ADC

Creación de perfiles dinámicos

La función de aprendizaje es un filtro de patrones que observa y aprende actividades en el servidor back-end. Basándose en la observación, el motor de aprendizaje genera hasta 2000 reglas o excepciones (relajaciones) para cada comprobación de seguridad. Para automatizar el proceso e implementar automáticamente las reglas de relajación, el dispositivo Citrix ADC utiliza perfiles dinámicos.

Con la creación de perfiles dinámicos, el dispositivo registra los datos aprendidos para un umbral predefinido y envía una alerta SNMP al usuario. Si el usuario no omite los datos en un período de gracia, el dispositivo los implementa automáticamente como regla de relajación. Anteriormente, el usuario tenía que implementar manualmente las reglas de relajación. Actualmente, la creación de perfiles dinámicos solo está disponible para las siguientes comprobaciones de seguridad:

  1. Inyección HTML SQL
  2. Scripting HTML entre sitios
  3. Formato de campo
  4. URL de inicio
  5. Tipo de contenido
  6. Formato de campo
  7. Etiquetado de formularios CSRF
  8. Consistencia de cookies
  9. Denegar URL
  10. Desbordamiento de búfer
  11. Tarjeta de crédito

Por ejemplo, considere la comprobación de seguridad HTML SQL Injection habilitada con la creación de perfiles dinámicos. Puede utilizar el aprendizaje para una lista de IP (denominada lista Clientes de aprendizaje de confianza) a partir de las cuales la función de aprendizaje debe generar recomendaciones. Para configurar una lista de clientes de confianza, vea el tema Aprendizaje de clientes de confianza. Si el tráfico entrante tiene infracciones, se registra como datos aprendidos. Si los datos aprendidos se registran en el motor de aprendizaje, el dispositivo envía una alerta SNMP al usuario. Si el usuario no reconoce un falso positivo y no omite los datos aprendidos en un período de gracia, el dispositivo lo implementa automáticamente como regla de relajación.

Nota: Después de configurar el perfil dinámico, debe revisar periódicamente la configuración del dispositivo para la implementación automática de las reglas de relajación y guardarla en el dispositivo.

Configurar perfiles dinámicos mediante la interfaz de comandos de Citrix ADC

La creación de perfiles dinámicos está disponible para las comprobaciones de seguridad de URL de inicio, scripts HTML entre sitios, formato de campo o inyección HTML SQL. Para configurar la creación de perfiles dinámicos, debe realizar los siguientes pasos.

  1. Configurar el aprendizaje dinámico
  2. Configurar el período de gracia de implementación automática

Configurar el aprendizaje dinámico

Como primer paso, debe configurar el aprendizaje dinámico en el dispositivo. En el símbolo del sistema, escriba:

set appfw profile <profile_name> dynamicLearning <security_checks>

Ejemplo

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

Configurar el período de gracia de implementación automática

Una vez que habilite la función en comprobaciones de seguridad específicas, debe configurar el período de gracia para la implementación automática.

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>

set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

Ejemplo

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30

set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7

set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10

set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

Nota:

Aquí, el período de gracia de implementación automática es en minutos.

Configuración de perfiles dinámicos mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfil.
  2. En el panel de detalles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Citrix Web App, haga clic en Creación de perfiles dinámicos en Configuración avanzada.

    Configuración de perfil dinámico

  4. En la sección Creación de perfiles dinámicos, seleccione una comprobación de seguridad y haga clic en Modificar.

    Sección de creación de perfiles dinámicos

  5. En la página Configuración de aprendizaje y perfiles dinámicos, establezca el período de gracia de la comprobación de seguridad.

    Sección de creación de perfiles dinámicos

  6. Haga clic en Aceptar y Listo.

Exportación e importación de normas de relajación

Cuando habilita la creación de perfiles dinámicos, los datos aprendidos se implementan automáticamente como reglas de relajación. Junto con esto, el dispositivo también le permite exportar las reglas de relajación basadas en perfiles dinámicos y las reglas de relajación regulares. Puede exportar las reglas del entorno de ensayo e importarlas al entorno de producción.

Nota:

Al importar reglas al entorno de producción, debe asegurarse de que el proceso es aditivo y no invalida la configuración existente.

Cómo exportar e importar reglas de relajación

Para exportar e importar las reglas de relajación, debe completar los siguientes pasos:

  1. Primero debe exportar los datos dinámicos basados en perfiles. Para ello, la opción de exportación está disponible para las reglas de relajación en el perfil WAF. Al seleccionar esta opción, exportará las reglas de relajación de perfiles dinámicos y las reglas de relajación regulares. Puede utilizar la opción de exportación para descargar la configuración como un paquete comprimido en el dispositivo.
  2. Una vez que haya exportado los datos desde el entorno de ensayo, debe importarlos a otro dispositivo Citrix ADC. Para ello, debe utilizar la opción de importación disponible en las reglas de relajación del perfil WAF. Al seleccionar esta opción, el dispositivo importa las reglas de relajación especificadas agrupadas y las restaura en el perfil WAF del dispositivo seleccionado.

Nota:

Si va a importar reglas de relajación en un perfil WAF, hay dos tipos de acción: Aumentar: Esta acción garantiza que la importación sea aditiva y, por lo tanto, no anula ninguna configuración existente. Sobrescribir: Esta acción sobrescribe la configuración existente con la configuración presente en el paquete de exportación comprimido.”

Importar archivo de reglas de relajación archivado mediante CLI

Para importar las reglas de relajación, debe importar el archivo en el dispositivo Citrix ADC y, a continuación, ejecutar el comando de restauración para extraer la configuración. El siguiente conjunto de comandos CLI se puede utilizar para exportar, importar y administrar las configuraciones.

Para importar el archivo archivado desde la ubicación específica y restaurarlo, en el símbolo del sistema, escriba:

import appfw archive <src> <name> [-comment <string>]

Donde: “src”: Indica el origen del archivo tar en el formulario, <protocol>://<host>[:<port>][/<path>] “nombre”: Indica el nombre del archivo. “ comentario”: Comentarios asociados a este archivo.

restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]

Dónde, archivename: Indica el origen del archivo tar. Este es un argumento obligatorio. “RelaxationRules”: Opción para importar todas las reglas de relajación de appfw.

importProfileName: Indica el nombre del perfil creado o actualizado para asociar las reglas de relajación durante la operación de restauración. “ MatChurlString”: Indica la cadena URL de acción para coincidir en las reglas de relajación archivadas.

replaceUrlString: Indica una cadena que se va a reemplazar en la URL de acción mientras restaura las reglas de relajación.

overwrite: acción de reglas existentes para purgar las reglas de relajación existentes y sustituirlas durante la importación.

augment: acción de reglas existentes para aumentar las reglas de relajación durante la importación.

Ejemplo: import appfw archive local: dutA_test_pr.tgz demo restore appfw profile dutA_test_pr

Exportar el archivo archivado al dispositivo seleccionado mediante la CLI

Si utiliza la CLI para exportar las reglas de relajación appfw, debe archivar la configuración y, a continuación, exportarla. Para archivar y exportar el archivo archivado, en el símbolo del sistema, escriba:

archive appfw profile <name> <archivename> [-comment <string>]

Dónde, archive name: Indica el origen del archivo tar. Este es un argumento obligatorio. name: Indica el nombre del perfil appfw que contiene las reglas de relajación que se van a exportar

export appfw archive <name> <target>

Dónde, Nombre. Nombre del archivo tar. Este es un argumento obligatorio. Longitud máxima: 31 objetivo. Ruta al archivo que se va a exportar. Este es un argumento obligatorio. Longitud máxima: 2047

Ejemplo: > archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

Para exportar reglas de relajación mediante la GUI de Citrix ADC

Siga los pasos que se indican a continuación para exportar reglas de relajación:

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página de detalles, haga clic en el vínculo Perfiles de Citrix Web App Firewall en la sección Resumen de configuración.
  3. En la página Perfil de Citrix Web App Firewall, haga clic en el vínculo Reglas de relajación en la sección Configuración avanzada.
  4. En la sección Reglas de relajación, haga clic en Exportar todas las reglas de relajación. La acción se aplica a todas las comprobaciones de seguridad y a las que el aprendizaje dinámico está habilitado en ese perfil.

    Export-Relajación-Reglas

Para importar reglas de relajación mediante la GUI de Citrix ADC

Complete los pasos para importar reglas de relajación:

  1. Vaya a Seguridad > Citrix Web App Firewall.
  2. En la página de detalles, haga clic en el vínculo Perfiles de Citrix Web App Firewall en la sección Resumen de configuración.
  3. En la página Perfil de Citrix Web App Firewall, haga clic en el vínculo Reglas de relajación en la sección Configuración avanzada.
  4. En la sección Reglas de relajación, haga clic en Importar todas las reglas de relajación.
  5. En la página Configurar perfil de Citrix Web App Firewall, establezca los siguientes parámetros:
    1. Archivo local. Nombre del archivo archivado comprimido que contiene las reglas de relajación.
    2. Nombre del perfil. Nombre del perfil al que están vinculadas las reglas de relajación.
    3. Cadena URL coincidente. Parte de la URL que coincide.
    4. Reemplazar cadena URL. Parte de la dirección URL que reemplaza la cadena URL.
    5. Acción de regla existente. Seleccione si la regla debe sobrescribir las reglas existentes o aumentar las reglas existentes.
  6. Haga clic en Aceptar.

    Importar reglas de relajación

Creación de perfiles dinámicos