Erstellen von Web App Firewall-Profilen

Sie können ein Web App Firewall-Profil auf zwei Arten erstellen: über die Befehlszeile und über die GUI. Das Erstellen eines Profils mit der Befehlszeile erfordert, dass Sie Optionen in der Befehlszeile angeben. Der Prozess ähnelt demKonfigurieren eines Profils, und mit wenigen Ausnahmen nehmen die beiden Befehle dieselben Parameter an.

Hinweis:

Ab Version 13.1 Build 33.x ist ein neuer Typ eines Web App Firewall-Standardprofils verfügbar, das als Kernprofil bezeichnet wird. Das Kernprofil enthält eingeschränkte, aber grundlegende Sicherheitsüberprüfungen, die standardmäßig aktiviert sind, während bei den Basisprofilen und erweiterten Profilen viele andere Sicherheitsüberprüfungen standardmäßig aktiviert sind. Das Kernprofil enthält die folgenden Sicherheitsüberprüfungen:

• Grammatikbasierte SQL-Einschleusung
• Grammatikbasierte CMD-Einschleusung
• XSS
• Pufferüberlauf
• Keywords blockieren

Geben Sie beim Erstellen eines Profils eine der drei Optionen an: Basic, Advanced oder Core (Core-Option ist in Build 33.x und höher verfügbar). Die Standardkonfiguration für die verschiedenen Sicherheitsüberprüfungen und -einstellungen, die Teil dieses Profils sind, wird angewendet. Sie können optional auch einen Kommentar hinzufügen. Nachdem Sie das Profil erstellt haben, müssen Sie es dann konfigurieren, indem Sie es im Datenbereich auswählen und dann aufBearbeitenklicken。

Wenn Sie vorhaben, die Lernfunktion zu verwenden oder viele erweiterte Schutzmaßnahmen zu aktivieren und zu konfigurieren, müssen Sie erweiterte Standardeinstellungen wählen. Insbesondere wenn Sie planen, eine der SQL-Einschleusungstests, eine der Cross-Site-Scriptingprüfungen, jede Überprüfung, die Schutz vor Webformular-Angriffen bietet, oder die Cookie-Konsistenzprüfung zu konfigurieren, müssen Sie planen, die Lernfunktion zu verwenden. Sofern Sie bei der Konfiguration dieser Prüfungen nicht die richtigen Ausnahmen für Ihre geschützten Websites angeben, können diese den legitimen Datenverkehr blockieren. Es ist schwierig, alle Ausnahmen zu antizipieren, ohne zu breit gefächerte Ausnahmen zu schaffen. Die Lernfunktion erleichtert diese Aufgabe erheblich. Andernfalls sind die grundlegenden Standardeinstellungen schnell und müssen den Schutz bieten, den Ihre Webanwendungen benötigen.

Es gibt drei Profiltypen:

• HTML.Schützt Standard-HTML-basierte Websites.
• XML.Schützt XML-basierte Webdienste und Websites.
• Web 2.0 (HTML-XML).Schützt Websites, die sowohl HTML- als auch XML-Elemente enthalten, wie ATOM-Feeds, Blogs und RSS-Feeds.

Es gibt auch ein paar Einschränkungen für den Namen, den Sie einem Profil geben können. Ein Profilname darf nicht mit dem Namen übereinstimmen, der einem anderen Profil oder einer anderen Aktion in einer Funktion der NetScaler Appliance zugewiesen wurde. Bestimmte Aktions- oder Profilnamen werden integrierten Aktionen oder Profilen zugewiesen und können niemals für Benutzerprofile verwendet werden. Eine vollständige Liste der nicht zulässigen Namen finden Sie in denzusätzlichen Informationen zumWeb App Firewall-Profil. Wenn Sie versuchen, ein Profil mit einem Namen zu erstellen, der bereits für eine Aktion oder ein Profil verwendet wurde, wird eine Fehlermeldung angezeigt, und das Profil wird nicht erstellt.

So erstellen Sie ein Web App Firewall-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

• add appfw profile [-defaults ( basic | advanced | core)]
• set appfw profile -type ( HTML | XML | HTML XML )
• set appfw profile -comment ""
• save ns config

Beispiel

Im folgenden Beispiel wird ein Profil mit dem Namenpr-basicmit grundlegenden Standardeinstellungen hinzugefügt und der Profiltyp HTML zugewiesen. Dies ist die geeignete Erstkonfiguration für ein Profil zum Schutz einer HTML-Website.

add appfw profile pr-basic -defaults basic -comment "Simple profile for websites." set appfw profile pr-basic -type HTML save ns config 

So erstellen Sie ein Web App Firewall-Profil mit der GUI

Führen Sie das folgende Verfahren aus, um ein Web App Firewall-Profil zu erstellen:

1. Navigieren Sie zuSicherheit > Citrix Web App Firewall > Profile.
2. Klicken Sie im Detailbereich aufHinzufügen.

3. Legen Sie auf der Seite“Web App Firewall-Profil erstellen“ die folgenden grundlegenden Parameter fest:

   1. Name
   2. Profiltyp
   3. Anmerkungen
   4. Standardwerte
   5. Beschreibung
4. Klicken Sie aufOK.
5. Wählen Sie das von Ihnen erstellte Profil aus und klicken Sie aufBearbeiten.

6. Führen Sie im AbschnittErweiterte Einstellungendie folgenden Konfigurationen aus:

   1. Sicherheitschecks
   2. Profil-Einstellungen
   3. Dynamische Profilerstellung
   4. Regeln für Entspannung
   5. Regeln verweigern
   6. Gelernte Regel
   7. Erweiterte Protokollierung

   

7. Wählen Sie im AbschnittSicherheitsüberprüfungeneinen Sicherheitsschutz aus und klicken Sie aufAktionseinstellungen.

8. Legen Sie auf der Seite “Sicherheitsprüfung” die Parameter fest.

   Hinweis:

   Die EinstellungAktive Regelist nur für die Überprüfung vonHTML SQL Injectionverfügbar, um eine Entspannungsregel oder eine Verweigerungsregel für die SQL-Injection-P Weitere Informationen finden Sie unter ThemaEntspannungs- und Verweigerungsregeln.

9. Klicken Sie aufOKundSchließen.

10. Legen Sie im AbschnittProfileinstellungendie Profilparameter fest. Weitere Informationen finden Sie unterKonfigurieren der Einstellungen des Web App Firewall-Profils.
11. Wählen Sie im AbschnittDynamische Profilerstellungeine Sicherheitsprüfung aus, um dynamische Profileinstellungen hinzuzufügen. Weitere Informationen finden Sie unter ThemaDynamisches Profil.
12. Klicken Sie im AbschnittEntspannungsregelnaufBearbeiten, um eine Entspannungsregel für eine Sicherheitsprüfung hinzuzufügen. Weitere Informationen finden Sie unterEntspannungsregelfür Einzelheiten.
13. Fügen Sie im AbschnittRegeln ablehneneine Ablehnungsregel für die HTML-SQL-Injection-Prüfung hinzu. Weitere Informationen finden Sie unterRegeln für HTML-Ablehnung.
14. Legen Sie im AbschnittGelernte Regeldie Lerneinstellungen fest. Weitere Informationen finden Sie unterLearning von Web App Firewall.
15. Klicken Sie im AbschnittErweiterte ProtokollierungaufHinzufügen, um sensible Daten zu maskieren. Weitere Informationen finden Sie unter ThemaErweiterte Protokollierung.

16. Klicken Sie aufFertigund dann aufSchließen.

    

Konfigurieren von Regeln zum Erkennen gefälschter Konten

Die Erstellung eines gefälschten Kontos ist ein automatisierter Prozess zum Erstellen vieler Benutzerkonten, die nicht mit einer realen Person verknüpft sind, oder zum Erstellen von Benutzerkonten mit den Daten der realen Person ohne deren Zustimmung. Gefälschte Konten, die nicht legitime Benutzer erstellen, verwenden Registrierungsdetails, die nicht der wahren Identität einer Person entsprechen. Diese Konten werden erstellt, um Dienste, die von einer Webanwendung angeboten werden, für nicht legitime Zwecke wie Phishing-Angriffe, Verbreitung gefälschter Nachrichten, Scalping usw. zu missbrauchen. In den meisten Fällen werden diese Konten von Bots erstellt, die von böswilligen Benutzern ausgeführt werden.

Die Citrix ADC-Appliance wurde erweitert, um gefälschte Konten zu erkennen, indem Regeln zur Erkennung gefälschter Konten an ein Web App Firewall-Profil gebunden werden. Die Regel besteht aus Formular-URLs und Formularparametern für jede URL. Wenn eine eingehende Anfrage mit einem Ausdruck oder einer Formular-URL (Anmeldeseiten) übereinstimmt, die für eine Regel zur Erkennung gefälschter Konten konfiguriert ist, gilt die Auswertung für einen verdächtigen Anmeldeversuch und die Anforderungsdaten werden zur weiteren Überprüfung an den ADM-Server gesendet.

Führen Sie die folgenden Schritte aus, um die Erkennung gefälschter Konten mithilfe der Befehlsschnittstelle zu konfigurieren

1. Funktion苏珥Erkennung gefalschter Konten aktivieren
2. Regeln für gefälschte Konten binden

Funktion苏珥Erkennung gefalschter Konten aktivieren

Geben Sie in der Befehlszeile Folgendes ein:

add/set appfw profile -FakeAccountDetection ( ON | OFF )

Beispiel:

add appfw profile profile1 -FakeAccountDetection ON

Regeln für gefälschte Konten binden

Geben Sie in der Befehlszeile Folgendes ein:

bind appfw profile -FakeAccount (string|expression) isFieldNameRegex (ON|OFF) -tag ([-formUrl ]| [-formExpression )]) –state (ENABLED|DISABLED)

Hierbei gilt:

• formUrl: URL der HTTP-Formularaktion. formExpression: Zu bewertender Formausdruck.
• fakeaccount: Name des gefälschten Kontos. Tag: Tag-Ausdruck.
• isFieldNameRegex: Gibt an, ob fieldName Regex ist. Standardwert AUS.

Beispiel:

bind appfw profile profile1 -FakeAccount john -formURL “/signup.php" -tag "smith"bind appfw profile profile2 -FakeAccount Will -formExpression "HTTP.REQ.HEADER(\"Authorization\").CONTAINS(\"/test_accounts\").NOT && HTTP.REQ.URL.CONTAINS(\"/login.php\")" -fieldName -tag "smith"

Beispieleingabe für eine HTTP-Post-Anfrage zurexample.com-Anmeldeseite.

Konfigurieren der Regel zur Erkennung gefälschter Konten der Web App Firewall über die GUI

Führen Sie die folgenden Schritte aus, um die Regel zur Erkennung gefälschter Konten über die GUI zu konfigurieren.

1. Navigieren Sie zuKonfiguration>Sicherheit>Citrix Web App Firewall>Profil.
2. Wählen Sie ein Profil aus und klicken Sie aufBearbeiten.
3. Klicken Sie auf derProfilseite von Citrix Web App FirewallaufSicherheitsprüfungenaus denerweiterten Einstellungen.
4. Wählen Sie im AbschnittMit Citrix Cloud integrierte Prüfungeneine Regel für gefälschte Konten aus und klicken Sie aufBearbeiten.
5. Wählen Sie imAppFirewall-Schieberegler für gefälschte Kontobindungeine Regel zum Bearbeiten aus oder klicken Sie aufHinzufügen.

6. Legen Sie auf derRegelseite für gefälschte Kontendie folgenden Parameter fest:

   1. Aktiviert.Wählen Sie aus, um die Regel für gefälschte Konten zu aktivieren
   2. Falscher Kontoname. Name der Fake-Account-Regel.
   3. Etikett. Vorname im Formular zur Registrierung eines gefälschten Kontos.
   4. Ist Feldname Regex?Wählen Sie aus, ob das Formularfeld ein regulärer Ausdruck ist.
   5. Formular-Ausdruck. Regulärer Ausdruck, der das gefälschte Konto definiert.
   6. Formular-URL. Geben Sie die URL zur Erkennung gefälschter Konten ein
   7. Kommentare. Eine kurze Beschreibung der Regel zur Erkennung gefälschter Konten.
7. Klicken Sie aufErstellen.