Citrix ADC VPX auf Azure – Bereitstellungshandbuch

Übersicht

Citrix ADC ist eine Lösung für die Anwendungsbereitstellung und den Lastausgleich, die eine hochwertige Benutzererfahrung für Web-, traditionelle und Cloud-native Anwendungen bietet, unabhängig davon, wo sie gehostet werden. Sie ist in einer Vielzahl von Formfaktoren und Bereitstellungsoptionen erhältlich, ohne Benutzer an eine einzige Konfiguration oder Cloud zu binden. Die Lizenzierung mit gepoolter Kapazität ermöglicht die Verschiebung von Kapazitäten zwischen Cloud-Bereitstellungen.

Als unangefochtener Marktführer für Service- und Anwendungsbereitstellung wird Citrix ADC in Tausenden von Netzwerken weltweit eingesetzt, um die Bereitstellung aller Unternehmens- und Cloud-Dienste zu optimieren, zu sichern und zu steuern. Direkt vor Web- und Datenbankservern eingesetzt, kombiniert Citrix ADC Hochgeschwindigkeits-Lastausgleich und Content-Switching, HTTP-Komprimierung, Content-Caching, SSL-Beschleunigung, Transparenz des Anwendungsflusses und eine leistungsstarke Anwendungs-Firewall in einer integrierten, benutzerfreundlichen Plattform. Die Einhaltung von SLAs wird durch End-to-End-Monitoring, das Netzwerkdaten in umsetzbare Business Intelligence umwandelt, erheblich vereinfacht. Citrix ADC ermöglicht die Definition und Verwaltung von Richtlinien mithilfe einer einfachen deklarativen Richtlinien-Engine, für die keine Programmierkenntnisse erforderlich sind.

Citrix ADC VPX

Das Produkt Citrix ADC VPX ist eine virtuelle Appliance, die auf einer Vielzahl von Virtualisierungs- und Cloud-Plattformen gehostet werden kann.

Dieses Bereitstellungshandbuch konzentriert sich auf Citrix ADC VPX auf Azure.

Microsoft Azure

• Microsoft Azure ist eine ständig wachsende Reihe von Cloud-Computing-Diensten, die Unternehmen dabei helfen, ihre geschäftlichen Herausforderungen zu meistern. Azure gibt Benutzern die Freiheit, Anwendungen in einem riesigen, globalen Netzwerk mit ihren bevorzugten Tools und Frameworks zu erstellen, zu verwalten und bereitzustellen. Mit Azure können Benutzer:

• Mit kontinuierlicher Innovation von Microsoft zukunftssicher sein, um ihre heutige Entwicklung und ihre Produktvisionen für morgen zu unterstützen.

• Hybrid Cloud nahtlos lokal, in der Cloud und am Edge betreiben – Azure holt Benutzer dort ab, wo sie sind.

• Auf ihren eigenen Bedingungen aufbauen, mit Azures Engagement für Open Source und Unterstützung für alle Sprachen und Frameworks, was Benutzern die Freiheit gibt, so zu bauen, wie sie wollen, und dort bereitzustellen, wo sie wollen.

• Ihrer Cloud mit Sicherheit von Grund auf vertrauen – unterstützt von einem Expertenteam und proaktiver, branchenführender Compliance, der Unternehmen, Regierungen und Start-ups vertrauen.

Azure-Terminologie

Hier ist eine kurze Beschreibung der in diesem Dokument verwendeten Schlüsselbegriffe, mit denen Benutzer vertraut sein müssen:

• Azure Load Balancer – Ein Azure Load Balancer ist eine Ressource, die eingehenden Datenverkehr auf Computer in einem Netzwerk verteilt. Der Datenverkehr wird auf virtuelle Maschinen verteilt, die in einem Load-Balancer-Set definiert sind. Ein Load Balancer kann extern oder internetseitig sein, oder er kann intern sein.

• Azure Resource Manager (ARM) – ARM ist das neue Verwaltungs-Framework für Dienste in Azure. Azure Load Balancer wird mithilfe von ARM-basierten APIs und Tools verwaltet.

• Back-End-Adresspool – Dies sind IP-Adressen, die der NIC der virtuellen Maschine zugeordnet sind, auf die die Last verteilt wird.

• BLOB – Binary Large Object – Jedes binäre Objekt wie eine Datei oder ein Bild, das im Azure-Speicher gespeichert werden kann.

• Front-End-IP-Konfiguration – Ein Azure Load Balancer kann eine oder mehrere Front-End-IP-Adressen enthalten, auch bekannt als virtuelle IPs (VIPs). Diese IP-Adressen dienen als Eingang für den Datenverkehr.

• Instanzebenen-öffentliche IP (ILPIP) – Eine ILPIP ist eine öffentliche IP-Adresse, die Benutzer direkt einer virtuellen Maschine oder Rolleninstanz zuweisen können, anstatt dem Cloud-Dienst, in dem sich die virtuelle Maschine oder Rolleninstanz befindet. Dies ersetzt nicht die VIP (virtuelle IP), die ihrem Cloud-Dienst zugewiesen ist. Vielmehr ist es eine zusätzliche IP-Adresse, die verwendet werden kann, um sich direkt mit einer virtuellen Maschine oder Rolleninstanz zu verbinden.

Hinweis:

Früher wurde eine ILPIP als PIP bezeichnet, was für öffentliche IP steht.

• Eingehende NAT-Regeln – Dies enthält Regeln, die einen öffentlichen Port auf dem Load Balancer einem Port für eine bestimmte virtuelle Maschine im Back-End-Adresspool zuordnen.

• IP-Konfiguration – Sie kann als IP-Adresspaar (öffentliche IP und private IP) definiert werden, das einer einzelnen NIC zugeordnet ist. In einer IP-Konfiguration kann die öffentliche IP-Adresse NULL sein. Jede NIC kann mehrere IP-Konfigurationen zugeordnet haben, bis zu 255.

• Lastenausgleichsregeln – Eine Regeleigenschaft, die eine gegebene Front-End-IP- und Portkombination einem Satz von Back-End-IP-Adressen und Portkombinationen zuordnet. Mit einer einzigen Definition einer Load-Balancer-Ressource können Benutzer mehrere Lastenausgleichsregeln definieren, wobei jede Regel eine Kombination aus einer Front-End-IP und einem Port sowie einer Back-End-IP und einem Port widerspiegelt, die virtuellen Maschinen zugeordnet sind.

• Netzwerksicherheitsgruppe (NSG) – Eine NSG enthält eine Liste von Zugriffssteuerungslisten (ACL)-Regeln, die den Netzwerkverkehr zu virtuellen Maschineninstanzen in einem virtuellen Netzwerk zulassen oder verweigern. NSGs können entweder Subnetzen oder einzelnen virtuellen Maschineninstanzen innerhalb dieses Subnetzes zugeordnet werden. Wenn eine NSG einem Subnetz zugeordnet ist, gelten die ACL-Regeln für alle virtuellen Maschineninstanzen in diesem Subnetz. Darüber hinaus kann der Datenverkehr zu einer einzelnen virtuellen Maschine weiter eingeschränkt werden, indem eine NSG direkt dieser virtuellen Maschine zugeordnet wird.

• Private IP-Adressen – Wird für die Kommunikation innerhalb eines virtuellen Azure-Netzwerks und des lokalen Netzwerks des Benutzers verwendet, wenn ein VPN-Gateway zur Erweiterung eines Benutzernetzwerks auf Azure eingesetzt wird. Private IP-Adressen ermöglichen Azure-Ressourcen die Kommunikation mit anderen Ressourcen in einem virtuellen Netzwerk oder einem lokalen Netzwerk über ein VPN-Gateway oder eine ExpressRoute-Verbindung, ohne eine über das Internet erreichbare IP-Adresse zu verwenden. Im Azure Resource Manager-Bereitstellungsmodell ist eine private IP-Adresse den folgenden Typen von Azure-Ressourcen zugeordnet: virtuelle Maschinen, interne Load Balancer (ILBs) und Anwendungsgateways.

• Probes – Dies enthält Health Probes, die verwendet werden, um die Verfügbarkeit von virtuellen Maschineninstanzen im Back-End-Adresspool zu überprüfen. Wenn eine bestimmte virtuelle Maschine für einige Zeit nicht auf Health Probes reagiert, wird sie aus der Datenverkehrsbedienung genommen. Probes ermöglichen es Benutzern, den Zustand virtueller Instanzen zu überwachen. Wenn eine Health Probe fehlschlägt, wird die virtuelle Instanz automatisch aus der Rotation genommen.

• Öffentliche IP-Adressen (PIP) – PIP wird für die Kommunikation mit dem Internet verwendet, einschließlich öffentlicher Azure-Dienste, und ist virtuellen Maschinen, internetseitigen Load Balancern, VPN-Gateways und Anwendungsgateways zugeordnet.

• Region – Ein Bereich innerhalb einer Geografie, der keine nationalen Grenzen überschreitet und ein oder mehrere Rechenzentren enthält. Preise, regionale Dienste und Angebotstypen werden auf Regionsebene angezeigt. Eine Region ist typischerweise mit einer anderen Region gepaart, die bis zu mehrere hundert Meilen entfernt sein kann, um ein regionales Paar zu bilden. Regionale Paare können als Mechanismus für Notfallwiederherstellung und Hochverfügbarkeitsszenarien verwendet werden. Wird auch allgemein als Standort bezeichnet.

• Ressourcengruppe – Ein Container im Resource Manager, der verwandte Ressourcen für eine Anwendung enthält. Die Ressourcengruppe kann alle Ressourcen für eine Anwendung oder nur die logisch gruppierten Ressourcen enthalten.

• Speicherkonto – Ein Azure-Speicherkonto ermöglicht Benutzern den Zugriff auf die Azure Blob-, Warteschlangen-, Tabellen- und Dateidienste in Azure Storage. Ein Benutzer-Speicherkonto bietet den eindeutigen Namespace für Benutzer-Azure-Speicherdatenobjekte.

• Virtueller Computer – Die Softwareimplementierung eines physischen Computers, auf dem ein Betriebssystem ausgeführt wird. Mehrere virtuelle Computer können gleichzeitig auf derselben Hardware ausgeführt werden. In Azure sind virtuelle Computer in verschiedenen Größen verfügbar.

• Virtuelles Netzwerk – Ein virtuelles Azure-Netzwerk ist eine Darstellung eines Benutzernetzwerks in der Cloud. Es ist eine logische Isolation der Azure-Cloud, die einem Benutzerabonnement gewidmet ist. Benutzer können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routingtabellen innerhalb dieses Netzwerks vollständig steuern. Benutzer können ihr VNet auch weiter in Subnetze segmentieren und virtuelle Azure IaaS-Computer und Cloud-Dienste (PaaS-Rolleninstanzen) starten. Außerdem können Benutzer das virtuelle Netzwerk über eine der in Azure verfügbaren Konnektivitätsoptionen mit ihrem lokalen Netzwerk verbinden. Im Wesentlichen können Benutzer ihr Netzwerk auf Azure erweitern, mit vollständiger Kontrolle über IP-Adressblöcke und dem Vorteil der von Azure bereitgestellten Unternehmensskalierung.

Logischer Ablauf von Citrix WAF in Azure

Abbildung 1: Logisches Diagramm von Citrix WAF in Azure

Logischer Ablauf

Die Web Application Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, üblicherweise hinter dem Router oder der Firewall des Kundenunternehmens. Sie muss an einem Ort installiert werden, an dem sie den Datenverkehr zwischen den Webservern, die Benutzer schützen möchten, und dem Hub oder Switch, über den Benutzer auf diese Webserver zugreifen, abfangen kann. Benutzer konfigurieren dann das Netzwerk so, dass Anfragen an die Web Application Firewall statt direkt an ihre Webserver und Antworten an die Web Application Firewall statt direkt an ihre Benutzer gesendet werden. Die Web Application Firewall filtert diesen Datenverkehr, bevor sie ihn an sein endgültiges Ziel weiterleitet, wobei sie sowohl ihre internen Regelsätze als auch die Ergänzungen und Änderungen des Benutzers verwendet. Sie blockiert oder macht jede Aktivität, die sie als schädlich erkennt, unschädlich und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Die obige Abbildung (Abbildung 1) bietet einen Überblick über den Filterprozess.

Hinweis: Die Abbildung lässt die Anwendung einer Richtlinie auf eingehenden Datenverkehr aus. Sie veranschaulicht eine Sicherheitskonfiguration, bei der die Richtlinie darin besteht, alle Anfragen zu verarbeiten. Außerdem wurde in dieser Konfiguration ein Signaturenobjekt konfiguriert und dem Profil zugeordnet, und Sicherheitsprüfungen wurden im Profil konfiguriert. Wie die Abbildung zeigt, prüft die Web Application Firewall, wenn ein Benutzer eine URL auf einer geschützten Website anfordert, zunächst die Anfrage, um sicherzustellen, dass sie keiner Signatur entspricht. Wenn die Anfrage einer Signatur entspricht, zeigt die Web Application Firewall entweder das Fehlerobjekt an (eine Webseite, die sich auf der Web Application Firewall-Appliance befindet und die Benutzer mithilfe der Importfunktion konfigurieren können) oder leitet die Anfrage an die angegebene Fehler-URL (die Fehlerseite) weiter.

Wenn eine Anfrage die Signaturprüfung besteht, wendet die Web Application Firewall die aktivierten Anforderungssicherheitsprüfungen an. Die Anforderungssicherheitsprüfungen überprüfen, ob die Anfrage für die Benutzerwebsite oder den Webdienst geeignet ist und kein Material enthält, das eine Bedrohung darstellen könnte. Zum Beispiel untersuchen Sicherheitsprüfungen die Anfrage auf Anzeichen, die darauf hindeuten, dass sie von einem unerwarteten Typ sein könnte, unerwarteten Inhalt anfordert oder unerwartete und möglicherweise bösartige Webformulardaten, SQL-Befehle oder Skripte enthält. Wenn die Anfrage eine Sicherheitsprüfung nicht besteht, bereinigt die Web Application Firewall die Anfrage und sendet sie dann an die Citrix ADC-Appliance (oder virtuelle Citrix ADC-Appliance) zurück oder zeigt das Fehlerobjekt an. Wenn die Anfrage die Sicherheitsprüfungen besteht, wird sie an die Citrix ADC-Appliance zurückgesendet, die alle weiteren Verarbeitungen abschließt und die Anfrage an den geschützten Webserver weiterleitet.

Wenn die Website oder der Webdienst eine Antwort an den Benutzer sendet, wendet die Web Application Firewall die aktivierten Antwortsicherheitsprüfungen an. Die Antwortsicherheitsprüfungen untersuchen die Antwort auf Lecks sensibler privater Informationen, Anzeichen von Website-Defacement oder andere Inhalte, die nicht vorhanden sein sollten. Wenn die Antwort eine Sicherheitsprüfung nicht besteht, entfernt die Web Application Firewall entweder den Inhalt, der nicht vorhanden sein sollte, oder blockiert die Antwort. Wenn die Antwort die Sicherheitsprüfungen besteht, wird sie an die Citrix ADC-Appliance zurückgesendet, die sie an den Benutzer weiterleitet.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, die erfordern, dass jeder Dienst als separate virtuelle Appliance bereitgestellt wird, kombiniert Citrix ADC in Azure L4-Lastverteilung, L7-Datenverkehrsmanagement, Server-Offload, Anwendungsbeschleunigung, Anwendungssicherheit und andere wesentliche Funktionen zur Anwendungsbereitstellung in einer einzigen VPX-Instanz, die bequem über den Azure Marketplace verfügbar ist. Darüber hinaus wird alles durch ein einziges Richtlinien-Framework gesteuert und mit denselben leistungsstarken Tools verwaltet, die auch für die Administration von lokalen Citrix ADC-Bereitstellungen verwendet werden. Das Nettoergebnis ist, dass Citrix ADC in Azure mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Bedürfnisse der heutigen Unternehmen unterstützen, sondern auch die fortlaufende Entwicklung von älteren Computerinfrastrukturen zu Unternehmens-Cloud-Rechenzentren.

Bereitstellungstypen

Multi-NIC Multi-IP Bereitstellung (Drei-NIC-Bereitstellung)

• Typische Bereitstellungen

  • StyleBook-gesteuert

  • Mit ADM

    • Mit GSLB (Azure Traffic Management (TM) ohne Domänenregistrierung)

    • Lizenzierung – Gepoolt/Marketplace

• Anwendungsfälle

  • Multi-NIC Multi-IP (Drei-NIC)-Bereitstellungen werden verwendet, um eine echte Isolation von Daten- und Verwaltungsdatenverkehr zu erreichen.

  • Multi-NIC Multi-IP (Drei-NIC)-Bereitstellungen verbessern auch die Skalierbarkeit und Leistung des ADC.

  • Multi-NIC Multi-IP (Drei-NIC)-Bereitstellungen werden in Netzwerkanwendungen eingesetzt, bei denen der Durchsatz typischerweise 1 Gbit/s oder höher ist, und eine Drei-NIC-Bereitstellung wird empfohlen.

Multi-NIC Multi-IP (Drei-NIC)-Bereitstellung für Hochverfügbarkeit (HA)

Kunden würden möglicherweise eine Drei-NIC-Bereitstellung verwenden, wenn sie in einer Produktionsumgebung bereitstellen, in der Sicherheit, Redundanz, Verfügbarkeit, Kapazität und Skalierbarkeit entscheidend sind. Bei dieser Bereitstellungsmethode sind Komplexität und einfache Verwaltung keine kritischen Bedenken für die Benutzer.

Azure Resource Manager-Vorlagenbereitstellung

Kunden würden ARM (Azure Resource Manager)-Vorlagen verwenden, wenn sie ihre Bereitstellungen anpassen oder automatisieren.

ARM (Azure Resource Manager)-Vorlagen

Das GitHub-Repository für Citrix ADC ARM (Azure Resource Manager)-Vorlagen hostet benutzerdefinierte Citrix ADC-Vorlagen für die Bereitstellung von Citrix ADC in Microsoft Azure Cloud Services. Alle Vorlagen in diesem Repository wurden vom Citrix ADC Engineering-Team entwickelt und werden von diesem gewartet.

Jede Vorlage in diesem Repository verfügt über eine gemeinsame Dokumentation, die die Verwendung und Architektur der Vorlage beschreibt. Die Vorlagen versuchen, die empfohlene Bereitstellungsarchitektur des Citrix ADC VPX zu kodifizieren oder den Benutzer in den Citrix ADC einzuführen oder eine bestimmte Funktion/Edition/Option zu demonstrieren. Benutzer können die Vorlagen wiederverwenden/ändern oder erweitern, um sie an ihre spezifischen Produktions- und Testanforderungen anzupassen. Die meisten Vorlagen erfordern ausreichende Abonnements für portal.azure.com, um Ressourcen zu erstellen und Vorlagen bereitzustellen. Citrix ADC VPX Azure Resource Manager (ARM)-Vorlagen wurden entwickelt, um eine einfache und konsistente Möglichkeit zur Bereitstellung von eigenständigen Citrix ADC VPX zu gewährleisten. Diese Vorlagen erhöhen die Zuverlässigkeit und Systemverfügbarkeit durch integrierte Redundanz. Diese ARM-Vorlagen unterstützen Bring Your Own License (BYOL) oder stundenbasierte Auswahlmöglichkeiten. Die Auswahl wird entweder in der Vorlagenbeschreibung erwähnt oder während der Vorlagenbereitstellung angeboten. Weitere Informationen zur Bereitstellung einer Citrix ADC VPX-Instanz in Microsoft Azure mithilfe von ARM (Azure Resource Manager)-Vorlagen finden Sie unter: Citrix ADC Azure-Vorlagen.

Weitere Informationen zur Bereitstellung einer Citrix ADC VPX-Instanz in Microsoft Azure finden Sie unter: Bereitstellen einer Citrix ADC VPX-Instanz in Microsoft Azure.

Weitere Informationen zur Funktionsweise einer Citrix ADC VPX-Instanz in Azure finden Sie unter: So funktioniert eine Citrix ADC VPX-Instanz in Azure.

Bereitstellungsschritte

Wenn Benutzer eine Citrix ADC VPX-Instanz auf Microsoft Azure Resource Manager (ARM) bereitstellen, können sie die Azure Cloud-Computing-Funktionen nutzen und die Citrix ADC-Lastenausgleichs- und Datenverkehrsmanagementfunktionen für ihre Geschäftsanforderungen verwenden. Benutzer können Citrix ADC VPX-Instanzen auf Azure Resource Manager entweder als eigenständige Instanzen oder als Hochverfügbarkeitspaare im Aktiv-Standby-Modus bereitstellen.

Benutzer können eine Citrix ADC VPX-Instanz in Microsoft Azure auf zwei Arten bereitstellen:

• Über den Azure Marketplace. Die virtuelle Appliance Citrix ADC VPX ist als Image im Microsoft Azure Marketplace verfügbar. Die Azure Resource Manager-Vorlage wird im Azure Marketplace veröffentlicht und kann verwendet werden, um Citrix ADC in einer eigenständigen Bereitstellung und in einer HA-Paar-Bereitstellung bereitzustellen.

• Verwenden der Citrix ADC Azure Resource Manager (ARM) JSON-Vorlage, die auf GitHub verfügbar ist. Weitere Informationen finden Sie im GitHub-Repository für Citrix ADC-Lösungsvorlagen.

Auswahl der richtigen Azure-Instanz

VPX-virtuelle Appliances auf Azure können auf jedem Instanztyp bereitgestellt werden, der zwei oder mehr Kerne und mehr als 2 GB Arbeitsspeicher besitzt. Die folgende Tabelle listet die empfohlenen Instanztypen für die ADC VPX-Lizenz auf:

Sobald der Lizenz- und Instanztyp, der für die Bereitstellung verwendet werden soll, bekannt ist, können Benutzer eine Citrix ADC VPX-Instanz in Azure unter Verwendung der empfohlenen Multi-NIC-Multi-IP-Architektur bereitstellen.

Multi-NIC-Multi-IP-Architektur (Drei-NIC)

Bei diesem Bereitstellungstyp können Benutzer mehr als eine Netzwerkschnittstelle (NIC) an eine VPX-Instanz anfügen. Jede NIC kann eine oder mehrere IP-Konfigurationen haben – statische oder dynamische öffentliche und private IP-Adressen, die ihr zugewiesen sind. Die Multi-NIC-Architektur kann sowohl für Standalone- als auch für HA-Paar-Bereitstellungen verwendet werden. Die folgenden ARM-Vorlagen können verwendet werden:

• Citrix ADC Standalone: ARM-Vorlage-Standalone 3-NIC

• Citrix ADC HA-Paar: ARM-Vorlage-HA-Paar 3-NIC

Siehe die folgenden Anwendungsfälle:

• Einrichten einer Hochverfügbarkeitskonfiguration mit mehreren IP-Adressen und NICs

• Einrichten einer Hochverfügbarkeitskonfiguration mit mehreren IP-Adressen und NICs mithilfe von PowerShell-Befehlen

Citrix ADM Bereitstellungsarchitektur

Die folgende Abbildung bietet einen Überblick darüber, wie Citrix ADM eine Verbindung mit Azure herstellt, um Citrix ADC VPX-Instanzen in Microsoft Azure bereitzustellen.

Benutzer benötigen drei Subnetze, um Citrix ADC VPX-Instanzen in Microsoft Azure bereitzustellen und zu verwalten. Für jedes Subnetz muss eine Sicherheitsgruppe erstellt werden. Die in der Netzwerksicherheitsgruppe (NSG) angegebenen Regeln steuern die Kommunikation zwischen den Subnetzen.

Der Citrix ADM-Dienstagent hilft Benutzern, Citrix ADC VPX-Instanzen bereitzustellen und zu verwalten.

Konfigurieren eines Hochverfügbarkeits-Setups mit mehreren IP-Adressen und NICs

In einer Microsoft Azure-Bereitstellung wird eine Hochverfügbarkeitskonfiguration von zwei Citrix ADC VPX-Instanzen mithilfe des Azure Load Balancer (ALB) erreicht. Dies wird durch die Konfiguration eines Health-Probes auf dem ALB erreicht, der jede VPX-Instanz überwacht, indem er alle 5 Sekunden Health-Probes an primäre und sekundäre Instanzen sendet.

In diesem Setup antwortet nur der primäre Knoten auf Health-Probes, der sekundäre nicht. Sobald der primäre Knoten die Antwort an den Health-Probe sendet, beginnt der ALB, den Datenverkehr an die Instanz zu senden. Wenn die primäre Instanz zwei aufeinanderfolgende Health-Probes verpasst, leitet der ALB den Datenverkehr nicht an diese Instanz um. Beim Failover beginnt der neue primäre Knoten, auf Health-Probes zu antworten, und der ALB leitet den Datenverkehr an ihn um. Die standardmäßige VPX-Hochverfügbarkeits-Failoverzeit beträgt drei Sekunden. Die gesamte Failoverzeit, die für die Datenverkehrsumschaltung auftreten kann, beträgt maximal 13 Sekunden.

Benutzer können ein Paar Citrix ADC VPX-Instanzen mit mehreren NICs in einem aktiv-passiven Hochverfügbarkeits-Setup (HA) in Azure bereitstellen. Jede NIC kann mehrere IP-Adressen enthalten.

Die folgenden Optionen stehen für eine Hochverfügbarkeitsbereitstellung mit mehreren NICs zur Verfügung:

• Hochverfügbarkeit mithilfe einer Azure-Verfügbarkeitsgruppe

• Hochverfügbarkeit mithilfe von Azure-Verfügbarkeitszonen

Weitere Informationen zu Azure Availability Set und Availability Zones finden Sie in der Azure-Dokumentation Verwalten der Verfügbarkeit von Linux-Virtual Machines.

Hochverfügbarkeit mithilfe einer Verfügbarkeitsgruppe

Ein Hochverfügbarkeits-Setup, das eine Verfügbarkeitsgruppe verwendet, muss die folgenden Anforderungen erfüllen:

• Eine HA Independent Network Configuration (INC)-Konfiguration

• Der Azure Load Balancer (ALB) im Direct Server Return (DSR)-Modus

Der gesamte Datenverkehr läuft über den primären Knoten. Der sekundäre Knoten bleibt im Standby-Modus, bis der primäre Knoten ausfällt.

Hinweis:

Damit eine Citrix VPX-Hochverfügbarkeitsbereitstellung in der Azure Cloud funktioniert, benötigen Benutzer eine schwebende öffentliche IP-Adresse (PIP), die zwischen den beiden VPX-Knoten verschoben werden kann. Der Azure Load Balancer (ALB) stellt diese schwebende PIP bereit, die im Falle eines Failovers automatisch auf den zweiten Knoten verschoben wird.

In einer Aktiv-Passiv-Bereitstellung werden die öffentlichen Front-End-IP-Adressen (PIP) des ALB als VIP-Adressen in jedem VPX-Knoten hinzugefügt. In einer HA-INC-Konfiguration sind die VIP-Adressen schwebend und die SNIP-Adressen instanzspezifisch.

Benutzer können ein VPX-Paar im Aktiv-Passiv-Hochverfügbarkeitsmodus auf zwei Arten bereitstellen, indem sie Folgendes verwenden:

• Citrix ADC VPX Standard-Hochverfügbarkeitsvorlage: Verwenden Sie diese Option, um ein HA-Paar mit der Standardoption von drei Subnetzen und sechs NICs zu konfigurieren.

• Windows PowerShell-Befehle: Verwenden Sie diese Option, um ein HA-Paar gemäß Ihren Subnetz- und NIC-Anforderungen zu konfigurieren.

Dieser Abschnitt beschreibt, wie ein VPX-Paar in einem Aktiv-Passiv-HA-Setup mithilfe der Citrix-Vorlage bereitgestellt wird. Wenn Benutzer mit PowerShell-Befehlen bereitstellen möchten, lesen Sie Konfigurieren eines Hochverfügbarkeits-Setups mit mehreren IP-Adressen und NICs mithilfe von PowerShell-Befehlen.

HA-INC-Knoten mithilfe der Citrix-Hochverfügbarkeitsvorlage konfigurieren

Benutzer können ein Paar von VPX-Instanzen im HA-INC-Modus schnell und effizient mithilfe der Standardvorlage bereitstellen. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs NICs. Die Subnetze sind für Management-, Client- und serverseitigen Datenverkehr vorgesehen, und jedes Subnetz verfügt über zwei NICs für beide VPX-Instanzen.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein hochverfügbares VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.

1. Wählen Sie im Azure Marketplace die Citrix-Lösungsvorlage aus und starten Sie sie. Die Vorlage wird angezeigt.

2. Stellen Sie sicher, dass der Bereitstellungstyp Resource Manager ist, und wählen Sie Erstellen.

3. Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe und wählen Sie OK aus.

4. Die Seite Allgemeine Einstellungen wird angezeigt. Geben Sie die Details ein und wählen Sie OK aus.

5. Die Seite Netzwerkeinstellungen wird angezeigt. Überprüfen Sie die VNet- und Subnetzkonfigurationen, bearbeiten Sie die erforderlichen Einstellungen und wählen Sie OK aus.

6. Die Seite Zusammenfassung wird angezeigt. Überprüfen Sie die Konfiguration und bearbeiten Sie sie entsprechend. Wählen Sie OK zur Bestätigung aus.

7. Die Seite Kaufen wird angezeigt. Wählen Sie Kaufen aus, um die Bereitstellung abzuschließen.

Es kann einen Moment dauern, bis die Azure-Ressourcengruppe mit den erforderlichen Konfigurationen erstellt ist. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools, Integritätstests usw. anzuzeigen. Das Hochverfügbarkeitspaar wird als ns-vpx0 und ns-vpx1 angezeigt.

Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Benutzer dies über das Azure-Portal tun.

Als Nächstes müssen Benutzer den virtuellen Lastausgleichsserver mit der öffentlichen Frontend-IP-Adresse (PIP) des ALB auf dem primären Knoten konfigurieren. Um die ALB-PIP zu finden, wählen Sie ALB > Frontend-IP-Konfiguration aus.

Weitere Informationen zur Konfiguration des virtuellen Lastausgleichsservers finden Sie im Abschnitt Ressourcen.

Ressourcen:

Die folgenden Links enthalten zusätzliche Informationen zur HA-Bereitstellung und zur Konfiguration virtueller Server:

• Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen

• Grundlegenden Lastausgleich einrichten

Verwandte Ressourcen:

• Konfigurieren eines Hochverfügbarkeits-Setups mit mehreren IP-Adressen und NICs mithilfe von PowerShell-Befehlen

• GSLB in einem Active-Standby-Hochverfügbarkeits-Setup konfigurieren

Hochverfügbarkeit mit Verfügbarkeitszonen

Azure-Verfügbarkeitszonen sind fehlerisolierte Standorte innerhalb einer Azure-Region, die redundante Stromversorgung, Kühlung und Netzwerk bereitstellen und die Ausfallsicherheit erhöhen. Nur bestimmte Azure-Regionen unterstützen Verfügbarkeitszonen. Weitere Informationen finden Sie in der Azure-Dokumentation Verfügbarkeitszonen in Azure: GSLB in einem Active-Standby-Hochverfügbarkeits-Setup konfigurieren.

Benutzer können ein VPX-Paar im Hochverfügbarkeitsmodus bereitstellen, indem sie die Vorlage „NetScaler 13.0 HA using Availability Zones“ verwenden, die im Azure Marketplace verfügbar ist.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein Hochverfügbarkeits-VPX-Paar mithilfe von Azure-Verfügbarkeitszonen bereitzustellen.

1. Wählen Sie im Azure Marketplace die Citrix-Lösungsvorlage aus und initiieren Sie sie.

2. Stellen Sie sicher, dass der Bereitstellungstyp Resource Manager ist, und wählen Sie Erstellen.

3. Die Seite „Grundlagen“ wird angezeigt. Geben Sie die Details ein und klicken Sie auf OK.

Hinweis: Stellen Sie sicher, dass eine Azure-Region ausgewählt ist, die Verfügbarkeitszonen unterstützt. Weitere Informationen zu Regionen, die Verfügbarkeitszonen unterstützen, finden Sie in der Azure-Dokumentation Verfügbarkeitszonen in Azure: Regionen und Verfügbarkeitszonen in Azure.

1. Die Seite Allgemeine Einstellungen wird angezeigt. Geben Sie die Details ein und wählen Sie OK.

2. Die Seite Netzwerkeinstellungen wird angezeigt. Überprüfen Sie die VNet- und Subnetzkonfigurationen, bearbeiten Sie die erforderlichen Einstellungen und wählen Sie OK.

3. Die Seite Zusammenfassung wird angezeigt. Überprüfen Sie die Konfiguration und bearbeiten Sie sie gegebenenfalls. Wählen Sie OK zur Bestätigung.

4. Die Seite Kaufen wird angezeigt. Wählen Sie Kaufen, um die Bereitstellung abzuschließen.

Es kann einen Moment dauern, bis die Azure-Ressourcengruppe mit den erforderlichen Konfigurationen erstellt ist. Nach Abschluss wählen Sie die Ressourcengruppe aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools, Integritätstests usw. im Azure-Portal anzuzeigen. Das Hochverfügbarkeitspaar wird als ns-vpx0 und ns-vpx1 angezeigt. Außerdem können Benutzer den Standort unter der Spalte Standort sehen.

Wenn weitere Änderungen für das HA-Setup erforderlich sind, wie z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Benutzer dies über das Azure-Portal tun.

Weitere detaillierte Informationen zur Bereitstellung von Citrix ADC VPX-Instanzen in Microsoft Azure finden Sie unter: Provisioning Citrix ADC VPX Instances on Microsoft Azure.

Citrix Application Delivery Management

Der Citrix Application Delivery Management Service (Citrix ADM) bietet eine einfache und skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN Appliances umfassen, die lokal oder in der Cloud bereitgestellt werden.

Benutzer können diese Cloud-Lösung verwenden, um die gesamte globale Anwendungsbereitstellungsinfrastruktur über eine einzige, einheitliche und zentralisierte Cloud-basierte Konsole zu verwalten, zu überwachen und Fehler zu beheben. Der Citrix ADM Service bietet alle Funktionen, die erforderlich sind, um die Anwendungsbereitstellung in Citrix ADC-Bereitstellungen schnell einzurichten, bereitzustellen und zu verwalten, und bietet umfassende Analysen zu Anwendungszustand, Leistung und Sicherheit.

Der Citrix ADM Service bietet die folgenden Vorteile:

• Agil – Einfach zu bedienen, zu aktualisieren und zu nutzen. Das Servicemodell des Citrix ADM Service ist über die Cloud verfügbar, wodurch die von Citrix ADM Service bereitgestellten Funktionen einfach zu bedienen, zu aktualisieren und zu nutzen sind. Die Häufigkeit der Updates, kombiniert mit der automatischen Update-Funktion, verbessert schnell die Citrix ADC-Bereitstellung des Benutzers.

• Schnellere Wertschöpfung – Schnellere Erreichung der Geschäftsziele. Im Gegensatz zur traditionellen lokalen Bereitstellung können Benutzer ihren Citrix ADM Service mit wenigen Klicks nutzen. Benutzer sparen nicht nur Installations- und Konfigurationszeit, sondern vermeiden auch Zeit- und Ressourcenverschwendung durch potenzielle Fehler.

• Multi-Site-Verwaltung – Eine zentrale Oberfläche für Instanzen über Multi-Site-Rechenzentren hinweg. Mit dem Citrix ADM Service können Benutzer Citrix ADCs verwalten und überwachen, die in verschiedenen Bereitstellungstypen vorhanden sind. Benutzer haben eine zentrale Verwaltung für Citrix ADCs, die lokal und in der Cloud bereitgestellt werden.

• Betriebliche Effizienz – Optimierte und automatisierte Methode zur Erzielung höherer operativer Produktivität. Mit dem Citrix ADM Service werden die Betriebskosten der Benutzer gesenkt, indem Zeit, Geld und Ressourcen für die Wartung und das Upgrade traditioneller Hardware-Bereitstellungen eingespart werden.

So funktioniert der Citrix ADM Service

Der Citrix ADM Service ist als Dienst in der Citrix Cloud verfügbar. Nachdem sich Benutzer für Citrix Cloud angemeldet und den Dienst genutzt haben, installieren sie Agenten in der Netzwerkumgebung des Benutzers oder initiieren den integrierten Agenten in den Instanzen. Anschließend fügen sie die Instanzen, die sie verwalten möchten, dem Dienst hinzu.

Ein Agent ermöglicht die Kommunikation zwischen dem Citrix ADM Service und den verwalteten Instanzen im Rechenzentrum des Benutzers. Der Agent sammelt Daten von den verwalteten Instanzen im Benutzernetzwerk und sendet sie an den Citrix ADM Service.

Wenn Benutzer eine Instanz zum Citrix ADM Service hinzufügen, fügt sich dieser implizit als Trap-Ziel hinzu und erfasst ein Inventar der Instanz.

Der Dienst sammelt Instanzdetails wie:

• Hostname

• Softwareversion

• Aktive und gespeicherte Konfiguration

• Zertifikate

• Auf der Instanz konfigurierte Entitäten und so weiter.

Der Citrix ADM Service fragt verwaltete Instanzen regelmäßig ab, um Informationen zu sammeln.

Die folgende Abbildung veranschaulicht die Kommunikation zwischen dem Dienst, den Agenten und den Instanzen:

Dokumentationsleitfaden

Die Dokumentation des Citrix ADM Service enthält Informationen zum Einstieg in den Dienst, eine Liste der vom Dienst unterstützten Funktionen und die spezifische Konfiguration für diese Dienstlösung.

Citrix ADC WAF und OWASP Top Ten – 2017

Das Open Web Application Security Project: OWASP (veröffentlichte die OWASP Top 10 für 2017 für die Sicherheit von Webanwendungen. Diese Liste dokumentiert die häufigsten Schwachstellen von Webanwendungen und ist ein hervorragender Ausgangspunkt zur Bewertung der Websicherheit. Hier beschreiben wir, wie die Citrix ADC Web Application Firewall (WAF) konfiguriert wird, um diese Schwachstellen zu mindern. WAF ist als integriertes Modul im Citrix ADC (Premium Edition) und in einer vollständigen Palette von Appliances verfügbar.

Das vollständige OWASP Top 10 Dokument ist unter OWASP Top Ten verfügbar.

A1:2017 – Injection

Injection-Schwachstellen, wie z. B. SQL-, NoSQL-, OS- und LDAP-Injection, treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die bösartigen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder ohne entsprechende Autorisierung auf Daten zuzugreifen.

ADC WAF-Schutzmaßnahmen

• Die Funktion zur Verhinderung von SQL-Injection schützt vor gängigen Injection-Angriffen. Benutzerdefinierte Injection-Muster können hochgeladen werden, um vor jeder Art von Injection-Angriffen, einschließlich XPath und LDAP, zu schützen. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• Die Funktion zur automatischen Signaturaktualisierung hält die Injection-Signaturen auf dem neuesten Stand.

• Die Feldschutzfunktion ermöglicht es dem Administrator, jeden Benutzerparameter auf einen regulären Ausdruck zu beschränken. Sie können beispielsweise erzwingen, dass ein Postleitzahlenfeld nur ganze Zahlen oder sogar 5-stellige ganze Zahlen enthält.

• Formularfeldkonsistenz: Validieren Sie jedes übermittelte Benutzerformular anhand der Formularsignatur der Benutzersitzung, um die Gültigkeit aller Formularelemente sicherzustellen.

• Pufferüberlaufprüfungen stellen sicher, dass die URL, Header und Cookies innerhalb der richtigen Grenzen liegen, und blockieren alle Versuche, große Skripte oder Code einzuschleusen.

A2:2017 – Fehlerhafte Authentifizierung

Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsverwaltung werden oft falsch implementiert, was Angreifern ermöglicht, Passwörter, Schlüssel oder Sitzungstoken zu kompromittieren oder andere Implementierungsfehler auszunutzen, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen.

ADC WAF-Schutzmaßnahmen

• Das Citrix ADC AAA-Modul führt die Benutzerauthentifizierung durch und bietet Single Sign-On-Funktionalität für Backend-Anwendungen. Dies ist in die Citrix ADC AppExpert Policy Engine integriert, um benutzerdefinierte Richtlinien basierend auf Benutzer- und Gruppeninformationen zu ermöglichen.

• Mithilfe von SSL-Offloading- und URL-Transformationsfunktionen kann die Firewall Websites auch dabei unterstützen, sichere Transportschichtprotokolle zu verwenden, um das Stehlen von Sitzungstoken durch Netzwerk-Sniffing zu verhindern.

• Cookie-Proxying und Cookie-Verschlüsselung können eingesetzt werden, um das Stehlen von Cookies vollständig zu verhindern.

A3:2017 – Offenlegung sensibler Daten

Viele Webanwendungen und APIs schützen sensible Daten wie Finanz-, Gesundheits- und PII-Daten nicht ordnungsgemäß. Angreifer können solche schlecht geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen zu begehen. Sensible Daten können ohne zusätzlichen Schutz, wie Verschlüsselung im Ruhezustand oder während der Übertragung, kompromittiert werden und erfordern besondere Vorsichtsmaßnahmen beim Austausch mit dem Browser.

ADC WAF-Schutzmaßnahmen

• Die Application Firewall schützt Anwendungen vor dem Verlust sensibler Daten wie Kreditkartendaten.

• Sensible Daten können als sichere Objekte im Safe Commerce-Schutz konfiguriert werden, um eine Offenlegung zu vermeiden.

• Alle sensiblen Daten in Cookies können durch Cookie-Proxying und Cookie-Verschlüsselung geschützt werden.

A4:2017 XML Externe Entitäten (XXE)

Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsreferenzen in XML-Dokumenten aus. Externe Entitäten können verwendet werden, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, interne Port-Scans, Remote-Code-Ausführung und Denial-of-Service-Angriffe offenzulegen.

ADC WAF-Schutzmaßnahmen

• Zusätzlich zur Erkennung und Blockierung gängiger Anwendungsbedrohungen, die für Angriffe auf XML-basierte Anwendungen angepasst werden können (d. h. Cross-Site-Scripting, Command Injection usw.).

• Die ADC Application Firewall umfasst eine Vielzahl von XML-spezifischen Sicherheitsmaßnahmen. Dazu gehören die Schema-Validierung zur gründlichen Überprüfung von SOAP-Nachrichten und XML-Nutzdaten sowie eine leistungsstarke XML-Anhangsprüfung, um Anhänge mit bösartigen ausführbaren Dateien oder Viren zu blockieren.

• Automatische Traffic-Inspektionsmethoden blockieren XPath-Injection-Angriffe auf URLs und Formulare, die darauf abzielen, Zugriff zu erlangen.

• Die ADC Application Firewall vereitelt auch verschiedene DoS-Angriffe, einschließlich externer Entitätsreferenzen, rekursiver Erweiterung, übermäßiger Verschachtelung und bösartiger Nachrichten, die entweder lange oder viele Attribute und Elemente enthalten.

A5:2017 Fehlerhafte Zugriffskontrolle

Einschränkungen dessen, was authentifizierte Benutzer tun dürfen, werden oft nicht richtig durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um auf unbefugte Funktionen und Daten zuzugreifen, wie z. B. auf Konten anderer Benutzer zuzugreifen, vertrauliche Dateien anzuzeigen, Daten anderer Benutzer zu ändern, Zugriffsrechte zu ändern und so weiter.

ADC WAF-Schutzmaßnahmen

• Die AAA-Funktion, die Authentifizierung, Autorisierung und Auditierung für den gesamten Anwendungsverkehr unterstützt, ermöglicht es einem Site-Administrator, Zugriffskontrollen mit der ADC-Appliance zu verwalten.

• Die Sicherheitsfunktion „Autorisierung“ innerhalb des AAA-Moduls der ADC-Appliance ermöglicht es der Appliance zu überprüfen, auf welche Inhalte auf einem geschützten Server jeder Benutzer zugreifen darf.

• Formularfeldkonsistenz: Wenn Objektverweise als versteckte Felder in Formularen gespeichert werden, können Sie mithilfe der Formularfeldkonsistenz überprüfen, ob diese Felder bei nachfolgenden Anfragen nicht manipuliert wurden.

• Cookie-Proxying und Cookie-Konsistenz: Objektverweise, die in Cookie-Werten gespeichert sind, können mit diesen Schutzmaßnahmen validiert werden.

• Start-URL-Prüfung mit URL-Abschluss: Ermöglicht Benutzern den Zugriff auf eine vordefinierte Positivliste von URLs. Der URL-Abschluss erstellt eine Liste aller URLs, die in gültigen Antworten während der Benutzersitzung gesehen wurden, und erlaubt automatisch den Zugriff darauf während dieser Sitzung.

A6:2017 – Sicherheitsfehlkonfiguration

Sicherheitsfehlkonfiguration ist das am häufigsten auftretende Problem. Dies ist häufig das Ergebnis unsicherer Standardkonfigurationen, unvollständiger oder improvisierter Konfigurationen, offener Cloud-Speicher, falsch konfigurierter HTTP-Header und ausführlicher Fehlermeldungen, die sensible Informationen enthalten. Nicht nur alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen müssen sicher konfiguriert sein, sondern sie müssen auch rechtzeitig gepatcht und aktualisiert werden.

ADC WAF-Schutzmaßnahmen

• Der von der Application Firewall generierte PCI-DSS-Bericht dokumentiert die Sicherheitseinstellungen auf dem Firewall-Gerät.

• Berichte der Scan-Tools werden in ADC WAF-Signaturen umgewandelt, um Sicherheitsfehlkonfigurationen zu beheben.

• ADC WAF unterstützt Cenzic, IBM AppScan (Enterprise und Standard), Qualys, TrendMicro, WhiteHat und benutzerdefinierte Schwachstellenscan-Berichte.

A7:2017 - Cross-Site-Scripting (XSS)

XSS-Schwachstellen treten auf, wenn eine Anwendung unvertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Maskierung in eine neue Webseite einfügt oder eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über eine Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten können.

ADC WAF-Schutzmaßnahmen

• Der XSS-Schutz schützt vor gängigen XSS-Angriffen. Benutzerdefinierte XSS-Muster können hochgeladen werden, um die Standardliste der zulässigen Tags und Attribute zu ändern. Die ADC WAF verwendet eine Whitelist zulässiger HTML-Attribute und -Tags, um XSS-Angriffe zu erkennen. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• ADC WAF blockiert alle Angriffe, die im OWASP XSS Filter Evaluation Cheat Sheet aufgeführt sind.

• Die Feldformatprüfung verhindert, dass ein Angreifer unangemessene Webformulardaten sendet, die einen potenziellen XSS-Angriff darstellen könnten.

• Konsistenz der Formularfelder.

A8:2017 - Unsichere Deserialisierung

Unsichere Deserialisierung führt oft zur Remotecodeausführung. Auch wenn Deserialisierungsfehler nicht zur Remotecodeausführung führen, können sie für Angriffe wie Replay-Angriffe, Injektionsangriffe und Angriffe zur Privilegienerhöhung verwendet werden.

ADC WAF-Schutzmaßnahmen

• JSON-Payload-Inspektion mit benutzerdefinierten Signaturen.

• XML-Sicherheit: schützt vor XML-Denial-of-Service (xDoS), XML-SQL- und Xpath-Injektion sowie Cross-Site-Scripting, Formatprüfungen, WS-I Basic Profile-Konformität, XML-Anhangsprüfung.

• Feldformatprüfungen sowie Cookie-Konsistenz und Feldkonsistenz können verwendet werden.

A9:2017 - Verwendung von Komponenten mit bekannten Schwachstellen

Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule werden mit denselben Berechtigungen wie die Anwendung ausgeführt. Wird eine anfällige Komponente ausgenutzt, kann ein solcher Angriff zu schwerwiegendem Datenverlust oder einer Serverübernahme führen. Anwendungen und APIs, die Komponenten mit bekannten Schwachstellen verwenden, können die Anwendungsverteidigung untergraben und verschiedene Angriffe und Auswirkungen ermöglichen.

ADC WAF-Schutzfunktionen

• Citrix empfiehlt, die Komponenten von Drittanbietern auf dem neuesten Stand zu halten.

• Berichte über Schwachstellenscans, die in ADC-Signaturen umgewandelt werden, können verwendet werden, um diese Komponenten virtuell zu patchen.

• Anwendungs-Firewall-Vorlagen, die für diese anfälligen Komponenten verfügbar sind, können verwendet werden.

• Benutzerdefinierte Signaturen können an die Firewall gebunden werden, um diese Komponenten zu schützen.

A10:2017 – Unzureichende Protokollierung und Überwachung

Unzureichende Protokollierung und Überwachung, gepaart mit fehlender oder ineffektiver Integration in die Reaktion auf Vorfälle, ermöglicht es Angreifern, Systeme weiter anzugreifen, Persistenz aufrechtzuerhalten, auf weitere Systeme überzugehen und Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Erkennungszeit für eine Sicherheitsverletzung über 200 Tage beträgt, wobei sie typischerweise von externen Parteien und nicht durch interne Prozesse oder Überwachung entdeckt wird.

ADC WAF-Schutzfunktionen

• Wenn die Protokollierungsaktion für Sicherheitsprüfungen oder Signaturen aktiviert ist, liefern die resultierenden Protokollmeldungen Informationen über die Anfragen und Antworten, die die Anwendungs-Firewall beim Schutz Ihrer Websites und Anwendungen beobachtet hat.

• Die Anwendungs-Firewall bietet den Komfort, die integrierte ADC-Datenbank zur Identifizierung der Standorte zu verwenden, die den IP-Adressen entsprechen, von denen bösartige Anfragen stammen.

• Standardformat-(PI)-Ausdrücke bieten die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen, mit der Option, die spezifischen Daten hinzuzufügen, die in den von der Anwendungs-Firewall generierten Protokollmeldungen erfasst werden sollen.

• Die Anwendungs-Firewall unterstützt CEF-Protokolle.

Anwendungssicherheitsschutz

Citrix ADM

Citrix Application Delivery Management Service (Citrix ADM) bietet eine skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web™ Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN Appliances umfassen, die On-Premises oder in der Cloud bereitgestellt werden.

Citrix ADM Anwendungsanalyse- und Verwaltungsfunktionen

Nachfolgend sind die wichtigsten Funktionen aufgeführt und zusammengefasst, die für die Rolle von ADM in der Anwendungssicherheit entscheidend sind.

Anwendungsanalyse und -verwaltung

Die Funktion zur Anwendungsanalyse und -verwaltung von Citrix ADM stärkt den anwendungszentrierten Ansatz, um Benutzern bei der Bewältigung verschiedener Herausforderungen bei der Anwendungsbereitstellung zu helfen. Dieser Ansatz bietet Benutzern Einblick in die Integritätsbewertungen von Anwendungen, hilft Benutzern, Sicherheitsrisiken zu bestimmen, und hilft Benutzern, Anomalien in den Anwendungsverkehrsflüssen zu erkennen und Korrekturmaßnahmen zu ergreifen. Am wichtigsten unter diesen Rollen für die Anwendungssicherheit ist die Anwendungs-Sicherheitsanalyse:

• Anwendungssicherheitsanalyse: Application Security Analytics. Das App Security Dashboard bietet eine ganzheitliche Ansicht des Sicherheitsstatus von Benutzeranwendungen. Es zeigt beispielsweise wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes an. Das App Security Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Angriffe, Small-Window-Angriffe und DNS-Flood-Angriffe für die erkannten Citrix ADC-Instanzen an.

Stylebooks

StyleBooks vereinfachen die Verwaltung komplexer Citrix ADC-Konfigurationen für Benutzeranwendungen. Ein StyleBook ist eine Vorlage, die Benutzer zum Erstellen und Verwalten von Citrix ADC-Konfigurationen verwenden können. Hier geht es den Benutzern hauptsächlich um das StyleBook, das zur Bereitstellung der Web Application Firewall verwendet wird. Weitere Informationen zu StyleBooks finden Sie unter: StyleBooks.

Analysen

Bietet eine einfache und skalierbare Möglichkeit, die verschiedenen Einblicke in die Daten der Citrix ADC-Instanzen zu untersuchen, um die Anwendungsleistung zu beschreiben, vorherzusagen und zu verbessern. Benutzer können eine oder mehrere Analysefunktionen gleichzeitig verwenden. Die wichtigsten dieser Rollen für die Anwendungssicherheit sind:

• Security Insight: Security Insight. Bietet eine Single-Pane-Lösung, um Benutzern bei der Bewertung des Sicherheitsstatus von Benutzeranwendungen zu helfen und Korrekturmaßnahmen zur Sicherung von Benutzeranwendungen zu ergreifen.

• Bot Insight

• Weitere Informationen zu Analysen finden Sie unter: Analytics.

Weitere Funktionen, die für die ADM-Funktionalität wichtig sind, sind:

Ereignisverwaltung

Ereignisse stellen das Auftreten von Ereignissen oder Fehlern auf einer verwalteten Citrix ADC-Instanz dar. Wenn beispielsweise ein Systemfehler oder eine Konfigurationsänderung auftritt, wird ein Ereignis generiert und in Citrix ADM aufgezeichnet. Im Folgenden sind die zugehörigen Funktionen aufgeführt, die Benutzer mit Citrix ADM konfigurieren oder anzeigen können:

• Erstellen von Ereignisregeln: Ereignisregeln erstellen

• Syslog-Meldungen anzeigen und exportieren: Syslog-Meldungen anzeigen und exportieren

Weitere Informationen zur Ereignisverwaltung finden Sie unter: Ereignisse.

Instanzverwaltung

Ermöglicht Benutzern die Verwaltung der Citrix ADC-, Citrix Gateway-, Citrix Secure Web Gateway- und Citrix SD-WAN-Instanzen. Weitere Informationen zur Instanzverwaltung finden Sie unter: Instanzen hinzufügen.

Lizenzverwaltung

Ermöglicht Benutzern die Verwaltung von Citrix ADC-Lizenzen durch Konfigurieren von Citrix ADM als Lizenzmanager.

• Citrix ADC Pooled Capacity: Pooled Capacity. Ein gemeinsamer Lizenzpool, aus dem eine Citrix ADC-Benutzerinstanz eine Instanzlizenz und nur so viel Bandbreite entnehmen kann, wie sie benötigt. Wenn die Instanz diese Ressourcen nicht mehr benötigt, gibt sie diese an den gemeinsamen Pool zurück, wodurch die Ressourcen anderen Instanzen zur Verfügung stehen, die sie benötigen.

• Citrix ADC VPX Check-in- und Check-out-Lizenzierung: Citrix ADC VPX Check-in- und Check-out-Lizenzierung. Citrix ADM weist Citrix ADC VPX-Instanzen bei Bedarf Lizenzen zu. Eine Citrix ADC VPX-Instanz kann die Lizenz von Citrix ADM entnehmen, wenn eine Citrix ADC VPX-Instanz bereitgestellt wird, oder ihre Lizenz an Citrix ADM zurückgeben, wenn eine Instanz entfernt oder zerstört wird.

• Weitere Informationen zur Lizenzverwaltung finden Sie unter: Pooled Capacity.

Konfigurationsverwaltung

Citrix ADM ermöglicht Benutzern das Erstellen von Konfigurationsaufträgen, die ihnen helfen, Konfigurationsaufgaben wie das Erstellen von Entitäten, das Konfigurieren von Funktionen, die Replikation von Konfigurationsänderungen, System-Upgrades und andere Wartungsaktivitäten auf mehreren Instanzen problemlos durchzuführen. Konfigurationsaufträge und -vorlagen vereinfachen die sich am häufigsten wiederholenden Verwaltungsaufgaben zu einer einzigen Aufgabe in Citrix ADM. Weitere Informationen zur Konfigurationsverwaltung finden Sie unter Konfigurationsaufträge: Konfigurationsaufträge.

Konfigurationsprüfung

Ermöglicht Benutzern die Überwachung und Identifizierung von Anomalien in den Konfigurationen über Benutzerinstanzen hinweg.

• Konfigurationsempfehlung: Konfigurationsempfehlung für Netzwerkkonfiguration erhalten. Ermöglicht Benutzern die Identifizierung von Konfigurationsanomalien.

• Audit-Vorlage: Audit-Vorlagen erstellen. Ermöglicht Benutzern, die Änderungen über eine bestimmte Konfiguration hinweg zu überwachen.

• Weitere Informationen zur Konfigurationsprüfung finden Sie unter: Konfigurationsprüfung.

Signaturen bieten die folgenden Bereitstellungsoptionen, um Benutzern zu helfen, den Schutz von Benutzeranwendungen zu optimieren:

• Negatives Sicherheitsmodell: Mit dem negativen Sicherheitsmodell verwenden Benutzer eine Vielzahl vorkonfigurierter Signaturregeln, um die Leistungsfähigkeit des Musterabgleichs zur Erkennung von Angriffen und zum Schutz vor Anwendungsschwachstellen zu nutzen. Benutzer blockieren nur das, was sie nicht wollen, und erlauben den Rest. Benutzer können eigene Signaturregeln hinzufügen, basierend auf den spezifischen Sicherheitsanforderungen der Benutzeranwendungen, um eigene maßgeschneiderte Sicherheitslösungen zu entwickeln.

• Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Benutzer positive Sicherheitsprüfungen verwenden, um eine Konfiguration zu erstellen, die ideal für Benutzeranwendungen geeignet ist. Verwenden Sie Signaturen, um zu blockieren, was Benutzer nicht wollen, und verwenden Sie positive Sicherheitsprüfungen, um durchzusetzen, was erlaubt ist.

Um Benutzeranwendungen mithilfe von Signaturen zu schützen, müssen Benutzer ein oder mehrere Profile konfigurieren, um ihr Signaturobjekt zu verwenden. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln im Benutzersignaturobjekt nicht nur von den Signaturregeln, sondern auch von den positiven Sicherheitsprüfungen verwendet, die im Web Application Firewall-Profil konfiguriert sind, das das Signaturobjekt verwendet.

Die Web Application Firewall untersucht den Datenverkehr zu benutzergeschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der einer Signatur entspricht. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel dem Datenverkehr entspricht. Wenn eine Übereinstimmung auftritt, werden die für die Regel angegebenen Aktionen aufgerufen. Benutzer können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anforderung blockiert wird. Protokollmeldungen können Benutzern helfen, Angriffe zu identifizieren, die gegen Benutzeranwendungen gestartet werden. Wenn Benutzer Statistiken aktivieren, pflegt die Web Application Firewall Daten über Anforderungen, die einer Web Application Firewall-Signatur oder Sicherheitsprüfung entsprechen.

Wenn der Datenverkehr sowohl einer Signatur als auch einer positiven Sicherheitsprüfung entspricht, wird die restriktivere der beiden Aktionen erzwungen. Wenn beispielsweise eine Anforderung einer Signaturregel entspricht, für die die Blockierungsaktion deaktiviert ist, die Anforderung aber auch einer positiven SQL-Injection-Sicherheitsprüfung entspricht, für die die Aktion Blockieren ist, wird die Anforderung blockiert. In diesem Fall kann die Signaturverletzung als <nicht blockiert> protokolliert werden, obwohl die Anforderung durch die SQL-Injection-Prüfung blockiert wird.

Anpassung: Bei Bedarf können Benutzer eigene Regeln zu einem Signaturobjekt hinzufügen. Benutzer können auch die SQL/XSS-Muster anpassen. Die Möglichkeit, eigene Signaturregeln basierend auf den spezifischen Sicherheitsanforderungen der Benutzeranwendungen hinzuzufügen, gibt Benutzern die Flexibilität, eigene maßgeschneiderte Sicherheitslösungen zu entwickeln. Benutzer blockieren nur das, was sie nicht wollen, und erlauben den Rest. Ein spezifisches Schnellabgleichsmuster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Benutzer können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Ausdruckseditoren helfen Benutzern, Benutzer-Muster zu konfigurieren und deren Genauigkeit zu überprüfen.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, die erfordern, dass jeder Dienst als separate virtuelle Appliance bereitgestellt wird, kombiniert Citrix ADC auf AWS L4-Lastverteilung, L7-Datenverkehrsmanagement, Server-Offload, Anwendungsbeschleunigung, Anwendungssicherheit, flexible Lizenzierung und andere wesentliche Funktionen zur Anwendungsbereitstellung in einer einzigen VPX-Instanz, die bequem über den AWS Marketplace verfügbar ist. Darüber hinaus wird alles durch ein einziges Richtlinien-Framework gesteuert und mit denselben leistungsstarken Tools verwaltet, die zur Administration von lokalen Citrix ADC-Bereitstellungen verwendet werden. Das Endergebnis ist, dass Citrix ADC auf AWS mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Bedürfnisse der heutigen Unternehmen unterstützen, sondern auch die fortlaufende Entwicklung von älteren Computerinfrastrukturen zu Unternehmens-Cloud-Rechenzentren.

Citrix Web Application Firewall (WAF)

Citrix Web Application Firewall (WAF) ist eine Unternehmenslösung, die modernste Schutzfunktionen für moderne Anwendungen bietet. Citrix WAF mindert Bedrohungen für öffentlich zugängliche Assets, einschließlich Websites, Webanwendungen und APIs. Citrix WAF umfasst IP-Reputations-basiertes Filtern, Bot-Minderung, Schutz vor OWASP Top 10 Anwendungsbedrohungen, Layer 7 DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Erzwingung von Authentifizierung, starken SSL/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Rewrite-Richtlinien. Durch die Verwendung sowohl grundlegender als auch erweiterter WAF-Schutzfunktionen bietet Citrix WAF umfassenden Schutz für Ihre Anwendungen mit unübertroffener Benutzerfreundlichkeit. Die Inbetriebnahme ist eine Sache von Minuten. Darüber hinaus spart Citrix WAF den Benutzern durch die Verwendung eines automatisierten Lernmodells, genannt dynamisches Profiling, wertvolle Zeit. Indem Citrix WAF automatisch lernt, wie eine geschützte Anwendung funktioniert, passt sie sich der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Citrix WAF hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Gremien, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit der automatischen Skalierung können Benutzer sicher sein, dass ihre Anwendungen geschützt bleiben, selbst wenn ihr Datenverkehr zunimmt.

Bereitstellungsstrategie für die Web Application Firewall

Der erste Schritt zur Bereitstellung der Web Application Firewall besteht darin, zu bewerten, welche Anwendungen oder spezifischen Daten den maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und welche Sicherheitsprüfung sicher umgangen werden kann. Dies hilft Benutzern, eine optimale Konfiguration zu erstellen und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Benutzer könnten beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu umgehen, und eine andere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um verschiedene Inhalte derselben Anwendung zu schützen.

Der nächste Schritt ist das Baselining der Bereitstellung. Beginnen Sie mit der Erstellung eines virtuellen Servers und leiten Sie Testdatenverkehr darüber, um eine Vorstellung von der Rate und Menge des Datenverkehrs zu erhalten, der durch das Benutzersystem fließt.

Stellen Sie anschließend die Web Application Firewall bereit. Verwenden Sie Citrix ADM und das Web Application Firewall StyleBook, um die Web Application Firewall zu konfigurieren. Details finden Sie im Abschnitt StyleBook weiter unten in diesem Handbuch.

Nachdem die Web Application Firewall bereitgestellt und mit dem Web Application Firewall StyleBook konfiguriert wurde, wäre ein nützlicher nächster Schritt die Implementierung der Citrix ADC WAF und der OWASP Top Ten.

Schließlich sind drei der Web Application Firewall-Schutzmaßnahmen besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger verwendet als alle anderen. Daher sollten sie bei der Erstbereitstellung implementiert werden. Dies sind:

• HTML-Cross-Site-Scripting. Untersucht Anfragen und Antworten auf Skripte, die versuchen, Inhalte auf einer anderen Website als der, auf der sich das Skript befindet, aufzurufen oder zu ändern. Wenn diese Prüfung ein solches Skript findet, macht sie das Skript entweder harmlos, bevor sie die Anfrage oder Antwort an ihr Ziel weiterleitet, oder sie blockiert die Verbindung.

• HTML-SQL-Injection. Untersucht Anfragen, die Formularfelddaten enthalten, auf Versuche, SQL-Befehle in eine SQL-Datenbank einzuschleusen. Wenn diese Prüfung eingeschleusten SQL-Code erkennt, blockiert sie entweder die Anfrage oder macht den eingeschleusten SQL-Code harmlos, bevor sie die Anfrage an den Webserver weiterleitet.

Hinweis: Wenn beide der folgenden Bedingungen auf die Benutzerkonfiguration zutreffen, sollten Benutzer sicherstellen, dass Ihre Web Application Firewall korrekt konfiguriert ist:

• Wenn Benutzer die HTML-Cross-Site-Scripting-Prüfung oder die HTML-SQL-Injection-Prüfung (oder beide) aktivieren, und

• Benutzergeschützte Websites Dateiuploads akzeptieren oder Webformulare enthalten, die große POST-Body-Daten enthalten können.

Weitere Informationen zum Konfigurieren der Web Application Firewall zur Behandlung dieses Falls finden Sie unter Konfigurieren der Application Firewall: Konfigurieren der Web App Firewall.

• Pufferüberlauf. Untersucht Anfragen, um Versuche zu erkennen, einen Pufferüberlauf auf dem Webserver zu verursachen.

Konfigurieren der Web Application Firewall (WAF)

Die folgenden Schritte setzen voraus, dass die WAF bereits aktiviert ist und ordnungsgemäß funktioniert.

Citrix empfiehlt Benutzern, die WAF mithilfe des Web Application Firewall StyleBooks zu konfigurieren. Die meisten Benutzer empfinden dies als die einfachste Methode zur Konfiguration der Web Application Firewall, und sie ist darauf ausgelegt, Fehler zu vermeiden. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, hauptsächlich um eine bestehende Konfiguration zu ändern oder erweiterte Optionen zu nutzen.

SQL-Injection

Die Application Firewall HTML SQL Injection-Prüfung bietet spezielle Abwehrmaßnahmen gegen die Einschleusung von nicht autorisiertem SQL-Code, der die Anwendungssicherheit des Benutzers beeinträchtigen könnte. Citrix Web Application Firewall untersucht die Anforderungsnutzlast auf eingeschleusten SQL-Code an drei Stellen: 1) POST-Body, 2) Header und 3) Cookies.

Ein Standardsatz von Schlüsselwörtern und Sonderzeichen enthält bekannte Schlüsselwörter und Sonderzeichen, die häufig für SQL-Angriffe verwendet werden. Benutzer können auch neue Muster hinzufügen und den Standardsatz bearbeiten, um die SQL-Prüfung anzupassen.

Es gibt mehrere Parameter, die für die SQL-Injection-Verarbeitung konfiguriert werden können. Benutzer können nach SQL-Platzhalterzeichen suchen. Benutzer können den SQL-Injection-Typ ändern und eine der 4 Optionen (SQLKeyword, SQLSplChar, SQLSplCharANDKeyword, SQLSplCharORKeyword) auswählen, um anzugeben, wie die SQL-Schlüsselwörter und SQL-Sonderzeichen bei der Verarbeitung der Nutzlast bewertet werden sollen. Der Parameter SQL Comments Handling bietet Benutzern die Möglichkeit, den Typ der Kommentare anzugeben, die während der SQL-Injection-Erkennung überprüft oder ausgenommen werden müssen.

Benutzer können Lockerungen bereitstellen, um Fehlalarme zu vermeiden. Die Lern-Engine kann Empfehlungen für die Konfiguration von Lockerungsregeln geben.

Die folgenden Optionen stehen zur Konfiguration eines optimierten SQL-Injection-Schutzes für die Benutzeranwendung zur Verfügung:

Blockieren — Wenn Benutzer die Blockierung aktivieren, wird die Blockierungsaktion nur ausgelöst, wenn die Eingabe der Spezifikation des SQL-Injection-Typs entspricht. Wenn beispielsweise SQLSplCharANDKeyword als SQL-Injection-Typ konfiguriert ist, wird eine Anforderung nicht blockiert, wenn sie keine Schlüsselwörter enthält, selbst wenn SQL-Sonderzeichen in der Eingabe erkannt werden. Eine solche Anforderung wird blockiert, wenn der SQL-Injection-Typ entweder auf SQLSplChar oder SQLSplCharORKeyword eingestellt ist.

Protokollieren — Wenn Benutzer die Protokollierungsfunktion aktivieren, generiert die SQL-Injection-Prüfung Protokollmeldungen, die die von ihr durchgeführten Aktionen anzeigen. Wenn die Blockierung deaktiviert ist, wird für jedes Eingabefeld, in dem die SQL-Verletzung erkannt wurde, eine separate Protokollmeldung generiert. Es wird jedoch nur eine Meldung generiert, wenn die Anforderung blockiert wird. Ebenso wird eine Protokollmeldung pro Anforderung für den Transformationsvorgang generiert, selbst wenn SQL-Sonderzeichen in mehreren Feldern transformiert werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anforderungen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Angriffsversuche hindeuten.

Statistiken — Wenn aktiviert, sammelt die Statistikfunktion Daten über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hindeuten, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration überprüfen, um festzustellen, ob sie neue Lockerungsregeln konfigurieren oder die bestehenden ändern müssen.

Lernen — Wenn Benutzer nicht sicher sind, welche SQL-Lockerungsregeln ideal für ihre Anwendungen geeignet sind, können sie die Lernfunktion verwenden, um Empfehlungen basierend auf den gelernten Daten zu generieren. Die Lern-Engine der Web Application Firewall überwacht den Datenverkehr und liefert SQL-Lernempfehlungen basierend auf den beobachteten Werten. Um den optimalen Nutzen ohne Leistungseinbußen zu erzielen, möchten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um eine repräsentative Stichprobe der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

SQL-Sonderzeichen transformieren – Die Web Application Firewall betrachtet drei Zeichen, das einfache Anführungszeichen (‘), den Backslash () und das Semikolon (;) als Sonderzeichen für die SQL-Sicherheitsprüfung. Die SQL-Transformationsfunktion modifiziert den SQL-Injection-Code in einer HTML-Anforderung, um sicherzustellen, dass die Anforderung harmlos gemacht wird. Die modifizierte HTML-Anforderung wird dann an den Server gesendet. Alle Standard-Transformationsregeln sind in der Datei /netscaler/default_custom_settings.xml angegeben.

• Der Transformationsvorgang macht den SQL-Code inaktiv, indem er die folgenden Änderungen an der Anforderung vornimmt:

• Einfaches gerades Anführungszeichen (‘) zu doppeltem geradem Anführungszeichen (“).

• Backslash () zu doppeltem Backslash (\).

• Semikolon (;) wird vollständig entfernt.

Diese drei Zeichen (Sonderzeichenketten) sind notwendig, um Befehle an einen SQL-Server zu senden. Sofern ein SQL-Befehl nicht mit einer Sonderzeichenkette eingeleitet wird, ignorieren die meisten SQL-Server diesen Befehl. Daher verhindern die Änderungen, die die Web Application Firewall bei aktivierter Transformation vornimmt, dass ein Angreifer aktiven SQL-Code einschleust. Nachdem diese Änderungen vorgenommen wurden, kann die Anforderung sicher an die durch den Benutzer geschützte Website weitergeleitet werden. Wenn Webformulare auf der durch den Benutzer geschützten Website legitimerweise SQL-Sonderzeichenketten enthalten können, die Webformulare jedoch nicht auf die Sonderzeichenketten angewiesen sind, um korrekt zu funktionieren, können Benutzer die Blockierung deaktivieren und die Transformation aktivieren, um die Blockierung legitimer Webformulardaten zu verhindern, ohne den Schutz zu verringern, den die Web Application Firewall den durch den Benutzer geschützten Websites bietet.

Der Transformationsvorgang funktioniert unabhängig von der Einstellung SQL Injection Type. Wenn die Transformation aktiviert ist und der SQL-Injection-Typ als SQL-Schlüsselwort angegeben ist, werden SQL-Sonderzeichen transformiert, auch wenn die Anforderung keine Schlüsselwörter enthält.

Tipp: Benutzer aktivieren normalerweise entweder die Transformation oder das Blockieren, aber nicht beides. Wenn die Blockierungsaktion aktiviert ist, hat sie Vorrang vor der Transformationsaktion. Wenn Benutzer das Blockieren aktiviert haben, ist die Aktivierung der Transformation redundant.

Auf SQL-Platzhalterzeichen prüfen – Platzhalterzeichen können verwendet werden, um die Auswahl einer SQL-SELECT-Anweisung zu erweitern. Diese Platzhalteroperatoren können mit den Operatoren LIKE und NOT LIKE verwendet werden, um einen Wert mit ähnlichen Werten zu vergleichen. Die Zeichen Prozent (%) und Unterstrich (_) werden häufig als Platzhalter verwendet. Das Prozentzeichen ist analog zum Sternchen (*)-Platzhalterzeichen, das mit MS-DOS verwendet wird, und zum Abgleichen von null, einem oder mehreren Zeichen in einem Feld. Der Unterstrich ähnelt dem Fragezeichen (?)-Platzhalterzeichen von MS-DOS. Er gleicht eine einzelne Zahl oder ein Zeichen in einem Ausdruck ab.

Benutzer können beispielsweise die folgende Abfrage verwenden, um eine Zeichenfolgensuche durchzuführen und alle Kunden zu finden, deren Namen das Zeichen D enthalten.

Wähle alle Spalten aus der Tabelle ‘customer’ aus, bei denen der Name dem Muster „%D%“ entspricht:

Das folgende Beispiel kombiniert die Operatoren, um alle Gehaltswerte zu finden, die an zweiter und dritter Stelle eine 0 haben.

Wähle alle Spalten aus der Tabelle ‘customer’ aus, bei denen das Gehalt dem Muster „_00%“ entspricht:

Verschiedene DBMS-Anbieter haben die Platzhalterzeichen durch Hinzufügen weiterer Operatoren erweitert. Die Citrix Web Application Firewall kann vor Angriffen schützen, die durch das Einschleusen dieser Platzhalterzeichen gestartet werden. Die 5 Standard-Platzhalterzeichen sind Prozent (%), Unterstrich (_), Zirkumflex (^), öffnende Klammer ([), and closing bracket (]). Dieser Schutz gilt sowohl für HTML- als auch für XML-Profile.

Die Standard-Platzhalterzeichen sind eine Liste von Literalen, die in den Default Signatures angegeben sind:

• <wildchar type=” WÖRTLICH”>%</wildchar>

• <wildchar type=”WÖRTLICH”>_</wildchar>

• <wildchar type=”WÖRTLICH”>^</wildchar>

• <wildchar type=”WÖRTLICH”>[</wildchar>

• <wildchar type=”WÖRTLICH”>]</wildchar>

Platzhalterzeichen in einem Angriff können PCRE sein, wie [^A-F]. Die Web Application Firewall unterstützt auch PCRE-Platzhalter, aber die oben genannten Literal-Platzhalterzeichen reichen aus, um die meisten Angriffe zu blockieren.

Hinweis: Die Überprüfung auf SQL-Platzhalterzeichen unterscheidet sich von der Überprüfung auf SQL-Sonderzeichen. Diese Option muss mit Vorsicht verwendet werden, um Fehlalarme zu vermeiden.

Anfrage auf SQL-Injection-Typ prüfen – Die Web Application Firewall bietet 4 Optionen, um den gewünschten Grad an Strenge für die SQL-Injection-Inspektion zu implementieren, basierend auf den individuellen Anforderungen der Anwendung. Die Anfrage wird anhand der Spezifikation des Injection-Typs auf SQL-Verletzungen überprüft. Die 4 SQL-Injection-Typ-Optionen sind:

• SQL-Sonderzeichen und -Schlüsselwort – Sowohl ein SQL-Schlüsselwort als auch ein SQL-Sonderzeichen müssen in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Diese am wenigsten restriktive Einstellung ist auch die Standardeinstellung.

• SQL-Sonderzeichen – Mindestens eines der Sonderzeichen muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen.

• SQL-Schlüsselwort – Mindestens eines der angegebenen SQL-Schlüsselwörter muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Wählen Sie diese Option nicht ohne sorgfältige Überlegung. Um Fehlalarme zu vermeiden, stellen Sie sicher, dass keines der Schlüsselwörter in den Eingaben erwartet wird.

• SQL-Sonderzeichen oder -Schlüsselwort – Entweder das Schlüsselwort oder die Sonderzeichenfolge muss in der Eingabe vorhanden sein, um die Sicherheitsüberprüfungsverletzung auszulösen.

Tipp: Wenn Benutzer die Web Application Firewall so konfigurieren, dass sie nach Eingaben sucht, die ein SQL-Sonderzeichen enthalten, überspringt die Web Application Firewall Webformularfelder, die keine Sonderzeichen enthalten. Da die meisten SQL-Server keine SQL-Befehle verarbeiten, denen kein Sonderzeichen vorangestellt ist, kann die Aktivierung dieser Option die Last auf der Web Application Firewall erheblich reduzieren und die Verarbeitung beschleunigen, ohne die geschützten Websites des Benutzers zu gefährden.

Umgang mit SQL-Kommentaren – Standardmäßig überprüft die Web Application Firewall alle SQL-Kommentare auf injizierte SQL-Befehle. Viele SQL-Server ignorieren jedoch alles in einem Kommentar, selbst wenn ihm ein SQL-Sonderzeichen vorangestellt ist. Für eine schnellere Verarbeitung können Sie die Web Application Firewall so konfigurieren, dass Kommentare beim Überprüfen von Anfragen auf injiziertes SQL übersprungen werden, wenn Ihr SQL-Server Kommentare ignoriert. Die Optionen für den Umgang mit SQL-Kommentaren sind:

• ANSI – Überspringt SQL-Kommentare im ANSI-Format, die normalerweise von UNIX-basierten SQL-Datenbanken verwendet werden. Zum Beispiel:

  • /– (Zwei Bindestriche) – Dies ist ein Kommentar, der mit zwei Bindestrichen beginnt und mit dem Zeilenende endet.

  • {} – Geschweifte Klammern (Geschweifte Klammern umschließen den Kommentar. Die { steht vor dem Kommentar und die } folgt ihm. Geschweifte Klammern können ein- oder mehrzeilige Kommentare abgrenzen, aber Kommentare können nicht verschachtelt werden)

  • /*/: C-Stil-Kommentare (Erlaubt keine verschachtelten Kommentare). Bitte beachten Sie /! <Kommentar, der mit einem Schrägstrich, gefolgt von einem Sternchen und einem Ausrufezeichen beginnt, ist kein Kommentar > */

  • Der MySQL-Server unterstützt einige Varianten von C-Stil-Kommentaren. Diese ermöglichen es Benutzern, Code zu schreiben, der MySQL-Erweiterungen enthält, aber dennoch portabel ist, indem Kommentare der folgenden Form verwendet werden: [/*! MySQL-specific code */]

  • .#: MySQL-Kommentare: Dies ist ein Kommentar, der mit dem Zeichen # beginnt und mit einem Zeilenende endet.

• Verschachtelt – Überspringt verschachtelte SQL-Kommentare, die normalerweise von Microsoft SQL Server verwendet werden. Zum Beispiel; – (Zwei Bindestriche) und /**/ (Erlaubt verschachtelte Kommentare)

• ANSI/Verschachtelt – Überspringt Kommentare, die sowohl den ANSI- als auch den verschachtelten SQL-Kommentarstandards entsprechen. Kommentare, die nur dem ANSI-Standard oder nur dem verschachtelten Standard entsprechen, werden weiterhin auf injiziertes SQL überprüft.

• Alle Kommentare prüfen – Überprüft die gesamte Anfrage auf injiziertes SQL, ohne etwas zu überspringen. Dies ist die Standardeinstellung.

Tipp: Normalerweise sollten Benutzer die Option „Verschachtelt“ oder „ANSI/Verschachtelt“ nicht wählen, es sei denn, ihre Backend-Datenbank läuft auf Microsoft SQL Server. Die meisten anderen Arten von SQL-Server-Software erkennen verschachtelte Kommentare nicht. Wenn verschachtelte Kommentare in einer Anfrage an einen anderen SQL-Server-Typ erscheinen, könnten sie auf einen Versuch hindeuten, die Sicherheit auf diesem Server zu verletzen.

Anforderungsheader prüfen – Aktivieren Sie diese Option, wenn Benutzer zusätzlich zur Überprüfung der Eingaben in den Formularfeldern auch die Anforderungsheader auf HTML-SQL-Injection-Angriffe überprüfen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im Bereich Erweiterte Einstellungen -> Profileinstellungen des Web Application Firewall-Profils aktivieren.

Hinweis: Wenn Benutzer das Flag „Anforderungsheader prüfen“ aktivieren, müssen sie möglicherweise eine Entspannungsregel für den User-Agent-Header konfigurieren. Das Vorhandensein des SQL-Schlüsselworts like und eines SQL-Sonderzeichens Semikolon (;) könnte einen Fehlalarm auslösen und Anfragen blockieren, die diesen Header enthalten. Warnung: Wenn Benutzer sowohl die Überprüfung als auch die Transformation von Anforderungsheadern aktivieren, werden auch alle in den Headern gefundenen SQL-Sonderzeichen transformiert. Die Header Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect und User-Agent enthalten normalerweise Semikolons (;). Das gleichzeitige Aktivieren der Überprüfung und Transformation von Anforderungsheadern kann zu Fehlern führen.

InspectQueryContentTypes – Konfigurieren Sie diese Option, wenn Benutzer den Abfrageabschnitt der Anfrage auf SQL-Injection-Angriffe für die spezifischen Inhaltstypen untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im Bereich Erweiterte Einstellungen -> Profileinstellungen des Application Firewall-Profils konfigurieren.

Cross-Site-Scripting

Die HTML-Cross-Site-Scripting-Prüfung (Cross-Site-Scripting) untersucht sowohl die Header als auch die POST-Bodies von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe. Wenn ein Cross-Site-Skript gefunden wird, modifiziert (transformiert) es die Anfrage, um den Angriff harmlos zu machen, oder blockiert die Anfrage.

Hinweis: Die HTML-Cross-Site-Scripting-Prüfung (Cross-Site-Scripting) funktioniert nur für Inhaltstyp, Inhaltslänge usw. Sie funktioniert nicht für Cookies. Stellen Sie außerdem sicher, dass die Option „checkRequestHeaders“ im Web Application Firewall-Profil des Benutzers aktiviert ist.

Um den Missbrauch von Skripten auf benutzergeschützten Websites zur Verletzung der Sicherheit auf Benutzerwebsites zu verhindern, blockiert die HTML-Cross-Site-Scripting-Prüfung Skripte, die die Same-Origin-Regel verletzen, welche besagt, dass Skripte Inhalte nur auf dem Server zugreifen oder ändern sollten, auf dem sie sich befinden. Jedes Skript, das die Same-Origin-Regel verletzt, wird als Cross-Site-Skript bezeichnet, und die Praxis, Skripte zum Zugriff oder zur Änderung von Inhalten auf einem anderen Server zu verwenden, wird als Cross-Site-Scripting bezeichnet. Der Grund, warum Cross-Site-Scripting ein Sicherheitsproblem darstellt, ist, dass ein Webserver, der Cross-Site-Scripting zulässt, mit einem Skript angegriffen werden kann, das sich nicht auf diesem Webserver befindet, sondern auf einem anderen Webserver, z. B. einem, der dem Angreifer gehört und von ihm kontrolliert wird.

Leider verfügen viele Unternehmen über eine große installierte Basis von JavaScript-erweiterten Webinhalten, die die Same-Origin-Regel verletzen. Wenn Benutzer die HTML-Cross-Site-Scripting-Prüfung auf einer solchen Website aktivieren, müssen sie die entsprechenden Ausnahmen generieren, damit die Prüfung keine legitimen Aktivitäten blockiert.

Die Web Application Firewall bietet verschiedene Aktionsoptionen zur Implementierung des HTML-Cross-Site-Scripting-Schutzes. Zusätzlich zu den Aktionen Blockieren, Protokollieren, Statistiken und Lernen haben Benutzer auch die Möglichkeit, Cross-Site-Skripte zu transformieren, um einen Angriff harmlos zu machen, indem die Skript-Tags in der übermittelten Anfrage entitätskodiert werden. Benutzer können den Parameter „Vollständige URLs auf Cross-Site-Scripting prüfen“ konfigurieren, um anzugeben, ob sie nicht nur die Abfrageparameter, sondern die gesamte URL auf einen Cross-Site-Scripting-Angriff überprüfen möchten. Benutzer können den Parameter InspectQueryContentTypes konfigurieren, um den Abfrageabschnitt der Anfrage auf einen Cross-Site-Scripting-Angriff für die spezifischen Inhaltstypen zu überprüfen.

Benutzer können Entspannungen bereitstellen, um Fehlalarme zu vermeiden. Die Lern-Engine der Web Application Firewall kann Empfehlungen zur Konfiguration von Entspannungsregeln geben.

Die folgenden Optionen stehen zur Konfiguration eines optimierten HTML-Cross-Site-Scripting-Schutzes für die Benutzeranwendung zur Verfügung:

• Blockieren – Wenn Benutzer die Blockierung aktivieren, wird die Blockierungsaktion ausgelöst, wenn die Cross-Site-Scripting-Tags in der Anfrage erkannt werden.

• Protokoll – Wenn Benutzer die Protokollfunktion aktivieren, generiert die HTML-Cross-Site-Scripting-Prüfung Protokollmeldungen, die die von ihr ausgeführten Aktionen anzeigen. Wenn die Blockierung deaktiviert ist, wird für jeden Header oder jedes Formularfeld, in dem die Cross-Site-Scripting-Verletzung erkannt wurde, eine separate Protokollmeldung generiert. Es wird jedoch nur eine Meldung generiert, wenn die Anforderung blockiert wird. Ebenso wird für den Transformationsvorgang eine Protokollmeldung pro Anforderung generiert, selbst wenn Cross-Site-Scripting-Tags in mehreren Feldern transformiert werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anforderungen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Angriffsversuche hinweisen.

• Statistiken – Wenn aktiviert, sammelt die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers kann darauf hindeuten, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anforderungen blockiert werden, müssen Benutzer möglicherweise die Konfiguration überprüfen, um festzustellen, ob sie neue Entspannungsregeln konfigurieren oder die vorhandenen ändern müssen.

• Lernen – Wenn Benutzer nicht sicher sind, welche Entspannungsregeln für ihre Anwendung ideal geeignet sind, können sie die Lernfunktion verwenden, um HTML-Cross-Site-Scripting-Regel-Empfehlungen basierend auf den gelernten Daten zu generieren. Die Lern-Engine der Web Application Firewall überwacht den Datenverkehr und liefert Lernempfehlungen basierend auf den beobachteten Werten. Um den optimalen Nutzen ohne Leistungseinbußen zu erzielen, möchten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um eine repräsentative Stichprobe der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

• Cross-Site-Skripte transformieren – Wenn aktiviert, nimmt die Web Application Firewall die folgenden Änderungen an Anforderungen vor, die der HTML-Cross-Site-Scripting-Prüfung entsprechen:

  • Linke spitze Klammer (<) zum HTML-Zeichenentitätsäquivalent (<)

  • Rechte spitze Klammer (>) zum HTML-Zeichenentitätsäquivalent (>)

Dies stellt sicher, dass Browser unsichere HTML-Tags, wie z. B. <script>, nicht interpretieren und dadurch bösartigen Code ausführen. Wenn Benutzer sowohl die Überprüfung der Anforderungsheader als auch die Transformation aktivieren, werden alle in Anforderungsheadern gefundenen Sonderzeichen wie oben beschrieben geändert. Wenn Skripte auf der vom Benutzer geschützten Website Cross-Site-Scripting-Funktionen enthalten, die Benutzer-Website jedoch nicht auf diese Skripte angewiesen ist, um ordnungsgemäß zu funktionieren, können Benutzer die Blockierung sicher deaktivieren und die Transformation aktivieren. Diese Konfiguration stellt sicher, dass kein legitimer Webverkehr blockiert wird, während potenzielle Cross-Site-Scripting-Angriffe gestoppt werden.

• Vollständige URLs auf Cross-Site-Scripting prüfen – Wenn die Überprüfung vollständiger URLs aktiviert ist, untersucht die Web Application Firewall ganze URLs auf HTML-Cross-Site-Scripting-Angriffe, anstatt nur die Abfrageabschnitte von URLs zu überprüfen.

• Anforderungsheader prüfen – Wenn die Überprüfung der Anforderungsheader aktiviert ist, untersucht die Web Application Firewall die Header von Anforderungen auf HTML-Cross-Site-Scripting-Angriffe, anstatt nur URLs. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte „Einstellungen“ des Web Application Firewall-Profils aktivieren.

• InspectQueryContentTypes – Wenn die Anforderungsabfrageinspektion konfiguriert ist, untersucht die Application Firewall die Abfrage von Anforderungen auf Cross-Site-Scripting-Angriffe für die spezifischen Inhaltstypen. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte „Einstellungen“ des Application Firewall-Profils konfigurieren.

Wichtig: Im Rahmen der Streaming-Änderungen hat sich die Verarbeitung der Cross-Site-Scripting-Tags durch die Web Application Firewall geändert. In früheren Versionen wurde das Vorhandensein einer öffnenden Klammer (<), einer schließenden Klammer (>) oder beider Klammern (<>) als Cross-Site-Scripting-Verletzung gekennzeichnet. Das Verhalten hat sich in den Builds geändert, die die Unterstützung für Request-Side-Streaming beinhalten. Nur das Zeichen für die schließende Klammer (>) wird nicht mehr als Angriff betrachtet. Anforderungen werden auch dann blockiert, wenn ein Zeichen für eine öffnende Klammer (<) vorhanden ist und als Angriff betrachtet wird. Der Cross-Site-Scripting-Angriff wird gekennzeichnet.

Pufferüberlaufprüfung

Die Pufferüberlaufprüfung erkennt Versuche, einen Pufferüberlauf auf dem Webserver zu verursachen. Wenn die Web Application Firewall feststellt, dass die URL, Cookies oder der Header länger als die konfigurierte Länge sind, blockiert sie die Anforderung, da dies einen Pufferüberlauf verursachen kann.

Die Pufferüberlaufprüfung verhindert Angriffe auf unsichere Betriebssystem- oder Webserver-Software, die abstürzen oder sich unvorhersehbar verhalten kann, wenn sie eine Datenzeichenfolge empfängt, die größer ist, als sie verarbeiten kann. Richtige Programmiertechniken verhindern Pufferüberläufe, indem sie eingehende Daten überprüfen und überlange Zeichenfolgen entweder ablehnen oder kürzen. Viele Programme überprüfen jedoch nicht alle eingehenden Daten und sind daher anfällig für Pufferüberläufe. Dieses Problem betrifft insbesondere ältere Versionen von Webserver-Software und Betriebssystemen, von denen viele noch in Gebrauch sind.

Die Sicherheitsprüfung für Pufferüberläufe ermöglicht es Benutzern, die Aktionen Blockieren, Protokollieren und Statistiken zu konfigurieren. Darüber hinaus können Benutzer auch die folgenden Parameter konfigurieren:

• Maximale URL-Länge. Die maximale Länge, die die Web Application Firewall für eine angeforderte URL zulässt. Anfragen mit längeren URLs werden blockiert. Mögliche Werte: 0–65535. Standard: 1024

• Maximale Cookie-Länge. Die maximale Länge, die die Web Application Firewall für alle Cookies in einer Anfrage zulässt. Anfragen mit längeren Cookies verursachen Verstöße. Mögliche Werte: 0–65535. Standard: 4096

• Maximale Header-Länge. Die maximale Länge, die die Web Application Firewall für HTTP-Header zulässt. Anfragen mit längeren Headern werden blockiert. Mögliche Werte: 0–65535. Standard: 4096

• Länge der Abfragezeichenfolge. Maximale Länge, die für eine Abfragezeichenfolge in einer eingehenden Anfrage zulässig ist. Anfragen mit längeren Abfragen werden blockiert. Mögliche Werte: 0–65535. Standard: 1024

• Gesamte Anfragelänge. Maximale Anfragelänge, die für eine eingehende Anfrage zulässig ist. Anfragen mit einer längeren Länge werden blockiert. Mögliche Werte: 0–65535. Standard: 24820

Virtuelles Patching/Signaturen

Die Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz von Benutzer-Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das ein Bestandteil eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Ein umfangreicher Satz vorkonfigurierter integrierter oder nativer Regeln bietet eine benutzerfreundliche Sicherheitslösung, die die Leistungsfähigkeit des Musterabgleichs nutzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.

Benutzer können eigene Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web Application Firewall verfügt über zwei integrierte Vorlagen:

• Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste von über 1.300 Signaturen sowie eine vollständige Liste von SQL-Injection-Schlüsselwörtern, speziellen SQL-Zeichenfolgen, SQL-Transformationsregeln und SQL-Platzhalterzeichen. Sie enthält auch abgelehnte Muster für Cross-Site-Scripting sowie zulässige Attribute und Tags für Cross-Site-Scripting. Dies ist eine schreibgeschützte Vorlage. Benutzer können den Inhalt anzeigen, aber nichts in dieser Vorlage hinzufügen, bearbeiten oder löschen. Um sie zu verwenden, müssen Benutzer eine Kopie erstellen. In ihrer eigenen Kopie können Benutzer die Signaturregeln aktivieren, die sie auf ihren Datenverkehr anwenden möchten, und die Aktionen festlegen, die ausgeführt werden sollen, wenn die Signaturregeln mit dem Datenverkehr übereinstimmen.

Die Signaturen werden von den Regeln abgeleitet, die von SNORT veröffentlicht wurden: SNORT, einem Open-Source-Intrusion-Prevention-System, das in der Lage ist, Echtzeit-Verkehrsanalyse durchzuführen, um verschiedene Angriffe und Sonden zu erkennen.

• *XPath-Injection-Muster: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal- und PCRE-Schlüsselwörtern und speziellen Zeichenfolgen, die zur Erkennung von XPath (XML Path Language) Injection-Angriffen verwendet werden.

Leere Signaturen: Zusätzlich zum Erstellen einer Kopie der integrierten Standardsignaturen-Vorlage können Benutzer eine leere Signaturen-Vorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Benutzer mit der Option für leere Signaturen erstellen, enthält keine nativen Signaturregeln, aber genau wie die *Standardvorlage alle integrierten SQL/XSS-Entitäten.

Signaturen im externen Format: Die Web Application Firewall unterstützt auch Signaturen im externen Format. Benutzer können den Scanbericht von Drittanbietern importieren, indem sie die von der Citrix Web Application Firewall unterstützten XSLT-Dateien verwenden. Ein Satz integrierter XSLT-Dateien ist für ausgewählte Scan-Tools verfügbar, um Dateien im externen Format in das native Format zu übersetzen (siehe die Liste der integrierten XSLT-Dateien weiter unten in diesem Abschnitt).

Während Signaturen Benutzern helfen, das Risiko offener Schwachstellen zu reduzieren und die geschäftskritischen Webserver der Benutzer zu schützen, während sie auf Effizienz abzielen, verursachen Signaturen jedoch Kosten durch zusätzliche CPU-Verarbeitung.

Es ist wichtig, die richtigen Signaturen für die Anwendungsanforderungen des Benutzers auszuwählen. Aktivieren Sie nur die Signaturen, die für die Kundenanwendung/Umgebung relevant sind.

Citrix bietet Signaturen in mehr als 10 verschiedenen Kategorien über Plattformen/Betriebssysteme/Technologien hinweg an.

Die Signaturregeldatenbank ist umfangreich, da sich die Angriffsinformationen über die Jahre angesammelt haben. Daher sind die meisten alten Regeln möglicherweise nicht für alle Netzwerke relevant, da Softwareentwickler sie möglicherweise bereits gepatcht haben oder Kunden eine neuere Version des Betriebssystems verwenden.

Signatur-Updates

Die Citrix Web Application Firewall unterstützt sowohl automatische als auch manuelle Updates von Signaturen. Wir empfehlen außerdem, die automatische Aktualisierung für Signaturen zu aktivieren, um auf dem neuesten Stand zu bleiben.

Diese Signaturdateien werden in der AWS-Umgebung gehostet, und es ist wichtig, ausgehenden Zugriff auf die NetScaler®-IPs von Netzwerk-Firewalls zuzulassen, um die neuesten Signaturdateien abzurufen. Das Aktualisieren von Signaturen hat keine Auswirkungen auf den ADC, während der Echtzeit-Datenverkehr verarbeitet wird.

Anwendungssicherheitsanalyse

Das Application Security Dashboard bietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Es zeigt beispielsweise wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes an. Das Application Security Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Angriffe, Small-Window-Angriffe und DNS-Flood-Angriffe für die erkannten Citrix ADC-Instanzen an.

Hinweis: Um die Metriken des Application Security Dashboards anzuzeigen, muss AppFlow® für Security Insight auf den Citrix ADC-Instanzen aktiviert sein, die Benutzer überwachen möchten.

So zeigen Sie die Sicherheitsmetriken einer Citrix ADC-Instanz im Anwendungssicherheits-Dashboard an:

1. Melden Sie sich mit den Administratoranmeldeinformationen bei Citrix ADM an.

2. Navigieren Sie zu Applications > App Security Dashboard, und wählen Sie die IP-Adresse der Instanz aus der Liste Devices aus.

Benutzer können die im Application Security Investigator gemeldeten Diskrepanzen weiter untersuchen, indem sie auf die im Diagramm dargestellten Blasen klicken.

Zentralisiertes Lernen auf ADM

Citrix Web Application Firewall (WAF) schützt Webanwendungen von Benutzern vor bösartigen Angriffen wie SQL-Injection und Cross-Site-Scripting (XSS). Um Datenlecks zu verhindern und den richtigen Sicherheitsschutz zu bieten, müssen Benutzer ihren Datenverkehr auf Bedrohungen und umsetzbare Echtzeitdaten zu Angriffen überwachen. Manchmal können die gemeldeten Angriffe Fehlalarme sein, die als Ausnahme behandelt werden müssen.

Das zentralisierte Lernen auf Citrix ADM ist ein sich wiederholender Musterfilter, der es WAF ermöglicht, das Verhalten (die normalen Aktivitäten) von Benutzer-Webanwendungen zu lernen. Basierend auf der Überwachung generiert die Engine eine Liste vorgeschlagener Regeln oder Ausnahmen für jede Sicherheitsprüfung, die auf den HTTP-Verkehr angewendet wird.

Es ist viel einfacher, Entspannungsregeln mit der Lern-Engine bereitzustellen, als sie manuell als notwendige Entspannungen bereitzustellen.

Um die Lernfunktion bereitzustellen, müssen Benutzer zunächst ein Web Application Firewall-Profil (eine Reihe von Sicherheitseinstellungen) auf ihrer Citrix ADC Appliance konfigurieren. Weitere Informationen finden Sie unter: Erstellen von Web App Firewall-Profilen.

Citrix ADM generiert eine Liste von Ausnahmen (Entspannungen) für jede Sicherheitsprüfung. Als Administrator können Benutzer die Liste der Ausnahmen in Citrix ADM überprüfen und entscheiden, ob sie bereitgestellt oder übersprungen werden sollen.

Mit der WAF-Lernfunktion in Citrix ADM können Benutzer:

• Ein Lernprofil mit den folgenden Sicherheitsprüfungen konfigurieren

  • Pufferüberlauf

  • HTML-Cross-Site-Scripting

    Hinweis: Die Cross-Site-Script-Einschränkung des Speicherorts ist nur FormField.

  • HTML-SQL-Injection

    Hinweis:

    Für die HTML-SQL-Injection-Prüfung müssen Benutzer set -sqlinjectionTransformSpecialChars ON und set -sqlinjectiontype sqlspclcharorkeywords in der Citrix ADC-Instanz konfigurieren.

• Die Entspannungsregeln in Citrix ADM überprüfen und die notwendigen Maßnahmen ergreifen (bereitstellen oder überspringen)

• Benachrichtigungen per E-Mail, Slack und ServiceNow erhalten

• Verwenden Sie das Dashboard, um Entspannungsdetails anzuzeigen

So verwenden Sie das WAF-Lernen in Citrix ADM:

1. Konfigurieren Sie das Lernprofil: Lernprofil konfigurieren

2. Siehe die Entspannungsregeln: Entspannungsregeln und Leerlaufregeln anzeigen

3. Verwenden Sie das WAF-Lern-Dashboard: WAF-Lern-Dashboard anzeigen

StyleBook

Citrix Web Application Firewall ist eine Web Application Firewall (WAF), die Webanwendungen und Websites vor bekannten und unbekannten Angriffen schützt, einschließlich aller Angriffe auf Anwendungsebene und Zero-Day-Bedrohungen.

Citrix ADM bietet jetzt ein Standard-StyleBook, mit dem Benutzer bequemer eine Anwendung-Firewall-Konfiguration auf Citrix ADC-Instanzen erstellen können.

Bereitstellen von Anwendung-Firewall-Konfigurationen

Die folgende Aufgabe unterstützt Sie bei der Bereitstellung einer Lastenausgleichskonfiguration zusammen mit der Anwendung-Firewall- und IP-Reputationsrichtlinie auf Citrix ADC-Instanzen in Ihrem Unternehmensnetzwerk.

So erstellen Sie eine LB-Konfiguration mit Anwendung-Firewall-Einstellungen

Navigieren Sie in Citrix ADM zu Applications > Configurations > StyleBooks. Die Seite StyleBooks zeigt alle StyleBooks an, die für die Kundenverwendung in Citrix verfügbar sind

• ADM. Scrollen Sie nach unten und suchen Sie das HTTP/SSL Load Balancing StyleBook mit Anwendung-Firewall-Richtlinie und IP-Reputationsrichtlinie. Benutzer können das StyleBook auch suchen, indem sie den Namen als lb-appfw. eingeben. Klicken Sie auf Konfiguration erstellen.

Das StyleBook wird als Benutzeroberflächenseite geöffnet, auf der Benutzer die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

• Geben Sie Werte für die folgenden Parameter ein:

  • Name der Lastenausgleichsanwendung. Name der Lastenausgleichskonfiguration mit einer Anwendungs-Firewall, die im Benutzernetzwerk bereitgestellt werden soll.

  • Virtuelle IP-Adresse der Lastenausgleichsanwendung. Virtuelle IP-Adresse, unter der die Citrix ADC Instanz Clientanfragen empfängt.

  • Virtueller Port der Lastenausgleichsanwendung. Der TCP-Port, der von den Benutzern für den Zugriff auf die Lastenausgleichsanwendung verwendet werden soll.

  • Protokoll der Lastenausgleichsanwendung. Wählen Sie das Frontend-Protokoll aus der Liste aus.

  • Anwendungsserver-Protokoll. Wählen Sie das Protokoll des Anwendungsservers aus.

• Optional können Benutzer die Erweiterten Lastenausgleichseinstellungen aktivieren und konfigurieren.

• Optional können Benutzer auch einen Authentifizierungsserver für die Authentifizierung des Datenverkehrs für den virtuellen Lastenausgleichsserver einrichten.

• Klicken Sie im Abschnitt „Server-IPs und Ports“ auf „+“, um Anwendungsserver und die Ports zu erstellen, über die auf sie zugegriffen werden kann.

• Benutzer können auch FQDN-Namen für Anwendungsserver erstellen.

• Benutzer können auch die Details des SSL-Zertifikats angeben.

• Benutzer können auch Monitore in der Ziel-Citrix ADC-Instanz erstellen.

• Um eine Application Firewall auf dem virtuellen Server zu konfigurieren, aktivieren Sie die WAF-Einstellungen.

Stellen Sie sicher, dass die Richtlinienregel der Application Firewall wahr ist, wenn Benutzer die Application Firewall-Einstellungen auf den gesamten Datenverkehr auf dieser VIP anwenden möchten. Andernfalls geben Sie die Citrix ADC-Richtlinienregel an, um eine Untergruppe von Anforderungen auszuwählen, auf die die Application Firewall-Einstellungen angewendet werden sollen. Wählen Sie anschließend den anzuwendenden Profiltyp aus – HTML oder XML.

• Optional können Benutzer detaillierte Application Firewall-Profileinstellungen konfigurieren, indem sie das Kontrollkästchen „Application Firewall Profile Settings“ aktivieren.

• Optional, wenn Benutzer Application Firewall-Signaturen konfigurieren möchten, geben Sie den Namen des Signaturobjekts ein, das auf der Citrix ADC-Instanz erstellt wurde, auf der der virtuelle Server bereitgestellt werden soll.

Hinweis:

Benutzer können mit diesem StyleBook keine Signaturobjekte erstellen.

• Als Nächstes können Benutzer auch andere Application Firewall-Profileinstellungen konfigurieren, wie z. B. StartURL-Einstellungen, DenyURL-Einstellungen und andere.

Weitere Informationen zu Application Firewall und Konfigurationseinstellungen finden Sie unter Application Firewall.

• Wählen Sie im Abschnitt Zielinstanzen die Citrix ADC-Instanz aus, auf der der Lastausgleichs-Virtual-Server mit der Application Firewall bereitgestellt werden soll.

Hinweis: Benutzer können auch auf das Aktualisierungssymbol klicken, um kürzlich entdeckte Citrix ADC-Instanzen in Citrix ADM zur verfügbaren Liste der Instanzen in diesem Fenster hinzuzufügen.

• Benutzer können auch die IP-Reputationsprüfung aktivieren, um die IP-Adresse zu identifizieren, die unerwünschte Anfragen sendet. Benutzer können die IP-Reputationsliste verwenden, um Anfragen, die von IPs mit schlechtem Ruf stammen, präventiv abzulehnen.

Tipp: Citrix empfiehlt, dass Benutzer den Trockenlauf auswählen, um die Konfigurationsobjekte zu überprüfen, die auf der Zielinstanz erstellt werden müssen, bevor sie die eigentliche Konfiguration auf der Instanz ausführen.

Wenn die Konfiguration erfolgreich erstellt wurde, erstellt das StyleBook den erforderlichen virtuellen Lastausgleichsserver, Anwendungsserver, Dienste, Dienstgruppen, Anwendungs-Firewall-Labels, Anwendungs-Firewall-Richtlinien und bindet diese an den virtuellen Lastausgleichsserver.

Die folgende Abbildung zeigt die auf jedem Server erstellten Objekte:

• Um das auf Citrix ADM erstellte ConfigPack anzuzeigen, navigieren Sie zu Anwendungen > Konfigurationen.

Security Insight-Analysen

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Benutzer Einblick in die Art und das Ausmaß vergangener, gegenwärtiger und bevorstehender Bedrohungen, umsetzbare Echtzeitdaten zu Angriffen und Empfehlungen für Gegenmaßnahmen. Security Insight bietet eine Single-Pane-Lösung, die Benutzern hilft, den Sicherheitsstatus von Benutzeranwendungen zu bewerten und Korrekturmaßnahmen zur Sicherung von Benutzeranwendungen zu ergreifen.

Funktionsweise von Security Insight

Security Insight ist eine intuitive, Dashboard-basierte Sicherheitsanalyselösung, die Benutzern volle Transparenz über die Bedrohungsumgebung im Zusammenhang mit Benutzeranwendungen bietet. Security Insight ist in Citrix ADM enthalten und generiert regelmäßig Berichte basierend auf den Sicherheitskonfigurationen der Benutzer-Anwendungs-Firewall und des ADC-Systems. Die Berichte enthalten die folgenden Informationen für jede Anwendung:

• Bedrohungsindex. Ein einstelliger Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen, wie z. B. Verletzungstyp, Angriffskategorie, Standort und Clientdetails, geben Benutzern Einblick in die Angriffe auf die Anwendung. Verletzungsinformationen werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Sicherheitsverletzungen und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

• Sicherheitsindex. Ein einstelliger Bewertungssystem, das angibt, wie sicher Benutzer die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Schwachstellen zu schützen. Je geringer die Sicherheitsrisiken für eine Anwendung sind, desto höher ist der Sicherheitsindex. Die Werte reichen von 1 bis 7.

Der Sicherheitsindex berücksichtigt sowohl die Application Firewall-Konfiguration als auch die ADC-Systemsicherheitskonfiguration. Für einen hohen Sicherheitsindexwert müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Application Firewall-Prüfungen vorhanden sind, aber ADC-Systemsicherheitsmaßnahmen, wie ein starkes Passwort für den nsroot Benutzer, nicht übernommen wurden, erhalten Anwendungen einen niedrigen Sicherheitsindexwert.

• Umsetzbare Informationen. Informationen, die Benutzer benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Benutzer können beispielsweise Informationen zu Verstößen, vorhandenen und fehlenden Sicherheitskonfigurationen für die Application Firewall und andere Sicherheitsfunktionen, die Häufigkeit, mit der die Anwendungen angegriffen werden, und so weiter einsehen.

Konfigurieren von Security Insight

Hinweis: Security Insight wird nur auf ADC-Instanzen mit Premium-Lizenz oder ADC Advanced mit AppFirewall-Lizenz unterstützt.

Um Security Insight auf einer ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Application Firewall-Profil und eine Application Firewall-Richtlinie und binden Sie dann die Application Firewall-Richtlinie global.

Aktivieren Sie dann die AppFlow-Funktion, konfigurieren Sie einen AppFlow-Collector, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Benutzer den Collector konfigurieren, müssen sie die IP-Adresse des Citrix ADM Service Agent angeben, auf dem sie die Berichte überwachen möchten.

Konfigurieren von Security Insight auf einer ADC-Instanz

• Führen Sie die folgenden Befehle aus, um ein Application Firewall-Profil und eine Richtlinie zu konfigurieren und die Application Firewall-Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden.

add appfw profile <name> [-defaults ( einfach oder erweitert )]

appfw-Profil festlegen <name> [-Start-URL-Aktion <startURLAction> …]

appfw-Richtlinie hinzufügen <name> <rule> <profileName>

binde appfw global <policyName> <priority>

oder,

binde lb vserver <lb vserver> -policyName <policy> -priority <priority>

Beispiel:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Führen Sie die folgenden Befehle aus, um die AppFlow-Funktion zu aktivieren, einen AppFlow-Collector, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

AppFlow-Collector hinzufügen <name> -IPAddress <ipaddress>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( AKTIVIERT oder DEAKTIVIERT )]

AppFlow-Aktion hinzufügen <name> -collectors <string>

Appflow-Richtlinie hinzufügen <name> <rule> <action>

Appflow global binden <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

oder,

binden lb vserver <vserver> -policyName <policy> -priority <priority>

Beispiel:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Security Insight von Citrix ADM aktivieren

1. Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

2. Wählen Sie die Instanz aus und wählen Sie aus der Liste Aktion auswählen die Option Analysen konfigurieren.

3. Im Fenster Analysen auf virtuellem Server konfigurieren:

   • Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie auf Analysen aktivieren.

   Das Fenster Analysen aktivieren wird angezeigt.

   • Wählen Sie Security Insight

   • Wählen Sie unter Erweiterte Optionen Logstream oder IPFIX als Transportmodus aus.

   • Der Ausdruck ist standardmäßig wahr.

   • Klicken Sie auf OK

Hinweis:

• Wenn Benutzer nicht lizenzierte virtuelle Server auswählen, lizenziert Citrix ADM diese virtuellen Server zuerst und aktiviert dann die Analysefunktionen.

• Für Admin-Partitionen wird nur Web Insight unterstützt.

Nachdem Benutzer auf OK geklickt haben, aktiviert Citrix ADM die Analysefunktionen auf den ausgewählten virtuellen Servern.

Hinweis: Wenn Benutzer eine Gruppe erstellen, können sie der Gruppe Rollen zuweisen, der Gruppe Zugriff auf Anwendungsebene gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt die Autorisierung basierend auf virtuellen IP-Adressen. Kundenbenutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zu einer Gruppe finden Sie unter Gruppen in Citrix ADM konfigurieren: Gruppen in Citrix ADM konfigurieren.

Schwellenwerte

Benutzer können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So legen Sie einen Schwellenwert fest:

• Navigieren Sie zu System > Analytics Settings > Thresholds, und wählen Sie Hinzufügen.

• Wählen Sie im Feld „Traffic Type“ (Verkehrstyp) den Verkehrstyp als Security (Sicherheit) aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

• Verwenden Sie im Abschnitt Rule (Regel) die Felder „Metric“ (Metrik), „Comparator“ (Vergleichsoperator) und „Value“ (Wert), um einen Schwellenwert festzulegen. Beispiel: „Threat Index“ (Bedrohungsindex) „>“ „5“

• Klicken Sie auf Create (Erstellen).

So zeigen Sie die Schwellenwertüberschreitungen an:

• Navigieren Sie zu Analytics > Security Insight > Devices, und wählen Sie die ADC-Instanz aus.

• Im Abschnitt Application (Anwendung) können Benutzer die Anzahl der Schwellenwertüberschreitungen anzeigen, die für jeden virtuellen Server in der Spalte „Threshold Breach“ (Schwellenwertüberschreitung) aufgetreten sind.

Anwendungsfall für Security Insight

Die folgenden Anwendungsfälle beschreiben, wie Benutzer Security Insight verwenden können, um die Bedrohungsgefährdung von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Verschaffen Sie sich einen Überblick über die Bedrohungsumgebung

In diesem Anwendungsfall verfügen Benutzer über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und sie haben Citrix ADM so konfiguriert, dass es die Bedrohungsumgebung überwacht. Benutzer müssen den Bedrohungsindex, den Sicherheitsindex sowie den Typ und die Schwere von Angriffen, die die Anwendungen möglicherweise erfahren haben, regelmäßig überprüfen, damit sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit erfordern. Das Security Insight-Dashboard bietet eine Zusammenfassung der Bedrohungen, denen die Benutzeranwendungen über einen vom Benutzer gewählten Zeitraum und für ein ausgewähltes ADC-Gerät ausgesetzt waren. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Benutzer könnten beispielsweise Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung überwachen und möchten möglicherweise eine Zusammenfassung der Bedrohungsumgebung für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zu Analytics > Security Insight.

Für jede Anwendung werden wichtige Informationen angezeigt. Der Standardzeitraum beträgt 1 Stunde.

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie aus der Liste oben links einen Zeitraum aus.

Um eine Zusammenfassung für eine andere ADC-Instanz anzuzeigen, klicken Sie unter Geräte auf die IP-Adresse der ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Das Bedrohungsrisiko einer Anwendung bestimmen

Nachdem Benutzer eine Zusammenfassung der Bedrohungsumgebung auf dem Security Insight-Dashboard überprüft haben, um Anwendungen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex zu identifizieren, möchten sie ihr Bedrohungsrisiko bestimmen, bevor sie entscheiden, wie sie diese sichern. Das heißt, Benutzer möchten die Art und Schwere der Angriffe bestimmen, die ihre Indexwerte verschlechtert haben. Benutzer können das Bedrohungsrisiko einer Anwendung durch Überprüfung der Anwendungsübersicht bestimmen.

In diesem Beispiel hat Microsoft Outlook einen Bedrohungsindexwert von 6, und Benutzer möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Um das Bedrohungsrisiko von Microsoft Outlook zu bestimmen, klicken Sie auf dem Security Insight-Dashboard auf Outlook. Die Anwendungsübersicht enthält eine Karte, die den geografischen Standort des Servers angibt.

Klicken Sie auf Bedrohungsindex > Verletzungen der Sicherheitsprüfung und überprüfen Sie die angezeigten Verletzungsinformationen.

Klicken Sie auf Signaturverletzungen und überprüfen Sie die angezeigten Verletzungsinformationen.

Vorhandene und fehlende Sicherheitskonfiguration für eine Anwendung bestimmen

Nachdem Benutzer das Bedrohungsrisiko einer Anwendung überprüft haben, möchten sie bestimmen, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Benutzer können diese Informationen erhalten, indem sie einen Drilldown in die Sicherheitsindexübersicht der Anwendung durchführen.

Die Sicherheitsindexübersicht gibt Benutzern Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

• Application Firewall-Konfiguration. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.

• Citrix ADM System Security. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

Im vorherigen Anwendungsfall haben Benutzer die Bedrohungsgefährdung von Microsoft Outlook überprüft, das einen Bedrohungsindexwert von 6 aufweist. Nun möchten Benutzer wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie im Security Insight-Dashboard auf Outlook und dann auf die Registerkarte Safety Index. Überprüfen Sie die Informationen im Bereich Safety Index Summary.

Klicken Sie im Knoten Application Firewall Configuration auf Outlook_Profile und überprüfen Sie die Informationen zu Sicherheitsprüfungen und Signaturverletzungen in den Kreisdiagrammen.

Überprüfen Sie den Konfigurationsstatus jedes Schutztyps in der Zusammenfassungstabelle der Anwendungs-Firewall. Um die Tabelle nach einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Klicken Sie auf den Knoten Citrix ADM System Security und überprüfen Sie die Systemsicherheitseinstellungen und Citrix-Empfehlungen zur Verbesserung des Anwendungssicherheitsindex.

Anwendungen identifizieren, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit erfordern, sind diejenigen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel haben sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6, aber Lync hat den niedrigeren der beiden Sicherheitsindizes. Daher müssen Benutzer möglicherweise ihre Aufmerksamkeit auf Lync richten, bevor sie die Bedrohungsumgebung für Outlook verbessern.

Anzahl der Angriffe in einem bestimmten Zeitraum ermitteln

Benutzer möchten möglicherweise ermitteln, wie viele Angriffe zu einem bestimmten Zeitpunkt auf eine bestimmte Anwendung stattgefunden haben, oder sie möchten die Angriffsrate für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite „Security Insight“ auf eine beliebige Anwendung und in der Anwendungsübersicht auf die Anzahl der Verstöße. Die Seite „Gesamtverstöße“ zeigt die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat an.

Die Tabelle Anwendungsübersicht enthält Details zu den Angriffen. Einige davon sind wie folgt:

• Angriffszeit

• IP-Adresse des Clients, von dem der Angriff ausging

• Schweregrad

• Kategorie des Verstoßes

• URL, von der der Angriff ausging, und weitere Details.

Während Benutzer die Angriffszeit in einem Stundenbericht, wie im obigen Bild gezeigt, immer anzeigen können, können sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für Tages- oder Wochenberichte anzeigen. Wenn Benutzer „1 Tag“ aus der Zeitraumsliste auswählen, zeigt der Security Insight-Bericht alle aggregierten Angriffe an, und die Angriffszeit wird in einem einstündigen Bereich angezeigt. Wenn Benutzer „1 Woche“ oder „1 Monat“ auswählen, werden alle Angriffe aggregiert, und die Angriffszeit wird in einem eintägigen Bereich angezeigt.

Detaillierte Informationen zu Sicherheitsverletzungen erhalten

Benutzer möchten möglicherweise eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in Art und Schweregrad der Angriffe, von der ADC-Instanz ergriffene Maßnahmen, angeforderte Ressourcen und die Angriffsquelle erhalten.

Benutzer möchten beispielsweise ermitteln, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und die IP-Adressen der Quellen.

Klicken Sie im Security Insight-Dashboard auf Lync > Total Violations. Klicken Sie in der Tabelle auf das Filtersymbol in der Spaltenüberschrift Action Taken, und wählen Sie dann Blocked aus.

Informationen zu den angeforderten Ressourcen finden Sie in der Spalte URL. Informationen zu den Quellen der Angriffe finden Sie in der Spalte Client IP.

Protokollausdrucksdetails anzeigen

Citrix ADC-Instanzen verwenden Protokollausdrücke, die mit dem Application Firewall-Profil konfiguriert sind, um Maßnahmen gegen Angriffe auf eine Anwendung im Benutzerunternehmen zu ergreifen. In Security Insight können Benutzer die für die von der ADC-Instanz verwendeten Protokollausdrücke zurückgegebenen Werte anzeigen. Diese Werte umfassen Anforderungsheader, Anforderungstext und so weiter. Zusätzlich zu den Protokollausdruckswerten können Benutzer auch den Namen des Protokollausdrucks und den Kommentar für den im Application Firewall-Profil definierten Protokollausdruck anzeigen, den die ADC-Instanz zur Durchführung der Aktion für den Angriff verwendet hat.

Voraussetzungen:

Stellen Sie sicher, dass Benutzer:

• Konfigurieren Sie Protokollausdrücke im Application Firewall-Profil. Weitere Informationen finden Sie unter Application Firewall.

• Aktivieren Sie die auf Protokollausdrücken basierenden Security Insights-Einstellungen in Citrix ADM. Gehen Sie wie folgt vor:

  • Navigieren Sie zu Analytics > Settings, und klicken Sie auf Enable Features for Analytics.

  • Wählen Sie auf der Seite „Enable Features for Analytics“ unter dem Abschnitt Log Expression Based Security Insight Setting die Option Enable Security Insight aus, und klicken Sie auf OK.

Benutzer möchten beispielsweise die Werte des Protokollausdrucks anzeigen, die von der ADC-Instanz für die Aktion zurückgegeben wurden, die sie bei einem Angriff auf Microsoft Lync im Benutzerunternehmen durchgeführt hat.

Navigieren Sie im Security Insight-Dashboard zu Lync > Total Violations. Klicken Sie in der Tabelle „Application Summary“ auf die URL, um die vollständigen Details der Verletzung auf der Seite Violation Information anzuzeigen, einschließlich des Namens des Protokollausdrucks, des Kommentars und der von der ADC-Instanz für die Aktion zurückgegebenen Werte.

Bestimmen Sie den Sicherheitsindex, bevor Sie die Konfiguration bereitstellen

Sicherheitsverletzungen treten auf, nachdem Benutzer die Sicherheitskonfiguration auf einer ADC-Instanz bereitgestellt haben, aber Benutzer möchten möglicherweise die Wirksamkeit der Sicherheitskonfiguration bewerten, bevor sie diese bereitstellen.

Benutzer möchten beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der ADC-Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie auf dem Security Insight-Dashboard unter Geräte auf die IP-Adresse der ADC-Instanz, die Benutzer konfiguriert haben. Benutzer können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Der Bedrohungsindex ist ein direktes Spiegelbild der Anzahl und Art der Angriffe auf die Anwendung. Null Angriffe zeigen an, dass die Anwendung keiner Bedrohung ausgesetzt ist.

Klicken Sie auf Sap > Safety Index > SAP_Profile und bewerten Sie die angezeigten Sicherheitsindexinformationen.

In der Zusammenfassung der Anwendungsfirewall können Benutzer den Konfigurationsstatus verschiedener Schutzeinstellungen anzeigen. Wenn eine Einstellung auf Protokollierung gesetzt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

Sicherheitsverletzungen

Details zu Anwendungs-Sicherheitsverletzungen anzeigen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. Citrix ADM ermöglicht Benutzern, umsetzbare Verletzungsdetails zu visualisieren, um Anwendungen vor Angriffen zu schützen. Navigieren Sie zu Security > Security Violations für eine Single-Pane-Lösung, um:

• Auf die Sicherheitsverletzungen der Anwendung basierend auf ihren Kategorien wie Netzwerk, Bot und WAF zugreifen

• Korrekturmaßnahmen ergreifen, um die Anwendungen zu sichern

Um die Sicherheitsverletzungen in Citrix ADM anzuzeigen, stellen Sie sicher:

• Benutzer verfügen über eine Premium-Lizenz für die Citrix ADC-Instanz (für WAF- und BOT-Verletzungen).

• Benutzer haben eine Lizenz auf den virtuellen Servern für Lastausgleich oder Inhaltsumschaltung (für WAF und BOT) angewendet. Weitere Informationen finden Sie unter: Lizenzverwaltung auf virtuellen Servern.

• Benutzer aktivieren weitere Einstellungen. Weitere Informationen finden Sie in der Prozedur im Abschnitt „Einrichtung“ in der Citrix Produktdokumentation: Einrichtung.

Verletzungskategorien

Citrix ADM ermöglicht Benutzern die Anzeige der folgenden Verletzungen:

** - Benutzer müssen die Einstellung zur Kontoübernahme in Citrix ADM konfigurieren. Siehe die unter Kontoübernahme erwähnte Voraussetzung: Kontoübernahme.

Abgesehen von diesen Verstößen können Benutzer auch die folgenden Security Insight- und Bot Insight-Verstöße unter den Kategorien WAF bzw. Bot anzeigen:

Einrichtung

Benutzer müssen Advanced Security Analytics aktivieren und Web Transaction Settings auf All setzen, um die folgenden Verstöße in Citrix ADM anzuzeigen:

• Ungewöhnlich hohe Upload-Transaktionen (WAF)

• Ungewöhnlich hohe Download-Transaktionen (WAF)

• Übermäßige eindeutige IPs (WAF)

• Kontoübernahme (BOT)

Stellen Sie bei anderen Verstößen sicher, dass Metrics Collector aktiviert ist. Standardmäßig ist Metrics Collector auf der Citrix ADC-Instanz aktiviert. Weitere Informationen finden Sie unter: Intelligente App-Analysen konfigurieren.

Advanced Security Analytics aktivieren

• Navigieren Sie zu Networks > Instances > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel MPX.

• Wählen Sie die Citrix ADC-Instanz aus und wählen Sie aus der Liste Select Action die Option Configure Analytics.

• Wählen Sie den virtuellen Server aus und klicken Sie auf Enable Analytics.

• Im Fenster Enable Analytics:

  • Wählen Sie Web Insight aus. Nachdem Benutzer Web Insight ausgewählt haben, wird die schreibgeschützte Option Advanced Security Analytics automatisch aktiviert.

  Hinweis: Die Option Advanced Security Analytics wird nur für ADC-Instanzen mit Premium-Lizenz angezeigt.

  • Wählen Sie Logstream als Transportmodus aus.

  • Der Ausdruck ist standardmäßig wahr.

  • Klicken Sie auf OK.

Webtransaktionseinstellungen aktivieren

• Navigieren Sie zu Analytics > Settings.

Die Seite Settings wird angezeigt.

• Klicken Sie auf Enable Features for Analytics.

• Wählen Sie unter Web Transaction Settings die Option All aus.

• Klicken Sie auf Ok.

Dashboard für Sicherheitsverletzungen

Im Dashboard für Sicherheitsverletzungen können Benutzer Folgendes anzeigen:

• Gesamtzahl der auf allen ADC-Instanzen und Anwendungen aufgetretenen Verstöße. Die Gesamtverstöße werden basierend auf der ausgewählten Zeitdauer angezeigt.

• Gesamtverstöße pro Kategorie.

• Gesamtzahl der betroffenen ADCs, Gesamtzahl der betroffenen Anwendungen und die häufigsten Verstöße basierend auf der Gesamtzahl der Vorkommen und den betroffenen Anwendungen.

Verstoßdetails

Für jeden Verstoß überwacht Citrix ADM das Verhalten für eine bestimmte Zeitdauer und erkennt Verstöße bei ungewöhnlichem Verhalten. Klicken Sie auf jede Registerkarte, um die Verstoßdetails anzuzeigen. Benutzer können Details wie die folgenden anzeigen:

• Die Gesamtzahl der Vorkommen, das letzte Auftreten und die Gesamtzahl der betroffenen Anwendungen

• Unter den Ereignisdetails können Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das Verstöße anzeigt.

  Ziehen und wählen Sie im Diagramm, das die Verstöße auflistet, um die Verstoßsuche einzugrenzen.

  

  Klicken Sie auf Zoom zurücksetzen, um das Zoomergebnis zurückzusetzen

  • Empfohlene Aktionen, die Benutzern vorschlagen, das Problem zu beheben

  • Weitere Verstoßdetails wie Zeitpunkt des Verstoßes und Erkennungsmeldung

Bot Insight

Verwenden von Bot Insight in Citrix ADM

Nachdem Benutzer die Bot-Verwaltung in Citrix ADC konfiguriert haben, müssen sie Bot Insight auf virtuellen Servern aktivieren, um Einblicke in Citrix ADM anzuzeigen.

So aktivieren Sie Bot Insight:

• Navigieren Sie zu Networks > Instances > Citrix ADC und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

• Wählen Sie die Instanz aus und wählen Sie aus der Liste Aktion auswählen die Option Analytics konfigurieren.

• Wählen Sie den virtuellen Server aus und klicken Sie auf Analytics aktivieren.

• Im Fenster Analytics aktivieren:

  • Wählen Sie Bot Insight

  • Wählen Sie unter Erweiterte Option die Option Logstream.

  

  • Klicken Sie auf OK.

Nachdem Sie Bot Insight aktiviert haben, navigieren Sie zu Analytics > Security > Bot Insight.

1. Zeitliste zur Anzeige von Bot-Details

2. Ziehen Sie den Schieberegler, um einen bestimmten Zeitraum auszuwählen, und klicken Sie auf Go, um die angepassten Ergebnisse anzuzeigen.

3. Gesamtzahl der von Bots betroffenen Instanzen

4. Virtueller Server für die ausgewählte Instanz mit der Gesamtzahl der Bot-Angriffe

   • Gesamtanzahl Bots – Zeigt die Gesamtzahl der Bot-Angriffe (einschließlich aller Bot-Kategorien) an, die für den virtuellen Server gefunden wurden.

   • Gesamtanzahl menschlicher Browser – Zeigt die Gesamtzahl der menschlichen Benutzer an, die auf den virtuellen Server zugreifen.

   • Bot-Mensch-Verhältnis – Zeigt das Verhältnis zwischen menschlichen Benutzern und Bots an, die auf den virtuellen Server zugreifen.

   • Signatur-Bots, Fingerprint-Bots, Ratenbasierte Bots, IP-Reputations-Bots, Zulassungslisten-Bots und Sperrlisten-Bots – Zeigt die Gesamtzahl der Bot-Angriffe an, die basierend auf der konfigurierten Bot-Kategorie aufgetreten sind. Weitere Informationen zur Bot-Kategorie finden Sie unter: Bot-Erkennungstechniken in Citrix ADC.

5. Klicken Sie auf >, um Bot-Details in einem Diagrammformat anzuzeigen.

Ereignisverlauf anzeigen

Benutzer können die Bot-Signatur-Updates im Ereignisverlauf anzeigen, wenn:

• Neue Bot-Signaturen werden in Citrix ADC-Instanzen hinzugefügt.

• Bestehende Bot-Signaturen werden in Citrix ADC-Instanzen aktualisiert.

Benutzer können die Zeitdauer auf der Bot-Insight-Seite auswählen, um den Ereignisverlauf anzuzeigen.

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS Cloud abgerufen, auf Citrix ADC aktualisiert und die Zusammenfassung der Signaturaktualisierung auf Citrix ADM angezeigt werden.

1. Der Scheduler für die automatische Aktualisierung der Bot-Signatur ruft die Zuordnungsdatei von der AWS-URI ab.

2. Überprüft die neuesten Signaturen in der Zuordnungsdatei mit den vorhandenen Signaturen in der ADC-Appliance.

3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.

4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.

5. Generiert eine SNMP-Warnung und sendet die Zusammenfassung der Signaturaktualisierung an Citrix ADM.

Bots anzeigen

Klicken Sie auf den virtuellen Server, um die Anwendungsübersicht anzuzeigen.

1. Bietet die Details der Anwendungsübersicht, wie zum Beispiel:

   • Durchschnittliche RPS – Zeigt die durchschnittlichen Bot-Transaktionsanfragen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

   • Bots nach Schweregrad – Zeigt die höchsten Bot-Transaktionen an, die basierend auf dem Schweregrad aufgetreten sind. Der Schweregrad wird nach Kritisch, Hoch, Mittel und Niedrig kategorisiert.

   Wenn die virtuellen Server beispielsweise 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad aufweisen, zeigt Citrix ADM unter Bots nach Schweregrad den Wert Kritisch 1,55 K an.

   • Größte Bot-Kategorie – Zeigt die höchsten Bot-Angriffe basierend auf der Bot-Kategorie an.

   Wenn die virtuellen Server beispielsweise 8000 blockierte Bots, 5000 zugelassene Bots und 10000 Bots mit überschrittener Ratenbegrenzung aufweisen, zeigt Citrix ADM Ratenbegrenzung überschritten 10 K unter Größte Bot-Kategorie an.

   • Größte Geo-Quelle – Zeigt die höchsten Bot-Angriffe basierend auf einer Region an.

   Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore aufweisen, zeigt Citrix ADM Bangalore 9 K unter Größte Geo-Quelle an.

   • Durchschnittlicher % Bot-Traffic – Zeigt das Verhältnis von menschlichem zu Bot-Traffic an.

2. Zeigt die Schwere der Bot-Angriffe basierend auf Standorten in der Kartenansicht an

3. Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und Alle)

4. Zeigt die gesamten Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

   • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als blockierte Bots und Drop als Aktion für diese IP-Adressbereiche ausgewählt

   • IP-Bereich (192.140.15.4 bis 192.140.15.254) als blockierte Bots und die Erstellung einer Protokollnachricht als Aktion für diese IP-Bereiche ausgewählt

     In diesem Szenario zeigt Citrix ADM Folgendes an:

     • Gesamtzahl der blockierten Bots

     • Gesamtzahl der Bots unter Gelöscht

     • Gesamtzahl der Bots unter Protokoll

CAPTCHA-Bots anzeigen

Auf Webseiten sollen CAPTCHAs erkennen, ob der eingehende Datenverkehr von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in Citrix ADM anzuzeigen, müssen Benutzer CAPTCHA als Bot-Aktion für IP-Reputation und Geräte-Fingerprinting-Erkennungstechniken in einer Citrix ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter: Bot-Management konfigurieren.

Im Folgenden sind die CAPTCHA-Aktivitäten aufgeführt, die Citrix ADM in Bot Insight anzeigt:

• Captcha-Versuche überschritten – Bezeichnet die maximale Anzahl von CAPTCHA-Versuchen nach fehlgeschlagenen Anmeldungen

• Captcha-Client stummgeschaltet – Bezeichnet die Anzahl der Client-Anfragen, die gelöscht oder umgeleitet werden, weil diese Anfragen zuvor mit der CAPTCHA-Herausforderung als schlechte Bots erkannt wurden

• Mensch – Bezeichnet die von menschlichen Benutzern durchgeführten Captcha-Eingaben

• Ungültige Captcha-Antwort – Bezeichnet die Anzahl der falschen CAPTCHA-Antworten, die vom Bot oder Menschen empfangen wurden, wenn Citrix ADC eine CAPTCHA-Herausforderung sendet

Bot-Fallen anzeigen

Um Bot-Fallen in Citrix ADM anzuzeigen, müssen Sie die Bot-Falle in der Citrix ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter: Bot-Management konfigurieren.

Um die Bot-Falle zu identifizieren, wird ein Skript auf der Webseite aktiviert, das vor Menschen, aber nicht vor Bots verborgen ist. Citrix ADM identifiziert und meldet die Bot-Fallen, wenn dieses Skript von Bots aufgerufen wird.

Klicken Sie auf den virtuellen Server und wählen Sie Zero Pixel Request aus.

Bot-Details anzeigen

Für weitere Details klicken Sie unter Bot-Kategorie auf den Bot-Angriffstyp.

Die Details wie Angriffszeit und Gesamtzahl der Bot-Angriffe für die ausgewählte Captcha-Kategorie werden angezeigt.

Benutzer können auch das Balkendiagramm ziehen, um den spezifischen Zeitraum auszuwählen, der mit Bot-Angriffen angezeigt werden soll.

Um zusätzliche Informationen zum Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

• Instanz-IP – Zeigt die IP-Adresse der Citrix ADC-Instanz an

• Gesamtzahl Bots – Zeigt die Gesamtzahl der Bot-Angriffe an, die in diesem bestimmten Zeitraum aufgetreten sind

• HTTP-Anforderungs-URL – Zeigt die URL an, die für die Captcha-Berichterstattung konfiguriert ist

• Ländercode – Zeigt das Land an, in dem der Bot-Angriff aufgetreten ist

• Region – Zeigt die Region an, in der der Bot-Angriff aufgetreten ist

• Profilname – Zeigt den Profilnamen an, den Benutzer während der Konfiguration angegeben haben

Erweiterte Suche

Benutzer können auch das Suchtextfeld und die Liste der Zeitdauern verwenden, um Bot-Details gemäß den Benutzeranforderungen anzuzeigen. Wenn Benutzer auf das Suchfeld klicken, bietet das Suchfeld die folgende Liste von Suchvorschlägen.

• Instanz-IP – IP-Adresse der Citrix ADC-Instanz

• Client-IP – Client-IP-Adresse

• Bot-Typ – Bot-Typ, z. B. Gut oder Schlecht

• Schweregrad – Schweregrad des Bot-Angriffs

• Durchgeführte Aktion – Nach dem Bot-Angriff durchgeführte Aktion, z. B. Verwerfen, Keine Aktion, Umleiten

• Bot-Kategorie – Kategorie des Bot-Angriffs, z. B. Sperrliste, Zulassungsliste, Fingerabdruck usw. Basierend auf einer Kategorie können Benutzer eine Bot-Aktion damit verknüpfen.

• Bot-Erkennung – Bot-Erkennungstypen (Sperrliste, Zulassungsliste usw.), die Benutzer auf der Citrix ADC Instanz konfiguriert haben.

• Standort – Region/Land, in dem der Bot-Angriff stattgefunden hat

• Anforderungs-URL – URL, die mögliche Bot-Angriffe aufweist

Benutzer können auch Operatoren in den Benutzersuchanfragen verwenden, um den Fokus der Benutzersuche einzugrenzen. Wenn Benutzer beispielsweise alle schlechten Bots anzeigen möchten:

• Klicken Sie auf das Suchfeld und wählen Sie Bot-Typ aus.

• Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator = aus.

• Klicken Sie erneut auf das Suchfeld und wählen Sie Schlecht aus.

• Klicken Sie auf Suchen, um die Ergebnisse anzuzeigen.

Details zur Bot-Verletzung

Übermäßige Client-Verbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Client-Anfrage in der Citrix ADC Appliance verarbeitet, anstatt sich direkt mit dem Server zu verbinden. Web-Traffic besteht aus Bots, und Bots können verschiedene Aktionen schneller ausführen als ein Mensch.

Mithilfe des Indikators Übermäßige Client-Verbindungen können Benutzer Szenarien analysieren, in denen eine Anwendung ungewöhnlich viele Client-Verbindungen durch Bots erhält.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Der Zeitpunkt des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die die Gesamtzahl der IP-Adressen angibt, die mit der Anwendung interagieren

• Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Kontoübernahme

Hinweis: Stellen Sie sicher, dass Benutzer die erweiterten Sicherheitsanalyse- und Webtransaktionsoptionen aktivieren. Weitere Informationen finden Sie unter Einrichtung: Einrichtung.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als Bad Bots bezeichnet. Es ist wichtig, Bad Bots zu identifizieren und die Benutzer-Appliance vor jeglicher Form von erweiterten Sicherheitsangriffen zu schützen.

Voraussetzung

Benutzer müssen die Einstellungen für die Kontoübernahme in Citrix ADM konfigurieren.

• Navigieren Sie zu Analytics > Settings > Security Violations

• Klicken Sie auf Hinzufügen

• Geben Sie auf der Seite Anwendung hinzufügen die folgenden Parameter an:

  • Anwendung – Wählen Sie den virtuellen Server aus der Liste aus.

  • Methode – Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sind GET, PUSH, POST und UPDATE.

  • Anmelde-URL und Erfolgsantwortcode – Geben Sie die URL der Webanwendung und den HTTP-Statuscode (z. B. 200) an, für den Benutzer möchten, dass Citrix ADM die Übernahme des Kontos durch Bad Bots meldet.

  • Klicken Sie auf Hinzufügen.

Nachdem Benutzer die Einstellungen konfiguriert haben, können sie mithilfe des Indikators Kontoübernahme analysieren, ob Bad Bots versucht haben, das Benutzerkonto zu übernehmen, indem sie mehrere Anfragen zusammen mit Anmeldeinformationen gesendet haben.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Die Uhrzeit des Verstoßes

• Die Erkennungsmeldung für die Verletzung, die die gesamte ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen anzeigt

• Die IP-Adresse des bösen Bots. Klicken Sie, um Details wie Uhrzeit, IP-Adresse, die Gesamtzahl erfolgreicher Anmeldungen, die Gesamtzahl fehlgeschlagener Anmeldungen und die Gesamtzahl der von dieser IP-Adresse gestellten Anfragen anzuzeigen.

Ungewöhnlich hohes Upload-Volumen

Der Web-Traffic umfasst auch Daten, die zum Hochladen verarbeitet werden. Wenn beispielsweise die durchschnittliche Upload-Datenmenge pro Benutzer und Tag 500 MB beträgt und Benutzer 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, Daten schneller hochzuladen als Menschen.

Mithilfe des Indikators Ungewöhnlich hohes Upload-Volumen können Benutzer anomale Szenarien von Upload-Daten an die Anwendung durch Bots analysieren.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verletzungen betroffen sind.

• Das Diagramm, das alle Verletzungen anzeigt

• Die Uhrzeit des Auftretens der Verletzung

• Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Upload-Datenvolumen anzeigt

• Der akzeptierte Bereich der Upload-Daten an die Anwendung

Ungewöhnlich hohes Download-Volumen

Ähnlich wie bei hohem Upload-Volumen können Bots auch Downloads schneller durchführen als Menschen.

Mithilfe des Indikators Ungewöhnlich hohes Download-Volumen können Benutzer abnormale Szenarien von Download-Daten aus der Anwendung durch Bots analysieren.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Der Zeitpunkt des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die das insgesamt verarbeitete Download-Datenvolumen angibt

• Der akzeptierte Bereich der Download-Daten von der Anwendung

Ungewöhnlich hohe Anfragerate

Benutzer können den eingehenden und ausgehenden Datenverkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anfragerate verursachen. Wenn Benutzer beispielsweise eine Anwendung so konfigurieren, dass 100 Anfragen/Minute zugelassen werden, und 350 Anfragen beobachten, könnte dies ein Bot-Angriff sein.

Mithilfe des Indikators Ungewöhnlich hohe Anfragerate können Benutzer die ungewöhnliche Anfragerate analysieren, die bei der Anwendung eingeht.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Der Zeitpunkt des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die die insgesamt empfangenen Anfragen und den Prozentsatz der übermäßigen Anfragen im Vergleich zu den erwarteten Anfragen angibt

• Der akzeptierte Bereich der erwarteten Anfragerate von der Anwendung

Anwendungsfälle

Bot

Manchmal besteht der eingehende Web-Traffic aus Bots, und die meisten Organisationen leiden unter Bot-Angriffen. Web- und mobile Anwendungen sind wichtige Umsatztreiber für Unternehmen, und die meisten Unternehmen sind von fortgeschrittenen Cyberangriffen, wie Bots, bedroht. Ein Bot ist ein Softwareprogramm, das bestimmte Aktionen automatisch und wiederholt mit einer viel höheren Geschwindigkeit als ein Mensch ausführt. Bots können mit Webseiten interagieren, Formulare absenden, Aktionen ausführen, Texte scannen oder Inhalte herunterladen. Sie können auf Videos zugreifen, Kommentare posten und auf Social-Media-Plattformen twittern. Einige Bots, bekannt als Chatbots, können grundlegende Gespräche mit menschlichen Benutzern führen. Ein Bot, der einen hilfreichen Dienst leistet, wie Kundenservice, automatisierter Chat und Suchmaschinen-Crawler, sind gute Bots. Gleichzeitig sind Bots, die Inhalte von einer Website scrapen oder herunterladen, Benutzeranmeldeinformationen stehlen, Inhalte spammen und andere Arten von Cyberangriffen durchführen können, schlechte Bots. Da eine beträchtliche Anzahl schlechter Bots bösartige Aufgaben ausführt, ist es unerlässlich, den Bot-Traffic zu verwalten und die Webanwendungen der Benutzer vor Bot-Angriffen zu schützen. Durch die Verwendung von Citrix Bot-Management können Benutzer den eingehenden Bot-Traffic erkennen und Bot-Angriffe abwehren, um die Webanwendungen der Benutzer zu schützen. Citrix Bot-Management hilft, schlechte Bots zu identifizieren und die Benutzer-Appliance vor fortgeschrittenen Sicherheitsangriffen zu schützen. Es erkennt gute und schlechte Bots und identifiziert, ob eingehender Traffic ein Bot-Angriff ist. Durch die Verwendung von Bot-Management können Benutzer Angriffe abwehren und die Webanwendungen der Benutzer schützen.

Citrix ADC Bot-Management bietet die folgenden Vorteile:

• Verteidigt gegen Bots, Skripte und Toolkits. Bietet Echtzeit-Bedrohungsabwehr mittels statischer signaturbasierter Verteidigung und Geräte-Fingerprinting.

• Neutralisiert automatisierte einfache und fortgeschrittene Angriffe. Verhindert Angriffe wie App-Layer-DDoS, Password Spraying, Password Stuffing, Price Scrapers und Content Scrapers.

• Schützt Benutzer-APIs und Investitionen. Schützt Benutzer-APIs vor unberechtigter Nutzung und schützt Infrastrukturinvestitionen vor automatisiertem Traffic.

Einige Anwendungsfälle, bei denen Benutzer vom Citrix Bot-Management-System profitieren können, sind:

• Brute-Force-Anmeldung. Ein Regierungs-Webportal wird ständig von Bots angegriffen, die Brute-Force-Anmeldeversuche unternehmen. Die Organisation entdeckt den Angriff, indem sie Web-Logs durchsucht und feststellt, dass bestimmte Benutzer wiederholt mit schnellen Anmeldeversuchen und inkrementierenden Passwörtern mittels eines Wörterbuchangriffs angegriffen werden. Gesetzlich sind sie verpflichtet, sich und ihre Benutzer zu schützen. Durch den Einsatz des Citrix Bot-Managements können sie Brute-Force-Anmeldungen mithilfe von Geräte-Fingerprinting und Ratenbegrenzungstechniken stoppen.

• Böswillige Bots blockieren und unbekannte Bots per Geräte-Fingerprinting identifizieren. Eine Web-Entität erhält täglich 100.000 Besucher. Sie müssen die zugrunde liegende Infrastruktur aufrüsten und geben ein Vermögen aus. Bei einer kürzlichen Prüfung stellte das Team fest, dass 40 Prozent des Traffics von Bots stammten, die Inhalte scrapten, Nachrichten auswählten, Benutzerprofile überprüften und vieles mehr. Sie möchten diesen Traffic blockieren, um ihre Benutzer zu schützen und ihre Hosting-Kosten zu senken. Mithilfe des Bot-Managements können sie bekannte böswillige Bots blockieren und unbekannte Bots, die ihre Website angreifen, per Geräte-Fingerprinting identifizieren. Durch das Blockieren dieser Bots können sie den Bot-Traffic um 90 Prozent reduzieren.

• Gute Bots zulassen. „Gute“ Bots sind darauf ausgelegt, Unternehmen und Verbrauchern zu helfen. Es gibt sie seit den frühen 1990er Jahren, als die ersten Suchmaschinen-Bots entwickelt wurden, um das Internet zu durchsuchen. Google, Yahoo und Bing würden ohne sie nicht existieren. Weitere Beispiele für gute Bots – hauptsächlich verbraucherorientiert – sind:

  • Chatbots (auch bekannt als Chatterbots, Smart Bots, Talk Bots, IM Bots, Social Bots, Conversation Bots) interagieren mit Menschen über Text oder Ton. Eine der ersten Textanwendungen war für den Online-Kundenservice und Textnachrichten-Apps wie Facebook Messenger und iPhone Messages. Siri, Cortana und Alexa sind Chatbots; aber auch mobile Apps, die es Benutzern ermöglichen, Kaffee zu bestellen und ihnen dann mitzuteilen, wann er fertig ist, Benutzern ermöglichen, Filmtrailer anzusehen und lokale Kinozeiten zu finden, oder Benutzern ein Bild des Automodells und des Nummernschilds senden, wenn sie einen Fahrdienst anfordern.

  • Shopbots durchsuchen das Internet nach den niedrigsten Preisen für Artikel, nach denen Benutzer suchen.

  • Monitoring-Bots überprüfen den Zustand (Verfügbarkeit und Reaktionsfähigkeit) von Websites. Downdetector ist ein Beispiel für eine unabhängige Website, die Echtzeit-Statusinformationen, einschließlich Ausfällen, von Websites und anderen Arten von Diensten bereitstellt. Weitere Informationen zu Downdetector finden Sie unter: Downdetector.

Bot-Erkennung

Konfigurieren der Bot-Verwaltung mit der Citrix ADC GUI

Benutzer können die Citrix ADC Bot-Verwaltung konfigurieren, indem sie die Funktion zunächst auf dem Gerät aktivieren. Sobald Benutzer sie aktivieren, können sie eine Bot-Richtlinie erstellen, um den eingehenden Datenverkehr als Bot zu bewerten und den Datenverkehr an das Bot-Profil zu senden. Anschließend erstellen Benutzer ein Bot-Profil und binden das Profil an eine Bot-Signatur. Alternativ können Benutzer auch die Standard-Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nach dem Erstellen der Signaturdatei können Benutzer sie in das Bot-Profil importieren. Alle diese Schritte werden in der folgenden Reihenfolge ausgeführt:

1. Bot-Verwaltungsfunktion aktivieren

2. Bot-Verwaltungseinstellungen konfigurieren

3. Citrix Bot-Standardsignatur klonen

4. Citrix Bot-Signatur importieren

5. Bot-Signatureinstellungen konfigurieren

6. Bot-Profil erstellen

7. Bot-Richtlinie erstellen

Bot-Verwaltungsfunktion aktivieren

Führen Sie die folgenden Schritte aus, um die Bot-Verwaltung zu aktivieren:

1. Erweitern Sie im Navigationsbereich System und klicken Sie dann auf Einstellungen.

2. Aktivieren Sie auf der Seite Erweiterte Funktionen konfigurieren das Kontrollkästchen Bot-Verwaltung.

3. Klicken Sie auf OK und dann auf Schließen.

Bot-Signaturdatei klonen

Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu klonen:

1. Navigieren Sie zu Sicherheit > Citrix Bot-Verwaltung und Signaturen.

2. Wählen Sie auf der Seite Citrix Bot-Verwaltung Signaturen den Standard-Bot-Signaturen-Eintrag aus und klicken Sie auf Klonen.

3. Geben Sie auf der Seite Bot-Signatur klonen einen Namen ein und bearbeiten Sie die Signaturdaten.

4. Klicken Sie auf Erstellen.

Bot-Signaturdatei importieren

Wenn Benutzer eine eigene Signaturdatei haben, können sie diese als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:

• Navigieren Sie zu Sicherheit > Citrix Bot-Verwaltung und Signaturen.

• Importieren Sie auf der Seite Citrix Bot-Verwaltung Signaturen die Datei als URL, Datei oder Text.

• Klicken Sie auf Weiter.

• Legen Sie auf der Seite Citrix Bot Management-Signatur importieren die folgenden Parameter fest.

  • Name. Name der Bot-Signaturdatei.

  • Kommentar. Kurze Beschreibung der importierten Datei.

  • Überschreiben. Aktivieren Sie das Kontrollkästchen, um das Überschreiben von Daten während der Dateiaktualisierung zuzulassen.

  • Signaturdaten. Signaturparameter ändern

• Klicken Sie auf Fertig.

IP-Reputation

IP-Reputation mithilfe der Citrix ADC GUI konfigurieren

Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Die Erkennungstechnik ermöglicht es Benutzern, bösartige Aktivitäten von einer eingehenden IP-Adresse zu identifizieren. Im Rahmen der Konfiguration legen wir verschiedene bösartige Bot-Kategorien fest und ordnen jeder eine Bot-Aktion zu. Führen Sie die folgenden Schritte aus, um die IP-Reputationstechnik zu konfigurieren.

• Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.

• Wählen Sie auf der Seite Citrix Bot Management-Profile eine Signaturdatei aus und klicken Sie auf Bearbeiten.

• Gehen Sie auf der Seite Citrix Bot Management-Profil zum Abschnitt Signatureinstellungen und klicken Sie auf IP-Reputation.

• Im Abschnitt IP-Reputation legen Sie die folgenden Parameter fest:

  • Aktiviert. Aktivieren Sie das Kontrollkästchen, um eingehenden Bot-Verkehr als Teil des Erkennungsprozesses zu validieren.

  • Kategorien konfigurieren. Benutzer können die IP-Reputations-Technik für eingehenden Bot-Verkehr unter verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Benutzer den Bot-Verkehr verwerfen oder umleiten. Klicken Sie auf Hinzufügen, um eine Kategorie für bösartige Bots zu konfigurieren.

  • Auf der Seite Citrix Bot Management Profile IP Reputation Binding konfigurieren legen Sie die folgenden Parameter fest:

    • Kategorie. Wählen Sie eine Kategorie für bösartige Bots aus der Liste aus. Ordnen Sie eine Bot-Aktion basierend auf der Kategorie zu.

    • Aktiviert. Aktivieren Sie das Kontrollkästchen, um die Erkennung von IP-Reputationssignaturen zu validieren.

    • Bot-Aktion. Basierend auf der konfigurierten Kategorie können Benutzer keine Aktion, Verwerfen, Umleiten oder CAPTCHA-Aktion zuweisen.

    • Protokoll. Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.

    • Protokollnachricht. Kurze Beschreibung des Protokolls.

    • Kommentare. Kurze Beschreibung der Bot-Kategorie.

• Klicken Sie auf OK.

• Klicken Sie auf Aktualisieren.

• Klicken Sie auf Fertig.

Automatische Aktualisierung für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Nachschlagetabelle mit einer Liste guter Bots und schlechter Bots. Die Bots werden basierend auf User-Agent-String und Domänennamen kategorisiert. Wenn der User-Agent-String und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Bot-Signatur-Updates werden in der AWS Cloud gehostet, und die Signatur-Nachschlagetabelle kommuniziert mit der AWS-Datenbank für Signatur-Updates. Der automatische Signatur-Update-Scheduler läuft jede Stunde, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der ADC-Appliance zu aktualisieren.

Die URL für die automatische Aktualisierung der Bot-Signaturzuordnung zum Konfigurieren von Signaturen lautet: Bot-Signaturzuordnung.

Hinweis: Benutzer können auch einen Proxyserver konfigurieren und Signaturen regelmäßig von der AWS Cloud über den Proxy auf die ADC-Appliance aktualisieren. Für die Proxy-Konfiguration müssen Benutzer die Proxy-IP-Adresse und Portadresse in den Bot-Einstellungen festlegen.

Automatische Bot-Signaturaktualisierung konfigurieren

Führen Sie die folgenden Schritte aus, um die automatische Bot-Signaturaktualisierung zu konfigurieren:

Automatische Bot-Signaturaktualisierung aktivieren

Benutzer müssen die Option zur automatischen Aktualisierung in den Bot-Einstellungen auf der ADC-Appliance aktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

Bot-Einstellungen festlegen –signatureAutoUpdate EIN

Automatische Bot-Signaturaktualisierung mit der Citrix ADC GUI konfigurieren

Führen Sie die folgenden Schritte aus, um die automatische Bot-Signaturaktualisierung zu konfigurieren:

• Navigieren Sie zu Sicherheit > Citrix Bot Management.

• Klicken Sie im Detailbereich unter Einstellungen auf Citrix Bot Management-Einstellungen ändern.

• Wählen Sie unter Citrix Bot Management-Einstellungen konfigurieren das Kontrollkästchen Signatur automatisch aktualisieren aus.

• Klicken Sie auf OK und Schließen.

Weitere Informationen zum Konfigurieren der IP-Reputation über die CLI finden Sie unter: Konfigurieren der IP-Reputationsfunktion über die CLI.

Referenzen

Informationen zur Verwendung von SQL Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zum Konfigurieren der SQL-Injection-Prüfung über die Befehlszeile finden Sie unter: HTML SQL Injection Check.

Informationen zum Konfigurieren der SQL-Injection-Prüfung über die GUI finden Sie unter: Konfigurieren der SQL-Injection-Sicherheitsprüfung über die GUI.

Informationen zur Verwendung der Lernfunktion mit der SQL-Injection-Prüfung finden Sie unter: Verwenden der Lernfunktion mit der SQL-Injection-Prüfung.

Informationen zur Verwendung der Protokollfunktion mit der SQL-Injection-Prüfung finden Sie unter: Verwenden der Protokollfunktion mit der SQL-Injection-Prüfung.

Informationen zu Statistiken für SQL-Injection-Verletzungen finden Sie unter: Statistiken für SQL-Injection-Verletzungen.

Informationen zu den Highlights der SQL-Injection-Prüfung finden Sie unter: Highlights.

Informationen zu XML-SQL-Injection-Prüfungen finden Sie unter: XML SQL Injection Check.

Informationen zur Verwendung von Cross-Site Scripting Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zum Konfigurieren von HTML Cross-Site Scripting über die Befehlszeile finden Sie unter: Konfigurieren der HTML Cross-Site Scripting-Prüfung über die Befehlszeile.

Informationen zum Konfigurieren von HTML Cross-Site Scripting über die GUI finden Sie unter: Konfigurieren der HTML Cross-Site Scripting-Prüfung über die GUI.

Informationen zur Verwendung der Lernfunktion mit der HTML Cross-Site Scripting-Prüfung finden Sie unter: Verwenden der Lernfunktion mit der HTML Cross-Site Scripting-Prüfung.

Informationen zur Verwendung der Protokollfunktion mit der HTML-Cross-Site-Scripting-Prüfung finden Sie unter: Verwenden der Protokollfunktion mit der HTML-Cross-Site-Scripting-Prüfung.

Informationen zu Statistiken für HTML-Cross-Site-Scripting-Verletzungen finden Sie unter: Statistiken für HTML-Cross-Site-Scripting-Verletzungen.

Informationen zu HTML-Cross-Site-Scripting-Highlights finden Sie unter: Wichtige Punkte.

Informationen zu XML-Cross-Site-Scripting finden Sie unter: XML Cross-Site Scripting-Prüfung.

Informationen zur Verwendung der Befehlszeile zum Konfigurieren der Pufferüberlauf-Sicherheitsprüfung finden Sie unter: Verwenden der Befehlszeile zum Konfigurieren der Pufferüberlauf-Sicherheitsprüfung.

Informationen zur Verwendung der GUI zum Konfigurieren der Pufferüberlauf-Sicherheitsprüfung finden Sie unter: Konfigurieren der Pufferüberlauf-Sicherheitsprüfung mithilfe der Citrix ADC GUI.

Informationen zur Verwendung der Protokollfunktion mit der Pufferüberlauf-Sicherheitsprüfung finden Sie unter: Verwenden der Protokollfunktion mit der Pufferüberlauf-Sicherheitsprüfung.

Informationen zu Statistiken für Pufferüberlauf-Verletzungen finden Sie unter: Statistiken für Pufferüberlauf-Verletzungen.

Informationen zu den Highlights der Pufferüberlauf-Sicherheitsprüfung finden Sie unter: Wichtige Punkte.

Informationen zum Hinzufügen oder Entfernen eines Signaturobjekts finden Sie unter: Hinzufügen oder Entfernen eines Signaturobjekts.

Informationen zum Erstellen eines Signaturobjekts aus einer Vorlage finden Sie unter: Erstellen eines Signaturobjekts aus einer Vorlage.

Informationen zum Erstellen eines Signaturobjekts durch Importieren einer Datei finden Sie unter: Erstellen eines Signaturobjekts durch Importieren einer Datei.

Informationen zum Erstellen eines Signaturobjekts durch Importieren einer Datei über die Befehlszeile finden Sie unter: Erstellen eines Signaturobjekts durch Importieren einer Datei über die Befehlszeile.

Informationen zum Entfernen eines Signaturobjekts mithilfe der GUI finden Sie unter: Entfernen eines Signaturobjekts mithilfe der GUI.

Informationen zum Entfernen eines Signaturobjekts mithilfe der Befehlszeile finden Sie unter: Entfernen eines Signaturobjekts mithilfe der Befehlszeile.

Informationen zum Konfigurieren oder Ändern eines Signaturobjekts finden Sie unter: Konfigurieren oder Ändern eines Signaturobjekts.

Weitere Informationen zum Aktualisieren eines Signaturobjekts finden Sie unter: Aktualisieren eines Signaturobjekts.

Informationen zur Verwendung der Befehlszeile zum Aktualisieren von Web Application Firewall-Signaturen aus der Quelle finden Sie unter: Aktualisieren der Web Application Firewall-Signaturen aus der Quelle mithilfe der Befehlszeile.

Informationen zum Aktualisieren eines Signaturobjekts aus einer Citrix-Formatdatei finden Sie unter: Aktualisieren eines Signaturobjekts aus einer Citrix-Formatdatei.

Informationen zum Aktualisieren eines Signaturobjekts von einem unterstützten Schwachstellen-Scanning-Tool finden Sie unter: Aktualisieren eines Signaturobjekts von einem unterstützten Schwachstellen-Scanning-Tool.

Informationen zur Snort-Regelintegration finden Sie unter: Snort-Regelintegration.

Informationen zum Konfigurieren von Snort-Regeln finden Sie unter: Snort-Regeln konfigurieren.

Informationen zum Konfigurieren von Bot-Management über die Befehlszeile finden Sie unter: Bot-Management konfigurieren.

Informationen zum Konfigurieren von Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik finden Sie unter: Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik konfigurieren.

Informationen zum Konfigurieren von Bot-Zulassungslisten mithilfe der Citrix ADC GUI finden Sie unter: Bot-Zulassungsliste mithilfe der Citrix ADC GUI konfigurieren.

Informationen zum Konfigurieren von Bot-Sperrlisten mithilfe der Citrix ADC GUI finden Sie unter: Bot-Sperrliste mithilfe der Citrix ADC GUI konfigurieren.

Weitere Informationen zum Konfigurieren von Bot-Management finden Sie unter: Bot-Management konfigurieren.

Voraussetzungen

Benutzer benötigen einige Vorkenntnisse, bevor sie eine Citrix VPX-Instanz in Azure bereitstellen:

• Vertrautheit mit der Azure-Terminologie und Netzwerkdetails. Weitere Informationen finden Sie oben in der Azure-Terminologie.

• Kenntnisse einer Citrix ADC Appliance. Detaillierte Informationen zur Citrix ADC Appliance finden Sie unter: Citrix ADC 13.0.

• Kenntnisse der Citrix ADC-Netzwerkfunktionen. Siehe: Networking.

Azure-Voraussetzungen

Dieser Abschnitt beschreibt die Voraussetzungen, die Benutzer in Microsoft Azure und Citrix ADM erfüllen müssen, bevor sie Citrix ADC VPX-Instanzen bereitstellen.

Dieses Dokument geht von Folgendem aus:

• Benutzer besitzen ein Microsoft Azure-Konto, das das Azure Resource Manager-Bereitstellungsmodell unterstützt.

• Benutzer haben eine Ressourcengruppe in Microsoft Azure.

Weitere Informationen zum Erstellen eines Kontos und zu anderen Aufgaben finden Sie in der Microsoft Azure-Dokumentation: Microsoft Azure Documentation.

Einschränkungen

Der Betrieb der Citrix ADC VPX-Lastverteilungslösung auf ARM unterliegt den folgenden Einschränkungen:

• Die Azure-Architektur unterstützt die folgenden Citrix ADC-Funktionen nicht:

  • Clustering

  • IPv6

  • Gratuitous ARP (GARP)

  • L2-Modus (Bridging). Transparente virtuelle Server werden mit L2 (MAC-Umschreibung) für Server im selben Subnetz wie die SNIP unterstützt.

  • Getaggtes VLAN

  • Dynamisches Routing

  • Virtuelle MAC

  • USIP

  • Jumbo-Frames

• Wenn Benutzer der Meinung sind, dass sie die virtuelle Maschine Citrix ADC VPX jederzeit herunterfahren und vorübergehend freigeben müssen, sollten sie beim Erstellen der virtuellen Maschine eine statische interne IP-Adresse zuweisen. Wenn sie keine statische interne IP-Adresse zuweisen, weist Azure der virtuellen Maschine möglicherweise bei jedem Neustart eine andere IP-Adresse zu, und die virtuelle Maschine könnte unzugänglich werden.

• In einer Azure-Bereitstellung werden nur die folgenden Citrix ADC VPX-Modelle unterstützt: VPX 10, VPX 200, VPX 1000 und VPX 3000. Weitere Informationen finden Sie im Citrix ADC VPX-Datenblatt.

• Wenn eine Citrix ADC VPX-Instanz mit einer Modellnummer höher als VPX 3000 verwendet wird, entspricht der Netzwerkdurchsatz möglicherweise nicht dem, der durch die Lizenz der Instanz angegeben ist. Andere Funktionen, wie der SSL-Durchsatz und die SSL-Transaktionen pro Sekunde, können sich jedoch verbessern.

• Die „Bereitstellungs-ID“, die von Azure während der Bereitstellung virtueller Maschinen generiert wird, ist für den Benutzer in ARM nicht sichtbar. Benutzer können die Bereitstellungs-ID nicht verwenden, um die Citrix ADC VPX-Appliance auf ARM bereitzustellen.

• Die Citrix ADC VPX-Instanz unterstützt 20 Mbit/s Durchsatz und Standard-Edition-Funktionen, wenn sie initialisiert wird.

• Für eine XenApp- und XenDesktop®-Bereitstellung kann ein VPN-Virtual-Server auf einer VPX-Instanz in den folgenden Modi konfiguriert werden:

  • Basismodus, bei dem der ICAOnly VPN-Virtual-Server-Parameter auf ON gesetzt ist. Der Basismodus funktioniert vollständig auf einer nicht lizenzierten Citrix ADC VPX-Instanz.

  • Smart-Access-Modus, bei dem der ICAOnly VPN-Virtual-Server-Parameter auf OFF gesetzt ist. Der Smart-Access-Modus funktioniert nur für 5 NetScaler AAA-Sitzungsbenutzer auf einer nicht lizenzierten Citrix ADC VPX-Instanz.

Hinweis:

Um die Smart Control-Funktion zu konfigurieren, müssen Benutzer eine Premium-Lizenz auf die Citrix ADC VPX-Instanz anwenden.

Azure-VPX: Unterstützte Modelle und Lizenzierung

In einer Azure-Bereitstellung werden nur die folgenden Citrix ADC VPX-Modelle unterstützt: VPX 10, VPX 200, VPX 1000 und VPX 3000. Weitere Informationen finden Sie im Citrix ADC VPX-Datenblatt.

Eine Citrix ADC VPX-Instanz in Azure erfordert eine Lizenz. Die folgenden Lizenzierungsoptionen stehen für Citrix ADC VPX-Instanzen zur Verfügung, die auf Azure ausgeführt werden. Benutzer können eine dieser Methoden wählen, um von Citrix ADM bereitgestellte Citrix ADCs zu lizenzieren:

• Verwenden von ADC-Lizenzen, die in Citrix ADM vorhanden sind: Konfigurieren Sie Pooled Capacity, VPX-Lizenzen oder virtuelle CPU-Lizenzen beim Erstellen der autoscale™-Gruppe. Wenn also eine neue Instanz für eine Autoskalierungsgruppe bereitgestellt wird, wird der bereits konfigurierte Lizenztyp automatisch auf die bereitgestellte Instanz angewendet.

  • Pooled Capacity: Weist jeder bereitgestellten Instanz in der Autoskalierungsgruppe Bandbreite zu. Stellen Sie sicher, dass Benutzer die erforderliche Bandbreite in Citrix ADM zur Verfügung haben, um neue Instanzen bereitzustellen. Weitere Informationen finden Sie unter: Pooled Capacity konfigurieren.

  Jede ADC-Instanz in der Autoskalierungsgruppe checkt eine Instanzlizenz und die angegebene Bandbreite aus dem Pool aus.

  • VPX-Lizenzen: Wendet die VPX-Lizenzen auf neu bereitgestellte Instanzen an. Stellen Sie sicher, dass Benutzer die erforderliche Anzahl von VPX-Lizenzen in Citrix ADM zur Verfügung haben, um neue Instanzen bereitzustellen.

  Wenn eine Citrix ADC VPX-Instanz bereitgestellt wird, checkt die Instanz die Lizenz aus dem Citrix ADM aus. Weitere Informationen finden Sie unter: Citrix ADC VPX Check-in- und Check-out-Lizenzierung.

  • Virtuelle CPU-Lizenzen: Wendet virtuelle CPU-Lizenzen auf neu bereitgestellte Instanzen an. Diese Lizenz gibt die Anzahl der CPUs an, die einer Citrix ADC VPX-Instanz zustehen. Stellen Sie sicher, dass Benutzer die erforderliche Anzahl virtueller CPUs in Citrix ADM zur Verfügung haben, um neue Instanzen bereitzustellen.

Wenn eine Citrix ADC VPX-Instanz bereitgestellt wird, checkt die Instanz die virtuelle CPU-Lizenz aus dem Citrix ADM aus. Weitere Informationen finden Sie unter: Citrix ADC Virtual CPU Licensing.

Wenn die bereitgestellten Instanzen zerstört oder deprovisioniert werden, werden die angewendeten Lizenzen automatisch an Citrix ADM zurückgegeben.

Um die verbrauchten Lizenzen zu überwachen, navigieren Sie zur Seite Netzwerke > Lizenzen.

Verwenden von Microsoft Azure-Abonnementlizenzen: Konfigurieren Sie Citrix ADC-Lizenzen, die im Azure Marketplace verfügbar sind, während Sie die Autoskalierungsgruppe erstellen. Wenn also eine neue Instanz für die Autoskalierungsgruppe bereitgestellt wird, wird die Lizenz vom Azure Marketplace bezogen.

Unterstützte Citrix ADC Azure Virtual Machine Images

Unterstützte Citrix ADC Azure Virtual Machine Images für die Bereitstellung

Verwenden Sie das Azure-VM-Image, das mindestens drei NICs unterstützt. Die Bereitstellung einer Citrix ADC VPX-Instanz wird nur in der Premium- und Advanced Edition unterstützt. Weitere Informationen zu Azure-VM-Imagetypen finden Sie unter: Allgemeine VM-Größen.

Die folgenden VM-Größen werden für die Bereitstellung empfohlen:

• Standard_DS3_v2

• Standard_B2ms

• Standard_DS4_v2

Richtlinien zur Portnutzung

Benutzer können weitere eingehende und ausgehende Regeln in der NSG konfigurieren, während sie die NetScaler VPX™-Instanz erstellen oder nachdem die virtuelle Maschine bereitgestellt wurde. Jede eingehende und ausgehende Regel ist einem öffentlichen Port und einem privaten Port zugeordnet.

Beachten Sie vor dem Konfigurieren von NSG-Regeln die folgenden Richtlinien bezüglich der Portnummern, die Benutzer verwenden können:

1. Die NetScaler VPX-Instanz reserviert die folgenden Ports. Benutzer können diese nicht als private Ports definieren, wenn sie die öffentliche IP-Adresse für Anfragen aus dem Internet verwenden. Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Wenn Benutzer jedoch möchten, dass internetseitige Dienste wie der VIP einen Standardport (z. B. Port 443) verwenden, müssen sie eine Portzuordnung mithilfe der NSG erstellen. Der Standardport wird dann einem anderen Port zugeordnet, der auf dem Citrix ADC VPX für diesen VIP-Dienst konfiguriert ist. Beispielsweise könnte ein VIP-Dienst auf Port 8443 auf der VPX-Instanz ausgeführt werden, aber dem öffentlichen Port 443 zugeordnet sein. Wenn der Benutzer also über die öffentliche IP auf Port 443 zugreift, wird die Anfrage an den privaten Port 8443 weitergeleitet.

2. Die öffentliche IP-Adresse unterstützt keine Protokolle, bei denen die Portzuordnung dynamisch geöffnet wird, wie z. B. passives FTP oder ALG.

3. Hochverfügbarkeit funktioniert nicht für Datenverkehr, der eine öffentliche IP-Adresse (PIP) verwendet, die einer VPX-Instanz zugeordnet ist, anstatt einer auf dem Azure Load Balancer konfigurierten PIP. Weitere Informationen finden Sie unter: Einrichten einer Hochverfügbarkeitskonfiguration mit einer einzelnen IP-Adresse und einer einzelnen NIC.

4. In einer NetScaler Gateway-Bereitstellung müssen Benutzer keine SNIP-Adresse konfigurieren, da die NSIP als SNIP verwendet werden kann, wenn keine SNIP konfiguriert ist. Benutzer müssen die VIP-Adresse unter Verwendung der NSIP-Adresse und einer nicht standardmäßigen Portnummer konfigurieren. Für die Rückrufkonfiguration auf dem Backend-Server muss die VIP-Portnummer zusammen mit der VIP-URL (z. B. url: port) angegeben werden.

   Hinweis:

   • Im Azure Resource Manager ist eine Citrix ADC VPX-Instanz mit zwei IP-Adressen verknüpft – einer öffentlichen IP-Adresse (PIP) und einer internen IP-Adresse. Während der externe Datenverkehr sich mit der PIP verbindet, ist die interne IP-Adresse oder die NSIP nicht routingfähig. Um einen VIP in VPX zu konfigurieren, verwenden Sie die interne IP-Adresse (NSIP) und einen der verfügbaren freien Ports. Verwenden Sie die PIP nicht, um einen VIP zu konfigurieren.

   • Wenn beispielsweise die NSIP einer Citrix ADC VPX-Instanz 10.1.0.3 ist und ein verfügbarer freier Port 10022 ist, können Benutzer einen VIP konfigurieren, indem sie die Kombination 10.1.0.3:10022 (NSIP-Adresse + Port) angeben.