Recommandations du WAF
Le profil NetScaler Web App Firewall (WAF) et les signatures WAF protègent vos applications Web contre les attaques malveillantes. Les signatures WAF fournissent des règles spécifiques et configurables pour simplifier la tâche de protection de vos sites Web contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue contre un système d’exploitation, un serveur Web, un site Web, un service Web XML ou une autre ressource. Pour protéger votre application à l’aide de signatures, vous devez revoir les règles, activer et configurer celles que vous souhaitez appliquer.
De même, pour éviter les violations de données et fournir la protection de sécurité appropriée dans l’application, vous devez créer un profil WAF avec des contrôles de sécurité. Lorsque vous créez un profil WAF dans l’instance NetScaler, le trafic peut :
-
Générez avec les contrôles de sécurité mentionnés
-
Ne pas être généré avec les contrôles de sécurité mentionnés
L’instance est peut-être en train de recevoir d’autres attaques, mais vous n’avez peut-être pas activé ce contrôle de sécurité dans les profils WAF.
En tant qu’administrateur, vous devez savoir comment activer les bonnes signatures et créer les bons profils WAF pour protéger l’application Web. Identifier les bonnes signatures et les profils WAF peut être une tâche difficile dans certains scénarios.
La recommandation WAF de la console NetScaler analyse l’application à la recherche de vulnérabilités et génère les recommandations suivantes :
-
Profil WAF
-
Signature de la WAF
Pour plus d’informations, voir Profil WAF et Signatures WAF.
La base de données de recommandations du WAF est mise à jour régulièrement pour inclure toute nouvelle vulnérabilité. Vous pouvez numériser puis sélectionner pour activer les recommandations requises. Vous pouvez activer toutes les signatures et tous les contrôles de sécurité, mais cela peut entraîner des faux positifs et affecter les performances de l’instance NetScaler. Par conséquent, il est recommandé de sélectionner uniquement les contrôles de sécurité et les signatures requis. Le moteur de recommandation WAF détecte également automatiquement les signatures et les contrôles de sécurité qui doivent être activés pour l’application.
Remarque
L’instance NetScaler doit être 13.0 41.28 ou ultérieure (pour les contrôles de sécurité) et 13.0 ou version ultérieure (pour les signatures).
Pré-requis
Les applications :
-
Doit avoir la licence premium.
-
Doit être le serveur virtuel d’équilibrage de charge.
Configuration des paramètres de numérisation WAF
Dans la console NetScaler, accédez à Sécurité > Recommandation WAF et, sous Applications, cliquez sur Démarrer le scan pour configurer les paramètres de scan WAF pour une application.
Sur la page des recommandations de la WAF :
-
Nom de domaine — Spécifiez le nom de domaine public/accessible au public qui est associé à l’application VIP. Par exemple :
www.example.com.Remarque
L’URL de départ, l’URL de connexion et l’URL de déconnexion doivent correspondre au domaine spécifié.
-
Trafic et URL de démarrage — Fournissez les détails de l’URL de l’application (serveur).
-
Protocole HTTP/HTTPS — Sélectionnez le protocole de l’application.
-
Délai d’expiration du trafic : temps d’attente (en secondes) pour une seule demande pendant l’analyse. La valeur doit être supérieure à 0.
-
URL de démarrage : page d’accueil de l’application pour lancer l’analyse. Par exemple,
https://www.example.com/home. L’URL doit être une adresse IPv4 valide. Si les adresses IP sont privées, vous devez vous assurer qu’elles sont accessibles depuis l’adresse IP de gestion de la console NetScaler.
-
-
URL de connexion — Spécifiez les informations de connexion, les URL, le cas échéant, pour accéder à l’application.
-
URL de connexion : URL à laquelle les données de connexion sont envoyées à des fins d’authentification. En HTML, cette URL est communément appelée URL d’action.
-
Méthode d’authentification : sélectionnez la méthode d’authentification prise en charge (par formulaire ou par en-tête) pour votre application.
-
L’authentification par formulaire nécessite l’envoi d’un formulaire à l’URL de connexion avec les informations de connexion. Ces informations d’identification doivent se présenter sous la forme de champs de formulaire et de leurs valeurs. L’application partage ensuite le cookie de session qui est utilisé pour maintenir les sessions pendant l’analyse.
-
L’authentification basée sur l’en-tête nécessite l’en-tête d’authentification et sa valeur dans la section des en-têtes. L’en-tête d’authentification doit avoir une valeur valide et est utilisé pour maintenir les sessions pendant l’analyse. Les champs du formulaire doivent rester vides pour les champs basés sur l’en-tête.
-
-
Méthode de demande — Sélectionnez la méthode HTTP utilisée lors de l’envoi des données du formulaire à l’URL de connexion. Les méthodes de requête autorisées sont POST, GETet PUT.
-
Champs de formulaire — Spécifiez les données du formulaire à envoyer à l’URL de connexion. Les champs de formulaire ne sont obligatoires que si vous sélectionnez l’authentification par formulaire. Vous devez spécifier dans les paires clé-valeur, où le nom du champ est la clé et la valeur du champ est la valeur . Assurez-vous que tous les champs de formulaire nécessaires au fonctionnement de la connexion sont correctement ajoutés, y compris les mots de passe. Les valeurs sont cryptées avant d’être stockées dans la base de données. Vous pouvez cliquer sur le bouton Ajouter pour ajouter plusieurs champs de formulaire. Par exemple, Nom du champ — nom d’utilisateur et Valeur du champ — admin.
-
En-têtes HTTP — Les en-têtes HTTP peuvent être nécessaires pour que la connexion réussisse. Vous devez spécifier dans les paires clé-valeur, où le nom de l’en-tête est la clé et la valeur de l’en-tête est la valeur. Vous pouvez cliquer sur le bouton Ajouter pour ajouter plusieurs en-têtes HTTP. L’un des en-têtes HTTP obligatoires les plus courants est l’en-tête Content-Type.
-
-
URL de déconnexion — Spécifiez l’URL qui met fin à la session après l’accès. Par exemple :
https://www.example.com/customer/logout.
-
Vulnérabilité : sélectionnez les vulnérabilités que le scanner doit détecter. Actuellement, cela est fait pour les violations de scripts intersites et d’injection SQL. Par défaut, toutes les violations sont sélectionnées. Après avoir sélectionné les vulnérabilités, il simule ces attaques sur l’application pour signaler la vulnérabilité potentielle. Il est recommandé d’activer cette détection qui ne se trouve pas dans l’environnement de production. Toutes les autres vulnérabilités sont également signalées, sans simuler ces attaques sur l’application.
-
Paramètres supplémentaires
-
Simultanéité des demandes : nombre total de demandes envoyées à l’application Web en parallèle.
-
Profondeur de numérisation : profondeur de l’application Web jusqu’à laquelle la numérisation doit être effectuée. Par exemple, pour une profondeur de numérisation de valeur 2, l’URL de départ et tous les liens trouvés dans cette URL sont analysés. Vous devez spécifier une valeur supérieure ou égale à 1.
-
Limite de taille de réponse : limite maximale de la taille de réponse. Toutes les réponses dépassant la valeur mentionnée ne sont pas scannées. La limite recommandée est de 3 Mo (300 000 octets).
-
La configuration des paramètres de numérisation WAF est terminée. Vous pouvez cliquer sur Numériser pour démarrer le processus de numérisation ou sur Enregistrer pour plus tard pour enregistrer les configurations et numériser ultérieurement.
Processus de recommandation de numérisation WAF
Lorsque vous lancez l’analyse, le moteur de recommandation WAF :
-
Analyse l’application Web fournie via l’URL fournie.
-
Inspecte l’application Web pour découvrir les technologies utilisées par l’application Web.
-
Simule des attaques de sécurité sur l’application Web afin de détecter les vulnérabilités potentielles.
-
Recommande des signatures en fonction des technologies Web détectées.
-
Recommande des contrôles de sécurité en fonction des vulnérabilités détectées et de l’analyse du trafic.
-
Analyse les réponses des applications Web afin de générer des paramètres plus précis.
Les contrôles de sécurité suivants sont pris en charge :
-
Dépassement de tampon
-
Formats de champs
-
Carte de crédit
-
Cohérence des
-
Injection SQL HTML
-
Scriptage intersite HTML
-
Cohérence des champs de formulaire
-
Balisage de formulaire CSRF
Afficher le rapport d’analyse
Une fois l’analyse terminée, cliquez sur Afficher le rapport pour afficher les résultats.
Le résultat de l’analyse fournit :
-
Recommandation WAF — Vous permet de consulter le résumé du nombre total de signatures et de contrôles de sécurité recommandés pour l’application.
-
Détections de scan : vous permet de visualiser la collecte d’informations telles que les technologies et les détails des violations effectuées sur l’application. Cliquez sur Afficher les détails pour voir les informations sur les détections et d’autres détails de l’analyse.
Sous Recommandation WAF, cliquez sur Consulter la recommandation pour afficher les détails des contrôles de sécurité et dessignatures.
Les paramètres de sécurité recommandés suggèrent les contrôles de sécurité et les signatures recommandés pour l’application. Vous pouvez modifier les recommandations depuis la liste et cliquer sur Afficher ou modifier pour afficher les détails ou modifier les modifications en fonction des besoins. La réinitialisation par défaut permet de réinitialiser toutes les modifications apportées et de revenir aux recommandations d’origine.
Après avoir examiné les détails, cliquez sur Appliquer la recommandation. Les recommandations sont configurées à l’aide des StyleBooks. Vous devez vous assurer d’appliquer les recommandations dans les onglets Contrôles de sécurité et Signature séparément.
Il est recommandé d’appliquer d’abord les signatures, puis les contrôles de sécurité. Cela lie automatiquement les signatures au profil.
Lorsque vous appliquez des signatures avec succès :
-
La configuration est appliquée à l’instance NetScaler via le
appfw-import-objectStyleBook. -
Le fichier de signatures avec les recommandations configurées est importé dans l’instance NetScaler.
Remarque
Les signatures sont prises en charge dans NetScaler 13.0 ou version ultérieure.
Avant de procéder à l’application des recommandations du contrôle de sécurité, accédez à Applications > Configuration > Config Packs et assurez-vous que le configpack de signatures est correctement créé.
Lorsque vous appliquez les contrôles de sécurité avec succès :
-
La configuration est appliquée à l’instance NetScaler via StyleBooks, en fonction de la version de NetScaler. Pour NetScaler 13.0 ,
waf-default-130StyleBook est utilisé et pour NetScaler 13.1,waf-default-131Stylebook est utilisé. -
Le profil
Appfwest créé sur votre NetScaler et lié à l’application à l’aide depolicylabel. -
Les signatures sont liées au profil appfw, si les signatures recommandées sont déjà appliquées.
Remarque
Les contrôles de sécurité sont pris en charge dans NetScaler 13.0 41.28 ou version ultérieure.
Après avoir appliqué la recommandation (contrôles de sécurité et signatures), vous pouvez voir le message de confirmation suivant :
Vous pouvez vérifier que les profils et les signatures WAF sont appliqués via les StyleBooks par défaut en accédant à Applications > Configuration > Packs de configuration.
