NetScaler WAF für Citrix Gateway und IP Reputation

Wie wir alle wissen, setzt Citrix seit kurzem auf ein vollkommen überarbeitetes Lizenzangebot. Dabei wird für die aller meisten Citrix-Kunden die Universal Hybrid Multi-Cloud Lizenz die Wahl sein. Die HCM-Lizenz beinhaltet u.a. eine unlimitierte Anzahl an NetScaler-Instanzen mit dem kompletten Set an Features. Für mehr Informationen zu den neuen Lizenzen haben wir ein Whitepaper, das alles nochmal genau erklärt und aufschlüsselt.

Die Premium Features sind dabei für viele NetScaler-Kunden neu, da der Preis für diese oft zu hoch war und sich daher für die günstigeren Lizenzstufen entschieden wurde. Da mit der Umstellung nun aber alle Features zur Verfügung stehen, wollen wir in diesem Blog auf zwei kleine Security Features eingehen, die für viele NetScaler Deployments einen Mehrwert hinsichtlich Security bieten können.

Web Application Firewall für VPN- und Authentication Virtual Servers

Die Web Application Firewall war früher ausschließlich der Premiumlizenz vorenthalten, bietet jedoch einen äußert umfänglichen Schutz für Web Applications, die über NetScaler bereitgestellt werden. Was dabei immer ausgenommen war, ist ein Schutz von NetScaler VPN- und Authentication Virtual Servern. Diese sind jedoch Teil von jedem Citrix Gateway Deployment und waren in den letzten Monaten und Jahren Opfer teils schwerwiegender Sicherheitslücken. Daher ist es umso erfreulicher, dass NetScaler ab den Builds 14.1 21.57 und 13.1 53.17 einen Schutz dieser VServer durch die WAF unterstützt. Und das sogar für alle Lizenztypen (Standard, Enterprise, Premium)!

Anders als bei sonstigen WAF-Deployments werden hierbei keine Signaturen verwendet, sondern API-Spezifikationen, die sicherstellen, dass alle Zugriffe auf die VServer den Vorgaben entsprechen. Diese sind Teil der Firmware, können aber auch separat aktualisiert werden.

Um dies zu konfigurieren, sind lediglich folgende Schritte notwendig:

1. AAA Settings aufrufen

2. WAF Protection aktivieren

Hierbei gibt es vier Optionen:

• DISABLED -> Deaktiviert die WAF Protection
• AUTH -> WAF Protection ausschließlich für AAA VServer
• VPN -> WAF Protection ausschließlich für VPN VServer
• AUTH and VPN -> WAF Protection für beide VServer-Typen

Anschließend ist der Schutz durch die Web Application Firewall aktiv.

Wichtig: Diese Einstellungen werden auf globaler Ebene vorgenommen und gelten daher für alle VPN- bzw. AAA VServer.

Geblockte Zugriffe können einfach über das ns.log oder auch über Syslog eingesehen werden:

Dieses Feature ist schnell konfiguriert, kann aber einen großen Einfluss auf die Sicherheit von jedem Citrix Gateway Deployment haben. Bei zukünftigen Schwachstellen von VPN- oder AAA VServern kann eine angepasste API-Spezifikation deutlich schneller eingespielt werden als ein komplettes Firmware Update.

IP Reputation

Das zweite Feature ist bereits lange im NetScaler vorhanden, wird jedoch nur selten verwendet. Wahrscheinlich auch, weil es ausschließlich in der Premium Lizenz enthalten ist.

Bei der IP Reputation geht es darum, bekannte, potenziell böse IP-Adressen zu erkennen und den Zugriff dieser auf unsere NetScaler zu unterbinden. Dabei arbeitet NetScaler mit dem Service Provider Webroot zusammen, der eine Datenbank zur Erkennung von z.B. Bot-Netzen, Spammern und weiteren schadhaften Source IP-Adressen zur Verfügung stellt.

Diese Datenbank ist innerhalb des NetScalers integriert und kann wie folgt verwendet werden:

1. IP Reputation Settings aufrufen

2. IP Reputation Feature aktivieren

Um eine automatische Aktualisierung der Datenbank durchzuführen, muss die NSIP, bzw. in einem HA beide NSIPs, Zugriff auf mehrere Domains haben. Wenn dies in einer Umgebung über einen Proxy erfolgen soll, kann dieser ebenfalls in der Übersicht konfiguriert werden.

Folgende Domains müssen freigeschaltet sein:

• *. amazonaws.com:443
• api.bcti.brightcloud.com:443
• localdb-ip-daily.brightcloud.com:443
• localdb-ip-rtu.brightcloud.com:443
• bcti.brightcloud.com:443
• localdb-ipv6-daily.brightcloud.com:443
• ipce-daily.brightcloud.com:443
• ipce-rtu.brightcloud.com:443

Anschließend wird alle fünf Minuten auf eine Aktualisierung der Datenbank geprüft. Ob dies erfolgreich funktioniert, kann über die NetScaler Shell im iprep.log eingesehen werden:

3. Responder Policy

Die Datenbank können wir mittels der NetScaler Policy Expression abfragen. Dies kann z.B. durch folgende Responder Policy geschehen. Diese überprüft, ob die Source IP-Adresse in der Datenbank aufgeführt wird. Wenn dies zutrifft, wird der Zugriff dieser IP-Adresse gedropped.

Diese Expression prüft, ob die IP-Adresse generell als bösartig aufgeführt wird. Es gibt aber auch die Möglichkeit, einzelne Kategorien der Datenbank abzufragen. Dies kann über folgende Expression geschehen:

Da es aus der Erfahrung auch schon mal zu einem False-Positiv kommen kann, ist es empfehlenswert, ein Pattern Set als Whitelist anzulegen. Wenn es also doch mal zu einem fehlerhaften Drop kommt, kann die IP-Adresse schnell wieder freigegeben werden.

Damit die Responder Policy aktiviert wird, kann diese direkt an einen VServer gebunden werden, oder aber auch global für den kompletten NetScaler. Dies ist empfehlenswert, da somit alle Services des NetScaler geschützt werden.

Um geblockte Zugriffe über die Logs einzusehen, können wir zusätzlich eine Log Action innerhalb der Responder Policy anlegen. Diese schreibt ins ns.log oder über Syslog eine Message mit der geblockten Source IP-Adresse sowie der IP-Location.

Damit ist die Konfiguration von IP Reputation abgeschlossen. Auch dieses Feature ist schnell implementiert und kann dafür sorgen, dass potenzielle Angreifer erst gar nicht auf einen Service zugreifen können, der über NetScaler bereitgestellt wird.

Fazit

Abschließend kann man sagen, dass auch kleine Features, wie die vorgestellten, einen großen Einfluss auf die sichere Bereitstellung von Services über NetScaler haben können und das mit wenig administrativen Aufwand. Daher kann die Umstellung auf die neue Universal Hybrid Multi-Cloud echte Mehrwerte bieten.