Comprobación segura de objetos
La comprobación de objetos seguros proporciona protección configurable por el usuario para la información empresarial confidencial, como números de clientes, números de pedido y números de teléfono o códigos postales específicos de cada país o región. Una expresión regular definida por el usuario o un complemento personalizado le indica a Web App Firewall el formato de esta información y define las reglas que se utilizarán para protegerla. Si una cadena en una solicitud de usuario coincide con una definición de objeto seguro, Web App Firewall bloquea la respuesta, enmascara la información protegida o elimina la información protegida de la respuesta antes de enviarla al usuario, según cómo haya configurado esa regla de objeto seguro en particular.
La comprobación de objetos seguros evita que los atacantes exploten una falla de seguridad en el software de su servidor web o en su sitio web para obtener información privada confidencial, como números de tarjetas de crédito de la empresa o números de seguridad social. Si sus sitios web no tienen acceso a este tipo de información, no necesita configurar esta comprobación. Si tiene un carrito de compras u otra aplicación que pueda acceder a dicha información, o sus sitios web tienen acceso a servidores de bases de datos que contienen dicha información, debe configurar la protección para cada tipo de información privada confidencial que maneje y almacene.
Nota:
Un sitio web que no accede a una base de datos SQL normalmente no tiene acceso a información privada confidencial.
La comprobación de objetos seguros no se parece a la de cualquier otra comprobación. Cada expresión de objeto seguro que cree es el equivalente de una comprobación de seguridad independiente, similar a la comprobación de la tarjeta de crédito, para ese tipo de información.
Configurar la comprobación de objetos seguros mediante la GUI
Nota
Debe configurar la comprobación de objetos seguros solo mediante la GUI. No se admite la interfaz de línea de comandos.
Para agregar una comprobación de seguridad de objetos seguros mediante la GUI:
-
Vaya a Seguridad > NetScaler Web App Firewall > Perfiles.
-
Seleccione el perfil correspondiente y haga clic en Modificar.
-
En el panel Configuración avanzada, haga clic en Reglas de relajación.
-
Seleccione Objeto seguro y haga clic en Modificar.
-
Haga clic en Agregar y configure lo siguiente:
- Nombre de objeto seguro. Un nombre para su nuevo objeto seguro. El nombre puede empezar por una letra, un número o el símbolo de subrayado. El nombre puede constar de una a 255 letras, números y los símbolos de guion (-), punto (.) almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y guiones bajos (_).
-
Acciones. Activa o desactiva las acciones Bloquear, Registrar y Estadísticas, y las siguientes acciones:
- X-Out. Enmascara cualquier información que coincida con la expresión del objeto seguro con la letra “X”.
- Remove: Elimine cualquier información que coincida con la expresión del objeto seguro.
-
Expresión regular. Introduzca una expresión regular compatible con PCRE que defina el objeto seguro. Puede crear la expresión regular de una de las siguientes maneras:
- Escribiendo la expresión regular directamente en el cuadro de texto
- Mediante el menú Fichas de expresiones regulares para introducir elementos y símbolos de expresiones regulares directamente en el cuadro de texto
- Abriendo el Editor de expresiones regulares y utilizándolo para crear la expresión. La expresión regular debe constar únicamente de caracteres ASCII. No corte ni pegue caracteres que no formen parte del conjunto ASCII básico de 128 caracteres. Si quiere incluir caracteres que no sean ASCII, debe escribirlos manualmente en el formato de codificación de caracteres hexadecimales PCRE.
Nota:
No utilice anclajes iniciales (^) al principio de las expresiones de objetos seguros ni anclajes finales ($) al final de las expresiones de objetos seguros. Estas entidades PCRE no se admiten en las expresiones de objetos seguros y, si se utilizan, hacen que la expresión no coincida con lo que pretendía coincidir.
-
Longitud máxima de coincidencia. Introduzca un entero positivo que represente la longitud máxima de la cadena con la que quiera que coincida. Por ejemplo, si quiere hacer coincidir los números de la seguridad social de EE. UU., introduzca el número 11 en este campo. Esto permite que tu expresión regular coincida con una cadena con nueve números y dos guiones. Si quiere que coincidan los números de licencia de conducir de California, introduzca el número ocho (8).
Precaución:
Si no establece la longitud máxima de coincidencia, Web App Firewall utiliza el valor predeterminado de uno (1) al filtrar las cadenas que coinciden con las expresiones de objetos seguros. Como resultado, la mayoría de las expresiones de objetos seguros no coinciden con sus cadenas objetivo.
Puede modificar un expreso existente seleccionando la expresión requerida, haciendo clic en Abrir y, a continuación, configurando la expresión en el cuadro de diálogo Modificar objeto seguro.
Los siguientes son ejemplos de expresiones regulares de comprobación de objetos seguros:
- Busque cadenas que parezcan números de seguro social (SSN) de EE. UU. El SSN consta de los siguientes caracteres en el orden mencionado:
- Tres números (el primero de los cuales no debe ser cero)
- Un guion
- Dos números más
- Un segundo guion
- Una cadena de cuatro números más
[1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4} <!--NeedCopy-->
-
Busque cadenas que parezcan ser identificaciones de licencia de conducir de California, que comiencen con una letra y vayan seguidas de una cadena de exactamente siete números:
[A-Za-z][0-9]{7,7} <!--NeedCopy-->
- Busca cadenas que parezcan ser ID de clientes. Los ID de cliente constan de lo siguiente en el pedido mencionado:
- Una cadena de cinco caracteres hexadecimales (todos los números y las letras de la A a la F)
- Un guion
- Un código de tres letras
- Un segundo guion
- Una cadena de 10 números
[0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10} <!--NeedCopy-->
Precaución:
Las expresiones regulares son potentes. Si no conoce tanto las expresiones regulares en formato PCRE, compruebe bien las expresiones regulares que escriba. Asegúrese de que la expresión regular defina exactamente el tipo de cadena que quiera agregar como definición de objeto segura. El uso descuidado de comodines, y especialmente de la combinación de metacaracteres/comodín con punto y asterisco (.*), puede tener resultados que no quería o esperaba, como bloquear el acceso a contenido web que no tenía intención de bloquear.