Juni 2024
Autor:in des Beitrags
Arne
IT-Architekt
Veröffentlicht am
11.06.2024 von Arne
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Zwei kleine Security Features mit viel Auswirkung

NetScaler WAF für Citrix Gateway und IP Reputation

Wie wir alle wissen, setzt Citrix seit kurzem auf ein vollkommen überarbeitetes Lizenzangebot. Dabei wird für die aller meisten Citrix-Kunden die Universal Hybrid Multi-Cloud Lizenz die Wahl sein. Die HCM-Lizenz beinhaltet u.a. eine unlimitierte Anzahl an NetScaler-Instanzen mit dem kompletten Set an Features. Für mehr Informationen zu den neuen Lizenzen haben wir ein Whitepaper, das alles nochmal genau erklärt und aufschlüsselt.

Die Premium Features sind dabei für viele NetScaler-Kunden neu, da der Preis für diese oft zu hoch war und sich daher für die günstigeren Lizenzstufen entschieden wurde. Da mit der Umstellung nun aber alle Features zur Verfügung stehen, wollen wir in diesem Blog auf zwei kleine Security Features eingehen, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten können.

Web Application Firewall für VPN- und Authentication Virtual Servers

Die Web Application Firewall war früher ausschließlich der Premiumlizenz vorenthalten, bietet jedoch einen äußert umfänglichen Schutz für Web Applications, die über NetScaler bereitgestellt werden. Was dabei immer ausgenommen war, ist ein Schutz von NetScaler VPN- und Authentication Virtual Servern. Diese sind jedoch Teil von jedem Citrix Gateway Deployment und waren in den letzten Monaten und Jahren Opfer teils schwerwiegender Sicherheitslücken. Daher ist es umso erfreulicher, dass NetScaler ab den Builds 14.1 21.57 und 13.1 53.17 einen Schutz dieser VServer durch die WAF unterstützt. Und das sogar für alle Lizenztypen (Standard, Enterprise, Premium)!

Anders als bei sonstigen WAF-Deployments werden hierbei keine Signaturen verwendet, sondern API-Spezifikationen, die sicherstellen, dass alle Zugriffe auf die VServer den Vorgaben entsprechen. Diese sind Teil der Firmware, können aber auch separat aktualisiert werden.

Um dies zu konfigurieren, sind lediglich folgende Schritte notwendig:

1. AAA Settings aufrufen

2. WAF Protection aktivieren

Hierbei gibt es vier Optionen:

  • DISABLED -> Deaktiviert die WAF Protection
  • AUTH -> WAF Protection ausschließlich für AAA VServer
  • VPN -> WAF Protection ausschließlich für VPN VServer
  • AUTH and VPN -> WAF Protection für beide VServer-Typen

Anschließend ist der Schutz durch die Web Application Firewall aktiv.

Wichtig: Diese Einstellungen werden auf globaler Ebene vorgenommen und gelten daher für alle VPN- bzw. AAA VServer.

Geblockte Zugriffe können einfach über das ns.log oder auch über Syslog eingesehen werden:

Dieses Feature ist schnell konfiguriert, kann aber einen großen Einfluss auf die Sicherheit von jedem Citrix Gateway Deployment haben. Bei zukünftigen Schwachstellen von VPN- oder AAA VServern kann eine angepasste API-Spezifikation deutlich schneller eingespielt werden als ein komplettes Firmware Update.

IP Reputation

Das zweite Feature ist bereits lange im NetScaler vorhanden, wird jedoch nur selten verwendet. Wahrscheinlich auch, weil es ausschließlich in der Premium Lizenz enthalten ist.

Bei der IP Reputation geht es darum, bekannte, potenziell böse IP-Adressen zu erkennen und den Zugriff dieser auf unsere NetScaler zu unterbinden. Dabei arbeitet NetScaler mit dem Service Provider Webroot zusammen, der eine Datenbank zur Erkennung von z.B. Bot-Netzen, Spammern und weiteren schadhaften Source IP-Adressen zur Verfügung stellt.

Diese Datenbank ist innerhalb des NetScalers integriert und kann wie folgt verwendet werden:

  1. IP Reputation Settings aufrufen

2. IP Reputation Feature aktivieren

Um eine automatische Aktualisierung der Datenbank durchzuführen, muss die NSIP, bzw. in einem HA beide NSIPs, Zugriff auf mehrere Domains haben. Wenn dies in einer Umgebung über einen Proxy erfolgen soll, kann dieser ebenfalls in der Übersicht konfiguriert werden.

Folgende Domains müssen freigeschaltet sein:

  • *. amazonaws.com:443
  • api.bcti.brightcloud.com:443
  • localdb-ip-daily.brightcloud.com:443
  • localdb-ip-rtu.brightcloud.com:443
  • bcti.brightcloud.com:443
  • localdb-ipv6-daily.brightcloud.com:443
  • ipce-daily.brightcloud.com:443
  • ipce-rtu.brightcloud.com:443

Anschließend wird alle fünf Minuten auf eine Aktualisierung der Datenbank geprüft. Ob dies erfolgreich funktioniert, kann über die NetScaler Shell im iprep.log eingesehen werden:

3. Responder Policy

Die Datenbank können wir mittels der NetScaler Policy Expression abfragen. Dies kann z.B. durch folgende Responder Policy geschehen. Diese überprüft, ob die Source IP-Adresse in der Datenbank aufgeführt wird. Wenn dies zutrifft, wird der Zugriff dieser IP-Adresse gedropped.

Diese Expression prüft, ob die IP-Adresse generell als bösartig aufgeführt wird. Es gibt aber auch die Möglichkeit, einzelne Kategorien der Datenbank abzufragen. Dies kann über folgende Expression geschehen:

Da es aus der Erfahrung auch schon mal zu einem False-Positiv kommen kann, ist es empfehlenswert, ein Pattern Set als Whitelist anzulegen. Wenn es also doch mal zu einem fehlerhaften Drop kommt, kann die IP-Adresse schnell wieder freigegeben werden.

Damit die Responder Policy aktiviert wird, kann diese direkt an einen VServer gebunden werden, oder aber auch global für den kompletten NetScaler. Dies ist empfehlenswert, da somit alle Services des NetScaler geschützt werden.

Um geblockte Zugriffe über die Logs einzusehen, können wir zusätzlich eine Log Action innerhalb der Responder Policy anlegen. Diese schreibt ins ns.log oder über Syslog eine Message mit der geblockten Source IP-Adresse sowie der IP-Location.

Damit ist die Konfiguration von IP Reputation abgeschlossen. Auch dieses Feature ist schnell implementiert und kann dafür sorgen, dass potenzielle Angreifer erst gar nicht auf einen Service zugreifen können, der über NetScaler bereitgestellt wird.

Fazit

Abschließend kann man sagen, dass auch kleine Features, wie die vorgestellten, einen großen Einfluss auf die sichere Bereitstellung von Services über NetScaler haben können und das mit wenig administrativen Aufwand. Daher kann die Umstellung auf die neue Universal Hybrid Multi-Cloud echte Mehrwerte bieten.

Unsere Angebote

Optimierung

NetScaler as a Service

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Optimierung

NetScaler Migration

  • Beantragung
  • Freigabe
  • Automatisiertes Deployment
Mehr Infos
Strategie und Beratung

PoC Azure Virtual Desktop

  • Wissenstransfer
  • Machbarkeit
  • Umsetzungsplan
Mehr Infos

Kontakt

Ihr persönlicher Ansprechpartner

Wir stehen Ihnen gerne zur Verfügung, um Ihre Fragen zu beantworten und Sie auf Ihrem Weg zu einer optimalen ADC-Lösung zu unterstützen.

MAXIMILIAN LEIMGRUBER | Team Lead Business Apps & KI und App Delivery

+49 89  71040920

maximilian@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Whitepaper

Microsoft AVD und Windows 365 Cloud PC

Unser Whitepaper richtet sich an IT-Leiter, die Strategien zwischen On-Premises- und Cloud-Lösungen prüfen und zukunftsfähige Alternativen für ihr Unternehmen finden möchten.
Weiterlesen
Webinar

Webinar: Strategiewechsel im VDI-Segment? Citrix & Microsoft im Vergleich

Dieses Kostenlose Webinar richtet sich an IT-Entscheider & App-Virtualisierungs-Verantwortliche, die vor der Entscheidung stehen, ob ein Wechsel zu Microsoft AVD oder Windows 365 sinnvoll ist.
Weiterlesen
Blogbeitrag

Power Plattform ohne Center of Excellence – geht das überhaupt?

Unsere Expertin erklärt, wie Sie mit dem Center of Excellence die Nutzung und das Management der Power Platform verbessern.
Weiterlesen
Blogbeitrag

Kritische Sicherheitslücke bei NetScaler

NetScaler hat am Dienstag, den 12.11.2024 eine neue Sicherheitslücke der Kritikalität „High“ veröffentlicht. Kunden, die NetScaler im Einsatz haben, sollten jetzt tätig werden.
Weiterlesen
Whitepaper

Whitepaper – Azure Cost Management

In diesem Whitepaper zeigen wir Ihnen, wie Sie mit Azure Cost Management Ihre Cloud-Kosten effektiv steuern und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Weiterlesen
Blogbeitrag

Digitale Kundenberatung gemäß MiFID-II und FinVermV

Erfahren Sie, wie virtuelle Kundeninteraktionen kostensparend mit Microsoft-Boardmitteln optimiert und regulatorische Anforderungen mühelos erfüllt werden.
Weiterlesen
Blogbeitrag

Windows 365 Conditional Access Deep-Dive

Unser Experte Julian Sperling troubleshootet Windows 365 Single Sign On (SSO).
Weiterlesen
Whitepaper

Erstellen einer KI-Nutzungsrichtlinie

Unsere Leitlinie dient als Vorlage zur Erarbeitung einer unternehmensspezifischen KI-Nutzungsrichtlinie.
Weiterlesen
Blogbeitrag

Citrix Netscaler Freemium-Version: Premium Features des NetScalers kostenfrei nutzen

Unser Experte befasst sich mit den Vor- und Nachteilen der NetScaler Freemium-Version stellt Alternativen vor, um Ihnen bei der Entscheidungsfindung zu helfen.
Weiterlesen
Webinar

Mit NetScaler & Infrastructure as Code Citrix-Lizenzen ausschöpfen

Kostenfreies Webinar für IT-Entscheider, die das Beste aus Ihren NetScaler-Lizenzen herausholen wollen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter