WAF Insight
Las aplicaciones web y de servicios web que están expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de ataques, necesita visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre ataques y recomendaciones sobre contramedidas. WAF Insight proporciona una solución de panel único para ayudarlo a evaluar el estado de seguridad de sus aplicaciones y tomar medidas correctivas para proteger sus aplicaciones.
Nota
WAF Insight es compatible con NetScaler Console con todos los dispositivos NetScaler que se ejecutan en la versión 11.0, compilación 65.31 y posteriores.
Cómo funciona WAF Insight
WAF Insight es una solución intuitiva de análisis de seguridad basada en paneles de control que le brinda una visibilidad total del entorno de amenazas asociado a sus aplicaciones. La información sobre seguridad se incluye en NetScaler Console y genera informes de forma periódica en función de las configuraciones de seguridad del sistema Application Firewall y NetScaler. Los informes incluyen la siguiente información para cada aplicación:
-
Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la gravedad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo NetScaler. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.
El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría del ataque, la ubicación y los detalles del cliente, le brinda información sobre los ataques a la aplicación. La información sobre infracciones se envía a NetScaler Console solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un alto valor del índice de amenazas.
-
Índice de seguridad. Sistema de clasificación de un solo dígito que indica con qué seguridad ha configurado las instancias NetScaler para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad de una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.
El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema NetScaler. Para un valor de índice de seguridad elevado, ambas configuraciones deben ser fuertes. Por ejemplo, si se realizan comprobaciones rigurosas del firewall de aplicaciones, pero no se han adoptado medidas de seguridad del sistema NetScaler, como una contraseña segura para el
nsroot
usuario, a las aplicaciones se les asigna un valor de índice de seguridad bajo. -
Información procesable. La información que necesita para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, puede revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras características de seguridad, la velocidad a la que se atacan las aplicaciones.
Configurar WAF Insight
Nota:
Puede empezar a configurar las protecciones a través del panel Seguridad unificada. Para obtener más información, consulte Panel de seguridad unificada
-
Vaya a Infraestructura > Instancias > NetScaler y seleccione el tipo de instancia. Por ejemplo, VPX.
-
Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.
-
En la ventana Configurar análisis en el servidor virtual :
-
Seleccione los servidores virtuales en los que desea habilitar la información de seguridad y haga clic en Habilitar seguridad y análisis.
Aparece la ventana Habilitar seguridad y análisis.
-
Seleccione Violaciones de seguridad de WAF
- En Opciones avanzadas, seleccione Logstream o IPFIX como modo de transporte
Nota
Para NetScaler 12.0 o anterior, IPFIX es la opción predeterminada para el modo de transporte. Para NetScaler 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.
Para obtener más información sobre IPFIX y Logstream, consulte Descripción general de Logstream.
-
La expresión es verdadera por defecto
-
Haga clic en OK.
Nota
- Si no tiene la licencia Flexed y selecciona servidores virtuales que no tienen licencia, NetScaler Console primero otorga licencias a esos servidores virtuales y, a continuación, habilita el análisis.
-
Tras hacer clic enAceptar , NetScaler Console realiza los procesos para habilitar el análisis en los servidores virtuales seleccionados.
Nota
Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. Los análisis de NetScaler Console ahora admiten la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configuración de grupos en NetScaler Console.
Configurar ubicaciones geográficas para informes de información sobre seguridad
Si configura ubicaciones geográficas en NetScaler Console, los informes de WAF Insight incluyen las ubicaciones geográficas exactas desde las que se originan las solicitudes de los clientes. Para habilitar las ubicaciones geográficas, especifique un bloque de IP privado o un rango de direcciones IP para cada ubicación geográfica de su organización. Agregue esa información en el archivo de base de datos geográfica, junto con el nombre de la ciudad/estado/país y las coordenadas de latitud y longitud de cada ubicación. Póngase en contacto con su representante de NetScaler para obtener el archivo de la base de datos geográfica y, a continuación, cargue el archivo en la instancia de NetScaler.
Para configurar ubicaciones geográficas:
-
Copie el archivo de base de datos geográfica, Citrix_Netscaler_InBuilt_GeoIP_DB.csv, en cualquier ubicación del dispositivo NetScaler.
-
Abra el archivo de base de datos geográfica con un editor de texto, como el editor vi, y agregue una entrada para cada ubicación de su organización.
La entrada debe tener el siguiente formato:
<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude
Por ejemplo:
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
-
Ejecute los siguientes comandos para habilitar el registro de ubicación geográfica y el registro en formato CEF:
- add locationFile <Completar ruta con archivo DB>
- set appfw settings -geoLocationLogging ON
- set appfw settings -CEFLogging ON
Reputación de IP
Puede utilizar NetScaler Insight Center para supervisar y administrar la reputación IP del tráfico entrante. Puede configurar directivas para agregar más IP como maliciosas y crear una lista de bloques personalizada.
Para obtener información sobre cómo configurar y usar la reputación IP, consulte Reputación IP.
Supervisar la reputación IP
La función Reputación de IP proporciona información relacionada con ataques sobre direcciones IP malintencionadas. Por ejemplo, informa de la puntuación de la reputación IP, la categoría de la reputación IP, el tiempo de ataque de la reputación IP, la IP del dispositivo y los detalles sobre la dirección IP del cliente.
La puntuación de reputación IP indica el riesgo asociado a una dirección IP. La puntuación tiene los siguientes rangos:
Puntuación de reputación IP | Nivel de riesgo |
---|---|
1–20 | Alto riesgo |
21–40 | Sospechoso |
41–60 | Riesgo moderado |
61–80 | Riesgo bajo |
81–100 | Confiable |
Para supervisar la reputación IP:
-
Vaya a Seguridad > Violacionesde seguridad y, en WAF, seleccione la aplicación que quiere supervisar.
-
Se muestran las puntuaciones del Índice de amenazasy del Índice de seguridad. Haga clic enVer detalles.
-
En Configuración de Firewall de aplicaciones, puede ver la puntuación del índice de seguridad de reputación IP.
Umbrales
Puede establecer y ver los umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en WAF Insight.
Para establecer un umbral:
-
Vaya a Configuración > Configuración de análisis > Umbralesy seleccione Agregar.
-
Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información requerida en los demás campos correspondientes, como Nombre, Duración y entidad.
-
En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral.
Por ejemplo, “Índice de amenazas” “>” “5”
-
Haga clic en Crear.
Casos de uso de WAF Insight
En los siguientes casos de uso se describe cómo puede utilizar Security Insight para evaluar la exposición a las amenazas de las aplicaciones y mejorar las medidas de seguridad.
Obtenga una visión general del entorno de amenazas
En este caso práctico, tiene un conjunto de aplicaciones que están expuestas a ataques y ha configurado NetScaler Console para supervisar el entorno de amenazas. Debe revisar el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que puedan haber experimentado las aplicaciones para centrarse primero en las aplicaciones críticas. El panel de información de seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones durante un período de tiempo que elija y para un dispositivo NetScaler seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad y el número total de ataques durante el período de tiempo elegido.
Para obtener un resumen del entorno de amenazas, inicie sesión en NetScaler Console y, a continuación, vaya a Seguridad > Infracción de seguridad y, en WAF, se muestran las cinco aplicaciones principales según el total de infracciones afectadas. Para ver todas las aplicaciones, puede hacer clic en Ver todas.
Determinar la configuración de seguridad existente y faltante para una aplicación
Después de revisar la exposición a amenazas de una aplicación, quiere determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Puede obtener esta información profundizando en el resumen de la aplicación.
El resumen proporciona información sobre la eficacia de las siguientes configuraciones de seguridad:
- Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.
-
Seguridad del sistema de consola NetScaler. Muestra cuántas opciones de seguridad del sistema no están configuradas.
En el nodo Configuración de Firewall de aplicaciones, revise la comprobación de seguridad y la información de infracción de seguridad.
Haga clic en el nodo Seguridad del sistema de la consola NetScaler y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de las aplicaciones.
Identificar aplicaciones que requieren atención inmediata
Las aplicaciones que necesitan atención inmediata son las aplicaciones que tienen un alto índice de amenazas y un índice de seguridad bajo.
Determinar el número de ataques en un tiempo dado
Es posible que quiera determinar cuántos ataques se produjeron en una aplicación determinada en un momento determinado o que quiera estudiar la tasa de ataques durante un período de tiempo específico.
En WAF, haga clic en cualquier aplicación para ver el total de infracciones WAF detectadas durante la duración seleccionada.
Haga clic en Registros para ver los detalles de los ataques basados en la gravedad y las medidas adoptadas. La página de registros proporciona los siguientes detalles:
-
Tiempo de ataque
-
Dirección IP del cliente desde el que se produjo el ataque
-
Gravedad
-
Categoría de infracción
-
URL desde la que se originó el ataque y otros detalles.