Creación de perfiles de Web App Firewall
Puede crear un perfil de Web App Firewall de dos formas: mediante la línea de comandos y mediante la interfaz gráfica de usuario. Para crear un perfil mediante la línea de comandos, es necesario especificar opciones en la línea de comandos. El proceso es similar al de configurar un perfily, salvo algunas excepciones, los dos comandos toman los mismos parámetros.
Nota
:Perfil principal: este perfil está disponible en la compilación 33.x y versiones posteriores. Contiene comprobaciones de seguridad limitadas pero fundamentales habilitadas de forma predeterminada, mientras que los perfiles básico y avanzado tienen muchas otras comprobaciones de seguridad habilitadas de forma predeterminada. El perfil principal contiene las siguientes comprobaciones de seguridad:
- Inyección SQL basada en gramáticas
- inyección de CMD basada en la gramática
- Scripts entre sitios
- Desbordamiento de búfer
- Perfil
CVE depalabras clave de bloque: este perfil está disponible en la compilación 42.x y versiones posteriores. Utilice este perfil solo para agregar y vincular una firma. Inhabilita todas las comprobaciones del NetScaler Web App Firewall, excepto la comprobación CVE.
Al crear un perfil, especifique una de estas opciones: básica, avanzada, básica o CVE. Se aplica la configuración predeterminada para las distintas comprobaciones y ajustes de seguridad que forman parte de ese perfil. También puede, opcionalmente, agregar un comentario. Después de crear el perfil, debe configurarlo seleccionándolo en el panel de datos y, a continuación, haciendo clic en Modificar.
Si piensa utilizar la función de aprendizaje o habilitar y configurar muchas protecciones avanzadas, debe elegir los valores predeterminados avanzados. En particular, si va a configurar cualquiera de las comprobaciones de inyección SQL, las comprobaciones de scripts entre sitios, cualquier comprobación que ofrezca protección contra ataques de formularios web o la comprobación de coherencia de cookie, debe planear utilizar la función de aprendizaje. A menos que incluya las excepciones adecuadas para sus sitios web protegidos al configurar estas comprobaciones, pueden bloquear el tráfico legítimo. Es difícil anticipar todas las excepciones sin crear ninguna que sea demasiado amplia. La función de aprendizaje facilita mucho esta tarea. De lo contrario, los valores predeterminados básicos son rápidos y deben proporcionar la protección que necesitan sus aplicaciones web.
Existen tres tipos de perfiles:
- HTML. Protege los sitios web estándar basados en HTML.
- XML. Protege los servicios web y los sitios web basados en XML.
- Web 2.0 (HTML XML). Protege sitios web que contienen elementos HTML y XML, como feeds ATOM, blogs y fuentes RSS.
También hay algunas restricciones sobre el nombre que puede dar a un perfil. El nombre de un perfil no puede ser el mismo que el nombre asignado a cualquier otro perfil o acción de ninguna función del dispositivo NetScaler. Ciertos nombres de acción o perfil se asignan a acciones o perfiles integrados y nunca se pueden usar para perfiles de usuario. Encontrará una lista completa de nombres no permitidos en la información complementariadel perfil de Web App Firewall. Si intenta crear un perfil con un nombre que ya se ha utilizado para una acción o un perfil, se muestra un mensaje de error y no se crea el perfil.
Para crear un perfil de Web App Firewall mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los comandos siguientes:
add appfw profile <name> [-defaults ( basic | advanced | core | cve)]
set appfw profile <name> -type ( HTML | XML | HTML XML )
set appfw profile <name> -comment "<comment>"
save ns config
Ejemplo
El siguiente ejemplo agrega un perfil denominado pr-basic
, con valores predeterminados básicos, y asigna un tipo de perfil de HTML. Esta es la configuración inicial adecuada para que un perfil proteja un sitio web HTML.
add appfw profile pr-basic -defaults basic -comment "Simple profile for websites."
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->
Para crear un perfil de Web App Firewall mediante la interfaz gráfica de usuario
Complete el procedimiento siguiente para crear un perfil de Web App Firewall:
- Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
- En el panel de detalles, haga clic en Agregar.
-
En la página Crear perfil de Web App Firewall, defina los siguientes parámetros básicos:
- Nombre
- Tipo de perfil
- Comentarios
- Valores predeterminados
- Descripción
- Haga clic en Aceptar.
- Seleccione el perfil que ha creado y haga clic en Modificar.
-
En la sección Configuración avanzada, complete las siguientes configuraciones:
- Controles de seguridad
- Configuración de perfil
- Creación de perfiles dinámicos
- Reglas de relajación
- Reglas de denegación
- Regla aprendida
- Registro extendido
- En la sección Comprobaciones de seguridad, seleccione una protección de seguridad y haga clic en Configuración de acciones.
-
En la página de comprobación de seguridad, defina los parámetros.
Nota:
La configuración Regla activa solo está disponible para la comprobación de inyección SQL HTML para activar la regla de relajación o la regla de denegación para la comprobación de inyección SQL. Para obtener más información, consulte el tema Reglas de relajación y denegación.
-
Haga clic en Aceptar y Cerrar.
- En la sección Configuración de perfil, defina los parámetros del perfil. Para obtener más información, consulte el tema Configurar la configuración del perfil de Web App Firewall.
- En la sección Creación de perfiles dinámicos, seleccione una comprobación de seguridad para agregar la configuración del perfil dinámico. Para obtener más información, consulte el tema Perfil dinámico.
- En la sección Reglas de relajación, haga clic en Modificar para agregar una regla de relajación para una comprobación de seguridad. Para obtener más información, consulte Regla de relajación para obtener más información.
- En la sección Reglas de denegación, agregue una regla de denegación para la comprobación de inyección SQL HTML. Para obtener más información, consulte el tema Reglas de denegación de HTML.
- En la sección Regla aprendiz, defina la configuración de aprendizaje. Para obtener más información, consulte el tema Aprendizaje de Web App Firewall.
- En la sección Registro ampliado, haga clic en Agregar para enmascarar datos confidenciales. Para obtener más información, consulte el tema Registro ampliado.
- Haga clic en Listo y, a continuación, en Cerrar.
Configurar reglas de detección de cuentas falsas
La creación de cuentas falsas es un proceso automatizado para crear muchas cuentas de usuario que no están asociadas a una persona real o crear cuentas de usuario con los datos de la persona real sin su consentimiento. Las cuentas falsas que los usuarios no legítimos crean utilizan detalles de registro que no se corresponden con la verdadera identidad de una persona. Estas cuentas se crean para abusar de los servicios ofrecidos por una aplicación web con fines no legítimos, como ataques de phishing, difusión de noticias falsas, scalping, etc. La mayoría de las veces, estas cuentas son creadas por bots administrados por usuarios malintencionados.
El dispositivo NetScaler se ha mejorado para detectar cuentas falsas al vincular reglas de detección de cuentas falsas a un perfil de Web App Firewall. La regla consiste en URL de formulario y parámetros de formulario para cada URL. Si una solicitud entrante coincide con una URL de expresión o formulario (páginas de registro) configurada para una regla de detección de cuenta falsa, la evaluación es verdadera para un intento de registro sospechoso y los datos de la solicitud se envían al servidor ADM para su posterior inspección.
Complete los siguientes pasos para configurar la detección de cuentas falsas mediante la interfaz de comandos:
- Activar la función de detección de cuentas falsas
- Reglas de cuentas falsas
Activar la función de detección de cuentas falsas
En la línea de comandos, escriba:
add/set appfw profile <name> -FakeAccountDetection ( ON | OFF )
Ejemplo:
add appfw profile profile1 -FakeAccountDetection ON
Reglas de cuentas falsas
En la línea de comandos, escriba:
bind appfw profile <name> -FakeAccount (string|expression) isFieldNameRegex (ON|OFF) -tag <TagExpression> ([-formUrl <FormURL>]| [-formExpression <FormExpression>)]) –state (ENABLED|DISABLED)
Donde:
-
formUrl
: URL de acción del formulario HTTP. formExpression: Expresión de forma que se evaluará. -
fakeaccount
: Nombre de la cuenta falsa. tag: Expresión de etiqueta. -
isFieldNameRegex
: Especifica si el fieldName es regex. Valor predeterminado DESACTIVADO.
Ejemplo:
bind appfw profile profile1 -FakeAccount john -formURL “/signup.php" -tag "smith"
bind appfw profile profile2 -FakeAccount Will -formExpression "HTTP.REQ.HEADER(\"Authorization\").CONTAINS(\"/test_accounts\").NOT && HTTP.REQ.URL.CONTAINS(\"/login.php\")" -fieldName -tag "smith"
Entrada de ejemplo para una página de registro example.com
de solicitud de publicación HTTP.
S.no | Entrada | Ejemplo |
---|---|---|
1 | URL de punto de enlace de solicitud HTTP POST de registro | https://webapi.example.com/account/api/v1.0/contacts/ |
2 | Nombre del campo Dirección correo electrónico en la solicitud HTTP post | Dirección de correo electrónico |
3 | Nombre del campo Nombre en la solicitud de publicación HTTP | Nombre |
4 | Nombre del campo Apellido en la solicitud de publicación HTTP | Apellido |
Configurar la regla de detección de cuentas falsas de Web App Firewall mediante la interfaz gráfica de usuario
Complete los siguientes pasos para configurar la regla de detección de cuentas falsas mediante la GUI.
- Vaya a Configuración > Seguridad > NetScaler Web App Firewall > Perfil.
- Seleccione un perfil y haga clic en Modificar.
- En la página Perfil de NetScaler Web App Firewall, haga clic en Comprobaciones de seguridad en Configuración avanzada.
- En la sección Comprobaciones integradas con Citrix Cloud, seleccione una regla de cuenta falsa y haga clic en Modificar.
- En el control deslizante Vinculación de cuentas falsas de AppFirewall, seleccione una regla para modificarla o haga clic en Agregar.
-
En la página de reglas de cuentas falsas, establezca los siguientes parámetros:
- Habilitada. Seleccione para activar la regla de cuenta falsa.
- Nombre de cuenta falso. Nombre de la regla de cuenta falsa.
- Etiqueta. Nombre en el formulario de registro de cuenta falsa.
- ¿El nombre de campo es Regex? Seleccione si el campo del formulario es una expresión regular.
- Expresión de formulario. Expresión regular que define la cuenta falsa.
- URL del formulario. Introduzca la URL de detección de cuentas falsas
- Comentarios. Una breve descripción de la regla de detección de cuentas falsas.
- Haga clic en Crear.