WAF Insight
Les applications web et de services web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, vous avez besoin d’une visibilité sur la nature et l’étendue des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. WAF Insight offre une solution unique pour vous aider à évaluer l’état de sécurité de vos applications et à prendre des mesures correctives pour les sécuriser.
Remarque
WAF Insight est pris en charge sur NetScaler Console avec tous les appliances NetScaler exécutant la version 11.0 Build 65.31 et ultérieure.
Fonctionnement de WAF Insight
WAF Insight est une solution d’analyse de sécurité intuitive basée sur un tableau de bord qui vous offre une visibilité complète sur l’environnement de menaces associé à vos applications. La fonctionnalité Security Insight est incluse dans NetScaler Console et génère périodiquement des rapports basés sur les configurations de sécurité de votre pare-feu d’application (Application Firewall) et de votre système NetScaler. Les rapports incluent les informations suivantes pour chaque application :
-
Indice de menace. Un système de notation à un chiffre qui indique la criticité des attaques sur l’application, que l’application soit protégée ou non par une appliance NetScaler. Plus les attaques sur une application sont critiques, plus l’indice de menace de cette application est élevé. Les valeurs sont comprises entre 1 et 7.
L’indice de menace est basé sur les informations d’attaque. Les informations relatives aux attaques, telles que le type de violation, la catégorie d’attaque, l’emplacement et les détails du client, vous donnent un aperçu des attaques sur l’application. Les informations de violation ne sont envoyées à NetScaler Console que lorsqu’une violation ou une attaque se produit. De nombreuses violations et vulnérabilités entraînent une valeur d’indice de menace élevée.
-
Indice de sécurité. Un système de notation à un chiffre qui indique le niveau de sécurité avec lequel vous avez configuré les instances NetScaler pour protéger les applications contre les menaces et les vulnérabilités externes. Plus les risques de sécurité pour une application sont faibles, plus l’indice de sécurité est élevé. Les valeurs sont comprises entre 1 et 7.
L’indice de sécurité prend en compte à la fois la configuration du pare-feu d’application et la configuration de la sécurité du système NetScaler. Pour une valeur d’indice de sécurité élevée, les deux configurations doivent être robustes. Par exemple, si des contrôles rigoureux du pare-feu d’application sont en place mais que les mesures de sécurité du système NetScaler, telles qu’un mot de passe fort pour l’utilisateur
nsroot, n’ont pas été adoptées, les applications se voient attribuer une faible valeur d’indice de sécurité. -
Informations exploitables. Les informations dont vous avez besoin pour réduire l’indice de menace et augmenter l’indice de sécurité, ce qui améliore considérablement la sécurité des applications. Par exemple, vous pouvez consulter des informations sur les violations, les configurations de sécurité existantes et manquantes pour le pare-feu d’application et d’autres fonctionnalités de sécurité, ainsi que le taux d’attaques subies par les applications.
Configurer WAF Insight
Remarque :
Vous pouvez commencer à configurer les protections via le tableau de bord Sécurité unifiée. Pour plus d’informations, consultez Tableau de bord Sécurité unifiée.
-
Accédez à Infrastructure > Instances > NetScaler et sélectionnez le type d’instance. Par exemple, VPX.
-
Sélectionnez l’instance et, dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.
-
Dans la fenêtre Configurer l’analyse sur le serveur virtuel :
-
Sélectionnez les serveurs virtuels pour lesquels vous souhaitez activer Security Insight et cliquez sur Activer la sécurité et l’analyse.
La fenêtre Activer la sécurité et l’analyse s’affiche.
-
Sélectionnez Violations de sécurité WAF
- Sous Options avancées, sélectionnez Logstream ou IPFIX comme mode de transport
Remarque
Pour NetScaler 12.0 ou version antérieure, IPFIX est l’option par défaut pour le mode de transport. Pour NetScaler 12.0 ou version ultérieure, vous pouvez sélectionner Logstream ou IPFIX comme mode de transport.
Pour plus d’informations sur IPFIX et Logstream, consultez Présentation de Logstream.
-
L’expression est vraie par défaut
-
Cliquez sur OK
Remarque
- Si vous n’êtes pas sur la licence Flexed et que vous sélectionnez des serveurs virtuels qui ne sont pas sous licence, NetScaler Console attribue d’abord une licence à ces serveurs virtuels, puis active l’analyse.
-
Après avoir cliqué sur OK, NetScaler Console traite l’activation de l’analyse sur les serveurs virtuels sélectionnés.
Remarque
Lorsque vous créez un groupe, vous pouvez lui attribuer des rôles, lui fournir un accès au niveau de l’application et lui attribuer des utilisateurs. L’analyse de NetScaler Console prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Vos utilisateurs peuvent désormais consulter les rapports de toutes les informations pour les seules applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’attribution d’utilisateurs au groupe, consultez Configuration des groupes sur NetScaler Console.
Configurer les emplacements géographiques pour les rapports Security Insight
Si vous configurez des emplacements géographiques dans NetScaler Console, les rapports WAF Insight incluent les emplacements géographiques exacts d’où proviennent les requêtes client. Pour activer les emplacements géographiques, spécifiez un bloc d’adresses IP privées ou une plage d’adresses IP pour chaque emplacement géographique de votre organisation. Ajoutez ces informations dans le fichier de base de données géographique (Geo Database file), ainsi que le nom de la ville/de l’état/du pays et les coordonnées de latitude et de longitude de chaque emplacement. Contactez votre représentant NetScaler pour obtenir le fichier de base de données géographique, puis téléchargez le fichier sur l’instance NetScaler.
Pour configurer les emplacements géographiques :
-
Copiez le fichier de base de données géographique, Citrix_Netscaler_InBuilt_GeoIP_DB.csv, à n’importe quel emplacement sur l’appliance NetScaler.
-
Ouvrez le fichier de base de données géographique avec un éditeur de texte, tel que l’éditeur vi, et ajoutez une entrée pour chaque emplacement de votre organisation.
L’entrée doit être au format suivant :
<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitudePar exemple :
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568 -
Exécutez les commandes suivantes pour activer la journalisation de la géolocalisation et la journalisation au format CEF :
- add locationFile <Chemin complet avec le fichier de base de données>
- set appfw settings -geoLocationLogging ON
- set appfw settings -CEFLogging ON
Surveiller la réputation IP
La fonctionnalité de réputation IP fournit des informations relatives aux attaques concernant les adresses IP malveillantes. Par exemple, elle signale le score de réputation IP, la catégorie de réputation IP, l’heure de l’attaque de réputation IP, l’adresse IP de l’appareil et des détails sur l’adresse IP du client.
Le score de réputation IP indique le risque associé à une adresse IP. Le score a les plages suivantes :
| Score de réputation IP | Niveau de risque |
|---|---|
| 1–20 | Risque élevé |
| 21–40 | Suspect |
| 41–60 | Risque modéré |
| 61–80 | Faible risque |
| 81–100 | Digne de confiance |
Pour surveiller la réputation IP :
-
Accédez à Sécurité > Violations de sécurité, et sous WAF, sélectionnez l’application que vous souhaitez surveiller.
-
Les scores Indice de menace et Indice de sécurité s’affichent. Cliquez sur Afficher les détails.
-
Sous Configuration du pare-feu d’application, vous pouvez afficher le score d’indice de sécurité de la réputation IP.
Seuils
Vous pouvez définir et afficher des seuils sur l’indice de sécurité et l’indice de menace des applications dans WAF Insight.
Pour définir un seuil :
-
Accédez à Paramètres > Paramètres d’analyse > Seuils, et sélectionnez Ajouter.
-
Sélectionnez le type de trafic comme Sécurité dans le champ Type de trafic, et saisissez les informations requises dans les autres champs appropriés tels que Nom, Durée et entité.
-
Dans la section Règle, utilisez les champs Métrique, Comparateur et Valeur pour définir un seuil.
Par exemple, « Indice de menace » « > » « 5 »
-
Cliquez sur Créer.
Cas d’utilisation de WAF Insight
Les cas d’utilisation suivants décrivent comment vous pouvez utiliser Security Insight pour évaluer l’exposition aux menaces des applications et améliorer les mesures de sécurité.
Obtenir un aperçu de l’environnement de menaces
Dans ce cas d’utilisation, vous disposez d’un ensemble d’applications exposées aux attaques, et vous avez configuré NetScaler Console pour surveiller l’environnement de menaces. Vous devez examiner l’indice de menace, l’indice de sécurité, ainsi que le type et la gravité de toutes les attaques que les applications ont pu subir afin de vous concentrer d’abord sur les applications critiques. Le tableau de bord Security Insight fournit un résumé des menaces subies par vos applications sur une période de votre choix et pour un appareil NetScaler sélectionné. Il affiche la liste des applications, leurs indices de menace et de sécurité, et le nombre total d’attaques pour la période choisie.
Pour obtenir un résumé de l’environnement de menaces, connectez-vous à NetScaler Console, puis accédez à Sécurité > Violation de sécurité et sous WAF, les cinq premières applications sont affichées en fonction du nombre total de violations affectées. Pour afficher toutes les applications, vous pouvez cliquer sur Afficher tout.
Déterminer la configuration de sécurité existante et manquante pour une application
Après avoir examiné l’exposition aux menaces d’une application, vous souhaitez déterminer quelles configurations de sécurité d’application sont en place et quelles configurations sont manquantes pour cette application. Vous pouvez obtenir ces informations en explorant le résumé de l’application.
Le résumé vous donne des informations sur l’efficacité des configurations de sécurité suivantes :
- Configuration du pare-feu d’application. Indique le nombre d’entités de signature et de sécurité non configurées.
- Sécurité du système NetScaler Console. Indique le nombre de paramètres de sécurité du système non configurés.
Sur le nœud Configuration du pare-feu d’application, examinez les informations de vérification de sécurité et de violation de sécurité.
Cliquez sur le nœud Sécurité du système NetScaler Console et examinez les paramètres de sécurité du système et les recommandations Citrix pour améliorer l’indice de sécurité de l’application.
Identifier les applications qui nécessitent une attention immédiate
Les applications qui nécessitent une attention immédiate sont celles qui ont un indice de menace élevé et un faible indice de sécurité.
Déterminer le nombre d’attaques à un moment donné
Vous pourriez vouloir déterminer le nombre d’attaques sur une application donnée à un moment donné, ou vous pourriez vouloir étudier le taux d’attaque pour une période spécifique.
Sous WAF, cliquez sur n’importe quelle application pour afficher le nombre total de violations WAF détectées pour la durée sélectionnée.
Cliquez sur Journaux pour afficher les détails des attaques en fonction de la gravité et de l’action entreprise. La page des journaux fournit les détails suivants :
-
Heure de l’attaque
-
Adresse IP du client d’où l’attaque a eu lieu
-
Gravité
-
Catégorie de violation
-
URL d’où l’attaque a été lancée, et d’autres détails.