Signaturen
Die Web App Firewall-Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz Ihrer Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Ein umfangreicher Satz vorkonfigurierter, integrierter oder nativer Regeln der Web App Firewall bietet eine benutzerfreundliche Sicherheitslösung, die die Leistungsfähigkeit des Pattern-Matchings nutzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.
Sie können Ihre eigenen Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web App Firewall verfügt über zwei integrierte Vorlagen:
- Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste mit über 1.300 Signaturen sowie eine vollständige Liste von SQL-Injection-Schlüsselwörtern, SQL-Spezialzeichenfolgen, SQL-Transformregeln und SQL-Platzzeichen. Es enthält auch abgelehnte Muster für siteübergreifende Skripterstellung sowie zulässige Attribute und Tags für siteübergreifende Skripterstellung. Dies ist eine schreibgeschützte Vorlage. Sie können den Inhalt anzeigen, aber Sie können in dieser Vorlage nichts hinzufügen, bearbeiten oder löschen. Um es zu verwenden, müssen Sie eine Kopie erstellen. In Ihrer eigenen Kopie können Sie die Signaturregeln aktivieren, die Sie auf Ihren Datenverkehr anwenden möchten, und die Aktionen angeben, die ausgeführt werden sollen, wenn die Signaturregeln dem Datenverkehr entsprechen.
Die Web App Firewall-Signaturen stammen aus den von Snortveröffentlichten Regeln, einem Open-Source-Einbruchschutzsystem, das Echtzeit-Verkehrsanalysen durchführen kann, um verschiedene Angriffe und Prüfungen zu erkennen.
- *Xpath Injection Patterns: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal- und PCRE-Schlüsselwörtern sowie speziellen Zeichenketten, die zur Erkennung von XPath-Injektionsangriffen (XML Path Language) verwendet werden.
Leere Signaturen: Sie können nicht nur eine Kopie der integrierten Vorlage *Standardsignaturen erstellen, sondern auch eine leere Signaturvorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Sie mit der Option für leere Signaturen erstellen, hat keine systemeigenen Signaturregeln, verfügt aber, genau wie das *Default-Template, über alle integrierten SQL/Cross-Site Scripting-Entitäten.
Signaturen im externen Format: Die Web App Firewall unterstützt auch Signaturen im externen Format. Sie können den Scanbericht eines Drittanbieters mithilfe der XSLT-Dateien importieren, die von der NetScaler Web App Firewall unterstützt werden. Für die folgenden Scan-Tools steht eine Reihe integrierter XSLT-Dateien zur Verfügung, um Dateien im externen Format in das native Format zu übersetzen:
- Cenzic
- Tiefgehende Sicherheit für Web-Apps
- IBM AppScan Enterprise
- IBM AppScan Standard.
- Qualys
- Qualys Cloud
- Weißer Hat
- Hewlett Packard Enterprise WebInspect
- Rapid7 Appspider
- Acunetix
Sicherheitsschutz für Ihre Anwendung
Strengere Sicherheitsvorkehrungen erhöhen den Verarbeitungsaufwand. Signaturen bieten die folgenden Bereitstellungsoptionen, mit denen Sie den Schutz Ihrer Anwendungen optimieren können:
-
Negatives Sicherheitsmodell: Beim negativen Sicherheitsmodell verwenden Sie eine Vielzahl vorkonfigurierter Signaturregeln, um die Leistungsfähigkeit des Musterabgleichs anzuwenden, um Angriffe zu erkennen und sich vor Anwendungsschwachstellen zu schützen. Du blockierst nur das, was du nicht willst und erlaubst den Rest. Sie können Ihre eigenen Signaturregeln hinzufügen, die auf den spezifischen Sicherheitsanforderungen Ihrer Anwendungen basieren, um Ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen.
-
Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Sie positive Sicherheitsprüfungen verwenden, um eine Konfiguration zu erstellen, die ideal für Ihre Anwendungen geeignet ist. Verwenden Sie Signaturen, um Dinge zu blockieren, die Sie nicht möchten, und setzen Sie positive Sicherheitsprüfungen ein, um durchzusetzen, was erlaubt ist.
Um Ihre Anwendung mithilfe von Signaturen zu schützen, müssen Sie ein oder mehrere Profile für die Verwendung Ihres Signaturobjekts konfigurieren. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln in Ihrem Signaturobjekt nicht nur von den Signaturregeln verwendet, sondern auch von den positiven Sicherheitsprüfungen, die im Web App Firewall-Profil konfiguriert sind, das das Signaturobjekt verwendet, konfiguriert sind.
Die Web App Firewall untersucht den Datenverkehr zu Ihren geschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der einer Signatur entspricht. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel mit dem Datenverkehr übereinstimmt. Wenn eine Übereinstimmung auftritt, werden die angegebenen Aktionen für die Regel aufgerufen. Sie können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anfrage blockiert wird. Protokollnachrichten können Ihnen helfen, Angriffe zu identifizieren, die gegen Ihre Anwendung gestartet werden. Wenn Sie Statistiken aktivieren, speichert die Web App Firewall Daten über Anfragen, die einer Web App Firewall-Signatur oder Sicherheitsüberprüfung entsprechen.
Wenn der Datenverkehr sowohl mit einer Signatur als auch mit einer positiven Sicherheitsprüfung übereinstimmt, werden die restriktiveren der beiden Aktionen durchgesetzt. Wenn beispielsweise eine Anforderung mit einer Signaturregel übereinstimmt, für die die Blockaktion deaktiviert ist, aber die Anforderung auch mit einer positiven SQL Injection Sicherheitsprüfung übereinstimmt, für die die Aktion blockiert ist, wird die Anforderung blockiert. In diesem Fall wird die Signaturverletzung möglicherweise protokolliert <not blocked>
, obwohl die Anfrage durch die SQL-Injection-Prüfung blockiert wird.
Anpassung: Bei Bedarf können Sie einem Signaturobjekt Ihre eigenen Regeln hinzufügen. Sie können auch die SQL/Cross-Site-Scripting-Muster anpassen. Die Option, basierend auf den spezifischen Sicherheitsanforderungen Ihrer Anwendungen eigene Signaturregeln hinzuzufügen, gibt Ihnen die Flexibilität, Ihre eigenen benutzerdefinierten Sicherheitslösungen zu entwickeln. Du blockierst nur das, was du nicht willst und erlaubst den Rest. Ein bestimmtes Fast-Match-Muster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Sie können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Expression-Editoren helfen Ihnen dabei, Ihre Muster zu konfigurieren und deren Richtigkeit zu überprüfen.
Automatische Aktualisierung: Sie können das Signaturobjekt manuell aktualisieren, um die neuesten Signaturregeln zu erhalten, oder Sie können die automatische Aktualisierungsfunktion anwenden, sodass die Web App Firewall die Signaturen automatisch über den cloudbasierten Web App Firewall-Aktualisierungsdienst aktualisieren kann.
Hinweis:
Wenn bei der automatischen Aktualisierung neue Signaturregeln hinzugefügt werden, sind sie standardmäßig deaktiviert. Sie müssen die aktualisierten Signaturen regelmäßig überprüfen und die neu hinzugefügten Regeln aktivieren, die für den Schutz Ihrer Anwendungen relevant sind.
Sie müssen CORS so konfigurieren, dass Signaturen auf IIS-Servern gehostet werden.
Die Funktion zur automatischen Signaturaktualisierung funktioniert auf dem lokalen Webserver nicht, wenn Sie über die NetScaler-GUI auf die URL zugreifen.
Erste Schritte
Die Verwendung von Citrix-Signaturen zum Schutz Ihrer Anwendung ist einfach und kann in wenigen einfachen Schritten durchgeführt werden:
- Fügen Sie ein Signaturobjekt hinzu.
- Sie können den Assistenten verwenden, der Sie auffordert, die gesamte Web App Firewall-Konfiguration zu erstellen, einschließlich des Hinzufügens des Profils und der Richtlinie, der Auswahl und Aktivierung von Signaturen und der Angabe von Aktionen für Signaturen und positive Sicherheitsprüfungen. Das Signaturobjekt wird automatisch erstellt.
- Sie können eine Kopie des Signaturobjekts aus der Vorlage *Standardsignaturen erstellen, eine leere Vorlage verwenden, um eine Signatur mit Ihren eigenen benutzerdefinierten Regeln zu erstellen, oder eine externe Formatsignatur hinzufügen. Aktivieren Sie die Regeln und konfigurieren Sie die Aktionen, die Sie anwenden möchten.
-
Konfigurieren Sie das Web App Firewall-Zielprofil für die Verwendung dieses Signaturobjekts.
-
Senden Sie Traffic, um die Funktionalität zu überprüfen
Highlights
- Das Objekt Standardsignaturen ist eine Vorlage. Es kann nicht bearbeitet oder gelöscht werden. Um es zu verwenden, müssen Sie eine Kopie erstellen. In Ihrer eigenen Kopie können Sie die Regeln und die gewünschte Aktion für jede Regel aktivieren, wie es für Ihre Anwendung erforderlich ist. Um die Anwendung zu schützen, müssen Sie das Zielprofil so konfigurieren, dass es diese Signatur verwendet.
- Die Verarbeitung von Signaturmustern ist mit Aufwand verbunden. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung geeignet sind, anstatt alle Signaturregeln zu aktivieren.
- Jedes Muster in der Regel muss übereinstimmen, um eine Signaturübereinstimmung auszulösen.
- Sie können Ihre eigenen benutzerdefinierten Regeln hinzufügen, um eingehende Anfragen zu überprüfen und verschiedene Arten von Angriffen zu erkennen, z. B. SQL-Injection oder Cross-Site-Scripting-Angriffe. Sie können auch Regeln hinzufügen, um die Antworten zu überprüfen, um das Durchsickern vertraulicher Informationen wie Kreditkartennummern zu erkennen und zu blockieren.
- Sie können eine Kopie eines vorhandenen Signaturobjekts erstellen und es anpassen, indem Sie Regeln und SQL-/Cross-Site-Scripting-Muster hinzufügen oder bearbeiten, um eine andere Anwendung zu schützen.
- Sie können die automatische Aktualisierung verwenden, um die neueste Version der Web App Firewall-Standardregeln herunterzuladen, ohne dass eine kontinuierliche Überwachung erforderlich ist, um die Verfügbarkeit des neuen Updates zu überprüfen.
- Ein Signaturobjekt kann von mehr als einem Profil verwendet werden. Auch nachdem Sie ein oder mehrere Profile für die Verwendung eines Signaturobjekts konfiguriert haben, können Sie Signaturen weiterhin aktivieren oder deaktivieren oder die Aktionseinstellungen ändern. Sie können Ihre eigenen benutzerdefinierten Signaturregeln manuell erstellen und ändern. Die Änderungen gelten für alle Profile, die derzeit für die Verwendung dieses Signaturobjekts konfiguriert sind.
- Sie können Signaturen konfigurieren, um Verstöße in verschiedenen Arten von Payloads wie HTML, XML, JSON und GWT zu erkennen.
- Sie können ein konfiguriertes Signaturobjekt exportieren und in eine andere NetScaler-Appliance importieren, um Ihre benutzerdefinierten Signaturregeln einfach zu replizieren.
Signaturen sind Muster, die mit einer bekannten Sicherheitslücke in Verbindung stehen. Mithilfe des Signaturschutzes können Sie den Datenverkehr identifizieren, der versucht, diese Sicherheitsanfälligkeiten auszunutzen, und spezifische Maßnahmen ergreifen.
Signaturen sind in Kategorien unterteilt. Sie können die Leistung optimieren und den Verarbeitungsaufwand reduzieren, indem Sie nur die Regeln in den Kategorien aktivieren, die zum Schutz Ihrer Anwendung geeignet sind.