Guía de implementación de Citrix ADC VPX en AWS

Información general

Citrix ADC es una solución de entrega de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Se presenta en una amplia variedad de factores de forma y opciones de implementación sin limitar a los usuarios a una única configuración o nube. La concesión de licencias de capacidad agrupada permite el movimiento de capacidad entre implementaciones en la nube.

Como líder indiscutible en la entrega de servicios y aplicaciones, Citrix ADC se implementa en miles de redes en todo el mundo para optimizar, proteger y controlar la entrega de todos los servicios empresariales y en la nube. Implementado directamente delante de los servidores web y de bases de datos, Citrix ADC combina el equilibrio de carga de alta velocidad y la conmutación de contenido, la compresión HTTP, el almacenamiento en caché de contenido, la aceleración SSL, la visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión de extremo a extremo que transforma los datos de la red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar políticas mediante un motor de políticas declarativo simple que no requiere conocimientos de programación.

Citrix ADC VPX

El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y en la nube.

Esta guía de implementación se centra en Citrix ADC VPX en Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) es una plataforma integral y en evolución de computación en la nube proporcionada por Amazon que incluye una combinación de ofertas de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software empaquetado como servicio (SaaS). Los servicios de AWS ofrecen herramientas como potencia de cómputo, almacenamiento de bases de datos y servicios de entrega de contenido.

AWS ofrece los siguientes servicios esenciales:

• Servicios de cómputo de AWS

• Servicios de migración

• Almacenamiento

• Servicios de bases de datos

• Herramientas de administración

• Servicios de seguridad

• Análisis

• Redes

• Mensajería

• Herramientas para desarrolladores

• Servicios móviles

Terminología de AWS

A continuación, se presenta una breve descripción de los términos clave utilizados en este documento con los que los usuarios deben estar familiarizados:

• Interfaz de red elástica (ENI) – Una interfaz de red virtual que los usuarios pueden adjuntar a una instancia en una Nube privada virtual (VPC).

• Dirección IP elástica (EIP) – Una dirección IPv4 pública y estática que los usuarios han asignado en Amazon EC2 o Amazon VPC y luego han adjuntado a una instancia. Las direcciones IP elásticas están asociadas a las cuentas de usuario, no a una instancia específica. Son elásticas porque los usuarios pueden asignarlas, adjuntarlas, desvincularlas y liberarlas fácilmente a medida que cambian sus necesidades.

• Subred – Un segmento del rango de direcciones IP de una VPC al que se pueden adjuntar instancias EC2. Los usuarios pueden crear subredes para agrupar instancias según las necesidades de seguridad y operativas.

• Nube privada virtual (VPC) – Un servicio web para aprovisionar una sección lógicamente aislada de la nube de AWS donde los usuarios pueden lanzar recursos de AWS en una red virtual que ellos definen.

A continuación, se presenta una breve descripción de otros términos utilizados en este documento con los que los usuarios deberían estar familiarizados:

• Imagen de máquina de Amazon (AMI) – Una imagen de máquina que proporciona la información necesaria para lanzar una instancia, que es un servidor virtual en la nube.

• Elastic Block Store – Proporciona volúmenes de almacenamiento en bloque persistentes para su uso con instancias de Amazon EC2 en la nube de AWS.

• Simple Storage Service (S3) – Almacenamiento para Internet. Está diseñado para facilitar la computación a escala web a los desarrolladores.

• Elastic Compute Cloud (EC2) – Un servicio web que proporciona capacidad de cómputo segura y redimensionable en la nube. Está diseñado para facilitar la computación en la nube a escala web a los desarrolladores.

• Elastic Kubernetes Service (EKS) – Amazon EKS es un servicio gestionado que facilita a los usuarios la ejecución de Kubernetes en AWS sin necesidad de configurar o mantener su propio plano de control de Kubernetes. … Amazon EKS ejecuta instancias del plano de control de Kubernetes en varias zonas de disponibilidad para garantizar una alta disponibilidad. Amazon EKS es un servicio gestionado que facilita a los usuarios la ejecución de Kubernetes en AWS sin necesidad de instalar y operar sus propios clústeres de Kubernetes.

• Application Load Balancing (ALB) – Amazon ALB opera en la capa 7 de la pila OSI, por lo que se emplea cuando los usuarios desean enrutar o seleccionar el tráfico basándose en elementos de la conexión HTTP o HTTPS, ya sea basada en el host o en la ruta. La conexión ALB es consciente del contexto y puede tener solicitudes directas basadas en cualquier variable única. Las aplicaciones se equilibran en función de su comportamiento peculiar, no únicamente de la información del servidor (sistema operativo o capa de virtualización).

• Elastic Load Balancing (ALB/ELB/NLB) – Amazon ELB distribuye el tráfico de aplicaciones entrante entre varias instancias EC2, en varias zonas de disponibilidad. Esto aumenta la tolerancia a fallos de las aplicaciones de los usuarios.

• Network Load Balancing (NLB) – Amazon NLB opera en la capa 4 de la pila OSI y por debajo, y no está diseñado para considerar nada en la capa de aplicación, como el tipo de contenido, los datos de las cookies, los encabezados personalizados, la ubicación del usuario o el comportamiento de la aplicación. No tiene contexto, solo se preocupa por la información de la capa de red contenida en los paquetes que dirige. Distribuye el tráfico basándose en variables de red como la dirección IP y los puertos de destino.

• Tipo de instancia – Amazon EC2 ofrece una amplia selección de tipos de instancia optimizados para adaptarse a diferentes casos de uso. Los tipos de instancia comprenden diversas combinaciones de CPU, memoria, almacenamiento y capacidad de red, y ofrecen a los usuarios la flexibilidad de elegir la combinación adecuada de recursos para sus aplicaciones.

• Identity and Access Management (IAM) – Una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Los usuarios pueden usar un rol de IAM para permitir que las aplicaciones que se ejecutan en una instancia EC2 accedan de forma segura a sus recursos de AWS. Se requiere un rol de IAM para implementar instancias VPX en una configuración de alta disponibilidad.

• Internet Gateway – Conecta una red a Internet. Los usuarios pueden enrutar el tráfico de direcciones IP fuera de su VPC a la puerta de enlace a Internet.

• Par de claves – Un conjunto de credenciales de seguridad con las que los usuarios prueban su identidad electrónicamente. Un par de claves consta de una clave privada y una clave pública.

• Tabla de rutas – Un conjunto de reglas de enrutamiento que controla el tráfico que sale de cualquier subred asociada a la tabla de rutas. Los usuarios pueden asociar varias subredes a una única tabla de rutas, pero una subred solo puede asociarse a una tabla de rutas a la vez.

• Grupos de escalado automático – Un servicio web para lanzar o terminar instancias de Amazon EC2 automáticamente basándose en políticas, programaciones y comprobaciones de estado definidas por el usuario.

• CloudFormation – Un servicio para escribir o cambiar plantillas que crea y elimina recursos de AWS relacionados juntos como una unidad.

• Web Application Firewall (WAF) – WAF se define como una solución de seguridad que protege la capa de aplicación web en el modelo de red OSI. Un WAF no depende de la aplicación que protege. Este documento se centra en la exposición y evaluación de los métodos y funciones de seguridad proporcionados específicamente por Citrix WAF.

• Bot – Un bot se define como un dispositivo, programa o pieza de software autónomo en una red (especialmente Internet) que puede interactuar con sistemas informáticos o usuarios para ejecutar comandos, responder a mensajes o realizar tareas rutinarias. Un bot es un programa de software en Internet que realiza tareas repetitivas. Algunos bots pueden ser buenos, mientras que otros pueden tener un enorme impacto negativo en un sitio web o aplicación.

Arquitectura de ejemplo de Citrix WAF en AWS

La imagen anterior muestra una nube privada virtual (VPC) con parámetros predeterminados que construye un entorno Citrix WAF en la nube de AWS.

En una implementación de producción, los siguientes parámetros se configuran para el entorno Citrix WAF:

• Esta arquitectura asume el uso de una plantilla de AWS CloudFormation y una guía de inicio rápido de AWS, que se pueden encontrar aquí: GitHub/AWS-Quickstart/Quickstart-Citrix-ADC-VPX.

• Una VPC que abarca dos zonas de disponibilidad, configurada con dos subredes públicas y cuatro privadas, de acuerdo con las mejores prácticas de AWS, para proporcionarle su propia red virtual en AWS con un bloque de enrutamiento entre dominios sin clases (CIDR) /16 (una red con 65.536 direcciones IP privadas). *

• Dos instancias de Citrix WAF (primaria y secundaria), una en cada zona de disponibilidad.

• Tres grupos de seguridad, uno para cada interfaz de red (administración, cliente, servidor), que actúan como firewalls virtuales para controlar el tráfico de sus instancias asociadas.

• Tres subredes, para cada instancia: una para administración, una para cliente y otra para el servidor de back-end.

• Una pasarela de Internet conectada a la VPC y una tabla de rutas de subredes públicas asociada a las subredes públicas para permitir el acceso a Internet. Esta pasarela es utilizada por el host WAF para enviar y recibir tráfico. Para obtener más información sobre las pasarelas de Internet, consulte: Pasarelas de Internet. *

• 5 tablas de rutas: una tabla de rutas pública asociada a las subredes de cliente de WAF principal y secundario. Las 4 tablas de rutas restantes se vinculan a cada una de las 4 subredes privadas (subredes de administración y del lado del servidor de WAF principal y secundario). *

• AWS Lambda en WAF se encarga de lo siguiente:

  • Configuración de dos WAF en cada zona de disponibilidad del modo HA

  • Creación de un perfil WAF de ejemplo y, por lo tanto, envío de esta configuración con respecto a WAF

• AWS Identity and Access Management (IAM) para controlar de forma segura el acceso a los servicios y recursos de AWS para sus usuarios. De forma predeterminada, la plantilla de CloudFormation (CFT) crea el rol de IAM necesario. Sin embargo, los usuarios pueden proporcionar su propio rol de IAM para las instancias de Citrix ADC.

• En las subredes públicas, dos gateways de traducción de direcciones de red (NAT) gestionados para permitir el acceso saliente a Internet para los recursos en las subredes públicas.

Nota:

La plantilla CFT WAF que implementa el Citrix WAF en una VPC existente omite los componentes marcados con asteriscos y solicita a los usuarios su configuración de VPC existente.

Los servidores backend no son implementados por el CFT.

Flujo lógico de Citrix WAF en AWS

Flujo lógico

El Firewall de aplicaciones web se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, generalmente detrás del router o firewall de la empresa del cliente. Debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web que los usuarios desean proteger y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. Los usuarios configuran la red para enviar solicitudes al Firewall de aplicaciones web en lugar de directamente a sus servidores web, y las respuestas al Firewall de aplicaciones web en lugar de directamente a sus usuarios. El Firewall de aplicaciones web filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas interno como las adiciones y modificaciones del usuario. Bloquea o neutraliza cualquier actividad que detecte como dañina, y luego reenvía el tráfico restante al servidor web. La imagen anterior proporciona una descripción general del proceso de filtrado.

Nota:

El diagrama omite la aplicación de una política al tráfico entrante. Ilustra una configuración de seguridad en la que la política es procesar todas las solicitudes. Además, en esta configuración, se ha configurado un objeto de firmas y se ha asociado con el perfil, y se han configurado comprobaciones de seguridad en el perfil.

Como muestra el diagrama, cuando un usuario solicita una URL en un sitio web protegido, el Firewall de aplicaciones web examina primero la solicitud para asegurarse de que no coincide con una firma. Si la solicitud coincide con una firma, el Firewall de aplicaciones web muestra el objeto de error (una página web que se encuentra en el dispositivo del Firewall de aplicaciones web y que los usuarios pueden configurar mediante la función de importaciones) o reenvía la solicitud a la URL de error designada (la página de error).

Si una solicitud pasa la inspección de firmas, el Firewall de aplicaciones web aplica las comprobaciones de seguridad de la solicitud que se han habilitado. Las comprobaciones de seguridad de la solicitud verifican que la solicitud es apropiada para el sitio web o servicio web del usuario y no contiene material que pueda representar una amenaza. Por ejemplo, las comprobaciones de seguridad examinan la solicitud en busca de señales que indiquen que podría ser de un tipo inesperado, solicitar contenido inesperado o contener datos de formularios web, comandos SQL o scripts inesperados y posiblemente maliciosos. Si la solicitud falla una comprobación de seguridad, el Firewall de aplicaciones web sanitiza la solicitud y luego la envía de vuelta al dispositivo Citrix ADC (o dispositivo virtual Citrix ADC), o muestra el objeto de error. Si la solicitud pasa las comprobaciones de seguridad, se envía de vuelta al dispositivo Citrix ADC, que completa cualquier otro procesamiento y reenvía la solicitud al servidor web protegido.

Cuando el sitio web o servicio web envía una respuesta al usuario, el Firewall de aplicaciones web aplica las comprobaciones de seguridad de la respuesta que se han habilitado. Las comprobaciones de seguridad de la respuesta examinan la respuesta en busca de fugas de información privada sensible, signos de desfiguración del sitio web u otro contenido que no debería estar presente. Si la respuesta falla una comprobación de seguridad, el Firewall de aplicaciones web elimina el contenido que no debería estar presente o bloquea la respuesta. Si la respuesta pasa las comprobaciones de seguridad, se envía de vuelta al dispositivo Citrix ADC, que la reenvía al usuario.

Costo y licencias

Los usuarios son responsables del costo de los servicios de AWS utilizados al ejecutar implementaciones de AWS. Las plantillas de AWS CloudFormation que se pueden usar para esta implementación incluyen parámetros de configuración que los usuarios pueden personalizar según sea necesario. Algunas de esas configuraciones, como el tipo de instancia, afectan el costo de la implementación. Para estimaciones de costos, los usuarios deben consultar las páginas de precios de cada servicio de AWS que estén utilizando. Los precios están sujetos a cambios.

Un Citrix ADC WAF en AWS requiere una licencia. Para licenciar Citrix WAF, los usuarios deben colocar la clave de licencia en un bucket de S3 y especificar su ubicación al iniciar la implementación.

Nota:

Cuando los usuarios eligen el modelo de licencias de Traiga su propia licencia (BYOL), deben asegurarse de tener habilitada la función AppFlow. Para obtener más información sobre las licencias BYOL, consulte: AWS Marketplace/Citrix ADC VPX - Customer Licensed.

Las siguientes opciones de licencias están disponibles para Citrix ADC WAF que se ejecuta en AWS. Los usuarios pueden elegir una AMI (Amazon Machine Image) basada en un único factor, como el rendimiento.

• Modelo de licencia: Pago por uso (PAYG, para las licencias de producción) o Traiga su propia licencia (BYOL, para la AMI con licencia de cliente - Citrix ADC Pooled Capacity). Para obtener más información sobre Citrix ADC Pooled Capacity, consulte: Citrix ADC Pooled Capacity.

  • Para BYOL, hay 3 modos de licencia:

    • Configurar Citrix ADC Pooled Capacity: Configure Citrix ADC Pooled Capacity

    • Licencias de entrada y salida de Citrix ADC VPX (CICO): Citrix ADC VPX Check-in and Check-out Licensing

    Sugerencia:

    Si los usuarios eligen las licencias CICO con el tipo de plataforma de aplicación VPX-200, VPX-1000, VPX-3000, VPX-5000 o VPX-8000, deben asegurarse de tener la misma licencia de rendimiento presente en su servidor de licencias ADM.

    • Licencias de CPU virtual de Citrix ADC: Citrix ADC virtual CPU Licensing

Nota:

Si los usuarios desean modificar dinámicamente el ancho de banda de una instancia VPX, deben elegir una opción BYOL, por ejemplo, Citrix ADC pooled capacity, donde pueden asignar las licencias desde Citrix ADM, o pueden retirar las licencias de las instancias de Citrix ADC según la capacidad mínima y máxima de la instancia bajo demanda y sin reiniciar. Solo se requiere un reinicio si los usuarios desean cambiar la edición de la licencia.

• Rendimiento: 200 Mbps o 1 Gbps

• Paquete: Premium

Opciones de implementación

Esta guía de implementación ofrece dos opciones de implementación:

• La primera opción es implementar mediante un formato de guía de inicio rápido y las siguientes opciones:

  • Implementar Citrix WAF en una nueva VPC (implementación de extremo a extremo). Esta opción crea un nuevo entorno de AWS que consta de la VPC, subredes, grupos de seguridad y otros componentes de infraestructura, y luego implementa Citrix WAF en esta nueva VPC.

  • Implementar Citrix WAF en una VPC existente. Esta opción aprovisiona Citrix WAF en la infraestructura de AWS existente del usuario.

• La segunda opción es implementar mediante StyleBooks de WAF con Citrix ADM

Pasos de implementación mediante una guía de inicio rápido

Paso 1: Iniciar sesión en la cuenta de AWS del usuario

• Inicie sesión en la cuenta de usuario en AWS: AWS con un rol de usuario de IAM (Identity and Access Management) que tenga los permisos necesarios para crear una cuenta de Amazon (si es necesario) o iniciar sesión en una cuenta de Amazon.

• Utilice el selector de región en la barra de navegación para elegir la región de AWS donde los usuarios desean implementar alta disponibilidad en todas las zonas de disponibilidad de AWS.

• Asegúrese de que la cuenta de AWS del usuario esté configurada correctamente; consulte la sección Requisitos técnicos de este documento para obtener más información.

Paso 2: Suscribirse a la AMI de Citrix WAF

• Esta implementación requiere una suscripción a la AMI para Citrix WAF en AWS Marketplace.

• Inicie sesión en la cuenta de AWS del usuario.

• Abra la página de la oferta de Citrix WAF eligiendo uno de los enlaces de la siguiente tabla.

  • Cuando los usuarios inician la Guía de inicio rápido para implementar Citrix WAF en el Paso 3 a continuación, utilizan el parámetro Citrix WAF Image para seleccionar el paquete y la opción de rendimiento que coincida con su suscripción AMI. La siguiente lista muestra las opciones de AMI y la configuración de parámetros correspondiente. La instancia VPX AMI requiere un mínimo de 2 CPU virtuales y 2 GB de memoria.

Nota:

Para recuperar el ID de AMI, consulte la página de productos de Citrix en AWS Marketplace en GitHub: Productos de Citrix en AWS Marketplace.

• AMI de AWS Marketplace

  • Citrix Web Application Firewall (WAF) - 200 Mbps: Citrix Web App Firewall (WAF) - 200 Mbps

  • Citrix Web Application Firewall (WAF) - 1000 Mbps: Citrix Web App Firewall (WAF) - 1000 Mbps

• En la página de AMI, elija Continuar para suscribirse.

• Revise los términos y condiciones de uso del software y, a continuación, elija Aceptar términos.

Nota:

Los usuarios reciben una página de confirmación y se envía una confirmación por correo electrónico al propietario de la cuenta. Para obtener instrucciones detalladas sobre la suscripción, consulte Introducción en la documentación de AWS Marketplace: Introducción.

• Cuando el proceso de suscripción se haya completado, salga de AWS Marketplace sin realizar ninguna otra acción. No aprovisione el software desde AWS Marketplace; los usuarios implementarán la AMI con la Guía de inicio rápido.

Paso 3: Inicie la Guía de inicio rápido para implementar la AMI

• Inicie sesión en la cuenta de AWS del usuario y elija una de las siguientes opciones para iniciar la plantilla de AWS CloudFormation. Para obtener ayuda con la elección de una opción, consulte las opciones de implementación anteriores en esta guía.

  • Implemente Citrix VPX en una nueva VPC en AWS utilizando una de las plantillas de AWS CloudFormation ubicadas aquí:

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Across-Availability-Zone

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Same-Availability-Zone

  • Implemente Citrix WAF en una VPC nueva o existente en AWS utilizando la plantilla de inicio rápido de AWS ubicada aquí: AWS-Quickstart/Quickstart-Citrix-ADC- WAF

Importante:

Si los usuarios implementan Citrix WAF en una VPC existente, deben asegurarse de que su VPC abarque dos zonas de disponibilidad, con una subred pública y dos privadas en cada zona de disponibilidad para las instancias de carga de trabajo, y de que las subredes no se compartan. Esta guía de implementación no admite subredes compartidas; consulte Trabajar con VPC compartidas: Working with Shared VPCs. Estas subredes requieren puertas de enlace NAT en sus tablas de enrutamiento para permitir que las instancias descarguen paquetes y software sin exponerlos a Internet. Para obtener más información sobre las puertas de enlace NAT, consulte: NAT Gateways. Configure las subredes para que no haya superposición de subredes.

Además, los usuarios deben asegurarse de que la opción de nombre de dominio en las opciones de DHCP esté configurada como se explica en la documentación de Amazon VPC que se encuentra aquí: Conjuntos de opciones de DHCP: DHCP Options Sets. Se solicitarán a los usuarios sus configuraciones de VPC cuando inicien la Guía de inicio rápido.

• Cada implementación tarda unos 15 minutos en completarse.

• Compruebe la región de AWS que se muestra en la esquina superior derecha de la barra de navegación y cámbiela si es necesario. Aquí es donde se creará la infraestructura de red para Citrix WAF. La plantilla se inicia en la región Este de EE. UU. (Ohio) de forma predeterminada.

Nota:

Esta implementación incluye Citrix WAF, que actualmente no es compatible con todas las regiones de AWS. Para obtener una lista actual de las regiones compatibles, consulte los puntos de conexión de servicio de AWS: AWS Service Endpoints.

• En la página Seleccionar plantilla, mantenga la configuración predeterminada para la URL de la plantilla y, a continuación, elija Siguiente.

• En la página Especificar detalles, especifique el nombre de la pila según la conveniencia del usuario. Revise los parámetros de la plantilla. Proporcione valores para los parámetros que requieren entrada. Para todos los demás parámetros, revise la configuración predeterminada y personalícela según sea necesario.

• En la siguiente tabla, los parámetros se enumeran por categoría y se describen por separado para la opción de implementación:

• Parámetros para implementar Citrix WAF en una VPC nueva o existente (Opción de implementación 1)

• Cuando los usuarios terminen de revisar y personalizar los parámetros, deben elegir Siguiente.

Parámetros para implementar Citrix WAF en una nueva VPC

Configuración de red de VPC

Para obtener información de referencia sobre esta implementación, consulte la plantilla CFT aquí: AWS-Quickstart/Quickstart-Citrix-ADC-WAF/Templates.

Configuración del host bastión

Configuración de Citrix WAF

Configuración de licencias agrupadas

• Configurar la capacidad agrupada de Citrix ADC: Configurar la capacidad agrupada de Citrix ADC
• Licencias de registro y desregistro de Citrix ADC VPX (CICO): Licencias de registro y desregistro de Citrix ADC VPX * Licencias de CPU virtual de Citrix ADC: [Licencias de CPU virtual de Citrix ADC](https://docs.citrix.com/es-es/citrix-application-delivery-management-software/13/license-server/adc-virtual-cpu-licensing.html)| |**Ancho de banda de licencia en Mbps**|0 Mbps|Solo si el modo de licencia es Licencias agrupadas, este campo entra en juego. Asigna un ancho de banda inicial de la licencia en Mbps que se asignará después de crear los ADC BYOL. Debe ser un múltiplo de 10 Mbps.| |**Edición de licencia**|Premium|La edición de licencia para el modo de licencias de capacidad agrupada es **Premium**| |**Tipo de plataforma del dispositivo**|Opcional|Elija el tipo de plataforma de dispositivo requerido, **solo** si los usuarios optan por el modo de licencias CICO. Los usuarios obtienen las opciones enumeradas: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |**Edición de licencia**|Premium|La edición de licencia para las licencias basadas en vCPU es **Premium**.|

Configuración de la Guía de inicio rápido de AWS

Nota:

Recomendamos que los usuarios mantengan la configuración predeterminada para los dos parámetros siguientes, a menos que estén personalizando las plantillas de la Guía de inicio rápido para sus propios proyectos de implementación. Cambiar la configuración de estos parámetros actualizará automáticamente las referencias de código para que apunten a una nueva ubicación de la Guía de inicio rápido. Para obtener más detalles, consulte la Guía del colaborador de la Guía de inicio rápido de AWS, que se encuentra aquí: AWS Quick Starts/Option 1 - Adopt a Quick Start.

• En la página de Opciones, los usuarios pueden especificar una etiqueta de recurso o un par clave-valor para los recursos de su pila y configurar opciones avanzadas. Para obtener más información sobre las etiquetas de recursos, consulte: Etiqueta de recurso. Para obtener más información sobre cómo configurar las opciones de pila de AWS CloudFormation, consulte: Configuración de opciones de pila de AWS CloudFormation. Cuando los usuarios hayan terminado, deben elegir Siguiente.

• En la página de Revisión, revise y confirme la configuración de la plantilla. En Capacidades, seleccione las dos casillas de verificación para reconocer que la plantilla crea recursos de IAM y que podría requerir la capacidad de expandir macros automáticamente.

• Elija Crear para implementar la pila.

• Supervise el estado de la pila. Cuando el estado sea CREATE_COMPLETE, la instancia de Citrix WAF estará lista.

• Utilice las URL que se muestran en la pestaña Salidas de la pila para ver los recursos que se crearon.

Paso 4: Probar la implementación

Nos referimos a las instancias en esta implementación como primaria y secundaria. Cada instancia tiene diferentes direcciones IP asociadas. Cuando el inicio rápido se ha implementado correctamente, el tráfico pasa a través de la instancia principal de Citrix WAF configurada en la Zona de disponibilidad 1. Durante las condiciones de conmutación por error, cuando la instancia principal no responde a las solicitudes del cliente, la instancia secundaria de WAF toma el control.

La dirección IP elástica de la dirección IP virtual de la instancia principal migra a la instancia secundaria, que asume el rol de nueva instancia principal.

En el proceso de conmutación por error, Citrix WAF realiza lo siguiente:

• Citrix WAF comprueba los servidores virtuales que tienen conjuntos de IP adjuntos.

• Citrix WAF encuentra la dirección IP que tiene una dirección IP pública asociada de las dos direcciones IP en las que el servidor virtual está escuchando. Una que está directamente adjunta al servidor virtual y otra que está adjunta a través del conjunto de IP.

• Citrix WAF reasocia la dirección IP elástica pública a la dirección IP privada que pertenece a la nueva dirección IP virtual principal.

Para validar la implementación, realice lo siguiente:

• Conéctese a la instancia principal

Por ejemplo, con un servidor proxy, un jump host (una instancia de Linux/Windows/FW ejecutándose en AWS, o el host bastión), u otro dispositivo accesible a esa VPC o una conexión Direct Connect si se trata de conectividad local.

• Realice una acción de activación para forzar la conmutación por error y compruebe si la instancia secundaria toma el control.

Consejo:

Para validar aún más la configuración con respecto a Citrix WAF, ejecute el siguiente comando después de conectarse a la instancia principal de Citrix WAF:

Sh appfw profile QS-Profile

Conectarse al par HA de Citrix WAF mediante un host bastión

Si los usuarios optan por la implementación de Sandbox (por ejemplo, como parte de CFT, los usuarios optan por configurar un host bastión), se configurará un host bastión Linux implementado en una subred pública para acceder a las interfaces WAF.

En la consola de AWS CloudFormation, a la que se accede iniciando sesión aquí: Iniciar sesión, elija la pila maestra y, en la pestaña Salidas, busque el valor de LinuxBastionHostEIP1.

• Valor de la clave PrivateManagementPrivateNSIP y PrimaryADCInstanceID que se utilizará en los pasos posteriores para SSH en el ADC.

• Elija Servicios.

• En la pestaña Compute, seleccione EC2.

  • En Recursos, elija Instancias en ejecución.

  • En la pestaña Descripción de la instancia WAF principal, anote la dirección IP pública IPv4. Los usuarios necesitan esa dirección IP para construir el comando SSH.

• Para almacenar la clave en el llavero del usuario, ejecute el comando ssh-add -K [your-key-pair].pem

En Linux, es posible que los usuarios deban omitir el indicador -K.

• Inicie sesión en el host bastión con el siguiente comando, utilizando el valor de LinuxBastionHostEIP1 que anotó en el paso 1.

ssh -A ubuntu@[LinuxBastionHostEIP1]

• Desde el host bastión, los usuarios pueden conectarse a la instancia WAF principal mediante SSH.

ssh nsroot@[Primary Management Private NSIP]

Contraseña: [Primary ADC Instance ID]

Ahora los usuarios están conectados a la instancia WAF principal de Citrix. Para ver los comandos disponibles, los usuarios pueden ejecutar el comando help. Para ver la configuración HA actual, los usuarios pueden ejecutar el comando show HA node.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución fácil y escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN implementados en las instalaciones o en la nube.

Los usuarios pueden utilizar esta solución en la nube para administrar, supervisar y solucionar problemas de toda la infraestructura global de entrega de aplicaciones desde una consola única, unificada y centralizada basada en la nube. Citrix ADM Service proporciona todas las capacidades necesarias para configurar, implementar y administrar rápidamente la entrega de aplicaciones en implementaciones de Citrix ADC y con análisis completos del estado, el rendimiento y la seguridad de las aplicaciones.

Citrix ADM Service ofrece los siguientes beneficios:

• Ágil – Fácil de operar, actualizar y consumir. El modelo de servicio de Citrix ADM Service está disponible en la nube, lo que facilita la operación, actualización y uso de las funciones proporcionadas por Citrix ADM Service. La frecuencia de las actualizaciones, combinada con la función de actualización automatizada, mejora rápidamente la implementación de Citrix ADC del usuario.

• Tiempo de comercialización más rápido – Logro más rápido de los objetivos empresariales. A diferencia de la implementación tradicional en las instalaciones, los usuarios pueden utilizar su Citrix ADM Service con unos pocos clics. Los usuarios no solo ahorran tiempo de instalación y configuración, sino que también evitan perder tiempo y recursos en posibles errores.

• Administración multisitio – Panel de control único para instancias en centros de datos multisitio. Con el Servicio Citrix ADM, los usuarios pueden administrar y supervisar Citrix ADC que se encuentran en varios tipos de implementaciones. Los usuarios disponen de una gestión integral para los Citrix ADC implementados en las instalaciones y en la nube.

• Eficiencia operativa – Forma optimizada y automatizada de lograr una mayor productividad operativa. Con el Servicio Citrix ADM, se reducen los costes operativos del usuario al ahorrar tiempo, dinero y recursos en el mantenimiento y la actualización de las implementaciones de hardware tradicionales.

Cómo funciona el Servicio Citrix ADM

El Servicio Citrix ADM está disponible como servicio en Citrix Cloud. Después de que los usuarios se registren en Citrix Cloud y empiecen a usar el servicio, instale agentes en el entorno de red del usuario o inicie el agente integrado en las instancias. Luego, añada al servicio las instancias que los usuarios quieran administrar.

Un agente permite la comunicación entre el Servicio Citrix ADM y las instancias administradas en el centro de datos del usuario. El agente recopila datos de las instancias administradas en la red del usuario y los envía al Servicio Citrix ADM.

Cuando los usuarios añaden una instancia al Servicio Citrix ADM, esta se añade implícitamente como destino de trampa y recopila un inventario de la instancia.

El servicio recopila detalles de la instancia, como:

• Nombre de host

• Versión del software

• Configuración en ejecución y guardada

• Certificados

• Entidades configuradas en la instancia, y así sucesivamente.

El Servicio Citrix ADM sondea periódicamente las instancias administradas para recopilar información.

La siguiente imagen ilustra la comunicación entre el servicio, los agentes y las instancias:

Guía de documentación

La documentación del servicio Citrix ADM incluye información sobre cómo empezar a usar el servicio, una lista de las funciones compatibles con el servicio y la configuración específica de esta solución de servicio.

Implementación de instancias de Citrix ADC VPX en AWS mediante Citrix ADM

Cuando los clientes trasladan sus aplicaciones a la nube, los componentes que forman parte de su aplicación aumentan, se distribuyen más y deben administrarse dinámicamente.

Con las instancias de Citrix ADC VPX en AWS, los usuarios pueden extender sin problemas su pila de red L4-L7 a AWS. Con Citrix ADC VPX, AWS se convierte en una extensión natural de su infraestructura de TI local. Los clientes pueden usar Citrix ADC VPX en AWS para combinar la elasticidad y flexibilidad de la nube, con las mismas funciones de optimización, seguridad y control que admiten los sitios web y las aplicaciones más exigentes del mundo.

Con Citrix Application Delivery Management (ADM) supervisando sus instancias de Citrix ADC, los usuarios obtienen visibilidad del estado, el rendimiento y la seguridad de sus aplicaciones. Pueden automatizar la configuración, la implementación y la administración de su infraestructura de entrega de aplicaciones en entornos híbridos de múltiples nubes.

Diagrama de arquitectura

La siguiente imagen proporciona una descripción general de cómo Citrix ADM se conecta con AWS para aprovisionar instancias de Citrix ADC VPX en AWS.

Tareas de configuración

Realice las siguientes tareas en AWS antes de aprovisionar instancias de Citrix ADC VPX en Citrix ADM:

• Crear subredes

• Crear grupos de seguridad

• Crear un rol de IAM y definir una política

Realice las siguientes tareas en Citrix ADM para aprovisionar las instancias en AWS:

• Crear sitio

• Aprovisionar instancia de Citrix ADC VPX en AWS

Para crear subredes

Cree tres subredes en una VPC. Las tres subredes necesarias para aprovisionar instancias de Citrix ADC VPX en una VPC son: administración, cliente y servidor. Especifique un bloque CIDR IPv4 del rango definido en la VPC para cada una de las subredes. Especifique la zona de disponibilidad en la que residirá la subred. Cree las tres subredes en la misma zona de disponibilidad. La siguiente imagen ilustra las tres subredes creadas en la región del cliente y su conectividad con el sistema cliente.

Para obtener más información sobre VPC y subredes, consulte VPC y subredes.

Para crear grupos de seguridad

Cree un grupo de seguridad para controlar el tráfico de entrada y salida en la instancia de Citrix ADC VPX. Un grupo de seguridad actúa como un firewall virtual para una instancia de usuario. Cree grupos de seguridad a nivel de instancia, y no a nivel de subred. Es posible asignar cada instancia en una subred de la VPC del usuario a un conjunto diferente de grupos de seguridad. Agregue reglas para cada grupo de seguridad para controlar el tráfico de entrada que pasa a través de la subred del cliente a las instancias. Los usuarios también pueden agregar un conjunto separado de reglas que controlen el tráfico de salida que pasa a través de la subred del servidor a los servidores de aplicaciones. Aunque los usuarios pueden usar el grupo de seguridad predeterminado para sus instancias, es posible que deseen crear sus propios grupos. Cree tres grupos de seguridad, uno para cada subred. Cree reglas tanto para el tráfico entrante como para el saliente que los usuarios deseen controlar. Los usuarios pueden agregar tantas reglas como deseen.

Para obtener más información sobre los grupos de seguridad, consulte: Grupos de seguridad para su VPC.

Para crear un rol de IAM y definir una política

Cree un rol de IAM para que los clientes puedan establecer una relación de confianza entre sus usuarios y la cuenta de AWS de confianza de Citrix y crear una política con permisos de Citrix.

1. En AWS, haga clic en Servicios. En el panel de navegación izquierdo, seleccione IAM > Roles y haga clic en Crear rol.

2. Los usuarios están conectando su cuenta de AWS con la cuenta de AWS en Citrix ADM. Por lo tanto, seleccione Otra cuenta de AWS para permitir que Citrix ADM realice acciones en la cuenta de AWS.

Escriba el ID de cuenta de AWS de Citrix ADM de 12 dígitos. El ID de Citrix es 835822366011. Los usuarios también pueden encontrar el ID de Citrix en Citrix ADM cuando crean el perfil de acceso a la nube.

1. Habilite Requerir ID externo para conectarse a una cuenta de terceros. Los usuarios pueden aumentar la seguridad de sus roles al requerir un identificador externo opcional. Escriba un ID que pueda ser una combinación de cualquier carácter.

2. Haga clic en Permisos.

3. En la página Adjuntar políticas de permisos, haga clic en Crear política.

4. Los usuarios pueden crear y editar una política en el editor visual o utilizando JSON.

La lista de permisos de Citrix se proporciona en el siguiente cuadro:

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

1. Copie y pegue la lista de permisos en la pestaña JSON y haga clic en Revisar política.

2. En la página Revisar política, escriba un nombre para la política, introduzca una descripción y haga clic en Crear política.

Para crear un sitio en Citrix ADM

Cree un sitio en Citrix ADM y añada los detalles de la VPC asociada con el rol de AWS.

1. En Citrix ADM, vaya a Redes > Sitios.

2. Haga clic en Agregar.

3. Seleccione el tipo de servicio como AWS y habilite Usar VPC existente como sitio.

4. Seleccione el perfil de acceso a la nube.

5. Si el perfil de acceso a la nube no existe en el campo, haga clic en Agregar para crear un perfil.

   • En la página Crear perfil de acceso a la nube, escriba el nombre del perfil con el que los usuarios desean acceder a AWS.

   • Escriba el ARN asociado con el rol que los usuarios han creado en AWS.

   • Escriba el ID externo que los usuarios proporcionaron al crear un rol de Identity and Access Management (IAM) en AWS. Consulte el paso 4 en la tarea «Para crear un rol de IAM y definir una política». Asegúrese de que el nombre del rol de IAM especificado en AWS comience con Citrix-ADM- y que aparezca correctamente en el ARN del rol.

Los detalles de la VPC, como la región, el ID de VPC, el nombre y el bloque CIDR, asociados a su rol de IAM en AWS se importan en Citrix ADM.

1. Escriba un nombre para el sitio.

2. Haga clic en Crear.

Para aprovisionar Citrix ADC VPX en AWS

Utilice el sitio que los usuarios crearon anteriormente para aprovisionar las instancias de Citrix ADC VPX en AWS. Proporcione los detalles del agente de servicio de Citrix ADM para aprovisionar las instancias que están vinculadas a ese agente.

1. En Citrix ADM, vaya a Redes > Instancias > Citrix ADC.

2. En la ficha VPX, haga clic en Aprovisionar.

Esta opción muestra la página Aprovisionar Citrix ADC VPX en la nube.

1. Seleccione Amazon Web Services (AWS) y haga clic en Siguiente.

2. En Parámetros básicos,

   • Seleccione el Tipo de instancia de la lista.

     • Independiente: Esta opción aprovisiona una instancia de Citrix ADC VPX independiente en AWS.

     • HA: Esta opción aprovisiona las instancias de alta disponibilidad de Citrix ADC VPX en AWS.

     Para aprovisionar las instancias de Citrix ADC VPX en la misma zona, seleccione la opción Single Zone en Zone Type.

     Para aprovisionar las instancias de Citrix ADC VPX en varias zonas, seleccione la opción Multi Zone en Zone type. En la pestaña Cloud Parameters, asegúrese de especificar los detalles de red para cada zona que se cree en AWS.

   

   • Especifique el nombre de la instancia de Citrix ADC VPX.

   • En Site, seleccione el sitio que creó anteriormente.

   • En Agent, seleccione el agente que se ha creado para gestionar la instancia de Citrix ADC VPX.

   • En Cloud Access Profile, seleccione el perfil de acceso a la nube creado durante la creación del sitio.

   • En Device Profile, seleccione el perfil para proporcionar autenticación.

   Citrix ADM utiliza el perfil de dispositivo cuando necesita iniciar sesión en la instancia de Citrix ADC VPX.

   • Haga clic en Next.

3. En Cloud Parameters,

   • Seleccione el Citrix IAM Role creado en AWS. Un rol de IAM es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS.

   • En el campo Product, seleccione la versión del producto Citrix ADC que los usuarios desean aprovisionar.

   • Seleccione el tipo de instancia EC2 de la lista Instance Type.

   • Seleccione la versión de Citrix ADC que los usuarios desean aprovisionar. Seleccione las versiones principal y secundaria de Citrix ADC.

   • En Grupos de seguridad, seleccione los grupos de seguridad de administración, cliente y servidor que los usuarios crearon en su red virtual.

   • En IPs en subred de servidor por nodo, seleccione el número de direcciones IP en la subred de servidor por nodo para el grupo de seguridad.

   • En Subredes, seleccione las subredes de administración, cliente y servidor para cada zona que se crean en AWS. Los usuarios también pueden seleccionar la región de la lista Zona de disponibilidad.

   • Haga clic en Finalizar.

La instancia de Citrix ADC VPX ya está aprovisionada en AWS.

Nota:

Citrix ADM no admite el desaprovisionamiento de instancias de Citrix ADC desde AWS.

Para ver el Citrix ADC VPX aprovisionado en AWS

1. Desde la página de inicio de AWS, vaya a Servicios y haga clic en EC2.

2. En la página Recursos, haga clic en Instancias en ejecución.

3. Los usuarios pueden ver el Citrix ADC VPX aprovisionado en AWS.

El nombre de la instancia de Citrix ADC VPX es el mismo nombre que los usuarios proporcionaron al aprovisionar la instancia en Citrix ADM.

Para ver el Citrix ADC VPX aprovisionado en Citrix ADM

1. En Citrix ADM, vaya a Redes > Instancias > Citrix ADC.

2. Seleccione la pestaña Citrix ADC VPX.

3. La instancia de Citrix ADC VPX aprovisionada en AWS aparece aquí.

Citrix ADC WAF y OWASP Top 10 – 2017

El Proyecto Abierto de Seguridad de Aplicaciones Web: OWASP publicó el OWASP Top 10 de 2017 para la seguridad de las aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. Aquí detallamos cómo configurar el Firewall de Aplicaciones Web (WAF) de Citrix ADC para mitigar estos fallos. WAF está disponible como un módulo integrado en Citrix ADC (Premium Edition), así como en una gama completa de dispositivos.

El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

A1:2017- Inyección

Las fallas de inyección, como la inyección SQL, NoSQL, OS y LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a datos sin la autorización adecuada.

Protecciones WAF de ADC

• La función de prevención de inyección SQL protege contra ataques de inyección comunes. Se pueden cargar patrones de inyección personalizados para proteger contra cualquier tipo de ataque de inyección, incluidos XPath y LDAP. Esto es aplicable tanto para cargas útiles HTML como XML.

• La función de actualización automática de firmas mantiene las firmas de inyección actualizadas.

• La función de protección de formato de campo permite al administrador restringir cualquier parámetro de usuario a una expresión regular. Por ejemplo, puede exigir que un campo de código postal contenga solo números enteros o incluso números enteros de 5 dígitos.

• Coherencia del campo del formulario: Valide cada formulario de usuario enviado con la firma del formulario de la sesión del usuario para garantizar la validez de todos los elementos del formulario.

• Las comprobaciones de desbordamiento de búfer garantizan que la URL, los encabezados y las cookies estén dentro de los límites correctos, bloqueando cualquier intento de inyectar scripts o código grandes.

A2:2017 – Autenticación rota

Las funciones de la aplicación relacionadas con la autenticación y la gestión de sesiones a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o explotar otras fallas de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.

Protecciones WAF de ADC

• El módulo AAA de Citrix ADC realiza la autenticación de usuarios y proporciona la funcionalidad de inicio de sesión único a las aplicaciones de back-end. Esto se integra en el motor de políticas AppExpert de Citrix ADC para permitir políticas personalizadas basadas en la información del usuario y del grupo.

• Mediante las capacidades de descarga SSL y transformación de URL, el firewall también puede ayudar a los sitios a utilizar protocolos de capa de transporte seguros para evitar el robo de tokens de sesión mediante el rastreo de red.

• El proxy de cookies y el cifrado de cookies se pueden emplear para mitigar completamente el robo de cookies.

A3:2017 - Exposición de datos sensibles

Muchas aplicaciones web y API no protegen adecuadamente los datos sensibles, como los financieros, de atención médica y la PII. Los atacantes pueden robar o modificar estos datos mal protegidos para llevar a cabo fraudes con tarjetas de crédito, robos de identidad u otros delitos. Los datos sensibles pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales al intercambiarse con el navegador.

Protecciones WAF de ADC

• El Firewall de aplicaciones protege las aplicaciones de la fuga de datos sensibles, como los detalles de tarjetas de crédito.

• Los datos sensibles se pueden configurar como objetos seguros en la protección de comercio seguro para evitar la exposición.

• Cualquier dato sensible en las cookies se puede proteger mediante el Proxy de cookies y el Cifrado de cookies.

A4:2017 Entidades externas XML (XXE)

Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades externas dentro de documentos XML. Las entidades externas se pueden utilizar para divulgar archivos internos mediante el controlador URI de archivo, recursos compartidos de archivos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio.

Protecciones de ADC WAF

• Además de detectar y bloquear amenazas comunes de aplicaciones que se pueden adaptar para atacar aplicaciones basadas en XML (es decir, scripts entre sitios, inyección de comandos, etc.).

• El Firewall de aplicaciones de ADC incluye un amplio conjunto de protecciones de seguridad específicas de XML. Estas incluyen la validación de esquemas para verificar exhaustivamente los mensajes SOAP y las cargas útiles XML, y una potente comprobación de archivos adjuntos XML para bloquear archivos adjuntos que contengan ejecutables maliciosos o virus.

• Los métodos automáticos de inspección de tráfico bloquean los ataques de inyección XPath en URL y formularios dirigidos a obtener acceso.

• El Firewall de aplicaciones de ADC también frustra varios ataques DoS, incluidas las referencias a entidades externas, la expansión recursiva, el anidamiento excesivo y los mensajes maliciosos que contienen un número excesivo o muy grande de atributos y elementos.

A5:2017 Control de acceso roto

Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a funcionalidades y datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos sensibles, modificar los datos de otros usuarios, cambiar los derechos de acceso, etcétera.

Protecciones de ADC WAF

• La función AAA de Citrix ADC, que admite la autenticación, autorización y auditoría para todo el tráfico de aplicaciones, permite a un administrador del sitio gestionar los controles de acceso con el dispositivo ADC.

• La función de seguridad de autorización dentro del módulo AAA de Citrix ADC del dispositivo ADC permite al dispositivo verificar qué contenido en un servidor protegido debe permitir que cada usuario acceda.

• Coherencia de campos de formulario: Si las referencias de objetos se almacenan como campos ocultos en los formularios, entonces usando la coherencia de campos de formulario puede validar que estos campos no sean manipulados en solicitudes posteriores.

• Proxy de cookies y coherencia de cookies: Las referencias de objetos que se almacenan en los valores de las cookies se pueden validar con estas protecciones.

• Comprobación de URL de inicio con cierre de URL: Permite el acceso del usuario a una lista de URL permitidas predefinida. El cierre de URL crea una lista de todas las URL vistas en respuestas válidas durante la sesión del usuario y permite automáticamente el acceso a ellas durante esa sesión.

A6:2017 - Configuración de seguridad incorrecta

La configuración de seguridad incorrecta es el problema más común. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o improvisadas, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, marcos, bibliotecas y aplicaciones deben configurarse de forma segura, sino que también deben parchearse y actualizarse de manera oportuna.

Protecciones de ADC WAF

• El informe PCI-DSS generado por el Firewall de aplicaciones, documenta la configuración de seguridad en el dispositivo Firewall.

• Los informes de las herramientas de escaneo se convierten en firmas de ADC WAF para manejar las configuraciones de seguridad incorrectas.

• ADC WAF es compatible con Cenzic, IBM AppScan (Enterprise y Standard), Qualys, TrendMicro, WhiteHat y los informes de escaneo de vulnerabilidades personalizados.

A7:2017 - Scripting entre sitios (XSS)

Las fallas de XSS ocurren siempre que una aplicación incluye datos no confiables en una nueva página web sin una validación o escape adecuados, o actualiza una página web existente con datos proporcionados por el usuario utilizando una API del navegador que puede crear HTML o JavaScript. El scripting entre sitios permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Protecciones de ADC WAF

• La protección contra scripting entre sitios protege contra ataques XSS comunes. Se pueden cargar patrones XSS personalizados para modificar la lista predeterminada de etiquetas y atributos permitidos. El ADC WAF utiliza una lista de atributos y etiquetas HTML permitidos para detectar ataques XSS. Esto es aplicable tanto para cargas útiles HTML como XML.

• ADC WAF bloquea todos los ataques enumerados en la Hoja de trucos de evaluación del filtro XSS de OWASP.

• La comprobación del formato de campo evita que un atacante envíe datos de formulario web inapropiados que pueden ser un ataque XSS potencial.

• Coherencia de los campos del formulario.

A8:2017 - Deserialización Insegura

La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si los fallos de deserialización no resultan en la ejecución remota de código, pueden usarse para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios.

Protecciones WAF de ADC

• Inspección de cargas JSON con firmas personalizadas.

• Seguridad XML: protege contra la denegación de servicio XML (xDoS), la inyección SQL y Xpath de XML y el scripting entre sitios, comprobaciones de formato, cumplimiento del perfil básico WS-I, comprobación de archivos adjuntos XML.

• Se pueden utilizar comprobaciones de formato de campo, además de la coherencia de cookies y la coherencia de campos.

A9:2017 - Uso de componentes con vulnerabilidades conocidas

Los componentes, como bibliotecas, marcos de trabajo y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar una pérdida grave de datos o la toma de control del servidor. Las aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de la aplicación y permitir varios ataques e impactos.

Protecciones WAF de ADC

• Citrix recomienda tener los componentes de terceros actualizados.

• Los informes de análisis de vulnerabilidades que se convierten en firmas ADC se pueden utilizar para parchear virtualmente estos componentes.

• Se pueden utilizar las plantillas de firewall de aplicaciones disponibles para estos componentes vulnerables.

• Se pueden vincular firmas personalizadas con el firewall para proteger estos componentes.

A10:2017 - Registro y supervisión insuficientes

El registro y la supervisión insuficientes, junto con una integración deficiente o ineficaz con la respuesta a incidentes, permiten a los atacantes seguir atacando sistemas, mantener la persistencia, pasar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción supera los 200 días, y que normalmente la detectan terceros en lugar de procesos o supervisión internos.

Protecciones WAF de ADC

• Cuando la acción de registro está habilitada para comprobaciones de seguridad o firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el firewall de aplicaciones ha observado mientras protegía sus sitios web y aplicaciones.

• El firewall de aplicaciones ofrece la comodidad de usar la base de datos ADC integrada para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes maliciosas.

• Las expresiones de formato predeterminado (PI) ofrecen la flexibilidad de personalizar la información incluida en los registros con la opción de agregar los datos específicos que se capturarán en los mensajes de registro generados por el firewall de aplicaciones.

• El firewall de aplicaciones admite registros CEF.

Protección de seguridad de aplicaciones

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN implementados en las instalaciones o en la nube.

Funciones de análisis y administración de aplicaciones de Citrix ADM

Las siguientes funciones son clave para el rol de ADM en la seguridad de las aplicaciones.

Análisis y administración de aplicaciones

La función de análisis y administración de aplicaciones de Citrix ADM refuerza el enfoque centrado en las aplicaciones para ayudar a los usuarios a abordar diversos desafíos de entrega de aplicaciones. Este enfoque proporciona a los usuarios visibilidad de las puntuaciones de estado de las aplicaciones, les ayuda a determinar los riesgos de seguridad y a detectar anomalías en los flujos de tráfico de las aplicaciones y a tomar medidas correctivas. El más importante de estos roles para la seguridad de las aplicaciones es el análisis de seguridad de las aplicaciones:

• Análisis de seguridad de aplicaciones: Análisis de seguridad de aplicaciones. El panel de seguridad de aplicaciones proporciona una vista holística del estado de seguridad de las aplicaciones de usuario. Por ejemplo, muestra métricas de seguridad clave como infracciones de seguridad, infracciones de firma e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC detectadas.

StyleBooks

Los StyleBooks simplifican la tarea de administrar configuraciones complejas de Citrix ADC para aplicaciones de usuario. Un StyleBook es una plantilla que los usuarios pueden usar para crear y administrar configuraciones de Citrix ADC. Aquí, los usuarios se preocupan principalmente por el StyleBook utilizado para implementar el firewall de aplicaciones web. Para obtener más información sobre los StyleBooks, consulte: StyleBooks.

Análisis

Proporciona una forma sencilla y escalable de examinar los diversos conocimientos de los datos de las instancias de Citrix ADC para describir, predecir y mejorar el rendimiento de las aplicaciones. Los usuarios pueden usar una o más funciones de análisis simultáneamente. Las más importantes entre estas funciones para la seguridad de las aplicaciones son:

• Security Insight: Security Insight. Proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de usuario y tomar medidas correctivas para protegerlas.

• Bot Insight

• Para obtener más información sobre el análisis, consulte Análisis: Analytics.

Otras características importantes para la funcionalidad de ADM son:

Administración de eventos

Los eventos representan ocurrencias de eventos o errores en una instancia administrada de Citrix ADC. Por ejemplo, cuando hay un fallo del sistema o un cambio en la configuración, se genera y registra un evento en Citrix ADM. A continuación, se muestran las funciones relacionadas que los usuarios pueden configurar o ver mediante Citrix ADM:

• Creación de reglas de eventos: Create Event Rules

• Ver y exportar mensajes de syslog: View and Export Syslog Messages

Para obtener más información sobre la administración de eventos, consulte: Events.

Administración de instancias

Permite a los usuarios administrar las instancias de Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway y Citrix SD-WAN. Para obtener más información sobre la administración de instancias, consulte: Adding Instances.

Administración de licencias

Permite a los usuarios gestionar licencias de Citrix ADC configurando Citrix ADM como gestor de licencias.

• Capacidad agrupada de Citrix ADC: Capacidad agrupada. Un grupo de licencias común del que una instancia de Citrix ADC de usuario puede retirar una licencia de instancia y solo el ancho de banda que necesite. Cuando la instancia ya no necesita estos recursos, los devuelve al grupo común, poniéndolos a disposición de otras instancias que los necesiten.

• Licencias de entrada y salida de Citrix ADC VPX: Licencias de entrada y salida de Citrix ADC VPX. Citrix ADM asigna licencias a las instancias de Citrix ADC VPX bajo demanda. Una instancia de Citrix ADC VPX puede retirar la licencia de Citrix ADM cuando se aprovisiona una instancia de Citrix ADC VPX, o devolver su licencia a Citrix ADM cuando se elimina o destruye una instancia.

• Para obtener más información sobre la gestión de licencias, consulte: Capacidad agrupada.

Gestión de la configuración

Citrix ADM permite a los usuarios crear trabajos de configuración que les ayudan a realizar tareas de configuración, como la creación de entidades, la configuración de funciones, la replicación de cambios de configuración, las actualizaciones del sistema y otras actividades de mantenimiento con facilidad en varias instancias. Los trabajos y plantillas de configuración simplifican las tareas administrativas más repetitivas en una sola tarea en Citrix ADM. Para obtener más información sobre la gestión de la configuración, consulte Trabajos de configuración: Trabajos de configuración.

Auditoría de la configuración

Permite a los usuarios supervisar e identificar anomalías en las configuraciones de las instancias de usuario.

• Asesoramiento de configuración: Obtener asesoramiento de configuración sobre la configuración de red. Permite a los usuarios identificar cualquier anomalía de configuración.

• Plantilla de auditoría: Crear plantillas de auditoría. Permite a los usuarios supervisar los cambios en una configuración específica.

• Para obtener más información sobre la auditoría de configuración, consulte: Auditoría de configuración.

Las firmas proporcionan las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de las aplicaciones de usuario:

• Modelo de seguridad negativo: Con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, para diseñar sus propias soluciones de seguridad personalizadas.

• Modelo de seguridad híbrido: Además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración idealmente adecuada para las aplicaciones de usuario. Use firmas para bloquear lo que los usuarios no quieren y use comprobaciones de seguridad positivas para aplicar lo que está permitido.

Para proteger las aplicaciones de usuario mediante firmas, los usuarios deben configurar uno o varios perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección SQL y de scripts entre sitios, y las reglas de transformación SQL, en el objeto de firmas del usuario se utilizan no solo por las reglas de firma, sino también por las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto de firmas.

El Firewall de aplicaciones web examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se lanzan contra las aplicaciones de usuario. Si los usuarios habilitan las estadísticas, el Firewall de aplicaciones web mantiene datos sobre las solicitudes que coinciden con una firma o una comprobación de seguridad del Firewall de aplicaciones web.

Si el tráfico coincide con una firma y una comprobación de seguridad positiva, se aplican las acciones más restrictivas de las dos. Por ejemplo, si una solicitud coincide con una regla de firma para la que la acción de bloqueo está deshabilitada, pero la solicitud también coincide con una comprobación de seguridad positiva de inyección SQL para la que la acción es bloquear, la solicitud se bloquea. En este caso, la infracción de firma podría registrarse como [not blocked], aunque la solicitud sea bloqueada por la comprobación de inyección SQL.

Personalización: Si es necesario, los usuarios pueden añadir sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones SQL/XSS. La opción de añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, ofrece a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación determinada puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden añadir, modificar o eliminar patrones de inyección SQL y de scripts entre sitios. Los editores de expresiones y RegEx integrados ayudan a los usuarios a configurar patrones de usuario y a verificar su precisión.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina el equilibrio de carga L4, la administración de tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de aplicaciones, las licencias flexibles y otras capacidades esenciales de entrega de aplicaciones en una única instancia VPX, convenientemente disponible a través de AWS Marketplace. Además, todo se rige por un único marco de políticas y se administra con el mismo y potente conjunto de herramientas utilizadas para administrar las implementaciones de Citrix ADC locales. El resultado neto es que Citrix ADC en AWS permite varios casos de uso atractivos que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos en la nube empresariales.

Citrix Web Application Firewall (WAF)

Citrix Web Application Firewall (WAF) es una solución de nivel empresarial que ofrece protecciones de vanguardia para aplicaciones modernas. Citrix WAF mitiga las amenazas contra los activos públicos, incluidos sitios web, aplicaciones web y API. Citrix WAF incluye filtrado basado en la reputación de IP, mitigación de bots, protecciones contra las 10 principales amenazas de aplicaciones de OWASP, protección DDoS de capa 7 y mucho más. También se incluyen opciones para aplicar autenticación, cifrados SSL/TLS robustos, TLS 1.3, limitación de velocidad y políticas de reescritura. Utilizando protecciones WAF básicas y avanzadas, Citrix WAF proporciona una protección integral para sus aplicaciones con una facilidad de uso inigualable. Ponerlo en marcha es cuestión de minutos. Además, utilizando un modelo de aprendizaje automatizado, llamado perfilado dinámico, Citrix WAF ahorra a los usuarios un tiempo precioso. Al aprender automáticamente cómo funciona una aplicación protegida, Citrix WAF se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. Citrix WAF ayuda con el cumplimiento de todos los principales estándares y organismos reguladores, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil ponerse en marcha rápidamente. Con el escalado automático, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso cuando su tráfico aumenta.

Estrategia de implementación del Firewall de aplicaciones web

El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y cuáles pueden omitir la inspección de seguridad de forma segura. Esto ayuda a los usuarios a lograr una configuración óptima y a diseñar políticas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, los usuarios pueden querer configurar una política para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra política para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden utilizar múltiples políticas y perfiles para proteger diferentes contenidos de la misma aplicación.

El siguiente paso es establecer la línea base de la implementación. Comience creando un servidor virtual y ejecute tráfico de prueba a través de él para hacerse una idea de la tasa y la cantidad de tráfico que fluye a través del sistema de usuario.

Luego, implemente el Firewall de aplicaciones web. Utilice Citrix ADM y el StyleBook del Firewall de aplicaciones web para configurar el Firewall de aplicaciones web. Consulte la sección StyleBook a continuación en esta guía para obtener más detalles.

Una vez que el Firewall de aplicaciones web esté implementado y configurado con el StyleBook del Firewall de aplicaciones web, un siguiente paso útil sería implementar el WAF de Citrix ADC y el OWASP Top 10.

Finalmente, tres de las protecciones del Firewall de aplicaciones web son especialmente efectivas contra tipos comunes de ataques web y, por lo tanto, se usan con más frecuencia que cualquier otra. Por lo tanto, deben implementarse en la implementación inicial. Son:

• Scripts entre sitios HTML. Examina las solicitudes y respuestas en busca de scripts que intenten acceder o modificar contenido en un sitio web diferente al de origen del script. Cuando esta comprobación encuentra un script de este tipo, lo neutraliza antes de reenviar la solicitud o respuesta a su destino, o bloquea la conexión.

• Inyección SQL HTML. Examina las solicitudes que contienen datos de campos de formulario en busca de intentos de inyectar comandos SQL en una base de datos SQL. Cuando esta comprobación detecta código SQL inyectado, bloquea la solicitud o neutraliza el código SQL inyectado antes de reenviar la solicitud al servidor web.

Nota:

Si se cumplen las dos condiciones siguientes en la configuración del usuario, los usuarios deben asegurarse de que su firewall de aplicaciones web esté configurado correctamente:

• Si los usuarios habilitan la comprobación de scripts de sitios cruzados HTML o la comprobación de inyección SQL HTML (o ambas), y

• Los sitios web protegidos por el usuario aceptan cargas de archivos o contienen formularios web que pueden contener grandes cantidades de datos en el cuerpo de la solicitud POST.

Para obtener más información sobre cómo configurar el firewall de aplicaciones web para gestionar este caso, consulte Configuración del firewall de aplicaciones: Configuración del firewall de aplicaciones web.

• Desbordamiento de búfer. Examina las solicitudes para detectar intentos de provocar un desbordamiento de búfer en el servidor web.

Configuración del firewall de aplicaciones web (WAF)

Los siguientes pasos asumen que el WAF ya está habilitado y funcionando correctamente.

Citrix recomienda que los usuarios configuren WAF mediante el StyleBook de Web Application Firewall. La mayoría de los usuarios lo consideran el método más sencillo para configurar el firewall de aplicaciones web, y está diseñado para evitar errores. Tanto la GUI como la interfaz de línea de comandos están destinadas a usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.

Inyección SQL

La comprobación de inyección SQL HTML del firewall de aplicaciones proporciona defensas especiales contra la inyección de código SQL no autorizado que podría comprometer la seguridad de la aplicación del usuario. Citrix Web Application Firewall examina la carga útil de la solicitud en busca de código SQL inyectado en tres ubicaciones: 1) cuerpo POST, 2) encabezados y 3) cookies.

Un conjunto predeterminado de palabras clave y caracteres especiales proporciona palabras clave y caracteres especiales conocidos que se utilizan comúnmente para lanzar ataques SQL. Los usuarios también pueden agregar nuevos patrones y pueden editar el conjunto predeterminado para personalizar la inspección de la comprobación SQL.

Hay varios parámetros que se pueden configurar para el procesamiento de inyección SQL. Los usuarios pueden buscar caracteres comodín SQL. Los usuarios pueden cambiar el tipo de inyección SQL y seleccionar una de las 4 opciones (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) para indicar cómo evaluar las palabras clave SQL y los caracteres especiales SQL al procesar la carga útil. El parámetro de manejo de comentarios SQL ofrece a los usuarios una opción para especificar el tipo de comentarios que deben inspeccionarse o eximirse durante la detección de inyección SQL.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje puede proporcionar recomendaciones para configurar reglas de relajación.

Las siguientes opciones están disponibles para configurar una protección optimizada contra inyección SQL para la aplicación del usuario:

Bloquear — Si los usuarios habilitan block, la acción de bloqueo se activa solo si la entrada coincide con la especificación del tipo de inyección SQL. Por ejemplo, si SQLSplCharANDKeyword está configurado como el tipo de inyección SQL, una solicitud no se bloquea si no contiene palabras clave, incluso si se detectan caracteres especiales SQL en la entrada. Dicha solicitud se bloquea si el tipo de inyección SQL se establece en SQLSplChar o SQLSplCharORKeyword.

Registrar — Si los usuarios habilitan la función de registro, la comprobación de inyección SQL genera mensajes de registro que indican las acciones que realiza. Si block está deshabilitado, se genera un mensaje de registro separado para cada campo de entrada en el que se detectó la infracción SQL. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. De manera similar, se genera 1 mensaje de registro por solicitud para la operación de transformación, incluso cuando los caracteres especiales SQL se transforman en varios campos. Los usuarios pueden monitorear los registros para determinar si las respuestas a solicitudes legítimas están siendo bloqueadas. Un gran aumento en el número de mensajes de registro puede indicar intentos de lanzar un ataque.

Estadísticas — Si está habilitada, la función de estadísticas recopila datos sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está bajo ataque. Si las solicitudes legítimas están siendo bloqueadas, los usuarios podrían tener que revisar la configuración para ver si necesitan configurar nuevas reglas de relajación o modificar las existentes.

Aprender — Si los usuarios no están seguros de qué reglas de relajación SQL podrían ser las más adecuadas para sus aplicaciones, pueden usar la función de aprendizaje para generar recomendaciones basadas en los datos aprendidos. El motor de aprendizaje del Firewall de aplicaciones web monitorea el tráfico y proporciona recomendaciones de aprendizaje de SQL basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, los usuarios podrían querer habilitar la opción de aprendizaje por un corto tiempo para obtener una muestra representativa de las reglas, y luego implementar las reglas y deshabilitar el aprendizaje.

Transformar caracteres especiales SQL — El Firewall de aplicaciones web considera tres caracteres, la comilla simple recta (‘), la barra invertida () y el punto y coma (;) como caracteres especiales para el procesamiento de la comprobación de seguridad SQL. La función de transformación SQL modifica el código de inyección SQL en una solicitud HTML para garantizar que la solicitud sea inofensiva. La solicitud HTML modificada se envía luego al servidor. Todas las reglas de transformación predeterminadas se especifican en el archivo /netscaler/default_custom_settings.xml.

• La operación de transformación desactiva el código SQL realizando los siguientes cambios en la solicitud:

• Comilla simple recta (‘) a comilla doble recta (“).

• Barra invertida () a doble barra invertida ().

• El punto y coma (;) se elimina por completo.

Estos tres caracteres (cadenas especiales) son necesarios para emitir comandos a un servidor SQL. A menos que un comando SQL esté precedido por una cadena especial, la mayoría de los servidores SQL ignoran ese comando. Por lo tanto, los cambios que realiza el Firewall de aplicaciones web cuando la transformación está habilitada evitan que un atacante inyecte SQL activo. Una vez realizados estos cambios, la solicitud puede ser reenviada de forma segura al sitio web protegido por el usuario. Cuando los formularios web en el sitio web protegido por el usuario pueden contener legítimamente cadenas especiales SQL, pero los formularios web no dependen de las cadenas especiales para funcionar correctamente, los usuarios pueden deshabilitar el bloqueo y habilitar la transformación para evitar el bloqueo de datos legítimos del formulario web sin reducir la protección que el Firewall de aplicaciones web proporciona a los sitios web protegidos por el usuario.

La operación de transformación funciona independientemente de la configuración del tipo de inyección SQL. Si la transformación está habilitada y el tipo de inyección SQL se especifica como una palabra clave SQL, los caracteres especiales SQL se transforman incluso si la solicitud no contiene ninguna palabra clave.

Consejo:

Normalmente, los usuarios habilitan la transformación o el bloqueo, pero no ambos. Si la acción de bloqueo está habilitada, tiene prioridad sobre la acción de transformación. Si los usuarios tienen el bloqueo habilitado, habilitar la transformación es redundante.

Comprobar caracteres comodín SQL — Los caracteres comodín se pueden usar para ampliar las selecciones de una instrucción SQL (SQL-SELECT). Estos operadores comodín se pueden usar con los operadores LIKE y NOT LIKE para comparar un valor con valores similares. Los caracteres de porcentaje (%), y guion bajo (_) se usan con frecuencia como comodines. El signo de porcentaje es análogo al carácter comodín de asterisco (*) utilizado con MS-DOS y para hacer coincidir cero, uno o varios caracteres en un campo. El guion bajo es similar al carácter comodín de signo de interrogación (?) de MS-DOS. Coincide con un solo número o carácter en una expresión.

Por ejemplo, los usuarios pueden usar la siguiente consulta para realizar una búsqueda de cadena para encontrar todos los clientes cuyos nombres contengan el carácter D.

SELECCIONAR * de cliente DONDE nombre como “%D%”:

El siguiente ejemplo combina los operadores para encontrar cualquier valor de salario que tenga 0 en el segundo y tercer lugar.

SELECCIONAR * de cliente DONDE salario como ‘_00%’:

Diferentes proveedores de DBMS han ampliado los caracteres comodín añadiendo operadores adicionales. El firewall de aplicaciones web de Citrix puede proteger contra ataques lanzados mediante la inyección de estos caracteres comodín. Los 5 caracteres comodín predeterminados son porcentaje (%), guion bajo (_), intercalación (^), corchete de apertura ([), and closing bracket (]). Esta protección se aplica tanto a los perfiles HTML como XML.

Los caracteres comodín predeterminados son una lista de literales especificados en las *Firmas predeterminadas:

• <tipo de comodín=” LITERAL”>%</wildchar>

• <tipo de comodín=”LITERAL”]>_</wildchar>

• <wildchar type=”literal”>^</wildchar>

• <wildchar type=”literal”>[</wildchar>

• <carácter comodín type=”LITERAL”>]</wildchar>

Los caracteres comodín en un ataque pueden ser PCRE, como [^A-F]. El firewall de aplicaciones web también admite caracteres comodín PCRE, pero los caracteres comodín literales que se muestran aquí son suficientes para bloquear la mayoría de los ataques.

Nota:

La comprobación de caracteres comodín SQL es diferente de la comprobación de caracteres especiales SQL. Esta opción debe usarse con precaución para evitar falsos positivos.

Comprobar solicitud que contiene el tipo de inyección SQL: el firewall de aplicaciones web proporciona 4 opciones para implementar el nivel deseado de rigurosidad para la inspección de inyección SQL, según la necesidad individual de la aplicación. La solicitud se comprueba con la especificación del tipo de inyección para detectar infracciones de SQL. Las 4 opciones de tipo de inyección SQL son:

• Carácter especial y palabra clave SQL: tanto una palabra clave SQL como un carácter especial SQL deben estar presentes en la entrada para activar una infracción de SQL. Esta configuración menos restrictiva es también la configuración predeterminada.

• Carácter especial SQL: al menos uno de los caracteres especiales debe estar presente en la entrada para activar una infracción de SQL.

• Palabra clave SQL: al menos una de las palabras clave SQL especificadas debe estar presente en la entrada para activar una infracción de SQL. No seleccione esta opción sin la debida consideración. Para evitar falsos positivos, asegúrese de que no se esperan palabras clave en las entradas.

• Carácter especial o palabra clave SQL: la palabra clave o la cadena de caracteres especiales deben estar presentes en la entrada para activar la infracción de la comprobación de seguridad.

Sugerencia:

Si los usuarios configuran el firewall de aplicaciones web para que compruebe las entradas que contienen un carácter especial SQL, el firewall de aplicaciones web omite los campos de formulario web que no contienen ningún carácter especial. Dado que la mayoría de los servidores SQL no procesan comandos SQL que no van precedidos de un carácter especial, habilitar esta opción puede reducir significativamente la carga en el firewall de aplicaciones web y acelerar el procesamiento sin poner en riesgo los sitios web protegidos por el usuario.

Gestión de comentarios SQL — De forma predeterminada, el firewall de aplicaciones web comprueba todos los comentarios SQL en busca de comandos SQL inyectados. Sin embargo, muchos servidores SQL ignoran cualquier cosa en un comentario, incluso si va precedido de un carácter especial SQL. Para un procesamiento más rápido, si su servidor SQL ignora los comentarios, puede configurar el firewall de aplicaciones web para que omita los comentarios al examinar las solicitudes de SQL inyectado. Las opciones de gestión de comentarios SQL son:

• ANSI — Omite los comentarios SQL en formato ANSI, que normalmente utilizan las bases de datos SQL basadas en UNIX. Por ejemplo:

  • /– (Dos guiones) - Este es un comentario que comienza con dos guiones y termina con el final de la línea.

  • {} - Corchetes (Los corchetes encierran el comentario. El { precede al comentario y el } lo sigue. Los corchetes pueden delimitar comentarios de una o varias líneas, pero los comentarios no se pueden anidar)

  • /*/: Comentarios de estilo C (no permite comentarios anidados). Tenga en cuenta que /! <un comentario que comienza con una barra seguida de un asterisco y un signo de exclamación no es un comentario > */

  • MySQL Server admite algunas variantes de comentarios de estilo C. Estos permiten a los usuarios escribir código que incluye extensiones de MySQL, pero que sigue siendo portátil, utilizando comentarios de la siguiente forma: [/*! MySQL-specific code */]

  • .#: Comentarios de MySQL: Este es un comentario que comienza con el carácter # y termina con el final de la línea.

• Anidados — Omite los comentarios SQL anidados, que normalmente utiliza Microsoft SQL Server. Por ejemplo; – (Dos guiones), y /**/ (Permite comentarios anidados)

• ANSI/Anidados — Omite los comentarios que se adhieren a los estándares de comentarios SQL ANSI y anidados. Los comentarios que coinciden solo con el estándar ANSI, o solo con el estándar anidado, se siguen comprobando en busca de SQL inyectado.

• Comprobar todos los comentarios — Comprueba toda la solicitud en busca de SQL inyectado sin omitir nada. Esta es la configuración predeterminada.

Consejo:

En la mayoría de los casos, los usuarios no deben elegir la opción Anidado o ANSI/Anidado a menos que su base de datos back-end se ejecute en Microsoft SQL Server. La mayoría de los otros tipos de software de servidor SQL no reconocen los comentarios anidados. Si aparecen comentarios anidados en una solicitud dirigida a otro tipo de servidor SQL, podrían indicar un intento de violar la seguridad de ese servidor.

Comprobar encabezados de solicitud — Habilite esta opción si, además de examinar la entrada en los campos del formulario, los usuarios desean examinar los encabezados de solicitud en busca de ataques de inyección SQL HTML. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en el panel Configuración avanzada -> Configuración de perfil del perfil de Web Application Firewall.

Nota:

Si los usuarios habilitan la marca de encabezado de solicitud de comprobación, es posible que tengan que configurar una regla de relajación para el encabezado User-Agent. La presencia de la palabra clave SQL like y un carácter especial SQL de punto y coma (;) podría desencadenar falsos positivos y bloquear las solicitudes que contengan este encabezado. Advertencia: Si los usuarios habilitan la comprobación y la transformación de encabezados de solicitud, cualquier carácter especial SQL que se encuentre en los encabezados también se transforma. Los encabezados Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect y User-Agent normalmente contienen puntos y coma (;). Habilitar la comprobación y la transformación de encabezados de solicitud simultáneamente podría causar errores.

InspectQueryContentTypes — Configure esta opción si los usuarios desean examinar la parte de la consulta de la solicitud en busca de ataques de inyección SQL para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en el panel Configuración avanzada -> Configuración de perfil del perfil de Application Firewall.

Scripts entre sitios

La comprobación de scripts entre sitios HTML (cross-site scripting) examina tanto los encabezados como los cuerpos POST de las solicitudes de los usuarios en busca de posibles ataques de scripts entre sitios. Si encuentra un script entre sitios, modifica (transforma) la solicitud para que el ataque sea inofensivo o bloquea la solicitud.

Nota:

La comprobación de scripts entre sitios HTML (cross-site scripting) solo funciona para el tipo de contenido, la longitud del contenido, etc. No funciona para las cookies. Asegúrese también de tener la opción ‘checkRequestHeaders’ habilitada en el perfil de Web Application Firewall del usuario.

Para evitar el uso indebido de los scripts en sitios web protegidos por el usuario para vulnerar la seguridad en los sitios web del usuario, la comprobación de scripting entre sitios HTML bloquea los scripts que violan la regla del mismo origen, que establece que los scripts no deben acceder ni modificar el contenido de ningún servidor que no sea el servidor en el que se encuentran. Cualquier script que viole la regla del mismo origen se denomina script entre sitios, y la práctica de usar scripts para acceder o modificar contenido en otro servidor se denomina scripting entre sitios. La razón por la que el scripting entre sitios es un problema de seguridad es que un servidor web que permite el scripting entre sitios puede ser atacado con un script que no está en ese servidor web, sino en un servidor web diferente, como uno propiedad y controlado por el atacante.

Desafortunadamente, muchas empresas tienen una gran base instalada de contenido web mejorado con JavaScript que viola la regla del mismo origen. Si los usuarios habilitan la comprobación de scripts entre sitios HTML en un sitio de este tipo, deben generar las excepciones adecuadas para que la comprobación no bloquee la actividad legítima.

El Web Application Firewall ofrece varias opciones de acción para implementar la protección de scripts entre sitios HTML. Además de las acciones Bloquear, Registrar, Estadísticas y Aprender, los usuarios también tienen la opción de Transformar scripts entre sitios para que un ataque sea inofensivo codificando las etiquetas de script en la solicitud enviada. Los usuarios pueden configurar la comprobación de URL completas para el parámetro de scripts entre sitios para especificar si desean inspeccionar no solo los parámetros de consulta, sino toda la URL para detectar un ataque de scripts entre sitios. Los usuarios pueden configurar el parámetro InspectQueryContentTypes para inspeccionar la parte de la consulta de la solicitud en busca de un ataque de scripts entre sitios para los tipos de contenido específicos.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje de Web Application Firewall puede proporcionar recomendaciones para configurar reglas de relajación.

Las siguientes opciones están disponibles para configurar una protección optimizada de scripts entre sitios HTML para la aplicación del usuario:

• Bloquear — Si los usuarios habilitan block, la acción de bloqueo se activa si se detectan etiquetas de scripting entre sitios en la solicitud.

• Registro — Si los usuarios habilitan la función de registro, la comprobación de scripting entre sitios HTML genera mensajes de registro que indican las acciones que realiza. Si block está deshabilitado, se genera un mensaje de registro independiente para cada encabezado o campo de formulario en el que se detectó la infracción de scripting entre sitios. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera 1 mensaje de registro por solicitud para la operación de transformación, incluso cuando las etiquetas de scripting entre sitios se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si las respuestas a solicitudes legítimas se están bloqueando. Un gran aumento en el número de mensajes de registro puede indicar intentos de lanzar un ataque.

• Estadísticas — Si está habilitada, la función de estadísticas recopila estadísticas sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está bajo ataque. Si se bloquean las solicitudes legítimas, es posible que los usuarios tengan que revisar la configuración para ver si deben configurar nuevas reglas de relajación o modificar las existentes.

• Aprender — Si los usuarios no están seguros de qué reglas de relajación podrían ser las más adecuadas para su aplicación, pueden usar la función de aprendizaje para generar recomendaciones de reglas de scripting entre sitios HTML basadas en los datos aprendidos. El motor de aprendizaje de Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, los usuarios pueden habilitar la opción de aprendizaje durante un corto período de tiempo para obtener una muestra representativa de las reglas, y luego implementar las reglas y deshabilitar el aprendizaje.

• Transformar scripts entre sitios — Si está habilitado, el Web Application Firewall realiza los siguientes cambios en las solicitudes que coinciden con la comprobación de scripting entre sitios HTML:

  • Corchete angular izquierdo (<) al equivalente de entidad de carácter HTML (<)

  • Corchete angular derecho (>) al equivalente de entidad de carácter HTML (>)

Esto garantiza que los navegadores no interpreten etiquetas HTML inseguras, como <script>, y, por lo tanto, no ejecuten código malicioso. Si los usuarios habilitan tanto la comprobación de encabezados de solicitud como la transformación, cualquier carácter especial encontrado en los encabezados de solicitud también se modifica como se describió anteriormente. Si los scripts en el sitio web protegido por el usuario contienen características de scripting entre sitios, pero el sitio web del usuario no depende de esos scripts para funcionar correctamente, los usuarios pueden deshabilitar el bloqueo de forma segura y habilitar la transformación. Esta configuración garantiza que no se bloquee el tráfico web legítimo, al tiempo que se detienen los posibles ataques de scripting entre sitios.

• Comprobar URL completas para scripting entre sitios — Si la comprobación de URL completas está habilitada, el Web Application Firewall examina las URL completas en busca de ataques de scripting entre sitios HTML en lugar de comprobar solo las partes de consulta de las URL.

• Comprobar encabezados de solicitud — Si la comprobación de encabezados de solicitud está habilitada, el Web Application Firewall examina los encabezados de las solicitudes en busca de ataques de scripting entre sitios HTML, en lugar de solo las URL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en la pestaña Configuración del perfil de Web Application Firewall.

• InspectQueryContentTypes — Si la inspección de consultas de solicitud está configurada, el Firewall de aplicaciones examina la consulta de las solicitudes en busca de ataques de scripting entre sitios para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en la pestaña Configuración del perfil de Firewall de aplicaciones.

Importante:

Como parte de los cambios de streaming, el procesamiento de las etiquetas de scripting entre sitios por parte del Web Application Firewall ha cambiado. En versiones anteriores, la presencia de un corchete de apertura (<), un corchete de cierre (>) o ambos corchetes de apertura y cierre (<>) se marcaba como una violación de scripting entre sitios. El comportamiento ha cambiado en las compilaciones que incluyen soporte para el streaming del lado de la solicitud. Solo el carácter de corchete de cierre (>) ya no se considera un ataque. Las solicitudes se bloquean incluso cuando hay un carácter de corchete de apertura (<), y se considera un ataque. El ataque de scripting entre sitios se marca.

Comprobación de desbordamiento de búfer

La comprobación de desbordamiento de búfer detecta intentos de causar un desbordamiento de búfer en el servidor web. Si el Web Application Firewall detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede causar un desbordamiento de búfer.

La comprobación de desbordamiento de búfer evita ataques contra software de sistema operativo o servidor web inseguro que puede bloquearse o comportarse de forma impredecible cuando recibe una cadena de datos más grande de lo que puede manejar. Las técnicas de programación adecuadas evitan los desbordamientos de búfer al comprobar los datos entrantes y rechazar o truncar las cadenas demasiado largas. Sin embargo, muchos programas no comprueban todos los datos entrantes y, por lo tanto, son vulnerables a los desbordamientos de búfer. Este problema afecta especialmente a las versiones anteriores de software de servidor web y sistemas operativos, muchos de los cuales todavía están en uso.

La comprobación de seguridad de desbordamiento de búfer permite a los usuarios configurar las acciones de Bloquear, Registrar y Estadísticas. Además, los usuarios también pueden configurar los siguientes parámetros:

• Longitud máxima de URL. La longitud máxima que el firewall de aplicaciones web permite en una URL solicitada. Las solicitudes con URL más largas se bloquean. Valores posibles: 0–65535. Predeterminado: 1024

• Longitud máxima de cookies. La longitud máxima que el firewall de aplicaciones web permite para todas las cookies en una solicitud. Las solicitudes con cookies más largas activan las infracciones. Valores posibles: 0–65535. Predeterminado: 4096

• Longitud máxima de encabezado. La longitud máxima que el firewall de aplicaciones web permite para los encabezados HTTP. Las solicitudes con encabezados más largos se bloquean. Valores posibles: 0–65535. Predeterminado: 4096

• Longitud de la cadena de consulta. Longitud máxima permitida para una cadena de consulta en una solicitud entrante. Las solicitudes con consultas más largas se bloquean. Valores posibles: 0–65535. Predeterminado: 1024

• Longitud total de la solicitud. Longitud máxima de solicitud permitida para una solicitud entrante. Las solicitudes con una longitud mayor se bloquean. Valores posibles: 0–65535. Predeterminado: 24820

Parcheo virtual/Firmas

Las firmas proporcionan reglas específicas y configurables para simplificar la tarea de proteger los sitios web de los usuarios contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas preconfiguradas integradas o nativas ofrece una solución de seguridad fácil de usar, aplicando el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones.

Los usuarios pueden crear sus propias firmas o usar firmas en las plantillas integradas. El firewall de aplicaciones web tiene dos plantillas integradas:

• Firmas predeterminadas: Esta plantilla contiene una lista preconfigurada de más de 1.300 firmas, además de una lista completa de palabras clave de inyección SQL, cadenas especiales SQL, reglas de transformación SQL y caracteres comodín SQL. También contiene patrones denegados para secuencias de comandos entre sitios y atributos y etiquetas permitidos para secuencias de comandos entre sitios. Esta es una plantilla de solo lectura. Los usuarios pueden ver el contenido, pero no pueden agregar, editar ni eliminar nada en esta plantilla. Para usarla, los usuarios deben hacer una copia. En su propia copia, los usuarios pueden habilitar las reglas de firma que desean aplicar a su tráfico y especificar las acciones que se deben tomar cuando las reglas de firma coinciden con el tráfico.

Las firmas se derivan de las reglas publicadas por SNORT: SNORT, que es un sistema de prevención de intrusiones de código abierto capaz de realizar análisis de tráfico en tiempo real para detectar varios ataques y sondeos.

• *Patrones de inyección Xpath: Esta plantilla contiene un conjunto preconfigurado de palabras clave literales y PCRE y cadenas especiales que se utilizan para detectar ataques de inyección XPath (XML Path Language).

Firmas en blanco: Además de hacer una copia de la plantilla de Firmas predeterminadas integrada, los usuarios pueden usar una plantilla de firmas en blanco para crear un objeto de firma. El objeto de firma que los usuarios crean con la opción de firmas en blanco no tiene ninguna regla de firma nativa, pero, al igual que la plantilla *Predeterminada, tiene todas las entidades SQL/XSS integradas.

Firmas de formato externo: El firewall de aplicaciones web también admite firmas de formato externo. Los usuarios pueden importar el informe de escaneo de terceros utilizando los archivos XSLT compatibles con Citrix Web Application Firewall. Hay disponible un conjunto de archivos XSLT integrados para herramientas de escaneo seleccionadas para traducir archivos de formato externo a formato nativo (consulte la lista de archivos XSLT integrados más adelante en esta sección).

Aunque las firmas ayudan a los usuarios a reducir el riesgo de vulnerabilidades expuestas y a proteger los servidores web de misión crítica del usuario mientras buscan la eficacia, las firmas conllevan un coste de procesamiento de CPU adicional.

Es importante elegir las firmas adecuadas para las necesidades de la aplicación del usuario. Habilite solo las firmas que sean relevantes para la aplicación/entorno del cliente.

Citrix ofrece firmas en más de 10 categorías diferentes en plataformas/sistemas operativos/tecnologías.

La base de datos de reglas de firmas es sustancial, ya que la información de ataques se ha acumulado a lo largo de los años. Por lo tanto, la mayoría de las reglas antiguas pueden no ser relevantes para todas las redes, ya que los desarrolladores de software pueden haberlas parcheado ya o los clientes están ejecutando una versión más reciente del sistema operativo.

Actualizaciones de firmas

Citrix Web Application Firewall admite la actualización de firmas tanto automática como manual. También sugerimos habilitar la actualización automática para que las firmas se mantengan al día.

Estos archivos de firmas están alojados en el entorno de AWS y es importante permitir el acceso saliente a las IP de NetScaler® desde los firewalls de red para obtener los archivos de firmas más recientes. La actualización de firmas en el ADC no tiene ningún efecto mientras se procesa el tráfico en tiempo real.

Análisis de seguridad de aplicaciones

El Panel de seguridad de aplicaciones proporciona una vista holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave como violaciones de seguridad, violaciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC descubiertas.

Nota:

Para ver las métricas del Panel de seguridad de aplicaciones, AppFlow® para la información de seguridad debe estar habilitado en las instancias de Citrix ADC que los usuarios desean supervisar.

Para ver las métricas de seguridad de una instancia de Citrix ADC en el panel de seguridad de aplicaciones

1. Inicie sesión en Citrix ADM con las credenciales de administrador.

2. Vaya a Aplicaciones > Panel de seguridad de aplicaciones y seleccione la dirección IP de la instancia de la lista Dispositivos.

Los usuarios pueden profundizar en las discrepancias notificadas en el Investigador de seguridad de aplicaciones haciendo clic en las burbujas trazadas en el gráfico.

Aprendizaje centralizado en ADM

Citrix Web Application Firewall (WAF) protege las aplicaciones web de los usuarios de ataques maliciosos como la inyección SQL y los scripts entre sitios (XSS). Para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada, los usuarios deben supervisar su tráfico en busca de amenazas y datos procesables en tiempo real sobre los ataques. A veces, los ataques notificados pueden ser falsos positivos y deben proporcionarse como una excepción.

El aprendizaje centralizado en Citrix ADM es un filtro de patrones repetitivos que permite a WAF aprender el comportamiento (las actividades normales) de las aplicaciones web de los usuarios. Basándose en la supervisión, el motor genera una lista de reglas o excepciones sugeridas para cada comprobación de seguridad aplicada al tráfico HTTP.

Es mucho más fácil implementar reglas de relajación utilizando el motor de aprendizaje que implementarlas manualmente como relajaciones necesarias.

Para implementar la función de aprendizaje, los usuarios deben configurar primero un perfil de firewall de aplicaciones web (conjunto de configuraciones de seguridad) en el dispositivo Citrix ADC del usuario. Para obtener más información, consulte Creación de perfiles de firewall de aplicaciones web: Creación de perfiles de firewall de aplicaciones web.

Citrix ADM genera una lista de excepciones (relajaciones) para cada comprobación de seguridad. Como administrador, los usuarios pueden revisar la lista de excepciones en Citrix ADM y decidir si implementarlas u omitirlas.

Mediante la función de aprendizaje de WAF en Citrix ADM, los usuarios pueden:

• Configurar un perfil de aprendizaje con las siguientes comprobaciones de seguridad

  • Desbordamiento de búfer

  • Scripts entre sitios HTML

  Nota:

  La limitación de ubicación de scripts entre sitios es solo FormField.

  • Inyección SQL HTML

  Nota:

  Para la comprobación de inyección SQL HTML, los usuarios deben configurar set -sqlinjectionTransformSpecialChars en ON y set -sqlinjectiontype sqlspclcharorkeywords en la instancia de Citrix ADC.

• Compruebe las reglas de relajación en Citrix ADM y decida tomar las medidas necesarias (implementar u omitir).

• Reciba las notificaciones por correo electrónico, Slack y ServiceNow.

• Utilice el panel para ver los detalles de la relajación.

Para usar el aprendizaje de WAF en Citrix ADM:

1. Configure el perfil de aprendizaje: Configure el perfil de aprendizaje

2. Consulte las reglas de relajación: Ver reglas de relajación y reglas inactivas

3. Utilice el panel de aprendizaje de WAF: Ver panel de aprendizaje de WAF

StyleBook

Citrix Web Application Firewall es un firewall de aplicaciones web (WAF) que protege las aplicaciones y los sitios web de ataques conocidos y desconocidos, incluidas todas las amenazas de capa de aplicación y de día cero.

Citrix ADM ahora proporciona un StyleBook predeterminado con el que los usuarios pueden crear de forma más cómoda una configuración de firewall de aplicaciones en las instancias de Citrix ADC.

Implementación de configuraciones de firewall de aplicaciones

La siguiente tarea le ayuda a implementar una configuración de equilibrio de carga junto con el firewall de aplicaciones y la política de reputación de IP en las instancias de Citrix ADC de su red empresarial.

Para crear una configuración de LB con la configuración del firewall de aplicaciones

En Citrix ADM, vaya a Aplicaciones > Configuraciones > StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para uso del cliente en Citrix

• ADM. Desplácese hacia abajo y busque el StyleBook de equilibrio de carga HTTP/SSL con política de firewall de aplicaciones y política de reputación de IP. Los usuarios también pueden buscar el StyleBook escribiendo el nombre como lb-appfw. Haga clic en Crear configuración.

El StyleBook se abre como una página de interfaz de usuario en la que los usuarios pueden introducir los valores de todos los parámetros definidos en este StyleBook.

• Introduzca los valores de los siguientes parámetros:

  • Nombre de la aplicación con equilibrio de carga. Nombre de la configuración con equilibrio de carga con un firewall de aplicaciones para implementar en la red del usuario.

  • Dirección IP virtual de la aplicación con equilibrio de carga. Dirección IP virtual en la que la instancia de Citrix ADC recibe las solicitudes del cliente.

  • Puerto virtual de la aplicación con equilibrio de carga. El puerto TCP que utilizarán los usuarios para acceder a la aplicación con equilibrio de carga.

  • Protocolo de la aplicación con equilibrio de carga. Seleccione el protocolo de front-end de la lista.

  • Protocolo del servidor de aplicaciones. Seleccione el protocolo del servidor de aplicaciones.

• Como opción, los usuarios pueden habilitar y configurar la Configuración avanzada del equilibrador de carga.

• Opcionalmente, los usuarios también pueden configurar un servidor de autenticación para autenticar el tráfico del servidor virtual de equilibrio de carga.

• Haga clic en «+» en la sección de direcciones IP y puertos del servidor para crear servidores de aplicaciones y los puertos a los que se puede acceder.

• Los usuarios también pueden crear nombres FQDN para los servidores de aplicaciones.

• Los usuarios también pueden especificar los detalles del certificado SSL.

• Los usuarios también pueden crear monitores en la instancia de Citrix ADC de destino.

• Para configurar el firewall de aplicaciones en el servidor virtual, habilite la opción Configuración de WAF.

Asegúrese de que la regla de directiva del firewall de aplicaciones sea verdadera si los usuarios quieren aplicar la configuración del firewall de aplicaciones a todo el tráfico de esa VIP. De lo contrario, especifique la regla de directiva de Citrix ADC para seleccionar un subconjunto de solicitudes a las que aplicar la configuración del firewall de aplicaciones. A continuación, seleccione el tipo de perfil que se debe aplicar: HTML o XML.

• Opcionalmente, los usuarios pueden configurar ajustes detallados del perfil del firewall de aplicaciones habilitando la casilla de verificación Configuración del perfil del firewall de aplicaciones.

• Opcionalmente, si los usuarios quieren configurar firmas de firewall de aplicaciones, introduzca el nombre del objeto de firma que se crea en la instancia de Citrix ADC donde se va a implementar el servidor virtual.

Nota:

Los usuarios no pueden crear objetos de firma mediante este StyleBook.

• A continuación, los usuarios también pueden configurar cualquier otra configuración del perfil del firewall de aplicaciones, como la configuración de StartURL, la configuración de DenyURL y otras.

Para obtener más información sobre el firewall de aplicaciones y los ajustes de configuración, consulte Firewall de aplicaciones.

• En la sección Instancias de destino, seleccione la instancia de Citrix ADC en la que implementar el servidor virtual de equilibrio de carga con el firewall de aplicaciones.

Nota:

Los usuarios también pueden hacer clic en el icono de actualización para agregar instancias de Citrix ADC descubiertas recientemente en Citrix ADM a la lista de instancias disponibles en esta ventana.

• Los usuarios también pueden habilitar la comprobación de reputación de IP para identificar la dirección IP que está enviando solicitudes no deseadas. Los usuarios pueden usar la lista de reputación de IP para rechazar preventivamente las solicitudes que provienen de la IP con mala reputación.

Sugerencia:

Citrix recomienda que los usuarios seleccionen Ejecución en seco para comprobar los objetos de configuración que deben crearse en la instancia de destino antes de ejecutar la configuración real en la instancia.

Cuando la configuración se crea correctamente, el StyleBook crea el servidor virtual de equilibrio de carga, el servidor de aplicaciones, los servicios, los grupos de servicios, las etiquetas de firewall de aplicaciones y las directivas de firewall de aplicaciones necesarios, y los vincula al servidor virtual de equilibrio de carga.

La siguiente figura muestra los objetos creados en cada servidor:

• Para ver el ConfigPack creado en Citrix ADM, vaya a Aplicaciones > Configuraciones.

Análisis de Security Insight

Las aplicaciones web y de servicios web expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, los usuarios necesitan visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de usuario y tomar medidas correctivas para protegerlas.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que ofrece a los usuarios visibilidad total del entorno de amenazas asociado a las aplicaciones de usuario. Security Insight se incluye en Citrix ADM y genera periódicamente informes basados en el firewall de aplicaciones del usuario y las configuraciones de seguridad del sistema ADC. Los informes incluyen la siguiente información para cada aplicación:

• Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la criticidad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

El índice de amenazas se basa en la información de los ataques. La información relacionada con los ataques, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, proporciona a los usuarios información sobre los ataques a la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un valor alto del índice de amenazas.

• Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que los usuarios han configurado las instancias de ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad para una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema ADC. Para un valor de índice de seguridad alto, ambas configuraciones deben ser sólidas. Por ejemplo, si se aplican comprobaciones rigurosas del firewall de aplicaciones, pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el usuario nsroot, a las aplicaciones se les asigna un valor de índice de seguridad bajo.

• Información procesable. Información que los usuarios necesitan para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, los usuarios pueden revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la frecuencia con la que se atacan las aplicaciones, etc.

Configuración de Security Insight

Nota:

Security Insight solo es compatible con instancias de ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar Security Insight en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones, y luego vincule la directiva de firewall de aplicaciones globalmente.

Luego, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow, y vincule la directiva globalmente. Cuando los usuarios configuran el recopilador, deben especificar la dirección IP del agente de servicio de Citrix ADM en el que desean supervisar los informes.

Configurar Security Insight en una instancia de ADC

• Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones, y vincule la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

add appfw profile <name> [-defaults ( básico o avanzado )]

establecer appfw profile <name> [-startURLAction <startURLAction> …]

añadir appfw policy <name> <rule> <profileName>

enlazar appfw global <policyName> <priority>

o,

enlazar lb vserver <lb vserver> -policyName <policy> -priority <priority>

Ejemplo:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una política de AppFlow, y vincular la política globalmente o al servidor virtual de equilibrio de carga:

añadir appflow collector <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( HABILITADO o DESHABILITADO )]

añadir appflow action <name> -collectors <string>

añadir appflow policy <name> <rule> <action>

enlazar appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

o,

enlazar lb vserver <vserver> -policyName <policy> -priority <priority>

Ejemplo:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Habilitar Security Insight desde Citrix ADM

1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

2. Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.

3. En la ventana Configurar análisis en el servidor virtual:

   • Seleccione los servidores virtuales en los que desea habilitar Security Insight y haga clic en Habilitar análisis.

   Se muestra la ventana Habilitar análisis.

   • Seleccione Security Insight

   • En Opciones avanzadas, seleccione Logstream o IPFIX como modo de transporte.

   • La expresión es verdadera de forma predeterminada

   • Haga clic en Aceptar

Nota:

• Si los usuarios seleccionan servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y luego habilita el análisis.

• Para las particiones de administrador, solo se admite Web Insight.

Después de que los usuarios hagan clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Nota:

Cuando los usuarios crean un grupo, pueden asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Los usuarios clientes ahora pueden ver informes de todos los Insights solo para las aplicaciones (servidores virtuales) para las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos en Citrix ADM: Configurar grupos en Citrix ADM.

Umbrales

Los usuarios pueden establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Security Insight.

Para establecer un umbral

• Navegue hasta Sistema > Configuración de análisis > Umbrales, y seleccione Agregar.

• Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico, e introduzca la información requerida en los demás campos apropiados, como Nombre, Duración y entidad.

• En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral. Por ejemplo, “Índice de amenazas” “>” “5”

• Haga clic en Crear.

Para ver las infracciones de umbral

• Navegue hasta Análisis > Security Insight > Dispositivos, y seleccione la instancia de ADC.

• En la sección Aplicación, los usuarios pueden ver el número de infracciones de umbral que se han producido para cada servidor virtual en la columna Infracción de umbral.

Caso de uso de Security Insight

Los siguientes casos de uso describen cómo los usuarios pueden utilizar la información de seguridad para evaluar la exposición a amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, los usuarios tienen un conjunto de aplicaciones expuestas a ataques y han configurado Citrix ADM para supervisar el entorno de amenazas. Los usuarios deben revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber experimentado, para poder centrarse primero en las aplicaciones que requieren más atención. El panel de información de seguridad proporciona un resumen de las amenazas experimentadas por las aplicaciones de usuario durante un período de tiempo elegido por el usuario y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad, y el número total de ataques para el período de tiempo elegido.

Por ejemplo, los usuarios podrían estar supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y podrían querer revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es de 1 hora.

Para ver información de un período de tiempo diferente, en la lista de la parte superior izquierda, seleccione un período de tiempo.

Para ver un resumen de una instancia de ADC diferente, en Devices, haga clic en la dirección IP de la instancia de ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Después de revisar un resumen del entorno de amenazas en el panel de Security Insight para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo, los usuarios quieren determinar su exposición a amenazas antes de decidir cómo protegerlas. Es decir, los usuarios quieren determinar el tipo y la gravedad de los ataques que han degradado los valores de sus índices. Los usuarios pueden determinar la exposición a amenazas de una aplicación revisando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6, y los usuarios quieren saber qué factores contribuyen a este alto índice de amenazas.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel de Security Insight, haga clic en Outlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

Haga clic en Índice de amenazas > Infracciones de comprobación de seguridad y revise la información de infracción que aparece.

Haga clic en Infracciones de firma y revise la información de infracción que aparece.

Determinar las configuraciones de seguridad existentes y faltantes para una aplicación

Después de revisar la exposición a amenazas de una aplicación, los usuarios quieren determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Los usuarios pueden obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona a los usuarios información sobre la eficacia de las siguientes configuraciones de seguridad:

• Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.

• Seguridad del sistema Citrix ADM. Muestra cuántas configuraciones de seguridad del sistema no están configuradas.

En el caso de uso anterior, los usuarios revisaron la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, los usuarios quieren saber qué configuraciones de seguridad están implementadas para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En el panel de Security Insight, haga clic en Outlook y, a continuación, en la ficha Índice de seguridad. Revise la información proporcionada en el área Resumen del índice de seguridad.

En el nodo Configuración del firewall de aplicaciones, haga clic en Outlook_Profile y revise la información de comprobación de seguridad y de infracción de firma en los gráficos circulares.

Revise el estado de configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla por una columna, haga clic en el encabezado de la columna.

Haga clic en el nodo Citrix ADM System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de la aplicación.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que requieren atención inmediata son aquellas que tienen un índice de amenaza alto y un índice de seguridad bajo.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenaza alto de 6, pero Lync tiene el índice de seguridad más bajo de los dos. Por lo tanto, los usuarios podrían tener que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

Determinar el número de ataques en un período de tiempo determinado

Los usuarios podrían querer determinar cuántos ataques ocurrieron en una aplicación determinada en un momento dado, o podrían querer estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en el Resumen de la aplicación, haga clic en el número de infracciones. La página Total Violations muestra los ataques de forma gráfica para una hora, un día, una semana y un mes.

La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:

• Hora del ataque

• Dirección IP del cliente desde el que se produjo el ataque

• Gravedad

• Categoría de la infracción

• URL de origen del ataque y otros detalles.

Aunque los usuarios siempre pueden ver la hora del ataque en un informe horario, como se muestra en la imagen, ahora pueden ver el rango de tiempo del ataque para los informes agregados, incluso para los informes diarios o semanales. Si los usuarios seleccionan «1 día» de la lista de períodos de tiempo, el informe de Security Insight muestra todos los ataques agregados y la hora del ataque se muestra en un rango de una hora. Si los usuarios eligen «1 semana» o «1 mes», todos los ataques se agregan y la hora del ataque se muestra en un rango de un día.

Obtener información detallada sobre las infracciones de seguridad

Es posible que los usuarios deseen ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia de ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, los usuarios podrían querer determinar cuántos ataques a Microsoft Lync fueron bloqueados, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel de Security Insight, haga clic en Lync > Total Violations. En la tabla, haga clic en el icono de filtro en el encabezado de la columna Action Taken y, a continuación, seleccione Blocked.

Para obtener información sobre los recursos solicitados, revise la columna URL. Para obtener información sobre los orígenes de los ataques, revise la columna Client IP.

Ver detalles de la expresión de log

Las instancias de Citrix ADC utilizan expresiones de log configuradas con el perfil de Application Firewall para tomar medidas ante los ataques a una aplicación en la empresa del usuario. En Security Insight, los usuarios pueden ver los valores devueltos para las expresiones de log utilizadas por la instancia de ADC. Estos valores incluyen el encabezado de la solicitud, el cuerpo de la solicitud, etc. Además de los valores de la expresión de log, los usuarios también pueden ver el nombre de la expresión de log y el comentario de la expresión de log definida en el perfil de Application Firewall que la instancia de ADC utilizó para tomar medidas ante el ataque.

Requisitos previos

Asegúrese de que los usuarios:

• Configure las expresiones de registro en el perfil de firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

• Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:

  • Vaya a Analytics > Settings y haga clic en Enable Features for Analytics.

  • En la página Enable Features for Analytics, seleccione Enable Security Insight en la sección Log Expression Based Security Insight Setting y haga clic en OK.

Por ejemplo, los usuarios pueden querer ver los valores de la expresión de registro devueltos por la instancia de ADC para la acción que realizó ante un ataque a Microsoft Lync en la empresa del usuario.

En el panel de Security Insight, vaya a Lync > Total Violations. En la tabla Resumen de la aplicación, haga clic en la URL para ver los detalles completos de la infracción en la página Violation Information, incluido el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.

Determine el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad ocurren después de que los usuarios implementan la configuración de seguridad en una instancia de ADC, pero los usuarios pueden querer evaluar la eficacia de la configuración de seguridad antes de implementarla.

Por ejemplo, los usuarios pueden querer evaluar el índice de seguridad de la configuración para la aplicación SAP en la instancia de ADC con la dirección IP 10.102.60.27.

En el panel de Security Insight, en Devices, haga clic en la dirección IP de la instancia de ADC que los usuarios configuraron. Los usuarios pueden ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Haga clic en Sap > Safety Index > SAP_Profile y evalúe la información del índice de seguridad que aparece.

En el resumen del firewall de aplicaciones, los usuarios pueden ver el estado de configuración de las diferentes configuraciones de protección. Si una configuración está establecida para registrar o si una configuración no está configurada, a la aplicación se le asigna un índice de seguridad más bajo.

Violaciones de seguridad

Ver detalles de las violaciones de seguridad de la aplicación

Las aplicaciones web expuestas a Internet se han vuelto drásticamente más vulnerables a los ataques. Citrix ADM permite a los usuarios visualizar detalles de violaciones procesables para proteger las aplicaciones de los ataques. Vaya a Seguridad > Violaciones de seguridad para una solución de panel único para:

• Acceder a las violaciones de seguridad de la aplicación según sus categorías, como Red, Bot y WAF

• Tomar medidas correctivas para proteger las aplicaciones

Para ver las violaciones de seguridad en Citrix ADM, asegúrese de que:

• Los usuarios tienen una licencia premium para la instancia de Citrix ADC (para violaciones de WAF y BOT).

• Los usuarios han aplicado una licencia en los servidores virtuales de equilibrio de carga o de conmutación de contenido (para WAF y BOT). Para obtener más información, consulte Administrar licencias en servidores virtuales.

• Los usuarios habilitan más configuraciones. Para obtener más información, consulte el procedimiento disponible en la sección Configuración de la documentación del producto Citrix: Configuración.

Categorías de violaciones**

Citrix ADM permite a los usuarios ver las siguientes violaciones:

** - Los usuarios deben configurar el ajuste de toma de control de cuenta en Citrix ADM. Consulte el requisito previo mencionado en Toma de control de cuenta: Toma de control de cuenta.

Además de estas infracciones, los usuarios también pueden ver las siguientes infracciones de Security Insight y Bot Insight en las categorías WAF y Bot, respectivamente:

Configuración

Los usuarios deben habilitar Análisis de seguridad avanzado y establecer Configuración de transacciones web en Todo para ver las siguientes infracciones en Citrix ADM:

• Transacciones de carga inusualmente altas (WAF)

• Transacciones de descarga inusualmente altas (WAF)

• IP únicas excesivas (WAF)

• Secuestro de cuentas (BOT)

Para otras infracciones, asegúrese de que Metrics Collector esté habilitado. De forma predeterminada, Metrics Collector está habilitado en la instancia de Citrix ADC. Para obtener más información, consulte: Configurar Intelligent App Analytics.

Habilitar análisis de seguridad avanzado

• Vaya a Redes > Instancias > Citrix ADC, y seleccione el tipo de instancia. Por ejemplo, MPX.

• Seleccione la instancia de Citrix ADC y de la lista Seleccionar acción, seleccione Configurar análisis.

• Seleccione el servidor virtual y haga clic en Habilitar análisis.

• En la ventana Habilitar análisis:

  • Seleccione Web Insight. Después de que los usuarios seleccionen Web Insight, la opción de solo lectura Análisis de seguridad avanzado se habilita automáticamente.

  Nota: La opción Análisis de seguridad avanzado solo se muestra para instancias de ADC con licencia premium.

  • Seleccione Logstream como modo de transporte

  • La expresión es verdadera de forma predeterminada

  • Haga clic en Aceptar

Habilitar la configuración de transacciones web

• Vaya a Análisis > Configuración.

Se muestra la página de Configuración.

• Haga clic en Habilitar funciones para análisis.

• En Configuración de transacciones web, seleccione Todo.

• Haga clic en Aceptar.

Panel de infracciones de seguridad

En el panel de infracciones de seguridad, los usuarios pueden ver:

• Total de infracciones ocurridas en todas las instancias y aplicaciones de ADC. El total de infracciones se muestra en función de la duración de tiempo seleccionada.

• Total de infracciones por categoría.

• Total de ADC afectados, total de aplicaciones afectadas y principales infracciones según el total de ocurrencias y las aplicaciones afectadas.

Detalles de la infracción

Para cada infracción, Citrix ADM supervisa el comportamiento durante un período de tiempo específico y detecta infracciones por comportamientos inusuales. Haga clic en cada pestaña para ver los detalles de la infracción. Los usuarios pueden ver detalles como:

• El total de ocurrencias, la última ocurrencia y el total de aplicaciones afectadas

• En los detalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica las infracciones.

  Arrastre y seleccione en el gráfico que enumera las infracciones para acotar la búsqueda de infracciones.

  

  Haga clic en Restablecer zoom para restablecer el resultado del zoom

  • Acciones recomendadas que sugieren a los usuarios cómo solucionar el problema

  • Otros detalles de la infracción, como la hora de ocurrencia de la infracción y el mensaje de detección

Bot Insight

Uso de Bot Insight en Citrix ADM

Después de que los usuarios configuren la administración de bots en Citrix ADC, deben habilitar Bot Insight en los servidores virtuales para ver la información en Citrix ADM.

Para habilitar Bot Insight:

• Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

• Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.

• Seleccione el servidor virtual y haga clic en Habilitar análisis.

• En la ventana Habilitar análisis:

  • Seleccione Bot Insight

  • En Opción avanzada, seleccione Logstream.

  

  • Haga clic en Aceptar.

Después de habilitar Bot Insight, vaya a Análisis > Seguridad > Bot Insight.

1. Lista de tiempo para ver los detalles del bot

2. Arrastre el control deslizante para seleccionar un rango de tiempo específico y haga clic en Ir para mostrar los resultados personalizados

3. Total de instancias afectadas por bots

4. Servidor virtual para la instancia seleccionada con el total de ataques de bots

   • Bots totales – Indica el total de ataques de bots (incluidas todas las categorías de bots) encontrados para el servidor virtual.

   • Navegadores humanos totales – Indica el total de usuarios humanos que acceden al servidor virtual.

   • Relación bot-humano – Indica la relación entre los usuarios humanos y los bots que acceden al servidor virtual.

   • Bots de firma, Bots con huella digital, Bots basados en tasas, Bots de reputación IP, Bots de lista de permitidos y Bots de lista de bloqueados: indica el total de ataques de bots ocurridos según la categoría de bot configurada. Para obtener más información sobre las categorías de bots, consulte: Configurar técnicas de detección de bots en Citrix ADC.

5. Haga clic en > para ver los detalles del bot en formato gráfico.

Ver historial de eventos

Los usuarios pueden ver las actualizaciones de firmas de bots en el Historial de eventos, cuando:

• Se añaden nuevas firmas de bots en las instancias de Citrix ADC.

• Se actualizan las firmas de bots existentes en las instancias de Citrix ADC.

Puede seleccionar la duración en la página de información de bots para ver el historial de eventos.

El siguiente diagrama muestra cómo se recuperan las firmas de bots de la nube de AWS, se actualizan en Citrix ADC y se ve el resumen de la actualización de firmas en Citrix ADM.

1. El programador de actualización automática de firmas de bots recupera el archivo de asignación de la URI de AWS.

2. Comprueba las últimas firmas en el archivo de asignación con las firmas existentes en el dispositivo ADC.

3. Descarga las nuevas firmas de AWS y verifica la integridad de la firma.

4. Actualiza las firmas de bots existentes con las nuevas firmas en el archivo de firmas de bots.

5. Genera una alerta SNMP y envía el resumen de actualización de firmas a Citrix ADM.

Ver bots

Haga clic en el servidor virtual para ver el Resumen de la aplicación

1. Proporciona los detalles del Resumen de la aplicación, como:

   • RPS promedio – Indica el promedio de solicitudes de transacciones de bots por segundo (RPS) recibidas en los servidores virtuales.

   • Bots por gravedad – Indica las transacciones de bots más altas ocurridas según la gravedad. La gravedad se clasifica en Crítica, Alta, Media y Baja.

     Por ejemplo, si los servidores virtuales tienen 11770 bots de gravedad alta y 1550 bots de gravedad crítica, Citrix ADM muestra Crítica 1.55 K en Bots por gravedad.

   • Categoría de bot más grande – Indica los ataques de bots más altos ocurridos según la categoría de bot.

     Por ejemplo, si los servidores virtuales tienen 8000 bots en lista de bloqueo, 5000 bots en lista de permitidos y 10000 bots con límite de velocidad excedido, Citrix ADM muestra Límite de velocidad excedido 10 K en Categoría de bot más grande.

   • Fuente geográfica más grande – Indica los ataques de bots más altos ocurridos según una región.

     Por ejemplo, si los servidores virtuales tienen 5000 ataques de bots en Santa Clara, 7000 ataques de bots en Londres y 9000 ataques de bots en Bangalore, Citrix ADM muestra Bangalore 9 K en Fuente geográfica más grande.

   • % promedio de tráfico de bots – Indica la relación entre humanos y bots.

2. Muestra la gravedad de los ataques de bots según la ubicación en la vista de mapa

3. Muestra los tipos de ataques de bots (Buenos, Malos y Todos)

4. Muestra el total de ataques de bots junto con las acciones configuradas correspondientes. Por ejemplo, si ha configurado:

   • Rango de direcciones IP (192.140.14.9 a 192.140.14.254) como bots de lista de bloqueo y ha seleccionado Soltar como acción para estos rangos de direcciones IP

   • Rango de IP (192.140.15.4 a 192.140.15.254) como bots de lista de bloqueo y ha seleccionado crear un mensaje de registro como acción para estos rangos de IP

     En este escenario, Citrix ADM muestra:

     • Total de bots en lista de bloqueo

     • Total de bots en Descartados

     • Total de bots en Registro

Ver bots CAPTCHA

En las páginas web, los CAPTCHA están diseñados para identificar si el tráfico entrante proviene de un humano o de un bot automatizado. Para ver las actividades de CAPTCHA en Citrix ADM, los usuarios deben configurar CAPTCHA como una acción de bot para las técnicas de reputación de IP y detección de huellas dactilares de dispositivos en una instancia de Citrix ADC. Para obtener más información, consulte: Configurar la gestión de bots.

Las siguientes son las actividades de CAPTCHA que Citrix ADM muestra en Bot insight:

• Intentos de Captcha excedidos – Indica el número máximo de intentos de CAPTCHA realizados después de fallos de inicio de sesión

• Cliente Captcha silenciado – Indica el número de solicitudes de cliente que se descartan o redirigen porque estas solicitudes fueron detectadas anteriormente como bots maliciosos con el desafío CAPTCHA

• Humano – Indica las entradas de captcha realizadas por los usuarios humanos

• Respuesta de captcha no válida – Indica el número de respuestas CAPTCHA incorrectas recibidas del bot o humano, cuando Citrix ADC envía un desafío CAPTCHA

Ver trampas de bots

Para ver las trampas de bots en Citrix ADM, debe configurar la trampa de bots en la instancia de Citrix ADC. Para obtener más información, consulte Configurar la gestión de bots.

Para identificar la trampa de bots, se habilita un script en la página web y este script está oculto para los humanos, pero no para los bots. Citrix ADM identifica y notifica las trampas de bots cuando los bots acceden a este script.

Haga clic en el servidor virtual y seleccione Solicitud de píxel cero

Ver detalles del bot

Para obtener más detalles, haga clic en el tipo de ataque de bot en Categoría de bot.

Se muestran los detalles, como la hora del ataque y el número total de ataques de bots para la categoría de captcha seleccionada.

Los usuarios también pueden arrastrar el gráfico de barras para seleccionar el rango de tiempo específico que se mostrará con los ataques de bots.

Para obtener información adicional sobre el ataque de bots, haga clic para expandir.

• IP de instancia – Indica la dirección IP de la instancia de Citrix ADC

• Bots totales – Indica el total de ataques de bots ocurridos en ese momento en particular

• URL de solicitud HTTP – Indica la URL configurada para la notificación de captcha

• Código de país – Indica el país donde se produjo el ataque de bot

• Región – Indica la región donde se produjo el ataque de bot

• Nombre de perfil – Indica el nombre de perfil que los usuarios proporcionaron durante la configuración

Búsqueda avanzada

Los usuarios también pueden usar el cuadro de texto de búsqueda y la lista de duración de tiempo, donde pueden ver los detalles del bot según los requisitos del usuario. Cuando los usuarios hacen clic en el cuadro de búsqueda, este les ofrece la siguiente lista de sugerencias de búsqueda.

• IP de instancia – Dirección IP de la instancia de Citrix ADC

• IP de cliente – Dirección IP del cliente

• Tipo de bot – Tipo de bot, como bueno o malo

• Gravedad – Gravedad del ataque de bot

• Acción realizada – Acción realizada después del ataque de bot, como Descartar, Sin acción, Redirigir

• Categoría de bot – Categoría del ataque de bot, como lista de bloqueo, lista de permitidos, huella digital, etc. Según una categoría, los usuarios pueden asociarle una acción de bot

• Detección de bots – Tipos de detección de bots (lista de bloqueo, lista de permitidos, etc.) que los usuarios han configurado en la instancia de Citrix ADC

• Ubicación – Región/país donde se ha producido el ataque de bot

• URL de solicitud – URL que tiene los posibles ataques de bots

Los usuarios también pueden usar operadores en las consultas de búsqueda de usuarios para acotar el enfoque de la búsqueda de usuarios. Por ejemplo, si los usuarios quieren ver todos los bots maliciosos:

• Haga clic en el cuadro de búsqueda y seleccione Tipo de bot

• Haga clic de nuevo en el cuadro de búsqueda y seleccione el operador =

• Haga clic de nuevo en el cuadro de búsqueda y seleccione Malicioso

• Haga clic en Buscar para mostrar los resultados

Detalles de infracción de bot

Conexiones de cliente excesivas

Cuando un cliente intenta acceder a la aplicación web, la solicitud del cliente se procesa en el dispositivo Citrix ADC, en lugar de conectarse directamente al servidor. El tráfico web comprende bots y los bots pueden realizar diversas acciones a una velocidad mayor que un humano.

Mediante el indicador Conexiones de cliente excesivas, los usuarios pueden analizar escenarios en los que una aplicación recibe un número inusualmente alto de conexiones de cliente a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de direcciones IP que transaccionan la aplicación

• El rango de direcciones IP aceptado que la aplicación puede recibir

Secuestro de cuentas

Nota:

Asegúrese de que los usuarios habiliten las opciones de análisis de seguridad avanzado y transacciones web. Para obtener más información, consulte Configuración: Configuración.

Algunos bots maliciosos pueden robar credenciales de usuario y realizar varios tipos de ciberataques. Estos bots maliciosos se conocen como bots maliciosos. Es esencial identificar los bots maliciosos y proteger el dispositivo del usuario de cualquier forma de ataque de seguridad avanzado.

Requisito previo

Los usuarios deben configurar los ajustes de Secuestro de cuentas en Citrix ADM.

• Vaya a Analytics > Configuración > Infracciones de seguridad

• Haga clic en Agregar

• En la página Agregar aplicación, especifique los siguientes parámetros:

  • Aplicación - Seleccione el servidor virtual de la lista.

  • Método - Seleccione el tipo de método HTTP de la lista. Las opciones disponibles son GET, PUSH, POST y UPDATE.

  • URL de inicio de sesión y código de respuesta de éxito - Especifique la URL de la aplicación web y el código de estado HTTP (por ejemplo, 200) para el que los usuarios desean que Citrix ADM informe de la infracción de apropiación de cuentas por parte de bots maliciosos.

  • Haga clic en Agregar.

Después de que los usuarios configuren los ajustes, utilizando el indicador de apropiación de cuentas, pueden analizar si bots maliciosos intentaron apoderarse de la cuenta de usuario, realizando múltiples solicitudes junto con las credenciales.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de actividad de inicio de sesión fallida inusual, inicios de sesión correctos e inicios de sesión fallidos

• La dirección IP del bot malicioso. Haga clic para ver detalles como la hora, la dirección IP, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

Volumen de carga inusualmente alto

El tráfico web también comprende datos que se procesan para la carga. Por ejemplo, si el promedio de datos de carga de un usuario por día es de 500 MB y si los usuarios cargan 2 GB de datos, esto puede considerarse un volumen de datos de carga inusualmente alto. Los bots también son capaces de procesar la carga de datos más rápidamente que los humanos.

Utilizando el indicador de volumen de carga inusualmente alto, los usuarios pueden analizar escenarios anormales de carga de datos a la aplicación a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el volumen total de datos de carga procesados

• El rango aceptado de datos de carga a la aplicación

Volumen de descarga inusualmente alto

De forma similar al alto volumen de carga, los bots también pueden realizar descargas más rápidamente que los humanos.

Utilizando el indicador de Volumen de descarga inusualmente alto, los usuarios pueden analizar escenarios anómalos de datos de descarga de la aplicación a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el volumen total de datos de descarga procesados

• El rango aceptado de datos de descarga de la aplicación

Tasa de solicitudes inusualmente alta

Los usuarios pueden controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede generar una tasa de solicitudes inusualmente alta. Por ejemplo, si los usuarios configuran una aplicación para permitir 100 solicitudes/minuto y observan 350 solicitudes, podría tratarse de un ataque de bot.

Mediante el indicador de Tasa de solicitudes inusualmente alta, los usuarios pueden analizar la tasa de solicitudes inusual recibida por la aplicación.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y el porcentaje de solicitudes excesivas recibidas en comparación con las solicitudes esperadas

• El rango aceptado de la tasa de solicitudes esperada de la aplicación

Casos de uso

Bot

A veces, el tráfico web entrante está compuesto por bots y la mayoría de las organizaciones sufren ataques de bots. Las aplicaciones web y móviles son importantes motores de ingresos para las empresas y la mayoría de las compañías están bajo la amenaza de ciberataques avanzados, como los bots. Un bot es un programa de software que realiza automáticamente ciertas acciones repetidamente a una velocidad mucho mayor que un humano. Los bots pueden interactuar con páginas web, enviar formularios, ejecutar acciones, escanear textos o descargar contenido. Pueden acceder a vídeos, publicar comentarios y tuitear en plataformas de redes sociales. Algunos bots, conocidos como chatbots, pueden mantener conversaciones básicas con usuarios humanos. Un bot que realiza un servicio útil, como atención al cliente, chat automatizado y rastreadores de motores de búsqueda, son bots buenos. Al mismo tiempo, un bot que puede extraer o descargar contenido de un sitio web, robar credenciales de usuario, enviar spam y realizar otros tipos de ciberataques son bots malos. Con un buen número de bots malos realizando tareas maliciosas, es esencial gestionar el tráfico de bots y proteger las aplicaciones web del usuario de los ataques de bots. Mediante el uso de la gestión de bots de Citrix, los usuarios pueden detectar el tráfico de bots entrante y mitigar los ataques de bots para proteger las aplicaciones web del usuario. La gestión de bots de Citrix ayuda a identificar bots malos y a proteger el dispositivo del usuario de ataques de seguridad avanzados. Detecta bots buenos y malos e identifica si el tráfico entrante es un ataque de bot. Mediante el uso de la gestión de bots, los usuarios pueden mitigar los ataques y proteger las aplicaciones web del usuario.

La gestión de bots de Citrix ADC ofrece los siguientes beneficios:

• Defiende contra bots, scripts y kits de herramientas. Proporciona mitigación de amenazas en tiempo real mediante defensa basada en firmas estáticas y huellas digitales de dispositivos.

• Neutraliza ataques automatizados básicos y avanzados. Previene ataques como DDoS de capa de aplicación, pulverización de contraseñas, relleno de credenciales, raspadores de precios y raspadores de contenido.

• Protege las API de usuario y las inversiones. Protege las API de usuario contra el uso indebido no autorizado y protege las inversiones en infraestructura del tráfico automatizado.

Algunos casos de uso en los que los usuarios pueden beneficiarse del sistema de gestión de bots de Citrix son:

• Inicio de sesión por fuerza bruta. Un portal web gubernamental está constantemente bajo ataque de bots que intentan inicios de sesión de usuario por fuerza bruta. La organización descubre el ataque al revisar los registros web y ver que usuarios específicos son atacados repetidamente con intentos de inicio de sesión rápidos y contraseñas que se incrementan mediante un enfoque de ataque de diccionario. Por ley, deben protegerse a sí mismos y a sus usuarios. Al implementar la gestión de bots de Citrix, pueden detener el inicio de sesión por fuerza bruta utilizando huellas digitales de dispositivos y técnicas de limitación de velocidad.

• Bloquear bots maliciosos y huellas digitales de bots desconocidos. Una entidad web recibe 100.000 visitantes cada día. Tienen que actualizar la infraestructura subyacente y están gastando una fortuna. En una auditoría reciente, el equipo descubrió que el 40 por ciento del tráfico provenía de bots, que extraían contenido, seleccionaban noticias, verificaban perfiles de usuario y más. Quieren bloquear este tráfico para proteger a sus usuarios y reducir sus costos de alojamiento. Utilizando la gestión de bots, pueden bloquear bots maliciosos conocidos y crear huellas digitales de bots desconocidos que están atacando su sitio. Al bloquear estos bots, pueden reducir el tráfico de bots en un 90 por ciento.

• Permitir bots buenos. Los bots “buenos” están diseñados para ayudar a empresas y consumidores. Han existido desde principios de la década de 1990, cuando se desarrollaron los primeros bots de motores de búsqueda para rastrear Internet. Google, Yahoo y Bing no existirían sin ellos. Otros ejemplos de bots buenos, en su mayoría centrados en el consumidor, incluyen:

  • Los Chatbots (también conocidos como chatterbots, smart bots, talk bots, IM bots, social bots, conversation bots) interactúan con humanos a través de texto o sonido. Uno de los primeros usos de texto fue para el servicio al cliente en línea y aplicaciones de mensajería de texto como Facebook Messenger y iPhone Messages. Siri, Cortana y Alexa son chatbots; pero también lo son las aplicaciones móviles que permiten a los usuarios pedir café y luego les dicen cuándo estará listo, permiten a los usuarios ver tráileres de películas y encontrar horarios de cine locales, o envían a los usuarios una foto del modelo de coche y la matrícula cuando solicitan un servicio de transporte.

  • Los Shopbots recorren Internet buscando los precios más bajos de los artículos que los usuarios buscan.

  • Los bots de monitoreo verifican la salud (disponibilidad y capacidad de respuesta) de los sitios web. Downdetector es un ejemplo de un sitio independiente que proporciona información de estado en tiempo real, incluidas interrupciones, de sitios web y otros tipos de servicios. Para obtener más información sobre Downdetector, consulte: Downdetector.

Detección de bots

Configuración de la gestión de bots mediante la GUI de Citrix ADC

Los usuarios pueden configurar la gestión de bots de Citrix ADC habilitando primero la función en el dispositivo. Una vez que los usuarios la habilitan, pueden crear una política de bots para evaluar el tráfico entrante como bot y enviar el tráfico al perfil de bot. Luego, los usuarios crean un perfil de bot y luego vinculan el perfil a una firma de bot. Como alternativa, los usuarios también pueden clonar el archivo de firma de bot predeterminado y usar el archivo de firma para configurar las técnicas de detección. Después de crear el archivo de firma, los usuarios pueden importarlo al perfil de bot. Todos estos pasos se realizan en la siguiente secuencia:

1. Habilitar la función de gestión de bots

2. Configurar los ajustes de gestión de bots

3. Clonar la firma predeterminada del bot de Citrix

4. Importar la firma del bot de Citrix

5. Configurar los ajustes de la firma del bot

6. Crear perfil de bot

7. Crear política de bot

Habilitar la función de gestión de bots

1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Configuración.

2. En la página Configurar funciones avanzadas, seleccione la casilla de verificación Administración de bots.

3. Haga clic en Aceptar y, a continuación, en Cerrar.

Clonar archivo de firma de bot

1. Vaya a Seguridad > Administración de bots de Citrix > Firmas.

2. En la página Firmas de administración de bots de Citrix, seleccione el registro de firmas de bots predeterminado y haga clic en Clonar.

3. En la página de Clonar firma de bot, introduzca un nombre y edite los datos de la firma.

4. Haga clic en Crear.

Importar archivo de firma de bot

Si los usuarios tienen su propio archivo de firma, pueden importarlo como un archivo, texto o URL. Realice los siguientes pasos para importar el archivo de firma de bot:

• Vaya a Security > Citrix Bot Management y Signatures.

• En la página de Citrix Bot Management Signatures, importe el archivo como URL, archivo o texto.

• Haga clic en Continuar.

• En la página Import Citrix Bot Management Signature, establezca los siguientes parámetros.

  • Nombre. Nombre del archivo de firma de bot.

  • Comentario. Breve descripción sobre el archivo importado.

  • Sobrescribir. Seleccione la casilla de verificación para permitir la sobrescritura de datos durante la actualización del archivo.

  • Datos de la firma. Modificar parámetros de firma

• Haga clic en Listo.

Reputación de IP

Configurar la reputación de IP mediante la GUI de Citrix ADC

Esta configuración es un requisito previo para la función de reputación de IP de bot. La técnica de detección permite a los usuarios identificar si hay alguna actividad maliciosa desde una dirección IP entrante. Como parte de la configuración, establecemos diferentes categorías de bots maliciosos y asociamos una acción de bot a cada una de ellas.

• Vaya a Seguridad > Administración de bots de Citrix > Perfiles.

• En la página Perfiles de administración de bots de Citrix, seleccione un archivo de firma y haga clic en Editar.

• En la página Perfil de administración de bots de Citrix, vaya a la sección Configuración de firmas y haga clic en Reputación de IP.

• En la sección Reputación de IP, establezca los siguientes parámetros:

  • Habilitado. Seleccione la casilla de verificación para validar el tráfico de bots entrante como parte del proceso de detección.

  • Configurar categorías. Los usuarios pueden utilizar la técnica de reputación de IP para el tráfico de bots entrante en diferentes categorías. Según la categoría configurada, los usuarios pueden descartar o redirigir el tráfico de bots. Haga clic en Agregar para configurar una categoría de bot malicioso.

  • En la página Configurar el enlace de reputación de IP del perfil de administración de bots de Citrix, establezca los siguientes parámetros:

    • Categoría. Seleccione una categoría de bot malicioso de la lista. Asocie una acción de bot según la categoría.

    • Habilitado. Seleccione la casilla de verificación para validar la detección de firmas de reputación de IP.

    • Acción de bot. Según la categoría configurada, los usuarios pueden asignar ninguna acción, descartar, redirigir o una acción CAPTCHA.

    • Registro. Seleccione la casilla de verificación para almacenar entradas de registro.

    • Mensaje de registro. Breve descripción del registro.

    • Comentarios. Breve descripción sobre la categoría de bot.

• Haga clic en Aceptar.

• Haga clic en Actualizar.

• Haga clic en Listo.

Actualización automática de firmas de bot

La técnica de firma estática de bot utiliza una tabla de búsqueda de firmas con una lista de bots buenos y malos. Los bots se clasifican según la cadena de agente de usuario y los nombres de dominio. Si la cadena de agente de usuario y el nombre de dominio en el tráfico de bot entrante coinciden con un valor en la tabla de búsqueda, se aplica una acción de bot configurada. Las actualizaciones de firmas de bot se alojan en la nube de AWS y la tabla de búsqueda de firmas se comunica con la base de datos de AWS para las actualizaciones de firmas. El programador de actualización automática de firmas se ejecuta cada 1 hora para verificar la base de datos de AWS y actualiza la tabla de firmas en el dispositivo ADC.

La URL de actualización automática de asignación de firmas de bot para configurar firmas es: Asignación de firmas de bot.

Nota:

Los usuarios también pueden configurar un servidor proxy y actualizar periódicamente las firmas desde la nube de AWS al dispositivo ADC a través de un proxy. Para la configuración del proxy, los usuarios deben establecer la dirección IP del proxy y la dirección del puerto en la configuración del bot.

Configurar la actualización automática de firmas de bot

Para configurar la actualización automática de firmas de bot, complete los siguientes pasos:

Habilitar la actualización automática de firmas de bot

Los usuarios deben habilitar la opción de actualización automática en la configuración del bot en el dispositivo ADC.

En el símbolo del sistema, escriba:

set bot settings –signatureAutoUpdate ON

Configurar la actualización automática de firmas de bots mediante la GUI de Citrix ADC

Complete los siguientes pasos para configurar la actualización automática de firmas de bots:

• Vaya a Seguridad > Administración de bots de Citrix.

• En el panel de detalles, en Configuración, haga clic en Cambiar la configuración de administración de bots de Citrix.

• En Configurar la configuración de administración de bots de Citrix, seleccione la casilla de verificación Actualización automática de firmas.

• Haga clic en Aceptar y Cerrar.

Para obtener más información sobre cómo configurar la reputación de IP mediante la CLI, consulte: Configurar la función de reputación de IP mediante la CLI.

Referencias

Para obtener información sobre el uso de relajaciones de grano fino de SQL, consulte: Relajaciones de grano fino de SQL.

Para obtener información sobre cómo configurar la comprobación de inyección SQL mediante la línea de comandos, consulte: Comprobación de inyección SQL HTML.

Para obtener información sobre cómo configurar la comprobación de inyección SQL mediante la GUI, consulte: Uso de la GUI para configurar la comprobación de seguridad de inyección SQL.

Para obtener información sobre el uso de la función de aprendizaje con la comprobación de inyección SQL, consulte: Uso de la función de aprendizaje con la comprobación de inyección SQL.

Para obtener información sobre el uso de la función de registro con la comprobación de inyección SQL, consulte: Using the Log Feature with the SQL Injection Check.

Para obtener información sobre las estadísticas de las infracciones de inyección SQL, consulte: Statistics for the SQL Injection Violations.

Para obtener información sobre los aspectos destacados de la comprobación de inyección SQL, consulte: Highlights.

Para obtener información sobre las comprobaciones de inyección SQL XML, consulte: XML SQL Injection Check.

Para obtener información sobre el uso de relajaciones detalladas de scripts entre sitios, consulte: SQL Fine Grained Relaxations.

Para obtener información sobre la configuración de scripts entre sitios HTML mediante la línea de comandos, consulte: Using the Command Line to Configure the HTML Cross-Site Scripting Check.

Para obtener información sobre la configuración de scripts entre sitios HTML mediante la GUI, consulte: Using the GUI to Configure the HTML Cross-Site Scripting Check.

Para obtener información sobre el uso de la función de aprendizaje con la comprobación de scripts entre sitios HTML, consulte: Using the Learn Feature with the HTML Cross-Site Scripting Check.

Para obtener información sobre el uso de la función de registro con la comprobación de scripts entre sitios HTML, consulte: Using the Log Feature with the HTML Cross-Site Scripting Check.

Para obtener información sobre las estadísticas de las infracciones de scripts entre sitios HTML, consulte: Statistics for the HTML Cross-Site Scripting Violations.

Para obtener información sobre los aspectos destacados de los scripts entre sitios HTML, consulte: Highlights.

Para obtener información sobre los scripts entre sitios XML, visite: XML Cross-Site Scripting Check.

Para obtener información sobre el uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Using the Command Line to Configure the Buffer Overflow Security Check.

Para obtener información sobre el uso de la GUI para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Configure Buffer Overflow Security Check by using the Citrix ADC GUI.

Para obtener información sobre el uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer, consulte: Using the Log Feature with the Buffer Overflow Security Check.

Para obtener información sobre las estadísticas de las infracciones de desbordamiento de búfer, consulte: Statistics for the Buffer Overflow Violations.

Para obtener información sobre los aspectos destacados de la comprobación de seguridad de desbordamiento de búfer, consulte: Highlights.

Para obtener información sobre cómo agregar o eliminar un objeto de firma, consulte: Adding or Removing a Signature Object.

Para obtener información sobre cómo crear un objeto de firmas a partir de una plantilla, consulte: To Create a Signatures Object from a Template.

Para obtener información sobre cómo crear un objeto de firmas importando un archivo, consulte: To Create a Signatures Object by Importing a File.

Para obtener información sobre cómo crear un objeto de firmas importando un archivo mediante la línea de comandos, consulte: To Create a Signatures Object by Importing a File using the Command Line.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la GUI, consulte: To Remove a Signatures Object by using the GUI.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la línea de comandos, consulte: To Remove a Signatures Object by using the Command Line.

Para obtener información sobre cómo configurar o modificar un objeto de firmas, consulte: Configuring or Modifying a Signatures Object.

Para obtener más información sobre cómo actualizar un objeto de firma, consulte: Updating a Signature Object.

Para obtener información sobre cómo usar la línea de comandos para actualizar las firmas del firewall de aplicaciones web desde el origen, consulte: To Update the Web Application Firewall Signatures from the Source by using the Command Line.

Para obtener información sobre cómo actualizar un objeto de firmas desde un archivo de formato Citrix, consulte: Updating a Signatures Object from a Citrix Format File.

Para obtener información sobre cómo actualizar un objeto de firmas desde una herramienta de análisis de vulnerabilidades compatible, consulte: Updating a Signatures Object from a Supported Vulnerability Scanning Tool.

Para obtener información sobre la integración de reglas de Snort, consulte: Snort Rule Integration.

Para obtener información sobre cómo configurar las reglas de Snort, consulte: Configure Snort Rules.

Para obtener información sobre cómo configurar la administración de bots mediante la línea de comandos, consulte: Configurar la administración de bots.

Para obtener información sobre cómo configurar los ajustes de administración de bots para la técnica de huella digital del dispositivo, consulte: Configurar los ajustes de administración de bots para la técnica de huella digital del dispositivo.

Para obtener información sobre cómo configurar listas de permitidos de bots mediante la GUI de Citrix ADC, consulte: Configurar la lista blanca de bots mediante la GUI de Citrix ADC.

Para obtener información sobre cómo configurar listas de bloqueo de bots mediante la GUI de Citrix ADC, consulte: Configurar la lista negra de bots mediante la GUI de Citrix ADC.

Para obtener más información sobre cómo configurar la administración de bots, consulte: Configurar la administración de bots.

Requisitos previos

Antes de intentar crear una instancia VPX en AWS, los usuarios deben asegurarse de tener lo siguiente:

• Una cuenta de AWS para iniciar una AMI de Citrix ADC VPX en una nube privada virtual (VPC) de Amazon Web Services (AWS). Los usuarios pueden crear una cuenta de AWS de forma gratuita en Amazon Web Services: AWS.

• Una cuenta de usuario de AWS Identity and Access Management (IAM) para controlar de forma segura el acceso a los servicios y recursos de AWS para los usuarios. Para obtener más información sobre cómo crear una cuenta de usuario de IAM, consulte el tema: Creación de usuarios de IAM (consola).

Un rol de IAM es obligatorio tanto para implementaciones independientes como de alta disponibilidad. El rol de IAM debe tener los siguientes privilegios:

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:AssignPrivateIpAddresses

• escalado automático:*

• sns:todo

• sqs:todo

• cloudwatch:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Para obtener más información sobre los permisos de IAM, consulte: Políticas administradas de AWS para funciones de trabajo.

Si se utiliza la plantilla de Citrix CloudFormation, el rol de IAM se crea automáticamente. La plantilla no permite seleccionar un rol de IAM ya creado.

Nota:

Cuando los usuarios inician sesión en la instancia VPX a través de la GUI, aparece un mensaje para configurar los privilegios necesarios para el rol de IAM. Ignore el mensaje si los privilegios ya se han configurado. Nota:

Se requiere la CLI de AWS para usar toda la funcionalidad proporcionada por la Consola de administración de AWS desde el programa de terminal. Para obtener más información, consulte la guía del usuario de la CLI de AWS: ¿Qué es la interfaz de línea de comandos de AWS?. Los usuarios también necesitan la CLI de AWS para cambiar el tipo de interfaz de red a SR-IOV.

Para obtener más información sobre Citrix ADC y AWS, incluido el soporte para Citrix Networking VPX en AWS, consulte la guía de diseño de referencia validado de Citrix ADC y Amazon Web Services: Citrix ADC y Amazon Web Services Validated Reference Design.

Limitaciones y directrices de uso

Las siguientes limitaciones y directrices de uso se aplican al implementar una instancia de Citrix ADC VPX en AWS:

• Los usuarios deben leer la terminología de AWS mencionada anteriormente antes de iniciar una nueva implementación.

• La función de agrupación solo se admite cuando se aprovisiona con grupos de escalado automático de Citrix ADM.

• Para que la configuración de alta disponibilidad funcione eficazmente, asocie un dispositivo NAT dedicado a la interfaz de administración o asocie una IP elástica (EIP) a NSIP. Para obtener más información sobre NAT, en la documentación de AWS, consulte: Instancias NAT.

• El tráfico de datos y el tráfico de administración deben segregarse con ENI que pertenezcan a subredes diferentes.

• Solo la dirección NSIP debe estar presente en la ENI de administración.

• Si se utiliza una instancia NAT para la seguridad en lugar de asignar una EIP a la NSIP, se requieren cambios de enrutamiento apropiados a nivel de VPC. Para obtener instrucciones sobre cómo realizar cambios de enrutamiento a nivel de VPC, en la documentación de AWS, consulte: Escenario 2: VPC con subredes públicas y privadas.

• Una instancia VPX se puede mover de un tipo de instancia EC2 a otro (por ejemplo, de m3.large a m3.xlarge). Para obtener más información, visite: Limitaciones y directrices de uso.

• Para el medio de almacenamiento de VPX en AWS, Citrix recomienda EBS, porque es duradero y los datos están disponibles incluso después de desconectarse de la instancia.

• No se admite la adición dinámica de ENI a VPX. Reinicie la instancia VPX para aplicar la actualización. Citrix recomienda a los usuarios detener la instancia independiente o HA, adjuntar la nueva ENI y luego reiniciar la instancia. La ENI principal no se puede cambiar ni adjuntar a una subred diferente una vez implementada. Las ENI secundarias se pueden desvincular y cambiar según sea necesario mientras la VPX está detenida.

• Los usuarios pueden asignar varias direcciones IP a una ENI. El número máximo de direcciones IP por ENI está determinado por el tipo de instancia EC2; consulte la sección “Direcciones IP por interfaz de red por tipo de instancia” en Interfaces de red elásticas: Interfaces de red elásticas. Los usuarios deben asignar las direcciones IP en AWS antes de asignarlas a las ENI. Para obtener más información, consulte Interfaces de red elásticas: Interfaces de red elásticas.

• Citrix recomienda que los usuarios eviten usar los comandos de interfaz de habilitar y deshabilitar en las interfaces de Citrix ADC VPX.

• Los comandos set ha node \<NODE\_ID\> -haStatus STAYPRIMARY y set ha node \<NODE\_ID\> -haStatus STAYSECONDARY de Citrix ADC están deshabilitados de forma predeterminada.

• IPv6 no es compatible con VPX.

• Debido a las limitaciones de AWS, estas características no son compatibles:

  • ARP gratuito (GARP)

  • Modo L2 (puenteo). Los servidores virtuales transparentes son compatibles con L2 (reescritura de MAC) para servidores en la misma subred que el SNIP.

  • VLAN etiquetada

  • Enrutamiento dinámico

  • MAC virtual

• Para que RNAT, el enrutamiento y el servidor virtual transparente funcionen, asegúrese de que la comprobación de origen/destino esté deshabilitada para todas las ENI en la ruta de datos. Para obtener más información, consulte «Cambio de la comprobación de origen/destino» en Interfaces de red elásticas: Interfaces de red elásticas.

• En una implementación de Citrix ADC VPX en AWS, en algunas regiones de AWS, la infraestructura de AWS podría no ser capaz de resolver las llamadas a la API de AWS. Esto ocurre si las llamadas a la API se emiten a través de una interfaz que no es de administración en la instancia de Citrix ADC VPX. Como solución alternativa, restrinja las llamadas a la API solo a la interfaz de administración. Para ello, cree una NSVLAN en la instancia VPX y vincule la interfaz de administración a la NSVLAN utilizando el comando apropiado.

• Por ejemplo:

  • set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NO

  • guardar configuración

• Reinicie la instancia VPX en el símbolo del sistema.

• Para obtener más información sobre la configuración de nsvlan, consulte Configuración de NSVLAN: Configuración de NSVLAN.

• En la consola de AWS, el uso de vCPU que se muestra para una instancia VPX en la pestaña Monitorización puede ser alto (hasta el 100 por ciento), incluso cuando el uso real es mucho menor. Para ver el uso real de vCPU, vaya a Ver todas las métricas de CloudWatch. Para obtener más información, consulte: Supervise sus instancias con Amazon CloudWatch. Alternativamente, si la baja latencia y el rendimiento no son una preocupación, los usuarios pueden habilitar la función CPU Yield, que permite que los motores de paquetes estén inactivos cuando no hay tráfico. Visite el Centro de conocimiento de soporte de Citrix para obtener más detalles sobre la función CPU Yield y cómo habilitarla.

Requisitos técnicos

Antes de que los usuarios inicien la Guía de inicio rápido para comenzar una implementación, la cuenta de usuario debe configurarse como se especifica en la siguiente tabla. De lo contrario, la implementación podría fallar.

Recursos

Si es necesario, inicie sesión en la cuenta de Amazon del usuario y solicite aumentos de límite de servicio para los siguientes recursos aquí: AWS/Iniciar sesión. Es posible que deba hacerlo si ya tiene una implementación existente que utiliza estos recursos y cree que podría exceder los límites predeterminados con esta implementación. Para conocer los límites predeterminados, consulte las Cuotas de servicio de AWS en la documentación de AWS: Cuotas de servicio de AWS.

El AWS Trusted Advisor, que se encuentra aquí: AWS/Iniciar sesión, ofrece una comprobación de límites de servicio que muestra el uso y los límites para algunos aspectos de algunos servicios.

Regiones

Citrix WAF en AWS no es compatible actualmente en todas las regiones de AWS. Para obtener una lista actual de las regiones compatibles, consulte los puntos de conexión de servicio de AWS en la documentación de AWS: Puntos de conexión de servicio de AWS.

Para obtener más información sobre las regiones de AWS y por qué la infraestructura en la nube es importante, consulte: Infraestructura global.

Par de claves

Asegúrese de que exista al menos un par de claves de Amazon EC2 en la cuenta de AWS del usuario en la región donde los usuarios planean implementar mediante la Guía de inicio rápido. Anote el nombre del par de claves. Se solicitará esta información durante la implementación. Para crear un par de claves, siga las instrucciones para pares de claves de Amazon EC2 e instancias de Linux en la documentación de AWS: Pares de claves de Amazon EC2 e instancias de Linux.

Si los usuarios están implementando la Guía de inicio rápido con fines de prueba o prueba de concepto, recomendamos que creen un nuevo par de claves en lugar de especificar un par de claves que ya esté siendo utilizado por una instancia de producción.