Desplegar NetScaler® Web App Firewall en Azure

NetScaler Web App Firewall es una solución de nivel empresarial que ofrece protecciones de vanguardia para aplicaciones modernas. Esta solución mitiga las amenazas contra los activos expuestos al público, incluidos sitios web, aplicaciones web y API. Incluye filtrado basado en reputación de IP, mitigación de bots, protecciones contra las 10 principales amenazas de aplicaciones de OWASP, protección DDoS de capa 7 y más. También se incluyen opciones para aplicar la autenticación, cifrados SSL/TLS robustos, TLS 1.3, limitación de velocidad y políticas de reescritura. Utilizando protecciones WAF básicas y avanzadas, NetScaler Web App Firewall proporciona una protección integral para sus aplicaciones con una facilidad de uso inigualable. Ponerlo en marcha es cuestión de minutos. Además, utilizando un modelo de aprendizaje automatizado, llamado perfilado dinámico, este ahorra un tiempo valioso a los usuarios. Al aprender automáticamente cómo funciona una aplicación protegida, se adapta a la aplicación incluso cuando los desarrolladores la implementan y modifican. NetScaler Web App Firewall ayuda con el cumplimiento de todas las principales normativas y organismos reguladores, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil ponerlo en marcha rápidamente. Con el autoescalado, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso cuando su tráfico aumenta.

NetScaler Web App Firewall se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, normalmente detrás del router o firewall de la empresa del cliente. Para obtener más información, consulte Introducción a NetScaler Web App Firewall.

Estrategia de despliegue de NetScaler Web App Firewall

1. Desplegar el firewall de aplicaciones web implica evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y aquellos para los que la inspección de seguridad se puede omitir de forma segura. Esto ayuda a los usuarios a establecer una configuración óptima y a diseñar políticas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, los usuarios podrían querer configurar una política para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra política para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden usar múltiples políticas y perfiles para proteger diferentes contenidos de la misma aplicación.

2. Para establecer la línea base de la implementación, cree un servidor virtual y ejecute tráfico de prueba a través de él para hacerse una idea de la velocidad y la cantidad de tráfico que fluye a través del sistema del usuario.

3. Despliegue el Firewall de aplicaciones web. Utilice NetScaler ADM y el StyleBook del Firewall de aplicaciones web para configurar el Firewall de aplicaciones web. Consulte la sección StyleBook a continuación en esta guía para obtener más detalles.

4. Implemente el Firewall de aplicaciones web de NetScaler y OWASP Top Ten.

Las tres protecciones del Firewall de aplicaciones web son especialmente eficaces contra los tipos comunes de ataques web y, por lo tanto, se utilizan con más frecuencia que cualquier otra. Por lo tanto, deben implementarse en la implementación inicial. Son:

• Scripting entre sitios HTML: Examina las solicitudes y respuestas en busca de scripts que intentan acceder o modificar contenido en un sitio web diferente al de origen del script. Cuando esta comprobación encuentra un script de este tipo, o bien hace que el script sea inofensivo antes de reenviar la solicitud o respuesta a su destino, o bloquea la conexión.

• Inyección SQL HTML: Examina las solicitudes que contienen datos de campos de formulario en busca de intentos de inyectar comandos SQL en una base de datos SQL. Cuando esta comprobación detecta código SQL inyectado, o bien bloquea la solicitud o hace que el código SQL inyectado sea inofensivo antes de reenviar la solicitud al servidor web.

  Nota:

  Asegúrese de que su Firewall de aplicaciones web esté configurado correctamente para que se apliquen las siguientes condiciones en su configuración:

   >-  If users enable the HTML Cross-Site Scripting check or the HTML SQL Injection check (or both).
   >
   >-  User protected websites accept file uploads or contain Web forms that can contain large POST body data.
  

Para obtener más información sobre cómo configurar el Firewall de aplicaciones web para gestionar este caso, consulte Configuración del Firewall de aplicaciones: Configuración del Firewall de aplicaciones web.

• Desbordamiento de búfer: Examina las solicitudes para detectar intentos de provocar un desbordamiento de búfer en el servidor web.

Configuración del Firewall de aplicaciones web

Asegúrese de que el Firewall de aplicaciones web de NetScaler ya esté habilitado y funcione correctamente. Le recomendamos que configure el Firewall de aplicaciones web de NetScaler mediante el StyleBook del Firewall de aplicaciones web. La mayoría de los usuarios lo encuentran el método más fácil para configurar el Firewall de aplicaciones web, y está diseñado para evitar errores. Tanto la GUI como la interfaz de línea de comandos están destinadas a usuarios experimentados, principalmente para modificar una configuración existente o usar opciones avanzadas.

Inyección SQL

La comprobación de inyección SQL HTML del Firewall de aplicaciones web de NetScaler proporciona defensas especiales contra la inyección de código SQL no autorizado que podría comprometer la seguridad de la aplicación del usuario. El Firewall de aplicaciones web de NetScaler examina la carga útil de la solicitud en busca de código SQL inyectado en tres ubicaciones: 1) cuerpo POST, 2) encabezados y 3) cookies. Para obtener más información, consulte Comprobación de inyección SQL HTML.

Scripting entre sitios

La comprobación de scripting entre sitios HTML (cross-site scripting) examina tanto los encabezados como los cuerpos POST de las solicitudes de usuario en busca de posibles ataques de scripting entre sitios. Si encuentra un script entre sitios, modifica (transforma) la solicitud para que el ataque sea inofensivo o bloquea la solicitud. Para obtener más información, consulte Comprobación de scripting entre sitios HTML.

Comprobación de desbordamiento de búfer

La comprobación de desbordamiento de búfer detecta intentos de causar un desbordamiento de búfer en el servidor web. Si el Firewall de aplicaciones web detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede causar un desbordamiento de búfer. Para obtener más información, consulte Comprobación de desbordamiento de búfer.

Parcheo virtual/firmas

Las firmas proporcionan reglas específicas y configurables para simplificar la tarea de proteger los sitios web de los usuarios contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas preconfiguradas integradas o nativas ofrece una solución de seguridad fácil de usar, aplicando el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones. Para obtener más información, consulte Firmas.

El Firewall de aplicaciones web de NetScaler admite la actualización automática y manual de firmas. También sugerimos habilitar la actualización automática para que las firmas se mantengan actualizadas.

Estos archivos de firma están alojados en el entorno de AWS y es importante permitir el acceso saliente a las direcciones IP de NetScaler desde los firewalls de red para obtener los archivos de firma más recientes. La actualización de firmas en NetScaler no tiene ningún efecto mientras se procesa el tráfico en tiempo real.

Análisis de seguridad de aplicaciones

El Panel de seguridad de aplicaciones proporciona una vista holística del estado de seguridad de las aplicaciones de usuario. Por ejemplo, muestra métricas de seguridad clave como violaciones de seguridad, violaciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques, como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para el NetScaler descubierto.

Nota:

Para ver las métricas del panel de seguridad de la aplicación, debe habilitarse AppFlow for Security insight en las instancias de NetScaler que los usuarios desean supervisar.

Para ver las métricas de seguridad de una instancia de NetScaler en el panel de seguridad de la aplicación:

1. Inicie sesión en NetScaler ADM con las credenciales de administrador.

2. Vaya a Applications > App Security Dashboard, y seleccione la dirección IP de la instancia de la lista de Dispositivos.

Los usuarios pueden profundizar en las discrepancias notificadas en el Application Security Investigator haciendo clic en las burbujas trazadas en el gráfico.

Aprendizaje centralizado en ADM

NetScaler Web App Firewall protege las aplicaciones web de los usuarios contra ataques maliciosos como la inyección SQL y el scripting entre sitios (XSS). Para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada, los usuarios deben supervisar su tráfico en busca de amenazas y datos procesables en tiempo real sobre los ataques. A veces, los ataques notificados pueden ser falsos positivos y deben proporcionarse como una excepción.

El aprendizaje centralizado en NetScaler ADM es un filtro de patrones repetitivos que permite a WAF aprender el comportamiento (las actividades normales) de las aplicaciones web de los usuarios. Basándose en la supervisión, el motor genera una lista de reglas o excepciones sugeridas para cada comprobación de seguridad aplicada al tráfico HTTP.

Es mucho más fácil implementar reglas de relajación mediante el motor de aprendizaje que implementarlas manualmente como relajaciones necesarias.

Para implementar la función de aprendizaje, los usuarios deben configurar primero un perfil de Firewall de aplicaciones web (conjunto de configuraciones de seguridad) en el NetScaler del usuario. Para obtener más información, consulte Creación de perfiles de Firewall de aplicaciones web.

NetScaler ADM genera una lista de excepciones (relajaciones) para cada comprobación de seguridad. Como administrador, puede revisar la lista de excepciones en NetScaler ADM y decidir si implementarlas u omitirlas.

Con la función de aprendizaje de WAF en NetScaler ADM, puede:

• Configure un perfil de aprendizaje con las siguientes comprobaciones de seguridad.

  • Desbordamiento de búfer

  • Scripting de sitios cruzados HTML

    Nota:

    La limitación de ubicación del script de sitios cruzados es solo FormField.

  • Inyección SQL HTML

    Nota:

    Para la comprobación de inyección SQL HTML, los usuarios deben configurar set -sqlinjectionTransformSpecialChars ON y set -sqlinjectiontype sqlspclcharorkeywords en NetScaler.

• Compruebe las reglas de relajación en NetScaler ADM y decida tomar la acción necesaria (implementar u omitir).

• Reciba las notificaciones por correo electrónico, Slack y ServiceNow.

• Utilice el panel para ver los detalles de la relajación.

Para usar el aprendizaje de WAF en NetScaler ADM:

1. Configure el perfil de aprendizaje: Configurar el perfil de aprendizaje

2. Consulte las reglas de relajación: Ver reglas de relajación y reglas inactivas

3. Utilice el panel de aprendizaje de WAF: Ver panel de aprendizaje de WAF

StyleBooks

Los StyleBooks simplifican la tarea de administrar configuraciones complejas de NetScaler para las aplicaciones de usuario. Un StyleBook es una plantilla que los usuarios pueden usar para crear y administrar configuraciones de NetScaler. Aquí, los usuarios se preocupan principalmente por el StyleBook utilizado para implementar el firewall de aplicaciones web. Para obtener más información sobre los StyleBooks, consulte StyleBooks.

Análisis de información de seguridad

Las aplicaciones web y de servicios web expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, los usuarios necesitan visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de usuario y tomar medidas correctivas para protegerlas. Para obtener más información, consulte Security Insight.

Obtener información detallada sobre las infracciones de seguridad

Los usuarios pueden querer ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones tomadas por la instancia de ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, los usuarios pueden querer determinar cuántos ataques a Microsoft Lync fueron bloqueados, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel de Security Insight, haga clic en Lync > Total Violations. En la tabla, haga clic en el icono de filtro en el encabezado de la columna Action Taken y, a continuación, seleccione Blocked.

Para obtener información sobre los recursos solicitados, revise la columna URL. Para obtener información sobre los orígenes de los ataques, revise la columna Client IP.

Ver detalles de la expresión de registro

NetScaler utiliza expresiones de registro configuradas con el perfil de Firewall de aplicaciones para tomar medidas ante los ataques a una aplicación en la empresa del usuario. En Security Insight, los usuarios pueden ver los valores devueltos para las expresiones de registro utilizadas por la instancia de ADC. Estos valores incluyen el encabezado de la solicitud, el cuerpo de la solicitud, etc. Además de los valores de la expresión de registro, los usuarios también pueden ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Firewall de aplicaciones que la instancia de ADC utilizó para tomar medidas ante el ataque.

Requisitos previos:

Asegúrese de que los usuarios:

• Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

• Habilite la configuración de Security Insights basada en expresiones de registro en NetScaler ADM. Haga lo siguiente:

  • Vaya a Analytics > Settings y haga clic en Enable Features for Analytics.

  • En la página Habilitar funciones para análisis, seleccione Habilitar Security Insight en la sección Configuración de Security Insight basada en expresiones de registro y haga clic en Aceptar.

Por ejemplo, es posible que desee ver los valores de la expresión de registro devueltos por la instancia de ADC para la acción que realizó ante un ataque a Microsoft Lync en la empresa del usuario.

En el panel de Security Insight, vaya a Lync > Total Violations. En la tabla Resumen de la aplicación, haga clic en la URL para ver los detalles completos de la infracción en la página Información de la infracción, incluido el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.

Determine el índice de seguridad antes de implementar la configuración. Las infracciones de seguridad ocurren después de que los usuarios implementan la configuración de seguridad en una instancia de ADC, pero los usuarios pueden querer evaluar la efectividad de la configuración de seguridad antes de implementarla.

Por ejemplo, los usuarios pueden querer evaluar el índice de seguridad de la configuración para la aplicación SAP en la instancia de ADC con la dirección IP 10.102.60.27.

En el panel de Security Insight, en Dispositivos, haga clic en la dirección IP de la instancia de ADC que los usuarios configuraron. Los usuarios pueden ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Haga clic en Sap > Safety Index > SAP_Profile y evalúe la información del índice de seguridad que aparece.

En el resumen del firewall de aplicaciones, los usuarios pueden ver el estado de la configuración de los diferentes ajustes de protección. Si un ajuste está configurado para registrar o si un ajuste no está configurado, a la aplicación se le asigna un índice de seguridad más bajo.

Infracciones de seguridad

Las aplicaciones web expuestas a Internet se han vuelto drásticamente vulnerables a los ataques. NetScaler ADM le permite visualizar detalles de infracciones procesables para proteger las aplicaciones de los ataques.

Ver detalles de infracciones de seguridad de aplicaciones

Las aplicaciones web expuestas a Internet se han vuelto drásticamente más vulnerables a los ataques. NetScaler ADM permite a los usuarios visualizar detalles de infracciones procesables para proteger las aplicaciones de los ataques. Vaya a Seguridad > Infracciones de seguridad para obtener una solución de panel único para:

• Acceder a las infracciones de seguridad de las aplicaciones según sus categorías, como Red, Bot y WAF

• Tomar medidas correctivas para proteger las aplicaciones

Para ver las infracciones de seguridad en NetScaler ADM, asegúrese de que:

• Los usuarios tienen una licencia premium para NetScaler (para infracciones de WAF y BOT).

• Los usuarios han solicitado una licencia en los servidores virtuales de equilibrio de carga o conmutación de contenido (para WAF y BOT). Para obtener más información, consulte Administrar licencias en servidores virtuales.

• Los usuarios pueden habilitar más configuraciones. Para obtener más información, consulte el procedimiento disponible en la sección Configuración de la documentación del producto NetScaler: Configuración.

Categorías de infracciones

NetScaler ADM permite a los usuarios ver las infracciones disponibles en Todas las infracciones:

Configuración

Para las infracciones, asegúrese de que Metrics Collector esté habilitado. De forma predeterminada, Metrics Collector está habilitado en NetScaler. Para obtener más información, consulte Configurar Intelligent App Analytics.

Habilitar análisis de seguridad avanzados

• Vaya a Redes > Instancias > NetScaler y seleccione el tipo de instancia. Por ejemplo, MPX.

• Seleccione la instancia de NetScaler y, en la lista Seleccionar acción, seleccione Configurar análisis.

• Seleccione el servidor virtual y haga clic en Habilitar análisis.

• En la ventana Habilitar análisis:

  • Seleccione Web Insight. Después de que los usuarios seleccionen Web Insight, la opción de solo lectura Análisis de seguridad avanzado se habilita automáticamente.

  Nota:

  La opción Análisis de seguridad avanzado se muestra solo para instancias de ADC con licencia premium.

  • Seleccione Logstream como Modo de transporte

  • La expresión es verdadera por defecto

  • Haga clic en Aceptar

Habilitar la configuración de transacciones web

• Vaya a Análisis > Configuración.

Se muestra la página Configuración.

• Haga clic en Habilitar funciones para análisis.

• En Configuración de transacciones web, seleccione Todo.

• Haga clic en Aceptar.

Panel de infracciones de seguridad

En el panel de infracciones de seguridad, los usuarios pueden ver:

• Total de infracciones ocurridas en todos los NetScaler y aplicaciones. El total de infracciones se muestra en función de la duración de tiempo seleccionada.

• Total de infracciones por categoría.

• Total de ADC afectados, total de aplicaciones afectadas y principales infracciones según el total de ocurrencias y las aplicaciones afectadas.

Para obtener más información sobre los detalles de las infracciones, consulte Todas las infracciones.

Información de bots

Configure la información de BOT en NetScaler. Para obtener más información, consulte Bot.

Ver bots

Haga clic en el servidor virtual para ver el Resumen de la aplicación

1. Proporciona los detalles del resumen de la aplicación, como:

   • RPS promedio – Indica el promedio de solicitudes de transacciones de bots por segundo (RPS) recibidas en los servidores virtuales.

   • Bots por gravedad – Indica que las transacciones de bots más altas ocurrieron según la gravedad. La gravedad se clasifica en Crítica, Alta, Media y Baja.

   Por ejemplo, si los servidores virtuales tienen 11770 bots de gravedad alta y 1550 bots de gravedad crítica, NetScaler ADM muestra Crítica 1.55 K en Bots por gravedad.

   • Categoría de bot más grande – Indica que los ataques de bots más altos ocurrieron según la categoría de bot.

   Por ejemplo, si los servidores virtuales tienen 8000 bots en la lista de bloqueo, 5000 bots en la lista de permitidos y 10000 bots con límite de velocidad excedido, NetScaler ADM muestra Límite de velocidad excedido 10 K en Categoría de bot más grande.

   • Fuente geográfica más grande – Indica que los ataques de bots más altos ocurrieron según una región.

   Por ejemplo, si los servidores virtuales tienen 5000 ataques de bots en Santa Clara, 7000 ataques de bots en Londres y 9000 ataques de bots en Bangalore, NetScaler ADM muestra Bangalore 9 K en Fuente geográfica más grande.

   • % promedio de tráfico de bots – Indica la relación entre humanos y bots.

2. Muestra la gravedad de los ataques de bots según las ubicaciones en la vista de mapa

3. Muestra los tipos de ataques de bots (Buenos, Malos y todos)

4. Muestra el total de ataques de bots junto con las acciones configuradas correspondientes. Por ejemplo, si ha configurado:

   • Rango de direcciones IP (192.140.14.9 a 192.140.14.254) como bots de lista de bloqueo y ha seleccionado Soltar como acción para estos rangos de direcciones IP

   • Rango de IP (192.140.15.4 a 192.140.15.254) como bots de lista de bloqueo y ha seleccionado crear un mensaje de registro como acción para estos rangos de IP

     En este escenario, NetScaler ADM muestra:

     • Total de bots en la lista de bloqueo

     • Total de bots en Dropped

     • Total de bots en Log

Ver bots CAPTCHA

En las páginas web, los CAPTCHA están diseñados para identificar si el tráfico entrante proviene de un humano o de un bot automatizado. Para ver las actividades de CAPTCHA en NetScaler ADM, los usuarios deben configurar CAPTCHA como una acción de bot para la reputación de IP y las técnicas de detección de huellas dactilares de dispositivos en una instancia de NetScaler ADM. Para obtener más información, consulte: Configurar la gestión de bots.

Las siguientes son las actividades de CAPTCHA que NetScaler ADM muestra en Bot insight:

• Intentos de Captcha excedidos – Denota el número máximo de intentos de CAPTCHA realizados después de fallos de inicio de sesión

• Cliente de Captcha silenciado – Denota el número de solicitudes de cliente que se han descartado o redirigido porque estas solicitudes se detectaron como bots maliciosos anteriormente con el desafío CAPTCHA

• Humano – Denota las entradas de captcha realizadas por usuarios humanos

• Respuesta de captcha no válida – Denota el número de respuestas CAPTCHA incorrectas recibidas del bot o humano, cuando NetScaler envía un desafío CAPTCHA

Ver trampas de bots

Para ver las trampas de bots en NetScaler ADM, debe configurar la trampa de bots en NetScaler. Para obtener más información, consulte: Configurar la gestión de bots.

Para identificar la trampa de bots, se habilita un script en la página web y este script está oculto para los humanos, pero no para los bots. NetScaler ADM identifica e informa de las trampas de bots cuando los bots acceden a este script.

Haga clic en el servidor virtual y seleccione Solicitud de píxel cero

Ver detalles del bot

Para obtener más detalles, haga clic en el tipo de ataque de bot en Categoría de bot.

Se muestran los detalles, como la hora del ataque y el número total de ataques de bot para la categoría de captcha seleccionada.

Los usuarios también pueden arrastrar el gráfico de barras para seleccionar el rango de tiempo específico que se mostrará con los ataques de bot.

Para obtener información adicional sobre el ataque de bot, haga clic para expandir.

• IP de instancia –Indica la dirección IP de la instancia de NetScaler.

• Bots totales –Indica que el total de ataques de bot ocurrió en ese momento en particular.

• URL de solicitud HTTP –Indica la URL configurada para la notificación de captcha.

• Código de país – Indica el país donde ocurrió el ataque de bot.

• Región – Indica la región donde ocurrió el ataque de bot.

• Nombre de perfil – Indica el nombre de perfil que los usuarios proporcionaron durante la configuración.

Búsqueda avanzada

Los usuarios también pueden usar el cuadro de texto de búsqueda y la lista de duración de tiempo, donde pueden ver los detalles del bot según los requisitos del usuario. Cuando los usuarios hacen clic en el cuadro de búsqueda, este les ofrece la siguiente lista de sugerencias de búsqueda.

• IP de instancia – Dirección IP de la instancia de NetScaler.

• IP de cliente – Dirección IP del cliente.

• Tipo de bot – Tipo de bot, como Bueno o Malo.

• Gravedad – Gravedad del ataque de bot.

• Acción realizada – Acción realizada después del ataque de bot, como Descartar, Sin acción, Redirigir.

• Categoría de bot – Categoría del ataque de bot, como lista de bloqueo, lista de permitidos, huella digital. Según una categoría, los usuarios pueden asociarle una acción de bot.

• Detección de bot – Tipos de detección de bot (lista de bloqueo, lista de permitidos, etc.) que los usuarios han configurado en NetScaler.

• Ubicación – Región/país donde se ha producido el ataque de bot

• URL de solicitud – URL que tiene los posibles ataques de bot

Los usuarios también pueden usar operadores en las consultas de búsqueda para acotar el enfoque de la búsqueda. Por ejemplo, si los usuarios quieren ver todos los bots maliciosos:

• Haga clic en el cuadro de búsqueda y seleccione Tipo de bot

• Haga clic de nuevo en el cuadro de búsqueda y seleccione el operador =

• Haga clic de nuevo en el cuadro de búsqueda y seleccione Malicioso

• Haga clic en Buscar para mostrar los resultados

Tasa de solicitudes inusualmente alta

Los usuarios pueden controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede realizar una tasa de solicitudes inusualmente alta. Por ejemplo, si los usuarios configuran una aplicación para permitir 100 solicitudes/minuto y observan 350 solicitudes, podría tratarse de un ataque de bot.

Mediante el indicador Tasa de solicitudes inusualmente alta, los usuarios pueden analizar la tasa de solicitudes inusuales recibidas por la aplicación.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y el % de solicitudes excesivas recibidas en comparación con las solicitudes esperadas

• El rango aceptado de tasas de solicitudes esperadas de la aplicación

Detección de bots

El sistema de administración de bots de NetScaler utiliza varias técnicas para detectar el tráfico de bots entrante. Las técnicas se utilizan como reglas de detección para identificar el tipo de bot.

Configuración de la gestión de bots mediante la GUI de

Los usuarios pueden configurar la gestión de bots de NetScaler habilitando primero la función en el dispositivo. Para obtener más información, consulte Detección de bots.

Reputación de IP

La reputación de IP es una herramienta que identifica las direcciones IP que envían solicitudes no deseadas. Con la lista de reputación de IP, puede rechazar las solicitudes que provienen de una dirección IP con mala reputación.

Configurar la reputación de IP mediante la GUI de

Esta configuración es un requisito previo para la función de reputación de IP de bots. Para obtener más información, consulte Reputación de IP.

Actualización automática de firmas de bots

La técnica de firma estática de bots utiliza una tabla de búsqueda de firmas con una lista de bots buenos y bots malos. Para obtener más información, consulte Actualización automática de firmas.

NetScaler Web App Firewall y OWASP Top Ten–2021

El Open Web Application Security Project (OWASP) publicó el OWASP Top 10 para 2021 para la seguridad de las aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. Esta sección explica cómo configurar el NetScaler Web App Firewall para mitigar estos fallos. WAF está disponible como un módulo integrado en NetScaler (Premium Edition) y en una gama completa de dispositivos.

El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

A1:2021 Control de acceso roto

Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a funcionalidades y datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso.

Protecciones de NetScaler Web App Firewall

• La función AAA, que admite la autenticación, autorización y auditoría de todo el tráfico de la aplicación, permite a un administrador del sitio gestionar los controles de acceso con el dispositivo ADC.

• La función de seguridad de Autorización dentro del módulo AAA del dispositivo ADC permite al dispositivo verificar a qué contenido de un servidor protegido debe permitir el acceso a cada usuario.

• Coherencia de los campos del formulario: Si las referencias de objetos se almacenan como campos ocultos en los formularios, al usar la coherencia de los campos del formulario, puede validar que estos campos no se manipulen en solicitudes posteriores.

• Proxy de cookies y coherencia de cookies: Las referencias de objetos que se almacenan en los valores de las cookies se pueden validar con estas protecciones.

• Comprobación de URL de inicio con cierre de URL: Permite el acceso del usuario a una lista de URL permitidas predefinida. El cierre de URL crea una lista de todas las URL vistas en respuestas válidas durante la sesión del usuario y permite automáticamente el acceso a ellas durante esa sesión.

A2:2021 - Fallos criptográficos

Muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como los financieros, de atención médica y PII. Los atacantes pueden robar o modificar dichos datos mal protegidos para cometer fraudes con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales al intercambiarse con el navegador.

Protecciones de NetScaler Web App Firewall

• Web Application Firewall protege las aplicaciones de la fuga de datos confidenciales como los detalles de tarjetas de crédito.

• Los datos confidenciales se pueden configurar como objetos seguros en la protección de Safe Commerce para evitar la exposición.

• Cualquier dato confidencial en las cookies puede protegerse mediante el proxy de cookies y el cifrado de cookies.

A3:2021 - Inyección

Las fallas de inyección, como la inyección SQL, NoSQL, OS y LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a datos sin la autorización adecuada.

Las fallas de XSS ocurren cada vez que una aplicación incluye datos no confiables en una nueva página web sin la validación o el escape adecuados, o actualiza una página web existente con datos proporcionados por el usuario utilizando una API del navegador que puede crear HTML o JavaScript. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima, lo que puede secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Protecciones de NetScaler Web App Firewall

• La función de prevención de inyección SQL protege contra ataques de inyección comunes. Se pueden cargar patrones de inyección personalizados para proteger contra cualquier tipo de ataque de inyección, incluidos XPath y LDAP. Esto es aplicable tanto para cargas HTML como XML.

• La función de actualización automática de firmas mantiene las firmas de inyección actualizadas.

• La función de protección de formato de campo permite al administrador restringir cualquier parámetro de usuario a una expresión regular. Por ejemplo, puede exigir que un campo de código postal contenga solo números enteros o incluso números enteros de 5 dígitos.

• La coherencia del campo de formulario valida cada formulario de usuario enviado con la firma del formulario de la sesión del usuario para garantizar la validez de todos los elementos del formulario.

• Las comprobaciones de desbordamiento de búfer garantizan que la URL, los encabezados y las cookies estén dentro de los límites correctos, bloqueando cualquier intento de inyectar scripts o código grandes.

• La protección XSS protege contra ataques XSS comunes. Se pueden cargar patrones XSS personalizados para modificar la lista predeterminada de etiquetas y atributos permitidos. El ADC WAF utiliza una lista blanca de atributos y etiquetas HTML permitidos para detectar ataques XSS. Esto es aplicable tanto para cargas HTML como XML.

• ADC WAF bloquea todos los ataques enumerados en la hoja de trucos de evaluación de filtros XSS de OWASP.

• La comprobación del formato de campo evita que un atacante envíe datos de formulario web inapropiados, lo que puede ser un posible ataque XSS.

• Coherencia del campo de formulario.

A5:2021 - Mala configuración de seguridad

La mala configuración de seguridad es el problema más común. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o improvisadas, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, marcos, bibliotecas y aplicaciones deben configurarse de forma segura, sino que también deben parchearse y actualizarse de manera oportuna.

Muchos procesadores XML antiguos o mal configurados evalúan referencias de entidades externas dentro de documentos XML. Las entidades externas se pueden utilizar para divulgar archivos internos utilizando el controlador de URI de archivo, recursos compartidos de archivos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio.

Protecciones de NetScaler Web App Firewall

• El informe PCI-DSS generado por el Firewall de aplicaciones, documenta la configuración de seguridad en el dispositivo Firewall.

• Los informes de las herramientas de escaneo se convierten en firmas ADC WAF para gestionar las configuraciones de seguridad incorrectas.

• NetScaler Web App Firewall Web Application Firewall es compatible con Cenzic, IBM AppScan (Enterprise y Standard), Qualys, TrendMicro, WhiteHat y los informes de escaneo de vulnerabilidades personalizados.

• Además de detectar y bloquear amenazas comunes de aplicaciones que pueden adaptarse para atacar aplicaciones basadas en XML (es decir, scripts entre sitios, inyección de comandos, etc.).

• NetScaler Web App Firewall Web Application Firewall incluye un amplio conjunto de protecciones de seguridad específicas para XML. Estas incluyen la validación de esquemas para verificar exhaustivamente los mensajes SOAP y las cargas útiles XML, y una potente comprobación de archivos adjuntos XML para bloquear archivos adjuntos que contengan ejecutables maliciosos o virus.

• Los métodos automáticos de inspección de tráfico bloquean los ataques de inyección XPath en URL y formularios destinados a obtener acceso.

• NetScaler Web App Firewall Web Application Firewall también frustra varios ataques DoS, incluidas las referencias a entidades externas, la expansión recursiva, el anidamiento excesivo y los mensajes maliciosos que contienen atributos y elementos largos o numerosos.

A6:2021 - Componentes vulnerables y obsoletos

Los componentes, como bibliotecas, marcos y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar una grave pérdida de datos o la toma de control del servidor. Las aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de la aplicación y permitir diversos ataques e impactos.

Protecciones de NetScaler Web App Firewall

• Recomendamos tener los componentes de terceros actualizados.

• Los informes de escaneo de vulnerabilidades que se convierten en firmas ADC se pueden usar para parchear virtualmente estos componentes.

• Se pueden usar las plantillas de firewall de aplicaciones disponibles para estos componentes vulnerables.

• Se pueden vincular firmas personalizadas con el firewall para proteger estos componentes.

A7:2021–Autenticación rota

Las funciones de aplicación relacionadas con la autenticación y la gestión de sesiones a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o explotar otros fallos de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.

Protecciones de NetScaler Web App Firewall

• El módulo AAA de NetScaler realiza la autenticación de usuarios y proporciona funcionalidad de inicio de sesión único a las aplicaciones de back-end. Esto se integra en el motor de políticas NetScaler AppExpert para permitir políticas personalizadas basadas en información de usuario y grupo.

• Mediante la descarga SSL y las capacidades de transformación de URL, el firewall también puede ayudar a los sitios a utilizar protocolos seguros de capa de transporte para evitar el robo de tokens de sesión mediante el rastreo de red.

• Se puede emplear el proxy de cookies y el cifrado de cookies para mitigar completamente el robo de cookies.

A8:2021 - Fallo de integridad de software y datos

La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si los fallos de deserialización no resultan en la ejecución remota de código, pueden usarse para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios.

Protecciones de NetScaler Web App Firewall

• Inspección de carga útil JSON con firmas personalizadas.

• Seguridad XML: protege contra la denegación de servicio XML (xDoS), la inyección XML SQL y Xpath y el scripting entre sitios, comprobaciones de formato, cumplimiento del perfil básico WS-I, comprobación de archivos adjuntos XML.

• Se pueden utilizar las comprobaciones de formato de campo, la coherencia de cookies y la coherencia de campo.

A9:2021 - Fallos de registro y supervisión de seguridad

El registro y la supervisión insuficientes, junto con una integración deficiente o ineficaz con la respuesta a incidentes, permiten a los atacantes seguir atacando sistemas, mantener la persistencia, pivotar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de brechas muestran que el tiempo para detectar una brecha supera los 200 días, y que suelen ser detectadas por partes externas en lugar de por procesos o supervisión internos.

Protecciones de NetScaler Web App Firewall

• Cuando la acción de registro está habilitada para las comprobaciones de seguridad o las firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el firewall de aplicaciones ha observado mientras protegía sus sitios web y aplicaciones.

• El firewall de aplicaciones ofrece la comodidad de usar la base de datos ADC integrada para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes maliciosas.

• Las expresiones de formato predeterminado (PI) ofrecen la flexibilidad de personalizar la información incluida en los registros con la opción de añadir los datos específicos que se capturarán en los mensajes de registro generados por el firewall de aplicaciones.

• El firewall de aplicaciones admite registros CEF.

Referencias

• Comprobación de inyección SQL HTML

• Comprobación de inyección SQL XML

• Uso de la línea de comandos para configurar la comprobación de scripts de sitios cruzados HTML

• Comprobación de scripts de sitios cruzados XML

• Uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer

• Adición o eliminación de un objeto de firma

• Configuración o modificación de un objeto de firmas

• Actualización de un objeto de firma

• Integración de reglas Snort

• Detección de bots

• Implementar una instancia de NetScaler VPX en Microsoft Azure