ADC

Rastrea las solicitudes HTML con registros de seguridad

Nota:

Esta función está disponible en la versión 10.5.e de NetScaler.

La solución de problemas requiere el análisis de los datos recibidos en la solicitud del cliente y puede resultar difícil. Especialmente si hay mucho tráfico que atraviesa el aparato. El diagnóstico de problemas puede afectar a la funcionalidad o la seguridad de la aplicación puede requerir una respuesta rápida.

NetScaler aísla el tráfico de un perfil de Web App Firewall y recopila las nstrace solicitudes HTML. La nstrace información recopilada en el modo appfw incluye los detalles de la solicitud con los mensajes de registro. Puede utilizar la opción “Seguir el flujo TCP” en el rastreo para ver los detalles de la transacción individual, incluidos los encabezados, la carga útil y el mensaje de registro correspondiente, en la misma pantalla.

Esto le brinda una visión general completa de su tráfico. Tener una vista detallada de la solicitud, la carga útil y los registros asociados puede resultar útil para analizar la infracción de los controles de seguridad. Puede identificar fácilmente el patrón que desencadena la infracción. Si se debe permitir el patrón, puede decidir modificar la configuración o añadir una regla de relajación.

Ventajas

  1. Aislar el tráfico para un perfil específico: esta mejora resulta útil cuando se aísla el tráfico de un solo perfil o de transacciones específicas de un perfil para solucionar problemas. Ya no tendrá que revisar todos los datos recopilados en el rastreo ni necesitará filtros especiales para aislar las solicitudes que le interesen, lo que puede resultar tedioso con un tráfico intenso. Puede ver los datos que prefiera.
  2. Recopile datos para solicitudes específicas: el rastreo se puede recopilar durante un período específico. Puede recopilar el seguimiento de solo un par de solicitudes para aislar, analizar y depurar transacciones específicas si es necesario.
  3. Identifique los reinicios o los abortos: el cierre inesperado de las conexiones no es fácilmente visible. El rastreo recopilado en el modo —appfw captura un restablecimiento o una interrupción, activados por el Web App Firewall. Esto permite aislar un problema con mayor rapidez cuando no aparece ningún mensaje de infracción del control de seguridad. Ahora será más fácil identificar las solicitudes con formato incorrecto u otras solicitudes que no cumplan con RFC que Web App Firewall finalice.
  4. Ver el tráfico SSL descifrado: el tráfico HTTPS se captura en texto plano para facilitar la solución de problemas.
  5. Proporciona una visión completa: permite analizar toda la solicitud a nivel de paquete, comprobar la carga útil, consultar los registros para comprobar qué infracción de los controles de seguridad se está desencadenando e identificar el patrón de coincidencia en la carga. Si la carga está formada por datos inesperados, cadenas basura o caracteres no imprimibles (carácter nulo,\ r o\ n, etc.), es fácil detectarlos en el rastreo.
  6. Modificar la configuración: la depuración puede proporcionar información útil para decidir si el comportamiento observado es el correcto o si la configuración debe modificarse.
  7. Acelere el tiempo de respuesta: una depuración más rápida del tráfico objetivo puede mejorar el tiempo de respuesta para proporcionar explicaciones o analizar la causa principal por parte del equipo de ingeniería y soporte de NetScaler.

Para obtener más información, consulte Configuración manual mediante el tema de la interfaz de línea de comandos .

Para configurar el seguimiento de depuración para un perfil mediante la interfaz de línea de comandos

Paso 1. Habilite ns trace.

Puede utilizar el comando show para comprobar la configuración configurada.

  • set appfw profile <profile> -trace ON

Paso 2. Recoge el rastro. Puede seguir utilizando todas las opciones aplicables al nstrace comando.

  • start nstrace -mode APPFW

Paso 3. Detener el rastreo.

  • stop nstrace

Ubicación del rastreo:nstrace Se almacena en una carpeta con fecha y hora que se crea en el directorio /var/nstrace y se puede ver usando. wireshark Puede seguir /var/log/ns.log para ver los mensajes de registro que proporcionan detalles sobre la ubicación del nuevo rastreo.

Consejos:

  • Cuando se utiliza la opción de modo appfw, solo nstrace recopilarán los datos de uno o más perfiles para los que esté habilitada la “nstrace”.

  • Habilitar el seguimiento en el perfil no comenzará a recopilar automáticamente los rastros hasta que ejecute explícitamente el comando “start ns trace” para recopilar el seguimiento.
  • Si bien habilitar el rastreo en un perfil puede no tener ningún efecto adverso en el rendimiento del Web App Firewall, es posible que desee habilitar esta función únicamente durante el tiempo durante el que desee recopilar los datos. Se recomienda que desactive el indicador —trace después de haber recopilado el rastreo. Esta opción evita el riesgo de obtener datos de los perfiles para los que ha activado este indicador en el pasado sin darse cuenta.

  • La acción de bloqueo o registro debe estar habilitada para que la comprobación de seguridad del registro de transacciones se incluya en el nstrace.

  • Los reinicios y las cancelaciones se registran independientemente de las acciones de comprobación de seguridad cuando el rastreo está “activado” para los perfiles.

  • La función solo se aplica para solucionar problemas con las solicitudes recibidas del cliente. Los rastros en el modo —appfw no incluyen las respuestas recibidas del servidor.

  • Puede seguir utilizando todas las opciones aplicables al nstrace comando. Por ejemplo:

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Si una solicitud desencadena varias infracciones, el registro nstrace correspondiente incluye todos los mensajes de registro correspondientes.

  • Esta funcionalidad admite el formato de mensaje de registro CEF.

  • Las infracciones de firma que activan acciones de bloqueo o registro para las comprobaciones del lado de la solicitud también se incluirán en el seguimiento.

  • Solo las solicitudes HTML (no XML) se recopilan en el seguimiento.
Rastrea las solicitudes HTML con registros de seguridad

En este artículo