F5 Big IP. Uso de ASM

Activar ASM en un virtual Server

Provisionar ASM

Antes de  comenzar con la guía, necesitamos provisionar ASM. En nuestro caso, vamos a optar por una provisión nominal para ASM y LTM.

System  ›  Resource Provisioning
Crear el virtual server
Local Traffic  ››  Virtual Servers : Virtual Server List  ››  VS_http_asm
Después de crear el virtual server con ip, puerto y perfil de http (http)
Crear Security policy
Application Security  ››  Deployment Wizard : Select Local Traffic Deployment Scenario
Escogemos un virtual server ya existente (el del apartado anterior). Esto ya crea su perfil de http_class y lo asigna al servidor (o servidores escogidos).
Nota: la guía de F5 especifica haber creado antes una clase http_class. En la versión 11.2.1, no nos ha funcionado. De hecho, no permite escoger el servidor si ya tiene un http_class activado. Por ello, hemos ignorado en estos puntos la guía, y hemos comenzado con la política de seguridad antes de la classe http_class.
Para ver el comportamiento de ASM:
Application Security  ››  Reporting : Requests
Si queremos ver tanto el log de peticiones ilegales, como de las peticiones buenas, es necesario activar en la propia política, el log.
Application Security  ››  Policy : Policy : Properties >> Logging profile
Para elegir en la política qué bloquear:
Cuando la politica ya está guardada, es posible acceder a la configuración de qué hacer (bloquear o no)  los distintos errores que detecta ASM.
Application Security  ››  Policy : Blocking : Settings

F5. Uso de api de Icontrol en poweshell

Es necesario descargar de la página de devcentral el componente iControlSnapInSetup.msi.

Tras el instalador, se abre power shell y se cambia la política de ejecución de Powershell como mínimo a RemoteSigned.

PS C:\Program Files> Set-ExecutionPolicy RemoteSigned

Se registra el componente en la consola de powershell, para poder usar sus llamadas. Para windows de 32 bits:

PS C:\Program Files> cd “C:\Program Files (x86)\F5 Networks\iControlSnapIn

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> .\setupSnapIn.ps1

En windows de 64 bits, hace falta copiar el archivo de 64 bits a mano. Por alguna razón el instalador por defecto no funciona. (Más información)

Si todo ha ido correcto, aparecerá en el listado de Componentes de powershell:

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Get-PSSnapin

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Get-PSSnapin -registered

Para borrar un snapin:

PS C:\Program Files (x86)\F5 Networks\iControlSnapIn> Remove-PSSnapin -name iControlSnapIn