Juni 2024
Autor:in des Beitrags
Arne
IT-Architekt
Veröffentlicht am
11.06.2024 von Arne
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Zwei kleine Security Features mit viel Auswirkung

NetScaler WAF für Citrix Gateway und IP Reputation

Wie wir alle wissen, setzt Citrix seit kurzem auf ein vollkommen überarbeitetes Lizenzangebot. Dabei wird für die aller meisten Citrix-Kunden die Universal Hybrid Multi-Cloud Lizenz die Wahl sein. Die HCM-Lizenz beinhaltet u.a. eine unlimitierte Anzahl an NetScaler-Instanzen mit dem kompletten Set an Features. Für mehr Informationen zu den neuen Lizenzen haben wir ein Whitepaper, das alles nochmal genau erklärt und aufschlüsselt.

Die Premium Features sind dabei für viele NetScaler-Kunden neu, da der Preis für diese oft zu hoch war und sich daher für die günstigeren Lizenzstufen entschieden wurde. Da mit der Umstellung nun aber alle Features zur Verfügung stehen, wollen wir in diesem Blog auf zwei kleine Security Features eingehen, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten können.

Web Application Firewall für VPN- und Authentication Virtual Servers

Die Web Application Firewall war früher ausschließlich der Premiumlizenz vorenthalten, bietet jedoch einen äußert umfänglichen Schutz für Web Applications, die über NetScaler bereitgestellt werden. Was dabei immer ausgenommen war, ist ein Schutz von NetScaler VPN- und Authentication Virtual Servern. Diese sind jedoch Teil von jedem Citrix Gateway Deployment und waren in den letzten Monaten und Jahren Opfer teils schwerwiegender Sicherheitslücken. Daher ist es umso erfreulicher, dass NetScaler ab den Builds 14.1 21.57 und 13.1 53.17 einen Schutz dieser VServer durch die WAF unterstützt. Und das sogar für alle Lizenztypen (Standard, Enterprise, Premium)!

Anders als bei sonstigen WAF-Deployments werden hierbei keine Signaturen verwendet, sondern API-Spezifikationen, die sicherstellen, dass alle Zugriffe auf die VServer den Vorgaben entsprechen. Diese sind Teil der Firmware, können aber auch separat aktualisiert werden.

Um dies zu konfigurieren, sind lediglich folgende Schritte notwendig:

1. AAA Settings aufrufen

2. WAF Protection aktivieren

Hierbei gibt es vier Optionen:

  • DISABLED -> Deaktiviert die WAF Protection
  • AUTH -> WAF Protection ausschließlich für AAA VServer
  • VPN -> WAF Protection ausschließlich für VPN VServer
  • AUTH and VPN -> WAF Protection für beide VServer-Typen

Anschließend ist der Schutz durch die Web Application Firewall aktiv.

Wichtig: Diese Einstellungen werden auf globaler Ebene vorgenommen und gelten daher für alle VPN- bzw. AAA VServer.

Geblockte Zugriffe können einfach über das ns.log oder auch über Syslog eingesehen werden:

Dieses Feature ist schnell konfiguriert, kann aber einen großen Einfluss auf die Sicherheit von jedem Citrix Gateway Deployment haben. Bei zukünftigen Schwachstellen von VPN- oder AAA VServern kann eine angepasste API-Spezifikation deutlich schneller eingespielt werden als ein komplettes Firmware Update.

IP Reputation

Das zweite Feature ist bereits lange im NetScaler vorhanden, wird jedoch nur selten verwendet. Wahrscheinlich auch, weil es ausschließlich in der Premium Lizenz enthalten ist.

Bei der IP Reputation geht es darum, bekannte, potenziell böse IP-Adressen zu erkennen und den Zugriff dieser auf unsere NetScaler zu unterbinden. Dabei arbeitet NetScaler mit dem Service Provider Webroot zusammen, der eine Datenbank zur Erkennung von z.B. Bot-Netzen, Spammern und weiteren schadhaften Source IP-Adressen zur Verfügung stellt.

Diese Datenbank ist innerhalb des NetScalers integriert und kann wie folgt verwendet werden:

  1. IP Reputation Settings aufrufen

2. IP Reputation Feature aktivieren

Um eine automatische Aktualisierung der Datenbank durchzuführen, muss die NSIP, bzw. in einem HA beide NSIPs, Zugriff auf mehrere Domains haben. Wenn dies in einer Umgebung über einen Proxy erfolgen soll, kann dieser ebenfalls in der Übersicht konfiguriert werden.

Folgende Domains müssen freigeschaltet sein:

  • *. amazonaws.com:443
  • api.bcti.brightcloud.com:443
  • localdb-ip-daily.brightcloud.com:443
  • localdb-ip-rtu.brightcloud.com:443
  • bcti.brightcloud.com:443
  • localdb-ipv6-daily.brightcloud.com:443
  • ipce-daily.brightcloud.com:443
  • ipce-rtu.brightcloud.com:443

Anschließend wird alle fünf Minuten auf eine Aktualisierung der Datenbank geprüft. Ob dies erfolgreich funktioniert, kann über die NetScaler Shell im iprep.log eingesehen werden:

3. Responder Policy

Die Datenbank können wir mittels der NetScaler Policy Expression abfragen. Dies kann z.B. durch folgende Responder Policy geschehen. Diese überprüft, ob die Source IP-Adresse in der Datenbank aufgeführt wird. Wenn dies zutrifft, wird der Zugriff dieser IP-Adresse gedropped.

Diese Expression prüft, ob die IP-Adresse generell als bösartig aufgeführt wird. Es gibt aber auch die Möglichkeit, einzelne Kategorien der Datenbank abzufragen. Dies kann über folgende Expression geschehen:

Da es aus der Erfahrung auch schon mal zu einem False-Positiv kommen kann, ist es empfehlenswert, ein Pattern Set als Whitelist anzulegen. Wenn es also doch mal zu einem fehlerhaften Drop kommt, kann die IP-Adresse schnell wieder freigegeben werden.

Damit die Responder Policy aktiviert wird, kann diese direkt an einen VServer gebunden werden, oder aber auch global für den kompletten NetScaler. Dies ist empfehlenswert, da somit alle Services des NetScaler geschützt werden.

Um geblockte Zugriffe über die Logs einzusehen, können wir zusätzlich eine Log Action innerhalb der Responder Policy anlegen. Diese schreibt ins ns.log oder über Syslog eine Message mit der geblockten Source IP-Adresse sowie der IP-Location.

Damit ist die Konfiguration von IP Reputation abgeschlossen. Auch dieses Feature ist schnell implementiert und kann dafür sorgen, dass potenzielle Angreifer erst gar nicht auf einen Service zugreifen können, der über NetScaler bereitgestellt wird.

Fazit

Abschließend kann man sagen, dass auch kleine Features, wie die vorgestellten, einen großen Einfluss auf die sichere Bereitstellung von Services über NetScaler haben können und das mit wenig administrativen Aufwand. Daher kann die Umstellung auf die neue Universal Hybrid Multi-Cloud echte Mehrwerte bieten.

Unsere Angebote

Optimierung

NetScaler as a Service

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Optimierung

NetScaler Migration

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Strategie und Beratung

PoC Azure Virtual Desktop

  • Wissenstransfer
  • Machbarkeit
  • Umsetzungsplan
Mehr Infos

Kontakt

Ihr persönlicher Ansprechpartner

Wir stehen Ihnen gerne zur Verfügung, um Ihre Fragen zu beantworten und Sie auf Ihrem Weg zu einer optimalen ADC-Lösung zu unterstützen.

MAXIMILIAN LEIMGRUBER | Team-Lead Projects Cloud

+49 89  71040920

maximilian@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Webinar

Webinar: Neue Lizenzmodelle bei Citrix

Im Webinar informieren Sie unsere Experten über die aktuellen Lizenzänderungen bei Citrix und NetScaler.
Weiterlesen
Whitepaper

Whitepaper – KI-ready

In unserem Whitepaper erhalten Sie einen Überblick über die Herausforderungen, welche die Künstlicher Intelligenz mit sich bringt.
Weiterlesen
Blogbeitrag

Bereitstellung Elastic Stack und Anbindung der NetScaler Syslogs

In diesem Teil steht der Elastic Stack auf dem Plan – Kibana, Elasticsearch und Logstash stehen in den Startlöchern.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution

Wir sind dabei und freuen uns auf den spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Blogbeitrag

KI-Nutzungsrichtlinie: So nutzen Sie KI sicher und compliant

Erfahren Sie, wie Sie eine KI-Nutzungsrichtlinie erstellen können, und Ihre Daten und die Daten Ihrer Kunden zu schützen.
Weiterlesen
Blogbeitrag

Voraussetzungen für den effizienten Einsatz von KI im Unternehmen

Erhalten Sie einen Überblick über die wichtigsten Voraussetzungen, die Sie erfüllen müssen, um KI in Ihrem Unternehmen einzuführen.
Weiterlesen
Echt Ich

Echt Ich Katharina

In ECHT ICH erfahrt ihr mehr über Katharina, ihren Arbeitsalltag, ihre Hobbys und warum sie bei Provectus “ECHT Sie” sein kann.
Weiterlesen
Blogbeitrag

New Teams VDI

Mit der neuen Teams-Version hat sich nicht nur das Design geändert, sondern auch die Installationsroutine. Wir klären auf!
Weiterlesen
Blogbeitrag

KI statt Excel

Entdecken Sie die Vorteile von cloud-basierten Datenbanken und KI-gestützten Datenflüssen für die Automatisierung Ihrer Geschäftsprozesse.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter