Security Insight
Nota
Si la compilación de NetScaler ADM es anterior a 13.0-79.x, puede ver la información de seguridad navegando a Analytics > Security > Security Insight. Para la compilación 13.0-79.x o posterior, puede ver los detalles de infracciones de WAF navegando a Analytics > Seguridad > Infracciones de seguridad > Descripción general de la aplicación y haciendo clic en WAF en Desglose de aplicaciones por.
Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudarle a evaluar el estado de seguridad de su aplicación y a tomar medidas correctivas para proteger sus aplicaciones.
Nota
Security Insight es compatible con Citrix Application Delivery Management (ADM) con dispositivos Citrix ADC que se ejecutan en la versión 11.0 Build 65.31 y versiones posteriores.
Cómo funciona Security Insight
Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que le proporciona una visibilidad completa del entorno de amenazas asociado con sus aplicaciones. La información sobre seguridad se incluye en Citrix ADM y genera informes periódicamente basados en las configuraciones de seguridad del sistema Application Firewall y Citrix ADC. Los informes incluyen la siguiente información para cada aplicación:
-
Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la gravedad de los ataques a la aplicación, independientemente de si la aplicación está protegida o no por un dispositivo Citrix ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.
El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría del ataque, la ubicación y los detalles del cliente, le brinda información sobre los ataques a la aplicación. La información de infracción se envía a NetScaler ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.
-
Índice de seguridad. Sistema de clasificación de un solo dígito que indica con qué seguridad ha configurado las instancias NetScaler ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.
El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema NetScaler ADC. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si se realizan comprobaciones rigurosas del firewall de aplicaciones, pero no se han adoptado medidas de seguridad del sistema NetScaler ADC, como una contraseña segura para el
nsroot
usuario, a las aplicaciones se les asigna un valor de índice de seguridad bajo. -
Información procesable. La información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar la información sobre las infracciones, las configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la velocidad a la que se atacan las aplicaciones, etc.
Configurar Security Insight
Citrix ADM admite Security Insight desde todas las instancias de Citrix ADC que tengan configurado un firewall de aplicaciones.
Para configurar la información de seguridad en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una política de firewall de aplicaciones. Si bien, a continuación, puede vincular la directiva de firewall de aplicaciones de forma global, Citrix recomienda que la directiva esté enlazada al servidor virtual.
Para ver los análisis en Citrix ADM, habilite la función AppFlow en la instancia, configure un recopilador, una acción y una política de AppFlow y vincule la directiva de forma global. También en este caso, aunque puede vincular la directiva de firewall de aplicaciones de forma global, Citrix recomienda que la directiva esté enlazada al servidor virtual. Citrix también recomienda utilizar Citrix ADM para implementar las configuraciones de AppFlow en las instancias de ADC. Al configurar el recopilador, debe especificar la dirección IP del servidor NetScaler ADM en el que quiere supervisar los informes.
Para configurar la información de seguridad en una instancia de Citrix ADC:
-
Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones y enlazar la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.
add appfw profile [**-defaults** ( basic advanced )] set appfw profile <name> [-startURLAction <startURLAction> …]
add appfw policy <name> <rule> <profileName>
bind appfw global <policyName> <priority>
o,
bind lb vserver <lb vserver> -policyName <policy> -priority <priority>
add appfw profile pr_appfw -defaults advanced set appfw profile pr_appfw -startURLaction log stats learn add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw bind appfw global pr_appfw_pol 1 or, bind lb vserver outlook –policyName pr_appfw_pol –priority “20” <!--NeedCopy-->
-
Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una directiva de AppFlow y enlazar la directiva globalmente o al servidor virtual de equilibrio de carga:
add appflow collector <name> -IPAddress <ipaddress>
set appflow param [-SecurityInsightRecordInterval ] [**-SecurityInsightTraffic** ( ENABLED DISABLED )] agregar appflow action\ <name\ > -collectors \ <string\ >
add appflow policy <name> <rule> <action>
bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]
O bien:
bind lb vserver <vserver> -policyName <policy> -priority <priority>
add appflow collector col -IPAddress 10.102.63.85 set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED add appflow action act1 -collectors col add appflow action af_action_Sap_10.102.63.85 -collectors col add appflow policy pol1 true act1 add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85 bind appflow global pol1 1 END -type REQ_DEFAULT or, bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20” <!--NeedCopy-->
Para habilitar Security Insight desde NetScaler ADM:
Si su NetScaler ADM es 13.0 Build 41.x:
-
Vaya a Redes > Instancias > NetScaler ADC y seleccione el tipo de instancia. Por ejemplo, VPX.
-
Seleccione la instancia y, en la lista Seleccionar acción, haga clic en Configurar análisis.
-
En la página Configurar análisis en servidores virtuales, seleccione el servidor virtual y haga clic en Habilitar análisis.
-
En la ventana Habilitar análisis:
-
Seleccione Security Insight
-
Seleccione Logstream como modo de transporte
Nota
Para Citrix ADC 12.0 o anterior, IPFIX es la opción predeterminada para el modo de transporte. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.
Para obtener más información sobre IPFIX y Logstream, consulte Descripción general de Logstream .
-
La expresión es verdadera por defecto
-
Haga clic en OK.
Nota
-
Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y, a continuación, habilita el análisis.
-
Para las particiones de administración, solo se admite Web Insight
-
En el caso de los servidores virtuales, como el redireccionamiento de caché , la autenticación y el GSLB , no puede habilitar el análisis. Aparece un mensaje de error.
-
-
Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.
Si su Citrix ADM es 13.0 Build 36.27:
-
Vaya a Redes > Instancias y seleccione la instancia de NetScaler ADC que quiere habilitar AppFlow.
-
En la lista Seleccionar acción, seleccione Configurar análisis.
-
Seleccione los servidores virtuales y haga clic en Habilitar AppFlow .
-
En el campo Enable AppFlow , escriba true y seleccione Security Insight .
-
Haga clic en OK.
Nota
Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.
Ver ubicaciones geográficas para los informes de Security Insight
Los informes de Security Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Puede ver las ubicaciones geográficas en Citrix ADM. El archivo de base de datos geográfica incorporado en Citrix ADC contiene la mayoría de las direcciones IP públicas. El archivo está disponible en la ubicación /var/netscaler/inbuilt_db en Citrix ADC.
Para habilitar las ubicaciones geográficas:
Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:
-
add locationFile <Completar ruta con el nombre de archivo de la BD>
-
establecer la configuración de appfw -GeolocationLogging ON
-
establecer la configuración de appfw -CEFLOGGING ON
Si no hay ninguna dirección IP disponible en el archivo de base de datos geográfica, puede agregar la dirección IP para la ubicación geográfica. Junto con la dirección IP, también puedes añadir el nombre de la ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación.
Abra el archivo de base de datos geográfica con un editor de texto, como vi editor, y agregue una entrada para cada ubicación.
La entrada debe tener el siguiente formato:
\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude
Por ejemplo,
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->
Reputación de IP
Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP de su tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.
Para obtener información sobre cómo configurar y usar la reputación de IP, consulte Reputación de IP.
Supervisar la reputación IP
La función Reputación de IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.
La puntuación de reputación IP indica el riesgo asociado a una dirección IP. La puntuación tiene los siguientes rangos:
Puntuación de reputación IP | Nivel de riesgo |
---|---|
1–20 | Alto riesgo |
21–40 | Sospechoso |
41–60 | Riesgo moderado |
61–80 | Riesgo bajo |
81–100 | Confiable |
Para supervisar la reputación IP:
-
Vaya a Analytics > Security Insight y seleccione la aplicación que desea supervisar.
-
En la ficha Índice de amenazas, seleccione Reputación de IP.
-
Seleccione una gravedad para mostrar más detalles de los ataques que estaban en ese nivel. Puede hacer clic en el gráfico de barras o en la tabla situada debajo del gráfico.
-
Seleccione el período de tiempo para el que desea ver los detalles. Puede usar el control deslizante de tiempo para personalizar aún más el período seleccionado. A continuación, haga clic en Ir.
-
Para personalizar la pantalla, haga clic en el botón de configuración.
Umbrales
Puede establecer y ver los umbrales del índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.
Para establecer un umbral:
-
Vaya a Analytics > Configuración > Umbrales y seleccione Agregar .
-
Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información requerida en los demás campos correspondientes, como Nombre, Duración y entidad.
-
En la sección Configurar regla , utilice los campos Métrica, Comparador y Valor para establecer un umbral.
Por ejemplo, “Índice de amenazas” “>” “5”
-
En la configuración de notificaciones , selecciona el tipo de notificación.
-
Haga clic en Crear.
Para ver los incumplimientos de los umbrales:
-
Vaya a Analytics > Security Insight > Dispositivos y seleccione la instancia de Citrix ADC.
-
En la sección Aplicación, puede ver el número de infracciones de umbral ocurridas para cada servidor virtual en la columna Infracción de umbral.
Casos de uso de Security Insight
En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.
Obtenga una visión general del entorno de amenazas
En este caso de uso, tiene un conjunto de aplicaciones expuestas a ataques y ha configurado NetScaler ADM para supervisar el entorno de amenazas. Debe revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que puedan haber sufrido las aplicaciones, de modo que pueda centrarse primero en las aplicaciones que necesitan más atención. El panel de información de seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo que elija y para un dispositivo NetScaler ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.
Por ejemplo, puede estar supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y es posible que quiera revisar un resumen del entorno de amenazas para estas aplicaciones.
Para obtener un resumen del entorno de amenazas, inicie sesión en NetScaler ADMy, a continuación, vaya a Analytics > Security Insight.
Se muestra información clave para cada aplicación. El período de tiempo predeterminado es 1 hora.
Para ver información de un período de tiempo diferente, seleccione un período de tiempo en la lista situada en la parte superior izquierda.
Para ver un resumen de otra instancia de NetScaler ADC, en Dispositivos, haga clic en la dirección IP de la instancia de NetScaler ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.
Determinar la exposición a amenazas de una aplicación
Para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo en el panel de control de Security Insight, debe determinar la exposición a las amenazas antes de decidir protegerlas. Es decir, desea determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Puede determinar la exposición a amenazas de una aplicación consultando el resumen de la solicitud.
En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6 y desea saber qué factores contribuyen a este índice de amenazas alto.
Para determinar la exposición a amenazas de Microsoft Outlook, en el panel Security Insight , haga clic en Outlook . El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.
Haga clic en Índice de amenazas > Infracciones de comprobación de seguridad y revise la información de infracción que aparece.
Haga clic en Infracciones de firma y revise la información de infracción que aparece.
Determinar la configuración de seguridad existente y faltante para una aplicación
Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.
El resumen del índice de seguridad proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:
- Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
- Seguridad del sistema NetScaler. Muestra cuántas opciones de seguridad del sistema no están configuradas.
En el caso de uso anterior, revisó la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, desea saber qué configuraciones de seguridad existen para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.
En el panel Security Insight , haga clic en Outlook y, a continuación, en la pestaña Índice de seguridad . Revise la información proporcionada en el área Resumen del índice de seguridad.
En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información de comprobación de seguridad e infracción de firmas en los gráficos circulares.
Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla en una columna, haga clic en el encabezado de la columna.
Haga clic en el nodo NetScaler System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.
Identificar aplicaciones que requieren atención inmediata
Las aplicaciones que requieren atención inmediata son aquellas que tienen un índice de amenaza alto y un índice de seguridad bajo.
En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el menor de los dos índices de seguridad. Por lo tanto, es posible que tenga que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.
Determinar el número de ataques en un tiempo dado
Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.
En la página Security Insight, haga clic en cualquier aplicación y, en Resumen de la aplicación, haga clic en el número de infracciones. La página Total de Infracciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.
La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:
-
Tiempo de ataque
-
Dirección IP del cliente desde el que se produjo el ataque
-
Gravedad
-
Categoría de infracción
-
URL desde la que se originó el ataque y otros detalles.
Aunque siempre puede ver la hora del ataque en un informe por hora como se ve en la imagen, ahora puede ver el intervalo de tiempo de ataque para los informes agregados, incluso para los informes diarios o semanales. Si selecciona «1 día» en la lista de períodos de tiempo, el informe Security Insight muestra todos los ataques agregados y el tiempo de ataque se muestra en un rango de una hora. Si elige “1 semana” o “1 mes”, todos los ataques se agregan y el tiempo de ataque se muestra en un intervalo de un día.
Obtener información detallada sobre infracciones de seguridad
Es posible que desee ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia de Citrix ADC, los recursos solicitados y el origen de los ataques.
Por ejemplo, es posible que desee determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de las fuentes.
En el panel Security Insight, haga clic en Lync > Total de infracciones. En la tabla, haga clic en el icono de filtro en el encabezado de columna Acción tomada y, a continuación, seleccione Bloqueado.
Para obtener información acerca de los recursos solicitados, revise la columna URL. Para obtener información sobre las fuentes de los ataques, consulte la columna IP del cliente .
Ver detalles de expresiones de registro
Las instancias de Citrix ADC utilizan expresiones de registro configuradas con el perfil de Application Firewall para tomar medidas en caso de ataques a una aplicación de la empresa. En Security Insight, puede ver los valores devueltos para las expresiones de registro utilizadas por la instancia de Citrix ADC. Estos valores incluyen el encabezado de la solicitud, el cuerpo de la solicitud, etc. Además de los valores de las expresiones de registro, también puede ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Application Firewall que la instancia de Citrix ADC utilizó para tomar medidas contra el ataque.
Requisitos previos
Asegúrese de que:
-
Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Application Firewall.
-
Habilite la configuración Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:
-
Vaya a Analytics > Configuración y haga clic en Habilitar funciones para Analytics .
-
En la página Habilitar función para análisis, seleccione Habilitar Security Insight en la sección Configuración de Security Insight basada en expresiones de registro y haga clic en Aceptar.
-
Por ejemplo, es posible que desee ver los valores de la expresión de registro devuelta por la instancia de Citrix ADC para la acción que llevó a cabo para atacar Microsoft Lync en su empresa.
En el panel de control de Security Insight, vaya a Lync > Total de infracciones. En la tabla Resumen de la aplicación, haga clic en la dirección URL para ver los detalles completos de la infracción en la página Información de infracción, incluidos el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de NetScaler ADC para la acción.
Resaltar patrones de infracción para Web Application Firewall (WAF)
Ahora puede obtener detalles de ataques como encabezados HTTP y carga útil HTTP para solucionar problemas o analizar los ataques. Para obtener detalles de los ataques, debe actualizar el «VerboseLogLevel» en el perfil de Application Firewall mediante el siguiente comando:
Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)
-
pattern
: Solo se registra el patrón de infracción -
patternPayload
: Patrón de infracción + 150 bytes de valor del elemento de campo antes del patrón de ataque se registran -
patternPayloadHdr
- Patrón de infracción + 150 bytes del valor del elemento de campo antes del patrón de ataque + se registran los encabezados de solicitud HTTP
Según la configuración «VerboseLogLevel», Citrix ADM muestra los registros detallados de expresiones de registro.
La siguiente imagen es un ejemplo que resalta el patrón de ataque para la solicitud GET:
La siguiente imagen es un ejemplo que resalta el patrón de ataque para la solicitud POST:
En estos dos ejemplos:
-
FIELDNAMEhace referencia al nombre de campo correspondiente al patrón de ataque.
-
PAYLOAD_OFFSEThace referencia a la compensación del ataque en la carga útil real.
-
ATTACK_PATTERN resalta el patrón de ataque e incluye 150 bytes de carga útil de prefijo en el valor.
Para obtener más información sobre la configuración del nivel de registro detallado en NetScaler ADC, consulte Facilidad para solucionar problemas con los registros de Firewall de aplicaciones web.
Determinar el índice de seguridad antes de implementar la configuración
Las infracciones de seguridad se producen después de implementar la configuración de seguridad en una instancia de NetScaler ADC, pero es posible que quiera evaluar la eficacia de la configuración de seguridad antes de implementarla.
Por ejemplo, es posible que desee evaluar el índice de seguridad de la configuración de la aplicación SAP en la instancia de Citrix ADC con la dirección IP 10.102.60.27.
En el panel Security Insight , en Dispositivos , haga clic en la dirección IP de la instancia de Citrix ADC que configuró. Puede ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y el tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.
Haga clic en Sap > Índice de seguridad > SAP_profile y evalúe la información del índice de seguridad que aparece.
En el resumen del firewall de la aplicación, puede ver el estado de configuración de diferentes configuraciones de protección. Si se establece una configuración para registrar o si no se ha configurado una configuración, se asigna a la aplicación un índice de seguridad inferior.