Empfehlungen der WAF
Das Profil der NetScaler Web App Firewall (WAF) und WAF-Signaturen schützen Ihre Webanwendungen vor böswilligen Angriffen. WAF-Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz Ihrer Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das Bestandteil eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Um Ihre Anwendung mithilfe von Signaturen zu schützen, müssen Sie die Regeln überprüfen, aktivieren und konfigurieren, die Sie anwenden möchten.
Um Datenschutzverletzungen zu verhindern und den richtigen Sicherheitsschutz in der Anwendung zu gewährleisten, müssen Sie ebenfalls ein WAF-Profil mit Sicherheitsüberprüfungen erstellen. Wenn Sie ein WAF-Profil in der NetScaler-Instanz erstellen, kann der Datenverkehr:
-
Lassen Sie sich mit den genannten Sicherheitsüberprüfungen generieren
-
Wird nicht mit den genannten Sicherheitsüberprüfungen generiert
Die Instanz empfängt möglicherweise andere Angriffe, aber Sie haben diese Sicherheitsüberprüfung möglicherweise nicht in den WAF-Profilen aktiviert.
Als Administrator müssen Sie verstehen, um die richtigen Signaturen zu aktivieren und die richtigen WAF-Profile zum Schutz der Webanwendung zu erstellen. Das Identifizieren der richtigen Signaturen und der WAF-Profile kann in einigen Szenarien eine schwierige Aufgabe sein.
Die WAF-Empfehlung von NetScaler Console scannt die Anwendung auf Sicherheitslücken und generiert die folgenden Empfehlungen:
-
WAF-Profil
-
WAF Signatur
Weitere Informationen finden Sie unter WAF-Profil und WAF-Signaturen.
Die WAF-Empfehlungsdatenbank wird regelmäßig aktualisiert, um neue Schwachstellen aufzunehmen. Sie können scannen und dann auswählen, um die erforderlichen Empfehlungen zu aktivieren. Sie können alle Signaturen und Sicherheitsprüfungen aktivieren, dies kann jedoch zu Fehlalarmen führen und die Leistung der NetScaler-Instanz beeinträchtigen. Daher wird empfohlen, nur die erforderlichen Sicherheitsüberprüfungen und Signaturen auszuwählen. Die WAF-Empfehlungs-Engine erkennt auch automatisch, welche Signaturen und Sicherheitsüberprüfungen für die Anwendung aktiviert werden müssen.
Hinweis
Die NetScaler-Instanz muss 13.0 41.28 oder höher (für Sicherheitsüberprüfungen) und 13.0 oder höher (für Signaturen) sein.
Voraussetzungen
Die Anwendungen:
-
Muss die Premium-Lizenz haben.
-
Muss der virtuelle Lastausgleichsserver sein.
Konfigurieren der WAF-Scaneinstellungen
Navigieren Sie in der NetScaler Console zu Sicherheit > WAF-Empfehlung und klicken Sie unter Anwendungen auf Scan starten , um die WAF-Scaneinstellungen für eine Anwendung zu konfigurieren.
Auf der Seite WAF-Empfehlungen:
-
Domänenname — Geben Sie den öffentlich zugänglichen/öffentlich erreichbaren Domänennamen an, der mit dem Anwendungs-VIP verknüpft ist. Beispiel:
www.example.com
.Hinweis
Start-URL, Anmelde-URL und Abmelde-URL müssen mit der angegebenen Domäne übereinstimmen.
-
Datenverkehr und Start-URL — Geben Sie die URL-Details der Anwendung (Server) an.
-
HTTP-/HTTPS-Protokoll — Wählen Sie das Protokoll der Anwendung aus.
-
Traffic Timeout — Die Wartezeit (in Sekunden) für eine einzelne Anfrage während des Scans. Der Wert muss größer als 0 sein.
-
Start-URL — Die Startseite der Anwendung, um den Scan zu starten. Beispiel:
https://www.example.com/home
. Die URL muss eine gültige IPv4-Adresse sein. Wenn die IP-Adressen privat sind, müssen Sie sicherstellen, dass auf die private IP-Adresse von der NetScaler Console-Verwaltungs-IP aus zugegriffen werden kann.
-
-
Anmelde-URLs — Geben Sie die Anmeldeinformationen und ggf. URLs für den Zugriff auf die Anwendung an.
-
Anmelde-URL — Die URL, an die die Anmeldedaten zur Authentifizierung gesendet werden. In HTML wird diese URL allgemein als Aktions-URL bezeichnet.
-
Authentifizierungsmethode — Wählen Sie die unterstützte Authentifizierungsmethode (formularbasiert oder kopfbasiert) für Ihre Anwendung aus.
-
Für die formularbasierte Authentifizierung muss ein Formular mit den Anmeldeinformationen an die Anmelde-URL gesendet werden. Diese Anmeldeinformationen müssen in Form von Formularfeldern und ihren Werten vorliegen. Die Anwendung teilt dann das Sitzungscookie, das zur Aufrechterhaltung der Sitzungen während des Scans verwendet wird.
-
Die Header-basierte Authentifizierung erfordert den Authentication-Header und seinen Wert im Header-Abschnitt. Der Authentifizierungsheader muss einen gültigen Wert haben und wird verwendet, um Sitzungen während des Scans aufrechtzuerhalten. Die Formularfelder sollten für Header-basierte Felder leer gelassen werden.
-
-
Anforderungsmethode — Wählen Sie die HTTP-Methode, die beim Senden von Formulardaten an die Anmelde-URL Die zulässigen Anforderungsmethoden sind POST, GETund PUT.
-
Formularfelder — Geben Sie die Formulardaten an, die an die Anmelde-URL gesendet werden sollen Formularfelder sind nur erforderlich, wenn Sie die formularbasierte Authentifizierung auswählen. Sie müssen in den Schlüssel-Wert-Paaren angeben, wobei Feldname der Schlüssel und Feldwert der Wert ist. Stellen Sie sicher, dass alle Formularfelder, die für die Anmeldung erforderlich sind, korrekt hinzugefügt wurden, einschließlich Kennwörter. Die Werte werden verschlüsselt, bevor sie in der Datenbank gespeichert werden. Sie können auf die Schaltfläche Hinzufügen klicken, um mehrere Formularfelder hinzuzufügen. Zum Beispiel Feldname — Benutzername und Feldwert — admin.
-
HTTP-Header — Die HTTP-Header sind möglicherweise erforderlich, damit die Anmeldung erfolgreich ist. Sie müssen in den Schlüssel-Wert-Paaren angeben, wobei Header-Name der Schlüssel und Header-Wert der Wert ist. Sie können auf die Schaltfläche Hinzufügen klicken, um mehrere HTTP-Header hinzuzufügen. Einer der am häufigsten benötigten HTTP-Header ist der Content-Type-Header.
-
-
Abmelde-URLs — Geben Sie die URL an, die die Sitzung nach dem Zugriff beendet. Beispiel:
https://www.example.com/customer/logout
. -
Sicherheitsanfälligkeit — Wählen Sie die Sicherheitslücken aus, die der Scanner erkennen soll. Derzeit wird dies für Verstöße gegen SQL Injection und Cross-Site-Skripting durchgeführt. Standardmäßig sind alle Verstöße ausgewählt. Nach Auswahl der Schwachstellen werden diese Angriffe auf die Anwendung simuliert, um die potenzielle Sicherheitsanfälligkeit zu melden. Es wird empfohlen, diese Erkennung zu aktivieren, die sich nicht in der Produktionsumgebung befindet. Alle anderen Sicherheitslücken werden ebenfalls gemeldet, ohne diese Angriffe auf die Anwendung zu simulieren.
-
Zusätzliche Einstellungen
-
Parallelität von Anfragen — Die Gesamtzahl der parallel an die Webanwendung gesendeten Anforderungen.
-
Scantiefe - Die Tiefe der Webanwendung, bis zu der der Scan fortgesetzt werden muss. Bei einer Scantiefe von Wert 2 werden beispielsweise die Start-URL und alle in dieser URL gefundenen Links gescannt. Sie müssen einen Wert größer oder gleich 1 angeben.
-
Größenbeschränkung der Antwort — Die maximale Grenze für die Antwortgröße. Antworten, die über den genannten Wert hinausgehen, werden nicht gescannt. Der empfohlene Grenzwert liegt bei 3 MB (300000 Byte).
-
Die Konfiguration der WAF-Scaneinstellungen ist abgeschlossen. Sie können auf Scannen klicken, um den Scanvorgang zu starten, oder Sie können auf Für später speichern klicken, um die Konfigurationen zu speichern und später zu scannen.
Empfehlungsprozess für WAF-Scans
Wenn Sie den Scan starten, führt das WAF-Empfehlungsmodul folgende Schritte aus:
-
Scannt die bereitgestellte Webanwendung über die angegebene URL.
-
Untersucht die Webanwendung, um die von der Webanwendung verwendeten Technologien zu ermitteln.
-
Simuliert Sicherheitsangriffe auf die Webanwendung, um potenzielle Schwachstellen zu erkennen.
-
Empfiehlt Signaturen basierend auf den erkannten Webtechnologien.
-
Empfiehlt Sicherheitsüberprüfungen basierend auf gefundenen Schwachstellen und der Analyse des Datenverkehrs.
-
Analysiert die Antworten der Webanwendung, um detailliertere Einstellungen zu generieren.
Die folgenden Sicherheitsüberprüfungen werden unterstützt:
-
Pufferüberlauf
-
Feld-Formate
-
Kreditkarte
-
Konsistenz von Cookies
-
HTML-SQL-Injektion
-
Site-übergreifendes HTML-S
-
Konsistenz von Formularfeldern
-
CSRF-Formular-Tagging
Scan-Bericht anzeigen
Klicken Sie nach Abschluss des Scans auf Bericht anzeigen, um die Ergebnisse anzuzeigen.
Das Scan-Ergebnis liefert:
-
WAF-Empfehlung — Ermöglicht das Anzeigen der Zusammenfassung der gesamten für die Anwendung empfohlenen Signaturen und Sicherheitsüberprüfungen.
-
Scan-Erkennungen — Ermöglicht das Anzeigen der Sammlung von Informationen wie Technologien und Details zu Verstößen, die in der Anwendung ausgeführt wurden. Klicken Sie auf Details anzeigen, um die Informationen zu den Erkennungen und andere Details des Scans anzuzeigen.
Klicken Sie unter WAF-Empfehlungauf Empfehlung überprüfen, um die Details für Sicherheitsüberprüfungen und Signaturenanzuzeigen.
Die empfohlenen Sicherheitseinstellungen schlagen die empfohlenen Sicherheitsüberprüfungen und Signaturen für die Anwendung vor. Sie können die Empfehlungen in der Liste bearbeiten und auf Anzeigen oder Bearbeiten klicken, um Details anzuzeigen oder Änderungen entsprechend den Anforderungen zu bearbeiten. Mit Auf Standard zurücksetzen werden alle vorgenommenen Änderungen zurückgesetzt und die ursprünglichen Empfehlungen wiederhergestellt.
Klicken Sie nach Überprüfung der Details auf Empfehlung anwenden. Die Empfehlungen werden mit den StyleBooks konfiguriert. Sie müssen sicherstellen, dass die Empfehlungen auf den Registerkarten Sicherheitsüberprüfungen und Signatur separat angewendet werden.
Es wird empfohlen, zuerst die Signaturen und dann die Sicherheitsüberprüfungen anzuwenden. Dadurch werden die Signaturen automatisch an das Profil gebunden.
Wenn Sie Signaturen erfolgreich anwenden:
-
Die Konfiguration wird über das StyleBook auf die NetScaler-Instanz angewendet
appfw-import-object
. -
Die Signaturdatei mit den konfigurierten Empfehlungen wird in die NetScaler-Instanz importiert.
Hinweis
Signaturen werden in NetScaler 13.0 oder einer höheren Version unterstützt.
Bevor Sie mit dem Anwenden der Sicherheitsprüfungsempfehlungen fortfahren, navigieren Sie zu Anwendungen > Konfiguration > Konfigurationspakete und stellen Sie sicher, dass das Signature-Configpack erfolgreich erstellt wurde.
Wenn Sie Sicherheitsüberprüfungen erfolgreich durchführen:
-
Die Konfiguration wird je nach NetScaler-Version über StyleBooks auf die NetScaler-Instanz angewendet. Für NetScaler 13.0 wird
waf-default-130
StyleBook verwendet und für NetScaler 13.1 wirdwaf-default-131
Stylebook verwendet. -
Das Profil
Appfw
wird auf Ihrem NetScaler erstellt und mithilfe vonpolicylabel
an die Anwendung gebunden. -
Die Signaturen sind an das appfw-Profil gebunden, wenn die empfohlenen Signaturen bereits angewendet wurden.
Hinweis
Sicherheitsprüfungen werden in NetScaler 13.0 41.28 oder einer späteren Version unterstützt.
Nachdem Sie die Empfehlung (Sicherheitsüberprüfungen und Signaturen) angewendet haben, können Sie die folgende Bestätigungsmeldung anzeigen:
Sie können überprüfen, ob die WAF-Profile und -Signaturen über die Standard-StyleBooks angewendet werden, indem Sie zu Anwendungen > Konfiguration > Config Packsnavigieren.