Signaturen
Die Web App Firewall -Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz Ihrer Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Eine umfangreiche Reihe von vorkonfigurierten integrierten oder systemeigenen Regeln der Web App Firewall bietet eine einfach zu bedienende Sicherheitslösung, die die Leistung des Musterabgleichs nutzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.
Sie können eigene Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web App Firewall verfügt über zwei integrierte Vorlagen:
- Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste mit über 1.300 Signaturen, zusätzlich zu einer vollständigen Liste von SQL-Einschleusungsschlüsselwörtern, SQL-Sonderzeichenfolgen, SQL-Transformationsregeln und SQL-Platzhalterzeichen. Es enthält auch abgelehnte Muster für siteübergreifende Skripterstellung sowie zulässige Attribute und Tags für siteübergreifende Skripterstellung. Dies ist eine schreibgeschützte Vorlage. Sie können den Inhalt anzeigen, aber Sie können nichts in dieser Vorlage hinzufügen, bearbeiten oder löschen. Um es zu verwenden, müssen Sie eine Kopie erstellen. In Ihrer eigenen Kopie können Sie die Signaturregeln aktivieren, die Sie auf Ihren Datenverkehr anwenden möchten, und die Aktionen angeben, die ausgeführt werden sollen, wenn die Signaturregeln dem Datenverkehr entsprechen.
Die Web App Firewall-Signaturen stammen aus den von Snortveröffentlichten Regeln, einem Open-Source-Einbruchschutzsystem, das Echtzeit-Verkehrsanalysen durchführen kann, um verschiedene Angriffe und Prüfungen zu erkennen.
- *Xpath Injection Patterns: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal und PCRE Schlüsselwörtern und speziellen Strings, die verwendet werden, um XPath (XML Path Language) Injectionsangriffe zu erkennen.
Leere Signaturen: Sie können nicht nur eine Kopie der integrierten Vorlage “Standardsignaturen” erstellen, sondern auch eine leere Signaturvorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Sie mit der Option für leere Signaturen erstellen, hat keine nativen Signaturregeln, verfügt jedoch genau wie die *Standardvorlage über alle integrierten SQL/Cross-Site-Skript-Entitäten.
Signaturen im externen Format: Die Web App Firewall unterstützt auch Signaturen im externen Format. Sie können den Scanbericht von Drittanbietern mit der XSLT-Dateien importieren, die von der Citrix Web App Firewall unterstützt werden. Für die folgenden Scanwerkzeuge stehen integrierte XSLT-Dateien zur Verfügung, um externe Formatdateien in ein natives Format zu übersetzen:
- Zenzic
- Tiefe Sicherheit für Web-Apps
- IBM AppScan Enterprise
- IBM AppScan Standard.
- Qualys
- Qualys Cloud
- Whitehat
- Hewlett Packard Enterprise WebInspect
- Rapid7 Appspider
- Acunetix
Sicherheitsschutz für Ihre Anwendung
Straffere Sicherheit erhöht den Verarbeitungsaufwand. Signaturen bieten die folgenden Bereitstellungsoptionen, mit denen Sie den Schutz Ihrer Anwendungen optimieren können:
-
Negatives Sicherheitsmodell: Mit dem negativen Sicherheitsmodell verwenden Sie einen umfangreichen Satz vorkonfigurierter Signaturregeln, um die Leistung des Musterabgleichs anzuwenden, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen. Sie blockieren nur das, was Sie nicht wollen, und erlauben den Rest. Sie können Ihre eigenen Signaturregeln hinzufügen, die auf den spezifischen Sicherheitsanforderungen Ihrer Anwendungen basieren, um Ihre eigenen benutzerdefinierten Sicherheitslösungen zu entwerfen.
-
Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Sie positive Sicherheitsprüfungen verwenden, um eine Konfiguration zu erstellen, die sich ideal für Ihre Anwendungen eignet. Verwenden Sie Signaturen, um das zu blockieren, was Sie nicht möchten, und verwenden Sie positive Sicherheitsprüfungen, um die zulässigen Werte zu erzwingen.
Um Ihre Anwendung mithilfe von Signaturen zu schützen, müssen Sie ein oder mehrere Profile für die Verwendung des Signaturobjekts konfigurieren. In einer hybriden Sicherheitskonfiguration werden die SQL-Injections- und siteübergreifenden Skriptmuster sowie die SQL-Transformationsregeln in Ihrem Signaturenobjekt nicht nur von den Signaturregeln verwendet, sondern auch von den positiven Sicherheitsprüfungen, die im Web App Firewall Profil konfiguriert sind, das das Signature-Objekt verwendet.
Die Web App Firewall untersucht den Datenverkehr zu Ihren geschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der einer Signatur entspricht. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel mit dem Datenverkehr übereinstimmt. Wenn eine Übereinstimmung auftritt, werden die angegebenen Aktionen für die Regel aufgerufen. Sie können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anforderung blockiert wird. Protokollmeldungen können Ihnen helfen, Angriffe zu identifizieren, die gegen Ihre Anwendung gestartet werden. Wenn Sie Statistiken aktivieren, verwaltet die Web App Firewall Daten zu Anforderungen, die mit einer Web App Firewall-Signatur oder einer Sicherheitsprüfung übereinstimmen.
Wenn der Datenverkehr sowohl mit einer Signatur als auch mit einer positiven Sicherheitsprüfung übereinstimmt, werden die restriktiveren der beiden Aktionen durchgesetzt. Wenn beispielsweise eine Anforderung mit einer Signaturregel übereinstimmt, für die die Blockaktion deaktiviert ist, aber die Anforderung auch mit einer positiven SQL Injection Sicherheitsprüfung übereinstimmt, für die die Aktion blockiert ist, wird die Anforderung blockiert. In diesem Fall wird die Signaturverletzung möglicherweise als protokolliert<not blocked>
, obwohl die Anforderung durch die SQL-Injectionsprüfung blockiert wird.
Anpassung: Bei Bedarf können Sie eigene Regeln zu einem Signaturobjekt hinzufügen. Sie können auch die SQL/Cross-Site Scripting Pattern anpassen. Die Möglichkeit, eigene Signaturregeln auf der Grundlage der spezifischen Sicherheitsanforderungen Ihrer Anwendungen hinzuzufügen, gibt Ihnen die Flexibilität, Ihre eigenen benutzerdefinierten Sicherheitslösungen zu entwerfen. Sie blockieren nur das, was Sie nicht wollen, und erlauben den Rest. Ein bestimmtes Fast-Match-Muster an einem angegebenen Speicherort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Sie können SQL-Injections- und siteübergreifende Skriptmuster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Expression-Editoren helfen Ihnen, Ihre Muster zu konfigurieren und deren Genauigkeit zu überprüfen.
Automatische Aktualisierung: Sie können das Signaturobjekt manuell aktualisieren, um die neuesten Signaturregeln abzurufen, oder Sie können das Feature für die automatische Aktualisierung anwenden, damit die Web App Firewall die Signaturen automatisch über den cloudbasierten Aktualisierungsdienst der Web App Firewall aktualisieren kann.
Hinweis:
Wenn während der automatischen Aktualisierung neue Signaturregeln hinzugefügt werden, sind sie standardmäßig deaktiviert. Sie müssen die aktualisierten Signaturen regelmäßig überprüfen und die neu hinzugefügten Regeln aktivieren, die für den Schutz Ihrer Anwendungen relevant sind.
Sie müssen CORS so konfigurieren, dass Signaturen auf IIS-Servern gehostet werden.
Die automatische Signaturaktualisierung funktioniert auf dem lokalen Webserver nicht, wenn Sie über die Citrix ADC GUI auf die URL zugreifen.
Erste Schritte
Die Verwendung von Citrix -Signaturen zum Schutz Ihrer Anwendung ist einfach und kann in wenigen einfachen Schritten ausgeführt werden:
- Fügen Sie ein Signaturobjekt hinzu.
- Sie können den Assistenten verwenden, der Sie auffordert, die gesamte Web App Firewall Konfiguration zu erstellen, einschließlich Hinzufügen des Profils und der Richtlinie, Auswählen und Aktivieren von Signaturen und Angeben von Aktionen für Signaturen und positive Sicherheitsprüfungen. Das Signaturobjekt wird automatisch erstellt.
- Sie können eine Kopie des Signaturobjekts aus der Vorlage “*Standardsignaturen” erstellen, eine leere Vorlage verwenden, um eine Signatur mit Ihren eigenen benutzerdefinierten Regeln zu erstellen, oder eine externe Formatsignatur hinzufügen. Aktivieren Sie die Regeln und konfigurieren Sie die Aktionen, die Sie anwenden möchten.
-
Konfigurieren Sie das Zielprofil der Web App Firewall, um dieses Signaturobjekt zu verwenden.
-
Datenverkehr senden, um die Funktionalität zu validieren
Highlights
- Das Standardsignaturobjekt ist eine Vorlage. Sie kann nicht bearbeitet oder gelöscht werden. Um es zu verwenden, müssen Sie eine Kopie erstellen. In Ihrer eigenen Kopie können Sie die Regeln und die gewünschte Aktion für jede Regel aktivieren, wie für Ihre Anwendung erforderlich. Um die Anwendung zu schützen, müssen Sie das Zielprofil so konfigurieren, dass diese Signatur verwendet wird.
- Das Verarbeiten von Signaturmustern hat Overhead. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung gelten, anstatt alle Signaturregeln zu aktivieren.
- Jedes Muster in der Regel muss übereinstimmen, um eine Signaturübereinstimmung auszulösen.
- Sie können eigene benutzerdefinierte Regeln hinzufügen, um eingehende Anforderungen zu überprüfen, um verschiedene Arten von Angriffen zu erkennen, wie SQL-Injection oder Cross-Site-Skripting-Angriffe. Sie können auch Regeln hinzufügen, um die Antworten zu überprüfen, um das Auslaufen vertraulicher Informationen wie Kreditkartennummern zu erkennen und zu blockieren.
- Sie können eine Kopie eines vorhandenen Signaturobjekts erstellen und es anpassen, indem Sie Regeln und SQL/Cross-Site-Skriptmuster hinzufügen oder bearbeiten, um eine andere Anwendung zu schützen.
- Sie können die automatische Aktualisierung verwenden, um die neueste Version der Standardregeln der Web App Firewall herunterzuladen, ohne dass eine fortlaufende Überwachung erforderlich ist, um die Verfügbarkeit des neuen Updates zu überprüfen.
- Ein Signaturobjekt kann von mehr als einem Profil verwendet werden. Auch nachdem Sie ein oder mehrere Profile für die Verwendung eines Signaturobjekts konfiguriert haben, können Sie Signaturen weiterhin aktivieren oder deaktivieren oder die Aktionseinstellungen ändern. Sie können eigene benutzerdefinierte Signaturregeln manuell erstellen und ändern. Die Änderungen gelten für alle Profile, die derzeit für die Verwendung dieses Signaturobjekts konfiguriert sind.
- Sie können Signaturen konfigurieren, um Verletzungen in verschiedenen Arten von Nutzlasten zu erkennen, wie HTML, XML, JSON und GWT.
- Sie können ein konfiguriertes Signaturobjekt exportieren und es in eine andere Citrix ADC Appliance importieren, um Ihre benutzerdefinierten Signaturregeln einfach zu replizieren.
Signaturen sind Muster, die einer bekannten Sicherheitsanfälligkeit zugeordnet sind. Sie können den Signaturschutz verwenden, um den Datenverkehr zu identifizieren, der versucht, diese Sicherheitsanfälligkeiten auszunutzen, und bestimmte Maßnahmen ergreifen.
Signaturen sind in Kategorien unterteilt. Sie können die Leistung optimieren und den Verarbeitungsaufwand reduzieren, indem Sie nur die Regeln in den Kategorien aktivieren, die zum Schutz Ihrer Anwendung geeignet sind.