Análisis de WAF
Las aplicaciones web y de servicios web expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, necesitas visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Análisis de WAF proporciona una solución de panel único para ayudarte a evaluar el estado de seguridad de tus aplicaciones y tomar medidas correctivas para protegerlas.
Nota
Análisis de WAF es compatible con NetScaler Console con todos los dispositivos NetScaler que ejecuten la versión 11.0 Build 65.31 y posteriores.
Cómo funciona Análisis de WAF
Análisis de WAF es una solución intuitiva de análisis de seguridad basada en paneles que te proporciona visibilidad completa del entorno de amenazas asociado a tus aplicaciones. El análisis de seguridad está incluido en NetScaler Console y genera informes periódicamente basándose en las configuraciones de seguridad de tu Firewall de aplicaciones y del sistema NetScaler. Los informes incluyen la siguiente información para cada aplicación:
-
Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la criticidad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo NetScaler. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.
El índice de amenazas se basa en la información de los ataques. La información relacionada con los ataques, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, te proporciona información sobre los ataques a la aplicación. La información de las infracciones se envía a NetScaler Console solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades dan lugar a un valor de índice de amenazas alto.
-
Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que has configurado las instancias de NetScaler para proteger las aplicaciones de las amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad para una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.
El índice de seguridad tiene en cuenta tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema NetScaler. Para un valor de índice de seguridad alto, ambas configuraciones deben ser sólidas. Por ejemplo, si se han implementado comprobaciones rigurosas del firewall de aplicaciones, pero no se han adoptado medidas de seguridad del sistema NetScaler, como una contraseña segura para el usuario
nsroot, a las aplicaciones se les asigna un valor de índice de seguridad bajo. -
Información procesable. La información que necesitas para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puedes revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras características de seguridad, y la velocidad a la que se están atacando las aplicaciones.
Configurar Análisis de WAF
Nota:
Puedes empezar a configurar las protecciones a través del panel de control de Seguridad unificada. Para obtener más información, consulta Panel de control de Seguridad unificada
-
Ve a Infraestructura > Instancias > NetScaler y selecciona el tipo de instancia. Por ejemplo, VPX.
-
Selecciona la instancia y de la lista Seleccionar acción, selecciona Configurar análisis.
-
En la ventana Configurar análisis en el servidor virtual:
-
Selecciona los servidores virtuales en los que quieres habilitar el análisis de seguridad y haz clic en Habilitar seguridad y análisis.
Se muestra la ventana Habilitar seguridad y análisis.
-
Selecciona Infracciones de seguridad de WAF.
- En Opciones avanzadas, selecciona Logstream o IPFIX como Modo de transporte.
Nota
Para NetScaler 12.0 o anterior, IPFIX es la opción predeterminada para el Modo de transporte. Para NetScaler 12.0 o posterior, puedes seleccionar Logstream o IPFIX como Modo de transporte.
Para obtener más información sobre IPFIX y Logstream, consulta Información general de Logstream.
-
La expresión es verdadera de forma predeterminada.
-
Haz clic en Aceptar.
Nota
- Si no tienes la licencia Flexed y seleccionas servidores virtuales que no tienen licencia, NetScaler Console primero licencia esos servidores virtuales y luego habilita el análisis.
-
Después de hacer clic en Aceptar, NetScaler Console procesa la habilitación del análisis en los servidores virtuales seleccionados.
Nota
Cuando creas un grupo, puedes asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de NetScaler Console ahora admite la autorización basada en direcciones IP virtuales. Tus usuarios ahora pueden ver informes de todos los análisis solo para las aplicaciones (servidores virtuales) para las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulta Configuración de grupos en NetScaler Console.
Configurar ubicaciones geográficas para los informes de análisis de seguridad
Si configuras ubicaciones geográficas en NetScaler Console, los informes de Análisis de WAF incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Para habilitar las ubicaciones geográficas, especifica un bloque de IP privado o un rango de direcciones IP para cada ubicación geográfica de tu organización. Agrega esa información en el archivo de la base de datos geográfica, junto con el nombre de la ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación. Ponte en contacto con tu representante de NetScaler para obtener el archivo de la base de datos geográfica y luego carga el archivo en la instancia de NetScaler.
Para configurar ubicaciones geográficas:
-
Copia el archivo de la base de datos geográfica, Citrix_Netscaler_InBuilt_GeoIP_DB.csv, a cualquier ubicación del dispositivo NetScaler.
-
Abre el archivo de la base de datos geográfica con un editor de texto, como el editor vi, y agrega una entrada para cada ubicación de tu organización.
La entrada debe tener el siguiente formato:
<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitudePor ejemplo,
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568 -
Ejecuta los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:
- add locationFile <Complete path with DB file>
- set appfw settings -geoLocationLogging ON
- set appfw settings -CEFLogging ON
Supervisar la reputación de IP
La característica de Reputación de IP proporciona información relacionada con los ataques sobre direcciones IP maliciosas. Por ejemplo, informa sobre la Puntuación de reputación de IP, la categoría de reputación de IP, la hora del ataque de reputación de IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.
La puntuación de reputación de IP indica el riesgo asociado a una dirección IP. La puntuación tiene los siguientes rangos:
| Puntuación de reputación de IP | Nivel de riesgo |
|---|---|
| 1–20 | Riesgo alto |
| 21–40 | Sospechoso |
| 41–60 | Riesgo moderado |
| 61–80 | Riesgo bajo |
| 81–100 | Confiable |
Para supervisar la reputación de IP:
-
Ve a Seguridad > Infracciones de seguridad, y en WAF, selecciona la aplicación que quieres supervisar.
-
Se muestran las puntuaciones de Índice de amenazas e Índice de seguridad. Haz clic en Ver detalles.
-
En Configuración del firewall de aplicaciones, puedes ver la puntuación del índice de seguridad de la reputación de IP.
Umbrales
Puedes establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Análisis de WAF.
Para establecer un umbral:
-
Ve a Configuración > Configuración de análisis > Umbrales, y selecciona Agregar.
-
Selecciona el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduce la información requerida en los demás campos apropiados, como Nombre, Duración y entidad.
-
En la sección Regla, usa los campos Métrica, Comparador y Valor para establecer un umbral.
Por ejemplo, “Índice de amenazas” “>” “5”
-
Haz clic en Crear.
Casos de uso de Análisis de WAF
Los siguientes casos de uso describen cómo puedes usar el análisis de seguridad para evaluar la exposición a amenazas de las aplicaciones y mejorar las medidas de seguridad.
Obtener una visión general del entorno de amenazas
En este caso de uso, tienes un conjunto de aplicaciones expuestas a ataques y has configurado NetScaler Console para supervisar el entorno de amenazas. Debes revisar el índice de amenazas, el índice de seguridad y el tipo y la gravedad de cualquier ataque que las aplicaciones puedan haber experimentado para centrarte primero en las aplicaciones críticas. El panel de análisis de seguridad proporciona un resumen de las amenazas experimentadas por tus aplicaciones durante un período de tiempo de tu elección y para un dispositivo NetScaler seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad, y el número total de ataques para el período de tiempo elegido.
Para obtener un resumen del entorno de amenazas, inicia sesión en NetScaler Console y luego ve a Seguridad > Infracción de seguridad y en WAF, se muestran las cinco aplicaciones principales según el total de infracciones afectadas. Para ver todas las aplicaciones, puedes hacer clic en Ver todo.
Determinar la configuración de seguridad existente y faltante para una aplicación
Después de revisar la exposición a amenazas de una aplicación, quieres determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puedes obtener esta información profundizando en el resumen de la aplicación.
El resumen te proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:
- Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
-
Seguridad del sistema de NetScaler Console. Muestra cuántas configuraciones de seguridad del sistema no están configuradas.
En el nodo Configuración del firewall de aplicaciones, revisa la información de comprobación de seguridad y de infracción de seguridad.
Haz clic en el nodo Seguridad del sistema de NetScaler Console y revisa la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de la aplicación.
Identificar aplicaciones que requieren atención inmediata
Las aplicaciones que necesitan atención inmediata son las aplicaciones con un índice de amenazas alto y un índice de seguridad bajo.
Determinar el número de ataques en un momento dado
Es posible que quieras determinar cuántos ataques se produjeron en una aplicación determinada en un momento dado, o que quieras estudiar la tasa de ataques durante un período de tiempo específico.
En WAF, haz clic en cualquier aplicación para ver el total de infracciones de WAF detectadas durante la duración seleccionada.
Haz clic en Registros para ver los detalles de los ataques según la gravedad y la acción realizada. La página de registros proporciona los siguientes detalles:
- Hora del ataque
- Dirección IP del cliente desde la que se produjo el ataque
- Gravedad
- Categoría de la infracción
- URL desde la que se originó el ataque y otros detalles.