Intégration des règles Snort

August 20, 2021

Contributeur:

Avec les attaques malveillantes sur les applications Web, il est important de protéger votre réseau interne. Les données malveillantes affectent non seulement vos applications Web au niveau de l’interface, mais les paquets malveillants atteignent également la couche d’application. Pour surmonter ces attaques, il est important de configurer un système de détection et de prévention des intrusions qui examine votre réseau interne.

Les Snort规则中得到integrees l 'appliance pour examiner les attaques malveillantes dans les paquets de données au niveau de la couche d’application. Vous pouvez télécharger les règles de snort et les convertir en règles de signature WAF. Les signatures ont une configuration basée sur des règles qui peut détecter les activités malveillantes telles que les attaques DOS, les dépassements de tampon, les analyses de ports furtifs, les attaques CGI, les sondes SMB et les tentatives d’empreintes digitales du système d’exploitation. En intégrant les règles Snort, vous pouvez renforcer votre solution de sécurité au niveau de l’interface et au niveau de l’application.

Configurer les règles de snort

La configuration commence par télécharger d’abord les règles Snort, puis les importer dans les règles de signature WAF. Une fois les règles converties en signatures WAF, elles peuvent être utilisées comme contrôles de sécurité WAF. Les règles de signature basées sur le snort examinent le paquet de données entrant pour détecter s’il y a des attaques malveillantes sur votre réseau.

Un nouveau paramètre, « VendorType » est ajouté à la commande import pour convertir les règles Snort en signatures WAF.

Le paramètre « VendorType » est défini sur SNORT uniquement pour les règles Snort.

Télécharger les règles de snort à l’aide de l’interface de commande

Vous pouvez télécharger les règles Snort en tant que fichier texte à partir de l’URL ci-dessous :

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Importer des règles de snort à l’aide de l’interface de commande

Après avoir téléchargé, vous pouvez importer les règles Snort dans votre appliance.

À l’invite de commandes, tapez :

import appfw signatures [-xslt ] [-comment ] [-overwrite] [-merge [-preservedefactions]] [-sha1 ] [-VendorType Snort]

Exemple :

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

Arguments :

Src. URL (protocole, hôte, chemin d’accès et nom de fichier) pour l’emplacement où stocker l’objet signatures importé.

Remarque :

L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès. Argument obligatoire de longueur maximale : 2047

Nom. Nom à attribuer à l’objet signatures sur Citrix ADC. Argument obligatoire de longueur maximale : 31

Commentaire. Description de la façon de conserver les informations sur l’objet signatures. Longueur maximale : 255 écrasement. Remplacer tout objet signatures existant du même nom.

Fusionner. Fusionne la signature existante avec de nouvelles règles de signature.

Preservedefactions. Conserve les actions de déf des règles de signature.

VendorType. Fournisseur tiers pour générer les signatures WAF. Valeurs possibles : Snort.

Configurer les règles de snort à l’aide de l’interface graphique Citrix ADC

La configuration de l’interface graphique pour les règles Snort est similaire à la configuration d’autres scanners d’applications Web externes comme Cenzic, Qualys, Whitehat.

Suivez les étapes ci-dessous pour configurer Snort :

Accédez àConfiguration > Sécurité > Citrix Web App Firewall > Signatures.
Dans la pageSignatures, cliquez surAjouter.
Dans la pageAjouter des signatures, définissez les paramètres suivants pour configurer les règles Snort.
1. File format. Sélectionnez le format de fichier comme externe.
2. Importer à partir de. Sélectionnez l’option d’importation en tant que fichier Snort ou URL pour entrer l’URL.
3. Snort V3 Vendor. Activez la case à cocher pour importer les règles Snort à partir d’un fichier ou d’une URL.
Cliquez surOuvrir.
L’appliance importe les règles Snort en tant que règles de signature WAF basées sur le snort.
Il est recommandé d’utiliser des actions de filtrage pour activer les règles de reniement que vous préférez importer en tant que règles de signature WAF sur l’appliance.
Pour confirmer, cliquez surYes.
Les règles sélectionnées sont activées sur l’appliance.
Cliquez surOK.

La version officielle de ce document est en anglais. Certains contenus de la documentation Citrix ont été traduits de façon automatique à des fins pratiques uniquement. Citrix n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Citrix à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Citrix, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Citrix ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Intégration des règles Snort

August 20, 2021

Contributeur:

August 20, 2021

Contributeur:

Dans cet article

Configurer les règles de snort

Cela vous a-t-il été utile ?