Documentation produit
Protection des applications Web et des API Citrix
Voir PDF

Configuration du bot

June 22, 2022
Contributeur: 
C

Les applications Web et mobiles sont des moteurs de revenus importants pour les entreprises et la plupart des entreprises sont menacées par des cyberattaques avancées, telles que les robots. Un bot est un logiciel qui effectue automatiquement certaines actions à plusieurs reprises à un rythme beaucoup plus rapide qu’un humain. Les robots peuvent interagir avec des pages Web, envoyer des formulaires, exécuter des actions, numériser des textes ou télécharger du contenu. Ils peuvent accéder à des vidéos, publier des commentaires et tweeter sur les plateformes de réseaux sociaux. Certains robots, appelés chatbots, peuvent tenir des conversations de base avec des utilisateurs humains.

Certains robots malveillants effectuant des tâches malveillantes, il est essentiel de gérer le trafic des robots et de protéger vos applications Web contre les attaques de robots.

La gestion des bots CWAAP détecte le trafic entrant des bots et atténue les attaques de bots afin de protéger vos applications Web. La configuration du bot permet d’identifier les robots malveillants et de protéger votre application contre les attaques de sécurité. Au-delà de savoir quand un bot interagit avec des applications ou des réseaux, et de savoir si le bot est bon ou mauvais, la plateforme de service CWAAP informe les utilisateurs de l’activité du bot. L’utilisateur peut alors décider de l’action du bot à appliquer (autoriser, bloquer, consigner, retarder ou tromper).

Configuration de la configuration du bot CWAAP

Pour commencer la configuration de la configuration du bot CWAAP, vous devez d’abord disposer d’une ressource et d’une stratégie configurée pour la ressource.

  1. Sélectionnez Configuration > Stratégies.
  2. Sélectionnez une stratégie et cliquez sur Modifier (crayon et papier).
  3. Accédez à l’onglet Profil du bot .

Le profil de bot CWAAP comprend les techniques de protection des robots et la configuration de la signature du bot.

  • Une protection. Liste des techniques de protection contre les robots que vous pouvez configurer dans le cadre de la configuration du bot CWAAP et y associer des actions de bot.
  • Des signatures. Une liste de contre-mesures qui protègent votre application Web contre les attaques de robots. Les signatures de robots aident à identifier les bons et les mauvais robots en fonction de paramètres de requête tels que l’agent utilisateur dans la requête entrante.

Techniques de protection des robots

La protection contre les robots CWAAP fournit une liste de techniques de robots que vous pouvez configurer puis activer ou désactiver pour la configuration de la stratégie.

Une fois que vous avez configuré votre technique de bot, vous devez d’abord activer la technique pour qu’elle prenne effet sur la stratégie.

Voici la liste des techniques de protection des robots prises en charge par la configuration du bot CWAAP :

  • Liste verte
  • Liste de blocage
  • Piège à robots
  • Réputation
  • Empreinte digitale
  • Limitation de débit
  • Système de traitement des transactions (TPS)
  • CAPTCHA

Liste verte

Une liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie qui peuvent être contournées en tant que liste autorisée pour votre stratégie de bot.

Remarque :

Vous pouvez configurer jusqu’à 32 liaisons dans le cadre de la configuration de la liste verte dans un profil de bot.

Configurez la liste verte à l’aide de l’interface graphique CWAAP :

  1. Cliquez sur Ajouter.

  2. Dans la page Ajouter aux liaisons de liste autorisées, définissez les paramètres suivants :

    1. Actif. Sélectionnez cette option pour activer la technique de protection.
    2. Typologie. Sélectionnez le type Expression, IPv4 ou Sous-réseau.
    3. Valeur. Fournissez la valeur associée, puis sélectionnez la réponse (ou l’action) correspondante à exécuter.
    4. Réponse. Sélectionnez la réponse comme Log ou None.
  3. Cliquez sur Commit.

Liste des blocages

Une liste personnalisée d’adresses IP, de sous-réseaux et d’expressions de stratégie dont l’accès à vos applications Web doit être bloqué. Le trafic configuré n’est bloqué que lorsque vous activez la fonctionnalité de liste rouge.

Remarque :

Vous pouvez configurer jusqu’à 32 liaisons dans le cadre de la configuration de la liste de blocage dans un profil de bot.

Configurez la technique de protection contre les bots de la liste de blocage à l’aide de l’interface graphique de CWAAP :

  1. Cliquez sur Ajouter.

  2. Dans la page Ajouter aux liaisons de liste rouge, définissez les paramètres suivants :

    1. Actif. Sélectionnez cette option pour activer la technique de protection.
    2. Typologie. Sélectionnez le type Expression, IPv4 ou Sous-réseau.
    3. Valeur. Fournissez la valeur associée, puis sélectionnez la réponse (ou l’action) correspondante à exécuter.
    4. Réponse. Sélectionnez la réponse comme Action et enregistrez, enregistrez ou Aucun.
  3. Cliquez sur Commit.

Piège à bot

La technique de protection contre les pièges de bots CWAAP insère de manière aléatoire ou périodique une URL de trap dans la réponse du client. Vous pouvez également créer une URL de trap par défaut et y ajouter des URL. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et lorsqu’on y accède, l’attaquant est classé comme robot et toute demande ultérieure du bot est bloquée. La technique du piège est efficace pour bloquer les attaques des robots.

Configurez la technique de protection contre les bots trap en utilisant l’interface graphique CWAAP :

  1. Dans la section Bot Trap, cliquez sur Ajouter.

  2. Dans la page Ajouter des URL d’insertion, définissez les paramètres suivants :

    1. Actif. Sélectionnez cette option pour activer le modèle d’URL spécifié.
    2. Motif d’URL. Fournissez le modèle d’URL (URL d’insertion) pour les sites Web les plus visités ou les sites Web fréquemment visités. Si aucune URL n’est fournie et que la mesure des techniques de protection des robots consiste à activer la technique et à l’activer pour la stratégie. De plus, une URL d’interruption par défaut est créée pour toutes les URL.
  3. Cliquez sur Commit.

Réputation IP

La technique de protection CWAAP détecte si le trafic de bot entrant provient d’une adresse IP malveillante. Dans le cadre de la configuration, nous définissons différentes catégories de bots malveillants et associons une action de bot à chacune d’entre elles.

Les catégories de détection des menaces de réputation IP sont les suivantes :

  • Botnets
  • DoS
  • IP
  • Menaces mobiles
  • Phishing
  • Proxy
  • Réputation
  • Scanners
  • Sources de spam

Chaque type de menace peut être défini sur l’un des types de réponse suivants.

  • Action et journal : enregistrez les détails de la violation et prenez le type d’action configuré.
  • Journal — Capturez et enregistrez tout trafic correspondant aux configurations, mais n’effectuez aucune action.
  • Aucune — N’effectuez aucune action en cas de correspondance.

Après avoir défini le type de réponse, vous pouvez configurer l’une des actions de bot suivantes.

  1. Drop
  2. L’atténuation
  3. Rediriger
  4. Réinitialiser

Empreinte digitale

La technique de bot CWAAP détecte si le trafic de bot entrant possède l’ID d’empreinte digitale de l’appareil dans l’en-tête de la demande entrante et les attributs de navigateur d’un trafic de bot client entrant. Les attributs sont examinés pour déterminer si le trafic est un bot ou un humain. Dans cette technique, l’en-tête de requête HTTP « User Agent » est le facteur déterminant.

Si l’URL est déjà fournie et qu’elle correspond à la liste ADC, la recherche du nom de domaine a lieu. Si un nom de domaine correspondant est identifié, le trafic est considéré comme bon.

Si, toutefois, le nom de domaine renvoyé ne correspond pas à celui de l’ADC, alors le trafic est abandonné et considéré comme incorrect.

Si une recherche d’agent utilisateur est terminée et qu’une correspondance est trouvée, le trafic est abandonné et désigné comme mauvais.

Configurez la technique de protection par empreinte digitale de l’appareil à l’aide de l’interface graphique de CWAAP :

  1. Dans la section Empreinte digitale de l’appareil, définissez les paramètres suivants.

    1. Réponse. Sélectionnez une réponse de bot.
      1. Action et journal : enregistrez les détails de la violation et prenez le type d’action configuré.
      2. Bûche. Capturez et enregistrez tout trafic correspondant aux configurations, mais n’effectuez aucune action.
      3. None. N’agissez pas en cas de correspondance.
    2. Action. Vous pouvez configurer l’une des actions de bot suivantes.
      1. Drop
      2. L’atténuation
      3. Rediriger
      4. Réinitialiser

Limitation de débit

La technique de protection par limitation de débit CWAAP examine la période pendant laquelle une demande est reçue d’une adresse IP client, d’un ID de session ou d’une ressource configurée (URL entrante).

Remarque :

Vous pouvez configurer jusqu’à 32 liaisons dans le cadre de la configuration de limitation de débit dans un profil de bot.

Configurez la technique de protection contre les bots de limite de débit à l’aide de l’interface graphique de CWAAP :

  1. Dans la section Limitation du débit, cliquez sur Ajouter.

  2. Dans la page Ajouter aux liaisons de limite de taux, définissez les paramètres suivants :

    1. Actif : sélectionnez le type dans le menu déroulant.

    2. Type : Sélectionnez un type de limite de débit :

      1. Source_IP — La limite de débit sera déterminée par l’adresse IP du client.
      2. Session — La limite de débit sera déterminée par le nom du cookie configuré.
      3. URL — La limite de débit sera déterminée par l’URL configurée.
    3. URL : La limite de débit sera déterminée par l’URL configurée.
    4. Taux : configurez la valeur du taux, qui détermine le nombre de demandes autorisées pour une période spécifiée
    5. Période : Configurez la valeur de période pour la valeur de taux sélectionnée en millisecondes (en multiples de 10)
    6. Réponse : Sélectionnez le type de réponse et, le cas échéant, le type d’action associé.
    7. Action : Sélectionnez une action de bot.
  3. Cliquez sur Commit.

Système de traitement des transactions de bots (TPS)

La technique de protection du système de traitement des transactions (TPS) CWAAP examine le nombre de demandes et le pourcentage d’augmentation des demandes pour un intervalle de temps configuré afin de déterminer si le trafic provient d’un bot.

Configurez la protection du système de traitement des transactions (TPS) à l’aide de l’interface graphique CWAAP :

  1. Dans la section Liaisons TPS, cliquez sur Ajouter.
  2. Dans la page Ajouter à la liaison TPS, définissez les paramètres suivants :
    1. Type : Sélectionnez le type dans le menu déroulant de l’hôte ou de l’URL de demande.
    2. Seuil fixe : indiquez la valeur du seuil fixe, qui déterminera le nombre maximum de demandes autorisées dans un intervalle de temps d’une seconde.
    3. % Threshold : Fournissez la valeur du % Threshold, qui déterminera le pourcentage maximal d’augmentations de demandes autorisées sur une période de 30 minutes.

    4. Réponse : Sélectionnez le type de réponse dans le menu déroulant.

      1. Action et journal : enregistrez les détails de la violation et prenez le type d’action configuré.
      2. Journal — Capturez et enregistrez tout trafic correspondant aux configurations, mais n’effectuez aucune action.
      3. Aucune — N’effectuez aucune action en cas de correspondance.
    5. Action : Sélectionnez une action de bot.
  3. Cliquez sur Commit.

CAPTCHA

CAPTCHA est un acronyme qui signifie « Test public de Turing complètement automatisé pour différencier les ordinateurs et les humains ». CAPTCHA est conçu pour tester si un trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. CAPTCHA permet de bloquer les bots automatisés qui causent des violations de sécurité aux applications Web. Dans CWAAP, CAPTCHA utilise le module challenge-response pour identifier si le trafic entrant provient d’un utilisateur humain et non d’un bot automatisé.

Remarque :

Une seule liaison est autorisée par URL. Si une liaison existe pour une URL et qu’une autre liaison est configurée pour la même URL, les informations de liaison précédentes sont supprimées. Vous ne pouvez configurer que jusqu’à 30 liaisons par profil de bot.

Configurez la technique de protection CAPTCHA à l’aide de l’interface graphique CWAAP :

  1. Dans la section CAPTCHA, cliquez sur Ajouter.

  2. Dans la page Ajouter aux liaisons CAPTCHA, définissez les paramètres suivants :

    1. Temps d’attente — Détermine la durée jusqu’à ce que le client envoie la réponse CAPTCHA. La plage autorisée est comprise entre 10 et 60 (secondes).
    2. Période de grâce — Détermine la durée à partir de laquelle la réponse CAPTCHA actuelle est envoyée et où aucun nouveau défi n’est envoyé.
      1. La plage autorisée est comprise entre 60 et 900 (secondes).
    3. Période de silence — Détermine la durée d’attente lorsqu’une réponse CAPTCHA incorrecte est reçue et qu’aucune demande supplémentaire du client ne sera acceptée.
      1. La plage autorisée est comprise entre 60 et 900 (secondes).
    4. Longueur de la demande — Détermine la taille du corps de la requête pour le défi CAPTCHA à envoyer au client. Si la longueur du corps de la demande dépasse la longueur de la demande configurée, la demande est abandonnée.
      1. La plage autorisée est comprise entre 10 et 30 000 (octets).
    5. Tentatives de nouvelle tentative : détermine le nombre de nouvelles tentatives autorisées.
      1. La plage autorisée est comprise entre 1 et 10.
    6. Sélectionnez la réponse et l’action correspondante (le cas échéant).
  3. Cliquez sur Commit.

Cliquez sur Enregistrer pour appliquer la configuration à la stratégie.

Configuration du bot
June 22, 2022
Contributeur: 
C
June 22, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Citrix Systems, Inc. All rights reserved.