Recomendaciones del WAF
El perfil de NetScaler Web App Firewall (WAF) y las firmas WAF protegen sus aplicaciones web de los ataques maliciosos. Las firmas WAF proporcionan reglas específicas y configurables para simplificar la tarea de proteger sus sitios web contra los ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Para proteger su aplicación mediante firmas, debe revisar las reglas, habilitar y configurar las que quiera aplicar.
Del mismo modo, para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada en la aplicación, debe crear un perfil WAF con controles de seguridad. Al crear un perfil WAF en la instancia de NetScaler, el tráfico puede:
-
Genérese con las comprobaciones de seguridad mencionadas
-
No se genera con las comprobaciones de seguridad mencionadas
Es posible que la instancia esté recibiendo otros ataques, pero es posible que no hayas activado esa comprobación de seguridad en los perfiles de WAF.
Como administrador, debe comprender cómo habilitar las firmas correctas y crear los perfiles WAF correctos para proteger la aplicación web. Identificar las firmas y los perfiles WAF correctos puede ser una tarea difícil en algunos escenarios.
La recomendación WAF de NetScaler Console analiza la aplicación en busca de vulnerabilidades y genera las siguientes recomendaciones:
-
Perfil WAF
-
Firma WAF
Para obtener más información, consulte Perfil WAF y Firmas WAF.
La base de datos de recomendaciones de WAF se actualiza con frecuencia para incluir cualquier vulnerabilidad nueva. Puede escanear y, a continuación, seleccionar para habilitar las recomendaciones necesarias. Puede habilitar todas las firmas y comprobaciones de seguridad, pero esto podría generar falsos positivos y afectar al rendimiento de la instancia de NetScaler. Por lo tanto, se recomienda seleccionar solo las comprobaciones de seguridad y firmas necesarias. El motor de recomendaciones de WAF también detecta automáticamente qué firmas y comprobaciones de seguridad deben habilitarse para la aplicación.
Nota
La instancia de NetScaler debe ser 13.0 41.28 o posterior (para las comprobaciones de seguridad) y 13.0 o posterior (para las firmas).
Requisitos previos
Las aplicaciones:
-
Debe tener la licencia premium.
-
Debe ser el servidor virtual de equilibrio de carga.
Configure los ajustes de escaneo de WAF
En NetScaler Console, vaya a Seguridad > Recomendación de WAF y, en Aplicaciones, haga clic en Iniciar escaneo para configurar los ajustes de escaneo de WAF para una aplicación.
En la página de recomendaciones de la WAF:
-
Nombre de dominio: Especifique el nombre de dominio de acceso público/acceso público que está asociado a la aplicación VIP. Por ejemplo:
www.example.com
.Nota
La URL inicial, la URL de inicio y la URL de cierre de sesión deben coincidir con el dominio especificado.
-
Tráfico y URL de inicio: Proporcione los detalles de la URL de la aplicación (servidor).
-
Protocolo HTTP/HTTPS: Seleccione el protocolo de la aplicación.
-
Tiempo de espera del tráfico: El tiempo de espera (en segundos) de una sola solicitud durante el escaneo. El valor debe ser superior a 0.
-
URL de inicio: La página principal de la aplicación para iniciar el escaneo. Por ejemplo:
https://www.example.com/home
. La URL debe ser una dirección IPv4 válida. Si las direcciones IP son privadas, debe asegurarse de que se pueda acceder a la dirección IP privada desde la IP de administración de NetScaler Console.
-
-
URL de inicio de sesión: especifique las credenciales de inicio de sesión y las URL, si las hay, para acceder a la aplicación.
-
URL de inicio de sesión: URL a la que se envían los datos de inicio de sesión para la autenticación. En HTML, esta URL se conoce comúnmente como URL de acción.
-
Método de autenticación: Seleccione el método de autenticación compatible (basado en formularios o encabezados) para su aplicación.
-
La autenticación basada en formularios requiere enviar un formulario a la URL de inicio de sesión con las credenciales de inicio de sesión. Estas credenciales deben tener la forma de campos de formulario y sus valores. A continuación, la aplicación comparte la cookie de sesión que se utiliza para mantener las sesiones durante el análisis.
-
La autenticación basada en encabezados requiere el encabezado de autenticación y su valor en la sección de encabezados. El encabezado de autenticación debe tener un valor válido y se usa para mantener las sesiones durante el escaneo. Los campos del formulario deben dejarse vacíos si están basados en encabezados.
-
-
Método de solicitud: Seleccione el método HTTP utilizado al enviar los datos del formulario a la URL de inicio de sesión. Los métodos de solicitud permitidos son POST, GETy PUT.
-
Campos de formulario: Especifique los datos del formulario que se enviarán a la URL de inicio de sesión. Los campos de formulario solo son obligatorios si selecciona la autenticación basada en formularios. Debe especificar en los pares clave-valor, donde el nombre del campo es la clave y el valor del campo es el valor. Asegúrese de que todos los campos del formulario necesarios para iniciar sesión se agreguen correctamente, incluidas las contraseñas. Los valores se cifran antes de almacenarlos en la base de datos. Puede hacer clic en el botón Agregar para agregar varios campos de formulario. Por ejemplo, Nombre de campo (nombre de usuario) y Valor de campo (admin).
-
Encabezados HTTP: los encabezados HTTP pueden ser necesarios para que el inicio de sesión se realice correctamente. Debe especificarlo en los pares clave-valor, donde el nombre del encabezado es la clave y el valor del encabezado es el valor. Puede hacer clic en el botón Agregar para agregar varios encabezados HTTP. Uno de los encabezados HTTP obligatorios más comunes es el encabezado Content-Type.
-
-
URL de cierre de sesión: Especifique la URL que termina la sesión después de acceder a ella. Por ejemplo:
https://www.example.com/customer/logout
. -
Vulnerabilidad: Seleccione las vulnerabilidades para que el analizador las detecte. Actualmente, esto se hace por la inyección de SQL y las infracciones de scripts entre sitios. De forma predeterminada, se seleccionan todas las infracciones. Tras seleccionar las vulnerabilidades, simula estos ataques a la aplicación para informar de la posible vulnerabilidad. Se recomienda habilitar esta detección si no se encuentra en el entorno de producción. También se informa de todas las demás vulnerabilidades, sin simular estos ataques a la aplicación.
-
Parámetros adicionales
-
Simultaneidad de solicitudes: el total de solicitudes enviadas a la aplicación web en paralelo.
-
Profundidad de escaneo: Profundidad de la aplicación web hasta la que debe continuar el escaneo. Por ejemplo, para una profundidad de escaneo de valor 2, se escanean la URL de inicio y todos los enlaces que se encuentran en esta URL. Debe especificar un valor igual o superior a 1.
-
Límite de tamaño de respuesta: El límite máximo del tamaño de la respuesta. No se escanean las respuestas que superen el valor mencionado. El límite recomendado es de 3 MB (300000 bytes).
-
La configuración de los ajustes de escaneo del WAF está completa. Puede hacer clic en Escanear para iniciar el proceso de escaneo o puede hacer clic en Guardar para más adelante para guardar las configuraciones y escanear más adelante.
Proceso de recomendación de escaneo WAF
Al iniciar el escaneo, el motor de recomendaciones del WAF:
-
Escanea la aplicación web proporcionada a través de la URL proporcionada.
-
Inspecciona la aplicación web para descubrir las tecnologías utilizadas por la aplicación web.
-
Simula los ataques de seguridad a la aplicación web para detectar posibles vulnerabilidades.
-
Recomienda firmas basadas en las tecnologías web detectadas.
-
Recomienda realizar comprobaciones de seguridad basadas en las vulnerabilidades encontradas y en el análisis del tráfico.
-
Analiza las respuestas de las aplicaciones web para generar configuraciones más detalladas.
Se admiten las siguientes comprobaciones de seguridad:
-
Desbordamiento de búfer
-
Formato de campo
-
Tarjeta de crédito
-
Consistencia de cookies
-
Inyección HTML SQL
-
Secuencias de comandos HTML entre sitios
-
Consistencia de campos de formulario
-
Etiquetado de formularios CSRF
Ver informe de escaneo
Una vez finalizado el escaneo, haga clic en Ver informe para ver los resultados.
El resultado del análisis proporciona:
-
Recomendación de WAF: Le permite ver el resumen del total de firmas y comprobaciones de seguridad recomendadas para la aplicación.
-
Detecciones de escaneo: Le permite ver la recopilación de información, como las tecnologías y los detalles de las infracciones realizadas en la aplicación. Haga clic en Ver detalles para ver la información sobre las detecciones y otros detalles del análisis.
En Recomendación de WAF, haga clic en Revisar recomendación para ver los detalles de las comprobaciones de seguridad y las firmas.
La configuración de seguridad recomendada sugiere las comprobaciones de seguridad y las firmas recomendadas para la aplicación. Puede modificar las recomendaciones de la lista y hacer clic en Ver o modificar para ver los detalles o modificar los cambios según los requisitos. La opción Restablecer la configuración predeterminada restablece todos los cambios realizados y vuelve a las recomendaciones originales.
Tras revisar los detalles, haga clic en Aplicar recomendación. Las recomendaciones se configuran mediante los StyleBooks. Debe asegurarse de aplicar la recomendación en las fichas Comprobaciones de seguridad y Firma por separado.
Se recomienda aplicar primero las firmas y, a continuación, las comprobaciones de seguridad. Esto vincula las firmas al perfil automáticamente.
Cuando apliques las firmas correctamente:
-
La configuración se aplica en la instancia de NetScaler a través del
appfw-import-object
StyleBook. -
El archivo de firmas con las recomendaciones configuradas se importa en la instancia de NetScaler.
Nota
Las firmas se admiten en NetScaler 13.0 o en una versión posterior.
Antes de proceder a aplicar las recomendaciones de la comprobación de seguridad, vaya a Aplicaciones > Configuración > Paquetes de configuración y asegúrese de que el paquete de configuración de firmas se haya creado correctamente.
Si aplica correctamente las comprobaciones de seguridad:
-
La configuración se aplica en la instancia de NetScaler a través de StyleBooks, según la versión de NetScaler. Para NetScaler 13.0 ,
waf-default-130
se usa StyleBook y para NetScaler 13.1,waf-default-131
se usa Stylebook. -
El perfil
Appfw
se crea en NetScaler y se enlaza a la aplicación mediantepolicylabel
. -
Las firmas están enlazadas al perfil appfw, si las firmas recomendadas ya están aplicadas.
Nota
Las comprobaciones de seguridad se admiten en NetScaler 13.0 41.28 o una versión posterior.
Tras aplicar la recomendación (comprobaciones de seguridad y firmas), puede ver el siguiente mensaje de confirmación:
Para comprobar que los perfiles y las firmas WAF se aplican a través de los StyleBooks predeterminados, vaya a Aplicaciones > Configuración > Paquetes de configuración.