Guía de implementación de Citrix ADC VPX en Azure

Información general

Citrix ADC es una solución de entrega de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Se presenta en una amplia variedad de factores de forma y opciones de implementación sin limitar a los usuarios a una única configuración o nube. La licencia de capacidad agrupada permite el movimiento de capacidad entre implementaciones en la nube.

Como líder indiscutible en la entrega de servicios y aplicaciones, Citrix ADC se implementa en miles de redes en todo el mundo para optimizar, proteger y controlar la entrega de todos los servicios empresariales y en la nube. Implementado directamente delante de los servidores web y de bases de datos, Citrix ADC combina el equilibrio de carga de alta velocidad y la conmutación de contenido, la compresión HTTP, el almacenamiento en caché de contenido, la aceleración SSL, la visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión de extremo a extremo que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar políticas utilizando un motor de políticas declarativo simple sin necesidad de conocimientos de programación.

Citrix ADC VPX

El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y en la nube.

Esta guía de implementación se centra en Citrix ADC VPX en Azure.

Microsoft Azure

• Microsoft Azure es un conjunto en constante expansión de servicios de computación en la nube para ayudar a las organizaciones a afrontar sus desafíos empresariales. Azure ofrece a los usuarios la libertad de crear, administrar e implementar aplicaciones en una red global masiva utilizando sus herramientas y marcos preferidos. Con Azure, los usuarios pueden:

• Estar preparados para el futuro con la innovación continua de Microsoft para respaldar su desarrollo actual y sus visiones de productos para el mañana.

• Operar la nube híbrida sin problemas en las instalaciones, en la nube y en el perímetro: Azure se adapta a los usuarios dondequiera que estén.

• Construir según sus propios términos con el compromiso de Azure con el código abierto y el soporte para todos los lenguajes y marcos, lo que permite a los usuarios construir como quieran e implementar donde quieran.

• Confiar en su nube con seguridad desde cero, respaldada por un equipo de expertos y un cumplimiento proactivo y líder en la industria en el que confían empresas, gobiernos y startups.

Terminología de Azure

A continuación, se presenta una breve descripción de los términos clave utilizados en este documento con los que los usuarios deben estar familiarizados:

• Azure Load Balancer – El equilibrador de carga de Azure es un recurso que distribuye el tráfico entrante entre los equipos de una red. El tráfico se distribuye entre las máquinas virtuales definidas en un conjunto de equilibradores de carga. Un equilibrador de carga puede ser externo o de cara a Internet, o puede ser interno.

• Azure Resource Manager (ARM) – ARM es el nuevo marco de administración para los servicios en Azure. Azure Load Balancer se administra mediante API y herramientas basadas en ARM.

• Grupo de direcciones de back-end – Son direcciones IP asociadas a la NIC de la máquina virtual a la que se distribuirá la carga.

• BLOB - Objeto binario grande – Cualquier objeto binario como un archivo o una imagen que se pueda almacenar en el almacenamiento de Azure.

• Configuración de IP de front-end – Un equilibrador de carga de Azure puede incluir una o más direcciones IP de front-end, también conocidas como IP virtuales (VIP). Estas direcciones IP sirven como entrada para el tráfico.

• IP pública a nivel de instancia (ILPIP) – Una ILPIP es una dirección IP pública que los usuarios pueden asignar directamente a una máquina virtual o instancia de rol, en lugar de al servicio en la nube en el que reside la máquina virtual o instancia de rol. Esto no reemplaza la VIP (IP virtual) asignada a su servicio en la nube. Más bien, es una dirección IP adicional que se puede usar para conectarse directamente a una máquina virtual o instancia de rol.

Nota:

En el pasado, una ILPIP se conocía como PIP, que significa IP pública.

• Reglas NAT de entrada – Contiene reglas que asignan un puerto público en el equilibrador de carga a un puerto para una máquina virtual específica en el grupo de direcciones de back-end.

• Configuración IP - Se puede definir como un par de direcciones IP (IP pública e IP privada) asociado a una NIC individual. En una configuración IP, la dirección IP pública puede ser NULA. Cada NIC puede tener varias configuraciones IP asociadas, hasta un máximo de 255.

• Reglas de equilibrio de carga – Una propiedad de regla que asigna una combinación de IP y puerto de front-end dada a un conjunto de direcciones IP y combinaciones de puertos de back-end. Con una única definición de un recurso de equilibrador de carga, los usuarios pueden definir múltiples reglas de equilibrio de carga, cada regla reflejando una combinación de IP y puerto de front-end e IP y puerto de back-end asociados con máquinas virtuales.

• Grupo de seguridad de red (NSG) – Un NSG contiene una lista de reglas de lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a las instancias de máquinas virtuales en una red virtual. Los NSG se pueden asociar a subredes o a instancias individuales de máquinas virtuales dentro de esa subred. Cuando un NSG se asocia a una subred, las reglas ACL se aplican a todas las instancias de máquinas virtuales de esa subred. Además, el tráfico a una máquina virtual individual se puede restringir aún más asociando un NSG directamente a esa máquina virtual.

• Direcciones IP privadas – Se utilizan para la comunicación dentro de una red virtual de Azure y la red local del usuario cuando se utiliza una puerta de enlace VPN para extender una red de usuario a Azure. Las direcciones IP privadas permiten que los recursos de Azure se comuniquen con otros recursos en una red virtual o una red local a través de una puerta de enlace VPN o un circuito ExpressRoute, sin usar una dirección IP accesible desde Internet. En el modelo de implementación de Azure Resource Manager, una dirección IP privada se asocia con los siguientes tipos de recursos de Azure: máquinas virtuales, equilibradores de carga internos (ILB) y puertas de enlace de aplicaciones.

• Sondas – Contiene sondas de estado utilizadas para verificar la disponibilidad de las instancias de máquinas virtuales en el grupo de direcciones de back-end. Si una máquina virtual en particular no responde a las sondas de estado durante algún tiempo, se retira del servicio de tráfico. Las sondas permiten a los usuarios realizar un seguimiento del estado de las instancias virtuales. Si una sonda de estado falla, la instancia virtual se retira automáticamente de la rotación.

• Direcciones IP públicas (PIP) – La PIP se utiliza para la comunicación con Internet, incluidos los servicios de Azure orientados al público, y se asocia con máquinas virtuales, equilibradores de carga orientados a Internet, puertas de enlace VPN y puertas de enlace de aplicaciones.

• Región: un área dentro de una geografía que no cruza fronteras nacionales y que contiene uno o más centros de datos. Los precios, los servicios regionales y los tipos de ofertas se exponen a nivel de región. Una región suele emparejarse con otra región, que puede estar a varios cientos de millas de distancia, para formar un par regional. Los pares regionales se pueden utilizar como mecanismo para escenarios de recuperación ante desastres y alta disponibilidad. También se conoce generalmente como ubicación.

• Grupo de recursos: un contenedor en Resource Manager que contiene recursos relacionados para una aplicación. El grupo de recursos puede incluir todos los recursos de una aplicación, o solo aquellos recursos que están agrupados lógicamente.

• Cuenta de almacenamiento: una cuenta de almacenamiento de Azure proporciona a los usuarios acceso a los servicios de blob, cola, tabla y archivos de Azure en Azure Storage. Una cuenta de almacenamiento de usuario proporciona el espacio de nombres único para los objetos de datos de almacenamiento de Azure del usuario.

• Máquina virtual: la implementación de software de un equipo físico que ejecuta un sistema operativo. Varias máquinas virtuales pueden ejecutarse simultáneamente en el mismo hardware. En Azure, las máquinas virtuales están disponibles en varios tamaños.

• Red virtual: una red virtual de Azure es una representación de la red de un usuario en la nube. Es un aislamiento lógico de la nube de Azure dedicado a una suscripción de usuario. Los usuarios pueden controlar completamente los bloques de direcciones IP, la configuración de DNS, las directivas de seguridad y las tablas de rutas dentro de esta red. Los usuarios también pueden segmentar aún más su VNet en subredes e iniciar máquinas virtuales IaaS de Azure y servicios en la nube (instancias de rol PaaS). Además, los usuarios pueden conectar la red virtual a su red local utilizando una de las opciones de conectividad disponibles en Azure. En esencia, los usuarios pueden expandir su red a Azure, con un control completo sobre los bloques de direcciones IP y con el beneficio de la escala empresarial que Azure proporciona.

Flujo lógico de Citrix WAF en Azure

Figura 1: Diagrama lógico de Citrix WAF en Azure

Flujo lógico

El Firewall de aplicaciones web se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, normalmente detrás del enrutador o firewall de la empresa del cliente. Debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web que los usuarios desean proteger y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. Los usuarios configuran la red para enviar solicitudes al Firewall de aplicaciones web en lugar de directamente a sus servidores web, y respuestas al Firewall de aplicaciones web en lugar de directamente a sus usuarios. El Firewall de aplicaciones web filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas internas como las adiciones y modificaciones del usuario. Bloquea o neutraliza cualquier actividad que detecte como dañina y luego reenvía el tráfico restante al servidor web. La figura anterior (Figura 1) proporciona una descripción general del proceso de filtrado.

Nota: La figura omite la aplicación de una directiva al tráfico entrante. Ilustra una configuración de seguridad en la que la directiva es procesar todas las solicitudes. Además, en esta configuración, se ha configurado un objeto de firmas y se ha asociado con el perfil, y se han configurado comprobaciones de seguridad en el perfil. Como muestra la figura, cuando un usuario solicita una URL en un sitio web protegido, el Firewall de aplicaciones web examina primero la solicitud para asegurarse de que no coincide con una firma. Si la solicitud coincide con una firma, el Firewall de aplicaciones web muestra el objeto de error (una página web que se encuentra en el dispositivo del Firewall de aplicaciones web y que los usuarios pueden configurar mediante la función de importación) o reenvía la solicitud a la URL de error designada (la página de error).

Si una solicitud pasa la inspección de firmas, el Firewall de aplicaciones web aplica las comprobaciones de seguridad de solicitud que se han habilitado. Las comprobaciones de seguridad de solicitud verifican que la solicitud es apropiada para el sitio web o servicio web del usuario y no contiene material que pueda representar una amenaza. Por ejemplo, las comprobaciones de seguridad examinan la solicitud en busca de signos que indiquen que podría ser de un tipo inesperado, solicitar contenido inesperado o contener datos de formularios web, comandos SQL o scripts inesperados y posiblemente maliciosos. Si la solicitud falla una comprobación de seguridad, el Firewall de aplicaciones web desinfecta la solicitud y luego la envía de vuelta al dispositivo Citrix ADC (o al dispositivo virtual Citrix ADC), o muestra el objeto de error. Si la solicitud pasa las comprobaciones de seguridad, se envía de vuelta al dispositivo Citrix ADC, que completa cualquier otro procesamiento y reenvía la solicitud al servidor web protegido.

Cuando el sitio web o el servicio web envía una respuesta al usuario, el Firewall de aplicaciones web aplica las comprobaciones de seguridad de respuesta que se han habilitado. Las comprobaciones de seguridad de respuesta examinan la respuesta en busca de fugas de información privada sensible, signos de desfiguración del sitio web u otro contenido que no debería estar presente. Si la respuesta falla una comprobación de seguridad, el Firewall de aplicaciones web elimina el contenido que no debería estar presente o bloquea la respuesta. Si la respuesta pasa las comprobaciones de seguridad, se envía de vuelta al dispositivo Citrix ADC, que la reenvía al usuario.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en Azure combina el equilibrio de carga L4, la administración de tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de aplicaciones y otras capacidades esenciales de entrega de aplicaciones en una única instancia VPX, convenientemente disponible a través de Azure Marketplace. Además, todo se rige por un único marco de directivas y se gestiona con el mismo y potente conjunto de herramientas utilizadas para administrar las implementaciones locales de Citrix ADC. El resultado neto es que Citrix ADC en Azure permite varios casos de uso atractivos que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos en la nube empresariales.

Tipos de implementación

Implementación Multi-NIC Multi-IP (Implementación de tres NIC)

• Implementaciones típicas

  • Impulsado por StyleBook

  • Con ADM

    • Con GSLB (Azure Traffic Management (TM) sin registro de dominio)

    • Licencias - Agrupadas/Marketplace

• Casos de uso

  • Las implementaciones Multi-NIC Multi-IP (de tres NIC) se utilizan para lograr un aislamiento real del tráfico de datos y de gestión.

  • Las implementaciones Multi-NIC Multi-IP (de tres NIC) también mejoran la escala y el rendimiento del ADC.

  • Las implementaciones Multi-NIC Multi-IP (de tres NIC) se utilizan en aplicaciones de red donde el rendimiento suele ser de 1 Gbps o superior y se recomienda una implementación de tres NIC.

Implementación Multi-NIC Multi-IP (de tres NIC) para alta disponibilidad (HA)

Los clientes podrían implementar utilizando una implementación de tres NIC si están implementando en un entorno de producción donde la seguridad, la redundancia, la disponibilidad, la capacidad y la escalabilidad son críticas. Con este método de implementación, la complejidad y la facilidad de gestión no son preocupaciones críticas para los usuarios.

Implementación de plantillas de Azure Resource Manager

Los clientes implementarían utilizando plantillas ARM (Azure Resource Manager) si están personalizando sus implementaciones o automatizándolas.

Plantillas de ARM (Azure Resource Manager)

El repositorio de GitHub para las plantillas de ARM (Azure Resource Manager) de Citrix ADC aloja plantillas personalizadas de Citrix ADC para implementar Citrix ADC en los servicios en la nube de Microsoft Azure. Todas las plantillas de este repositorio han sido desarrolladas y mantenidas por el equipo de ingeniería de Citrix ADC.

Cada plantilla de este repositorio tiene documentación conjunta que describe el uso y la arquitectura de la plantilla. Las plantillas intentan codificar la arquitectura de implementación recomendada de Citrix ADC VPX, o introducir al usuario a Citrix ADC o demostrar una característica/edición/opción particular. Los usuarios pueden reutilizar/modificar o mejorar las plantillas para adaptarlas a sus necesidades particulares de producción y pruebas. La mayoría de las plantillas requieren suscripciones suficientes a portal.azure.com para crear recursos e implementar plantillas. Las plantillas de Azure Resource Manager (ARM) de Citrix ADC VPX están diseñadas para garantizar una forma fácil y consistente de implementar Citrix ADC VPX independiente. Estas plantillas aumentan la fiabilidad y la disponibilidad del sistema con redundancia incorporada. Estas plantillas de ARM admiten selecciones basadas en Bring Your Own License (BYOL) o por horas. La elección de la selección se menciona en la descripción de la plantilla o se ofrece durante la implementación de la plantilla. Para obtener más información sobre cómo aprovisionar una instancia de Citrix ADC VPX en Microsoft Azure mediante plantillas de ARM (Azure Resource Manager), visite: Plantillas de Citrix ADC Azure.

Para obtener más información sobre cómo implementar una instancia de Citrix ADC VPX en Microsoft Azure, consulte: Implementar una instancia de Citrix ADC VPX en Microsoft Azure.

Para obtener más información sobre cómo funciona una instancia de Citrix ADC VPX en Azure, visite: Cómo funciona una instancia de Citrix ADC VPX en Azure.

Pasos de implementación

Cuando los usuarios implementan una instancia de Citrix ADC VPX en Microsoft Azure Resource Manager (ARM), pueden utilizar las capacidades de computación en la nube de Azure y las funciones de equilibrio de carga y gestión de tráfico de Citrix ADC para sus necesidades empresariales. Los usuarios pueden implementar instancias de Citrix ADC VPX en Azure Resource Manager como instancias independientes o como pares de alta disponibilidad en modos activo-en espera.

Los usuarios pueden implementar una instancia de Citrix ADC VPX en Microsoft Azure de dos maneras:

• A través de Azure Marketplace. El dispositivo virtual Citrix ADC VPX está disponible como imagen en Microsoft Azure Marketplace. La plantilla de Azure Resource Manager se publica en Azure Marketplace y se puede utilizar para implementar Citrix ADC en una implementación independiente y en un par de alta disponibilidad.

• Mediante la plantilla JSON de Citrix ADC Azure Resource Manager (ARM) disponible en GitHub. Para obtener más información, consulte el repositorio de GitHub para plantillas de soluciones de Citrix ADC.

Elección de la instancia de Azure correcta

Los dispositivos virtuales VPX en Azure se pueden implementar en cualquier tipo de instancia que tenga dos o más núcleos y más de 2 GB de memoria. La siguiente tabla enumera los tipos de instancia recomendados para la licencia ADC VPX:

Una vez que se conocen la licencia y el tipo de instancia que se deben usar para la implementación, los usuarios pueden aprovisionar una instancia de Citrix ADC VPX en Azure utilizando la arquitectura Multi-NIC multi-IP recomendada.

Arquitectura Multi-NIC Multi-IP (tres NIC)

En este tipo de implementación, los usuarios pueden tener más de una interfaz de red (NIC) conectada a una instancia VPX. Cualquier NIC puede tener una o más configuraciones IP (direcciones IP públicas y privadas estáticas o dinámicas) asignadas. La arquitectura Multi-NIC se puede utilizar tanto para implementaciones independientes como para pares de alta disponibilidad. Se pueden utilizar las siguientes plantillas ARM:

• Citrix ADC Standalone: Plantilla ARM-Standalone 3-NIC

• Par de alta disponibilidad de Citrix ADC: Plantilla ARM-HA Pair 3-NIC

Consulte los siguientes casos de uso:

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell

Arquitectura de implementación de Citrix ADM

La siguiente imagen proporciona una descripción general de cómo Citrix ADM se conecta con Azure para aprovisionar instancias de Citrix ADC VPX en Microsoft Azure.

Los usuarios deben tener tres subredes para aprovisionar y administrar instancias de Citrix ADC VPX en Microsoft Azure. Se debe crear un grupo de seguridad para cada subred. Las reglas especificadas en el Grupo de seguridad de red (NSG) rigen la comunicación entre las subredes.

El agente de servicio de Citrix ADM ayuda a los usuarios a aprovisionar y administrar instancias de Citrix ADC VPX.

Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC

En una implementación de Microsoft Azure, se logra una configuración de alta disponibilidad de dos instancias de Citrix ADC VPX mediante el uso de Azure Load Balancer (ALB). Esto se logra configurando una sonda de estado en ALB, que supervisa cada instancia VPX enviando sondas de estado cada 5 segundos a las instancias principal y secundaria.

En esta configuración, solo el nodo principal responde a las sondas de estado y el secundario no. Una vez que el principal envía la respuesta a la sonda de estado, el ALB comienza a enviar el tráfico de datos a la instancia. Si la instancia principal pierde dos sondas de estado consecutivas, el ALB no redirige el tráfico a esa instancia. En caso de conmutación por error, el nuevo principal comienza a responder a las sondas de estado y el ALB le redirige el tráfico. El tiempo de conmutación por error de alta disponibilidad de VPX estándar es de tres segundos. El tiempo total de conmutación por error que puede ocurrir para el cambio de tráfico puede ser un máximo de 13 segundos.

Los usuarios pueden implementar un par de instancias de Citrix ADC VPX con varias NIC en una configuración de alta disponibilidad (HA) activa-pasiva en Azure. Cada NIC puede contener varias direcciones IP.

Las siguientes opciones están disponibles para una implementación de alta disponibilidad con varias NIC:

• Alta disponibilidad mediante el conjunto de disponibilidad de Azure

• Alta disponibilidad mediante zonas de disponibilidad de Azure

Para obtener más información sobre el conjunto de disponibilidad y las zonas de disponibilidad de Azure, consulte la documentación de Azure Administrar la disponibilidad de las máquinas virtuales Linux.

Alta disponibilidad mediante el conjunto de disponibilidad

Una configuración de alta disponibilidad mediante el conjunto de disponibilidad debe cumplir los siguientes requisitos:

• Una configuración de alta disponibilidad (HA) con configuración de red independiente (INC)

• El equilibrador de carga de Azure (ALB) en modo de retorno directo al servidor (DSR)

Todo el tráfico pasa por el nodo principal. El nodo secundario permanece en modo de espera hasta que el nodo principal falla.

Nota:

Para que funcione una implementación de alta disponibilidad de Citrix VPX en la nube de Azure, los usuarios necesitan una IP pública flotante (PIP) que se pueda mover entre los dos nodos VPX. El equilibrador de carga de Azure (ALB) proporciona esa PIP flotante, que se mueve automáticamente al segundo nodo en caso de conmutación por error.

En una implementación activo-pasivo, las direcciones IP públicas (PIP) de front-end del ALB se añaden como direcciones VIP en cada nodo VPX. En una configuración HA-INC, las direcciones VIP son flotantes y las direcciones SNIP son específicas de la instancia.

Los usuarios pueden implementar un par de VPX en modo de alta disponibilidad activo-pasivo de dos maneras, utilizando:

• Plantilla estándar de alta disponibilidad de Citrix ADC VPX: utilice esta opción para configurar un par de HA con la opción predeterminada de tres subredes y seis NIC.

• Comandos de Windows PowerShell: utilice esta opción para configurar un par de HA según sus requisitos de subred y NIC.

Esta sección describe cómo implementar un par de VPX en una configuración de HA activo-pasivo utilizando la plantilla de Citrix. Si los usuarios desean implementar con comandos de PowerShell, consulte Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell.

Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix

Los usuarios pueden implementar de forma rápida y eficiente un par de instancias VPX en modo HA-INC utilizando la plantilla estándar. La plantilla crea dos nodos, con tres subredes y seis NIC. Las subredes son para el tráfico de administración, cliente y servidor, y cada subred tiene dos NIC para ambas instancias VPX.

Complete los siguientes pasos para iniciar la plantilla e implementar un par de VPX de alta disponibilidad, utilizando conjuntos de disponibilidad de Azure.

1. Desde Azure Marketplace, seleccione e inicie la plantilla de solución de Citrix. Aparece la plantilla.

2. Asegúrese de que el tipo de implementación sea Resource Manager y seleccione Crear.

3. Aparece la página Básicos. Cree un grupo de recursos y seleccione Aceptar.

4. Aparece la página Configuración general. Escriba los detalles y seleccione Aceptar.

5. Aparece la página Configuración de red. Compruebe las configuraciones de VNet y subred, edite la configuración necesaria y seleccione Aceptar.

6. Aparece la página Resumen. Revise la configuración y edítela según sea necesario. Seleccione Aceptar para confirmar.

7. Aparece la página Comprar. Seleccione Comprar para completar la implementación.

La creación del grupo de recursos de Azure con las configuraciones requeridas puede tardar un momento. Una vez completado, seleccione el Grupo de recursos en el portal de Azure para ver los detalles de configuración, como las reglas de LB, los grupos de back-end, las sondas de estado, etc. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1.

Si se requieren más modificaciones para la configuración de HA, como la creación de más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.

A continuación, los usuarios deben configurar el servidor virtual de equilibrio de carga con la dirección IP pública (PIP) de frontend del ALB, en el nodo principal. Para encontrar la PIP del ALB, seleccione ALB > Configuración de IP de frontend.

Consulte la sección Recursos para obtener más información sobre cómo configurar el servidor virtual de equilibrio de carga.

Recursos:

Los siguientes enlaces proporcionan información adicional relacionada con la implementación de HA y la configuración del servidor virtual:

• Configuración de nodos de alta disponibilidad en diferentes subredes

• Configurar el equilibrio de carga básico

Recursos relacionados:

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell

• Configurar GSLB en una configuración de alta disponibilidad activa-en espera

Alta disponibilidad mediante zonas de disponibilidad

Las zonas de disponibilidad de Azure son ubicaciones aisladas de errores dentro de una región de Azure, que proporcionan redundancia de energía, refrigeración y redes, y aumentan la resiliencia. Solo regiones específicas de Azure admiten zonas de disponibilidad. Para obtener más información, consulte la documentación de Azure Zonas de disponibilidad en Azure: Configurar GSLB en una configuración de alta disponibilidad activa-en espera.

Los usuarios pueden implementar un par VPX en modo de alta disponibilidad utilizando la plantilla denominada “NetScaler 13.0 HA using Availability Zones”, disponible en Azure Marketplace.

Complete los siguientes pasos para iniciar la plantilla e implementar un par VPX de alta disponibilidad, utilizando las zonas de disponibilidad de Azure.

1. Desde Azure Marketplace, seleccione e inicie la plantilla de solución de Citrix.

2. Asegúrese de que el tipo de implementación sea Resource Manager y seleccione Crear.

3. Aparece la página Conceptos básicos. Introduzca los detalles y haga clic en Aceptar.

Nota: Asegúrese de que se selecciona una región de Azure que admita zonas de disponibilidad. Para obtener más información sobre las regiones que admiten zonas de disponibilidad, consulte la documentación de Azure Zonas de disponibilidad en Azure: Regiones y zonas de disponibilidad en Azure.

1. Aparece la página Configuración general. Escriba los detalles y seleccione Aceptar.

2. Aparece la página Configuración de red. Compruebe las configuraciones de VNet y subred, edite la configuración necesaria y seleccione Aceptar.

3. Aparece la página Resumen. Revise la configuración y edítela según sea necesario. Seleccione Aceptar para confirmar.

4. Aparece la página Comprar. Seleccione Comprar para completar la implementación.

La creación del grupo de recursos de Azure con las configuraciones necesarias puede tardar un momento. Una vez completado, seleccione el Grupo de recursos para ver los detalles de configuración, como las reglas de LB, los grupos de back-end, las sondas de estado, etc., en el portal de Azure. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1. Además, los usuarios pueden ver la ubicación en la columna Ubicación.

Si se requieren más modificaciones para la configuración de HA, como la creación de más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.

Para obtener información más detallada sobre el aprovisionamiento de instancias de Citrix ADC VPX en Microsoft Azure, consulte: Aprovisionamiento de instancias de Citrix ADC VPX en Microsoft Azure.

Citrix Application Delivery Management

El servicio Citrix Application Delivery Management (Citrix ADM) proporciona una solución sencilla y escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN implementados en las instalaciones o en la nube.

Los usuarios pueden utilizar esta solución en la nube para administrar, supervisar y solucionar problemas de toda la infraestructura global de entrega de aplicaciones desde una consola única, unificada y centralizada basada en la nube. El servicio Citrix ADM proporciona todas las capacidades necesarias para configurar, implementar y administrar rápidamente la entrega de aplicaciones en implementaciones de Citrix ADC, con análisis enriquecidos de la salud, el rendimiento y la seguridad de las aplicaciones.

El servicio Citrix ADM ofrece los siguientes beneficios:

• Ágil – Fácil de operar, actualizar y consumir. El modelo de servicio de Citrix ADM Service está disponible a través de la nube, lo que facilita la operación, actualización y uso de las funciones proporcionadas por Citrix ADM Service. La frecuencia de las actualizaciones, combinada con la función de actualización automatizada, mejora rápidamente la implementación de Citrix ADC del usuario.

• Tiempo de obtención de valor más rápido – Logro más rápido de los objetivos comerciales. A diferencia de la implementación tradicional en las instalaciones, los usuarios pueden usar su servicio Citrix ADM con unos pocos clics. Los usuarios no solo ahorran tiempo de instalación y configuración, sino que también evitan perder tiempo y recursos en posibles errores.

• Administración multisitio – Un único panel de control para instancias en centros de datos multisitio. Con el servicio Citrix ADM, los usuarios pueden administrar y supervisar los Citrix ADC que se encuentran en varios tipos de implementaciones. Los usuarios tienen una gestión integral para los Citrix ADC implementados en las instalaciones y en la nube.

• Eficiencia operativa – Forma optimizada y automatizada de lograr una mayor productividad operativa. Con el servicio Citrix ADM, los costos operativos del usuario se reducen al ahorrar tiempo, dinero y recursos en el mantenimiento y la actualización de las implementaciones de hardware tradicionales.

Cómo funciona el servicio Citrix ADM

El servicio Citrix ADM está disponible como servicio en Citrix Cloud. Después de que los usuarios se registran en Citrix Cloud y comienzan a usar el servicio, instalan agentes en el entorno de red del usuario o inician el agente integrado en las instancias. Luego, agregan las instancias que desean administrar al servicio.

Un agente permite la comunicación entre el servicio Citrix ADM y las instancias administradas en el centro de datos del usuario. El agente recopila datos de las instancias administradas en la red del usuario y los envía al servicio Citrix ADM.

Cuando los usuarios agregan una instancia al servicio Citrix ADM, esta se agrega implícitamente como destino de trampa y recopila un inventario de la instancia.

El servicio recopila detalles de la instancia como:

• Nombre de host

• Versión del software

• Configuración en ejecución y guardada

• Certificados

• Entidades configuradas en la instancia, y así sucesivamente.

El servicio Citrix ADM sondea periódicamente las instancias administradas para recopilar información.

La siguiente imagen ilustra la comunicación entre el servicio, los agentes y las instancias:

Guía de documentación

La documentación del servicio Citrix ADM incluye información sobre cómo empezar a usar el servicio, una lista de las funciones compatibles con el servicio y la configuración específica de esta solución de servicio.

Citrix ADC WAF y OWASP Top Ten – 2017

El Proyecto Abierto de Seguridad de Aplicaciones Web: OWASP (publicó el OWASP Top 10 de 2017 para la seguridad de aplicaciones web. Esta lista documenta las vulnerabilidades de aplicaciones web más comunes y es un excelente punto de partida para evaluar la seguridad web. Aquí detallamos cómo configurar el Firewall de Aplicaciones Web (WAF) de Citrix ADC para mitigar estas fallas. WAF está disponible como un módulo integrado en Citrix ADC (Premium Edition) y en una gama completa de dispositivos.

El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

A1:2017- Inyección

Los fallos de inyección, como la inyección SQL, NoSQL, de SO y LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete para que ejecute comandos no deseados o acceda a datos sin la autorización adecuada.

Protecciones WAF de ADC

• La función de prevención de inyección SQL protege contra ataques de inyección comunes. Se pueden cargar patrones de inyección personalizados para proteger contra cualquier tipo de ataque de inyección, incluidos XPath y LDAP. Esto es aplicable tanto para cargas HTML como XML.

• La función de actualización automática de firmas mantiene las firmas de inyección actualizadas.

• La función de protección de formato de campo permite al administrador restringir cualquier parámetro de usuario a una expresión regular. Por ejemplo, puede exigir que un campo de código postal contenga solo números enteros o incluso números enteros de 5 dígitos.

• Coherencia de los campos del formulario: Valide cada formulario de usuario enviado con la firma del formulario de la sesión del usuario para garantizar la validez de todos los elementos del formulario.

• Las comprobaciones de desbordamiento de búfer garantizan que la URL, los encabezados y las cookies estén dentro de los límites correctos, bloqueando cualquier intento de inyectar scripts o código grandes.

A2:2017 – Autenticación rota

Las funciones de la aplicación relacionadas con la autenticación y la gestión de sesiones a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o explotar otros fallos de implementación para asumir las identidades de otros usuarios de forma temporal o permanente.

Protecciones WAF de ADC

• El módulo AAA de Citrix ADC realiza la autenticación de usuarios y proporciona funcionalidad de inicio de sesión único a las aplicaciones de back-end. Esto está integrado en el motor de políticas AppExpert de Citrix ADC para permitir políticas personalizadas basadas en la información del usuario y del grupo.

• Mediante el uso de la descarga SSL y las capacidades de transformación de URL, el firewall también puede ayudar a los sitios a utilizar protocolos de capa de transporte seguros para evitar el robo de tokens de sesión mediante la interceptación de red.

• Se pueden emplear el proxy de cookies y el cifrado de cookies para mitigar completamente el robo de cookies.

A3:2017 - Exposición de datos confidenciales

Muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como los financieros, de atención médica y PII. Los atacantes pueden robar o modificar estos datos mal protegidos para cometer fraudes con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales al intercambiarse con el navegador.

Protecciones WAF de ADC

• Application Firewall protege las aplicaciones de la fuga de datos confidenciales como los detalles de tarjetas de crédito.

• Los datos confidenciales se pueden configurar como objetos seguros en la protección de comercio seguro para evitar la exposición.

• Cualquier dato confidencial en las cookies puede protegerse mediante el proxy de cookies y el cifrado de cookies.

A4:2017 Entidades externas XML (XXE)

Muchos procesadores XML antiguos o mal configurados evalúan las referencias de entidades externas dentro de los documentos XML. Las entidades externas se pueden utilizar para divulgar archivos internos mediante el controlador URI de archivo, recursos compartidos de archivos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio.

Protecciones WAF de ADC

• Además de detectar y bloquear amenazas comunes de aplicaciones que pueden adaptarse para atacar aplicaciones basadas en XML (es decir, scripting entre sitios, inyección de comandos, etc.).

• ADC Application Firewall incluye un amplio conjunto de protecciones de seguridad específicas de XML. Estas incluyen la validación de esquemas para verificar a fondo los mensajes SOAP y las cargas útiles XML, y una potente comprobación de archivos adjuntos XML para bloquear archivos adjuntos que contengan ejecutables maliciosos o virus.

• Los métodos de inspección automática del tráfico bloquean los ataques de inyección XPath en URL y formularios destinados a obtener acceso.

• El Firewall de aplicaciones de ADC también frustra varios ataques DoS, incluidas las referencias a entidades externas, la expansión recursiva, el anidamiento excesivo y los mensajes maliciosos que contienen atributos y elementos largos o numerosos.

A5:2017 Control de acceso roto

Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a funcionalidades y datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.

Protecciones WAF de ADC

• La función AAA que admite la autenticación, la autorización y la auditoría para todo el tráfico de aplicaciones permite a un administrador del sitio gestionar los controles de acceso con el dispositivo ADC.

• La función de seguridad de autorización dentro del módulo AAA del dispositivo ADC permite que el dispositivo verifique a qué contenido de un servidor protegido debe permitir el acceso a cada usuario.

• Coherencia de los campos del formulario: Si las referencias de objetos se almacenan como campos ocultos en los formularios, al usar la coherencia de los campos del formulario, puede validar que estos campos no se manipulen en solicitudes posteriores.

• Proxy de cookies y coherencia de cookies: Las referencias de objetos que se almacenan en los valores de las cookies se pueden validar con estas protecciones.

• Comprobación de URL de inicio con cierre de URL: Permite el acceso del usuario a una lista de URL permitidas predefinida. El cierre de URL crea una lista de todas las URL vistas en respuestas válidas durante la sesión del usuario y permite automáticamente el acceso a ellas durante esa sesión.

A6:2017 - Configuración de seguridad incorrecta

La configuración de seguridad incorrecta es el problema más común. Esto suele ser el resultado de configuraciones predeterminadas inseguras, configuraciones incompletas o improvisadas, almacenamiento en la nube abierto, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, marcos, bibliotecas y aplicaciones deben configurarse de forma segura, sino que también deben parchearse y actualizarse de manera oportuna.

Protecciones WAF de ADC

• El informe PCI-DSS generado por el Firewall de aplicaciones documenta la configuración de seguridad en el dispositivo Firewall.

• Los informes de las herramientas de escaneo se convierten en firmas WAF de ADC para gestionar las configuraciones de seguridad incorrectas.

• ADC WAF es compatible con Cenzic, IBM AppScan (Enterprise y Standard), Qualys, TrendMicro, WhiteHat y los informes de escaneo de vulnerabilidades personalizados.

A7:2017 - Secuencias de comandos entre sitios (XSS)

Los fallos de XSS ocurren cuando una aplicación incluye datos no confiables en una nueva página web sin la validación o el escape adecuados, o actualiza una página web existente con datos proporcionados por el usuario utilizando una API del navegador que puede crear HTML o JavaScript. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Protecciones de ADC WAF

• La protección XSS protege contra ataques XSS comunes. Se pueden cargar patrones XSS personalizados para modificar la lista predeterminada de etiquetas y atributos permitidos. El ADC WAF utiliza una lista blanca de atributos y etiquetas HTML permitidos para detectar ataques XSS. Esto es aplicable tanto para cargas útiles HTML como XML.

• ADC WAF bloquea todos los ataques enumerados en la OWASP XSS Filter Evaluation Cheat Sheet.

• La comprobación del formato de campo evita que un atacante envíe datos de formulario web inapropiados que pueden ser un ataque XSS potencial.

• Coherencia de los campos del formulario.

A8:2017 - Deserialización insegura

La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si los fallos de deserialización no resultan en la ejecución remota de código, pueden usarse para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios.

Protecciones de ADC WAF

• Inspección de carga útil JSON con firmas personalizadas.

• Seguridad XML: protege contra la denegación de servicio XML (xDoS), la inyección XML SQL y Xpath y las secuencias de comandos entre sitios, comprobaciones de formato, cumplimiento del perfil básico WS-I, comprobación de archivos adjuntos XML.

• Se pueden utilizar las comprobaciones de formato de campo, la coherencia de cookies y la coherencia de campo.

A9:2017 - Uso de componentes con vulnerabilidades conocidas

Los componentes, como bibliotecas, marcos y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, dicho ataque puede facilitar una pérdida grave de datos o la toma de control del servidor. Las aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de la aplicación y permitir varios ataques e impactos.

Protecciones WAF de ADC

• Citrix recomienda tener los componentes de terceros actualizados.

• Los informes de análisis de vulnerabilidades que se convierten en firmas de ADC se pueden usar para parchear virtualmente estos componentes.

• Se pueden usar las plantillas de firewall de aplicaciones disponibles para estos componentes vulnerables.

• Se pueden vincular firmas personalizadas con el firewall para proteger estos componentes.

A10:2017 - Registro y supervisión insuficientes

El registro y la supervisión insuficientes, junto con una integración inexistente o ineficaz con la respuesta a incidentes, permiten a los atacantes seguir atacando sistemas, mantener la persistencia, pasar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción supera los 200 días, y que normalmente la detectan partes externas en lugar de procesos o supervisión internos.

Protecciones WAF de ADC

• Cuando la acción de registro está habilitada para las comprobaciones de seguridad o las firmas, los mensajes de registro resultantes proporcionan información sobre las solicitudes y respuestas que el firewall de aplicaciones ha observado mientras protegía sus sitios web y aplicaciones.

• El firewall de aplicaciones ofrece la comodidad de usar la base de datos de ADC integrada para identificar las ubicaciones correspondientes a las direcciones IP desde las que se originan las solicitudes maliciosas.

• Las expresiones de formato predeterminado (PI) ofrecen la flexibilidad de personalizar la información incluida en los registros con la opción de agregar los datos específicos que se capturarán en los mensajes de registro generados por el firewall de aplicaciones.

• El firewall de aplicaciones admite registros CEF.

Protección de seguridad de aplicaciones

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) proporciona una solución escalable para administrar implementaciones de Citrix ADC que incluyen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX y dispositivos Citrix SD-WAN implementados en las instalaciones o en la nube.

Características de análisis y gestión de aplicaciones de Citrix ADM

A continuación se enumeran y resumen las características destacadas que son clave para el rol de ADM en la seguridad de las aplicaciones.

Análisis y gestión de aplicaciones

La función de análisis y gestión de aplicaciones de Citrix ADM refuerza el enfoque centrado en la aplicación para ayudar a los usuarios a abordar diversos desafíos de entrega de aplicaciones. Este enfoque proporciona a los usuarios visibilidad sobre las puntuaciones de estado de las aplicaciones, les ayuda a determinar los riesgos de seguridad y a detectar anomalías en los flujos de tráfico de las aplicaciones y a tomar medidas correctivas. Lo más importante entre estas funciones para la seguridad de las aplicaciones es el análisis de seguridad de las aplicaciones:

• Análisis de seguridad de aplicaciones: Análisis de seguridad de aplicaciones. El panel de seguridad de aplicaciones proporciona una vista holística del estado de seguridad de las aplicaciones de los usuarios. Por ejemplo, muestra métricas de seguridad clave como violaciones de seguridad, violaciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC detectadas.

StyleBooks

Los StyleBooks simplifican la tarea de gestionar configuraciones complejas de Citrix ADC para las aplicaciones de los usuarios. Un StyleBook es una plantilla que los usuarios pueden utilizar para crear y gestionar configuraciones de Citrix ADC. Aquí, los usuarios se preocupan principalmente por el StyleBook utilizado para implementar el firewall de aplicaciones web. Para obtener más información sobre los StyleBooks, consulte: StyleBooks.

Análisis

Proporciona una forma fácil y escalable de examinar las diversas perspectivas de los datos de las instancias de Citrix ADC para describir, predecir y mejorar el rendimiento de las aplicaciones. Los usuarios pueden utilizar una o más funciones de análisis simultáneamente. Las más importantes entre estas funciones para la seguridad de las aplicaciones son:

• Security Insight: Security Insight. Proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de los usuarios y tomar medidas correctivas para protegerlas.

• Bot Insight

• Para obtener más información sobre el análisis, consulte Análisis: Análisis.

Otras características importantes para la funcionalidad de ADM son:

Gestión de eventos

Los eventos representan ocurrencias de eventos o errores en una instancia de Citrix ADC gestionada. Por ejemplo, cuando hay un fallo del sistema o un cambio en la configuración, se genera y registra un evento en Citrix ADM. A continuación se muestran las características relacionadas que los usuarios pueden configurar o ver utilizando Citrix ADM:

• Creación de reglas de eventos: Create Event Rules

• Ver y exportar mensajes de syslog: View and Export Syslog Messages

Para obtener más información sobre la gestión de eventos, consulte: Events.

Administración de instancias

Permite a los usuarios administrar las instancias de Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway y Citrix SD-WAN. Para obtener más información sobre la administración de instancias, consulte: Adding Instances.

Administración de licencias

Permite a los usuarios administrar licencias de Citrix ADC configurando Citrix ADM como administrador de licencias.

• Capacidad agrupada de Citrix ADC: Pooled Capacity. Un grupo de licencias común del que una instancia de Citrix ADC de usuario puede obtener una licencia de instancia y solo el ancho de banda que necesita. Cuando la instancia ya no requiere estos recursos, los devuelve al grupo común, lo que los pone a disposición de otras instancias que los necesiten.

• Licencias de entrada y salida de Citrix ADC VPX: Citrix ADC VPX Check-in and Check-out Licensing. Citrix ADM asigna licencias a las instancias de Citrix ADC VPX bajo demanda. Una instancia de Citrix ADC VPX puede obtener la licencia de Citrix ADM cuando se aprovisiona una instancia de Citrix ADC VPX, o devolver su licencia a Citrix ADM cuando se elimina o destruye una instancia.

• Para obtener más información sobre la administración de licencias, consulte: Pooled Capacity.

Administración de la configuración

Citrix ADM permite a los usuarios crear trabajos de configuración que les ayudan a realizar tareas de configuración, como la creación de entidades, la configuración de funciones, la replicación de cambios de configuración, las actualizaciones del sistema y otras actividades de mantenimiento con facilidad en varias instancias. Los trabajos y plantillas de configuración simplifican las tareas administrativas más repetitivas en una sola tarea en Citrix ADM. Para obtener más información sobre la administración de la configuración, consulte Trabajos de configuración: Configuration Jobs.

Auditoría de configuración

Permite a los usuarios supervisar e identificar anomalías en las configuraciones de las instancias de usuario.

• Asesoramiento de configuración: Get Configuration Advice on Network Configuration. Permite a los usuarios identificar cualquier anomalía de configuración.

• Plantilla de auditoría: Crear plantillas de auditoría. Permite a los usuarios supervisar los cambios en una configuración específica.

• Para obtener más información sobre la auditoría de configuración, consulte: Auditoría de configuración.

Las firmas proporcionan las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de las aplicaciones de usuario:

• Modelo de seguridad negativo: Con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar la potencia de la coincidencia de patrones para detectar ataques y protegerse contra las vulnerabilidades de las aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, para diseñar sus propias soluciones de seguridad personalizadas.

• Modelo de seguridad híbrido: Además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración idealmente adecuada para las aplicaciones de usuario. Utilice firmas para bloquear lo que los usuarios no quieren y utilice comprobaciones de seguridad positivas para aplicar lo que está permitido.

Para proteger las aplicaciones de usuario mediante firmas, los usuarios deben configurar uno o varios perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección SQL y de scripts entre sitios, y las reglas de transformación SQL, en el objeto de firmas de usuario se utilizan no solo por las reglas de firma, sino también por las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto de firmas.

El Web Application Firewall examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se lanzan contra las aplicaciones de usuario. Si los usuarios habilitan las estadísticas, el Web Application Firewall mantiene datos sobre las solicitudes que coinciden con una firma o comprobación de seguridad del Web Application Firewall.

Si el tráfico coincide con una firma y una comprobación de seguridad positiva, se aplica la más restrictiva de las dos acciones. Por ejemplo, si una solicitud coincide con una regla de firma para la que la acción de bloqueo está deshabilitada, pero la solicitud también coincide con una comprobación de seguridad positiva de inyección SQL para la que la acción es bloquear, la solicitud se bloquea. En este caso, la infracción de firma podría registrarse como <no bloqueada>, aunque la solicitud sea bloqueada por la comprobación de inyección SQL.

Personalización: Si es necesario, los usuarios pueden añadir sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones SQL/XSS. La opción de añadir sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, ofrece a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación especificada puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden añadir, modificar o eliminar patrones de inyección SQL y de scripts entre sitios. Los editores de expresiones y RegEx integrados ayudan a los usuarios a configurar los patrones de usuario y a verificar su precisión.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina el equilibrio de carga L4, la administración de tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de aplicaciones, las licencias flexibles y otras capacidades esenciales de entrega de aplicaciones en una única instancia VPX, convenientemente disponible a través de AWS Marketplace. Además, todo se rige por un único marco de políticas y se gestiona con el mismo y potente conjunto de herramientas utilizadas para administrar las implementaciones de Citrix ADC locales. El resultado neto es que Citrix ADC en AWS permite varios casos de uso atractivos que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos en la nube empresariales.

Citrix Web Application Firewall (WAF)

Citrix Web Application Firewall (WAF) es una solución de nivel empresarial que ofrece protecciones de vanguardia para aplicaciones modernas. Citrix WAF mitiga las amenazas contra los activos públicos, incluidos sitios web, aplicaciones web y API. Citrix WAF incluye filtrado basado en la reputación de IP, mitigación de bots, protecciones contra las 10 principales amenazas de aplicaciones de OWASP, protección DDoS de capa 7 y mucho más. También se incluyen opciones para aplicar autenticación, cifrados SSL/TLS robustos, TLS 1.3, limitación de velocidad y políticas de reescritura. Utilizando protecciones WAF básicas y avanzadas, Citrix WAF proporciona una protección integral para sus aplicaciones con una facilidad de uso inigualable. Ponerlo en marcha es cuestión de minutos. Además, utilizando un modelo de aprendizaje automatizado, llamado perfilado dinámico, Citrix WAF ahorra un tiempo precioso a los usuarios. Al aprender automáticamente cómo funciona una aplicación protegida, Citrix WAF se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. Citrix WAF ayuda con el cumplimiento de todos los principales estándares y organismos reguladores, incluidos PCI-DSS, HIPAA y más. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil ponerse en marcha rápidamente. Con el escalado automático, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso cuando su tráfico aumenta.

Estrategia de implementación de Web Application Firewall

El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y cuáles pueden omitir la inspección de seguridad de forma segura. Esto ayuda a los usuarios a elaborar una configuración óptima y a diseñar políticas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, los usuarios podrían querer configurar una política para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra política para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden utilizar varias políticas y perfiles para proteger diferentes contenidos de la misma aplicación.

El siguiente paso es establecer la línea base de la implementación. Comience creando un servidor virtual y ejecute tráfico de prueba a través de él para hacerse una idea de la velocidad y la cantidad de tráfico que fluye a través del sistema de usuario.

Luego, implemente el Web Application Firewall. Utilice Citrix ADM y el Web Application Firewall StyleBook para configurar el Web Application Firewall. Consulte la sección StyleBook a continuación en esta guía para obtener más detalles.

Una vez que el Web Application Firewall esté implementado y configurado con el Web Application Firewall StyleBook, un siguiente paso útil sería implementar el Citrix ADC WAF y el OWASP Top Ten.

Finalmente, tres de las protecciones del Web Application Firewall son especialmente eficaces contra los tipos comunes de ataques web y, por lo tanto, se utilizan más comúnmente que cualquier otra. Por lo tanto, deben implementarse en la implementación inicial. Son:

• Scripts de sitios cruzados (Cross-Site Scripting) HTML. Examina las solicitudes y respuestas en busca de scripts que intenten acceder o modificar contenido en un sitio web diferente al sitio web en el que se encuentra el script. Cuando esta comprobación encuentra un script de este tipo, lo hace inofensivo antes de reenviar la solicitud o respuesta a su destino, o bloquea la conexión.

• Inyección SQL HTML. Examina las solicitudes que contienen datos de campos de formulario en busca de intentos de inyectar comandos SQL en una base de datos SQL. Cuando esta comprobación detecta código SQL inyectado, bloquea la solicitud o hace que el código SQL inyectado sea inofensivo antes de reenviar la solicitud al servidor web.

Nota: Si se cumplen las dos condiciones siguientes en la configuración del usuario, los usuarios deben asegurarse de que su Web Application Firewall esté configurado correctamente:

• Si los usuarios habilitan la comprobación de scripts de sitios cruzados (Cross-Site Scripting) HTML o la comprobación de inyección SQL HTML (o ambas), y

• Los sitios web protegidos por el usuario aceptan cargas de archivos o contienen formularios web que pueden contener grandes cantidades de datos en el cuerpo de la solicitud POST.

Para obtener más información sobre cómo configurar el Web Application Firewall para manejar este caso, consulte Configuración del firewall de aplicaciones: Configuración del firewall de aplicaciones web.

• Desbordamiento de búfer. Examina las solicitudes para detectar intentos de provocar un desbordamiento de búfer en el servidor web.

Configuración del firewall de aplicaciones web (WAF)

Los siguientes pasos asumen que el WAF ya está habilitado y funciona correctamente.

Citrix recomienda que los usuarios configuren el WAF utilizando el Web Application Firewall StyleBook. La mayoría de los usuarios lo encuentran el método más fácil para configurar el Web Application Firewall, y está diseñado para evitar errores. Tanto la GUI como la interfaz de línea de comandos están destinadas a usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.

Inyección SQL

La comprobación de inyección SQL HTML del firewall de aplicaciones proporciona defensas especiales contra la inyección de código SQL no autorizado que podría comprometer la seguridad de la aplicación del usuario. Citrix Web Application Firewall examina la carga útil de la solicitud en busca de código SQL inyectado en tres ubicaciones: 1) cuerpo POST, 2) encabezados y 3) cookies.

Un conjunto predeterminado de palabras clave y caracteres especiales proporciona palabras clave y caracteres especiales conocidos que se utilizan comúnmente para lanzar ataques SQL. Los usuarios también pueden añadir nuevos patrones y editar el conjunto predeterminado para personalizar la inspección de la comprobación SQL.

Hay varios parámetros que se pueden configurar para el procesamiento de la inyección SQL. Los usuarios pueden buscar caracteres comodín SQL. Los usuarios pueden cambiar el tipo de inyección SQL y seleccionar una de las 4 opciones (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) para indicar cómo evaluar las palabras clave SQL y los caracteres especiales SQL al procesar la carga útil. El parámetro de gestión de comentarios SQL ofrece a los usuarios una opción para especificar el tipo de comentarios que deben inspeccionarse o eximirse durante la detección de inyección SQL.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje puede proporcionar recomendaciones para configurar reglas de relajación.

Las siguientes opciones están disponibles para configurar una protección optimizada contra inyección SQL para la aplicación del usuario:

Bloquear — Si los usuarios habilitan el bloqueo, la acción de bloqueo se activa solo si la entrada coincide con la especificación del tipo de inyección SQL. Por ejemplo, si SQLSplCharANDKeyword está configurado como el tipo de inyección SQL, una solicitud no se bloquea si no contiene palabras clave, incluso si se detectan caracteres especiales SQL en la entrada. Dicha solicitud se bloquea si el tipo de inyección SQL se establece en SQLSplChar o SQLSplCharORKeyword.

Registro — Si los usuarios habilitan la función de registro, la comprobación de inyección SQL genera mensajes de registro que indican las acciones que realiza. Si el bloqueo está deshabilitado, se genera un mensaje de registro independiente para cada campo de entrada en el que se detectó la infracción SQL. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera un mensaje de registro por solicitud para la operación de transformación, incluso cuando los caracteres especiales SQL se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si las respuestas a solicitudes legítimas están siendo bloqueadas. Un gran aumento en el número de mensajes de registro puede indicar intentos de lanzar un ataque.

Estadísticas — Si está habilitada, la función de estadísticas recopila datos sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está bajo ataque. Si las solicitudes legítimas están siendo bloqueadas, los usuarios podrían tener que revisar la configuración para ver si necesitan configurar nuevas reglas de relajación o modificar las existentes.

Aprender — Si los usuarios no están seguros de qué reglas de relajación SQL podrían ser las más adecuadas para sus aplicaciones, pueden usar la función de aprendizaje para generar recomendaciones basadas en los datos aprendidos. El motor de aprendizaje del firewall de aplicaciones web supervisa el tráfico y proporciona recomendaciones de aprendizaje SQL basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, los usuarios podrían querer habilitar la opción de aprendizaje por un corto tiempo para obtener una muestra representativa de las reglas, y luego implementar las reglas y deshabilitar el aprendizaje.

Transformar caracteres especiales SQL — El firewall de aplicaciones web considera tres caracteres, comilla simple recta (‘), barra invertida () y punto y coma (;) como caracteres especiales para el procesamiento de la comprobación de seguridad SQL. La función de transformación SQL modifica el código de inyección SQL en una solicitud HTML para garantizar que la solicitud se vuelva inofensiva. La solicitud HTML modificada se envía al servidor. Todas las reglas de transformación predeterminadas se especifican en el archivo /netscaler/default_custom_settings.xml.

• La operación de transformación desactiva el código SQL realizando los siguientes cambios en la solicitud:

• Comilla simple recta (‘) a comilla doble recta (“).

• Barra invertida () a doble barra invertida ().

• El punto y coma (;) se elimina por completo.

Estos tres caracteres (cadenas especiales) son necesarios para emitir comandos a un servidor SQL. A menos que un comando SQL esté precedido por una cadena especial, la mayoría de los servidores SQL ignoran ese comando. Por lo tanto, los cambios que realiza el firewall de aplicaciones web cuando la transformación está habilitada evitan que un atacante inyecte SQL activo. Una vez realizados estos cambios, la solicitud se puede reenviar de forma segura al sitio web protegido del usuario. Cuando los formularios web en el sitio web protegido del usuario pueden contener legítimamente cadenas especiales SQL, pero los formularios web no dependen de las cadenas especiales para funcionar correctamente, los usuarios pueden deshabilitar el bloqueo y habilitar la transformación para evitar el bloqueo de datos legítimos de formularios web sin reducir la protección que el firewall de aplicaciones web proporciona a los sitios web protegidos del usuario.

La operación de transformación funciona independientemente de la configuración de Tipo de inyección SQL. Si la transformación está habilitada y el tipo de inyección SQL se especifica como palabra clave SQL, los caracteres especiales SQL se transforman incluso si la solicitud no contiene ninguna palabra clave.

Sugerencia: Los usuarios normalmente habilitan la transformación o el bloqueo, pero no ambos. Si la acción de bloqueo está habilitada, tiene prioridad sobre la acción de transformación. Si los usuarios tienen el bloqueo habilitado, habilitar la transformación es redundante.

Comprobar caracteres comodín SQL—Los caracteres comodín se pueden usar para ampliar las selecciones de una instrucción SQL SELECT. Estos operadores comodín se pueden usar con los operadores LIKE y NOT LIKE para comparar un valor con valores similares. Los caracteres de porcentaje (%) y guion bajo (_) se usan con frecuencia como comodines. El signo de porcentaje es análogo al carácter comodín de asterisco (*) utilizado con MS-DOS y para hacer coincidir cero, uno o varios caracteres en un campo. El guion bajo es similar al carácter comodín de signo de interrogación (?) de MS-DOS. Coincide con un solo número o carácter en una expresión.

Por ejemplo, los usuarios pueden usar la siguiente consulta para realizar una búsqueda de cadenas para encontrar todos los clientes cuyos nombres contengan el carácter D.

SELECT * from customer WHERE name like “%D%”:

El siguiente ejemplo combina los operadores para encontrar cualquier valor de salario que tenga 0 en el segundo y tercer lugar.

SELECT * from customer WHERE salary like ‘_00%’:

Diferentes proveedores de DBMS han ampliado los caracteres comodín añadiendo operadores adicionales. El firewall de aplicaciones web de Citrix puede proteger contra ataques lanzados inyectando estos caracteres comodín. Los 5 caracteres comodín predeterminados son porcentaje (%), guion bajo (_), acento circunflejo (^), corchete de apertura ([), and closing bracket (]). Esta protección se aplica a los perfiles HTML y XML.

Los caracteres comodín predeterminados son una lista de literales especificados en las *Firmas predeterminadas:

• <carácter comodín tipo=” LITERAL”>%</wildchar>

• <carácter comodín tipo=”LITERAL”>_</wildchar>

• <comodín tipo=”LITERAL”>^</wildchar>

• <comodín tipo=”LITERAL”>[</wildchar>

• <comodín type=”literal”>]</wildchar>

Los caracteres comodín en un ataque pueden ser PCRE, como [^A-F]. El firewall de aplicaciones web también admite comodines PCRE, pero los caracteres comodín literales anteriores son suficientes para bloquear la mayoría de los ataques.

Nota: La comprobación de caracteres comodín SQL es diferente de la comprobación de caracteres especiales SQL. Esta opción debe usarse con precaución para evitar falsos positivos.

Comprobar solicitud que contiene tipo de inyección SQL: el firewall de aplicaciones web ofrece 4 opciones para implementar el nivel deseado de rigurosidad para la inspección de inyección SQL, según la necesidad individual de la aplicación. La solicitud se comprueba con la especificación del tipo de inyección para detectar infracciones de SQL. Las 4 opciones de tipo de inyección SQL son:

• Carácter especial y palabra clave SQL: tanto una palabra clave SQL como un carácter especial SQL deben estar presentes en la entrada para activar una infracción SQL. Esta configuración, la menos restrictiva, es también la configuración predeterminada.

• Carácter especial SQL: al menos uno de los caracteres especiales debe estar presente en la entrada para activar una infracción SQL.

• Palabra clave SQL: al menos una de las palabras clave SQL especificadas debe estar presente en la entrada para activar una infracción SQL. No seleccione esta opción sin la debida consideración. Para evitar falsos positivos, asegúrese de que ninguna de las palabras clave se espere en las entradas.

• Carácter especial o palabra clave SQL: la palabra clave o la cadena de caracteres especiales deben estar presentes en la entrada para activar la infracción de la comprobación de seguridad.

Sugerencia: Si los usuarios configuran el firewall de aplicaciones web para comprobar las entradas que contienen un carácter especial SQL, el firewall de aplicaciones web omite los campos de formulario web que no contienen ningún carácter especial. Dado que la mayoría de los servidores SQL no procesan comandos SQL que no van precedidos de un carácter especial, habilitar esta opción puede reducir significativamente la carga en el firewall de aplicaciones web y acelerar el procesamiento sin poner en riesgo los sitios web protegidos por el usuario.

Gestión de comentarios SQL — De forma predeterminada, el firewall de aplicaciones web comprueba todos los comentarios SQL en busca de comandos SQL inyectados. Sin embargo, muchos servidores SQL ignoran cualquier cosa en un comentario, incluso si va precedido de un carácter especial SQL. Para un procesamiento más rápido, si su servidor SQL ignora los comentarios, puede configurar el firewall de aplicaciones web para omitir los comentarios al examinar las solicitudes de SQL inyectado. Las opciones de gestión de comentarios SQL son:

• ANSI—Omite los comentarios SQL en formato ANSI, que normalmente utilizan las bases de datos SQL basadas en UNIX. Por ejemplo:

  • /– (Dos guiones) - Este es un comentario que comienza con dos guiones y termina con el final de la línea.

  • {} - Corchetes (Los corchetes encierran el comentario. El { precede al comentario y el } lo sigue. Los corchetes pueden delimitar comentarios de una o varias líneas, pero los comentarios no se pueden anidar)

  • /*/: Comentarios de estilo C (No permite comentarios anidados). Tenga en cuenta que /! <un comentario que comienza con una barra seguida de un asterisco y un signo de exclamación no es un comentario > */

  • MySQL Server admite algunas variantes de comentarios de estilo C. Estos permiten a los usuarios escribir código que incluye extensiones de MySQL, pero que sigue siendo portátil, utilizando comentarios de la siguiente forma: [/*! MySQL-specific code */]

  • .#: Comentarios de MySQL: Este es un comentario que comienza con el carácter # y termina con el final de la línea.

• Anidados — Omite los comentarios SQL anidados, que normalmente utiliza Microsoft SQL Server. Por ejemplo; – (Dos guiones) y /**/ (Permite comentarios anidados)

• ANSI/Anidado — Omita los comentarios que se ajustan a los estándares de comentarios SQL ANSI y anidados. Los comentarios que coinciden solo con el estándar ANSI, o solo con el estándar anidado, se siguen comprobando para detectar SQL inyectado.

• Comprobar todos los comentarios — Compruebe toda la solicitud en busca de SQL inyectado sin omitir nada. Esta es la configuración predeterminada.

Sugerencia: Por lo general, los usuarios no deben elegir la opción Anidado o ANSI/Anidado a menos que su base de datos de back-end se ejecute en Microsoft SQL Server. La mayoría de los otros tipos de software de servidor SQL no reconocen los comentarios anidados. Si aparecen comentarios anidados en una solicitud dirigida a otro tipo de servidor SQL, podrían indicar un intento de vulnerar la seguridad en ese servidor.

Comprobar encabezados de solicitud — Habilite esta opción si, además de examinar la entrada en los campos del formulario, los usuarios desean examinar los encabezados de solicitud en busca de ataques de inyección SQL HTML. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en el panel Configuración avanzada -> Configuración de perfil del perfil del firewall de aplicaciones web.

Nota: Si los usuarios habilitan la marca Comprobar encabezado de solicitud, es posible que tengan que configurar una regla de relajación para el encabezado User-Agent. La presencia de la palabra clave SQL like y un carácter especial SQL de punto y coma (;) podría desencadenar falsos positivos y bloquear las solicitudes que contengan este encabezado. Advertencia: Si los usuarios habilitan la comprobación y la transformación de encabezados de solicitud, cualquier carácter especial SQL que se encuentre en los encabezados también se transformará. Los encabezados Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect y User-Agent normalmente contienen puntos y comas (;). Habilitar la comprobación y la transformación de encabezados de solicitud simultáneamente podría causar errores.

InspectQueryContentTypes — Configure esta opción si los usuarios desean examinar la parte de la consulta de la solicitud en busca de ataques de inyección SQL para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en el panel Configuración avanzada -> Configuración de perfil del perfil del firewall de aplicaciones.

Scripts entre sitios

La comprobación de scripts entre sitios HTML (cross-site scripting) examina tanto los encabezados como los cuerpos POST de las solicitudes de los usuarios en busca de posibles ataques de scripts entre sitios. Si encuentra un script entre sitios, modifica (transforma) la solicitud para que el ataque sea inofensivo o bloquea la solicitud.

Nota: La comprobación de scripts entre sitios HTML (cross-site scripting) funciona solo para el tipo de contenido, la longitud del contenido, etc. No funciona para las cookies. Asegúrese también de tener la opción ‘checkRequestHeaders’ habilitada en el perfil del firewall de aplicaciones web del usuario.

Para evitar el uso indebido de los scripts en sitios web protegidos por el usuario para vulnerar la seguridad en los sitios web del usuario, la comprobación de scripts entre sitios HTML bloquea los scripts que violan la regla del mismo origen, que establece que los scripts no deben acceder ni modificar contenido en ningún servidor que no sea el servidor en el que se encuentran. Cualquier script que viole la regla del mismo origen se denomina script entre sitios, y la práctica de usar scripts para acceder o modificar contenido en otro servidor se denomina scripts entre sitios. La razón por la que los scripts entre sitios son un problema de seguridad es que un servidor web que permite scripts entre sitios puede ser atacado con un script que no está en ese servidor web, sino en un servidor web diferente, como uno propiedad y controlado por el atacante.

Desafortunadamente, muchas empresas tienen una gran base instalada de contenido web mejorado con JavaScript que viola la regla del mismo origen. Si los usuarios habilitan la comprobación de scripts entre sitios HTML en un sitio de este tipo, deben generar las excepciones adecuadas para que la comprobación no bloquee la actividad legítima.

El firewall de aplicaciones web ofrece varias opciones de acción para implementar la protección contra scripts entre sitios HTML. Además de las acciones Bloquear, Registrar, Estadísticas y Aprender, los usuarios también tienen la opción de Transformar scripts entre sitios para hacer que un ataque sea inofensivo mediante la codificación de entidades de las etiquetas de script en la solicitud enviada. Los usuarios pueden configurar la comprobación de URL completas para el parámetro de scripts entre sitios para especificar si desean inspeccionar no solo los parámetros de consulta, sino toda la URL para detectar un ataque de scripts entre sitios. Los usuarios pueden configurar el parámetro InspectQueryContentTypes para inspeccionar la parte de la consulta de la solicitud en busca de un ataque de scripts entre sitios para los tipos de contenido específicos.

Los usuarios pueden implementar relajaciones para evitar falsos positivos. El motor de aprendizaje del firewall de aplicaciones web puede proporcionar recomendaciones para configurar reglas de relajación.

Las siguientes opciones están disponibles para configurar una protección optimizada contra scripts entre sitios HTML para la aplicación del usuario:

• Bloquear — Si los usuarios habilitan el bloqueo, la acción de bloqueo se activa si se detectan las etiquetas de scripts entre sitios en la solicitud.

• Registro — Si los usuarios habilitan la función de registro, la comprobación de scripts entre sitios HTML genera mensajes de registro que indican las acciones que realiza. Si el bloqueo está deshabilitado, se genera un mensaje de registro independiente para cada encabezado o campo de formulario en el que se detectó la infracción de scripts entre sitios. Sin embargo, solo se genera un mensaje cuando se bloquea la solicitud. Del mismo modo, se genera un mensaje de registro por solicitud para la operación de transformación, incluso cuando las etiquetas de scripts entre sitios se transforman en varios campos. Los usuarios pueden supervisar los registros para determinar si las respuestas a solicitudes legítimas se están bloqueando. Un gran aumento en el número de mensajes de registro puede indicar intentos de lanzar un ataque.

• Estadísticas — Si está habilitada, la función de estadísticas recopila datos sobre infracciones y registros. Un aumento inesperado en el contador de estadísticas podría indicar que la aplicación del usuario está bajo ataque. Si se bloquean solicitudes legítimas, es posible que los usuarios deban revisar la configuración para ver si deben configurar nuevas reglas de relajación o modificar las existentes.

• Aprender — Si los usuarios no están seguros de qué reglas de relajación podrían ser las más adecuadas para su aplicación, pueden usar la función de aprendizaje para generar recomendaciones de reglas de scripts entre sitios HTML basadas en los datos aprendidos. El motor de aprendizaje de Web Application Firewall supervisa el tráfico y proporciona recomendaciones de aprendizaje basadas en los valores observados. Para obtener un beneficio óptimo sin comprometer el rendimiento, los usuarios pueden habilitar la opción de aprendizaje durante un corto período para obtener una muestra representativa de las reglas y luego implementar las reglas y deshabilitar el aprendizaje.

• Transformar scripts entre sitios — Si está habilitado, el Web Application Firewall realiza los siguientes cambios en las solicitudes que coinciden con la comprobación de scripts entre sitios HTML:

  • Corchete angular izquierdo (<) al equivalente de entidad de carácter HTML (<)

  • Corchete angular derecho (>) al equivalente de entidad de carácter HTML (>)

Esto garantiza que los navegadores no interpreten etiquetas HTML inseguras, como <script>, y, por lo tanto, ejecuten código malicioso. Si los usuarios habilitan tanto la comprobación de encabezados de solicitud como la transformación, cualquier carácter especial encontrado en los encabezados de solicitud también se modifica como se describió anteriormente. Si los scripts en el sitio web protegido por el usuario contienen características de scripts entre sitios, pero el sitio web del usuario no depende de esos scripts para funcionar correctamente, los usuarios pueden deshabilitar el bloqueo de forma segura y habilitar la transformación. Esta configuración garantiza que no se bloquee el tráfico web legítimo, al tiempo que detiene cualquier posible ataque de scripts entre sitios.

• Comprobar URL completas para scripts entre sitios — Si la comprobación de URL completas está habilitada, el Web Application Firewall examina URL enteras en busca de ataques de scripts entre sitios HTML en lugar de comprobar solo las partes de consulta de las URL.

• Comprobar encabezados de solicitud — Si la comprobación de encabezados de solicitud está habilitada, el Web Application Firewall examina los encabezados de las solicitudes en busca de ataques de scripts entre sitios HTML, en lugar de solo las URL. Si los usuarios utilizan la GUI, pueden habilitar este parámetro en la pestaña Configuración del perfil de Web Application Firewall.

• InspectQueryContentTypes — Si la inspección de consultas de solicitud está configurada, el Firewall de aplicaciones examina la consulta de las solicitudes en busca de ataques de scripts entre sitios para los tipos de contenido específicos. Si los usuarios utilizan la GUI, pueden configurar este parámetro en la pestaña Configuración del perfil de Firewall de aplicaciones.

Importante: Como parte de los cambios de streaming, el procesamiento de las etiquetas de scripts entre sitios por parte del Web Application Firewall ha cambiado. En versiones anteriores, la presencia de un corchete de apertura (<), un corchete de cierre (>), o ambos corchetes de apertura y cierre (<>) se marcaba como una violación de scripts entre sitios. El comportamiento ha cambiado en las compilaciones que incluyen soporte para streaming del lado de la solicitud. Solo el carácter de corchete de cierre (>) ya no se considera un ataque. Las solicitudes se bloquean incluso cuando hay un carácter de corchete de apertura (<) presente, y se considera un ataque. El ataque de scripts entre sitios se marca.

Comprobación de desbordamiento de búfer

La comprobación de desbordamiento de búfer detecta intentos de causar un desbordamiento de búfer en el servidor web. Si el Web Application Firewall detecta que la URL, las cookies o el encabezado son más largos que la longitud configurada, bloquea la solicitud porque puede causar un desbordamiento de búfer.

La comprobación de desbordamiento de búfer evita ataques contra software de sistema operativo o servidor web inseguro que puede fallar o comportarse de forma impredecible cuando recibe una cadena de datos más grande de lo que puede manejar. Las técnicas de programación adecuadas evitan los desbordamientos de búfer comprobando los datos entrantes y rechazando o truncando las cadenas demasiado largas. Sin embargo, muchos programas no comprueban todos los datos entrantes y, por lo tanto, son vulnerables a los desbordamientos de búfer. Este problema afecta especialmente a las versiones anteriores del software de servidor web y los sistemas operativos, muchos de los cuales todavía están en uso.

La comprobación de seguridad de desbordamiento de búfer permite a los usuarios configurar las acciones de Bloqueo, Registro y Estadísticas. Además, los usuarios también pueden configurar los siguientes parámetros:

• Longitud máxima de URL. La longitud máxima que el firewall de aplicaciones web permite en una URL solicitada. Las solicitudes con URL más largas se bloquean. Valores posibles: 0–65535. Predeterminado: 1024

• Longitud máxima de cookies. La longitud máxima que el firewall de aplicaciones web permite para todas las cookies en una solicitud. Las solicitudes con cookies más largas activan las infracciones. Valores posibles: 0–65535. Predeterminado: 4096

• Longitud máxima del encabezado. La longitud máxima que el firewall de aplicaciones web permite para los encabezados HTTP. Las solicitudes con encabezados más largos se bloquean. Valores posibles: 0–65535. Predeterminado: 4096

• Longitud de la cadena de consulta. Longitud máxima permitida para una cadena de consulta en una solicitud entrante. Las solicitudes con consultas más largas se bloquean. Valores posibles: 0–65535. Predeterminado: 1024

• Longitud total de la solicitud. Longitud máxima de solicitud permitida para una solicitud entrante. Las solicitudes con una longitud mayor se bloquean. Valores posibles: 0–65535. Predeterminado: 24820

Parcheo virtual/Firmas

Las firmas proporcionan reglas específicas y configurables para simplificar la tarea de proteger los sitios web de los usuarios contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso. Un amplio conjunto de reglas preconfiguradas integradas o nativas ofrece una solución de seguridad fácil de usar, aplicando el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones.

Los usuarios pueden crear sus propias firmas o usar firmas en las plantillas integradas. El firewall de aplicaciones web tiene dos plantillas integradas:

• Firmas predeterminadas: Esta plantilla contiene una lista preconfigurada de más de 1300 firmas, además de una lista completa de palabras clave de inyección SQL, cadenas especiales de SQL, reglas de transformación de SQL y caracteres comodín de SQL. También contiene patrones denegados para secuencias de comandos entre sitios y atributos y etiquetas permitidos para secuencias de comandos entre sitios. Esta es una plantilla de solo lectura. Los usuarios pueden ver el contenido, pero no pueden agregar, editar ni eliminar nada en esta plantilla. Para usarla, los usuarios deben hacer una copia. En su propia copia, los usuarios pueden habilitar las reglas de firma que desean aplicar a su tráfico y especificar las acciones que se deben tomar cuando las reglas de firma coinciden con el tráfico.

Las firmas se derivan de las reglas publicadas por SNORT: SNORT, que es un sistema de prevención de intrusiones de código abierto capaz de realizar análisis de tráfico en tiempo real para detectar varios ataques y sondeos.

• *Patrones de inyección Xpath: Esta plantilla contiene un conjunto preconfigurado de palabras clave literales y PCRE y cadenas especiales que se utilizan para detectar ataques de inyección XPath (XML Path Language).

Firmas en blanco: Además de hacer una copia de la plantilla de firmas predeterminadas integrada, los usuarios pueden usar una plantilla de firmas en blanco para crear un objeto de firma. El objeto de firma que los usuarios crean con la opción de firmas en blanco no tiene ninguna regla de firma nativa, pero, al igual que la plantilla *predeterminada, tiene todas las entidades integradas de SQL/XSS.

Firmas de formato externo: El firewall de aplicaciones web también admite firmas de formato externo. Los usuarios pueden importar el informe de escaneo de terceros utilizando los archivos XSLT compatibles con el firewall de aplicaciones web de Citrix. Hay un conjunto de archivos XSLT integrados disponibles para herramientas de escaneo seleccionadas para traducir archivos de formato externo a formato nativo (consulte la lista de archivos XSLT integrados más adelante en esta sección).

Si bien las firmas ayudan a los usuarios a reducir el riesgo de vulnerabilidades expuestas y a proteger los servidores web críticos para la misión del usuario mientras buscan la eficacia, las firmas conllevan un costo de procesamiento adicional de la CPU.

Es importante elegir las firmas adecuadas para las necesidades de la aplicación del usuario. Habilite solo las firmas que sean relevantes para la aplicación/entorno del cliente.

Citrix ofrece firmas en más de 10 categorías diferentes en plataformas/sistemas operativos/tecnologías.

La base de datos de reglas de firmas es sustancial, ya que la información de ataques se ha acumulado a lo largo de los años. Por lo tanto, la mayoría de las reglas antiguas pueden no ser relevantes para todas las redes, ya que los desarrolladores de software pueden haberlas parcheado o los clientes están ejecutando una versión más reciente del sistema operativo.

Actualizaciones de firmas

Citrix Web Application Firewall admite la actualización de firmas tanto automática como manual. También sugerimos habilitar la actualización automática para que las firmas se mantengan al día.

Estos archivos de firmas están alojados en el entorno de AWS y es importante permitir el acceso saliente a las IP de NetScaler® desde los firewalls de red para obtener los últimos archivos de firmas. La actualización de firmas no tiene ningún efecto en el ADC mientras procesa el tráfico en tiempo real.

Análisis de seguridad de aplicaciones

El Panel de seguridad de aplicaciones proporciona una vista holística del estado de seguridad de las aplicaciones de usuario. Por ejemplo, muestra métricas de seguridad clave como violaciones de seguridad, violaciones de firmas e índices de amenazas. El panel de seguridad de aplicaciones también muestra información relacionada con ataques como ataques SYN, ataques de ventana pequeña y ataques de inundación de DNS para las instancias de Citrix ADC detectadas.

Nota: Para ver las métricas del Panel de seguridad de aplicaciones, AppFlow® para la información de seguridad debe estar habilitado en las instancias de Citrix ADC que los usuarios desean supervisar.

Para ver las métricas de seguridad de una instancia de Citrix ADC en el panel de seguridad de aplicaciones:

1. Inicie sesión en Citrix ADM con las credenciales de administrador.

2. Vaya a Aplicaciones > Panel de seguridad de aplicaciones y seleccione la dirección IP de la instancia en la lista Dispositivos.

Los usuarios pueden profundizar en las discrepancias reportadas en el Investigador de seguridad de aplicaciones haciendo clic en las burbujas trazadas en el gráfico.

Aprendizaje centralizado en ADM

Citrix Web Application Firewall (WAF) protege las aplicaciones web de los usuarios de ataques maliciosos como la inyección SQL y el scripting entre sitios (XSS). Para evitar filtraciones de datos y proporcionar la protección de seguridad adecuada, los usuarios deben supervisar su tráfico en busca de amenazas y datos procesables en tiempo real sobre los ataques. A veces, los ataques notificados pueden ser falsos positivos y deben proporcionarse como una excepción.

El aprendizaje centralizado en Citrix ADM es un filtro de patrones repetitivos que permite a WAF aprender el comportamiento (las actividades normales) de las aplicaciones web de los usuarios. Basándose en la supervisión, el motor genera una lista de reglas o excepciones sugeridas para cada comprobación de seguridad aplicada al tráfico HTTP.

Es mucho más fácil implementar reglas de relajación utilizando el motor de aprendizaje que implementarlas manualmente como relajaciones necesarias.

Para implementar la función de aprendizaje, los usuarios deben configurar primero un perfil de firewall de aplicaciones web (conjunto de configuraciones de seguridad) en el dispositivo Citrix ADC del usuario. Para obtener más información, consulte Creación de perfiles de firewall de aplicaciones web: Creación de perfiles de firewall de aplicaciones web.

Citrix ADM genera una lista de excepciones (relajaciones) para cada comprobación de seguridad. Como administrador, los usuarios pueden revisar la lista de excepciones en Citrix ADM y decidir si las implementan o las omiten.

Mediante la función de aprendizaje de WAF en Citrix ADM, los usuarios pueden:

• Configurar un perfil de aprendizaje con las siguientes comprobaciones de seguridad

  • Desbordamiento de búfer

  • Scripting entre sitios HTML

    Nota: La limitación de ubicación del script entre sitios es solo FormField.

  • Inyección SQL HTML

    Nota:

    Para la comprobación de inyección SQL HTML, los usuarios deben configurar set -sqlinjectionTransformSpecialChars ON y set -sqlinjectiontype sqlspclcharorkeywords en la instancia de Citrix ADC.

• Comprobar las reglas de relajación en Citrix ADM y decidir si se toman las medidas necesarias (implementar u omitir)

• Recibir las notificaciones por correo electrónico, Slack y ServiceNow

• Utilice el panel para ver los detalles de relajación

Para usar el aprendizaje de WAF en Citrix ADM:

1. Configure el perfil de aprendizaje: Configurar el perfil de aprendizaje

2. Consulte las reglas de relajación: Ver reglas de relajación y reglas inactivas

3. Utilice el panel de aprendizaje de WAF: Ver panel de aprendizaje de WAF

StyleBook

Citrix Web Application Firewall es un firewall de aplicaciones web (WAF) que protege las aplicaciones y los sitios web de ataques conocidos y desconocidos, incluidas todas las amenazas de capa de aplicación y de día cero.

Citrix ADM ahora proporciona un StyleBook predeterminado con el que los usuarios pueden crear de forma más cómoda una configuración de firewall de aplicaciones en las instancias de Citrix ADC.

Implementación de configuraciones de firewall de aplicaciones

La siguiente tarea le ayuda a implementar una configuración de equilibrio de carga junto con el firewall de aplicaciones y la política de reputación de IP en las instancias de Citrix ADC de su red empresarial.

Para crear una configuración de LB con la configuración del firewall de aplicaciones

En Citrix ADM, vaya a Aplicaciones > Configuraciones > StyleBooks. La página StyleBooks muestra todos los StyleBooks disponibles para uso del cliente en Citrix

• ADM. Desplácese hacia abajo y busque el StyleBook de equilibrio de carga HTTP/SSL con política de firewall de aplicaciones y política de reputación de IP. Los usuarios también pueden buscar el StyleBook escribiendo el nombre como lb-appfw. Haga clic en Crear configuración.

El StyleBook se abre como una página de interfaz de usuario en la que los usuarios pueden introducir los valores de todos los parámetros definidos en este StyleBook.

• Introduzca los valores para los siguientes parámetros:

  • Nombre de la aplicación con equilibrio de carga. Nombre de la configuración con equilibrio de carga con un firewall de aplicaciones para implementar en la red de usuarios.

  • Dirección IP virtual de la aplicación con equilibrio de carga. Dirección IP virtual en la que la instancia de Citrix ADC recibe las solicitudes del cliente.

  • Puerto virtual de la aplicación con equilibrio de carga. El puerto TCP que utilizarán los usuarios para acceder a la aplicación con equilibrio de carga.

  • Protocolo de la aplicación con equilibrio de carga. Seleccione el protocolo de front-end de la lista.

  • Protocolo del servidor de aplicaciones. Seleccione el protocolo del servidor de aplicaciones.

• Como opción, los usuarios pueden habilitar y configurar la Configuración avanzada del equilibrador de carga.

• Opcionalmente, los usuarios también pueden configurar un servidor de autenticación para autenticar el tráfico del servidor virtual de equilibrio de carga.

• Haga clic en «+» en la sección de IP y puertos del servidor para crear servidores de aplicaciones y los puertos a los que se puede acceder.

• Los usuarios también pueden crear nombres FQDN para los servidores de aplicaciones.

• Los usuarios también pueden especificar los detalles del certificado SSL.

• Los usuarios también pueden crear monitores en la instancia de Citrix ADC de destino.

• Para configurar un firewall de aplicaciones en el servidor virtual, habilite la configuración de WAF.

Asegúrese de que la regla de directiva del firewall de aplicaciones sea verdadera si los usuarios desean aplicar la configuración del firewall de aplicaciones a todo el tráfico de esa VIP. De lo contrario, especifique la regla de directiva de Citrix ADC para seleccionar un subconjunto de solicitudes a las que aplicar la configuración del firewall de aplicaciones. A continuación, seleccione el tipo de perfil que se debe aplicar: HTML o XML.

• Opcionalmente, los usuarios pueden configurar ajustes detallados del perfil del firewall de aplicaciones habilitando la casilla de verificación Configuración del perfil del firewall de aplicaciones.

• Opcionalmente, si los usuarios desean configurar firmas de firewall de aplicaciones, introduzca el nombre del objeto de firma que se crea en la instancia de Citrix ADC donde se va a implementar el servidor virtual.

Nota:

Los usuarios no pueden crear objetos de firma utilizando este StyleBook.

• A continuación, los usuarios también pueden configurar cualquier otra configuración de perfil de firewall de aplicaciones, como la configuración de StartURL, la configuración de DenyURL y otras.

Para obtener más información sobre el firewall de aplicaciones y la configuración, consulte Firewall de aplicaciones.

• En la sección Instancias de destino, seleccione la instancia de Citrix ADC en la que implementar el servidor virtual de equilibrio de carga con el firewall de aplicaciones.

Nota: Los usuarios también pueden hacer clic en el icono de actualización para añadir las instancias de Citrix ADC descubiertas recientemente en Citrix ADM a la lista de instancias disponibles en esta ventana.

• Los usuarios también pueden habilitar la comprobación de reputación de IP para identificar la dirección IP que envía solicitudes no deseadas. Los usuarios pueden usar la lista de reputación de IP para rechazar de forma preventiva las solicitudes que provienen de la IP con mala reputación.

Sugerencia: Citrix recomienda que los usuarios seleccionen Ejecución en seco para comprobar los objetos de configuración que deben crearse en la instancia de destino antes de ejecutar la configuración real en la instancia.

Cuando la configuración se crea correctamente, el StyleBook crea el servidor virtual de equilibrio de carga, el servidor de aplicaciones, los servicios, los grupos de servicios, las etiquetas del firewall de aplicaciones y las directivas del firewall de aplicaciones necesarios, y los vincula al servidor virtual de equilibrio de carga.

La siguiente figura muestra los objetos creados en cada servidor:

• Para ver el ConfigPack creado en Citrix ADM, vaya a Aplicaciones > Configuraciones.

Análisis de Security Insight

Las aplicaciones web y de servicios web expuestas a Internet se han vuelto cada vez más vulnerables a los ataques. Para proteger las aplicaciones de los ataques, los usuarios necesitan visibilidad sobre la naturaleza y el alcance de las amenazas pasadas, presentes e inminentes, datos procesables en tiempo real sobre los ataques y recomendaciones sobre contramedidas. Security Insight proporciona una solución de panel único para ayudar a los usuarios a evaluar el estado de seguridad de las aplicaciones de usuario y tomar medidas correctivas para protegerlas.

Cómo funciona Security Insight

Security Insight es una solución intuitiva de análisis de seguridad basada en paneles que ofrece a los usuarios una visibilidad completa del entorno de amenazas asociado a las aplicaciones de usuario. Security Insight se incluye en Citrix ADM y genera periódicamente informes basados en las configuraciones de seguridad del firewall de aplicaciones del usuario y del sistema ADC. Los informes incluyen la siguiente información para cada aplicación:

• Índice de amenazas. Un sistema de clasificación de un solo dígito que indica la criticidad de los ataques a la aplicación, independientemente de si la aplicación está protegida por un dispositivo ADC. Cuanto más críticos sean los ataques a una aplicación, mayor será el índice de amenazas para esa aplicación. Los valores oscilan entre 1 y 7.

El índice de amenazas se basa en la información de ataque. La información relacionada con el ataque, como el tipo de infracción, la categoría de ataque, la ubicación y los detalles del cliente, proporciona a los usuarios información sobre los ataques a la aplicación. La información de infracción se envía a Citrix ADM solo cuando se produce una infracción o un ataque. Muchas infracciones y vulnerabilidades conducen a un valor alto del índice de amenazas.

• Índice de seguridad. Un sistema de clasificación de un solo dígito que indica la seguridad con la que los usuarios han configurado las instancias de ADC para proteger las aplicaciones de amenazas y vulnerabilidades externas. Cuanto menores sean los riesgos de seguridad para una aplicación, mayor será el índice de seguridad. Los valores oscilan entre 1 y 7.

El índice de seguridad considera tanto la configuración del firewall de aplicaciones como la configuración de seguridad del sistema ADC. Para un valor alto del índice de seguridad, ambas configuraciones deben ser sólidas. Por ejemplo, si se implementan comprobaciones rigurosas del firewall de aplicaciones, pero no se han adoptado medidas de seguridad del sistema ADC, como una contraseña segura para el usuario nsroot, a las aplicaciones se les asigna un valor bajo del índice de seguridad.

• Información procesable. Información que los usuarios necesitan para reducir el índice de amenazas y aumentar el índice de seguridad, lo que mejora significativamente la seguridad de las aplicaciones. Por ejemplo, los usuarios pueden revisar información sobre infracciones, configuraciones de seguridad existentes y faltantes para el firewall de aplicaciones y otras funciones de seguridad, la velocidad a la que se atacan las aplicaciones, etc.

Configuración de Security Insight

Nota: Security Insight solo es compatible con instancias de ADC con licencia Premium o ADC Advanced con licencia AppFirewall.

Para configurar Security Insight en una instancia de ADC, primero configure un perfil de firewall de aplicaciones y una directiva de firewall de aplicaciones, y luego enlace la directiva de firewall de aplicaciones globalmente.

A continuación, habilite la función AppFlow, configure un recopilador, una acción y una directiva de AppFlow, y enlace la directiva globalmente. Cuando los usuarios configuran el recopilador, deben especificar la dirección IP del agente de servicio de Citrix ADM en el que desean supervisar los informes.

Configurar Security Insight en una instancia de ADC

• Ejecute los siguientes comandos para configurar un perfil y una directiva de firewall de aplicaciones, y enlace la directiva de firewall de aplicaciones globalmente o al servidor virtual de equilibrio de carga.

add appfw profile <name> [-defaults ( básico o avanzado )]

set appfw profile <name> [-startURLAction <startURLAction> etc.]

añadir política appfw <name> <rule> <profileName>

enlazar appfw global <policyName> <priority>

o bien,

bind lb vserver <servidor virtual de equilibrio de carga> -policyName <política> -priority <prioridad>

Ejemplo:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Ejecute los siguientes comandos para habilitar la función AppFlow, configurar un recopilador, una acción y una política de AppFlow, y vincular la política globalmente o al servidor virtual de equilibrio de carga:

add appflow collector <nombre> -IPAddress <dirección IP>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED o DISABLED )]

añadir appflow action <name> -collectors <string>

añadir appflow policy <name> <rule> <action>

vincular appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

o bien,

vincular lb vserver <vserver> -policyName <policy> -priority <priority>

Ejemplo:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Habilitar Security Insight desde Citrix ADM

1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

2. Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.

3. En la ventana Configurar análisis en el servidor virtual:

   • Seleccione los servidores virtuales en los que desea habilitar Security Insight y haga clic en Habilitar análisis.

   Se muestra la ventana Habilitar análisis.

   • Seleccione Información de seguridad

   • En Opciones avanzadas, seleccione Logstream o IPFIX como Modo de transporte

   • La expresión es verdadera por defecto

   • Haga clic en Aceptar

Nota:

• Si los usuarios seleccionan servidores virtuales sin licencia, Citrix ADM primero licencia esos servidores virtuales y luego habilita el análisis

• Para particiones de administrador, solo se admite Web Insight

Después de que los usuarios hagan clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Nota: Cuando los usuarios crean un grupo, pueden asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Los usuarios clientes ahora pueden ver informes de todas las perspectivas solo para las aplicaciones (servidores virtuales) para las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos en Citrix ADM: Configurar grupos en Citrix ADM.

Umbrales

Los usuarios pueden establecer y ver umbrales en el índice de seguridad y el índice de amenazas de las aplicaciones en Información de seguridad.

Para establecer un umbral:

• Navegue hasta Sistema > Configuración de análisis > Umbrales, y seleccione Agregar.

• Seleccione el tipo de tráfico como Seguridad en el campo Tipo de tráfico e introduzca la información necesaria en los demás campos apropiados, como Nombre, Duración y entidad.

• En la sección Regla, utilice los campos Métrica, Comparador y Valor para establecer un umbral. Por ejemplo, «Índice de amenazas» «>» «5»

• Haga clic en Crear.

Para ver las infracciones de umbral:

• Vaya a Analytics > Security Insight > Devices y seleccione la instancia de ADC.

• En la sección Aplicación, los usuarios pueden ver el número de infracciones de umbral que se han producido para cada servidor virtual en la columna Infracción de umbral.

Caso de uso de Security Insight

Los siguientes casos de uso describen cómo los usuarios pueden utilizar Security Insight para evaluar la exposición a amenazas de las aplicaciones y mejorar las medidas de seguridad.

Obtener una visión general del entorno de amenazas

En este caso de uso, los usuarios tienen un conjunto de aplicaciones expuestas a ataques y han configurado Citrix ADM para supervisar el entorno de amenazas. Los usuarios deben revisar con frecuencia el índice de amenazas, el índice de seguridad y el tipo y la gravedad de los ataques que las aplicaciones puedan haber sufrido, para que puedan centrarse primero en las aplicaciones que requieren más atención. El panel de Security Insight proporciona un resumen de las amenazas experimentadas por las aplicaciones de usuario durante un período de tiempo elegido por el usuario y para un dispositivo ADC seleccionado. Muestra la lista de aplicaciones, sus índices de amenazas y seguridad, y el número total de ataques para el período de tiempo elegido.

Por ejemplo, los usuarios podrían estar supervisando Microsoft Outlook, Microsoft Lync, SharePoint y una aplicación SAP, y los usuarios podrían querer revisar un resumen del entorno de amenazas para estas aplicaciones.

Para obtener un resumen del entorno de amenazas, inicie sesión en Citrix ADM y, a continuación, vaya a Analytics > Security Insight.

Se muestra información clave para cada aplicación. El período de tiempo predeterminado es de 1 hora.

Para ver información de un período de tiempo diferente, en la lista de la parte superior izquierda, seleccione un período de tiempo.

Para ver un resumen de una instancia de ADC diferente, en Dispositivos, haga clic en la dirección IP de la instancia de ADC. Para ordenar la lista de aplicaciones por una columna determinada, haga clic en el encabezado de la columna.

Determinar la exposición a amenazas de una aplicación

Después de revisar un resumen del entorno de amenazas en el panel de Security Insight para identificar las aplicaciones que tienen un índice de amenazas alto y un índice de seguridad bajo, los usuarios quieren determinar su exposición a amenazas antes de decidir cómo protegerlas. Es decir, los usuarios quieren determinar el tipo y la gravedad de los ataques que han degradado sus valores de índice. Los usuarios pueden determinar la exposición a amenazas de una aplicación revisando el resumen de la aplicación.

En este ejemplo, Microsoft Outlook tiene un valor de índice de amenazas de 6, y los usuarios quieren saber qué factores contribuyen a este alto índice de amenazas.

Para determinar la exposición a amenazas de Microsoft Outlook, en el panel de Security Insight, haga clic en Outlook. El resumen de la aplicación incluye un mapa que identifica la ubicación geográfica del servidor.

Haga clic en Índice de amenazas > Violaciones de comprobación de seguridad y revise la información de violación que aparece.

Haga clic en Violaciones de firma y revise la información de violación que aparece.

Determinar la configuración de seguridad existente y faltante para una aplicación

Después de revisar la exposición a amenazas de una aplicación, los usuarios quieren determinar qué configuraciones de seguridad de la aplicación están implementadas y qué configuraciones faltan para esa aplicación. Los usuarios pueden obtener esta información profundizando en el resumen del índice de seguridad de la aplicación.

El resumen del índice de seguridad proporciona a los usuarios información sobre la eficacia de las siguientes configuraciones de seguridad:

• Configuración del firewall de aplicaciones. Muestra cuántas entidades de firma y seguridad no están configuradas.

• Seguridad del sistema de Citrix ADM. Muestra cuántas configuraciones de seguridad del sistema no están configuradas.

En el caso de uso anterior, los usuarios revisaron la exposición a amenazas de Microsoft Outlook, que tiene un valor de índice de amenazas de 6. Ahora, los usuarios quieren saber qué configuraciones de seguridad están implementadas para Outlook y qué configuraciones se pueden agregar para mejorar su índice de amenazas.

En el panel de Security Insight, haga clic en Outlook y, a continuación, en la ficha Safety Index. Revise la información proporcionada en el área Safety Index Summary.

En el nodo Application Firewall Configuration, haga clic en Outlook_Profile y revise la información de comprobación de seguridad y violación de firma en los gráficos circulares.

Revise el estado de la configuración de cada tipo de protección en la tabla de resumen del firewall de aplicaciones. Para ordenar la tabla por una columna, haga clic en el encabezado de la columna.

Haga clic en el nodo Citrix ADM System Security y revise la configuración de seguridad del sistema y las recomendaciones de Citrix para mejorar el índice de seguridad de la aplicación.

Identificar aplicaciones que requieren atención inmediata

Las aplicaciones que necesitan atención inmediata son aquellas que tienen un índice de amenazas alto y un índice de seguridad bajo.

En este ejemplo, tanto Microsoft Outlook como Microsoft Lync tienen un valor de índice de amenazas alto de 6, pero Lync tiene el índice de seguridad más bajo de los dos. Por lo tanto, es posible que los usuarios tengan que centrar su atención en Lync antes de mejorar el entorno de amenazas para Outlook.

Determinar el número de ataques en un período de tiempo determinado

Es posible que los usuarios quieran determinar cuántos ataques se produjeron en una aplicación determinada en un momento dado, o que quieran estudiar la tasa de ataques durante un período de tiempo específico.

En la página Security Insight, haga clic en cualquier aplicación y, en el Resumen de la aplicación, haga clic en el número de infracciones. La página Total de infracciones muestra los ataques de forma gráfica durante una hora, un día, una semana y un mes.

La tabla Resumen de la aplicación proporciona los detalles sobre los ataques. Algunos de ellos son los siguientes:

• Hora del ataque

• Dirección IP del cliente desde el que se produjo el ataque

• Gravedad

• Categoría de infracción

• URL desde la que se originó el ataque y otros detalles.

Si bien los usuarios siempre pueden ver la hora del ataque en un informe horario, como se muestra en la imagen anterior, ahora pueden ver el rango de tiempo del ataque para los informes agregados, incluso para los informes diarios o semanales. Si los usuarios seleccionan “1 Day” de la lista de períodos de tiempo, el informe de Security Insight muestra todos los ataques agregados y la hora del ataque se muestra en un rango de una hora. Si los usuarios eligen “1 Week” o “1 Month”, todos los ataques se agregan y la hora del ataque se muestra en un rango de un día.

Obtener información detallada sobre las infracciones de seguridad

Es posible que los usuarios quieran ver una lista de los ataques a una aplicación y obtener información sobre el tipo y la gravedad de los ataques, las acciones realizadas por la instancia de ADC, los recursos solicitados y el origen de los ataques.

Por ejemplo, es posible que los usuarios quieran determinar cuántos ataques a Microsoft Lync se bloquearon, qué recursos se solicitaron y las direcciones IP de los orígenes.

En el panel de Security Insight, haga clic en Lync > Total Violations. En la tabla, haga clic en el icono de filtro en el encabezado de la columna Action Taken y, a continuación, seleccione Blocked.

Para obtener información sobre los recursos solicitados, revise la columna URL. Para obtener información sobre el origen de los ataques, revise la columna Client IP.

Ver detalles de la expresión de registro

Las instancias de Citrix ADC utilizan expresiones de registro configuradas con el perfil de Firewall de aplicaciones para tomar medidas contra los ataques a una aplicación en la empresa del usuario. En Security Insight, los usuarios pueden ver los valores devueltos para las expresiones de registro utilizadas por la instancia de ADC. Estos valores incluyen el encabezado de la solicitud, el cuerpo de la solicitud, etc. Además de los valores de la expresión de registro, los usuarios también pueden ver el nombre de la expresión de registro y el comentario de la expresión de registro definida en el perfil de Firewall de aplicaciones que la instancia de ADC utilizó para tomar medidas contra el ataque.

Requisitos previos:

Asegúrese de que los usuarios:

• Configure expresiones de registro en el perfil de Firewall de aplicaciones. Para obtener más información, consulte Firewall de aplicaciones.

• Habilite la configuración de Security Insights basada en expresiones de registro en Citrix ADM. Haga lo siguiente:

  • Vaya a Analytics > Settings y haga clic en Enable Features for Analytics.

  • En la página Enable Features for Analytics, seleccione Enable Security Insight en la sección Log Expression Based Security Insight Setting y haga clic en OK.

Por ejemplo, los usuarios podrían querer ver los valores de la expresión de registro devueltos por la instancia de ADC para la acción que tomó ante un ataque a Microsoft Lync en la empresa del usuario.

En el panel de Security Insight, vaya a Lync > Total Violations. En la tabla Resumen de aplicaciones, haga clic en la URL para ver los detalles completos de la infracción en la página Violation Information, incluido el nombre de la expresión de registro, el comentario y los valores devueltos por la instancia de ADC para la acción.

Determine el índice de seguridad antes de implementar la configuración

Las infracciones de seguridad ocurren después de que los usuarios implementan la configuración de seguridad en una instancia de ADC, pero los usuarios podrían querer evaluar la efectividad de la configuración de seguridad antes de implementarla.

Por ejemplo, los usuarios podrían querer evaluar el índice de seguridad de la configuración para la aplicación SAP en la instancia de ADC con la dirección IP 10.102.60.27.

En el panel de Security Insight, en Devices, haga clic en la dirección IP de la instancia de ADC que los usuarios configuraron. Los usuarios pueden ver que tanto el índice de amenazas como el número total de ataques son 0. El índice de amenazas es un reflejo directo del número y tipo de ataques a la aplicación. Cero ataques indican que la aplicación no está bajo ninguna amenaza.

Haga clic en Sap > Safety Index > SAP_Profile y evalúe la información del índice de seguridad que aparece.

En el resumen del firewall de aplicaciones, los usuarios pueden ver el estado de configuración de las diferentes opciones de protección. Si una opción está configurada para registrar o si una opción no está configurada, a la aplicación se le asigna un índice de seguridad más bajo.

Infracciones de seguridad

Ver detalles de infracciones de seguridad de la aplicación

Las aplicaciones web expuestas a Internet se han vuelto drásticamente más vulnerables a los ataques. Citrix ADM permite a los usuarios visualizar detalles de infracciones procesables para proteger las aplicaciones de los ataques. Vaya a Security > Security Violations para obtener una solución de panel único para:

• Acceder a las infracciones de seguridad de la aplicación según sus categorías, como Network, Bot y WAF

• Tomar medidas correctivas para proteger las aplicaciones

Para ver las infracciones de seguridad en Citrix ADM, asegúrese de que:

• Los usuarios tienen una licencia premium para la instancia de Citrix ADC (para infracciones de WAF y BOT).

• Los usuarios han aplicado una licencia en los servidores virtuales de equilibrio de carga o de conmutación de contenido (para WAF y BOT). Para obtener más información, consulte: Administrar licencias en servidores virtuales.

• Los usuarios habilitan más configuraciones. Para obtener más información, consulte el procedimiento disponible en la sección Configuración de la documentación del producto Citrix: Configuración.

Categorías de infracciones

Citrix ADM permite a los usuarios ver las siguientes infracciones:

** - Los usuarios deben configurar el ajuste de toma de control de cuenta en Citrix ADM. Consulte el requisito previo mencionado en Toma de control de cuenta: Toma de control de cuenta.

Además de estas infracciones, los usuarios también pueden ver las siguientes infracciones de Security Insight y Bot Insight en las categorías WAF y Bot, respectivamente:

Configuración

Los usuarios deben habilitar Advanced Security Analytics y establecer Web Transaction Settings en All para ver las siguientes infracciones en Citrix ADM:

• Transacciones de carga inusualmente altas (WAF)

• Transacciones de descarga inusualmente altas (WAF)

• Exceso de IP únicas (WAF)

• Secuestro de cuentas (BOT)

Para otras infracciones, asegúrese de que Metrics Collector esté habilitado. De forma predeterminada, Metrics Collector está habilitado en la instancia de Citrix ADC. Para obtener más información, consulte: Configurar Intelligent App Analytics.

Habilitar Advanced Security Analytics

• Vaya a Networks > Instances > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, MPX.

• Seleccione la instancia de Citrix ADC y, en la lista Select Action, seleccione Configure Analytics.

• Seleccione el servidor virtual y haga clic en Enable Analytics.

• En la ventana Enable Analytics:

  • Seleccione Web Insight. Después de que los usuarios seleccionen Web Insight, la opción de solo lectura Advanced Security Analytics se habilita automáticamente.

  Nota: La opción Análisis de seguridad avanzado se muestra solo para instancias de ADC con licencia premium.

  • Seleccione Logstream como Modo de transporte

  • La expresión es verdadera por defecto

  • Haga clic en Aceptar

Habilitar la configuración de transacciones web

• Vaya a Análisis > Configuración.

Se muestra la página de Configuración.

• Haga clic en Habilitar funciones para análisis.

• En Configuración de transacciones web, seleccione Todo.

• Haga clic en Aceptar.

Panel de infracciones de seguridad

En el panel de infracciones de seguridad, los usuarios pueden ver:

• Total de infracciones ocurridas en todas las instancias y aplicaciones de ADC. El total de infracciones se muestra según la duración de tiempo seleccionada.

• Total de infracciones por categoría.

• Total de ADC afectados, total de aplicaciones afectadas y principales infracciones según el total de ocurrencias y las aplicaciones afectadas.

Detalles de la infracción

Para cada infracción, Citrix ADM supervisa el comportamiento durante un período de tiempo específico y detecta infracciones por comportamientos inusuales. Haga clic en cada pestaña para ver los detalles de la infracción. Los usuarios pueden ver detalles como:

• El total de ocurrencias, la última ocurrencia y el total de aplicaciones afectadas

• En los detalles del evento, los usuarios pueden ver:

  • La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica las infracciones.

  Arrastre y seleccione en el gráfico que enumera las infracciones para acotar la búsqueda de infracciones.

  

  Haga clic en Restablecer zoom para restablecer el resultado del zoom.

  • Acciones recomendadas que sugieren a los usuarios cómo solucionar el problema.

  • Otros detalles de la infracción, como la hora de ocurrencia de la violencia y el mensaje de detección

Bot Insight

Uso de Bot Insight en Citrix ADM

Después de que los usuarios configuren la administración de bots en Citrix ADC, deben habilitar Bot Insight en los servidores virtuales para ver la información en Citrix ADM.

Para habilitar Bot Insight:

• Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

• Seleccione la instancia y, en la lista Seleccionar acción, seleccione Configurar análisis.

• Seleccione el servidor virtual y haga clic en Habilitar análisis.

• En la ventana Habilitar análisis:

  • Seleccione Bot Insight

  • En Opción avanzada, seleccione Logstream.

  

  • Haga clic en Aceptar.

Después de habilitar Bot Insight, vaya a Análisis > Seguridad > Bot Insight.

1. Lista de tiempo para ver los detalles del bot

2. Arrastre el control deslizante para seleccionar un rango de tiempo específico y haga clic en Ir para mostrar los resultados personalizados

3. Instancias totales afectadas por bots

4. Servidor virtual para la instancia seleccionada con el total de ataques de bots

   • Bots totales – Indica el total de ataques de bots (incluidas todas las categorías de bots) encontrados para el servidor virtual.

   • Navegadores humanos totales – Indica el total de usuarios humanos que acceden al servidor virtual.

   • Relación bot-humano – Indica la relación entre usuarios humanos y bots que acceden al servidor virtual.

   • Bots de firma, Bot con huella digital, Bots basados en tasa, Bots de reputación IP, Bots de lista de permitidos y Bots de lista de bloqueados – Indica el total de ataques de bots ocurridos según la categoría de bot configurada. Para obtener más información sobre la categoría de bot, consulte: Configurar técnicas de detección de bots en Citrix ADC.

5. Haga clic en > para ver los detalles del bot en formato de gráfico.

Ver historial de eventos

Los usuarios pueden ver las actualizaciones de la firma de bots en el Historial de eventos, cuando:

• Se añaden nuevas firmas de bots en las instancias de Citrix ADC.

• Se actualizan las firmas de bots existentes en las instancias de Citrix ADC.

Los usuarios pueden seleccionar la duración del tiempo en la página de información de bots para ver el historial de eventos.

El siguiente diagrama muestra cómo se recuperan las firmas de bot de la nube de AWS, se actualizan en Citrix ADC y se ve el resumen de actualización de firmas en Citrix ADM.

1. El programador de actualización automática de firmas de bot recupera el archivo de asignación del URI de AWS.

2. Comprueba las firmas más recientes en el archivo de asignación con las firmas existentes en el dispositivo ADC.

3. Descarga las nuevas firmas de AWS y verifica la integridad de la firma.

4. Actualiza las firmas de bot existentes con las nuevas firmas en el archivo de firmas de bot.

5. Genera una alerta SNMP y envía el resumen de actualización de firmas a Citrix ADM.

Ver bots

Haga clic en el servidor virtual para ver el Resumen de la aplicación

1. Proporciona los detalles del Resumen de la aplicación, como:

   • RPS promedio – Indica el promedio de solicitudes de transacciones de bot por segundo (RPS) recibidas en los servidores virtuales.

   • Bots por gravedad – Indica las transacciones de bot más altas ocurridas según la gravedad. La gravedad se clasifica en función de Crítica, Alta, Media y Baja.

   Por ejemplo, si los servidores virtuales tienen 11770 bots de gravedad alta y 1550 bots de gravedad crítica, Citrix ADM muestra Crítica 1.55 K en Bots por gravedad.

   • Categoría de bot más grande – Indica los ataques de bot más altos ocurridos según la categoría de bot.

   Por ejemplo, si los servidores virtuales tienen 8000 bots en la lista de bloqueo, 5000 bots en la lista de permitidos y 10000 bots con límite de velocidad excedido, entonces Citrix ADM muestra Límite de velocidad excedido 10 K en Categoría de bot más grande.

   • Fuente geográfica más grande – Indica los ataques de bot más altos ocurridos según una región.

   Por ejemplo, si los servidores virtuales tienen 5000 ataques de bot en Santa Clara, 7000 ataques de bot en Londres y 9000 ataques de bot en Bangalore, entonces Citrix ADM muestra Bangalore 9 K en Fuente geográfica más grande.

   • Tráfico de bots promedio % – Indica la relación entre bots y humanos.

2. Muestra la gravedad de los ataques de bot según las ubicaciones en la vista de mapa

3. Muestra los tipos de ataques de bot (buenos, malos y todos)

4. Muestra el total de ataques de bot junto con las acciones configuradas correspondientes. Por ejemplo, si ha configurado:

   • Rango de direcciones IP (192.140.14.9 a 192.140.14.254) como bots de lista de bloqueo y ha seleccionado Soltar como acción para estos rangos de direcciones IP

   • Rango de IP (192.140.15.4 a 192.140.15.254) como bots de lista de bloqueo y ha seleccionado crear un mensaje de registro como acción para estos rangos de IP

     En este escenario, Citrix ADM muestra:

     • Total de bots en la lista de bloqueo

     • Total de bots en Descartados

     • Total de bots en Registro

Ver bots CAPTCHA

En las páginas web, los CAPTCHA están diseñados para identificar si el tráfico entrante proviene de un humano o de un bot automatizado. Para ver las actividades de CAPTCHA en Citrix ADM, los usuarios deben configurar CAPTCHA como una acción de bot para las técnicas de detección de reputación de IP y huella digital del dispositivo en una instancia de Citrix ADC. Para obtener más información, consulte: Configurar la gestión de bots.

Las siguientes son las actividades de CAPTCHA que Citrix ADM muestra en Bot insight:

• Intentos de Captcha excedidos – Denota el número máximo de intentos de CAPTCHA realizados después de fallos de inicio de sesión

• Cliente de Captcha silenciado – Denota el número de solicitudes de cliente que se descartan o redirigen porque estas solicitudes fueron detectadas anteriormente como bots maliciosos con el desafío CAPTCHA

• Humano – Denota las entradas de captcha realizadas por usuarios humanos

• Respuesta de captcha no válida – Denota el número de respuestas CAPTCHA incorrectas recibidas del bot o humano, cuando Citrix ADC envía un desafío CAPTCHA

Ver trampas de bots

Para ver las trampas de bots en Citrix ADM, debe configurar la trampa de bots en la instancia de Citrix ADC. Para obtener más información, consulte: Configurar la gestión de bots.

Para identificar la trampa de bots, se habilita un script en la página web y este script está oculto para los humanos, pero no para los bots. Citrix ADM identifica e informa las trampas de bots cuando los bots acceden a este script.

Haga clic en el servidor virtual y seleccione Zero Pixel Request

Ver detalles del bot

Para obtener más detalles, haga clic en el tipo de ataque de bot en Bot Category.

Los detalles como la hora del ataque y el número total de ataques de bots para la categoría de captcha seleccionada se muestran.

Los usuarios también pueden arrastrar el gráfico de barras para seleccionar el rango de tiempo específico que se mostrará con los ataques de bots.

Para obtener información adicional sobre el ataque de bots, haga clic para expandir.

• IP de instancia – Indica la dirección IP de la instancia de Citrix ADC

• Bots totales – Indica el total de ataques de bots ocurridos en ese momento particular

• URL de solicitud HTTP – Indica la URL configurada para la notificación de captcha

• Código de país – Indica el país donde ocurrió el ataque de bots

• Región – Indica la región donde ocurrió el ataque de bots

• Nombre de perfil – Indica el nombre de perfil que los usuarios proporcionaron durante la configuración

Búsqueda avanzada

Los usuarios también pueden usar el cuadro de texto de búsqueda y la lista de duración de tiempo, donde pueden ver los detalles de los bots según sus requisitos. Cuando los usuarios hacen clic en el cuadro de búsqueda, este les ofrece la siguiente lista de sugerencias de búsqueda.

• IP de instancia – Dirección IP de la instancia de Citrix ADC

• Client-IP – Dirección IP del cliente

• Bot-Type – Tipo de bot, como Bueno o Malo

• Severity – Gravedad del ataque de bot

• Action-Taken – Acción realizada después del ataque de bot, como Descartar, Sin acción, Redirigir

• Bot-Category – Categoría del ataque de bot, como lista de bloqueo, lista de permitidos, huella digital, etc. Según una categoría, los usuarios pueden asociarle una acción de bot

• Bot-Detection – Tipos de detección de bots (lista de bloqueo, lista de permitidos, etc.) que los usuarios han configurado en la instancia de Citrix ADC

• Location – Región/país donde se ha producido el ataque de bot

• Request-URL – URL que tiene los posibles ataques de bot

Los usuarios también pueden usar operadores en las consultas de búsqueda de usuarios para acotar el enfoque de la búsqueda de usuarios. Por ejemplo, si los usuarios quieren ver todos los bots maliciosos:

• Haga clic en el cuadro de búsqueda y seleccione Bot-Type

• Haga clic de nuevo en el cuadro de búsqueda y seleccione el operador =

• Haga clic de nuevo en el cuadro de búsqueda y seleccione Bad

• Haga clic en Search para mostrar los resultados

Detalles de la infracción de bot

Conexiones excesivas de clientes

Cuando un cliente intenta acceder a la aplicación web, la solicitud del cliente se procesa en el dispositivo Citrix ADC, en lugar de conectarse directamente al servidor. El tráfico web se compone de bots, y los bots pueden realizar diversas acciones a una velocidad mayor que un humano.

Mediante el indicador de Conexiones excesivas de clientes, los usuarios pueden analizar escenarios en los que una aplicación recibe un número inusualmente alto de conexiones de clientes a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de direcciones IP que transaccionan la aplicación

• El rango de direcciones IP aceptado que la aplicación puede recibir

Toma de control de cuentas

Nota: Asegúrese de que los usuarios habiliten las opciones de análisis de seguridad avanzado y transacciones web. Para obtener más información, consulte Configuración: Configuración.

Algunos bots maliciosos pueden robar credenciales de usuario y realizar diversos tipos de ciberataques. Estos bots maliciosos se conocen como bots maliciosos. Es esencial identificar los bots maliciosos y proteger el dispositivo del usuario de cualquier forma de ataque de seguridad avanzado.

Requisito previo

Los usuarios deben configurar los ajustes de Toma de control de cuentas en Citrix ADM.

• Vaya a Analytics > Settings > Security Violations

• Haga clic en Add

• En la página Add Application, especifique los siguientes parámetros:

  • Application - Seleccione el servidor virtual de la lista.

  • Method - Seleccione el tipo de método HTTP de la lista. Las opciones disponibles son GET, PUSH, POST y UPDATE.

  • Login URL and Success response code - Especifique la URL de la aplicación web y el código de estado HTTP (por ejemplo, 200) para el que los usuarios quieren que Citrix ADM informe de la infracción de apropiación de cuentas por parte de bots maliciosos.

  • Haga clic en Add.

Después de que los usuarios configuren los ajustes, utilizando el indicador Account Takeover, pueden analizar si los bots maliciosos intentaron apoderarse de la cuenta de usuario, enviando múltiples solicitudes junto con las credenciales.

En Event Details, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica la actividad total inusual de inicios de sesión fallidos, inicios de sesión correctos e inicios de sesión fallidos.

• La dirección IP del bot malicioso. Haga clic para ver detalles como la hora, la dirección IP, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

Volumen de carga inusualmente alto

El tráfico web también comprende datos que se procesan para la carga. Por ejemplo, si el promedio de datos de carga por día de un usuario es de 500 MB y los usuarios cargan 2 GB de datos, esto puede considerarse un volumen de datos de carga inusualmente alto. Los bots también son capaces de procesar la carga de datos más rápidamente que los humanos.

Mediante el indicador Volumen de carga inusualmente alto, los usuarios pueden analizar escenarios anormales de carga de datos a la aplicación a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el volumen total de datos de carga procesados.

• El rango aceptado de datos de carga a la aplicación.

Volumen de descarga inusualmente alto

Al igual que con el alto volumen de carga, los bots también pueden realizar descargas más rápidamente que los humanos.

Mediante el indicador Volumen de descarga inusualmente alto, los usuarios pueden analizar escenarios anómalos de datos de descarga de la aplicación a través de bots.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el volumen total de datos de descarga procesados

• El rango aceptado de datos de descarga de la aplicación

Tasa de solicitudes inusualmente alta

Los usuarios pueden controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede realizar una tasa de solicitudes inusualmente alta. Por ejemplo, si los usuarios configuran una aplicación para permitir 100 solicitudes/minuto y observan 350 solicitudes, entonces podría ser un ataque de bot.

Mediante el indicador Tasa de solicitudes inusualmente alta, los usuarios pueden analizar la tasa de solicitudes inusual recibida por la aplicación.

En Detalles del evento, los usuarios pueden ver:

• La aplicación afectada. Los usuarios también pueden seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

• El gráfico que indica todas las infracciones

• La hora de ocurrencia de la infracción

• El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y el % de solicitudes excesivas recibidas en comparación con las solicitudes esperadas

• El rango aceptado de la tasa de solicitudes esperada procede de la aplicación

Casos de uso

Bot

A veces, el tráfico web entrante está compuesto por bots y la mayoría de las organizaciones sufren ataques de bots. Las aplicaciones web y móviles son importantes motores de ingresos para las empresas, y la mayoría de las compañías están bajo la amenaza de ciberataques avanzados, como los bots. Un bot es un programa de software que realiza automáticamente ciertas acciones repetidamente a una velocidad mucho mayor que la de un humano. Los bots pueden interactuar con páginas web, enviar formularios, ejecutar acciones, escanear textos o descargar contenido. Pueden acceder a vídeos, publicar comentarios y tuitear en plataformas de redes sociales. Algunos bots, conocidos como chatbots, pueden mantener conversaciones básicas con usuarios humanos. Un bot que realiza un servicio útil, como el servicio al cliente, el chat automatizado y los rastreadores de motores de búsqueda, son bots buenos. Al mismo tiempo, un bot que puede extraer o descargar contenido de un sitio web, robar credenciales de usuario, enviar spam y realizar otros tipos de ciberataques son bots maliciosos. Con un buen número de bots maliciosos realizando tareas malintencionadas, es esencial gestionar el tráfico de bots y proteger las aplicaciones web del usuario de los ataques de bots. Al utilizar la gestión de bots de Citrix, los usuarios pueden detectar el tráfico de bots entrante y mitigar los ataques de bots para proteger las aplicaciones web del usuario. La gestión de bots de Citrix ayuda a identificar bots maliciosos y a proteger el dispositivo del usuario de ataques de seguridad avanzados. Detecta bots buenos y malos e identifica si el tráfico entrante es un ataque de bots. Al utilizar la gestión de bots, los usuarios pueden mitigar los ataques y proteger las aplicaciones web del usuario.

La gestión de bots de Citrix ADC ofrece los siguientes beneficios:

• Defiende contra bots, scripts y kits de herramientas. Proporciona mitigación de amenazas en tiempo real mediante defensa basada en firmas estáticas y huellas digitales de dispositivos.

• Neutraliza ataques automatizados básicos y avanzados. Evita ataques, como DDoS de capa de aplicación, pulverización de contraseñas, relleno de credenciales, raspadores de precios y raspadores de contenido.

• Protege las API de usuario y las inversiones. Protege las API de usuario del uso indebido no autorizado y protege las inversiones en infraestructura del tráfico automatizado.

Algunos casos de uso en los que los usuarios pueden beneficiarse al utilizar el sistema de gestión de bots de Citrix son:

• Inicio de sesión por fuerza bruta. Un portal web gubernamental está constantemente bajo ataque de bots que intentan inicios de sesión de usuarios por fuerza bruta. La organización descubre el ataque revisando los registros web y viendo que usuarios específicos son atacados repetidamente con intentos de inicio de sesión rápidos y contraseñas que se incrementan utilizando un enfoque de ataque de diccionario. Por ley, deben protegerse a sí mismos y a sus usuarios. Al implementar la gestión de bots de Citrix, pueden detener el inicio de sesión por fuerza bruta utilizando técnicas de huella digital de dispositivos y limitación de velocidad.

• Bloquear bots maliciosos y crear una huella digital de bots desconocidos. Una entidad web recibe 100.000 visitantes cada día. Tienen que actualizar la infraestructura subyacente y están gastando una fortuna. En una auditoría reciente, el equipo descubrió que el 40 por ciento del tráfico provenía de bots, que extraían contenido, seleccionaban noticias, comprobaban perfiles de usuario y más. Quieren bloquear este tráfico para proteger a sus usuarios y reducir sus costes de alojamiento. Mediante la gestión de bots, pueden bloquear bots maliciosos conocidos y crear una huella digital de bots desconocidos que están atacando su sitio. Al bloquear estos bots, pueden reducir el tráfico de bots en un 90 por ciento.

• Permitir bots buenos. Los bots «buenos» están diseñados para ayudar a empresas y consumidores. Existen desde principios de la década de 1990, cuando se desarrollaron los primeros bots de motores de búsqueda para rastrear Internet. Google, Yahoo y Bing no existirían sin ellos. Otros ejemplos de bots buenos —en su mayoría centrados en el consumidor— incluyen:

  • Los chatbots (también conocidos como chatterbots, bots inteligentes, bots de conversación, bots de mensajería instantánea, bots sociales, bots conversacionales) interactúan con los humanos a través de texto o sonido. Uno de los primeros usos de texto fue para el servicio de atención al cliente en línea y aplicaciones de mensajería de texto como Facebook Messenger y Mensajes de iPhone. Siri, Cortana y Alexa son chatbots; pero también lo son las aplicaciones móviles que permiten a los usuarios pedir café y luego decirles cuándo estará listo, permiten a los usuarios ver tráilers de películas y encontrar horarios de cine locales, o enviar a los usuarios una foto del modelo de coche y la matrícula cuando solicitan un servicio de transporte.

  • Los Shopbots rastrean Internet buscando los precios más bajos de los artículos que los usuarios buscan.

  • Los bots de supervisión comprueban el estado (disponibilidad y capacidad de respuesta) de los sitios web. Downdetector es un ejemplo de sitio independiente que proporciona información de estado en tiempo real, incluidas las interrupciones, de sitios web y otros tipos de servicios. Para obtener más información sobre Downdetector, consulte: Downdetector.

Detección de bots

Configuración de la administración de bots mediante la GUI de Citrix ADC

Los usuarios pueden configurar la administración de bots de Citrix ADC habilitando primero la función en el dispositivo. Una vez que los usuarios la habilitan, pueden crear una directiva de bots para evaluar el tráfico entrante como bot y enviar el tráfico al perfil de bots. Luego, los usuarios crean un perfil de bots y lo vinculan a una firma de bots. Como alternativa, los usuarios también pueden clonar el archivo de firma de bots predeterminado y usar el archivo de firma para configurar las técnicas de detección. Después de crear el archivo de firma, los usuarios pueden importarlo al perfil de bots. Todos estos pasos se realizan en la siguiente secuencia:

1. Habilitar la función de administración de bots

2. Configurar los ajustes de administración de bots

3. Clonar la firma predeterminada de bots de Citrix

4. Importar la firma de bots de Citrix

5. Configurar los ajustes de la firma de bots

6. Crear perfil de bots

7. Crear directiva de bots

Habilitar la función de administración de bots

Siga los pasos que se indican a continuación para habilitar la administración de bots:

1. En el panel de navegación, expanda Sistema y luego haga clic en Configuración.

2. En la página Configurar funciones avanzadas, seleccione la casilla de verificación Administración de bots.

3. Haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Clonar archivo de firma de bot

Siga los pasos que se indican a continuación para clonar el archivo de firma de bot:

1. Vaya a Seguridad > Administración de bots de Citrix y Firmas.

2. En la página Firmas de administración de bots de Citrix, seleccione el registro de firmas de bot predeterminado y haga clic en Clonar.

3. En la página Clonar firma de bot, introduzca un nombre y edite los datos de la firma.

4. Haga clic en Crear.

Importar archivo de firma de bot

Si los usuarios tienen su propio archivo de firma, pueden importarlo como archivo, texto o URL. Siga los pasos que se indican a continuación para importar el archivo de firma de bot:

• Vaya a Seguridad > Administración de bots de Citrix y Firmas.

• En la página Firmas de administración de bots de Citrix, importe el archivo como URL, archivo o texto.

• Haga clic en Continuar.

• En la página Importar firma de administración de bots de Citrix, establezca los siguientes parámetros.

  • Nombre. Nombre del archivo de firma de bot.

  • Comentario. Breve descripción del archivo importado.

  • Sobrescribir. Seleccione la casilla de verificación para permitir la sobrescritura de datos durante la actualización del archivo.

  • Datos de firma. Modificar parámetros de firma

• Haga clic en Listo.

Reputación de IP

Configurar la reputación de IP con la GUI de Citrix ADC

Esta configuración es un requisito previo para la función de reputación de IP de bot. La técnica de detección permite a los usuarios identificar si hay alguna actividad maliciosa de una dirección IP entrante. Como parte de la configuración, establecemos diferentes categorías de bots maliciosos y asociamos una acción de bot a cada una de ellas. Siga los pasos a continuación para configurar la técnica de reputación de IP.

• Vaya a Seguridad > Administración de bots de Citrix > y Perfiles.

• En la página Perfiles de administración de bots de Citrix, seleccione un archivo de firma y haga clic en Editar.

• En la página Perfil de administración de bots de Citrix, vaya a la sección Configuración de firma y haga clic en Reputación de IP.

• En la sección Reputación de IP, configure los siguientes parámetros:

  • Habilitado. Seleccione la casilla de verificación para validar el tráfico de bots entrante como parte del proceso de detección.

  • Configurar categorías. Los usuarios pueden utilizar la técnica de reputación de IP para el tráfico de bots entrante en diferentes categorías. Según la categoría configurada, los usuarios pueden descartar o redirigir el tráfico de bots. Haga clic en Agregar para configurar una categoría de bot malicioso.

  • En la página Configurar el enlace de reputación de IP del perfil de administración de bots de Citrix, configure los siguientes parámetros:

    • Categoría. Seleccione una categoría de bot malicioso de la lista. Asocie una acción de bot basada en la categoría.

    • Habilitado. Seleccione la casilla de verificación para validar la detección de firmas de reputación de IP.

    • Acción de bot. Según la categoría configurada, los usuarios pueden asignar ninguna acción, descartar, redirigir o una acción CAPTCHA.

    • Registro. Seleccione la casilla de verificación para almacenar entradas de registro.

    • Mensaje de registro. Breve descripción del registro.

    • Comentarios. Breve descripción sobre la categoría de bot.

• Haga clic en Aceptar.

• Haga clic en Actualizar.

• Haga clic en Listo.

Actualización automática de firmas de bots

La técnica de firma estática de bots utiliza una tabla de búsqueda de firmas con una lista de bots buenos y malos. Los bots se clasifican según la cadena de agente de usuario y los nombres de dominio. Si la cadena de agente de usuario y el nombre de dominio en el tráfico de bots entrante coinciden con un valor de la tabla de búsqueda, se aplica una acción de bot configurada. Las actualizaciones de firmas de bots se alojan en la nube de AWS y la tabla de búsqueda de firmas se comunica con la base de datos de AWS para las actualizaciones de firmas. El programador de actualización automática de firmas se ejecuta cada hora para comprobar la base de datos de AWS y actualizar la tabla de firmas en el dispositivo ADC.

La URL de actualización automática de asignación de firmas de bot para configurar firmas es: Asignación de firmas de bot.

Nota: Los usuarios también pueden configurar un servidor proxy y actualizar periódicamente las firmas desde la nube de AWS al dispositivo ADC a través del proxy. Para la configuración del proxy, los usuarios deben establecer la dirección IP del proxy y la dirección del puerto en la configuración del bot.

Configurar la actualización automática de firmas de bot

Para configurar la actualización automática de firmas de bot, complete los siguientes pasos:

Habilitar la actualización automática de firmas de bot

Los usuarios deben habilitar la opción de actualización automática en la configuración del bot en el dispositivo ADC.

En el símbolo del sistema, escriba:

Establecer configuración de bot –signatureAutoUpdate ON

Configurar la actualización automática de firmas de bot mediante la GUI de Citrix ADC

Complete los siguientes pasos para configurar la actualización automática de firmas de bot:

• Vaya a Seguridad > Administración de bots de Citrix.

• En el panel de detalles, en Configuración, haga clic en Cambiar la configuración de administración de bots de Citrix.

• En Configurar la administración de bots de Citrix, seleccione la casilla de verificación Actualización automática de firmas.

• Haga clic en Aceptar y Cerrar.

Para obtener más información sobre cómo configurar la reputación de IP mediante la CLI, consulte: Configurar la función de reputación de IP mediante la CLI.

Referencias

Para obtener información sobre el uso de relajaciones de grano fino de SQL, consulte: Relajaciones de grano fino de SQL.

Para obtener información sobre cómo configurar la comprobación de inyección SQL mediante la línea de comandos, consulte: Comprobación de inyección SQL HTML.

Para obtener información sobre cómo configurar la comprobación de inyección SQL mediante la GUI, consulte: Uso de la GUI para configurar la comprobación de seguridad de inyección SQL.

Para obtener información sobre el uso de la función de aprendizaje con la comprobación de inyección SQL, consulte: Uso de la función de aprendizaje con la comprobación de inyección SQL.

Para obtener información sobre el uso de la función de registro con la comprobación de inyección SQL, consulte: Uso de la función de registro con la comprobación de inyección SQL.

Para obtener información sobre las estadísticas de las infracciones de inyección SQL, consulte: Estadísticas de las infracciones de inyección SQL.

Para obtener información sobre los aspectos destacados de la comprobación de inyección SQL, consulte: Aspectos destacados.

Para obtener información sobre las comprobaciones de inyección SQL XML, consulte: Comprobación de inyección SQL XML.

Para obtener información sobre el uso de relajaciones de grano fino de scripts entre sitios, consulte: Relajaciones de grano fino de SQL.

Para obtener información sobre cómo configurar scripts entre sitios HTML mediante la línea de comandos, consulte: Uso de la línea de comandos para configurar la comprobación de scripts entre sitios HTML.

Para obtener información sobre cómo configurar scripts entre sitios HTML mediante la GUI, consulte: Uso de la GUI para configurar la comprobación de scripts entre sitios HTML.

Para obtener información sobre el uso de la función de aprendizaje con la comprobación de scripts entre sitios HTML, consulte: Uso de la función de aprendizaje con la comprobación de scripts entre sitios HTML.

Para obtener información sobre el uso de la función de registro con la comprobación de scripts de sitios cruzados HTML, consulte: Using the Log Feature with the HTML Cross-Site Scripting Check.

Para obtener información sobre las estadísticas de las infracciones de scripts de sitios cruzados HTML, consulte: Statistics for the HTML Cross-Site Scripting Violations.

Para obtener información sobre los aspectos destacados de los scripts de sitios cruzados HTML, consulte: Highlights.

Para obtener información sobre los scripts de sitios cruzados XML, visite: XML Cross-Site Scripting Check.

Para obtener información sobre el uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Using the Command Line to Configure the Buffer Overflow Security Check.

Para obtener información sobre el uso de la GUI para configurar la comprobación de seguridad de desbordamiento de búfer, consulte: Configure Buffer Overflow Security Check by using the Citrix ADC GUI.

Para obtener información sobre el uso de la función de registro con la comprobación de seguridad de desbordamiento de búfer, consulte: Using the Log Feature with the Buffer Overflow Security Check.

Para obtener información sobre las estadísticas de las infracciones de desbordamiento de búfer, consulte: Statistics for the Buffer Overflow Violations.

Para obtener información sobre los aspectos destacados de la comprobación de seguridad de desbordamiento de búfer, consulte: Highlights.

Para obtener información sobre cómo agregar o quitar un objeto de firma, consulte: Adding or Removing a Signature Object.

Para obtener información sobre cómo crear un objeto de firmas a partir de una plantilla, consulte: To Create a Signatures Object from a Template.

Para obtener información sobre cómo crear un objeto de firmas importando un archivo, consulte: To Create a Signatures Object by Importing a File.

Para obtener información sobre cómo crear un objeto de firmas importando un archivo mediante la línea de comandos, consulte: To Create a Signatures Object by Importing a File using the Command Line.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la GUI, consulte: To Remove a Signatures Object by using the GUI.

Para obtener información sobre cómo eliminar un objeto de firmas mediante la línea de comandos, consulte: To Remove a Signatures Object by using the Command Line.

Para obtener información sobre cómo configurar o modificar un objeto de firmas, consulte: Configuring or Modifying a Signatures Object.

Para obtener más información sobre cómo actualizar un objeto de firma, consulte: Updating a Signature Object.

Para obtener información sobre cómo usar la línea de comandos para actualizar las firmas del firewall de aplicaciones web desde el origen, consulte: To Update the Web Application Firewall Signatures from the Source by using the Command Line.

Para obtener información sobre cómo actualizar un objeto de firmas desde un archivo de formato Citrix, consulte: Updating a Signatures Object from a Citrix Format File.

Para obtener información sobre cómo actualizar un objeto de firmas desde una herramienta de análisis de vulnerabilidades compatible, consulte: Updating a Signatures Object from a Supported Vulnerability Scanning Tool.

Para obtener información sobre la integración de reglas Snort, consulte: Snort Rule Integration.

Para obtener información sobre cómo configurar reglas Snort, consulte: Configure Snort Rules.

Para obtener información sobre cómo configurar la administración de bots mediante la línea de comandos, consulte: Configure Bot Management.

Para obtener información sobre cómo configurar los ajustes de administración de bots para la técnica de huella digital del dispositivo, consulte: Configure Bot Management Settings for Device Fingerprint Technique.

Para obtener información sobre cómo configurar listas de permitidos de bots mediante la GUI de Citrix ADC, consulte: Configure Bot White List by using Citrix ADC GUI.

Para obtener información sobre cómo configurar listas de bloqueo de bots mediante la GUI de Citrix ADC, consulte: Configure Bot Black List by using Citrix ADC GUI.

Para obtener más información sobre cómo configurar la administración de bots, consulte: Configure Bot Management.

Requisitos previos

Los usuarios necesitan algunos conocimientos previos antes de implementar una instancia de Citrix VPX en Azure:

• Familiaridad con la terminología de Azure y los detalles de la red. Para obtener información, consulte la terminología de Azure anterior.

• Conocimiento de un dispositivo Citrix ADC. Para obtener información detallada sobre el dispositivo Citrix ADC, consulte: Citrix ADC 13.0.

• Conocimiento de las redes de Citrix ADC. Consulte: Redes.

Requisitos previos de Azure

Esta sección describe los requisitos previos que los usuarios deben completar en Microsoft Azure y Citrix ADM antes de aprovisionar instancias de Citrix ADC VPX.

Este documento asume lo siguiente:

• Los usuarios poseen una cuenta de Microsoft Azure que admite el modelo de implementación de Azure Resource Manager.

• Los usuarios tienen un grupo de recursos en Microsoft Azure.

Para obtener más información sobre cómo crear una cuenta y otras tareas, visite la documentación de Microsoft Azure: Documentación de Microsoft Azure.

Limitaciones

La ejecución de la solución de equilibrio de carga Citrix ADC VPX en ARM impone las siguientes limitaciones:

• La arquitectura de Azure no admite las siguientes funciones de Citrix ADC:

  • Clúster

  • IPv6

  • ARP gratuito (GARP)

  • Modo L2 (puente). Los servidores virtuales transparentes son compatibles con L2 (reescritura de MAC) para servidores en la misma subred que el SNIP.

  • VLAN etiquetada

  • Enrutamiento dinámico

  • MAC virtual

  • USIP

  • Tramas Jumbo

• Si los usuarios creen que es posible que tengan que apagar y desasignar temporalmente la máquina virtual Citrix ADC VPX en algún momento, deben asignar una dirección IP interna estática al crear la máquina virtual. Si no asignan una dirección IP interna estática, Azure podría asignar a la máquina virtual una dirección IP diferente cada vez que se reinicie, y la máquina virtual podría volverse inaccesible.

• En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.

• Si se utiliza una instancia de Citrix ADC VPX con un número de modelo superior a VPX 3000, el rendimiento de la red podría no ser el mismo que el especificado por la licencia de la instancia. Sin embargo, otras características, como el rendimiento SSL y las transacciones SSL por segundo, podrían mejorar.

• El «ID de implementación» que genera Azure durante el aprovisionamiento de la máquina virtual no es visible para el usuario en ARM. Los usuarios no pueden utilizar el ID de implementación para implementar el dispositivo Citrix ADC VPX en ARM.

• La instancia de Citrix ADC VPX admite un rendimiento de 20 Mb/s y funciones de edición estándar cuando se inicializa.

• Para una implementación de XenApp y XenDesktop®, un servidor virtual VPN en una instancia VPX se puede configurar en los siguientes modos:

  • Modo básico, donde el parámetro del servidor virtual VPN ICAOnly está configurado en ON. El modo básico funciona completamente en una instancia de Citrix ADC VPX sin licencia.

  • Modo Smart-Access, donde el parámetro del servidor virtual VPN ICAOnly está configurado en OFF. El modo Smart-Access funciona solo para 5 usuarios de sesión AAA de NetScaler en una instancia de Citrix ADC VPX sin licencia.

Nota:

Para configurar la función Smart Control, los usuarios deben aplicar una licencia Premium a la instancia de Citrix ADC VPX.

Modelos y licencias compatibles con Azure-VPX

En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.

Una instancia de Citrix ADC VPX en Azure requiere una licencia. Las siguientes opciones de licencia están disponibles para las instancias de Citrix ADC VPX que se ejecutan en Azure. Los usuarios pueden elegir uno de estos métodos para licenciar los Citrix ADC aprovisionados por Citrix ADM:

• Uso de licencias ADC presentes en Citrix ADM: Configure la capacidad agrupada, las licencias VPX o las licencias de CPU virtuales al crear el grupo de escalado automático™. Así, cuando se aprovisiona una nueva instancia para un grupo de escalado automático, el tipo de licencia ya configurado se aplica automáticamente a la instancia aprovisionada.

  • Capacidad agrupada: Asigna ancho de banda a cada instancia aprovisionada en el grupo de escalado automático. Asegúrese de que los usuarios tengan el ancho de banda necesario disponible en Citrix ADM para aprovisionar nuevas instancias. Para obtener más información, consulte: Configurar capacidad agrupada.

  Cada instancia de ADC en el grupo de escalado automático extrae una licencia de instancia y el ancho de banda especificado del grupo.

  • Licencias VPX: Aplica las licencias VPX a las instancias recién aprovisionadas. Asegúrese de que los usuarios tengan el número necesario de licencias VPX disponibles en Citrix ADM para aprovisionar nuevas instancias.

  Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de Citrix ADM. Para obtener más información, consulte: Licencias de entrada y salida de Citrix ADC VPX.

  • Licencias de CPU virtuales: Aplica licencias de CPU virtuales a las instancias recién aprovisionadas. Esta licencia especifica el número de CPU a las que tiene derecho una instancia de Citrix ADC VPX. Asegúrese de que los usuarios tengan el número necesario de CPU virtuales en Citrix ADM para aprovisionar nuevas instancias.

Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de CPU virtual de Citrix ADM. Para obtener más información, consulte: Licencias de CPU virtuales de Citrix ADC.

Cuando las instancias aprovisionadas se destruyen o desaprovisionan, las licencias aplicadas se devuelven automáticamente a Citrix ADM.

Para supervisar las licencias consumidas, vaya a la página Redes > Licencias.

Uso de licencias de suscripción de Microsoft Azure: Configure las licencias de Citrix ADC disponibles en Azure Marketplace al crear el grupo de escalado automático. Así, cuando se aprovisiona una nueva instancia para el grupo de escalado automático, la licencia se obtiene de Azure Marketplace.

Imágenes de máquina virtual de Azure de Citrix ADC compatibles

Imágenes de máquina virtual de Azure de Citrix ADC compatibles para el aprovisionamiento

Utilice la imagen de máquina virtual de Azure que admita un mínimo de tres NIC. El aprovisionamiento de instancias de Citrix ADC VPX solo es compatible con las ediciones Premium y Advanced. Para obtener más información sobre los tipos de imágenes de máquinas virtuales de Azure, consulte: Tamaños de máquinas virtuales de uso general.

Los siguientes son los tamaños de VM recomendados para el aprovisionamiento:

• Standard_DS3_v2

• Standard_B2ms

• Standard_DS4_v2

Directrices de uso de puertos

Los usuarios pueden configurar más reglas de entrada y salida en NSG al crear la instancia de NetScaler VPX™ o después de aprovisionar la máquina virtual. Cada regla de entrada y salida está asociada a un puerto público y un puerto privado.

Antes de configurar las reglas de NSG, tenga en cuenta las siguientes directrices sobre los números de puerto que los usuarios pueden usar:

1. La instancia de NetScaler VPX reserva los siguientes puertos. Los usuarios no pueden definirlos como puertos privados al usar la dirección IP pública para solicitudes desde Internet. Puertos 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Sin embargo, si los usuarios desean que los servicios orientados a Internet, como el VIP, utilicen un puerto estándar (por ejemplo, el puerto 443), deben crear una asignación de puertos mediante el NSG. El puerto estándar se asigna entonces a un puerto diferente que está configurado en el Citrix ADC VPX para este servicio VIP. Por ejemplo, un servicio VIP podría estar ejecutándose en el puerto 8443 en la instancia de VPX, pero estar asignado al puerto público 443. Así, cuando el usuario accede al puerto 443 a través de la IP pública, la solicitud se dirige al puerto privado 8443.

2. La dirección IP pública no admite protocolos en los que la asignación de puertos se abre dinámicamente, como FTP pasivo o ALG.

3. La alta disponibilidad no funciona para el tráfico que utiliza una dirección IP pública (PIP) asociada a una instancia de VPX, en lugar de un PIP configurado en el equilibrador de carga de Azure. Para obtener más información, consulte: Configurar una configuración de alta disponibilidad con una única dirección IP y una única NIC.

4. En una implementación de NetScaler Gateway, los usuarios no necesitan configurar una dirección SNIP, ya que la NSIP se puede usar como SNIP cuando no hay ninguna SNIP configurada. Los usuarios deben configurar la dirección VIP utilizando la dirección NSIP y un número de puerto no estándar. Para la configuración de devolución de llamada en el servidor back-end, el número de puerto VIP debe especificarse junto con la URL VIP (por ejemplo, url: puerto).

   Nota:

   • En Azure Resource Manager, una instancia de Citrix ADC VPX está asociada a dos direcciones IP: una dirección IP pública (PIP) y una dirección IP interna. Mientras que el tráfico externo se conecta a la PIP, la dirección IP interna o la NSIP no son enrutables. Para configurar un VIP en VPX, utilice la dirección IP interna (NSIP) y cualquiera de los puertos libres disponibles. No utilice la PIP para configurar un VIP.

   • Por ejemplo, si la NSIP de una instancia de Citrix ADC VPX es 10.1.0.3 y un puerto libre disponible es 10022, los usuarios pueden configurar un VIP proporcionando la combinación 10.1.0.3:10022 (dirección NSIP + puerto).