Produktdokumentation
ADC
Current Release 13.0 12.1
PDF anzeigen

Bot-Erkennung

August 4, 2023
Beitrag von: 
C

Das NetScaler Bot-Managementsystem verwendet verschiedene Techniken, um den eingehenden Bot-Verkehr zu erkennen. Die Techniken werden als Erkennungsregeln verwendet, um den Bot-Typ zu erkennen. Die Techniken lauten wie folgt:

Hinweis:

Die Bot-Verwaltung unterstützt maximal 32 Konfigurations-Entitäten für Sperrlisten-, Positivlisten- und Ratenbegrenzungstechniken.

Liste zugelassener Bots — Eine benutzerdefinierte Liste von IP-Adressen (IPv4 und IPv6), Subnetzen (IPv4 und IPv6) und Richtlinienausdrücken, die als zulässige Liste umgangen werden können.

Bot-Blockliste — Eine benutzerdefinierte Liste von IP-Adressen (IPv4 und IPv6), Subnetzen (IPv4 und IPv6) und Richtlinienausdrücken, die für den Zugriff auf Ihre Webanwendungen gesperrt werden müssen.

IP-Reputation — Diese Regel erkennt, ob der eingehende Bot-Verkehr von einer bösartigen IP-Adresse stammt.

Gerätefingerabdruck — Diese Regel erkennt, ob der eingehende Bot-Verkehr die Geräte-Fingerabdruck-ID im Header der eingehenden Anfrage und in den Browserattributen eines eingehenden Client-Bot-Traffics enthält.

Einschränkung:

  1. JavaScript muss im Client-Browser aktiviert sein.
  2. Funktioniert nicht für XML-Antworten.

Bot-Log-Ausdruck — Die Erkennungstechnik ermöglicht es Ihnen, zusätzliche Informationen als Protokollnachrichten zu erfassen. Die Daten können der Name des Benutzers sein, der die URL angefordert hat, die Quell-IP-Adresse und der Quellport, von dem der Benutzer die Anforderung oder Daten gesendet hat, die aus einem Ausdruck generiert wurden.

Ratenlimit — Diese Regelrate begrenzt mehrere Anfragen von benutzerdefinierten Entitäten, einschließlich virtueller Server, URLs, Domains und Kombinationen von URLs und Domains.

Bot-Trap — Erkennt und blockiert automatisierte Bots, indem in der Kundenantwort eine Trap-URL angegeben wird. Die URL erscheint unsichtbar und nicht zugänglich, wenn der Client ein menschlicher Benutzer ist. Die Erkennungstechnik blockiert effektiv Angriffe von automatisierten Bots.

TPS — Erkennt eingehenden Traffic als Bots, wenn die maximale Anzahl von Anfragen und der prozentuale Anstieg der Anfragen das konfigurierte Zeitintervall überschreiten.

CAPTCHA — Diese Regel verwendet ein CAPTCHA zur Abwehr von Bot-Angriffen. Ein CAPTCHA ist eine Challenge-Response-Validierung, um festzustellen, ob der eingehende Verkehr von einem menschlichen Benutzer oder einem automatisierten Bot stammt. Die Validierung hilft dabei, automatisierte Bots zu blockieren, die Sicherheitsverletzungen für Webanwendungen verursachen. Sie können CAPTCHA als Bot-Aktion für IP-Reputation und Geräte-Fingerabdruck-Erkennungstechniken konfigurieren.

Lassen Sie uns nun sehen, wie Sie jede Technik konfigurieren können, um Ihren Bot-Traffic zu erkennen und zu verwalten.

So aktualisieren Sie Ihre Appliance auf NetScaler CLI-basierte Bot-Management-Konfiguration

Wenn Sie Ihre Appliance von einer älteren Version aktualisieren (NetScaler Version 13.0 Build 58.32 oder früher), müssen Sie die vorhandene Bot-Verwaltungskonfiguration zuerst nur einmal manuell in die NetScaler CLI-basierte Bot-Management-Konfiguration konvertieren. Führen Sie die folgenden Schritte aus, um Ihre Bot-Management-Konfiguration manuell zu konvertieren.

  1. Stellen Sie nach dem Upgrade auf die neueste Version eine Verbindung zum Upgrade-Tool upgrade_bot_config.py her, indem Sie den folgenden Befehl verwenden

    Geben Sie in der Befehlszeile Folgendes ein:

    shell "/var/python/bin/python /netscaler/upgrade_bot_config.py > /var/bot_upgrade_commands.txt"

  2. Führen Sie die Konfiguration mit dem folgenden Befehl aus.

    Geben Sie in der Befehlszeile Folgendes ein:

    batch -f /var/bot_upgrade_commands.txt

  3. Speichern Sie die aktualisierte Konfiguration.

save ns config

Konfigurieren der NetScaler CLI-basierten Bot-Verwaltung

Mit der Bot-Management-Konfiguration können Sie eine oder mehrere Bot-Erkennungstechniken an ein bestimmtes Bot-Profil binden. Sie müssen die folgenden Schritte ausführen, um die NetScaler-basierte Bot-Verwaltung zu konfigurieren:

  1. Bot-Management aktivieren
  2. Botsignatur importieren
  3. Bot-Profil hinzufügen
  4. Bot-Profil binden
  5. Bot-Richtlinie hinzufügen
  6. Bind-Bot-Richtlinie
  7. Konfigurieren Sie Bot-Einstellungen

Hinweis:

Wenn Sie Ihre Appliance von einer älteren Version upgraden, müssen Sie zuerst die vorhandene Bot-Management-Konfiguration manuell konvertieren. Weitere Informationen finden Sie unter Aktualisieren auf NetScaler CLI-basierte Bot-Verwaltungskonfiguration.

Bot-Management aktivieren

Bevor Sie beginnen können, stellen Sie sicher, dass die Bot-Verwaltungsfunktion auf der Appliance aktiviert ist. Wenn Sie über einen neuen NetScaler oder VPX verfügen, müssen Sie die Funktion aktivieren, bevor Sie sie konfigurieren. Wenn Sie eine NetScaler-Appliance von einer früheren Version auf die aktuelle Version aktualisieren, müssen Sie die Funktion aktivieren, bevor Sie sie konfigurieren. Geben Sie in der Befehlszeile Folgendes ein:

enable ns feature Bot

Botsignatur importieren

Sie können die Standardsignatur-Bot-Datei importieren und an das Bot-Profil binden. Geben Sie in der Befehlszeile Folgendes ein:

import bot signature [<src>] <name> [-comment <string>] [-overwrite]

Ort:

src - Lokaler Pfadname oder URL (Protokoll, Host, Pfad und Dateiname). Maximale Länge: 2047. > Hinweis: > > Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, für dessen Zugriff eine Client-Zertifikatsauthentifizierung erforderlich ist.

name - Name des Bot-Signaturdateiobjekts. Dies ist ein zwingendes Argument. Maximale Länge: 31

comment - Beschreibung des Signaturdateiobjekts. Maximale Länge: 255

overwrite - Aktion, die die bestehende Datei überschreibt. > Hinweis: > > Verwenden Sie die Option overwrite, um den Inhalt der Signaturdatei zu aktualisieren. Verwenden Sie alternativ den Befehl update bot signature <name>, um die Signaturdatei auf der NetScaler-Appliance zu aktualisieren.

Beispiel

import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite

Bot-Profil hinzufügen

Ein Bot-Profil ist eine Sammlung von Profileinstellungen zur Konfiguration der Bot-Verwaltung auf der Appliance. Sie können die Einstellungen für die Durchführung der Bot-Erkennung konfigurieren.

Geben Sie in der Befehlszeile Folgendes ein:

add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )]

Beispiel:

add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON

Bot-Profil binden

Nachdem Sie ein Bot-Profil erstellt haben, müssen Sie den Bot-Erkennungsmechanismus an das Profil binden.

Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <name> | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>]

Beispiel:

Das folgende Beispiel dient zur Bindung der IP-Reputationserkennungstechnik an ein bestimmtes Bot-Profil.

bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message

Bot-Richtlinie hinzufügen

Sie müssen die Bot-Richtlinie zur Bewertung des Bot-Traffics hinzufügen.

Geben Sie in der Befehlszeile Folgendes ein:

add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]

Hierbei gilt:

Name - Name für die Bot-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann geändert werden, nachdem die Bot-Richtlinie hinzugefügt wurde.

Rule — Ausdruck, anhand dessen die Richtlinie bestimmt, ob das Bot-Profil auf die angegebene Anfrage angewendet werden soll. Dies ist ein zwingendes Argument. Maximale Länge: 1499

profileName — Name des Bot-Profils, das angewendet werden soll, wenn die Anfrage dieser Bot-Richtlinie entspricht. Dies ist ein zwingendes Argument. Maximale Länge: 127

undefAction - Aktion, die ausgeführt werden muss, wenn das Ergebnis der Politikbewertung nicht definiert ist (UNDEF). Ein UNDEF-Ereignis weist auf einen internen Fehlerzustand hin. Maximale Länge: 127

Comment - Beschreibung dieser Bot-Richtlinie. Maximale Länge: 255

logAction — Name der Protokollaktion, die für Anfragen verwendet werden soll, die dieser Richtlinie entsprechen. Maximale Länge: 127

Beispiel:

add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1

Binden Sie die Bot-Richtlinie global

Geben Sie in der Befehlszeile Folgendes ein:

bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]

Beispiel:

bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Binden Sie die Bot-Richtlinie an einen virtuellen Server

Geben Sie in der Befehlszeile Folgendes ein:

bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>]

Beispiel:

bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE

Konfigurieren Sie Bot-Einstellungen

Sie können die Standardeinstellungen bei Bedarf anpassen. Geben Sie in der Befehlszeile Folgendes ein:

set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|\*>] [-proxyPort <port|\*>]
<!--NeedCopy-->

Hierbei gilt:

defaultProfile — Profil, das verwendet werden soll, wenn eine Verbindung keiner Richtlinie entspricht. Die Standardeinstellung ist “ “, wodurch nicht übereinstimmende Verbindungen an den NetScaler zurückgesendet werden, ohne dass versucht wird, sie weiter zu filtern. Maximale Länge: 31

javaScriptName - Name des JavaScripts, das die BotNet-Funktion als Antwort verwendet. Muss mit einem Buchstaben oder einer Zahl beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und den Bindestrichen (-) und Unterstrichen (_) bestehen. Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Cookie-Name” oder “mein Cookie-Name”). Maximale Länge: 31

sessionTimeout - Sitzungs-Timeout in Sekunden, nach deren Ablauf eine Benutzersitzung beendet wird.

Minimum value - 1, Maximalwert: 65535

sessionCookieName - Name des SessionCookies, den die BotNet-Funktion für das Tracking verwendet. Muss mit einem Buchstaben oder einer Zahl beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und den Bindestrichen (-) und Unterstrichen (_) bestehen. Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Cookie-Name” oder “mein Cookie-Name”). Maximale Länge: 31

dfpRequestLimit — Anzahl der Anfragen, die ohne Bot-Sitzungscookie zugelassen werden sollen, wenn der Gerätefingerabdruck aktiviert ist. Mindestwert: 1, Maximalwert: 4294967295

signatureAutoUpdate - Flagge, die verwendet wird, um Bot-Signaturen für automatische Aktualisierungen zu aktivieren/deaktivieren. Mögliche Werte: ON, OFF. Standardwert: OFF

signatureUrl - URL zum Herunterladen der Bot-Signaturzuordnungsdatei vom Server. Vorgabewert: https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json. Maximale Länge: 2047

proxyServer - Proxy-Server-IP zum Abrufen aktualisierter Signaturen von AWS.

proxyPort - Proxy-Server-Port zum Abrufen aktualisierter Signaturen von AWS. Standardwert: 8080

proxyUsername - Benutzername zur Authentifizierung beim Proxyserver für das Herunterladen von Signaturaktualisierungen.

proxyPassword — Passwort zur Authentifizierung beim Proxyserver für das Herunterladen von Signaturaktualisierungen.

Beispiel:

set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session -proxyServer 10.102.30.112 -proxyPort 3128 -proxyUsername defaultuser -proxyPassword defaultPassword

Konfigurieren der Bot-Verwaltung über die NetScaler-GUI

Sie können die NetScaler-Bot-Verwaltung konfigurieren, indem Sie zuerst die Funktion auf der Appliance aktivieren. Sobald Sie aktiviert haben, können Sie eine Bot-Richtlinie erstellen, um den eingehenden Traffic als Bot auszuwerten und den Traffic an das Bot-Profil zu senden. Dann erstellen Sie ein Bot-Profil und binden das Profil dann an eine Bot-Signatur. Alternativ können Sie auch die Standard-Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nachdem Sie die Signaturdatei erstellt haben, können Sie sie in das Bot-Profil importieren.

Seite Bot-Management

  1. Bot-Management-Funktion aktivieren
  2. Konfigurieren von Bot-Verwaltungseinstellungen
  3. NetScaler-Bot-Standardsignatur klonen
  4. NetScaler-Bot-Signatur importieren
  5. Konfigurieren Sie Bot Einstellungen für die
  6. Erstellen Sie ein Bot-Profil
  7. Erstellen Sie Bot-Richtlinie

Bot-Management-Funktion aktivieren

Führen Sie die folgenden Schritte aus, um das Bot-Management zu aktivieren

  1. Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
  2. Aktivieren Sie auf der Seite Erweiterte Funktionen konfigurieren das Kontrollkästchen Bot Management .

  3. Klicken Sie auf OK und dann auf Schließen.

    Bot-Management aktivieren

Konfigurieren der Bot-Verwaltungseinstellungen für die Geräte-Fingerabdruck-

Führen Sie den folgenden Schritt aus, um die Fingerabdrucktechnik des Geräts zu konfigurieren:

  1. Navigieren Sie zu Security > NetScaler Bot Management.
  2. Klicken Sie im Detailbereich unter Einstellungen auf NetScaler bot Management-Einstellungen ändern.

  3. Legen Sie in den NetScaler bot-Verwaltungseinstellungen konfigurieren die folgenden Parameter fest.

    1. Standardprofil — Wählen Sie ein Bot-Profil aus.
    2. JavaScript-Name — Name der JavaScript-Datei, die das Bot-Management in seiner Antwort an den Client verwendet.
    3. Sitzungs-Timeout — Timeout in Sekunden, nach dem die Benutzersitzung beendet wird.
    4. Sitzungscookie — Name des Sitzungscookies, den das Bot-Managementsystem für das Tracking verwendet.
    5. Limit für Geräte-Fingerabdruck-Anfragen Anzahl der Anfragen, die ohne Bot-Sitzungscookie zugelassen werden sollen, wenn der Gerätefingerabdruck aktiviert ist.
    6. Proxyserver — Die IP-Adresse des Proxyservers, von dem die neuesten Signaturen hochgeladen werden.
    7. Proxy-Port — Portnummer des Computers, von dem die neuesten Signaturen hochgeladen werden.
    8. Proxy-Benutzername — Benutzername für die Authentifizierung des Proxyservers
    9. Proxy-Passwort — Passwort für die Authentifizierung des Proxyservers.

      Hinweis:

      Die Felder Proxy-Benutzername und Proxy-Kennwort sind aktiviert, wenn die Felder Proxyserver und Proxyport konfiguriert sind.

    Einstellungen für die Bot-Verwaltung

  4. Klicken Sie auf OK.

Klonen der Bot-Signaturdatei

Führen Sie den folgenden Schritt aus, um die Bot-Signaturdatei zu klonen:

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management und Signatures.
  2. Wählen Sie auf der Seite NetScaler Bot Management Signatures den Standard-Bot-Signaturdatensatz aus und klicken Sie auf Klonen.
  3. Geben Sie auf der Seite Bot-Signatur klonen einen Namen ein und bearbeiten Sie die Signaturdaten.

  4. Klicken Sie auf Erstellen.

    Klonen der Bot-Signaturdatei

Importieren von Bot-Signatur

Wenn Sie eine eigene Signaturdatei haben, können Sie diese als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management und Signatures.
  2. Wählen Sie auf der Seite NetScaler Bot Management-Signaturen den Standard-Bot-Signaturdatensatz aus und klicken Sie auf Importieren.
  3. Stellen Sie auf der Seite NetScaler Bot Management-Signatur importieren die folgenden Parameter ein.
    1. Importdateityp auswählen
    2. Geben Sie je nach ausgewähltem Importtyp die Details ein.
    3. Klicken Sie auf Weiter.

    Importieren von Bot-Signatur

  4. Stellen Sie auf der Seite NetScaler Bot Management-Signatur importieren die folgenden Parameter ein.
    1. Name — Name der Bot-Signaturdatei.
    2. Kommentar — Kurze Beschreibung der importierten Datei.
    3. Überschreiben — Ermöglicht das Überschreiben von Daten während der Dateiaktualisierung.
    4. Signaturdaten — Signaturparameter ändern

  5. Klicken Sie auf Fertig.

    Importieren von Bot-Signatur

Konfigurieren der Bot-Positivliste über die NetScaler-GUI

Mit dieser Erkennungstechnik können Sie URLs umgehen, die Sie als Positivliste konfigurieren. Führen Sie den folgenden Schritt aus, um eine Positivliste zu konfigurieren:

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles eine Datei aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der NetScaler Bot Management-Profilseite zum Abschnitt Profileinstellungen und klicken Sie auf Liste zulassen.
  4. Stellen Sie im Abschnitt Zulassungsliste die folgenden Parameter ein:
    1. Aktiviert — Wählen Sie diese Option aus, um die URLs der Zulassungsliste im Rahmen des Erkennungsprozesses zu validieren.
    2. Typen konfigurieren — Konfigurieren Sie eine URL für die Zulassungsliste. Die URL wird während der Bot-Erkennung umgangen. Klicken Sie auf Hinzufügen, um der Bot-Zulassungsliste eine URL hinzuzufügen.
    3. Stellen Sie auf der Seite „NetScaler Bot Management Profile Allowlist Binding konfigurieren “ die folgenden Parameter ein:
      1. Typ — Wählen Sie die URL-Typen aus.
      2. Aktiviert — Wählen Sie diese Option aus, um die URL zu validieren.
      3. Wert — Geben Sie die URL ein.
      4. Protokoll — Wählen Sie diese Option, um die Protokolleinträge zu speichern.
      5. Protokollnachricht — Kurze Beschreibung des Protokolls.
      6. Kommentare — Kurze Beschreibung der URL der Zulassungsliste.
      7. Klicken Sie auf OK.

    Bot-Positivliste konfigurieren

  5. Klicken Sie auf Update.

  6. Klicken Sie auf Fertig.

    Bot-Positivliste konfigurieren

Konfigurieren Sie die Bot-Sperrliste über die NetScaler-GUI

Mit dieser Erkennungstechnik können Sie die URLs löschen, die Sie als Sperrlisten-URLs konfigurieren. Führen Sie den folgenden Schritt aus, um eine Sperrlisten-URL zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles eine Datei aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der NetScaler Bot Management-Profilseite zum Abschnitt Profileinstellungen und klicken Sie auf Blockliste.

  4. Stellen Sie im Abschnitt Blockliste die folgenden Parameter ein:

    1. Aktiviert — Wählen Sie diese Option aus, um die URLs der Sperrliste im Rahmen des Erkennungsprozesses zu validieren.
    2. Typen konfigurieren — Konfigurieren Sie eine URL als Teil des Erkennungsprozesses für Bot-Blocklisten — Diese URLs werden bei der Bot-Erkennung gelöscht. Klicken Sie auf Hinzufügen, um der Bot-Blockliste eine URL hinzuzufügen

    3. Stellen Sie auf der Seite NetScaler Bot Management Profile Blocklist Binding konfigurieren die folgenden Parameter ein.

      1. Typ — Wählen Sie die URL-Typen aus.
      2. Aktiviert — Wählen Sie diese Option aus, um die URL zu validieren.
      3. Wert — Geben Sie die URL-Adresse ein.
      4. Protokoll — Wählen Sie diese Option, um die Protokolleinträge zu speichern.
      5. Protokollnachricht — Kurze Beschreibung der Protokolldetails.
      6. Kommentare — Kurze Beschreibung der Blocklisten-URL.
      7. Klicken Sie auf OK.

    Konfigurieren der Bot-Sperrliste

  5. Klicken Sie auf Update.

  6. Klicken Sie auf Fertig.

    Konfigurieren der Bot-Sperrliste

Konfigurieren Sie die IP-Reputation über die NetScaler-GUI

Die IP-Reputations-Bot-Technik verwendet die IP-Reputationsdatenbank und die Cloud-Dienstanbieter-Datenbank von Webroot, um zu überprüfen, ob es sich bei einer Clientanforderung um eine schädliche IP-Adresse oder eine Public Cloud- Als Teil der Bot-Kategorien wird konfiguriert und dann wird eine Bot-Aktion zugeordnet. Führen Sie die folgenden Schritte aus, um die Webroot IP-Reputation- und Cloud-Dienstanbieter-Datenbankkategorien zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > NetScaler bot-Verwaltung und Profile.
  2. Wählen Sie auf der Seite NetScaler bot Management-Profile ein Profil aus, und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der Seite mit dem NetScaler bot Management Profile zum Abschnitt Profile Settings und klicken Sie auf IP Reputation.
  4. Stellen Sie im Abschnitt IP-Reputation die folgenden Parameter ein:
    1. Aktiviert — Wählen Sie diese Option aus, um eingehenden Bot-Verkehr als Teil des Erkennungsprozesses zu validieren.
    2. Kategorien konfigurieren. Sie können die IP-Reputationstechnik für eingehenden Bot-Verkehr in verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Sie den Bot-Traffic löschen oder umleiten. Klicken Sie auf Hinzufügen, um eine schädliche Bot-Kategorie zu konfigurieren.

    3. Legen Sie auf der Seite IP-Reputationsbindung des NetScaler bot-Verwaltungsprofils konfigurieren die folgenden Parameter fest:

      1. Kategorie — Wählen Sie eine Webroot-IP-Reputation-Bot-Kategorie aus, um eine Client-Anfrage als bösartige IP-Adresse zu validieren.

        1. IP_BASED - Diese Kategorie prüft, ob die Client-IP-Adresse (IPv4 und IPv6) schädlich ist oder nicht.
        2. BOTNET - Diese Kategorie umfasst Botnet-C&C-Kanäle und infizierte Zombie-Maschinen, die vom Bot-Master gesteuert werden.
        3. SPAM_SOURCES — Diese Kategorie umfasst das Tunneln von Spam-Nachrichten über einen Proxy, anomale SMTP-Aktivitäten und Spam-Aktivitäten im Forum.
        4. SCANNER - Diese Kategorie umfasst alle Aufklärungsvorgänge wie Sonden, Host-Scan, Domain-Scan und Kennwort-Brute-Force-Angriffe.
        5. DOS — Diese Kategorie umfasst DOS, DDOS, anomale Synchronisationsflut und Erkennung anomaler Datenverkehr.
        6. REPUTATION - Diese Kategorie verweigert den Zugriff von IP-Adressen (IPv4 und IPv6), von denen derzeit bekannt ist, dass sie mit Malware infiziert sind. Zu dieser Kategorie gehören auch IP-Adressen mit einem durchschnittlich niedrigen Webroot Reputation Index. Durch die Aktivierung dieser Kategorie wird der Zugriff von identifizierten Quellen verhindert, um Malware-Verteilungspunkte zu kontaktieren.
        7. PHISHING — Diese Kategorie umfasst IP-Adressen (IPv4 und IPv6), die Phishing-Sites und andere Arten von Betrugsaktivitäten wie Anzeigenklickbetrug oder Spielbetrug hosten.
        8. PROXY — Diese Kategorie umfasst IP-Adressen (IPv4 und IPv6), die Proxy-Dienste bereitstellen.
        9. NETWORK - IPs, die Proxy- und Anonymisierungsdienste bereitstellen, einschließlich The Onion Router alias TOR oder Dark Net.
        10. MOBILE_THREATS - Diese Kategorie überprüft die Client-IP-Adresse (IPv4 und IPv6) mit der Liste der für mobile Geräte schädlichen Adressen.

      2. Kategorie. Wählen Sie eine Kategorie des Webroot Public Cloud-Dienstanbieters aus, um zu überprüfen, ob es sich bei einer Clientanforderung um eine Public Cloud-

        1. AWS — Diese Kategorie prüft die Client-IP-Adresse mit einer Liste der Public Cloud-Adressen von AWS.
        2. GCP — Diese Kategorie überprüft die Client-IP-Adresse mit der Liste der Public-Cloud-Adressen von der Google Cloud Platform.
        3. AZURE — Diese Kategorie prüft die Clientadresse mit einer Liste der Public Cloud-Adressen von Azure.
        4. ORACLE — Diese Kategorie prüft Client-IP-Adressen mit einer Liste der Public Cloud-Adressen von Oracle.
        5. IBM — Diese Kategorie prüft die Client-IP-Adresse mit einer Liste der Public Cloud-Adressen von IBM.
        6. SALESFORCE — Diese Kategorie überprüft die Client-IP-Adresse mit einer Liste der Public Cloud-Adressen von Salesforce.

        Mögliche Werte für Webroot IP-Reputation Bot-Kategorie: IP, BOTNETS, SPAM_SOURCES, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, MOBILE_THREATS.

        Mögliche Werte für die Kategorie der Webroot Public Cloud-Dienstanbieter: AWS, GCP, AZURE, ORACLE, IBM, SALESFORCE.

      3. Aktiviert — Wählen Sie diese Option, um die Erkennung der IP-Reputationssignatur zu validieren.
      4. Bot-Aktion — Basierend auf der konfigurierten Kategorie können Sie keine Aktion, Drop, Weiterleitung oder Schadensbegrenzung zuweisen.
      5. Protokoll — Wählen Sie diese Option, um die Protokolleinträge zu speichern.
      6. Protokollnachricht — Kurze Beschreibung des Protokolls.
      7. Kommentare — Kurze Beschreibung der Bot-Kategorie.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Update.

  7. Klicken Sie auf Fertig.

    Konfiguration der IP-Reputation

Hinweis:

Wenn Sie die IP-Reputationdeaktivieren, stellen Sie sicher, dass die Downloads gestoppt werden. Gehen Sie wie folgt vor, um die IP-Reputation-Downloads zu stoppen:

  1. Navigieren Sie zu Security > NetScaler bot Management > Change NetScaler bot Management Settings.
  2. Ändern Sie das Default Nonintrusive Profile in BOT_BYPASS.

Technik zur Begrenzung der Bot-Rate konfigurieren

Mit der Technik zur Begrenzung der Bot-Rate können Sie den Bot-Verkehr innerhalb eines bestimmten Zeitraums basierend auf der Geolocation des Benutzers, der Client-IP-Adresse, der Sitzung, dem Cookie oder der konfigurierten Ressource (URL) des Benutzers begrenzen. Durch Konfigurieren der Bot-Rate-Limit-Technik können Sie Folgendes sicherstellen:

  • Blockieren Sie schädliche Bot-Aktivitäten.
  • Reduzieren Sie die Verkehrsbelastung zu Webservern.

Bot-Ratenlimit mit NetScaler CLI konfigurieren

Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <name>... -ratelimit  -type <type> Geolocation -countryCode <countryName> -rate  <positive_integer> -timeSlice <positive_integer> [-action <action> ...] [-limitType ( BURSTY | SMOOTH )] [-condition <expression>] [-enabled ( ON | OFF )]
<!--NeedCopy-->

Hierbei gilt:

*SOURCE_IP - Ratenbegrenzung basierend auf der Client-IP-Adresse.

*SESSION - Ratenbegrenzung basierend auf dem konfigurierten Cookie-Namen.

*URL - Ratenbegrenzung basierend auf der konfigurierten URL.

*GEOLOCATION - Ratenbegrenzung basierend auf dem konfigurierten Ländernamen.

Possible values - SITZUNG, QUELL-IP, URL, GEOLOKALISIERUNG

Beispiel:

 bind bot profile geo_prof -ratelimit -type Geolocation -countryCode IN -rate 100 -timeSlice 1000 -limitType BURSTY -condition HTTP.REQ.HEADER("User-Agent").contains("anroid") -action log,drop -enabled on
<!--NeedCopy-->

Konfigurieren Sie das Bot-Ratenlimit über die NetScaler-GUI

Führen Sie die folgenden Schritte aus, um die Technik zur Erkennung von Bot-Ratenlimits

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management und Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles ein Profil aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der NetScaler Bot Management-Profilseite zum Abschnitt Profileinstellungen und klicken Sie auf Rate Limit.

  4. Stellen Sie im Abschnitt Rate Limit die folgenden Parameter ein:

    1. Aktiviert — Wählen Sie diese Option aus, um den eingehenden Bot-Verkehr im Rahmen des Erkennungsprozesses zu validieren. b. Klicken Sie auf Hinzufügen, um Ratenlimitbindungen zu konfigurieren.

  5. Stellen Sie auf der Seite Configure NetScaler Bot Management Rate Limit die folgenden Parameter ein.

    1. Typ — Ratenbegrenzung des Bot-Traffics auf der Grundlage der folgenden Parameter:

      1. Geolokalisierung — Ratenlimit basierend auf dem geografischen Standort des Benutzers.
      2. source_IP — Ratenbegrenzung des Datenverkehrs basierend auf der Client-IP-Adresse.
      3. Sitzung — Ratenbegrenzung des Bot-Traffics anhand des Sitzungs- oder Cookie-Namens.
      4. URL — Ratenbegrenzung des Bot-Traffics basierend auf der konfigurierten URL.
    2. Land — Wählen Sie eine Geolocation als Land oder Region aus.
    3. Art des Ratenlimits — Schränkt die Art des Datenverkehrs auf der Grundlage der folgenden Typen ein.
      • Bursty — Leitet alle Anfragen weiter, die innerhalb des festgelegten Schwellenwerts und des angegebenen Zeitraums liegen.
      • Reibungslos — Leitet die Anfragen gleichmäßig über den angegebenen Zeitraum weiter.
    4. Rate Limit Connection — Ermöglicht es Ihnen, mehrere Regeln für eine Bedingung zu erstellen.
    5. Aktiviert — Wählen Sie diese Option aus, um den eingehenden Bot-Verkehr zu validieren.
    6. Schwellenwert für Anfragen — Maximale Anzahl von Anfragen, die innerhalb eines bestimmten Zeitrahmens zulässig sind.
    7. Zeitraum — Zeitrahmen in Millisekunden.
    8. Aktion — Wählen Sie eine Bot-Aktion für die ausgewählte Kategorie aus.
    9. Protokoll — Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
    10. Protokollnachricht — Kurze Beschreibung des Protokolls.
    11. Kommentare — Kurze Beschreibung der Bot-Kategorie.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf Update.
  8. Klicken Sie auf Fertig.

Geolokalisierungsbasierte Bot-Rate-Limit-Technik

Konfigurieren Sie die Geräte-Fingerabdrucktechnik über die NetScaler-GUI

Diese Erkennungstechnik sendet eine Java-Skript-Herausforderung an den Client und extrahiert die Geräteinformationen. Basierend auf Geräteinformationen lässt die Technik den Bot-Verkehr fallen oder umgeht ihn. Folgen Sie den Schritten, um die Erkennungstechnik zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles eine Signaturdatei aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der Seite mit dem NetScaler Bot Management-Profil zum Abschnitt Signatureinstellungen und klicken Sie auf Device Fingerprint.

  4. Stellen Sie im Abschnitt Geräte-Fingerabdruck die folgenden Parameter ein:

    1. Aktiviert — Wählen Sie diese Option aus, um die Regel zu aktivieren.
    2. Konfiguration — Wählen Sie eine der folgenden Optionen:
      1. Keine — Lässt den Verkehr zu.
      2. Drop — Senkt den Verkehr.
      3. Umleiten — Leitet den Datenverkehr zur Fehler-URL weiter.
      4. Schadensbegrenzung oder CAPTCHA — Überprüft und erlaubt den Datenverkehr.

        Hinweis:

        Bei Sitzungswiederholungsangriffen, bei denen die Fingerabdruck-Cookies des Geräts verwendet werden, werden Anfragen verworfen, auch wenn die Konfiguration des Gerätefingerabdrucks auf Mitigationgesetzt ist.

    3. Protokoll — Wählen Sie diese Option, um Protokolleinträge zu speichern.
  5. Klicken Sie auf Update.
  6. Klicken Sie auf Fertig.

Konfigurieren Sie den Geräte-Finger

Konfigurieren der Geräte-Fingerabdruck-Technik für mobile (Android) -Anwendungen

Die Geräte-Fingerabdruck-Technik erkennt einen eingehenden Datenverkehr als Bot, indem ein JavaScript-Skript in die HTML-Antwort an den Client eingefügt wird. Wenn das JavaScript-Skript vom Browser aufgerufen wird, sammelt es Browser- und Client-Attribute und sendet eine Anfrage an die Appliance. Die Attribute werden untersucht, um festzustellen, ob es sich bei dem Traffic um einen Bot oder einen Menschen handelt.

Die Erkennungstechnik wird weiter erweitert, um Bots auf einer mobilen (Android) Plattform zu erkennen. Im Gegensatz zu Webanwendungen gilt im mobilen (Android) -Verkehr die Bot-Erkennung basierend auf dem JavaScript-Skript nicht. Um Bots in einem Mobilfunknetz zu erkennen, verwendet die Technik ein Bot Mobile SDK, das clientseitig in mobile Anwendungen integriert ist. Das SDK fängt den mobilen Verkehr ab, sammelt Gerätedetails und sendet die Daten an die Appliance. Auf der Appliance-Seite untersucht die Erkennungstechnik die Daten und bestimmt, ob die Verbindung von einem Bot oder einem Menschen stammt.

So funktioniert die Geräte-Fingerabdrucktechnik für die mobile Anwendung

In den folgenden Schritten wird der Workflow zur Bot-Erkennung erläutert, um festzustellen, ob eine Anfrage von einem mobilen Gerät von einem Menschen oder einem Bot stammt.

  1. Wenn ein Benutzer mit einer mobilen Anwendung interagiert, wird das Geräteverhalten vom Bot Mobile SDK aufgezeichnet.
  2. Der Client sendet eine Anfrage an die NetScaler-Appliance.
  3. Beim Senden der Antwort fügt die Appliance ein Bot-Sitzungscookie mit Sitzungsdetails und Parametern ein, um Clientparameter zu erfassen.
  4. Wenn die mobile Anwendung die Antwort erhält, validiert das in die mobile Anwendung integrierte NetScaler-Bot-SDK die Antwort, ruft die aufgezeichneten Fingerabdruckparameter des Geräts ab und sendet sie an die Appliance.
  5. Die Technik zur Erkennung von Fingerabdrücken des Geräts auf der Appliance-Seite validiert die Gerätedetails und aktualisiert das Bot-Sitzungscookie, ob es sich um einen vermuteten Bot handelt oder nicht.
  6. Wenn das Cookie abgelaufen ist oder der Fingerabdruckschutz des Geräts es vorzieht, Geräteparameter regelmäßig zu validieren und zu sammeln, wird der gesamte Vorgang oder die Herausforderung wiederholt.

Voraussetzung

Um mit der NetScaler-Technik zur Erkennung von Fingerabdrücken für mobile Anwendungen zu beginnen, müssen Sie das Bot Mobile SDK in Ihrer mobilen Anwendung herunterladen und installieren.

Konfigurieren Sie die Technik der Fingerabdruckerkennung für mobile (Android) -Anwendungen über die Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

set bot profile <profile name> -deviceFingerprintMobile ( NONE | Android )

Beispiel:

set bot profile profile 1 –deviceFingerprintMobile Android

Konfigurieren Sie die Technik zur Erkennung von Geräte-Fingerabdrücken für mobile (Android) -Anwendungen über die GUI

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles eine Datei aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite mit dem NetScaler Bot Management-Profil unter Profileinstellungen auf Device Fingerprint.
  4. Wählen Sie im Abschnitt Configure Bot Mobile SDK den Typ des mobilen Clients aus.
  5. Klicken Sie auf Aktualisieren und Fertig.

Technik zur Erkennung von Fingerabdrücken für Bot-Management-Geräte für mobile Anwendungen

Bot-Log-Ausdruck konfigurieren

Wenn der Client als Bot identifiziert wird, können Sie mit dem NetScaler-Bot-Management zusätzliche Informationen als Protokollnachrichten erfassen. Die Daten können der Name des Benutzers sein, der die URL angefordert hat, die Quell-IP-Adresse und der Quellport, von dem der Benutzer die Anforderung oder Daten gesendet hat, die aus einem Ausdruck generiert wurden. Um eine benutzerdefinierte Protokollierung durchzuführen, müssen Sie einen Protokollausdruck im Bot-Verwaltungsprofil konfigurieren.

Binden Sie den Log-Ausdruck im Bot-Profil über die Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <name> (-logExpression -name <string> -expression <expression> [-enabled ( ON | OFF )]) -comment <string>
<!--NeedCopy-->

Beispiel:

bind bot profile profile1 –logExpression exp1 –expression HTTP.REQ.URL –enabled ON -comment "testing log expression"

Binden Sie den Log-Ausdruck über die GUI an das Bot-Profil

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management > Profile.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles im Abschnitt Profileinstellungen die Option Bot Log Expressions aus.
  3. Klicken Sie im Abschnitt Einstellungen für Bot Log Expression Settings* auf **Hinzufügen.
  4. Stellen Sie auf der Seite Configure NetScaler Bot Management Profile Bot Log Expression Binding die folgenden Parameter ein.
    1. Log-Ausdrucksname — Name des Log-Ausdrucks.
    2. Ausdruck — Geben Sie den Log-Ausdruck ein.
    3. Aktiviert — Aktiviert oder deaktiviert die Log-Ausdrucksbindung.
    4. Kommentare — Eine kurze Beschreibung der Bot-Log-Ausdrucksbindung.
  5. Klicken Sie aufOK und Fertig.

Bot-Log-Ausdruck

Konfigurieren der Bot-Trap-Technik

Die NetScaler-Bot-Trap-Technik fügt zufällig oder regelmäßig eine Trap-URL in die Serverantwort ein. Sie können auch eine Trap-URL-Liste erstellen und URLs dafür hinzufügen. Die URL erscheint unsichtbar und nicht zugänglich, wenn der Client ein menschlicher Benutzer ist. Wenn der Client jedoch ein automatisierter Bot ist, ist die URL zugänglich, und wenn darauf zugegriffen wird, wird der Angreifer als Bot kategorisiert und jede nachfolgende Anfrage des Bot wird blockiert. Die Trap-Technik blockiert effektiv Angriffe von Bots.

Die Trap-URL ist eine alphanumerische URL mit konfigurierbarer Länge und wird im konfigurierbaren Intervall automatisch generiert. Mit dieser Technik können Sie auch eine URL zum Einfügen von Traps für am häufigsten besuchte Sites oder häufig besuchte Sites konfigurieren. Auf diese Weise können Sie den Zweck festlegen, die Bot-Trap-URL für Anforderungen einzufügen, die der URL zum Einfügen von Traps entsprechen.

Hinweis:

Obwohl die Bot-Trap-URL automatisch generiert wird, ermöglicht Ihnen das NetScaler-Bot-Management weiterhin die Konfiguration einer benutzerdefinierten Trap-URL im Bot-Profil. Dies geschieht, um die Bot-Erkennungstechnik zu stärken und Angreifern den Zugriff auf die Trap-URL zu erschweren.

Um die Konfiguration der Bot-Trap abzuschließen, müssen Sie die folgenden Schritte ausführen.

  1. Bot-Trap-URL aktivieren
  2. Konfigurieren der Bot-Trap-URL im Bot-Profil
  3. Binden Sie die URL zum Einfügen von Bot-Traps an
  4. Konfigurieren Sie die Länge und das Intervall der Bot-Trap-URL in den Bot

Den URL-Schutz für Bot-Trap aktivieren

Bevor Sie beginnen können, müssen Sie sicherstellen, dass der URL-Schutz für die Bot-Trap auf der Appliance aktiviert ist. Geben Sie in der Befehlszeile Folgendes ein:

enable ns feature Bot

Konfigurieren der Bot-Trap-URL im Bot-Profil

Sie können die Bot-Trap-URL konfigurieren und eine Trap-Aktion im Bot-Profil angeben.
Geben Sie in der Befehlszeile Folgendes ein:

add bot profile <name> -trapURL <string> -trap ( ON | OFF ) -trapAction <trapAction>

Hierbei gilt:

  • trapURL — URL, die der Bot-Schutz als Trap-URL verwendet. Maximale Länge: 127

  • trap - Um die Bot-Trap-Erkennung zu aktivieren. Mögliche Werte: ON, OFF. Standardwert: OFF

  • trapAction - Eine Aktion, die auf der Grundlage der Bot-Erkennung ergriffen werden muss. Mögliche Werte: NONE, LOG, DROP, REDIRECT, RESET, MITIGATION. Standardwert: NONE

Beispiel:

add bot profile profile1 -trapURL www.bottrap1.com trap ON -trapAction RESET

Binden Sie die URL zum Einfügen von Bot-Traps an

Sie können die URL zum Einfügen von Bot-Traps konfigurieren und an das Bot-Profil binden. Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <profile_name> trapInsertionURL –url <url> -enabled ON|OFF -comment <comment>

Hierbei gilt:

URL — Das Regex-Muster der Anforderungs-URL, für das die Bot-Trap-URL eingefügt wird. Maximale Länge: 127

Beispiel:

bind bot profile profile1 trapInsertionURL –url www.example.com –enabled ON –comment insert a trap URL randomly

Konfigurieren Sie die Länge und das Intervall der Bot-Trap-URL in den Bot

Sie können die Länge der Bot-Trap-URL konfigurieren und das Intervall festlegen, um die Bot-Trap-URL automatisch zu generieren. Geben Sie in der Befehlszeile Folgendes ein:

set bot settings -trapURLAutoGenerate ( ON | OFF ) –trapURLInterval <positive_integer> -trapURLLength <positive_integer>

Hierbei gilt:

trapURLInterval — Die Zeit in Sekunden, nach der die Bot-Trap-URL aktualisiert wird. Standardwert: 3600, Mindestwert: 300, Maximalwert: 86400

trapURLLength - Länge der automatisch generierten Bot-Trap-URL. Standardwert: 32, Mindestwert: 10, Maximalwert: 255

Beispiel:

set bot settings -trapURLAutoGenerate ON –trapURLInterval 300 -trapURLLength 60

Konfigurieren Sie die Bot-Trap-URL über die GUI

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management > Profile.
  2. Klicken Sie auf der Seite NetScaler Bot Management Profiles auf Bearbeiten, um die Bot-Trap-URL-Technik zu konfigurieren.

  3. Geben Sie auf der Seite NetScaler Bot Management-Profil erstellen im Abschnitt Allgemein die Bot-Trap-URL ein.

    Bot-Trap-Technik im Bot-Verwaltungsprofil

  4. Klicken Sie auf der Seite NetScaler Bot Management-Profil erstellen in den Profileinstellungen auf Bot Trap.

  5. Stellen Sie im Abschnitt Bot-Trap die folgenden Parameter ein.

    a. Aktiviert. Aktivieren Sie das Kontrollkästchen, um die Erkennung von Bot-Traps zu aktivieren. b. Beschreibung. Kurze Beschreibung der URL. c. Konfigurieren Sie Aktionen. Zu ergreifende Maßnahmen für Bot, die durch den Zugriff auf die Bot-Trap erkannt werden.

    Bot-Trap-Technik für die Konfiguration der Bot-Trap

  6. Klicken Sie im Abschnitt Trap-Einfügungs-URLs konfigurieren auf Hinzufügen.

  7. Stellen Sie auf der Seite Configure NetScaler Bot Management Profile Bot Trap Binding die folgenden Parameter ein.

    1. Trap-URL. Geben Sie die zu bestätigende URL als URL zum Einfügen von Bot-Traps ein.
    2. Aktiviert. Aktiviert oder deaktiviert Bot-Trap-Einfüge-URL.
    3. Kommentar. Eine kurze Beschreibung der URL zum Einfügen von Traps.

    Bot-Trap-Technik für Bot-Trap-Bindung

  8. Klicken Sie im Abschnitt Signatureinstellungen auf Bot Trap.

  9. Stellen Sie im Abschnitt Bot Trap die folgenden Parameter ein:

    1. Aktiviert — Wählen Sie diese Option, um die Bot-Trap-Erkennung zu aktivieren.

    2. Stellen Sie im Abschnitt Konfigurieren die folgenden Parameter ein.

      1. Aktion — Aktion, die für einen Bot ergriffen werden muss, der durch den Bot-Trap-Zugriff erkannt wurde.
      2. Protokoll — Aktiviert oder deaktiviert die Protokollierung für die Bot-Trap-Bindung.
  10. Klicken Sie auf Aktualisieren und Fertig.

Konfigurieren von Bot-Trap-URL-Einstellungen

Führen Sie die folgenden Schritte aus, um die URL-Einstellungen für Bot-Trap zu konfigurieren

  1. Navigieren Sie zu Security > NetScaler Bot Management.
  2. Klicken Sie im Detailbereich unter Einstellungen auf NetScaler Bot Management-Einstellungen ändern.

  3. Stellen Sie unter Configure NetScaler Bot Management Settingsdie folgenden Parameter ein.

    1. Trap-URL-Intervall. Zeit in Sekunden, nach der die URL der Bot-Trap aktualisiert wird.
    2. Länge der Trap-URL. Länge der automatisch generierten Bot-Trap-URL.
  4. Klicken Sie auf OK und Fertig.

Bot-Trap-Technik für Bot Trap URL-Einstellungen

Ausdruck der Client-IP-Richtlinie zur Bot-Erkennung

Das NetScaler-Bot-Management ermöglicht es Ihnen jetzt, einen erweiterten Richtlinienausdruck zu konfigurieren, um die Client-IP-Adresse aus einem HTTP-Anforderungsheader, einem HTTP-Anforderungstext, einer HTTP-Anforderungs-URL oder mithilfe eines erweiterten Richtlinienausdrucks zu extrahieren. Der extrahierte Wert kann von einem Bot-Erkennungsmechanismus (wie TPS, Bot-Trap oder Ratenlimit) verwendet werden, um festzustellen, ob es sich bei der eingehenden Anforderung um einen Bot handelt.

Hinweis:

Wenn Sie keinen Client-IP-Ausdruck konfiguriert haben, wird die Standard- oder vorhandene Quellclient-IP-Adresse für die Bot-Erkennung verwendet. Wenn ein Ausdruck konfiguriert ist, liefert das Auswertergebnis die Client-IP-Adresse, die für die Bot-Erkennung verwendet werden kann.

Sie können den Client-IP-Ausdruck konfigurieren und verwenden, um die tatsächliche Client-IP-Adresse zu extrahieren, wenn die eingehende Anforderung über einen Proxy-Server erfolgt und wenn die Client-IP-Adresse im Header vorhanden ist. Durch das Hinzufügen dieser Konfiguration kann die Appliance den Bot-Erkennungsmechanismus verwenden, um Software-Clients und Servern mehr Sicherheit zu bieten.

Konfigurieren Sie den IP-Richtlinienausdruck des Clients im Bot-Profil über die Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

add bot profile <name> [-clientIPExpression <expression>]
<!--NeedCopy-->

Beispiel:

add bot profile profile1 –clientIPExpression 'HTTP.REQ.HEADER("X-Forwarded-For") ALT CLIENT.IP.SRC.TYPECAST_TEXT_T'

add bot profile profile1 –clientIPExpression 'HTTP.REQ.HEADER("X-Forwarded-For") ALT CLIENT.IPv6.SRC.TYPECAST_TEXT_T'

Konfigurieren Sie den Ausdruck der Client-IP-Richtlinie im Bot-Profil über die grafische Benutzeroberfläche

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management > Profile.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Stellen Sie auf der Seite NetScaler Bot Management-Profil erstellen den Client-IP-Ausdruck ein.

  4. Klicken Sie auf Erstellen und Schließen.

    GUI-Konfiguration für Client-IP-Adresse mit Richtlinienausdruck im Bot-Profil

Konfigurieren von CAPTCHA für IP-Reputation und Gerätefingerabdruckerkennung

CAPTCHA ist ein Akronym, das für “Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden” steht. CAPTCHA wurde entwickelt, um zu testen, ob ein eingehender Datenverkehr von einem menschlichen Benutzer oder einem automatisierten Bot stammt. CAPTCHA hilft dabei, automatisierte Bots zu blockieren, die Sicherheitsverletzungen für Webanwendungen verursachen. Im NetScaler verwendet CAPTCHA das Challenge-Response-Modul, um zu identifizieren, ob der eingehende Datenverkehr von einem menschlichen Benutzer und nicht von einem automatisierten Bot stammt.

Konfigurieren statischer Bot-Signaturen

Diese Erkennungstechnik ermöglicht es Ihnen, die Benutzeragent-Informationen aus den Browserdetails zu identifizieren. Basierend auf Benutzeragent-Informationen wird der Bot als schlechter oder guter Bot identifiziert und dann weisen Sie ihm eine Bot-Aktion zu. Folgen Sie den nachstehenden Schritten zur Konfiguration der statischen Signaturtechnik:

  1. Erweitern Sie im Navigationsbereich Sicherheit > NetScaler Bot ManagementSignaturen.
  2. Wählen Sie auf der Seite NetScaler Bot Management Signatures eine Signaturdatei aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der NetScaler Bot Management Signaturseite zum Abschnitt Signatureinstellungen und klicken Sie auf Bot-Signaturen.
  4. Stellen Sie im Abschnitt Bot-Signaturen die folgenden Parameter ein:
    1. Konfigurieren Sie statische Signaturen. Dieser Abschnitt enthält eine Liste der statischen Signaturdatensätze des Bot. Sie können einen Datensatz auswählen und auf Bearbeiten klicken, um ihm eine Bot-Aktion zuzuweisen.
    2. Klicken Sie auf OK.
  5. Klicken Sie auf Signatur aktualisieren.
  6. Klicken Sie auf Fertig.

Statische Unterschrift Bot

Abgrenzung der statischen Unterschrift Bot

NetScaler Bot Management schützt Ihre Webanwendung vor Bots. Statische Bot-Signaturen helfen dabei, gute und schlechte Bots basierend auf Anforderungsparametern wie User-Agent in der eingehenden Anforderung zu identifizieren.
Die Liste der Signaturen in der Datei ist riesig und es werden auch neue Regeln hinzugefügt und abgestandene werden regelmäßig entfernt. Als Administrator möchten Sie möglicherweise nach einer bestimmten Signatur oder einer Liste von Signaturen unter einer Kategorie suchen. Um Signaturen einfach zu filtern, bietet die Bot-Signaturseite eine erweiterte Suchfunktion. Mit der Suchfunktion können Sie Signaturregeln finden und ihre Eigenschaft basierend auf einem oder mehreren Signaturparametern wie Aktion, Signatur-ID, Entwickler und Signaturnamen konfigurieren.

Aktion — Wählen Sie eine Bot-Aktion aus, die Sie lieber für eine bestimmte Kategorie von Signaturregeln konfigurieren möchten. Im Folgenden sind die verfügbaren Aktionstypen aufgeführt:

  • Ausgewählte aktivieren — Aktiviert alle ausgewählten Signaturregeln.
  • Auswahl deaktivieren — Deaktiviert alle ausgewählten Signaturregeln.
  • Auswahl löschen — Wählen Sie die Aktion „Löschen“ für alle ausgewählten Signaturregeln aus.
  • Ausgewählt umleiten — Wendet die Aktion „Umleiten“ auf alle ausgewählten Signaturregeln an.
  • Auswahl zurücksetzen — Wendet die Aktion „Zurücksetzen“ auf alle ausgewählten Signaturregeln an.
  • Ausgewähltes Protokoll — Wendet die Aktion „Protokoll“ auf alle ausgewählten Signaturregeln an.
  • Ausgewählte Option entfernen — Deaktiviert die Drop-Aktion für alle ausgewählten Signaturregeln.
  • Ausgewählte Weiterleitung entfernen — Deaktiviert die Umleitungsaktion für alle ausgewählten Signaturregeln.
  • Ausgewählte Zurücksetzung entfernen — Deaktiviert die Rücksetzaktion für alle ausgewählten Signaturregeln.
  • Ausgewähltes Protokoll entfernen — Deaktiviert die Protokollaktion für alle ausgewählten Signaturregeln.

Kategorie — Wählen Sie eine Kategorie aus, um die Signaturregeln entsprechend zu filtern. Im Folgenden finden Sie eine Liste der Kategorien, die zum Sortieren von Signaturregeln verfügbar sind.

  • Aktion — Sortiert anhand der Bot-Aktion.
  • Kategorie — Sortiert nach Bot-Kategorie.
  • Entwickler — Sortiert nach dem Herausgeber des Hostunternehmens.
  • Aktiviert — Sortiert basierend auf aktivierten Signaturregeln.
  • Id — Sortiert nach der ID der Signaturregel.
  • Protokoll — Sortiert anhand von Signaturregeln, für die die Protokollierung aktiviert ist.
  • Name — Sortiert nach dem Namen der Signaturregel.
  • Typ — Sortiert nach Signaturtyp.
  • Version — Sortiert nach der Version der Signaturregel.

Suche nach Regeln für statische Unterschriften des Bot basierend auf Aktions- und Kategorietypen über die NetScaler-GUI

  1. Navigieren Sie zu Security > NetScaler Bot Management > Signature.
  2. Klicken Sie auf der Detailseite auf Hinzufügen.
  3. Klicken Sie auf der Seite NetScaler Bot Management Signatures im Abschnitt Statische Signatur auf Bearbeiten.
  4. Wählen Sie im Abschnitt Statische Signatur konfigurieren eine Signaturaktion aus der Dropdownliste aus.
  5. Verwenden Sie die Suchfunktion, um eine Kategorie auszuwählen und die Regeln entsprechend zu filtern.
  6. Klicken Sie auf Update.

Suche nach Regeln für statische Unterschriften des Bot basierend auf Aktionen und Kategorietypen

Bearbeiten Sie die Eigenschaft der statischen Signaturregel des Bot über die NetScaler-GUI

  1. Navigieren Sie zu Security > NetScaler Bot Management > Signature.
  2. Klicken Sie auf der Detailseite auf Hinzufügen.
  3. Klicken Sie auf der Seite NetScaler Bot Management Signatures im Abschnitt Statische Signatur auf Bearbeiten.
  4. Wählen Sie im Abschnitt Statische Signatur konfigurieren eine Aktion aus der Dropdownliste aus.
  5. Verwenden Sie die Suchfunktion, um eine Kategorie auszuwählen und die Regeln entsprechend zu filtern.

  6. Wählen Sie aus der Liste der statischen Signaturen eine Signatur aus, um ihre Eigenschaft zu ändern.

    Eigenschaft der statischen Signaturregel-Bot-

  7. Klicken Sie zum Bestätigen auf OK.

Funktionsweise von CAPTCHA in der NetScaler Bot-Verwaltung

In der NetScaler-Bot-Verwaltung wird die CAPTCHA-Validierung als Richtlinienaktion konfiguriert, die ausgeführt wird, nachdem die Bot-Richtlinie ausgewertet wurde. Die CAPTCHA-Aktion ist nur für IP-Reputation und Techniken zur Erkennung von Geräte-Fingerabdrücken verfügbar. Im Folgenden sind die Schritte aufgeführt, um zu verstehen, wie CAPTCHA funktioniert:

  1. Wenn während der IP-Reputation oder der Erkennung von Geräte-Fingerabdruck-Bots eine Sicherheitsverletzung festgestellt wird, sendet die ADC-Appliance eine CAPTCHA-Herausforderung.
  2. Der Client sendet die CAPTCHA-Antwort.
  3. Die Appliance validiert die CAPTCHA-Antwort und wenn das CAPTCHA gültig ist, ist die Anforderung zulässig und wird an den Back-End-Server weitergeleitet.
  4. Wenn die CATCHA-Antwort ungültig ist, sendet die Appliance eine neue CAPTCHA-Herausforderung, bis die maximale Anzahl von Versuchen erreicht ist.
  5. Wenn die CAPTCHA-Antwort auch nach der maximalen Anzahl von Versuchen ungültig ist, löscht die Appliance die Anforderung oder leitet sie an die konfigurierte Fehler-URL um.
  6. Wenn Sie die Protokollaktion konfiguriert haben, speichert die Appliance die Anforderungsdetails in der Datei ns.log.

Konfigurieren Sie die CAPTCHA-Einstellungen über die NetScaler-GUI

Die CAPTCHA-Aktion für das Bot-Management wird nur für IP-Reputation und Techniken zur Erkennung von Geräte-Fingerabdrücken unterstützt. Führen Sie die folgenden Schritte aus, um die CAPTCHA-Einstellungen zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles ein Profil aus und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der Seite mit dem NetScaler Bot Management-Profil zum Abschnitt Signatureinstellungen und klicken Sie auf CAPTCHA.
  4. Klicken Sie im Abschnitt CAPTCHA-Einstellungen auf Hinzufügen, um CAPTCHA-Einstellungen für das Profil zu konfigurieren :
  5. Stellen Sie auf der Seite Configure NetScaler Bot Management CAPTCHA die folgenden Parameter ein.

    1. URL. Bot-URL, für die die CAPTCHA-Aktion während der IP-Reputation und der Erkennung von Geräte-Fingerabdrücken angewendet wird.

    2. Aktiviert. Stellen Sie diese Option ein, um die CAPTCHA-Unterstützung zu aktivieren.
    3. Gnade Zeit. Dauer bis zu dem keine neue CAPTCHA-Herausforderung gesendet wird, nachdem die aktuell gültige CAPTCHA-Antwort empfangen wurde.
    4. Warte mal. Dauer, die die ADC-Appliance braucht, um zu warten, bis der Client die CAPTCHA-Antwort sendet.
    5. Stummschaltung. Dauer, für die der Client, der eine falsche CAPTCHA-Antwort gesendet hat, warten muss, bis er es als nächstes versuchen darf. Während dieser Stummschaltung lässt die ADC-Appliance keine Anfragen zu. Reichweite: 60-900 Sekunden, Empfohlen: 300 Sekunden
    6. Längenbegrenzung anfordern. Länge der Anfrage, für die die CAPTCHA-Herausforderung an den Kunden gesendet wird. Wenn die Länge größer als der Schwellenwert ist, wird die Anforderung gelöscht. Der Standardwert beträgt 10—3000 Byte.
    7. Versuche erneut versuchen. Anzahl der Versuche, die der Client erneut versuchen darf, die CAPTCHA-Herausforderung zu lösen. Reichweite: 1—10, Empfohlen: 5.
    8. Es müssen keine Aktions-/Drop-/Umleitungsmaßnahmen ergriffen werden, wenn der Client die CAPTCHA-Validierung nicht besteht.
    9. Protokoll. Stellen Sie diese Option ein, um Anforderungsinformationen vom Client zu speichern, wenn die Antwort CAPTCHA fehlschlägt. Die Daten werden in einer ns.log-Datei gespeichert.
    10. Kommentar. Eine kurze Beschreibung der CAPTCHA-Konfiguration.

  6. Klicken Sie auf OK und Fertig.

    Bot-Captcha-GUI-Konfiguration

  7. Navigieren Sie zu Sicherheit > NetScaler Bot ManagementSignaturen.
  8. Wählen Sie auf der Seite NetScaler Bot Management Signatures eine Signaturdatei aus und klicken Sie auf Bearbeiten.
  9. Gehen Sie auf der NetScaler Bot Management Signaturseite zum Abschnitt Signatureinstellungen und klicken Sie auf Bot-Signaturen.

  10. Stellen Sie im Abschnitt Bot-Signaturen die folgenden Parameter ein:

  11. Konfigurieren Sie statische Signaturen. Wählen Sie einen statischen Bot-Signatureintrag aus und klicken Sie auf Bearbeiten, um ihm eine Bot-Aktion zuzuweisen.
  12. Klicken Sie auf OK.
  13. Klicken Sie auf Signatur aktualisieren.
  14. Klicken Sie auf Fertig.

Statische Bot-Signatur

Automatisches Update für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Lookup-Tabelle mit einer Liste guter Bots und schlechter Bots. Die Bots werden basierend auf Benutzer-Agent-Zeichenfolgen und Domain-Namen kategorisiert. Wenn die Benutzer-Agent-Zeichenfolge und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Bot-Signatur-Updates werden in der AWS-Cloud gehostet, und die Signatur-Lookup-Tabelle kommuniziert mit der AWS-Datenbank für Signaturaktualisierungen. Der Update-Scheduler für automatische Signaturen wird alle 1 Stunde ausgeführt, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der NetScaler-Appliance zu aktualisieren.

Die zu konfigurierende Signatur-Auto-Update-URL lautet: https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json

Hinweis:

Sie können auch einen Proxyserver konfigurieren und Signaturen regelmäßig von der AWS-Cloud über den Proxy auf die Appliance aktualisieren. Für die Proxy-Konfiguration müssen Sie die Proxy-IP-Adresse und die Portadresse in den Bot-Einstellungen festlegen.

Wie das automatische Update der Bot-Signatur funktioniert

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS-Cloud abgerufen, auf NetScaler aktualisiert und auf NetScaler ADM für eine Zusammenfassung der Signaturaktualisierung angezeigt werden.

Bot Signatur Auto Update

Der Bot-Signatur-Auto-Update-Scheduler tut Folgendes:

  1. Ruft die Zuordnungsdatei von der AWS-URI ab.
  2. Überprüft die neuesten Signaturen in der Mapping-Datei mit den vorhandenen Signaturen in der ADC-Appliance.
  3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.
  4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.
  5. Generiert eine SNMP-Warnung und sendet die Signaturaktualisierungszusammenfassung an NetScaler ADM.

Konfigurieren Sie das automatische Update der Bot

Führen Sie die folgenden Schritte aus, um das automatische Update der Bot-Signatur zu konfigurieren:

Automatisches Update der Bot-Signatur aktivieren

Sie müssen die Option für die automatische Aktualisierung in den Bot-Einstellungen der ADC-Appliance aktivieren. Geben Sie in der Befehlszeile Folgendes ein:

set bot settings –signatureAutoUpdate ON

Konfigurieren von Proxyservereinstellungen (optional)

Wenn Sie über einen Proxyserver auf die AWS-Signaturdatenbank zugreifen, müssen Sie den Proxyserver und den Port konfigurieren. set bot settings –proxyserver –proxyport

Beispiel:

set bot settings –proxy server 1.1.1.1 –proxyport 1356

Konfigurieren Sie das automatische Update der Bot-Signatur über die NetScaler-GUI

Führen Sie die folgenden Schritte aus, um das automatische Update für die Bot-Signatur

  1. Navigieren Sie zu Security > NetScaler Bot Management.
  2. Klicken Sie im Detailbereich unter Einstellungen auf NetScaler Bot Management-Einstellungen ändern.

  3. Aktivieren Sie im Feld NetScaler Bot Management-Einstellungen konfigurierendas Kontrollkästchen Signatur automatisch aktualisieren.

    Bot Auto Update Signatureinstellung

  4. Klicken Sie auf OK und auf Schließen.

Erstellen Sie Bot-Management-Profil

Ein Bot-Profil ist eine Sammlung von Bot-Management-Einstellungen, die zur Erkennung des Bot-Typs verwendet werden. In einem Profil legen Sie fest, wie die Web App Firewall jeden ihrer Filter (oder Schecks) auf den Bot-Traffic auf Ihre Sites und Antworten von diesen anwendet.

Führen Sie die folgenden Schritte aus, um das Bot-Profil zu konfigurieren:

  1. Navigieren Sie zu Security > NetScaler Bot Management > Profile.
  2. Klicken Sie im Detailbereich auf Hinzufügen.

  3. Stellen Sie auf der Seite NetScaler Bot Management Profile erstellen die folgenden Parameter ein.

    1. Name. Name des Bot-Profils.
    2. Unterschrift. Name der Bot-Signaturdatei.
    3. Fehler-URL. URL für Weiterleitungen.
    4. Kommentar. Kurzbeschreibung des Profils.
  4. Klicken Sie auf Erstellen und Schließen.

Konfigurieren des Bot-Management-

Erstellen Sie Bot-Richtlinie

Die Bot-Richtlinie steuert den Datenverkehr, der zum Bot-Verwaltungssystem fließt, und steuert auch die Bot-Protokolle, die an den Auditlog-Server gesendet werden. Folgen Sie dem Verfahren, um die Bot-Richtlinie zu konfigurieren.

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management > Bot-Richtlinien.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Stellen Sie auf der Seite Create NetScaler Bot Management Policy die folgenden Parameter ein.
    1. Name. Name der Bot-Richtlinie.
    2. Ausdruck. Geben Sie den Richtlinienausdruck oder die Regel direkt in den Textbereich ein.
    3. Bot-Profil. Bot-Profil zur Anwendung der Bot-Richtlinie.
    4. Undefinierte Aktion. Wählen Sie eine Aktion aus, die Sie lieber zuweisen möchten.
    5. Kommentar. Kurze Beschreibung der Richtlinie.
    6. Aktion protokollieren. Aktion der Überwachungsprotokollnachricht zum Protokollieren des Bot-Traffics. Weitere Informationen zur Aktion des Überwachungsprotokolls finden Sie unter Thema Audit-Protokollierung.
  4. Klicken Sie auf Erstellen und Schließen.

Konfigurieren des Bot-Management-

Bot-Transaktionen pro Sekunde (TPS)

Die Bot-Technik “Transaktionen pro Sekunde” (TPS) erkennt eingehenden Traffic als Bot, wenn die Anzahl der Anfragen pro Sekunde (RPS) und der prozentuale Anstieg des RPS den konfigurierten Schwellenwert überschreiten. Die Erkennungstechnik schützt Ihre Webanwendungen vor automatisierten Bots, die Web-Scraping-Aktivitäten, Brute-Forcing-Login und andere böswillige Angriffe verursachen können.

Hinweis:

Die Bot-Technik erkennt einen eingehenden Traffic nur als Bot, wenn beide Parameter konfiguriert sind und wenn beide Werte über das Schwellenwertlimit hinaus steigen. Betrachten wir ein Szenario, in dem die Appliance viele Anfragen von einer bestimmten URL erhält und Sie möchten, dass das NetScaler-Bot-Management erkennt, ob es einen Bot-Angriff gibt. Die TPS-Erkennungstechnik untersucht die Anzahl der Anfragen (konfigurierter Wert), die innerhalb von 1 Sekunde von der URL kommen, und den prozentualen Anstieg (konfigurierter Wert) der Anzahl der Anfragen, die innerhalb von 30 Minuten empfangen wurden. Wenn die Werte das Schwellenwertlimit überschreiten, wird der Verkehr als Bot betrachtet und die Appliance führt die konfigurierte Aktion aus.

Konfigurieren von Bot-Transaktionen pro Sekunde (TPS) -Technik

Um TPS zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Aktivieren Sie Bot TPS
  2. Binden Sie TPS-Einstellungen an das Bot-Verwaltungsprofil

Binden Sie TPS-Einstellungen an das Bot-Verwaltungsprofil

Sobald Sie die Bot-TPS-Funktion aktiviert haben, müssen Sie die TPS-Einstellungen an das Bot-Verwaltungsprofil binden.

Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])

Beispiel:

bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log

Aktivieren Sie die Bot-Transaktion pro Sekunde (TPS)

Bevor Sie beginnen können, müssen Sie sicherstellen, dass die Bot TPS-Funktion auf der Appliance aktiviert ist. Geben Sie in der Befehlszeile Folgendes ein:

set bot profile profile1 –enableTPS ON

Konfigurieren Sie Bot-Transaktionen pro Sekunde (TPS) über die NetScaler-GUI

Führen Sie die folgenden Schritte aus, um Bot-Transaktionen pro Sekunde zu konfigurieren:

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management > Profile.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles ein Profil aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite NetScaler Bot Management-Profil erstellen im Abschnitt Signatureinstellungen auf TPS.

  4. Aktivieren Sie im Abschnitt TPS die Funktion und klicken Sie auf Hinzufügen.

    Bot-Management-Transaktionen pro zweiten Abschnitt

  5. Legen Sie auf der Seite TPS-Bindung des NetScaler bot-Verwaltungsprofils konfigurieren die folgenden Parameter fest.

    1. Typ. Durch die Erkennungstechnik erlaubte Eingabetypen. Mögliche Werte: SOURCE IP, GEOLOCATION, HOST, URL.

      SOURCE_IP — TPS basierend auf der IP-Adresse des Clients.

      GEOLOCATION — TPS basierend auf dem geografischen Standort des Kunden.

      HOST - TPS basierend auf Clientanforderungen, die an eine bestimmte Back-End-Server-IP-Adresse weitergeleitet werden.

      URL — TPS basierend auf Clientanforderungen, die von einer bestimmten URL stammen.

    2. Fester Schwellenwert. Maximale Anzahl von Anfragen, die von einem TPS-Eingabetyp innerhalb eines Zeitintervalls von 1 Sekunde zulässig sind.

    3. Prozentualer Schwellenwert. Maximaler prozentualer Anstieg der Anfragen von einem TPS-Eingabetyp innerhalb eines 30-Minuten-Zeitintervalls

    4. Aktion. Zu ergreifende Maßnahmen für Bot, der durch TPS-Bindung erkannt wird.

    5. Protokoll. Aktivieren oder deaktivieren Sie die Protokollierung für TPS-Bindung.

    6. Nachricht protokollieren. Meldung zum Log für Bot, die durch TPS-Bindung erkannt wurde. Maximale Länge: 255

    7. Kommentare. Eine kurze Beschreibung der TPS-Konfiguration. Maximale Länge: 255

  6. Klicken Sie auf OK und dann auf Schließen.

Bot-Management-Transaktionen pro zweiten Abschnitt

Bot-Erkennung basierend auf Maus- und Tastaturdynamik

Um Bots zu erkennen und Anomalien des Web-Scrapings zu mildern, verwendet das NetScaler Bot Management eine erweiterte Bot-Erkennungstechnik, die auf dem Verhalten von Maus und Tastatur basiert. Im Gegensatz zu herkömmlichen Bot-Techniken, die eine direkte menschliche Interaktion erfordern (z. B. die CAPTCHA-Validierung), überwacht die erweiterte Technik passiv die Maus und die Tastaturdynamik. Die NetScaler-Appliance sammelt dann die Benutzerdaten in Echtzeit und analysiert das Verhalten zwischen einem Menschen und einem Bot.

Die passive Bot-Erkennung mit Maus- und Tastaturdynamik hat gegenüber bestehenden Bot-Erkennungsmechanismen folgende Vorteile:

  • Bietet eine kontinuierliche Überwachung während der gesamten Benutzersitzung und eliminiert einen einzelnen Checkpoint.
  • Erfordert keine menschliche Interaktion und ist für Benutzer transparent.

So funktioniert die Bot-Erkennung mit Maus- und Tastaturdynamik

Die Bot-Erkennungstechnik mit Tastatur- und Mausdynamik besteht aus zwei Komponenten, einem Webseitenlogger und einem Bot-Detektor. Der Webseitenlogger ist ein JavaScript, das Tastatur- und Mausbewegungen aufzeichnet, wenn ein Benutzer eine Aufgabe auf der Webseite ausführt (z. B. ein Registrierungsformular ausfüllt). Der Logger sendet die Daten dann stapelweise an die NetScaler-Appliance. Die Appliance speichert die Daten dann als KM-Datensatz und sendet sie an den Bot-Detektor auf dem NetScaler ADM-Server, der analysiert, ob der Benutzer ein Mensch oder Bot ist.

Die folgenden Schritte erklären, wie die Komponenten miteinander interagieren:

  1. Der NetScaler-Administrator konfiguriert den Richtlinienausdruck über das ADM StyleBook, CLI oder NITRO oder eine andere Methode.
  2. Die URL wird im Bot-Profil festgelegt, wenn der Administrator die Funktion auf der Appliance aktiviert.
  3. Wenn ein Client eine Anforderung sendet, verfolgt die NetScaler-Appliance die Sitzung und alle Anforderungen in der Sitzung.
  4. Die Appliance fügt ein JavaScript (Webseitenlogger) in die Antwort ein, wenn die Anforderung mit dem konfigurierten Ausdruck im Bot-Profil übereinstimmt.
  5. Das JavaScript sammelt dann die gesamte Tastatur- und Mausaktivität und sendet die KM-Daten in einer POST-URL (transient).
  6. Die NetScaler-Appliance speichert die Daten und sendet sie am Ende der Sitzung an den NetScaler ADM-Server. Sobald die Appliance die vollständigen Daten einer POST-Anforderung erhalten hat, werden die Daten an den ADM-Server gesendet.
  7. Der NetScaler ADM-Dienst analysiert die Daten und basierend auf der Analyse ist das Ergebnis auf der GUI des NetScaler ADM Service ADM-Dienstes verfügbar.

Der JavaScript-Logger zeichnet die folgenden Maus- und Tastaturbewegungen auf:

  • Tastaturereignisse — alle Ereignisse
  • Mausereignisse - Maus bewegen, Maus hoch, Maus runter
  • Ereignisse in der Zwischenablage - einfügen
  • Benutzerdefinierte Ereignisse - autofill, autofillcancel
  • Zeitstempel jedes Ereignisses

Konfigurieren der Bot-Erkennung mit Maus- und Tastatur

Die NetScaler Bot-Verwaltungskonfiguration umfasst das Aktivieren oder Deaktivieren der Tastatur- und mausbasierten Erkennungsfunktion und konfiguriert die JavaScript-URL im Bot-Profil. Führen Sie die folgenden Schritte aus, um die Bot-Erkennung mit Maus- und Tastaturdynamik zu konfigurieren

  1. Tastatur- und mausbasierte Erkennung aktivieren
  2. Konfigurieren Sie den Ausdruck, um zu entscheiden, wann das JavaScript in die HTTP-Antwort injiziert werden kann

Tastaturmausbasierte Bot-Erkennung aktivieren

Bevor Sie mit der Konfiguration beginnen, stellen Sie sicher, dass Sie die Tastatur- und mausbasierte Bot-Erkennungsfunktion auf der Appliance aktiviert haben.

Geben Sie in der Befehlszeile Folgendes ein:

add bot profile <name> -KMDetection ( ON | OFF )
<!--NeedCopy-->

Beispiel:

add bot profile profile1 –KMDetection ON

Bot-Ausdruck für das Einfügen von JavaScript konfigurieren

Konfigurieren Sie Bot-Ausdruck, um den Datenverkehr auszuwerten und JavaScript einzufügen. Das JavaScript wird nur eingefügt, wenn der Ausdruck als wahr ausgewertet wird.

Geben Sie in der Befehlszeile Folgendes ein:

bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
<!--NeedCopy-->

Beispiel:

bind bot profile profile1 -KMDetectionExpr -name test -expression http.req.url.startswith("/testsite") -enabled ON

Konfigurieren Sie den in der HTTP-Antwort eingefügten JavaScript-Dateinamen für die tastaturmausbasierte

Um die Benutzeraktionsdetails zu erfassen, sendet die Appliance einen JavaScript-Dateinamen in der HTTP-Antwort. Die JavaScript-Datei sammelt alle Daten in einem KM-Datensatz und sendet sie an die Appliance.

Geben Sie in der Befehlszeile Folgendes ein:

set bot profile profile1 – KMJavaScriptName <string>
<!--NeedCopy-->

Beispiel:

set bot profile profile1 –KMJavaScriptName script1

Verhaltensgröße der Biometrie konfigurieren

Sie können die maximale Größe von Maus- und Tastaturverhaltensdaten konfigurieren, die als KM-Datensatz an die Appliance gesendet und vom ADM-Server verarbeitet werden können.

Geben Sie in der Befehlszeile Folgendes ein:

set bot profile profile1 -KMEventsPostBodyLimit <positive_integer>
<!--NeedCopy-->

Beispiel:

set bot profile profile1 – KMEventsPostBodyLimit 25

Nachdem Sie die NetScaler-Appliance so konfiguriert haben, dass JavaScript konfiguriert und Biometrie für das Verhalten von Tastatur und Maus erfasst werden, sendet die Appliance die Daten an den NetScaler ADM-Server. Weitere Informationen darüber, wie der NetScaler ADM-Server Bots aus der Verhaltensbiometrie erkennt, finden Sie unter Bot-Verstöße.

Konfigurieren von Tastatur- und Maus-Bot-Ausdruckseinstellungen über die GUI

  1. Navigieren Sie zu Sicherheit > NetScaler Bot Management and Profiles.
  2. Wählen Sie auf der Seite NetScaler Bot Management Profiles ein Profil aus und klicken Sie auf Bearbeiten.
  3. Stellen Sie im Abschnitt Tastatur- und mausbasierte Bot-Erkennung die folgenden Parameter ein:
    1. Aktivieren Sie die Erkennung. Aktivieren Sie das Kontrollkästchen, um das Bot-basierte Verhalten der Tastatur- und Mausdynamik zu erkennen.
    2. Grenzwert für das Ereignis nach dem Hauptteil Größe der Tastatur- und Mausdynamikdaten, die vom Browser gesendet werden, um von der NetScaler-Appliance verarbeitet zu werden.

  4. Klicken Sie auf OK.

    Konfigurieren der Einstellungen für Tastatur und Maus-Bot

  5. Gehen Sie auf der Seite NetScaler bot Management Profile zum Abschnitt Profileinstellungen und klicken Sie auf Tastatur- und mausbasierte Bot-Ausdruckseinstellungen.
  6. Klicken Sie im Abschnitt Einstellungen für Tastatur und Maus auf Bot Expression Settings auf Hinzufügen.
  7. Legen Sie auf der Seite Configure NetScaler bot Management Profile Bot Keyboard and Mouse Expression Binding die folgenden Parameter fest:
    1. Name des Ausdrucks. Name des Bot-Richtlinienausdrucks zur Erkennung von Tastatur- und Mausdynamik.
    2. Ausdruck. Ausdruck der Bot-Richtlinie.
    3. Aktiviert. Aktivieren Sie das Kontrollkästchen, um die Tastatur- und Bot-Tastatur- und Mausdruck-Bindung zu aktivieren.
    4. Kommentare. Eine kurze Beschreibung des Bot-Richtlinienausdrucks und seiner Bindung an das Bot-Profil.
    5. Klicken Sie auf OK und auf Schließen.

  8. Klicken Sie im Abschnitt Einstellungen für Tastatur- und mausbasierte Bot-Ausdrücke auf Aktualisieren.

    Abschnitt Einstellungen für Tastatur- und mausbasierte Bot-Ausdrücke

Umkehrende Protokollierung für Bot-Verkehr

Wenn eine eingehende Anfrage als Bot identifiziert wird, protokolliert die NetScaler-Appliance weitere HTTP-Header-Details zur Überwachung und Fehlerbehebung. Die ausführliche Protokollierungsfunktion des Bots ähnelt der ausführlichen Protokollierung im Web App Firewall-Modul.

Betrachten Sie einen eingehenden Verkehr von einem Kunden. Wenn der Client als Bot identifiziert wird, verwendet die NetScaler-Appliance die ausführliche Protokollierungsfunktion, um vollständige HTTP-Header-Informationen wie Domänenadresse, URL, Benutzer-Agent-Header, Cookie-Header) zu protokollieren. Die Protokolldetails werden dann an den ADM-Server gesendet, um den Zweck zu überwachen und zu beheben. Die ausführliche Protokollnachricht wird nicht in der Datei “ns.log” gespeichert.

Konfigurieren Sie die ausführliche Bot-Protokollierung über die CLI

Um detaillierte HTTP-Header-Informationen als Protokolle zu erfassen, können Sie den ausführlichen Protokollierungsparameter im Bot-Profil konfigurieren. Geben Sie in der Befehlszeile Folgendes ein:

set bot profile <name> [-verboseLogLevel ( NONE | HTTP_FULL_HEADER ) ]
<!--NeedCopy-->

Beispiel:

set bot profile p1 –verboseLogLevel HTTP_FULL_HEADER

Konfigurieren Sie die ausführliche Bot-Protokollierung über die NetScaler-GUI

Gehen Sie wie folgt vor, um das ausführliche Log Level im Bot-Profil zu konfigurieren.

  1. Navigieren Sie im Navigationsbereich zu Security > NetScaler Bot Management.
  2. Klicken Sie auf der Seite NetScaler Bot Management Profiles auf Hinzufügen.
  3. Wählen Sie auf der Seite NetScaler Bot Management-Profil erstellen die Option Ausführliches Log-Level als HTTP Full Header aus.

  4. Klicken Sie auf OK und Fertig.

    Umkehrende Protokollierung für Bot-Verkehr

Eine Aktion für gefälschte Bot-Anfragen konfigurieren

Ein Angreifer könnte versuchen, sich als guter Bot auszugeben und Anfragen an Ihren Anwendungsserver zu senden. Solche Bots werden anhand der Bot-Signatur als Spoofed-Bots identifiziert. Konfigurieren Sie die folgenden Aktionen gegen gefälschte Bots, um Ihren Anwendungsserver zu schützen:

  • DROP
  • NONE
  • REDIRECT
  • RESET

Konfigurieren Sie eine Aktion für gefälschte Bot-Anfragen über die CLI

Führen Sie den folgenden Befehl aus, um eine Aktion für gefälschte Bot-Anfragen zu konfigurieren:

set bot profile <bot-profile-name> -spoofedReqAction <action> LOG
<!--NeedCopy-->

Beispiel:

set bot profile bot_profile -spoofedReqAction DROP LOG
<!--NeedCopy-->

In diesem Beispiel werden die Anfragen von gefälschten Bots verworfen und in einer NetScaler-Appliance protokolliert.

Tipp

Um Ereignisse von gefälschten Bots zu protokollieren, geben Sie LOG im Befehl an.

Konfigurieren Sie eine Aktion für gefälschte Bot-Anfragen über die GUI

Folgen Sie den Schritten, um eine Aktion für die gefälschten Bot-Anfragen zu konfigurieren:

  1. Navigieren Sie zu Security > NetScaler Bot Management.

  2. Klicken Sie auf der Seite NetScaler Bot Management Profiles auf Hinzufügen.

  3. Wählen Sie eine Aktion aus der Liste der gefälschten Anforderungsaktionen aus.

  4. Wählen Sie Spoofed-Anfrage protokollierenaus.

    Diese Aktion protokolliert die Ereignisse von gefälschten Bots.

    Aktion gegen gefälschte Bots

  5. Klicken Sie auf Erstellen.

Vom NetScaler bot Management gelöschte Header anfordern

Viele der Anforderungsheader im Zusammenhang mit dem Caching werden gelöscht, um jede Anforderung im Kontext einer Sitzung anzuzeigen. Wenn die Anforderung einen Codierungs-Header enthält, der es dem Webserver ermöglicht, komprimierte Antworten zu senden, löscht das Bot-Management diesen Header, sodass der Inhalt der unkomprimierten Serverantwort von der Bot-Verwaltung überprüft wird, um die JavaScripts einzufügen.

Die Bot-Verwaltung löscht die folgenden Request-Header:

Reichweite. Wird zur Wiederherstellung nach einer fehlgeschlagenen oder teilweisen Dateiübertragung verwendet.

Wenn-Bereich. Ermöglicht einem Client, ein Teilobjekt abzurufen, wenn es bereits einen Teil dieses Objekts in seinem Cache enthält (bedingtes GET).

Wenn-Modifiziert-seit. Wenn das angeforderte Objekt seit der in diesem Feld angegebenen Zeit nicht geändert wurde, wird keine Entität vom Server zurückgegeben. Sie erhalten einen nicht modifizierten HTTP-304-Fehler.

Wenn-keines Spiel. Ermöglicht effiziente Aktualisierungen von zwischengespeicherten Informationen mit minimalem Overhead.

Kodierung akzeptieren. Welche Kodierungsmethoden sind für ein bestimmtes Objekt zulässig, z. B. gzip.

Bot-Erkennung
August 4, 2023
Beitrag von: 
C
August 4, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.