Déployer NetScaler® Web App Firewall sur Azure

NetScaler Web App Firewall est une solution de qualité professionnelle offrant des protections de pointe pour les applications modernes. Il atténue les menaces contre les actifs accessibles au public, y compris les sites web, les applications web et les API. Il inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les protections contre les 10 principales menaces d’application OWASP, la protection DDoS de couche 7 et plus encore. Des options pour appliquer l’authentification, des chiffrements SSL/TLS robustes, TLS 1.3, la limitation de débit et les politiques de réécriture sont également incluses. En utilisant des protections WAF de base et avancées, NetScaler Web App Firewall offre une protection complète pour vos applications avec une facilité d’utilisation inégalée. La mise en service ne prend que quelques minutes. De plus, en utilisant un modèle d’apprentissage automatisé, appelé profilage dynamique, il fait gagner un temps précieux aux utilisateurs. En apprenant automatiquement le fonctionnement d’une application protégée, il s’adapte à l’application même lorsque les développeurs la déploient et la modifient. Il contribue à la conformité avec toutes les principales normes et organismes de réglementation, y compris PCI-DSS, HIPAA, et plus encore. Grâce à nos modèles CloudFormation, il n’a jamais été aussi facile de démarrer rapidement. Avec la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

NetScaler Web App Firewall peut être installé soit comme un périphérique réseau de couche 3, soit comme un pont réseau de couche 2 entre les serveurs et les utilisateurs du client, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Pour plus d’informations, consultez Introduction à NetScaler Web App Firewall.

Stratégie de déploiement de NetScaler Web App Firewall

1. Le déploiement du pare-feu d’application web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, lesquelles sont moins vulnérables, et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à élaborer une configuration optimale et à concevoir des politiques et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une politique pour contourner l’inspection de sécurité des requêtes pour le contenu web statique, tel que les images, les fichiers MP3 et les films, et configurer une autre politique pour appliquer des contrôles de sécurité avancés aux requêtes pour le contenu dynamique. Les utilisateurs peuvent utiliser plusieurs politiques et profils pour protéger différents contenus de la même application.

2. Pour établir la base de référence du déploiement, créez un serveur virtuel et faites-y passer du trafic de test pour avoir une idée du débit et du volume de trafic circulant dans le système utilisateur.

3. Déployez le pare-feu d’application web. Utilisez NetScaler ADM et le StyleBook du pare-feu d’application web pour configurer le pare-feu d’application web. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

4. Implémentez le NetScaler Web App Firewall et l’OWASP Top Ten.

Les trois protections du pare-feu d’application web sont particulièrement efficaces contre les types courants d’attaques web et sont donc plus fréquemment utilisées que toutes les autres. Elles doivent donc être mises en œuvre lors du déploiement initial. Ce sont :

• Scripting intersite HTML (Cross-Site Scripting) : Examine les requêtes et les réponses à la recherche de scripts qui tentent d’accéder ou de modifier du contenu sur un site web différent de celui où le script est situé. Lorsque cette vérification trouve un tel script, elle le rend inoffensif avant de transmettre la requête ou la réponse à sa destination, ou elle bloque la connexion.

• Injection SQL HTML (HTML SQL Injection) : Examine les requêtes qui contiennent des données de champ de formulaire à la recherche de tentatives d’injection de commandes SQL dans une base de données SQL. Lorsque cette vérification détecte du code SQL injecté, elle bloque la requête ou rend le code SQL injecté inoffensif avant de transmettre la requête au serveur web.

  Remarque :

  Assurez-vous que votre pare-feu d’application web est correctement configuré pour que les conditions suivantes s’appliquent à votre configuration :

   >-  If users enable the HTML Cross-Site Scripting check or the HTML SQL Injection check (or both).
   >
   >-  User protected websites accept file uploads or contain Web forms that can contain large POST body data.
  

Pour plus d’informations sur la configuration du pare-feu d’application web pour gérer ce cas, consultez Configuration du pare-feu d’application : Configuration du pare-feu d’application web.

• Dépassement de tampon (Buffer Overflow) : Examine les requêtes pour détecter les tentatives de provoquer un dépassement de tampon sur le serveur web.

Configuration du pare-feu d’applications web

Assurez-vous que le pare-feu d’applications web NetScaler est déjà activé et fonctionne correctement. Nous vous recommandons de configurer le pare-feu d’applications web NetScaler à l’aide du StyleBook du pare-feu d’applications web. La plupart des utilisateurs trouvent que c’est la méthode la plus simple pour configurer le pare-feu d’applications web, et elle est conçue pour éviter les erreurs. L’interface graphique et l’interface de ligne de commande sont destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Injection SQL

La vérification d’injection SQL HTML du pare-feu d’applications web NetScaler offre des défenses spéciales contre l’injection de code SQL non autorisé susceptible de compromettre la sécurité des applications utilisateur. Le pare-feu d’applications web NetScaler examine la charge utile de la requête pour détecter le code SQL injecté à trois endroits : 1) le corps POST, 2) les en-têtes et 3) les cookies. Pour plus d’informations, consultez Vérification d’injection SQL HTML.

Script intersite

La vérification de script intersite HTML (cross-site scripting) examine les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques par script intersite. Si elle détecte un script intersite, elle modifie (transforme) la requête pour rendre l’attaque inoffensive, ou bloque la requête. Pour plus d’informations, consultez Vérification de script intersite HTML.

Vérification de dépassement de tampon

La vérification de dépassement de tampon détecte les tentatives de provoquer un dépassement de tampon sur le serveur web. Si le pare-feu d’applications web détecte que l’URL, les cookies ou l’en-tête sont plus longs que la longueur configurée, il bloque la requête car cela peut provoquer un dépassement de tampon. Pour plus d’informations, consultez Vérification de dépassement de tampon.

Patching virtuel/signatures

Les signatures fournissent des règles spécifiques et configurables pour simplifier la tâche de protection des sites web des utilisateurs contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue sur un système d’exploitation, un serveur web, un site web, un service web basé sur XML ou une autre ressource. Un ensemble riche de règles intégrées ou natives préconfigurées offre une solution de sécurité facile à utiliser, appliquant la puissance de la correspondance de motifs pour détecter les attaques et protéger contre les vulnérabilités des applications. Pour plus d’informations, consultez Signatures.

Le pare-feu d’applications web NetScaler prend en charge la mise à jour automatique et manuelle des signatures. Nous suggérons également d’activer la mise à jour automatique des signatures pour qu’elles restent à jour.

Ces fichiers de signature sont hébergés sur l’environnement AWS et il est important d’autoriser l’accès sortant aux adresses IP de NetScaler depuis les pare-feu réseau pour récupérer les derniers fichiers de signature. La mise à jour des signatures sur le NetScaler n’a aucun effet lors du traitement du trafic en temps réel.

Analyse de la sécurité des applications

Le tableau de bord de sécurité des applications offre une vue d’ensemble de l’état de sécurité des applications utilisateur. Par exemple, il affiche des métriques de sécurité clés telles que les violations de sécurité, les violations de signature et les indices de menace. Le tableau de bord de sécurité des applications affiche également des informations liées aux attaques telles que les attaques SYN, les attaques par petite fenêtre et les attaques par inondation DNS pour le NetScaler découvert.

Remarque :

Pour afficher les métriques du tableau de bord de sécurité des applications, AppFlow pour l’analyse de la sécurité doit être activé sur les instances NetScaler que les utilisateurs souhaitent surveiller.

Pour afficher les métriques de sécurité d’une instance NetScaler sur le tableau de bord de sécurité des applications :

1. Connectez-vous à NetScaler ADM à l’aide des informations d’identification de l’administrateur.

2. Accédez à Applications > App Security Dashboard, puis sélectionnez l’adresse IP de l’instance dans la liste des appareils.

Les utilisateurs peuvent approfondir les anomalies signalées dans l’Application Security Investigator en cliquant sur les bulles tracées sur le graphique.

Apprentissage centralisé sur ADM

NetScaler Web App Firewall protège les applications web des utilisateurs contre les attaques malveillantes telles que l’injection SQL et le cross-site scripting (XSS). Pour prévenir les violations de données et fournir la bonne protection de sécurité, les utilisateurs doivent surveiller leur trafic pour détecter les menaces et obtenir des données exploitables en temps réel sur les attaques. Parfois, les attaques signalées peuvent être des faux positifs et doivent être fournies comme une exception.

L’apprentissage centralisé sur NetScaler ADM est un filtre de modèles répétitifs qui permet au WAF d’apprendre le comportement (les activités normales) des applications web des utilisateurs. Basé sur la surveillance, le moteur génère une liste de règles ou d’exceptions suggérées pour chaque contrôle de sécurité appliqué au trafic HTTP.

Il est beaucoup plus facile de déployer des règles de relaxation à l’aide du moteur d’apprentissage que de les déployer manuellement comme relaxations nécessaires.

Pour déployer la fonctionnalité d’apprentissage, les utilisateurs doivent d’abord configurer un profil de pare-feu d’application web (ensemble de paramètres de sécurité) sur le NetScaler de l’utilisateur. Pour plus d’informations, consultez Création de profils de pare-feu d’application web.

NetScaler ADM génère une liste d’exceptions (relaxations) pour chaque contrôle de sécurité. En tant qu’administrateur, vous pouvez examiner la liste des exceptions dans NetScaler ADM et décider de les déployer ou de les ignorer.

En utilisant la fonctionnalité d’apprentissage WAF dans NetScaler ADM, vous pouvez :

• Configurez un profil d’apprentissage avec les contrôles de sécurité suivants.

  • Dépassement de tampon

  • Scripting intersite HTML

    Remarque :

    La limitation du script intersite de l’emplacement est uniquement FormField.

  • Injection SQL HTML

    Remarque :

    Pour la vérification de l’injection SQL HTML, les utilisateurs doivent configurer set -sqlinjectionTransformSpecialChars ON et set -sqlinjectiontype sqlspclcharorkeywords dans le NetScaler.

• Vérifiez les règles de relaxation dans NetScaler ADM et décidez de prendre les mesures nécessaires (déployer ou ignorer).

• Recevez les notifications par e-mail, Slack et ServiceNow.

• Utilisez le tableau de bord pour afficher les détails de la relaxation.

Pour utiliser l’apprentissage WAF dans NetScaler ADM :

1. Configurez le profil d’apprentissage : Configurer le profil d’apprentissage

2. Consultez les règles de relaxation : Afficher les règles de relaxation et les règles inactives

3. Utilisez le tableau de bord d’apprentissage WAF : Afficher le tableau de bord d’apprentissage WAF

StyleBooks

Les StyleBooks simplifient la tâche de gestion des configurations NetScaler complexes pour les applications utilisateur. Un StyleBook est un modèle que les utilisateurs peuvent utiliser pour créer et gérer des configurations NetScaler. Ici, les utilisateurs sont principalement concernés par le StyleBook utilisé pour déployer le pare-feu d’application Web. Pour plus d’informations sur les StyleBooks, consultez StyleBooks.

Analyse des informations de sécurité

Les applications web et de services web exposées à Internet sont devenues de plus en plus vulnérables aux attaques. Pour protéger les applications contre les attaques, les utilisateurs ont besoin d’une visibilité sur la nature et l’étendue des menaces passées, présentes et imminentes, de données exploitables en temps réel sur les attaques et de recommandations sur les contre-mesures. Security Insight offre une solution unique pour aider les utilisateurs à évaluer l’état de sécurité des applications utilisateur et à prendre des mesures correctives pour sécuriser les applications utilisateur. Pour plus d’informations, consultez Security Insight.

Obtenir des informations détaillées sur les failles de sécurité

Les utilisateurs peuvent souhaiter afficher une liste des attaques sur une application et obtenir des informations sur le type et la gravité des attaques, les actions entreprises par l’instance ADC, les ressources demandées et la source des attaques.

Par exemple, les utilisateurs peuvent vouloir déterminer le nombre d’attaques bloquées sur Microsoft Lync, les ressources demandées et les adresses IP des sources.

Dans le tableau de bord Security Insight, cliquez sur Lync > Total Violations. Dans le tableau, cliquez sur l’icône de filtre dans l’en-tête de colonne Action Taken, puis sélectionnez Blocked.

Pour plus d’informations sur les ressources demandées, consultez la colonne URL. Pour plus d’informations sur les sources des attaques, consultez la colonne Client IP.

Afficher les détails de l’expression de journal

NetScaler utilise des expressions de journal configurées avec le profil de pare-feu d’application pour agir contre les attaques sur une application dans l’entreprise de l’utilisateur. Dans Security Insight, les utilisateurs peuvent afficher les valeurs renvoyées pour les expressions de journal utilisées par l’instance ADC. Ces valeurs incluent l’en-tête de requête, le corps de requête, etc. En plus des valeurs d’expression de journal, les utilisateurs peuvent également afficher le nom de l’expression de journal et le commentaire de l’expression de journal définie dans le profil de pare-feu d’application que l’instance ADC a utilisé pour agir contre l’attaque.

Conditions préalables :

Assurez-vous que les utilisateurs :

• Configurez les expressions de journal dans le profil du pare-feu d’application. Pour plus d’informations, consultez Pare-feu d’application.

• Activez les paramètres Security Insights basés sur les expressions de journal dans NetScaler ADM. Procédez comme suit :

  • Accédez à Analytics > Settings, puis cliquez sur Enable Features for Analytics.

  • Dans la page Activer les fonctionnalités pour l’analyse, sélectionnez Activer Security Insight sous la section Paramètre Security Insight basé sur l’expression de journal et cliquez sur OK.

Par exemple, vous souhaiterez peut-être afficher les valeurs de l’expression de journal renvoyées par l’instance ADC pour l’action qu’elle a effectuée pour une attaque sur Microsoft Lync dans l’entreprise de l’utilisateur.

Sur le tableau de bord Security Insight, accédez à Lync > Total des violations. Dans le tableau Récapitulatif de l’application, cliquez sur l’URL pour afficher les détails complets de la violation dans la page Informations sur la violation, y compris le nom de l’expression de journal, le commentaire et les valeurs renvoyées par l’instance ADC pour l’action.

Déterminez l’indice de sécurité avant de déployer la configuration. Les failles de sécurité se produisent après que les utilisateurs ont déployé la configuration de sécurité sur une instance ADC, mais les utilisateurs peuvent vouloir évaluer l’efficacité de la configuration de sécurité avant de la déployer.

Par exemple, les utilisateurs peuvent vouloir évaluer l’indice de sécurité de la configuration pour l’application SAP sur l’instance ADC avec l’adresse IP 10.102.60.27.

Sur le tableau de bord Security Insight, sous Appareils, cliquez sur l’adresse IP de l’instance ADC que les utilisateurs ont configurée. Les utilisateurs peuvent voir que l’indice de menace et le nombre total d’attaques sont tous deux de 0. L’indice de menace est un reflet direct du nombre et du type d’attaques sur l’application. Zéro attaque indique que l’application n’est sous aucune menace.

Cliquez sur Sap > Indice de sécurité > SAP_Profile et évaluez les informations d’indice de sécurité qui apparaissent.

Dans le résumé du pare-feu d’application, les utilisateurs peuvent afficher l’état de configuration des différents paramètres de protection. Si un paramètre est défini pour la journalisation ou si un paramètre n’est pas configuré, l’application se voit attribuer un indice de sécurité inférieur.

Violations de sécurité

Les applications Web exposées à Internet sont devenues drastiquement vulnérables aux attaques. NetScaler ADM vous permet de visualiser les détails exploitables des violations pour protéger les applications contre les attaques.

Afficher les détails des violations de sécurité des applications

Les applications web exposées à Internet sont devenues considérablement plus vulnérables aux attaques. NetScaler ADM permet aux utilisateurs de visualiser les détails exploitables des violations pour protéger les applications contre les attaques. Accédez à Sécurité > Violations de sécurité pour une solution à panneau unique permettant de :

• Accéder aux violations de sécurité des applications en fonction de leurs catégories telles que Réseau, Bot et WAF

• Prendre des mesures correctives pour sécuriser les applications

Pour afficher les violations de sécurité dans NetScaler ADM, assurez-vous que :

• Les utilisateurs disposent d’une licence premium pour le NetScaler (pour les violations WAF et BOT).

• Les utilisateurs ont demandé une licence sur les serveurs virtuels d’équilibrage de charge ou de commutation de contenu (pour WAF et BOT). Pour plus d’informations, consultez Gérer les licences sur les serveurs virtuels.

• Les utilisateurs peuvent activer plus de paramètres. Pour plus d’informations, consultez la procédure disponible dans la section Configuration de la documentation produit NetScaler : Configuration.

Catégories de violations

NetScaler ADM permet aux utilisateurs de visualiser les violations disponibles dans Toutes les violations :

Configuration

Pour les violations, assurez-vous que le Collecteur de métriques est activé. Par défaut, le Collecteur de métriques est activé sur le NetScaler. Pour plus d’informations, consultez Configurer l’analyse intelligente des applications.

Activer l’analyse de sécurité avancée

• Accédez à Réseaux > Instances > NetScaler, et sélectionnez le type d’instance. Par exemple, MPX.

• Sélectionnez l’instance NetScaler et, dans la liste Sélectionner une action, sélectionnez Configurer l’analyse.

• Sélectionnez le serveur virtuel et cliquez sur Activer l’analyse.

• Dans la fenêtre Activer l’analyse :

  • Sélectionnez Web Insight. Une fois que les utilisateurs ont sélectionné Web Insight, l’option en lecture seule Advanced Security Analytics est activée automatiquement.

  Remarque :

  L’option Advanced Security Analytics s’affiche uniquement pour les instances ADC sous licence premium.

  • Sélectionnez Logstream comme mode de transport

  • L’expression est vraie par défaut

  • Cliquez sur OK

Activer les paramètres de transaction web

• Accédez à Analytics > Settings.

La page Settings s’affiche.

• Cliquez sur Activer les fonctionnalités pour l’analyse.

• Sous Web Transaction Settings, sélectionnez Tout.

• Cliquez sur Ok.

Tableau de bord des violations de sécurité

Dans le tableau de bord des violations de sécurité, les utilisateurs peuvent afficher :

• Nombre total de violations sur l’ensemble des NetScaler et des applications. Le nombre total de violations est affiché en fonction de la durée sélectionnée.

• Nombre total de violations par catégorie.

• Nombre total d’ADC affectés, nombre total d’applications affectées et principales violations basées sur le nombre total d’occurrences et les applications affectées.

Pour plus d’informations sur les détails des violations, consultez Toutes les violations.

Bot Insight

Configurez Bot Insight dans NetScaler. Pour plus d’informations, consultez Bot.

Afficher les bots

Cliquez sur le serveur virtuel pour afficher le Résumé de l’application

1. Fournit les détails du résumé de l’application, tels que :

   • RPS moyen – Indique le nombre moyen de requêtes de transactions de bots par seconde (RPS) reçues sur les serveurs virtuels.

   • Bots par gravité – Indique que les transactions de bots les plus élevées se sont produites en fonction de la gravité. La gravité est classée en fonction de Critique, Élevée, Moyenne et Faible.

   Par exemple, si les serveurs virtuels ont 11770 bots de gravité élevée et 1550 bots de gravité critique, NetScaler ADM affiche Critique 1.55 K sous Bots par gravité.

   • Catégorie de bot la plus importante – Indique que les attaques de bots les plus importantes se sont produites en fonction de la catégorie de bot.

   Par exemple, si les serveurs virtuels ont 8000 bots bloqués, 5000 bots autorisés et 10000 bots ayant dépassé la limite de débit, NetScaler ADM affiche Limite de débit dépassée 10 K sous Catégorie de bot la plus importante.

   • Source géographique la plus importante – Indique que les attaques de bots les plus importantes se sont produites en fonction d’une région.

   Par exemple, si les serveurs virtuels ont 5000 attaques de bots à Santa Clara, 7000 attaques de bots à Londres et 9000 attaques de bots à Bangalore, NetScaler ADM affiche Bangalore 9 K sous Source géographique la plus importante.

   • Trafic de bots moyen en % – Indique le ratio humain/bot.

2. Affiche la gravité des attaques de bots en fonction des emplacements dans la vue cartographique

3. Affiche les types d’attaques de bots (Bon, Mauvais et tous)

4. Affiche le total des attaques de bots ainsi que les actions configurées correspondantes. Par exemple, si vous avez configuré :

   • La plage d’adresses IP (192.140.14.9 à 192.140.14.254) comme bots de liste de blocage et sélectionné Supprimer comme action pour ces plages d’adresses IP

   • La plage d’adresses IP (192.140.15.4 à 192.140.15.254) comme bots de liste de blocage et sélectionné de créer un message de journal comme action pour ces plages d’adresses IP

     Dans ce scénario, NetScaler ADM affiche :

     • Nombre total de bots figurant sur la liste de blocage

     • Nombre total de bots sous Ignoré

     • Nombre total de bots sous Journal

Afficher les bots CAPTCHA

Dans les pages web, les CAPTCHA sont conçus pour identifier si le trafic entrant provient d’un humain ou d’un bot automatisé. Pour afficher les activités CAPTCHA dans NetScaler ADM, les utilisateurs doivent configurer CAPTCHA comme une action de bot pour les techniques de détection de réputation IP et d’empreinte digitale de l’appareil dans une instance NetScaler ADM. Pour plus d’informations, consultez : Configurer la gestion des bots.

Voici les activités CAPTCHA que NetScaler ADM affiche dans Bot insight :

• Tentatives de CAPTCHA dépassées – Indique le nombre maximal de tentatives de CAPTCHA effectuées après des échecs de connexion

• Client CAPTCHA mis en sourdine – Indique le nombre de requêtes client qui sont ignorées ou redirigées parce que ces requêtes ont été détectées comme de mauvais bots précédemment avec le défi CAPTCHA

• Humain – Indique les entrées CAPTCHA effectuées par les utilisateurs humains

• Réponse CAPTCHA invalide – Indique le nombre de réponses CAPTCHA incorrectes reçues du bot ou de l’humain, lorsque NetScaler envoie un défi CAPTCHA

Afficher les pièges à bots

Pour afficher les pièges à bots dans NetScaler ADM, vous devez configurer le piège à bots dans NetScaler. Pour plus d’informations, consultez : Configurer la gestion des bots.

Pour identifier le piège à bots, un script est activé dans la page web et ce script est caché aux humains, mais pas aux bots. NetScaler ADM identifie et signale les pièges à bots lorsque ce script est accédé par les bots.

Cliquez sur le serveur virtuel et sélectionnez Zero Pixel Request

Afficher les détails du bot

Pour plus de détails, cliquez sur le type d’attaque de bot sous Bot Category.

Les détails tels que l’heure de l’attaque et le nombre total d’attaques de bots pour la catégorie de captcha sélectionnée sont affichés.

Les utilisateurs peuvent également faire glisser le graphique à barres pour sélectionner la plage horaire spécifique à afficher avec les attaques de bots.

Pour obtenir des informations supplémentaires sur l’attaque de bot, cliquez pour développer.

• Instance IP – Indique l’adresse IP de l’instance NetScaler.

• Total Bots – Indique le nombre total d’attaques de bots survenues à ce moment précis.

• HTTP Request URL – Indique l’URL configurée pour le rapport de captcha.

• Country Code – Indique le pays où l’attaque de bot s’est produite.

• Region – Indique la région où l’attaque de bot s’est produite.

• Nom du profil – Indique le nom du profil que les utilisateurs ont fourni lors de la configuration.

Recherche avancée

Les utilisateurs peuvent également utiliser la zone de texte de recherche et la liste de durée, où ils peuvent afficher les détails des bots selon leurs besoins. Lorsque les utilisateurs cliquent sur la zone de recherche, celle-ci leur propose la liste de suggestions de recherche suivante.

• IP de l’instance – Adresse IP de l’instance NetScaler.

• IP du client – Adresse IP du client.

• Type de bot – Type de bot, tel que Bon ou Mauvais.

• Gravité – Gravité de l’attaque de bot.

• Action effectuée – Action effectuée après l’attaque de bot, telle que Supprimer, Aucune action, Rediriger.

• Catégorie de bot – Catégorie de l’attaque de bot, telle que liste de blocage, liste d’autorisation, empreinte digitale. En fonction d’une catégorie, les utilisateurs peuvent y associer une action de bot.

• Détection de bot – Types de détection de bot (liste de blocage, liste d’autorisation, etc.) que les utilisateurs ont configurés sur NetScaler.

• Emplacement – Région/pays où l’attaque de bot s’est produite

• URL de la requête – URL qui contient les attaques de bot possibles

Les utilisateurs peuvent également utiliser des opérateurs dans les requêtes de recherche pour affiner la portée de leur recherche. Par exemple, si les utilisateurs souhaitent afficher tous les mauvais bots :

• Cliquez sur la zone de recherche et sélectionnez Type de bot

• Cliquez à nouveau sur la zone de recherche et sélectionnez l’opérateur =

• Cliquez à nouveau sur la zone de recherche et sélectionnez Mauvais

• Cliquez sur Rechercher pour afficher les résultats

Taux de requêtes anormalement élevé

Les utilisateurs peuvent contrôler le trafic entrant et sortant d’une application. Une attaque de bot peut générer un taux de requêtes anormalement élevé. Par exemple, si les utilisateurs configurent une application pour autoriser 100 requêtes/minute et qu’ils observent 350 requêtes, il pourrait s’agir d’une attaque de bot.

À l’aide de l’indicateur Taux de requêtes anormalement élevé, les utilisateurs peuvent analyser le taux de requêtes inhabituel reçu par l’application.

Sous Détails de l’événement, les utilisateurs peuvent afficher :

• L’application affectée. Les utilisateurs peuvent également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

• Le graphique indiquant toutes les violations

• L’heure de survenance de la violation

• Le message de détection de la violation, indiquant le nombre total de requêtes reçues et le pourcentage de requêtes excessives reçues par rapport aux requêtes attendues

• La plage acceptée des taux de requêtes attendus de l’application

Détection de bots

Le système de gestion des bots NetScaler utilise diverses techniques pour détecter le trafic de bots entrant. Ces techniques sont utilisées comme règles de détection pour identifier le type de bot.

Configuration de la gestion des bots à l’aide de l’interface graphique

Les utilisateurs peuvent configurer la gestion des bots NetScaler en activant d’abord la fonctionnalité sur l’appliance. Pour plus d’informations, consultez Détection des bots.

Réputation IP

La réputation IP est un outil qui identifie les adresses IP qui envoient des requêtes indésirables. À l’aide de la liste de réputation IP, vous pouvez rejeter les requêtes provenant d’une adresse IP ayant une mauvaise réputation.

Configurer la réputation IP à l’aide de l’interface graphique

Cette configuration est un prérequis pour la fonctionnalité de réputation IP des bots. Pour plus d’informations, consultez Réputation IP.

Mise à jour automatique des signatures de bot

La technique de signature statique des bots utilise une table de recherche de signatures avec une liste de bons bots et de mauvais bots. Pour plus d’informations, consultez Mise à jour automatique des signatures.

NetScaler Web App Firewall et OWASP Top 10 – 2021

L’Open Web Application Security Project (OWAP) a publié l’OWASP Top 10 pour 2021 concernant la sécurité des applications web. Cette liste documente les vulnérabilités les plus courantes des applications web et constitue un excellent point de départ pour évaluer la sécurité web. Cette section explique comment configurer le NetScaler Web App Firewall pour atténuer ces failles. Le WAF est disponible en tant que module intégré dans le NetScaler (édition Premium) et sur une gamme complète d’appliances.

Le document complet de l’OWASP Top 10 est disponible à l’adresse OWASP Top Ten.

A1:2021 Contrôle d’accès défaillant

Les restrictions sur ce que les utilisateurs authentifiés sont autorisés à faire ne sont souvent pas correctement appliquées. Les attaquants peuvent exploiter ces failles pour accéder à des fonctionnalités et des données non autorisées, telles que l’accès aux comptes d’autres utilisateurs, la consultation de fichiers sensibles, la modification des données d’autres utilisateurs ou la modification des droits d’accès.

Protections du pare-feu d’applications web NetScaler

• La fonctionnalité AAA qui prend en charge l’authentification, l’autorisation et l’audit pour tout le trafic d’applications permet à un administrateur de site de gérer les contrôles d’accès avec l’appliance ADC.

• La fonction de sécurité d’autorisation au sein du module AAA de l’appliance ADC permet à l’appliance de vérifier le contenu d’un serveur protégé auquel chaque utilisateur doit être autorisé à accéder.

• Cohérence des champs de formulaire : Si les références d’objets sont stockées sous forme de champs masqués dans les formulaires, vous pouvez utiliser la cohérence des champs de formulaire pour valider que ces champs ne sont pas altérés lors des requêtes ultérieures.

• Proxy de cookies et cohérence des cookies : Les références d’objets stockées dans les valeurs de cookies peuvent être validées avec ces protections.

• Vérification de l’URL de démarrage avec fermeture d’URL : Permet à l’utilisateur d’accéder à une liste prédéfinie d’URL autorisées. La fermeture d’URL crée une liste de toutes les URL vues dans les réponses valides pendant la session utilisateur et autorise automatiquement l’accès à celles-ci pendant cette session.

A2:2021 - Défaillances cryptographiques

De nombreuses applications web et API ne protègent pas correctement les données sensibles, telles que les données financières, de santé et les informations personnelles identifiables (PII). Les attaquants peuvent voler ou modifier ces données mal protégées pour commettre des fraudes par carte de crédit, des vols d’identité ou d’autres crimes. Les données sensibles peuvent être compromises sans protection supplémentaire, telle que le chiffrement au repos ou en transit, et nécessitent des précautions particulières lors de leur échange avec le navigateur.

Protections du pare-feu d’applications web NetScaler

• Le pare-feu d’applications web protège les applications contre la fuite de données sensibles comme les détails de carte de crédit.

• Les données sensibles peuvent être configurées comme des objets sécurisés dans la protection Safe Commerce pour éviter toute exposition.

• Toutes les données sensibles contenues dans les cookies peuvent être protégées par le proxy de cookies et le chiffrement des cookies.

A3:2021 - Injection

Les failles d’injection, telles que l’injection SQL, NoSQL, OS et LDAP, se produisent lorsque des données non fiables sont envoyées à un interpréteur dans le cadre d’une commande ou d’une requête. Les données hostiles de l’attaquant peuvent tromper l’interpréteur en lui faisant exécuter des commandes non intentionnelles ou en accédant à des données sans autorisation appropriée.

Les failles XSS surviennent chaque fois qu’une application inclut des données non fiables dans une nouvelle page web sans validation ou échappement approprié, ou met à jour une page web existante avec des données fournies par l’utilisateur à l’aide d’une API de navigateur capable de créer du HTML ou du JavaScript. Le XSS permet aux attaquants d’exécuter des scripts dans le navigateur de la victime, ce qui peut détourner des sessions utilisateur, défigurer des sites web ou rediriger l’utilisateur vers des sites malveillants.

Protections du pare-feu d’applications web NetScaler

• La fonction de prévention des injections SQL protège contre les attaques par injection courantes. Des modèles d’injection personnalisés peuvent être téléchargés pour protéger contre tout type d’attaque par injection, y compris XPath et LDAP. Cela s’applique aux charges utiles HTML et XML.

• La fonction de mise à jour automatique des signatures maintient les signatures d’injection à jour.

• La fonction de protection du format de champ permet à l’administrateur de restreindre tout paramètre utilisateur à une expression régulière. Par exemple, vous pouvez imposer qu’un champ de code postal ne contienne que des entiers ou même des entiers à 5 chiffres.

• La cohérence des champs de formulaire valide chaque formulaire utilisateur soumis par rapport à la signature du formulaire de session utilisateur afin de garantir la validité de tous les éléments du formulaire.

• Les vérifications de dépassement de tampon garantissent que l’URL, les en-têtes et les cookies respectent les limites appropriées, bloquant ainsi toute tentative d’injection de scripts ou de code volumineux.

• La protection XSS protège contre les attaques XSS courantes. Des modèles XSS personnalisés peuvent être téléchargés pour modifier la liste par défaut des balises et attributs autorisés. L’ADC WAF utilise une liste blanche d’attributs et de balises HTML autorisés pour détecter les attaques XSS. Cela s’applique aux charges utiles HTML et XML.

• L’ADC WAF bloque toutes les attaques répertoriées dans la feuille de triche d’évaluation du filtre XSS de l’OWASP.

• La vérification du format de champ empêche un attaquant d’envoyer des données de formulaire web inappropriées, ce qui peut constituer une attaque XSS potentielle.

• Cohérence des champs de formulaire.

A5:2021 - Mauvaise configuration de sécurité

La mauvaise configuration de sécurité est le problème le plus fréquemment rencontré. Cela résulte généralement de configurations par défaut non sécurisées, de configurations incomplètes ou improvisées, de stockage cloud ouvert, d’en-têtes HTTP mal configurés et de messages d’erreur détaillés contenant des informations sensibles. Non seulement tous les systèmes d’exploitation, frameworks, bibliothèques et applications doivent être configurés de manière sécurisée, mais ils doivent également être corrigés et mis à jour en temps opportun.

De nombreux processeurs XML plus anciens ou mal configurés évaluent les références d’entités externes au sein des documents XML. Les entités externes peuvent être utilisées pour divulguer des fichiers internes à l’aide du gestionnaire d’URI de fichier, des partages de fichiers internes, de l’analyse de ports internes, de l’exécution de code à distance et des attaques par déni de service.

Protections du pare-feu d’applications web NetScaler

• Le rapport PCI-DSS généré par le pare-feu d’application documente les paramètres de sécurité sur le périphérique de pare-feu.

• Les rapports des outils d’analyse sont convertis en signatures ADC WAF pour gérer les erreurs de configuration de sécurité.

• Le pare-feu d’applications Web NetScaler Web App Firewall prend en charge Cenzic, IBM AppScan (Enterprise et Standard), Qualys, TrendMicro, WhiteHat et les rapports d’analyse de vulnérabilité personnalisés.

• En plus de détecter et de bloquer les menaces d’application courantes qui peuvent être adaptées pour attaquer les applications basées sur XML (c’est-à-dire, le script intersite, l’injection de commandes, etc.).

• Le pare-feu d’applications Web NetScaler Web App Firewall inclut un riche ensemble de protections de sécurité spécifiques à XML. Celles-ci incluent la validation de schéma pour vérifier minutieusement les messages SOAP et les charges utiles XML, ainsi qu’une puissante vérification des pièces jointes XML pour bloquer les pièces jointes contenant des exécutables malveillants ou des virus.

• Les méthodes d’inspection automatique du trafic bloquent les attaques par injection XPath sur les URL et les formulaires visant à obtenir un accès.

• Le pare-feu d’applications Web NetScaler Web App Firewall déjoue également diverses attaques DoS, y compris les références d’entités externes, l’expansion récursive, l’imbrication excessive et les messages malveillants contenant des attributs et des éléments longs ou nombreux.

A6:2021 - Composants vulnérables et obsolètes

Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut faciliter une perte de données grave ou une prise de contrôle du serveur. Les applications et les API utilisant des composants avec des vulnérabilités connues peuvent compromettre les défenses de l’application et permettre diverses attaques et impacts.

Protections du pare-feu d’applications Web NetScaler

• Nous recommandons de maintenir les composants tiers à jour.

• Les rapports d’analyse de vulnérabilité convertis en signatures ADC peuvent être utilisés pour corriger virtuellement ces composants.

• Des modèles de pare-feu d’application disponibles pour ces composants vulnérables peuvent être utilisés.

• Des signatures personnalisées peuvent être liées au pare-feu pour protéger ces composants.

A7:2021 – Authentification rompue

Les fonctions d’application liées à l’authentification et à la gestion de session sont souvent implémentées de manière incorrecte, ce qui permet aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autres failles d’implémentation pour usurper temporairement ou définitivement l’identité d’autres utilisateurs.

Protections du pare-feu d’applications Web NetScaler

• Le module AAA de NetScaler effectue l’authentification des utilisateurs et fournit une fonctionnalité d’authentification unique (Single Sign-On) aux applications back-end. Il est intégré au moteur de stratégie NetScaler AppExpert pour permettre des stratégies personnalisées basées sur les informations d’utilisateur et de groupe.

• Grâce aux capacités de déchargement SSL et de transformation d’URL, le pare-feu peut également aider les sites à utiliser des protocoles de couche de transport sécurisés pour empêcher le vol de jetons de session par l’interception de réseau.

• Le proxy de cookies et le chiffrement des cookies peuvent être utilisés pour atténuer complètement le vol de cookies.

A8:2021 - Défaillance d’intégrité logicielle et des données

La désérialisation non sécurisée conduit souvent à l’exécution de code à distance. Même si les failles de désérialisation n’entraînent pas l’exécution de code à distance, elles peuvent être utilisées pour effectuer des attaques, notamment des attaques par relecture, des attaques par injection et des attaques par élévation de privilèges.

Protections du pare-feu d’applications Web NetScaler

• Inspection de la charge utile JSON avec des signatures personnalisées.

• Sécurité XML : protège contre le déni de service XML (xDoS), l’injection SQL et Xpath XML et le script intersite, les vérifications de format, la conformité au profil de base WS-I, la vérification des pièces jointes XML.

• Les vérifications de format de champ, la cohérence des cookies et la cohérence des champs peuvent être utilisées.

A9:2021 - Échecs de journalisation et de surveillance de la sécurité

Une journalisation et une surveillance insuffisantes, associées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants d’attaquer davantage les systèmes, de maintenir la persistance, de pivoter vers d’autres systèmes et de falsifier, d’extraire ou de détruire des données. La plupart des études sur les violations montrent que le temps de détection d’une violation est supérieur à 200 jours, généralement détectée par des parties externes plutôt que par des processus ou une surveillance internes.

Protections du pare-feu d’applications Web NetScaler

• Lorsque l’action de journalisation est activée pour les contrôles de sécurité ou les signatures, les messages de journalisation résultants fournissent des informations sur les requêtes et les réponses que le pare-feu d’applications a observées tout en protégeant vos sites Web et applications.

• Le pare-feu d’application offre la commodité d’utiliser la base de données ADC intégrée pour identifier les emplacements correspondant aux adresses IP d’où proviennent les requêtes malveillantes.

• Les expressions de format par défaut (PI) offrent la flexibilité de personnaliser les informations incluses dans les journaux avec la possibilité d’ajouter les données spécifiques à capturer dans les messages de journal générés par le pare-feu d’application.

• Le pare-feu d’application prend en charge les journaux CEF.

Références

• Vérification de l’injection SQL HTML

• Vérification de l’injection SQL XML

• Utilisation de la ligne de commande pour configurer la vérification de script intersite HTML

• Vérification de script intersite XML

• Utilisation de la ligne de commande pour configurer la vérification de sécurité de dépassement de tampon

• Ajout ou suppression d’un objet de signature

• Configuration ou modification d’un objet de signatures

• Mise à jour d’un objet de signature

• Intégration des règles Snort

• Détection de bots

• Déployer une instance NetScaler VPX sur Microsoft Azure