecté par l’accès au bot-trap.
      2. Journal. Activez ou désactivez la journalisation pour la liaison de bots trap.
  10. Cliquez sur Mettre à jour et terminé.

Configurer les paramètres de l’URL de l’interruption

Effectuez les étapes suivantes pour configurer les paramètres de l’URL d’interruption de bot :

  1. Accédez à Sécurité > Gestion des bots Citrix.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion des robots Citrix.

  3. Dans la section Configurer les paramètres de gestion des bots Citrix, définissez les paramètres suivants.

    1. Intervalle d’URL d’interruption. Durée en secondes après laquelle l’URL de l’interruption de bot est mise à jour.
    2. Longueur de l’URL de déroutement. Longueur de l’URL d’interruption de bots générée automatiquement.
  4. Cliquez sur OK et Terminé.

Technique d'interruptions de bot pour les paramètres d'URL de trap bot

Expression de stratégie IP client pour la détection de robots

La gestion des robots Citrix vous permet désormais de configurer une expression de stratégie avancée pour extraire l’adresse IP du client à partir d’un en-tête de requête HTTP, d’un corps de requête HTTP, d’une URL de requête HTTP ou d’une expression de stratégie avancée. La valeur extraite peut être utilisée par un mécanisme de détection de bot (tel que TPS, piège de bot ou limite de débit) pour détecter si la demande entrante est un bot.

Remarque :

Si vous n’avez pas configuré d’expression IP client, l’adresse IP du client source par défaut ou existante est utilisée pour la détection des robots. Si une expression est configurée, le résultat de l’évaluation fournit l’adresse IP du client pouvant être utilisée pour la détection des robots.

Vous pouvez configurer et utiliser l’expression IP du client pour extraire l’adresse IP du client réelle si la demande entrante passe par un serveur proxy et si l’adresse IP du client est présente dans l’en-tête. En ajoutant cette configuration, l’appliance peut utiliser le mécanisme de détection des robots pour assurer une sécurité accrue aux clients et serveurs logiciels.

Configurer l’expression de stratégie IP du client dans le profil de robot à l’aide de l’interface de ligne

À l’invite de commandes, tapez :

add bot profile <name> [-clientIPExpression <expression>]
<!--NeedCopy-->

Exemple :

add bot profile profile1 –clientIPExpression 'HTTP.REQ.HEADER("X-Forwarded-For") ALT CLIENT.IP.SRC.TYPECAST_TEXT_T'

Configurer l’expression de stratégie IP du client dans le profil de robot à l’aide de l’interface graphique

  1. Accédez à Sécurité > Gestion des bots Citrix > Profils.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Créer un profil de gestion Citrix Bot, définissez l’expression IP du client.

  4. Cliquez sur Créer et Fermer.

    Configuration de l'interface graphique pour l'adresse IP du client à l'aide d'une expression de stratégie dans le

Configurer CAPTCHA pour la réputation IP et la détection des empreintes digitales des périphériques

CAPTCHA est un acronyme qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ». CAPTCHA est conçu pour tester si un trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. CAPTCHA permet de bloquer les bots automatisés qui causent des violations de sécurité aux applications Web. Dans l’appliance ADC, CAPTCHA utilise le module challenge-réponse pour identifier si le trafic entrant provient d’un utilisateur humain et non d’un robot automatisé.

Configurer les signatures statiques des robots

Cette technique de détection vous permet d’identifier les informations de l’agent utilisateur à partir des détails du navigateur. Sur la base des informations de l’agent utilisateur, le bot est identifié comme un bot mauvais ou bon, puis vous lui attribuez une action de bot. Suivez les étapes ci-dessous pour configurer la technique de signature statique :

  1. Dans le volet de navigation, développez Sécurité > Citrix Bot Management > Signatures.
  2. Dans la page Citrix Bot Management Signatures, sélectionnez un fichier de signatures et cliquez sur Edit.
  3. Sur la page Signature de Citrix Bot Management, accédez à la section Signature Settings (Paramètres de signature), puis cliquez sur Bot Signatures.
  4. Dans la section Bot Signatures, définissez les paramètres suivants :
    1. Configurez les signatures statiques. Cette section contient une liste d’enregistrements de signatures statiques de robots. Vous pouvez sélectionner un enregistrement et cliquer sur Modifier pour lui attribuer une action de robot.
    2. Cliquez sur OK.
  5. Cliquez sur Mettre à jour la signature.
  6. Cliquez sur Terminé.

Signature statique du bot

Délimitation des signatures statiques

La gestion des robots Citrix ADC protège votre application Web contre les robots. Les signatures statiques des bots aident à identifier les robots bons et défectueux en fonction de paramètres de requête tels que l’agent utilisateur dans la demande entrante.
La liste des signatures dans le fichier est énorme et de nouvelles règles sont ajoutées et les règles périmées sont supprimées périodiquement. En tant qu’administrateur, il se peut que vous souhaitiez rechercher une signature spécifique ou une liste de signatures sous une catégorie. Pour filtrer facilement les signatures, la page de signature du bot offre une fonctionnalité de recherche améliorée. La fonction de recherche vous permet de trouver des règles de signature et de configurer sa propriété en fonction d’un ou de plusieurs paramètres de signature tels que l’action, l’ID de signature, le développeur et le nom de la signature.

Action. Sélectionnez une action de bot que vous préférez configurer pour une catégorie spécifique de règles de signature. Les types d’action disponibles sont les suivants :

  • Activez Selected. Activez toutes les règles de signature sélectionnées.
  • Désactivez la sélection. Désactivez toutes les règles de signatures sélectionnées.
  • Déposer la sélection. Sélectionnez l’action « Supprimer » pour toutes les règles de signature sélectionnées.
  • Redirection sélectionnée. Appliquez l’action « Rediriger » à toutes les règles de signature sélectionnées.
  • Réinitialiser la sélection. Appliquez l’action « Réinitialiser » à toutes les règles de signature sélectionnées.
  • Journal sélectionné. Action « Appliquer le journal » à toutes les règles de signature sélectionnées.
  • Supprimer Drop Selected. Définissez l’action de dépôt sur toutes les règles de signature sélectionnées.
  • Supprimer la redirection sélectionnée. Définissez l’action de redirection sur toutes les règles de signature sélectionnées.
  • Supprimer Réinitialiser la sélection. Définissez l’action de réinitialisation sur toutes les règles de signature sélectionnées.
  • Supprimer le journal sélectionné. Définissez l’action de journal sur toutes les règles de signature sélectionnées.

Catégorie. Sélectionnez une catégorie pour filtrer les règles de signature en conséquence. Vous trouverez ci-dessous la liste des catégories disponibles pour le tri des règles de signature.

  • Action. Triez en fonction de l’action du bot.
  • Catégorie. Triez en fonction de la catégorie de robots.
  • Développeur. Triez en fonction de l’éditeur de la société hôte.
  • Activé. Triez en fonction des règles de signature activées.
  • ID. Triez en fonction de l’ID de règle de signature.
  • Journal. Triez en fonction des règles de signature pour lesquelles la journalisation est activée.
  • Nom. Triez en fonction du nom de la règle de signature.
  • Type. Triez en fonction du type de signature.
  • Version. Trier en fonction de la version de la règle de signature.

Rechercher les règles de signature statique des robots en fonction des types d’actions et de catégories à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Bot Management > Signature.
  2. Dans la page de détails, cliquez sur Ajouter.
  3. Dans la page Signatures Citrix Bot Management, cliquez sur Modifier dans la section Signature statique .
  4. Dans la section Configurer la signature statique, sélectionnez une action de signature dans la liste déroulante.
  5. Utilisez la fonction de recherche pour sélectionner une catégorie et filtrer les règles en conséquence.
  6. Cliquez sur Update.

Rechercher les règles de signature statique des robots en fonction des types d'actions et de catégories

Modifiez la propriété de règle de signature statique du bot à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Bot Management > Signature.
  2. Dans la page de détails, cliquez sur Ajouter.
  3. Dans la page Signatures Citrix Bot Management, cliquez sur Modifier dans la section Signature statique .
  4. Dans la section Configurer la signature statique, sélectionnez une action dans la liste déroulante.
  5. Utilisez la fonction de recherche pour sélectionner une catégorie et filtrer les règles en conséquence.

  6. Dans la liste de signatures statiques, sélectionnez une signature pour modifier sa propriété.

    Modifier la propriété de règle de signature statique du bot

  7. Cliquez sur OK pour confirmer.

Fonctionnement de CAPTCHA dans la gestion des robots Citrix ADC

Dans la gestion des bots Citrix ADC, la validation CAPTCHA est configurée en tant qu’action de stratégie à exécuter après l’évaluation de la stratégie de bot. L’action CAPTCHA n’est disponible que pour les techniques de réputation IP et de détection des empreintes digitales de l’appareil. Voici les étapes à suivre pour comprendre le fonctionnement du CAPTCHA :

  1. Si une violation de sécurité est observée pendant la détection de la réputation IP ou de l’empreinte digitale de l’appareil, l’appliance ADC envoie un défi CAPTCHA.
  2. Le client envoie la réponse CAPTCHA.
  3. L’appliance valide la réponse CAPTCHA et, si le CAPTCHA est valide, la demande est autorisée et transmise au serveur principal.
  4. Si la réponse CATCHA n’est pas valide, l’appliance envoie un nouveau défi CAPTCHA jusqu’à ce que le nombre maximal de tentatives soit atteint.
  5. Si la réponse CAPTCHA n’est pas valide, même après le nombre maximal de tentatives, l’appliance abandonne ou redirige la demande vers l’URL d’erreur configurée.
  6. Si vous avez configuré l’action de journalisation, l’appliance stocke les détails de la demande dans le fichier ns.log.

Configurez les paramètres CAPTCHA à l’aide de l’interface graphique Citrix ADC

L’action CAPTCHA de gestion des bots n’est prise en charge que pour les techniques de réputation IP et de détection des empreintes digitales de l’appareil. Suivez les étapes suivantes pour configurer les paramètres CAPTCHA .

  1. Accédez à Sécurité > Gestion et profils des robots Citrix.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
  3. Sur la page Citrix Bot Management Profile, accédez à la section Signature Settings (Paramètres de signature ) et cliquez sur CAPTCHA.
  4. Dans la section Paramètres CAPTCHA, cliquez sur Ajouter pour configurer les paramètres CAPTCHA sur le profil :
  5. Dans la page Configurer le CAPTCHA de Citrix Bot Management, définissez les paramètres suivants.

    1. URL. URL de bot pour laquelle l’action CAPTCHA est appliquée pendant les techniques de réputation IP et de détection des empreintes digitales de l’appareil.

    2. Activé. Définissez cette option pour activer la prise en charge du CAPTCHA.
    3. L’heure de la grâce. Durée jusqu’à ce qu’aucun nouveau défi CAPTCHA n’est envoyé après la réception de la réponse CAPTCHA valide actuelle.
    4. Le temps d’attente. Durée d’attente de l’appliance ADC jusqu’à ce que le client envoie la réponse CAPTCHA.
    5. Période de mise en sourdine. Durée pendant laquelle le client qui a envoyé une réponse CAPTCHA incorrecte doit attendre jusqu’à ce qu’il soit autorisé à essayer ensuite. Pendant cette période de mise en sourdine, l’appliance ADC n’autorise aucune demande. Portée : 60 à 900 secondes, Recommandé : 300 secondes
    6. Limite de durée de la demande. Longueur de la demande pour laquelle le challenge CAPTCHA est envoyé au client. Si la longueur est supérieure à la valeur de seuil, la demande est abandonnée. La valeur par défaut est de 10 à 3 000 octets.
    7. Tentatives de nouvelle tentative. Nombre de tentatives que le client est autorisé à réessayer de résoudre le défi CAPTCHA. Plage : 1-10, Recommandé : 5.
    8. Aucune action d’action/supérieur/redirection à effectuer si le client échoue à la validation CAPTCHA.
    9. Journal. Définissez cette option pour stocker les informations de demande du client en cas d’échec du CAPTCHA de réponse. Les données sont stockées dans le fichier ns.log.
    10. Commentaire. Une brève description de la configuration CAPTCHA.

  6. Cliquez sur OK et Terminé.

    Configuration de l'interface graphique du captcha des robots

  7. Accédez à Sécurité > Citrix Bot Management > Signatures.
  8. Dans la page Citrix Bot Management Signatures, sélectionnez un fichier de signatures et cliquez sur Edit.
  9. Sur la page Signature de Citrix Bot Management, accédez à la section Signature Settings (Paramètres de signature), puis cliquez sur Bot Signatures.

  10. Dans la section Bot Signatures, définissez les paramètres suivants :

  11. Configurez les signatures statiques. Sélectionnez un enregistrement de signature statique de robot et cliquez sur Modifier pour lui attribuer une action de robot.
  12. Cliquez sur OK.
  13. Cliquez sur Mettre à jour la signature.
  14. Cliquez sur Terminé.

Signature statique du bot

Mise à jour automatique des signatures de bots

La technique de signature statique des bots utilise une table de recherche de signature avec une liste de bons bots et de mauvais robots. Les robots sont classés en fonction de la chaîne de l’agent utilisateur et des noms de domaine. Si la chaîne de l’agent utilisateur et le nom de domaine dans le trafic de bot entrant correspondent à une valeur de la table de recherche, une action de bot configurée est appliquée. Les mises à jour des signatures de bots sont hébergées sur le cloud AWS et la table de recherche de signature communique avec la base de données AWS pour les mises à jour des signatures. Le planificateur de mise à jour automatique des signatures s’exécute toutes les heures pour vérifier la base de données AWS et mettre à jour la table des signatures dans l’appliance Citrix ADC.

L’URL de mise à jour automatique de signature à configurer est la suivante : https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json

Remarque :

Vous pouvez également configurer un serveur proxy et mettre à jour périodiquement les signatures depuis le cloud AWS vers l’appliance via le proxy. Pour la configuration du proxy, vous devez définir l’adresse IP et l’adresse du port du proxy dans les paramètres du bot.

Fonctionnement de la mise à jour automatique de signature

Le diagramme suivant montre comment les signatures de robots sont récupérées à partir du cloud AWS, mises à jour sur Citrix ADC et affichées sur Citrix ADM pour obtenir un résumé de la mise à jour des signatures.

Mise à jour automatique des signatures de

Le planificateur de mise à jour automatique des signatures de bot effectue les opérations suivantes :

  1. Récupère le fichier de mappage à partir de l’URI AWS.
  2. Vérifie les dernières signatures du fichier de mappage avec les signatures existantes dans l’appliance ADC.
  3. Télécharge les nouvelles signatures depuis AWS et vérifie l’intégrité de la signature.
  4. Met à jour les signatures de bots existantes avec les nouvelles signatures dans le fichier de signature du bot.
  5. Génère une alerte SNMP et envoie le résumé de la mise à jour des signatures à Citrix ADM.

Configurer la mise à jour automatique de

Pour configurer la mise à jour automatique de la signature du bot, procédez comme suit :

Activer la mise à jour automatique de signature

Vous devez activer l’option de mise à jour automatique dans les paramètres du bot sur l’appliance ADC. À l’invite de commandes, tapez :

set bot settings –signatureAutoUpdate ON

Configurer les paramètres du serveur proxy (facultatif)

Si vous accédez à la base de données de signatures AWS via un serveur proxy, vous devez configurer le serveur proxy et le port. set bot settings –proxyserver –proxyport

Exemple :

set bot settings –proxy server 1.1.1.1 –proxyport 1356

Configuration de la mise à jour automatique de la signature du bot à l’aide de l’interface graphique Citrix ADC

Suivez les étapes suivantes pour configurer la mise à jour automatique de la signature du bot :

  1. Accédez à Sécurité > Gestion des bots Citrix.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres de gestion des robots Citrix.

  3. Dans les paramètres Configurer Citrix Bot Management, cochez la case Signature de mise à jour automatique .

    Paramètre de signature de mise à jour automatique

  4. Cliquez sur OK et sur Fermer.

Créer un profil de gestion des bots

Un profil de bot est un ensemble de paramètres de gestion des bots utilisés pour détecter le type de bot. Dans un profil, vous déterminez comment le Web App Firewall applique chacun de ses filtres (ou vérifications) au trafic des robots vers vos sites Web, ainsi que les réponses de ceux-ci.

Pour configurer le profil de bot, procédez comme suit :

  1. Accédez à Sécurité > Citrix Bot Management > Profils.
  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Dans la page Créer un profil de gestion des bots Citrix, définissez les paramètres suivants.

    1. Nom. Nom du profil du bot.
    2. Signature. Nom du fichier de signature du bot.
    3. URL d’erreur. URL pour les redirections.
    4. Commentaire. Brève description du profil.
  4. Cliquez sur Créer et Fermer.

Configuration du profil de gestion des bots

Créer une stratégie de bot

La stratégie de bot contrôle le trafic acheminé vers le système de gestion des bots et contrôle également les journaux de bots envoyés au serveur de journaux d’audit. Suivez la procédure pour configurer la stratégie de bot.

  1. Accédez à Sécurité > Citrix Bot Management > Stratégies de bot.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Créer une stratégie de gestion des bots Citrix, définissez les paramètres suivants.
    1. Nom. Nom de la stratégie Bot.
    2. Expression. Tapez l’expression ou la règle de stratégie directement dans la zone de texte.
    3. Profil de bot. Profil de bot pour appliquer la stratégie de bot.
    4. Action non définie. Sélectionnez une action que vous préférez attribuer.
    5. Commentaire. Brève description de la stratégie.
    6. Action de journalisation. Action de message du journal d’audit pour la journalisation du trafic des robots. Pour plus d’informations sur l’action du journal d’audit, consultez la rubrique Journalisation d’audit.
  4. Cliquez sur Créer et Fermer.

Configuration du profil de gestion des bots

Transactions de bots par seconde (TPS)

La technique de robot Transactions Per Second (TPS) détecte le trafic entrant en tant que bot si le nombre de requêtes par seconde (RPS) et le pourcentage d’augmentation du RPS dépassent la valeur de seuil configurée. La technique de détection protège vos applications Web contre les bots automatisés qui peuvent provoquer des activités de grattage Web, une connexion par forçage brute et d’autres attaques malveillantes.

Remarque :

La technique de bot détecte un trafic entrant en tant que bot uniquement si les deux paramètres sont configurés et si les deux valeurs dépassent la limite de seuil. Considérons un scénario dans lequel l’appliance reçoit de nombreuses requêtes provenant d’une URL spécifique et vous souhaitez que la gestion des bots Citrix ADC détecte s’il y a une attaque de bot. La technique de détection TPS examine le nombre de demandes (valeur configurée) provenant de l’URL en moins d’une seconde et l’augmentation en pourcentage (valeur configurée) du nombre de demandes reçues en 30 minutes. Si les valeurs dépassent la limite de seuil, le trafic est considéré comme un robot et l’appliance exécute l’action configurée.

Configurer la technique des transactions de bot par seconde (TPS)

Pour configurer TPS, vous devez effectuer les étapes suivantes :

  1. Activer le bot TPS
  2. Liaison des paramètres TPS au profil de gestion des bots

Liaison des paramètres TPS au profil de gestion des bots

Une fois que vous avez activé la fonctionnalité TPS de robot, vous devez lier les paramètres TPS au profil de gestion des robots.

À l’invite de commandes, tapez :

bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])

Exemple :

bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log

Activer la transaction de robot par seconde (TPS)

Avant de commencer, vous devez vous assurer que la fonctionnalité Bot TPS est activée sur l’appliance. À l’invite de commandes, tapez :

set bot profile profile1 –enableTPS ON

Configurez les transactions de robot par seconde (TPS) à l’aide de l’interface graphique Citrix ADC

Suivez les étapes suivantes pour configurer les transactions de bot par seconde :

  1. Accédez à Sécurité > Gestion des bots Citrix > Profils.
  2. Dans la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la page Créer un profil de gestion des bots Citrix, cliquez sur TPS sous la section Paramètres de signature .

  4. Dans la section TPS, activez la fonctionnalité et cliquez sur Ajouter.

    Transactions de gestion des robots par seconde section

  5. Dans la page Configurer la liaison TPS du profil Citrix Bot Management, définissez les paramètres suivants.

    1. Type. Types d’entrée autorisés par la technique de détection. Valeurs possibles : IP SOURCE, GÉOLOCALISATION, HÔTE, URL.

      SOURCE_IP — TPS basé sur l’adresse IP du client.

      GÉOLOCALISATION — TPS en fonction de l’emplacement géographique du client.

      HOST - TPS basé sur les demandes des clients transférées vers une adresse IP de serveur principal spécifique.

      URL : TPS basé sur les demandes des clients provenant d’une URL spécifique.

    2. Seuil fixe. Nombre maximal de requêtes autorisées à partir d’un type d’entrée TPS dans un intervalle de temps d’une seconde.

    3. Seuil de pourcentage. Augmentation maximale en pourcentage des demandes provenant d’un type d’entrée TPS dans un intervalle de 30 minutes.

    4. Action. Action à entreprendre pour le bot détecté par la liaison TPS.

    5. Journal. Activez ou désactivez la journalisation pour la liaison TPS.

    6. Message du journal. Message à consigner pour le bot détecté par la liaison TPS. Longueur maximale : 255.

    7. commentaires. Une brève description de la configuration du TPS. Longueur maximale : 255

  6. Cliquez sur OK, puis sur Fermer.

Transactions de gestion des robots par seconde section

Détection de robots basée sur la dynamique de la souris et du clavier

Pour détecter les robots et atténuer les anomalies de grattage Web, la gestion des robots Citrix ADC utilise une technique améliorée de détection des robots basée sur le comportement de la souris et du clavier. Contrairement aux techniques de robots classiques qui nécessitent une interaction humaine directe (par exemple, la validation CAPTCHA), la technique améliorée surveille passivement la dynamique de la souris et du clavier. L’appliance Citrix ADC collecte ensuite les données utilisateur en temps réel et analyse le comportement entre un humain et un bot.

La détection passive des robots utilisant la dynamique de la souris et du clavier présente les avantages suivants par rapport aux mécanismes de détection de robots existants :

  • Assure une surveillance continue tout au long de la session utilisateur et élimine un point de contrôle unique.
  • Ne nécessite aucune interaction humaine et est transparent pour les utilisateurs.

Fonctionnement de la détection des robots à l’aide de la dynamique de la souris

La technique de détection des robots utilisant la dynamique du clavier et de la souris se compose de deux composants, un enregistreur de pages Web et un détecteur de robots. L’enregistreur de pages Web est un code JavaScript qui enregistre les mouvements du clavier et de la souris lorsqu’un utilisateur effectue une tâche sur la page Web (par exemple, en remplissant un formulaire d’inscription). L’enregistreur envoie ensuite les données par lots à l’appliance Citrix ADC. L’appliance stocke ensuite les données sous forme d’enregistrement KM et les envoie au détecteur de robots sur le serveur Citrix ADM, qui analyse si l’utilisateur est un humain ou un robot.

Les étapes suivantes expliquent comment les composants interagissent entre eux :

  1. L’administrateur Citrix ADC configure l’expression de stratégie via ADM StyleBook, CLI ou NITRO ou toute autre méthode.
  2. L’URL est définie dans le profil du bot lorsque l’administrateur active la fonctionnalité sur l’appliance.
  3. Lorsqu’un client envoie une demande, l’appliance Citrix ADC suit la session et toutes les demandes de la session.
  4. L’appliance insère un code JavaScript (enregistreur de page Web) dans la réponse si la demande correspond à l’expression configurée sur le profil du bot.
  5. Le JavaScript collecte ensuite toute l’activité du clavier et de la souris et envoie les données KM dans une URL POST (transitoire).
  6. L’appliance Citrix ADC stocke les données et les envoie au serveur Citrix ADM à la fin de la session. Une fois que l’appliance reçoit les données complètes d’une demande POST, les données sont envoyées au serveur ADM.
  7. Le service Citrix ADM analyse les données et, sur la base de l’analyse, le résultat est disponible sur l’interface graphique du service Citrix ADM.

L’enregistreur JavaScript enregistre les mouvements suivants de la souris et du clavier :

  • Événements clavier — tous les événements
  • Événements de souris - déplacement de la souris, souris vers le haut, souris vers le bas
  • Événements Presse-papiers - coller
  • Événements personnalisés - remplissage automatique, annulation automatique
  • horodatage de chaque événement

Configurer la détection de bots à l’aide de la dynamique de

La configuration de gestion des robots Citrix ADC inclut l’activation ou la désactivation de la fonction de détection basée sur le clavier et la souris, et configure l’URL JavaScript dans le profil de robot. Procédez comme suit pour configurer la détection des robots à l’aide de la dynamique de la souris et du clavier :

  1. Activer la détection basée sur le clavier et la souris
  2. Configurer l’expression pour décider quand le JavaScript peut être injecté dans la réponse HTTP

Activer la détection des robots basée sur la souris clavier

Avant de commencer la configuration, assurez-vous d’avoir activé la fonctionnalité de détection de robots basée sur le clavier et la souris sur l’appliance.

À l’invite de commandes, tapez :

add bot profile <name> -KMDetection ( ON | OFF )
<!--NeedCopy-->

Exemple :

add bot profile profile1 –KMDetection ON

Configurer l’expression de bot pour l’insertion JavaScript

Configurez l’expression du bot pour évaluer le trafic et insérer JavaScript. Le JavaScript est inséré uniquement si l’expression est évaluée comme true.

À l’invite de commandes, tapez :

bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
<!--NeedCopy-->

Exemple :

bind bot profile profile1 -KMDetectionExpr -name test -expression http.req.url.startswith("/testsite") -enabled ON

Configurer le nom de fichier JavaScript inséré dans la réponse HTTP pour la détection de bots basée sur le clavier et la souris

Pour collecter les détails de l’action de l’utilisateur, l’appliance envoie un nom de fichier JavaScript dans la réponse HTTP. Le fichier JavaScript collecte toutes les données d’un enregistrement KM et les envoie à l’appliance.

À l’invite de commandes, tapez :

set bot profile profile1 – KMJavaScriptName <string>
<!--NeedCopy-->

Exemple :

set bot profile profile1 –KMJavaScriptName script1

Configurer la taille de la biométrie comportementale

Vous pouvez configurer la taille maximale des données de comportement de la souris et du clavier qui peuvent être envoyées sous forme d’enregistrement KM à l’appliance et traitées par le serveur ADM.

À l’invite de commandes, tapez :

set bot profile profile1 -KMEventsPostBodyLimit <positive_integer>
<!--NeedCopy-->

Exemple :

set bot profile profile1 – KMEventsPostBodyLimit 25

Une fois que vous avez configuré l’appliance Citrix ADC pour configurer le JavaScript et collecter la biométrie du comportement du clavier et de la souris, l’appliance envoie les données au serveur Citrix ADM. Pour plus d’informations sur la façon dont le serveur Citrix ADM détecte les bots de la biométrie comportementale, consultez la rubrique Violations de bots .

Configurer les paramètres d’expression des robots clavier et souris à l’aide de l’interface graphique

  1. Accédez à Sécurité > Gestion et profils des robots Citrix.
  2. Sur la page Profils de gestion des bots Citrix, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la section Détection de robots basée sur le clavier et la souris, définissez les paramètres suivants :
    1. Activez la détection. Activez la case à cocher pour détecter le comportement dynamique du clavier et de la souris basé sur un robot.
    2. Limite de corps post-événement. Taille des données dynamiques du clavier et de la souris envoyées par le navigateur pour être traitées par l’appliance Citrix ADC.

  4. Cliquez sur OK.

    Configuration des paramètres d'expression du bot clavier et de la souris

  5. Sur la page Profil Citrix Bot Management, accédez à la section Paramètres du profil et cliquez sur Paramètres d’expression de bots basés sur le clavier et la souris.
  6. Dans la section Paramètres d’expression de bots basés sur le clavier et la souris, cliquez sur Ajouter.
  7. Dans la page Configure Citrix Bot Management Profile Keyboard and Mouse Expression Binding, définissez les paramètres suivants :
    1. Nom de l’expression. Nom de l’expression de stratégie de robot pour la dynamique de détection du clavier et de la souris.
    2. Expression. Expression de stratégie de bot.
    3. Activé. Activez la case à cocher pour activer la liaison de l’expression clavier et du bot et de la souris.
    4. commentaires. Une brève description de l’expression de stratégie du bot et de sa liaison au profil du bot.
    5. Cliquez sur OK et sur Fermer.

  8. Dans la section Paramètres d’expression de bots basés sur le clavier et la souris, cliquez sur Mettre à jour.

    Section Paramètres d'expression de bots basés sur le clavier et la souris

Journalisation verbale pour le trafic des robots

Lorsqu’une demande entrante est identifiée comme un bot, l’appliance Citrix ADC consigne plus de détails d’en-tête HTTP à des fins de surveillance et de dépannage. La fonctionnalité de journalisation verbeuse des robots est similaire à la journalisation verbeuse du module Web App Firewall.

Considérez un trafic entrant provenant d’un client. Si le client est identifié comme un robot, l’appliance Citrix ADC utilise la fonctionnalité de journalisation détaillée pour consigner les informations d’en-tête HTTP complètes (adresse de domaine, URL, en-tête d’agent utilisateur, en-tête de cookie). Les détails du journal sont ensuite envoyés au serveur ADM à des fins de surveillance et de dépannage. Le message de consignation verbeux n’est pas stocké dans le fichier “ns.log”.

Configurer la journalisation verbale des robots à l’aide de l’interface de ligne de commande

Pour capturer des informations d’en-tête HTTP détaillées sous forme de journaux, vous pouvez configurer le paramètre de journalisation détaillée dans le profil de bot. À l’invite de commandes, tapez :

set bot profile <name> [-verboseLogLevel ( NONE | HTTP_FULL_HEADER ) ]
<!--NeedCopy-->

Exemple :

set bot profile p1 –verboseLogLevel HTTP_FULL_HEADER

Configurez la journalisation verbale des robots à l’aide de l’interface graphique Citrix ADC

Suivez la procédure ci-dessous pour configurer le niveau de journalisation détaillé dans le profil de bot.

  1. Dans le volet de navigation, accédez à Sécurité > Citrix Bot Management.
  2. Dans la page Profils de gestion des bots Citrix, cliquez sur Ajouter.
  3. Dans la page Créer un profil de gestion des bots Citrix, sélectionnez le niveau de journalisation verbeux en tant qu’ en-tête complet HTTP.

  4. Cliquez sur OK et Terminé.

    Journalisation verbale pour le trafic des robots

Détection des robots
December 3, 2021
Contribution de: 
C
December 3, 2021
Contribution de: 
C

Dans cet article

Commentaires sur le site | Confidentialité et mentions légales | Préférences de cookies | Consent Settings
© 1999- Citrix Systems, Inc. All rights reserved.