Juni 2024
Autor:in des Beitrags
Arne
IT-Architekt
Veröffentlicht am
11.06.2024 von Arne
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Zwei kleine Security Features mit viel Auswirkung

NetScaler WAF für Citrix Gateway und IP Reputation

Wie wir alle wissen, setzt Citrix seit kurzem auf ein vollkommen überarbeitetes Lizenzangebot. Dabei wird für die aller meisten Citrix-Kunden die Universal Hybrid Multi-Cloud Lizenz die Wahl sein. Die HCM-Lizenz beinhaltet u.a. eine unlimitierte Anzahl an NetScaler-Instanzen mit dem kompletten Set an Features. Für mehr Informationen zu den neuen Lizenzen haben wir ein Whitepaper, das alles nochmal genau erklärt und aufschlüsselt.

Die Premium Features sind dabei für viele NetScaler-Kunden neu, da der Preis für diese oft zu hoch war und sich daher für die günstigeren Lizenzstufen entschieden wurde. Da mit der Umstellung nun aber alle Features zur Verfügung stehen, wollen wir in diesem Blog auf zwei kleine Security Features eingehen, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten können.

Web Application Firewall für VPN- und Authentication Virtual Servers

Die Web Application Firewall war früher ausschließlich der Premiumlizenz vorenthalten, bietet jedoch einen äußert umfänglichen Schutz für Web Applications, die über NetScaler bereitgestellt werden. Was dabei immer ausgenommen war, ist ein Schutz von NetScaler VPN- und Authentication Virtual Servern. Diese sind jedoch Teil von jedem Citrix Gateway Deployment und waren in den letzten Monaten und Jahren Opfer teils schwerwiegender Sicherheitslücken. Daher ist es umso erfreulicher, dass NetScaler ab den Builds 14.1 21.57 und 13.1 53.17 einen Schutz dieser VServer durch die WAF unterstützt. Und das sogar für alle Lizenztypen (Standard, Enterprise, Premium)!

Anders als bei sonstigen WAF-Deployments werden hierbei keine Signaturen verwendet, sondern API-Spezifikationen, die sicherstellen, dass alle Zugriffe auf die VServer den Vorgaben entsprechen. Diese sind Teil der Firmware, können aber auch separat aktualisiert werden.

Um dies zu konfigurieren, sind lediglich folgende Schritte notwendig:

1. AAA Settings aufrufen

2. WAF Protection aktivieren

Hierbei gibt es vier Optionen:

  • DISABLED -> Deaktiviert die WAF Protection
  • AUTH -> WAF Protection ausschließlich für AAA VServer
  • VPN -> WAF Protection ausschließlich für VPN VServer
  • AUTH and VPN -> WAF Protection für beide VServer-Typen

Anschließend ist der Schutz durch die Web Application Firewall aktiv.

Wichtig: Diese Einstellungen werden auf globaler Ebene vorgenommen und gelten daher für alle VPN- bzw. AAA VServer.

Geblockte Zugriffe können einfach über das ns.log oder auch über Syslog eingesehen werden:

Dieses Feature ist schnell konfiguriert, kann aber einen großen Einfluss auf die Sicherheit von jedem Citrix Gateway Deployment haben. Bei zukünftigen Schwachstellen von VPN- oder AAA VServern kann eine angepasste API-Spezifikation deutlich schneller eingespielt werden als ein komplettes Firmware Update.

IP Reputation

Das zweite Feature ist bereits lange im NetScaler vorhanden, wird jedoch nur selten verwendet. Wahrscheinlich auch, weil es ausschließlich in der Premium Lizenz enthalten ist.

Bei der IP Reputation geht es darum, bekannte, potenziell böse IP-Adressen zu erkennen und den Zugriff dieser auf unsere NetScaler zu unterbinden. Dabei arbeitet NetScaler mit dem Service Provider Webroot zusammen, der eine Datenbank zur Erkennung von z.B. Bot-Netzen, Spammern und weiteren schadhaften Source IP-Adressen zur Verfügung stellt.

Diese Datenbank ist innerhalb des NetScalers integriert und kann wie folgt verwendet werden:

  1. IP Reputation Settings aufrufen

2. IP Reputation Feature aktivieren

Um eine automatische Aktualisierung der Datenbank durchzuführen, muss die NSIP, bzw. in einem HA beide NSIPs, Zugriff auf mehrere Domains haben. Wenn dies in einer Umgebung über einen Proxy erfolgen soll, kann dieser ebenfalls in der Übersicht konfiguriert werden.

Folgende Domains müssen freigeschaltet sein:

  • *. amazonaws.com:443
  • api.bcti.brightcloud.com:443
  • localdb-ip-daily.brightcloud.com:443
  • localdb-ip-rtu.brightcloud.com:443
  • bcti.brightcloud.com:443
  • localdb-ipv6-daily.brightcloud.com:443
  • ipce-daily.brightcloud.com:443
  • ipce-rtu.brightcloud.com:443

Anschließend wird alle fünf Minuten auf eine Aktualisierung der Datenbank geprüft. Ob dies erfolgreich funktioniert, kann über die NetScaler Shell im iprep.log eingesehen werden:

3. Responder Policy

Die Datenbank können wir mittels der NetScaler Policy Expression abfragen. Dies kann z.B. durch folgende Responder Policy geschehen. Diese überprüft, ob die Source IP-Adresse in der Datenbank aufgeführt wird. Wenn dies zutrifft, wird der Zugriff dieser IP-Adresse gedropped.

Diese Expression prüft, ob die IP-Adresse generell als bösartig aufgeführt wird. Es gibt aber auch die Möglichkeit, einzelne Kategorien der Datenbank abzufragen. Dies kann über folgende Expression geschehen:

Da es aus der Erfahrung auch schon mal zu einem False-Positiv kommen kann, ist es empfehlenswert, ein Pattern Set als Whitelist anzulegen. Wenn es also doch mal zu einem fehlerhaften Drop kommt, kann die IP-Adresse schnell wieder freigegeben werden.

Damit die Responder Policy aktiviert wird, kann diese direkt an einen VServer gebunden werden, oder aber auch global für den kompletten NetScaler. Dies ist empfehlenswert, da somit alle Services des NetScaler geschützt werden.

Um geblockte Zugriffe über die Logs einzusehen, können wir zusätzlich eine Log Action innerhalb der Responder Policy anlegen. Diese schreibt ins ns.log oder über Syslog eine Message mit der geblockten Source IP-Adresse sowie der IP-Location.

Damit ist die Konfiguration von IP Reputation abgeschlossen. Auch dieses Feature ist schnell implementiert und kann dafür sorgen, dass potenzielle Angreifer erst gar nicht auf einen Service zugreifen können, der über NetScaler bereitgestellt wird.

Fazit

Abschließend kann man sagen, dass auch kleine Features, wie die vorgestellten, einen großen Einfluss auf die sichere Bereitstellung von Services über NetScaler haben können und das mit wenig administrativen Aufwand. Daher kann die Umstellung auf die neue Universal Hybrid Multi-Cloud echte Mehrwerte bieten.

Unsere Angebote

Optimierung

NetScaler as a Service

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Optimierung

NetScaler Migration

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Strategie und Beratung

PoC Azure Virtual Desktop

  • Wissenstransfer
  • Machbarkeit
  • Umsetzungsplan
Mehr Infos

Kontakt

Ihr persönlicher Ansprechpartner

Wir stehen Ihnen gerne zur Verfügung, um Ihre Fragen zu beantworten und Sie auf Ihrem Weg zu einer optimalen ADC-Lösung zu unterstützen.

MAXIMILIAN LEIMGRUBER | Team Lead Business Apps & KI und App Delivery

+49 89  71040920

maximilian@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Blogbeitrag

Citrix Long-Term Service Release 2402, jetzt mit CU1 Bug-Fix

In diesem Blog erfahren Sie, welche Mehrwerte das Citrix LTSR 2402 mitbringt und welcher Bug mit CU1 gefixt wurde.
Weiterlesen
Blogbeitrag

Änderungen bei der Lizenzüberwachung und Telemetrie von NetScaler und NetScaler-Console

Im letzten Jahr hat die Cloud Software Group im Bereich von Citrix die Erfassung von Telemetriedaten eingeführt. Ähnliches folgt nun auch im Bereich der NetScaler. Wär erklären, was jetzt zu tun ist!
Weiterlesen
Webinar

Webinar: Muss es denn immer gleich KI sein?

Kostenloses Webinar für IT-Entscheider*innen: Steigerung der Effizienz, Produktivität und Mitarbeiterzufriedenheit, im Spannungsfeld zwischen New Work, KI und Prozessautomatisierung.
Weiterlesen
Blogbeitrag

Wie Sie mit einem geregelten Prozess für Evergreening die Vorteile von Microsoft 365 optimal nutzen können

Wir zeigen, wie Sie mit Evergrenning Änderungen in Microsoft 365 optimal für Ihr Unternehmen nutzen können.
Weiterlesen
Blogbeitrag

Datenexfiltration in M365 mit Entra ID Conditional Access blockieren

In diesem Artikel taucht unser Experte in die Funktionen aus Conditional Access ein: “app enforced restrictions” und „Conditional Access App Control“ (CAAC).
Weiterlesen
Blogbeitrag

Startschuss für eine neue Geschäftsführung

Wir erweitern die Geschäftsführung und stellen unser neues Führungstrio vor.
Weiterlesen
Echt Ich

Echt Ich Christian

In ECHT ICH erfahrt ihr mehr über Christian, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus “ECHT ER” sein kann.
Weiterlesen
Blogbeitrag

M365 Compliance Whitepaper

In unserem Whitepaper nehmen wir die Bereiche Datenschutz und Compliance unter die Lupe und geben Ihnen wertvolle Handlungsempfehlungen.
Weiterlesen
Blogbeitrag

Microsoft Power Platform – ja oder nein?

Erfahren Sie, wie Sie die Vorteile und Risiken der Microsoft Power Platform abwägen und die beste Lösung für Ihre Anforderungen finden.
Weiterlesen
Blogbeitrag

M365 Compliance Quick-Assessment

Mit unserem Quick Assessment können Sie einige der typischen Fallstricke zu beleuchten im Themenkomplex „Compliance und Datenschutz und M365″.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter