Einführung in Best Practices für Citrix ADC MPX-, VPX- und SDX-Sicherheit

Eine Citrix ADC MPX-Appliance ist ein Anwendungsbereitstellungscontroller, der Websites beschleunigt, L4-L7-Datenverkehrsverwaltung bietet, eine integrierte Citrix Web App Firewall bietet und Server ausgelagert. Eine Citrix ADC VPX-Instanz ist eine virtuelle Appliance, die über alle Funktionen einer Citrix ADC MPX-Appliance verfügt, auf Standardservern ausgeführt wird und eine höhere Verfügbarkeit für Webanwendungen wie Citrix XenDesktop und XenApp bietet. Eine Citrix ADC SDX-Appliance bietet erweiterte Virtualisierung für die gesamte Flexibilität von VPX mit der Leistung von MPX. Mit MPX, VPX und SDX kann ein Unternehmen die Flex- oder True-Multitenancy-Lösung bereitstellen, die Ihre Webanwendungsbereitstellungsinfrastruktur optimiert, indem gemeinsame Netzwerkdienste mit hohem Volumen von prozessorintensiven, anwendungsspezifischen Diensten getrennt werden. Eine Citrix ADC Appliance bietet auch die nahtlose Integration mit Citrix OpenCloud Access, die das Rechenzentrum mit der Leistungsfähigkeit der Cloud erweitern kann.

Um die Sicherheit während des Bereitstellungslebenszyklus aufrechtzuerhalten, empfiehlt Citrix, die folgenden Überlegungen zu überprüfen:

  • Physische Sicherheit
  • Appliance-Sicherheit
  • Netzwerksicherheit
  • Verwaltung und Verwaltung

Verschiedene Bereitstellungen erfordern möglicherweise unterschiedliche Sicherheitsüberlegungen. Dieses Dokument enthält allgemeine Sicherheitshinweise, die Ihnen bei der Entscheidung für eine geeignete sichere Bereitstellung basierend auf Ihren spezifischen Sicherheitsanforderungen helfen.

Wichtig:

Ab Version 12.1 wird NetScaler in Citrix ADC umbenannt. Weitere Informationen finden Sie unter https://www.citrix.com/about/citrix-product-guide/.

Bereitstellungsrichtlinien

Berücksichtigen Sie bei der Bereitstellung eines Citrix ADC die folgenden Best Practices für physische und Appliance-Sicherheit:

Best Practices für physische Sicherheit

Bereitstellen der Citrix ADC Appliance an einem sicheren Ort

Die Citrix ADC Appliances müssen an einem sicheren Ort mit ausreichenden physischen Zugriffskontrollen bereitgestellt werden, um die Appliances vor unbefugtem Zugriff zu schützen. Der Zugang zum Serverraum muss mindestens mit einer Sperre, einem elektronischen Kartenleser oder anderen ähnlichen physikalischen Methoden gesteuert werden.

Andere Maßnahmen können die Verwendung eines elektronischen Überwachungssystems, zum Beispiel CCTV, umfassen, um die Aktivität des Raumes kontinuierlich zu überwachen. Im Falle eines unbefugten Einbruches muss die Ausgabe aus diesem System Sicherheitspersonal benachrichtigen. Wenn es CCTV gibt, steht das aufgenommene Filmmaterial zu Auditzwecken zur Verfügung.

Sicherer Zugriff auf die Gerätefront und den Konsolenanschluss

Die Citrix ADC Appliance oder der VPX-Hostingserver muss in einem Rack oder Käfig bereitgestellt werden, der mit einem geeigneten Schlüssel oder anderen physischen Methoden gesperrt werden kann. Die Sperre verhindert den Zugriff auf die physischen Ports der Citrix ADC Appliance oder in einer VPX-Bereitstellung auf die Virtualisierungshost-Konsole.

Netzteilschutz

Die Citrix ADC Appliance (oder der Hosting-Server) muss mit einer geeigneten unterbrechungsfreien Stromversorgung geschützt werden. Im Falle eines Stromausfalls gewährleistet die unterbrechungsfreie Stromversorgung den fortgesetzten Betrieb der Appliance oder ermöglicht ein kontrolliertes Herunterfahren physischer oder virtueller Citrix ADCs. Die Verwendung einer unterbrechungsfreien Stromversorgung unterstützt auch den Schutz vor Stromspitzen.

Schutz von kryptografischen Schlüsseln

Wenn zusätzlicher Schutz für die kryptografischen Schlüssel in Ihrer Bereitstellung erforderlich ist, sollten Sie die Verwendung einer FIPS 140-2 Level 2-konformen Appliance in Betracht ziehen. Die FIPS-Plattform verwendet ein Hardwaresicherheitsmodul, um kritische kryptografische Schlüssel in der Appliance vor unbefugtem Zugriff zu schützen.

Best Practices für die Sicherheit der Citrix ADC Appliance

Ausführen von Softwareupdates für Appliance

Citrix empfiehlt dringend, vor der Bereitstellung sicherzustellen, dass ihre Appliances mit den neuesten Firmware-Versionen aktualisiert wurden. Bei Remote-Ausführung empfiehlt Citrix, dass Kunden ein sicheres Protokoll wie SFTP oder HTTPS verwenden, um die Appliance zu aktualisieren.

Den Kunden wird außerdem empfohlen, die Sicherheitsbulletins zu ihren Citrix Produkten zu lesen. Informationen zu neuen und aktualisierten Sicherheitsbulletins finden Sie auf der Website von Citrix Security Bulletins (https://support.citrix.com/securitybulletins) und erwägen Sie, sich für Warnungen zu neuen und aktualisierten Bulletins anzumelden.

Sichern des Betriebssystems von Servern, die eine Citrix ADC VPX Appliance hosten

Eine Citrix ADC VPX Appliance kann entweder eine virtuelle Appliance auf einem Standardvirtualisierungsserver oder als virtuelle Appliance auf einem Citrix ADC SDX ausführen.

Neben der Anwendung normaler physischer Sicherheitsverfahren müssen Sie den Zugriff auf den Virtualisierungshost mit einer rollenbasierten Zugriffskontrolle und einer starken Kennwortverwaltung schützen. Außerdem muss der Server mit den neuesten Sicherheitspatches für das Betriebssystem aktualisiert werden, sobald er verfügbar ist, und gegebenenfalls eine aktuelle Antivirensoftware auf dem Server bereitstellen, falls zutreffend für die Art der Virtualisierung. Kunden, die die Citrix ADC SDX-Plattform zum Hosten von Citrix ADC VPX verwenden, müssen sicherstellen, dass sie die neueste Firmware-Version für ihr Citrix ADC SDX verwenden.

Zurücksetzen von Citrix ADC Lights Out Management (LOM)

Citrix empfiehlt, dass Sie vor der Konfiguration von LOM für die Verwendung in einer Produktionsbereitstellung ein Zurücksetzen von LOM auf Werkseinstellungen durchführen, um die Standardeinstellungen wiederherzustellen.

  1. Führen Sie an der Citrix ADC-Shell den folgenden Befehl aus:

    >ipmitool raw 0x30 0x41 0x1
    <!--NeedCopy-->
    

    Hinweis: Wenn Sie den vorherigen Befehl ausführen, wird LOM auf die Werkseinstellungen zurückgesetzt und alle SSL-Zertifikate gelöscht. Anweisungen zur Neukonfiguration des LOM-Ports finden Sie unter Lights Out-Management-Port der Citrix ADC MPX-Appliance

  2. Navigieren Sie in der LOM-Benutzeroberfläche zu Konfiguration > SSL-Zertifizierung und fügen Sie ein Zertifikat und einen privaten Schlüssel hinzu.

    Außerdem empfiehlt Citrix dringend, die folgende Benutzerkonfiguration durchzuführen. Verwenden der LOM-GUI:

    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern und ändern Sie das Kennwort des nsrootSuperuser-Kontos.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern und erstellen Sie Richtlinien für die Benutzer oder binden Sie vorhandene Richtlinien an diese.
    • Navigieren Sie zu Konfiguration > IP-Zugriffssteuerung > Hinzufügen und konfigurieren Sie die IP-Zugriffssteuerung, um den Zugriff auf den bekannten IP-Adressbereich zu ermöglichen.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern, erstellen Sie ein alternatives Superuser-Konto und binden Sie Richtlinien an dieses Konto.

    Weitere Informationen zur LOM-Konfiguration finden Sie unter LOM-Konfiguration.

Pflege und Entfernung von persistenten Daten

Wenn ein Citrix ADC in einer anderen Umgebung erneut bereitgestellt, außer Betrieb gesetzt oder unter RMA an Citrix zurückgegeben wird, stellen Sie sicher, dass persistente Daten korrekt aus der Appliance entfernt werden.

Weitere Informationen zu diesem Prozess finden Sie in den folgenden häufig gestellten Fragen:https://www.citrix.com/support/programs/faqs.html.

Konfigurationsrichtlinien

Netzwerksicherheit

Bei der Bereitstellung einer Citrix ADC Appliance in einer Produktionsumgebung empfiehlt Citrix dringend die folgenden wichtigen Konfigurationsänderungen:

  • Stellen Sie die Citrix ADC-Administratorschnittstelle (NSIP) nicht dem Internet zur Verfügung.
  • Das Citrix ADC Standard-SSL-Zertifikat muss ersetzt werden.
  • HTTPS (HTTP over TLS) muss beim Zugriff auf die GUI verwendet und die Standard-HTTP-Schnittstelle deaktiviert werden.

Im folgenden Abschnitt finden Sie weitere Informationen zu diesen wichtigsten Überlegungen, zusätzlich zu den weiteren empfohlenen Änderungen.

Wichtige Überlegungen zur Netzwerksicherheit

Setzen Sie das NSIP nicht dem Internet aus:

Citrix empfiehlt dringend, dass die Citrix ADC Management IP (NSIP) nicht dem öffentlichen Internet zugänglich ist und hinter einer entsprechenden Stateful-Packet-Inspection (SPI) Firewall bereitgestellt wird.

Ersetzen Sie das Citrix ADC Standard-TLS-Zertifikat:

Während der Erstkonfiguration einer Citrix ADC Appliance werden die Standard-TLS-Zertifikate erstellt. Diese Zertifikate sind nicht für die Verwendung in Produktionsbereitstellungen vorgesehen und müssen ersetzt werden.

Citrix empfiehlt, dass Kunden die Citrix ADC Appliance so konfigurieren, dass sie Zertifikate entweder von einer seriösen Zertifizierungsstelle (CA) oder von entsprechenden Zertifikaten Ihrer Unternehmenszertifizierungsstelle verwendet.

Wenn an einen öffentlich zugänglichen virtuellen Server gebunden ist, vereinfacht ein gültiges TLS-Zertifikat von einer seriösen Zertifizierungsstelle die Benutzererfahrung für Webanwendungen mit Internetzugriff. Benutzerwebbrowser erfordern keine Benutzerinteraktion, wenn eine sichere Kommunikation mit dem Webserver initiiert wird. Informationen zum Ersetzen des Citrix ADC-Standardzertifikats durch ein vertrauenswürdiges CA-Zertifikat finden Sie im Knowledge Center-Artikel CTX122521: How to replace the default certificate of a Citrix ADC appliance with a trusted CA certificate that matches the host name of the appliance.

Alternativ können benutzerdefinierte TLS-Zertifikate und private Schlüssel erstellt und verwendet werden. Dies kann zwar ein gleichwertiges Maß an Transportschichtsicherheit bieten, aber die TLS-Zertifikate müssen an Benutzer verteilt werden und erfordert eine Benutzerinteraktion beim Einleiten von Verbindungen mit dem Webserver. Weitere Informationen zum Erstellen benutzerdefinierter Zertifikate finden Sie im Knowledge Center-Artikel CTX121617: How to Create and Install Self-Signed Certificates on Citrix ADC Appliance.

Weitere Informationen zur Verwaltung und Konfiguration von TLS-Zertifikaten finden Sie im Abschnitt “Citrix ADC TLS-Empfehlungen” dieses Handbuchs.

Deaktivieren Sie den HTTP-Zugriff auf die Administratorschnittstelle:

Zum Schutz des Datenverkehrs zur Citrix ADC Verwaltungsschnittstelle und zur Benutzeroberfläche muss die Citrix ADC-Appliance für die Verwendung von HTTPS konfiguriert sein. Gehen Sie wie folgt vor:

  • Erstellen Sie ein privates und öffentliches RSA-Schlüsselpaar mit 2048-Bit oder höher, und verwenden Sie die Schlüssel für HTTPS und SSH, um auf die Citrix ADC IP-Adresse zuzugreifen, wobei das werkseitig bereitgestellte 512-Bit-RSA-Schlüsselpaar für private und öffentliche Schlüssel ersetzt wird.

  • Konfigurieren Sie die Appliance so, dass sie nur starke Chiffrier-Suiten verwendet, und ändern Sie den Satz “DEFAULT” in starke Chiffrier-Suiten auf der Appliance. Es wird empfohlen, die Liste der zulässigen TLS-Verschlüsselungssammlungen in Abschnitt 3.3 der NIST Special Publication 800-52 (Revision 1) zu verwenden. Dieses Dokument ist auf der NIST Website unter folgender Adresse zu finden: https://www.nist.gov/publications/guidelines-selection-configuration-and-use-transport-layer-security-tls-implementations?pub_id=915295

  • Konfigurieren Sie die Appliance für die Verwendung der öffentlichen SSH-Authentifizierung für den Zugriff auf die Administratorschnittstelle. Verwenden Sie keine Citrix ADC Standardschlüssel. Erstellen und verwenden Sie Ihr eigenes 2048-Bit-RSA-Paar für private und öffentliche Schlüssel. Weitere Informationen finden Sie Knowledge Center-Artikel CTX109011: Sichern Sie den SSH-Zugriff auf die Citrix ADC Appliance mit Public Key Authentication.

  • Nachdem der Citrix ADC für die Verwendung dieser neuen Zertifikate konfiguriert wurde, kann der HTTP-Zugriff auf die GUI-Verwaltungsschnittstelle mit dem folgenden Befehl deaktiviert werden:

set ns ip <NSIP> -gui SECUREONLY
<!--NeedCopy-->

Weitere Informationen zum Konfigurieren des sicheren Zugriffs auf die Benutzeroberfläche der Administration finden Sie im Knowledge Center-Artikel CTX111531: Aktivieren des sicheren Zugriffs auf Citrix ADC GUI Verwenden der SNIP/MIP-Adresse der Appliance.

Weitere Überlegungen zur Netzwerksicherheit

Beschränken Sie den VPX-Shellzugriff von VPX-Administratoren, denen die Verwaltung des SDX nicht vertraut wird:

In Situationen, in denen es wünschenswert ist, dass eine andere Person ein VPX als die der SVM verwaltet, muss der SVM-Administrator einen VPX-Admin-Benutzer erstellen, der eingeschränkten Shell-Zugriff auf das VPX hat und dem VPX-Administrator nur das eingeschränkte Administratorbenutzerkonto zur Verfügung stellen.

Beachten Sie, dass einige Vorgänge möglicherweise Shell-Zugriff erfordern (z. B. die Verwaltung von SSL-Zertifikaten). Es sollte jedoch nur Personen, denen vertraut wird, die SVM zu verwalten, Zugriff auf die VPX-Instanz-Shell erhalten. Befehle auf RBAC-Ebene, die später in diesem Abschnitt aufgeführt sind, können diesen Konten zugewiesen werden. Diese Empfehlungen gelten für alle Management-Workflows von SVM-IP/VPX-NSIP (L2/L3) und müssen zu Zwecken der sicheren Zugriffsprüfung befolgt werden.

Die folgenden Schritte können verwendet werden, um den Shell-Zugriff von einem VPX-Administrator zu entfernen.

Sichern bestehender VPX-Instanzen:

  1. Melden Sie sich bei der VPX CLI als nsroot oder Superuser an.

    Citrix empfiehlt, das nsroot-Konto nicht zu verwenden und stattdessen ein Superuser-Konto zu erstellen. Stellen Sie bei Verwendung des nsroot-Kontos sicher, dass die Kennwörter mit Sonderzeichen stark sind. Weitere Informationen zu starken Passwörtern finden Sie unter Verwaltung und Verwaltung.

    • Erstellen Sie einen Benutzer und eine RBAC-Richtlinie in einer VPX-Instanz auf dem SDX-System.
    • Binden Sie diesen Benutzer an die Richtlinie.
        > add system user userabc
        Enter password:
        Confirm password:
        Done
        > bind system user userabc superuser 2
        Done
        > add system cmdpolicy shell deny (shell)
        Done
        > bind system user userabc shell 1
        Done
    <!--NeedCopy-->
    

    Hinweis: In diesem Beispiel wird die Cmdpolicy des Systems (z. B. cmdpolicy name: Shell) erstellt, um den Shell-Zugriff zu verweigern. Diese Richtlinie ist an den erstellten Benutzer userabc) mit hoher Priorität gebunden. Die Standard-Cmdpolicy für Superuser ist ebenfalls als niedrigere Priorität an den Systembenutzer gebunden. Bei dieser Konfiguration verfügt der erstellte Systembenutzer über RBAC-Richtlinien für Superuser, der Shell-Zugriff wird jedoch verweigert.

  2. Melden Sie sich als erstellter Benutzer an und führen Sie Folgendes aus.
    • Stellen Sie sicher, dass der aktuelle Benutzer die RBAC-Richtlinien angewendet hat.
    • Führen Sie alle Befehle aus, für die der Benutzer autorisiert ist. (z. B. System-Cmdpolicy anzeigen)
    • Führen Sie die Shell-Cmd aus, um zu überprüfen, ob der Shell-Zugriff eingeschränkt ist.

    einloggen als: userabc

    Banner-Nachricht vor der Authentifizierung vom Server:

    | #############################################################################
    > ##
    | #
    >  #
    | #        WARNING: Access to this system is for authorized users only
    >  #
    | #         Disconnect IMMEDIATELY if you are not an authorized user!
    >  #
    | #
    >  #
    | #############################################################################
    > ##
    |
    End of banner message from server
    Keyboard-interactive authentication prompts from server:
    | Password:
    End of keyboard-interactive prompts from server
    Last login: Thu May 13 04:11:15 2021 from 10.10.1.1
    Done
    <!--NeedCopy-->
    
    > whoami
        UserName:  userabc        LoggedIn:  "Thu May 13 04:18:50 2021"
    Done
    <!--NeedCopy-->
    
  3. Melden Sie sich in der Konsole dieses VPX als dieser Benutzer an und stellen Sie sicher, dass der Shell-Zugriff für diesen Benutzer nicht zulässig ist:

    > shell
    ERROR: Not authorized to execute this command [shell]
    <!--NeedCopy-->
    
  4. Melden Sie sich als regulärer Admin-Benutzer (nsroot) an und stellen Sie sicher, dass Shell-Zugriff zulässig ist:

    > shell
    Copyright (c) 1992-2013 The FreeBSD Project.
    Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
    The Regents of the University of California. All rights reserved.
    
    root@Zela-40G-10#
    <!--NeedCopy-->
    

Sichern einer neuen VPX-Instanz:

  1. Wenn eine neue VPX-Instanz aus der SVM-GUI erstellt wird, erstellen Sie einen INSTANCE ADMIN-Benutzer und deaktivieren Sie das Kontrollkästchen Shell/SFTP/SCP Access . Beim Deaktivieren des Shell-Zugriffs ist svm_access_policy (Aktion DENY) explizit an den angegebenen Instanz-Admin-Benutzer gebunden.

  2. Geben Sie diese Benutzerinformationen dem VPX ADMIN zur Verfügung. SDX ADMIN muss dieses nsroot-Admin-Kennwort beibehalten und darf es nicht mit dem VPX-Administrator teilen.

Hinweis:

SSH-Port Weiterleitung deaktivieren:

Die SSH-Port Forwarding ist für die Citrix ADC Appliance nicht erforderlich. Wenn Sie diese Funktionalität nicht verwenden möchten, empfiehlt Citrix, sie mithilfe der folgenden Schritte zu deaktivieren:

  1. Bearbeiten Sie die Datei /etc/sshd_config, indem Sie die folgende Zeile hinzufügen.

    AllowTcpForwarding no

  2. Speichern Sie die Datei und kopieren Sie sie nach /nsconfig, damit die Änderungen dauerhaft sind, falls Sie während der Tests neu starten.

Beenden Sie den Prozess mithilfe deskill -SIGHUP <sshdpid> Befehls, oder starten Sie das System neu.

Konfigurieren Sie die Citrix ADC Appliance mit hoher Verfügbarkeit:

In Bereitstellungen, in denen ein kontinuierlicher Betrieb erforderlich ist, können die Citrix ADC Appliances in einem Hochverfügbarkeitssetup bereitgestellt werden. Ein solches Setup ermöglicht einen fortgesetzten Betrieb, wenn eine der Appliances nicht mehr funktioniert oder ein Offline-Upgrade erforderlich ist.

Informationen zum Konfigurieren des Hochverfügbarkeits-Setups finden Sie unter Hochverfügbarkeit > Hochverfügbarkeit konfigurieren in den Citrix Docs und So richten Sie ein Hochverfügbarkeitspaar auf Citrix ADC ein.

In Bereitstellungen, in denen keine hohe Verfügbarkeit erforderlich ist, muss diese Funktion deaktiviert werden.

Sichere Kommunikation zwischen Peer-Appliances einrichten:

Wenn Sie Ihre Citrix ADC Appliances in einem Hochverfügbarkeits-, Cluster- oder GSLB-Setup konfiguriert haben, sichern Sie die Kommunikation zwischen den Appliances.

Um die Kommunikation zwischen den Appliances zu sichern, empfiehlt Citrix, das Kennwort für das interne Benutzerkonto oder den RPC-Knoten zu ändern und die Option Sicher zu aktivieren. RPC-Knoten sind interne Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden.

Die Funktionen der Citrix ADC Appliance können auch eine SSH-schlüsselbasierte Authentifizierung für die interne Kommunikation verwenden, wenn das interne Benutzerkonto deaktiviert ist. In solchen Fällen muss der Schlüsselname als ns_comm_key gesetzt werden. Weitere Informationen finden Sie unter Zugriff auf eine Citrix ADC Appliance mit SSH-Schlüsseln und ohne Kennwort.

Ändern Sie die Standardkennwörter:

Aus Sicherheitsgründen empfiehlt Citrix, den Administrator und das interne Benutzerkonto oder die RPC-Knotenkennwörter sowohl für on-premises als auch für Cloud-Bereitstellungen zu ändern. Häufiges Ändern der Passwörter ist ratsam.

Konfigurieren von Netzwerksicherheitsdomänen und VLANs:

Citrix empfiehlt dringend, dass der Netzwerkverkehr zur Verwaltungsschnittstelle der Citrix ADC Appliance entweder physisch oder logisch vom normalen Netzwerkverkehr getrennt wird. Die empfohlene Best Practice besteht darin, drei VLANs zu verwenden:

  • Externe Internet-VLAN
  • Verwaltung VLAN
  • Insider-Server-VLAN

Citrix empfiehlt, das Netzwerk so zu konfigurieren, dass der LOM-Port Teil des Verwaltungs-VLAN ist.

Wenn Sie eine Citrix ADC Appliance im Zweiarmmodus bereitstellen, müssen Sie einem bestimmten Netzwerk einen bestimmten Port zuweisen. Wenn VLAN-Tagging und Bindung von zwei Netzwerken an einen Port erforderlich ist, müssen Sie sicherstellen, dass die beiden Netzwerke dieselben oder ähnliche Sicherheitsstufen aufweisen.

Wenn die beiden Netzwerke unterschiedliche Sicherheitsstufen aufweisen, darf die VLAN-Tagging nicht verwendet werden. Stattdessen sollten Sie einen Port für jedes spezifische Netzwerk reservieren und unabhängige VLANs verwenden, die über die Ports der Appliance verteilt sind.

Erwägen Sie die Verwendung der Citrix Web App Firewall: Eine lizenzierte Appliance von Citrix ADC Premium Edition bietet eine integrierte Citrix Web App Firewall, die ein positives Sicherheitsmodell verwendet und automatisch das richtige Anwendungsverhalten zum Schutz vor Bedrohungen wie Command Injection und SQL-Injection lernt und Cross-Site-Scripting.

Wenn Sie die Citrix Web App Firewall verwenden, können Benutzer der Webanwendung zusätzliche Sicherheit hinzufügen, ohne Codeänderungen und mit geringen Konfigurationsänderungen. Weitere Informationen finden Sie auf der Website der Citrix ADC Citrix Web App Firewall.

Zugriff auf Nicht-Verwaltungsanwendungen einschränken: Führen Sie den folgenden Befehl aus, um den Zugriff von Nicht-Verwaltungsanwendungen auf eine Citrix ADC Appliance zu beschränken.

set ns ip <NSIP> -restrictAccess enabled
<!--NeedCopy-->

Sichere Clusterbereitstellung: Wenn Citrix ADC Clusterknoten außerhalb des Rechenzentrums verteilt werden, empfiehlt Citrix dringend die Verwendung von sicherem RPC für Node to Node Messaging (NNM), AppNNM und die Einrichtung von Hochverfügbarkeit.

Führen Sie den folgenden Befehl aus, um die Secure RPC-Funktion für alle Citrix ADC IP-Adresse in einem Citrix ADC-Cluster und ein Hochverfügbarkeitssetup zu aktivieren:

set rpcnode <ip> -secure on
<!--NeedCopy-->

Hinweis: Möglicherweise ist eine andere Konfiguration erforderlich. Weitere Informationen finden Sie in den Themen zum Clustering auf der Citrix Docs-Website.

Bei der Bereitstellung in einer L3-Clusterbereitstellung werden Pakete zwischen Citrix ADC Knoten über einen unverschlüsselten GRE-Tunnel ausgetauscht, der die NSIP-Adressen der Quell- und Zielknoten für das Routing verwendet. Wenn der Austausch über das Internet erfolgt, werden die NSIPs in Abwesenheit eines IPsec-Tunnels im Internet freigelegt. Dies wird nicht empfohlen, da es nicht den bewährten Sicherheitspraktiken für Citrix ADC entspricht.

Citrix empfiehlt Kunden dringend, ihre eigene IPSec-Lösung einzurichten, um den Cluster über die L3-Funktion zu verwenden.

Wenn die IP-Weiterleitungsfunktion nicht verwendet wird, verwenden Sie den folgenden Befehl, um den L3-Modus zu deaktivieren:

disable ns mode L3
<!--NeedCopy-->

Sichere MEP für den globalen Server Load Balancing (GSLB) verwenden: Um den MEP zwischen Citrix ADC Appliances für GSLB zu verschlüsseln, führen Sie den folgenden Befehl von der NSCLI-Benutzeroberfläche aus:

set rpcNode <GSLB Site IP> -secure yes
<!--NeedCopy-->

Sichern Sie das Load Balancing Persistence Cookie:

Citrix empfiehlt, das Persistenz-Cookie für den Lastenausgleich zusätzlich zum SSL/TLS-Kanal zu verschlüsseln. Weitere Informationen dazu finden Sie unter Persistenz von HTTP-Cookies.

HelloverifyRequest-Parameter zur Minderung des DTLS DDoS-Verstärkungsangriffs:

Ausgehend von Citrix ADC Release 12.1 Build 62.x und Release 13.0 Build 79.x ist der helloverifyrequest Parameter standardmäßig aktiviert. Die Aktivierung des helloverifyrequest Parameters im DTLS-Profil hilft, das Risiko zu verringern, dass ein Angreifer oder Bots den Netzwerkdurchsatz überfordert, was möglicherweise zu einer Erschöpfung der ausgehenden Bandbreite führt. Das heißt, es hilft, den DTLS DDoS-Verstärkungsangriff zu mildern.

Um den helloverifyrequest Parameterstatus anzuzeigen, geben Sie an der ADC CLI-Eingabeaufforderung Folgendes ein;

show dtlsProfile
<!--NeedCopy-->

Beispiel:

Hallo Anforderungsstatus überprüfen

Sichern des Passthrough-Datenverkehrs auf der Citrix ADC Appliance mithilfe der Einstellungen für den Infrastrukturmodus

Die Einstellungen für den Citrix Web App Firewall-Infrastrukturmodus können für den sicheren Passthrough-Datenverkehr auf der Citrix ADC Appliance verwendet werden. Diese Einstellungen für den Infrastrukturmodus bieten ein grundlegendes Sicherheitsniveau, ohne Anwendungen zu unterbrechen. In der folgenden Liste werden die verfügbaren Einstellungen für den Infrastrukturmodus zusammengefasst.

  • Sitzungsstatusschutz
  • Sitzungsfixierungsschutz (nur HTTP aktivieren)
  • HSTS (HTTP Strict Transport Security (HSTS) aktivieren)
  • Starke Authentifizierung
  • End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1)
  • Proxy-HTTPS/Alle anderen Datenverkehr verweigern

Sitzungsstatusschutz:

Empfehlung: Aktiviert Citrix ADC: Standardmäßig für die meisten Entitäten aktiviert

Die Einstellung Sitzungsstatusschutz ist standardmäßig aktiviert und erfordert keine spezifische Konfiguration. Wenn die Citrix ADC Appliance für eine Verbindung konfiguriert ist. Wenn Flow beispielsweise einen konfigurierten virtuellen Server oder Dienst vom Typ TCP oder höher auswählt, erstellt die Citrix ADC Appliance eine statusbehaftete Sitzung. Die Citrix ADC Appliance behält weiterhin den Status dieser Verbindungen bei, und nur Pakete, die in diesen Statuscomputer fallen, werden verarbeitet. Andere Pakete werden entweder gelöscht oder zurückgesetzt.

Die folgenden Diensttyp-Entitäten erreichen dieses statusbehaftete Verhalten auf einer Citrix ADC Appliance.

  • ADNS_TCP
  • DIAMETER, DNS_TCP
  • FTP-c
  • GRE-c
  • HTTP
  • MYSQL, MSSQL
  • NNTP
  • ORACLE
  • PUSH, PPTP
  • RTSP, RDP
  • SIP_SSL, SIP_TCP
  • SMPP
  • SSL, SSL_BRIDGE, SSL_DIAMETER, SSL_PUSH
  • SSL_TCP, SYSLOG_TCP
  • TCP
  • ADNS_TCP
  • RNAT (rnat_tcpproxy is ENABLED)

Sitzungsfixierungsschutz (durch Aktivieren des HttpOnly-Fags oder durch Hinzufügen einer Umschreibungsrichtlinie):

Empfehlung: So aktivieren Sie HttpOnly für Cookies, die von der Citrix ADC Appliance oder dem Back-End-Server festgelegt wurden.

Citrix ADC: Standardmäßig aktiviert für die eingefügten Cookies von Citrix ADC, möglich über Rewrite für Cookies, die vom Back-End-Server festgelegt werden.

HttpOnly: Wenn Sie ein Cookie mit dem HttpOnly Flag markieren, zeigt es dem Browser an, dass dieses Cookie nur vom Server zugegriffen werden darf. Jeder Versuch, vom Client-Skript aus auf das Cookie zuzugreifen, ist strengstens verboten. HttpOnly Cookies, wenn sie richtig implementiert sind, machen riesige Klassen gängiger Cross-Site-Scripting-Angriffe viel schwieriger zu entfernen.

Der folgende Code ist ein Beispiel für ein Cookie mit dem HttpOnly-Flag gesetzt:

Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly
<!--NeedCopy-->

Die Cookies, die von Citrix ADC für Cookie Insert Persistenz eingefügt werden, setzen standardmäßig das HttpOnly-Flag, um anzuzeigen, dass das Cookie nicht skriptfähig ist und der Clientanwendung nicht offenbart werden darf. Daher kann das clientseitige Skript nicht auf das Cookie zugreifen, und der Client ist nicht anfällig für Cross-Site Scripting.

So aktivieren Sie die Einstellung HttpOnly über die Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb parameter -HttpOnlyCookieFlag (ENABLED)  
<!--NeedCopy-->

Verwenden der Rewrite-Richtlinie zum Einfügen von Secure und HttpOnly für Cookies:

Die Rewrite-Richtlinie fügt Secure und HTTP nur für Cookies ein, die vom Back-End-Server gesendet werden.

Hinweis: Sichere und HTTPOnly Cookies können zusammen für SSL-VIPs durchgeführt werden. Bei Nicht-SSL-VIPs kann man das HttpOnly-Flag einfügen.

Mit Citrix ADC können nur HTTP und Secure Flags für vom Server festgelegte Cookies enthalten.

  • HttpOnly - Diese Option für ein Cookie bewirkt, dass die Webbrowser das Cookie nur mit dem HTTP (oder HTTPS) -Protokoll zurückgeben; die Nicht-HTTP-Methoden wie JavaScript-Dokument.cookie-Verweise können nicht auf das Cookie zugreifen. Diese Option hilft dabei, Cookie-Diebstahl aufgrund von websiteübergreifenden Skripten zu verhindern.
  • Sicher - Diese Option auf einem Cookie bewirkt, dass die Webbrowser nur den Cookie-Wert zurückgeben, wenn die Übertragung durch SSL verschlüsselt wird. Diese Option kann verwendet werden, um Cookie-Diebstahl durch Verbindungsabhörung zu verhindern.

So erstellen Sie mithilfe der Befehlszeilenschnittstelle eine Richtlinie zum Umschreiben:

  1. Aktivieren Sie die Funktion Umschreiben, wenn sie noch nicht aktiviert ist.

    enable feature REWRITE
    <!--NeedCopy-->
    
  2. Erstellen Sie eine Rewrite-Aktion (in diesem Beispiel wird so konfiguriert, dass sowohl Secure als auch HttpOnly Flags gesetzt werden. Wenn eine der beiden fehlt, ändern Sie sie bei Bedarf für andere Kombinationen).

    add rewrite action <action name> replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    <!--NeedCopy-->
    

    Beispiel:

    add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    <!--NeedCopy-->
    
  3. Erstellen Sie eine Richtlinie zum Umschreiben, um die Aktion auszulösen.

    add rewrite policy <policy name> "http.RES.HEADER("Set-Cookie").EXISTS" <action name>
    <!--NeedCopy-->
    

    Beispiel:

    add rewrite policy rw_force_secure_cookie "http.RES.HEADER("Set-Cookie").EXISTS" act_cookie_Secure
    <!--NeedCopy-->
    
  4. Binden Sie die Umschreibrichtlinie an den virtuellen Server, der gesichert werden soll (wenn die Option Secure verwendet wird, muss ein virtueller SSL-Server verwendet werden).

    bind lb vserver <vserver name> - <policy name> -priority <priority number> -gotoPriorityExpression NEXT -type RESPONSE
    <!--NeedCopy-->
    

    Beispiel:

    bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE
    <!--NeedCopy-->
    

    Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX138055.

HSTS (HTTP Strict Transport Security (HSTS) aktivieren):

Empfehlung: Aktivierter Citrix ADC: In der Citrix ADC C-Softwareversion 12.0 kann diese Einstellung mithilfe der CLI aktiviert werden. In Citrix ADC-Softwareversionen 11.1 und früher kann diese Einstellung mithilfe der Richtlinie zum Umschreiben aktiviert werden.

  • In der Citrix ADC C-Software Version 12.0 unterstützen Citrix ADC Appliances HTTP Strict Transport Security (HSTS) als integrierte Option in SSL-Profilen und virtuellen SSL-Servern.

So aktivieren Sie HSTS mithilfe der Citrix ADC Befehlszeile:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl vserver <vServerName> -HSTS ( ENABLED ) maxage <positive_integer> -IncludeSubdomains ( YES | NO)
<!--NeedCopy-->

ODER

add ssl profile <name> -HSTS ( ENABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )
<!--NeedCopy-->

Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für strenge HTTP-Transportsicherheit (HSTS).

  • In Citrix ADC-Softwareversionen 11.1 und früher kann HTTP Strict Transport Security (HSTS) aktiviert werden, indem eine Umschreibrichtlinie erstellt und diese global oder an den betreffenden virtuellen Server gebunden wird.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add rewrite action <action name> insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy <policy name> “true” <action name>

bind lb vserver <vserver name> - <policy name> -priority <priority number> END -type RESPONSE
<!--NeedCopy-->

Beispiel:

add rewrite action insert_STS_header insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy enforce_STS "true” insert_STS_header

bind lb vserver vs1 -policyName enforce_STS -priority 100 -gotoPriorityExpression END -type RESPONSE
<!--NeedCopy-->

Weitere Informationen finden Sie in den folgenden Themen:

https://support.citrix.com/article/CTX205221

https://www.citrix.com/blogs/2010/09/10/strict-transport-security-sts-or-hsts-with-citrix-netscaler-and-access-gateway-enterprise/

Starke Authentifizierung:

Starke Authentifizierung (oder Multifaktor-Authentifizierung — MFA) muss für den gesamten Zugriff auf vertrauliche Daten, Apps und Administration aktiviert sein.

Weitere Informationen darüber, wie sensible Apps für die Multifaktor-Authentifizierung eingerichtet werden können, finden Sie unter Multi-Factor (nFactor) -Authentifizierung.

End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1):

Es wird empfohlen, SSL sowohl im Front-End als auch im Back-End zu haben. SSLv3 und TLS v1.0 können auf SSL-Entitäten deaktiviert werden, da Sicherheitslücken gemeldet wurden. Sie können nur TLS 1.1 und TLS 1.2 aktiviert haben. Wenn möglich, haben Sie nur TLS 1.2-Version auf dem Client, der VIPs gegenübersteht. Dies kann entweder auf SSL-Entitätsebene oder auf Profilebene erfolgen und alle SSL-Entitäten erben die SSL-Einstellungen aus dem Profil.

So deaktivieren Sie SSL-Entitäten mithilfe der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServerName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED

set ssl service <vServiceName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED
<!--NeedCopy-->

Citrix ADC empfohlene Verschlüsselungssammlungen:

Die folgenden Verschlüsselungen, die von Citrix ADC unterstützt werden, enthalten keine Komponenten in der Liste “obligatorisches Verwerfen”. Diese Chiffre werden durch Schlüsselaustausch (RSA, DHE und ECDHE) organisiert, indem die leistungsfähigeren Chiffre an der Spitze mit den höheren Sicherheitseinstellungen unten platziert werden:

Empfehlen Sie RSA Key Exchange Cipher Suites:

  • TLS1-AES-128-CBC-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES-256-SHA256
  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES256-GCM-SHA384

DHE Key Exchange Cipher Suites empfehlen:

  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384

Empfehlen Sie ECDHE-Schlüsselaustausch-Verschlüsselungssammlungen:

  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

Empfehlen Sie Cipher Suites in der Reihenfolge der Präferenz:

Die folgende Liste von Chiffren enthält RSA-, DHE- und ECDHE-Schlüsselbörsen. Es bietet den besten Kompromiss zwischen Sicherheit, Leistung und Kompatibilität.

  1. TLS1.2-AES128-GCM-SHA256
  2. TLS1.2-AES-128-SHA256
  3. TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  4. TLS1.2-ECDHE-RSA-AES-128-SHA256
  5. TLS1-ECDHE-RSA-AES128-SHA
  6. TLS1.2-DHE-RSA-AES128-GCM-SHA256
  7. TLS1.2-DHE-RSA-AES-128-SHA256
  8. TLS1-DHE-RSA-AES-128-CBC-SHA
  9. TLS1-AES-128-CBC-SHA

Proxy-HTTPS/verweigert allen anderen Datenverkehr:

Wo immer möglich, haben SSL-VIPs für eine bessere Verschlüsselung von Daten, indem sichere SSL-Versionen (TLSv1.1 und TLSv1.2) und sichere Verschlüsselungen verwendet werden. Der SSL-TPS- und SSL-Durchsatz muss berücksichtigt werden, während SSL für die VIPs und Back-End-SSL-Dienste aktiviert wird.

Verwaltung und Verwaltung

Dieser Abschnitt enthält Beispiele für spezifische Konfigurationsänderungen, die angewendet werden können, um die Sicherheit der Citrix ADC- und Citrix ADC SDX-Appliances zu erhöhen. Weitere Anleitungen zu Best Practices für die Citrix ADC-Konfiguration finden Sie im Artikel Empfohlene Einstellungen und Best Practices für eine generische Implementierung einer Citrix ADC Appliance.

System- und Benutzerkonten

Kennwort für das Superbenutzerkonto ändern: Sie können den integrierten Administrator-Superuser (nsroot) nicht löschen. Ändern Sie daher das Standardkennwort für dieses Konto in ein sicheres Kennwort. Gehen Sie folgendermaßen vor, um das Standardkennwort für den Admin-Benutzer zu ändern:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer den Benutzer nsroot aus.
  5. Wählen Sie Kennwort ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Erstellen eines alternativen Superuser-Kontos: Führen Siedie folgenden Befehle aus, um ein Superuser-Konto zu erstellen:

add system user <newuser> <password>

bind system user <newuser> superuser 0
<!--NeedCopy-->

Verwenden Sie dieses Superuser-Konto anstelle des Standard-Superuser-Kontos nsroot.

Bei Citrix ADC SDX-Bereitstellungen muss ein Administrator die Standardanmeldeinformationen für die Citrix ADC SDX-Appliance und ihre GUI-Verwaltungskonsole nach der Erstinstallation ändern. So ändern Sie das Kennwort für den Standardbenutzer:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer den Standardbenutzer aus.
  5. Wählen Sie Ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Hinweis: Ab Citrix ADC 11.0 und höher müssen lokale Benutzer und Administratoren starke Kennwörter auswählen. Beispiele für Anforderungen an die Komplexität von Kennwörtern sind wie folgt:

  • Das Kennwort muss mindestens acht Zeichen lang sein.
  • Das Kennwort darf keine Wörterbuchwörter oder eine Kombination von Wörterbuchwörtern enthalten.
  • Das Kennwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Starke Kennwörter können durch Festlegen von zwei Parametern erzwungen werden, einer für die Mindestlänge von Kennwörtern und der andere, um die Kennwortkomplexität zu erzwingen:

set system parameter -localAuth ( ENABLED | DISABLED ) -minpasswordlen <positive_integer> -natPcbForceFlushLimit <positive_integer> -natPcbRstOnTimeout ( ENABLED | DISABLED )
-strongpassword ( ENABLED | DISABLED ) -promptString <string> -rbaOnResponse ( ENABLED | DISABLED ) -timeout <secs>
<!--NeedCopy-->

In Bereitstellungen, in denen mehrere Administratoren erforderlich sind, sollten Sie eine externe Authentifizierungsmethode verwenden, um Benutzer zu authentifizieren, z. B. RADIUS, TACACS+ oder LDAP (S).

Systembenutzerkonto für Verwaltungszugriff sperren: Mit der Citrix ADC Appliance können Sie einen Systembenutzer 24 Stunden lang sperren und dem Benutzer den Zugriff verweigern. Die Citrix ADC Appliance unterstützt die Konfiguration für Systembenutzer und externe Benutzer. Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter –persistentLoginAttempts DISABLED

Um ein Benutzerkonto zu sperren, geben Sie an der Eingabeaufforderung Folgendes ein:

lock aaa user test

Informationen zur Konfiguration dieser Funktion mithilfe der GUI finden Sie unter Benutzerkonto- und Kennwortverwaltung.

Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff: Systembenutzer und externe Benutzer können mit dem Befehl sperren Authentifizierung, Autorisierung und Überwachung des Benutzers für 24 Stunden gesperrt werden. Mit der Citrix ADC Appliance können Sie den Benutzer des gesperrten Systems entsperren. Geben Sie an der Eingabeaufforderung Folgendes ein:

unlock aaa user test

Informationen zur Konfiguration dieser Funktion mithilfe der GUI finden Sie unter Benutzerkonto- und Kennwortverwaltung.

Verwaltungszugriff für das Systembenutzerkonto deaktivieren: Wenn die externe Authentifizierung auf der Appliance konfiguriert ist und Sie es vorziehen, Systembenutzern den Zugriff zu verweigern, um sich beim Verwaltungszugriff anzumelden, müssen Sie die LocalAuth Option im Systemparameter deaktivieren.

Hinweis: Externer Server muss konfiguriert sein.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter localAuth <ENABLED|DISABLED>

Beispiel:

set system parameter localAuth DISABLED

Informationen zur Konfiguration dieser Funktion mithilfe der GUI finden Sie unter Benutzerkonto- und Kennwortverwaltung.

Kennwortänderung für Administratorbenutzer erzwingen: Für eine nsroot gesicherte Authentifizierung fordert die Citrix ADC Appliance den Benutzer auf, das Standardkennwort in ein neues zu ändern, wenn die forcePasswordChange Option im Systemparameter aktiviert ist. Sie können Ihr nsroot Kennwort entweder über CLI oder GUI ändern, bei Ihrer ersten Anmeldung mit den Standardanmeldeinformationen. Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Informationen zum Konfigurieren dieser Funktion finden Sie unter Benutzerkonto- und Kennwortverwaltung.

Greifen Sie auf den Citrix ADC mit SSH-Schlüsseln und ohne Kennwort zu: In Bereitstellungen, in denen viele Citrix ADC Appliances verwaltet werden müssen, sollten Sie SSH-Keys und Kein Kennwort verwenden. Informationen zur Konfiguration dieser Funktion finden Sie unter Zugriff auf eine Citrix ADC Appliance mithilfe von SSH-Schlüsseln und ohne Kennwort.

Erstellen Sie den Hauptschlüssel des Systems für den Datenschutz: Ab der Version Citrix ADC 11.0 muss ein Systemhauptschlüssel erstellt werden, um bestimmte Sicherheitsparameter zu schützen, z. B. Kennwörter für Dienstkonten, die für die LDAP-Authentifizierung und lokal gespeicherte Authentifizierung, Autorisierung und Überwachung erforderlich sind Benutzerkonten. So erstellen Sie den Hauptschlüssel des Systems:

  1. Melden Sie sich über die Befehlszeilenschnittstelle als Systemadministrator an.
  2. Geben Sie den folgenden Befehl ein:
create kek <passphrase>
<!--NeedCopy-->

Hinweis:

  • Nachdem der Befehl create system kek ausgeführt wurde, wird KEK für die meisten Kennwortverschlüsselungen verwendet (lokale Benutzerkennwörter werden nicht mit KEK verschlüsselt).
  • Sie dürfen die KEK-Datei nicht löschen. Wenn Sie über Shell-Zugriff verfügen und die Schlüsselfragmentdateien versehentlich löschen, kann dies zu Konfigurationsverlust, Synchronisationsfehler und Anmeldefehlern führen. Im Folgenden sind einige der Punkte zu beachten:

    • Verwenden Sie beim Herabstufen immer eine ältere Konfigurationsdatei, die mit dem zu installierenden Build übereinstimmt. Andernfalls schlägt die Anmeldung, die Quellkonfiguration, die Synchronisierung und das Failover möglicherweise fehl.
    • Wenn eine der Schlüsselfragmentdateien verloren geht oder beschädigt wird, führt die Verschlüsselung/Entschlüsselung sensibler Daten zu einem Fehler, der wiederum zu Konfigurationsverlust, Synchronisierungsfehlern und Anmeldefehlern führen kann.
  • Der Pass Phrase muss mindestens 8 Zeichen lang sein.

Verwenden Sie Zugriffssteuerungslisten:

Standardmäßig sind alle Protokolle und Ports, einschließlich GUI und SSH, auf einer Citrix ADC Appliance zugegriffen werden. Zugriffssteuerungslisten (Access Control Lists, ACLs) können Sie die Appliance sicher verwalten, indem nur explizit angegebene Benutzer auf Ports und Protokolle zugreifen können.

Empfehlungen zur Steuerung des Zugriffs auf die Appliance:

  • Erwägen Sie, Citrix Gateway zu verwenden, um den Zugriff auf die Appliance nur auf die GUI zu beschränken. Für Administratoren, die zusätzlich zur GUI Zugriffsmethoden benötigen, muss das Citrix Gateway mit einer standardmäßigen ‘DENY’ ACL für die Ports 80, 443 und 3010 konfiguriert sein, jedoch mit einem expliziten “ERLAUBEN”, damit vertrauenswürdige IP-Adressen auf diese Ports zugreifen können.

Diese Richtlinie kann für die Verwendung mit einem Bereich vertrauenswürdiger IP-Adressen mit dem folgenden NSCLI-Befehl erweitert werden:

add acl local_access allow -srcip 192.168.0.1-192.168.0.3 -destip 192.168.0.1-192.168.0.3

apply acls
<!--NeedCopy-->
  • Wenn Sie SNMP verwenden, erlauben Sie explizit SNMP-Datenverkehr mit ACL. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
add acl snmp1-ssh ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 161 -protocol udp

add acl snmp2-ssh ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 –destport 161 -protocol udp

apply acls
<!--NeedCopy-->

Im vorangegangenen Beispiel bietet der Befehl Zugriff für alle SNMP-Abfragen auf die beiden definierten Subnetze, auch wenn die Abfragen an die entsprechend definierte Community erfolgen.

Sie können Verwaltungsfunktionen für NSIP-, SNIP- und MIP-Adressen aktivieren. Wenn aktiviert, Zugriff auf die NSIP-, SNIP- und Adressen mit ACLs zum Schutz des Zugriffs auf die Verwaltungsfunktionen. Der Administrator kann die Appliance auch so konfigurieren, dass sie mit dem Befehl ping nicht zugänglich ist.

  • Open Shortest Path First (OSPF) und IPSEC sind kein TCP oder UDP basiertes Protokoll. Wenn die Appliance diese Protokolle unterstützen muss, erlauben Sie daher explizit den Datenverkehr mit diesen Protokollen mithilfe einer ACL. Führen Sie den folgenden Befehl aus, um eine ACL zu definieren, um OSPF und IPSEC nach Protokollnummern anzugeben:
add acl allow_ospf allow -protocolnumber 89

add acl allow_ipsec allow –protocolnumber 50
<!--NeedCopy-->
  • Wenn ein XML-API-Webdienst verwendet wird, führen Sie die folgenden Aufgaben aus, um die API-Schnittstelle zu sichern:
  • Geben Sie dem Host die Berechtigung für den Zugriff auf die Schnittstelle mithilfe einer ACL an. Führen Sie beispielsweise die folgenden Befehle aus, um die Hosts im IP-Adressbereich 10.0.0.1-20 und 172.16.0.1-20 für den Zugriff auf die XML-API-Schnittstelle zu aktivieren:
add acl xml-api1 ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

add acl xml-api2 ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

apply acls
<!--NeedCopy-->
  • Verwenden Sie den folgenden Befehl, um ACLs für die internen Ports anzuwenden:
set l3param -implicitACLAllow DISABLED
<!--NeedCopy-->

Hinweis: Der Standardwert für den implicitACLAllow Befehl ist ENABLED.

  • Verwenden Sie den folgenden Befehl, um ACLs von den internen Ports zu entfernen:
set l3param -implicitACLAllow ENABLED
<!--NeedCopy-->
  • Geben Sie den sicheren Transport für den XML-API-Webdienst an, indem Sie einen HTTPS-Front-End-Server auf der Appliance mit einer entsprechenden Responder Policy konfigurieren. Dies gilt für die Appliance, auf der Citrix ADC-Softwareversion 8.0 oder höher ausgeführt wird. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
enable ns feature responder

add responder policy allow_soap 'HTTP.REQ.URL.STARTSWITH("/soap").NOT' RESET

add lb vserver xml-https ssl 192.168.0.4 443

add server localhost 127.0.0.1

add service xml-service localhost HTTP 80

bind lb vserver xml-https xml-service

bind lb vserver xml-https -policyName allow_soap -type REQUEST -priority 1

add ssl certkey xml-certificate -cert testcert.cert -key testcert.key

bind ssl certkey xml-https xml-certificate
<!--NeedCopy-->

Verwenden Sie rollenbasierte Zugriffssteuerung für Administratorbenutzer:

Die Citrix ADC Appliance umfasst vier Befehlsrichtlinien oder Rollen, z. B. Operator, schreibgeschützt, Netzwerk und Superuser. Sie können auch Befehlsrichtlinien definieren, verschiedene Verwaltungskonten für verschiedene Rollen erstellen und den Konten die Befehlsrichtlinien zuweisen, die für die Rolle erforderlich sind. Im Folgenden finden Sie eine Reihe von Beispielbefehlen, um den schreibgeschützten Zugriff auf den schreibgeschützten Benutzer einzuschränken:

add system user readonlyuser

bind system user readonlyuser read-only 0
<!--NeedCopy-->

Weitere Informationen zum Konfigurieren von Benutzern, Benutzergruppen oder Befehlsrichtlinien finden Sie in den Citrix Docs:

Systemsitzungstimeout konfigurieren:

Ein Sitzungszeitüberschreitungsintervall wird bereitgestellt, um die Zeitdauer zu beschränken, für die eine Sitzung (GUI, CLI oder API) aktiv bleibt, wenn sie nicht verwendet wird. Für die Citrix ADC Appliance kann das Systemsitzungszeitlimit auf den folgenden Ebenen konfiguriert werden:

  • Zeitüberschreitung auf Benutzerebene. Anwendbar für den spezifischen Benutzer.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Benutzer , wählen Sie einen Benutzer aus und bearbeiten Sie die Zeitüberschreitungseinstellung des Benutzers. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system user <name> -timeout <secs>
<!--NeedCopy-->
  • Zeitüberschreitung auf Benutzergruppenebene. Gilt für alle Benutzer in der Gruppe.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Gruppen , wählen Sie eine Gruppe aus und bearbeiten Sie die Zeitüberschreitungseinstellung der Gruppe. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system group <groupName> -timeout <secs>
<!--NeedCopy-->
  • Globales Systemtimeout. Gilt für alle Benutzer und Benutzer aus Gruppen, die kein Timeout konfiguriert haben.

GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen, und legen Sie den Parameter ANY Client Idle Timeout (secs) fest. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system parameter -timeout <secs>
<!--NeedCopy-->

Der für einen Benutzer angegebene Zeitüberschreitungswert hat die höchste Priorität. Wenn das Timeout für den Benutzer nicht konfiguriert ist, wird das für eine Mitgliedsgruppe konfigurierte Timeout berücksichtigt. Wenn für eine Gruppe kein Timeout angegeben wird (oder der Benutzer nicht zu einer Gruppe gehört), wird der global konfigurierte Timeout-Wert berücksichtigt. Wenn das Timeout auf keiner Ebene konfiguriert ist, wird der Standardwert von 900 Sekunden als Systemsitzungstimeout festgelegt.

Sie können den Zeitüberschreitungswert auch einschränken, sodass der Sitzungstimeoutwert nicht über den vom Administrator konfigurierten Zeitüberschreitungswert hinaus konfiguriert werden kann. Sie können den Zeitüberschreitungswert zwischen 5 Minuten und 1 Tag einschränken. So beschränken Sie den Timeout-Wert:

  • GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen , und wählen Sie das Feld Eingeschränkte Zeitüberschreitung aus.
  • CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:
set system parameter -restrictedtimeout <ENABLED/DISABLED>
<!--NeedCopy-->

Nachdem der Benutzer den Parameter RestrictedTimeout aktiviert hat und der Timeout-Wert bereits auf einen Wert konfiguriert ist, der größer als 1 Tag oder weniger als 5 Minuten ist, wird der Benutzer benachrichtigt, den Timeout-Wert zu ändern. Wenn der Benutzer den Timeout-Wert nicht ändert, wird der Timeout-Wert standardmäßig auf 900 Sekunden (15 Minuten) während des nächsten Neustarts neu konfiguriert.

Sie können auch Timeout-Dauer für jede der Schnittstellen angeben, auf die Sie zugreifen. Der für eine bestimmte Schnittstelle angegebene Zeitüberschreitungswert ist jedoch auf den Zeitüberschreitungswert beschränkt, der für den Benutzer konfiguriert ist, der auf die Schnittstelle zugreift. Betrachten Sie beispielsweise, dass ein Benutzer einen Timeout-Wert von 20 Minuten publicadmin hat. Wenn Sie nun auf eine Schnittstelle zugreifen, muss der Benutzer einen Timeout-Wert angeben, der innerhalb von 20 Minuten liegt.

So konfigurieren Sie die Zeitüberschreitungsdauer an jeder Schnittstelle:

  • CLI: Geben Sie den Timeout-Wert an der Eingabeaufforderung mit dem folgenden Befehl an:
set cli mode -timeout <secs>
<!--NeedCopy-->
  • API: Geben Sie den Timeout-Wert in der Login-Nutzlast an.

Protokollierung und Überwachung

Konfigurieren des Netzwerkzeitprotokolls

Citrix empfiehlt, dass NTP (Network Time Protocol) auf der Appliance aktiviert und für die Verwendung eines vertrauenswürdigen Netzwerkzeitservers konfiguriert ist. Durch Aktivieren von NTP wird sichergestellt, dass die für die Protokolleinträge und Systemereignisse aufgezeichneten Zeiten genau sind und mit anderen Netzwerkressourcen synchronisiert werden.

Bei der Konfiguration von NTP muss die Datei ntp.conf geändert werden, um zu verhindern, dass der NTP-Server die Informationen in vertraulichen Paketen offenlegt.

Sie können die folgenden Befehle ausführen, um NTP auf der Appliance zu konfigurieren:

add ntp server <IP_address> 10

enable ntp sync
<!--NeedCopy-->

Ändern Sie die Datei ntp.conf für jeden vertrauenswürdigen NTP-Server, den Sie hinzufügen. Für jeden Servereintrag muss ein entsprechender Einschränkungseintrag vorhanden sein. Sie können die ntp.conf-Datei suchen, indem Sie den find . –name ntp.conf Befehl über die Shell-Eingabeaufforderung der Appliance ausführen.

SNMP konfigurieren

Die Citrix ADC Appliance unterstützt Version 3 des SNMP-Protokolls. SNMPv3 umfasst Verwaltungs- und Sicherheitsfunktionen wie Authentifizierung, Zugriffssteuerung und Datenintegritätsprüfungen. Weitere Informationen finden Sie unter System > SNMP-Themen in den Citrix Docs.

Wenn Sie nicht mindestens einen SNMP-Manager konfigurieren, akzeptiert und beantwortet die Appliance SNMP-Abfragen von allen IP-Adressen im Netzwerk. Führen Sie den folgenden Befehl aus, um einen SNMP-Manager hinzuzufügen und dieses Verhalten zu beschränken:

add snmp manager <IP_address>
<!--NeedCopy-->

In Bereitstellungen, in denen SNMP nicht erforderlich ist, muss die Funktionalität mit dem folgenden Befehl deaktiviert werden:

set ns ip <IP_Address> -snmp disabled
<!--NeedCopy-->

Konfigurieren der Protokollierung auf externen Citrix ADC Protokollhost

Der Citrix ADC Audit Server protokolliert alle Zustände und Statusinformationen, die von verschiedenen Modulen im Kernel und in den Daemons auf Benutzerebene gesammelt werden. Der Audit-Server ermöglicht es einem Administrator, den Ereignisverlauf in chronologischer Reihenfolge anzuzeigen. Der Überwachungsserver ähnelt dem SYSLOG-Server, der Protokolle von der Appliance sammelt. Der Überwachungsserver verwendet die Administratoranmeldeinformationen, um Protokolle von einer oder mehreren Appliances abzurufen.

  • Konfiguration des lokalen Überwachungsservers

Führen Sie den folgenden Befehl aus, um die Protokollierung auf dem lokalen Überwachungsserver in der Citrix ADC Appliance zu konfigurieren: > set audit nslogparams –serverip <hostname> -serverport <port>

  • Konfiguration des Remote-Überwachungsservers

Um die Protokollierung beim Überwachungsserver auf einem Remotecomputer zu konfigurieren, installieren Sie den Überwachungsserver auf diesem Computer. Im Folgenden finden Sie Beispiele für Audit-Server-Optionen:

./audserver -help
usage : audserver -[cmds] [cmd arguments]
cmds cmd arguments: -f <filename> -d debug
-help - detail help
-start - cmd arguements,[starts audit server]
-stop - stop audit server
-verify - cmd arguments [verifies config file]
-addns - cmd arguments [add a netscaler to conf file]
-version - prints the version info
<!--NeedCopy-->

Dies bietet nur Funktionen zum Protokollieren von Überwachungsnachrichten, die von der Datei ns.log der Appliance generiert werden. So protokollieren Sie alle Syslog-Nachrichten:

  1. Entfernen Sie die Protokolldatei-Spezifikationen aus der Datei /nsconfig/syslog.conf für die lokalen Einrichtungen.
  2. Ersetzen Sie die Protokolldatei-Spezifikationen durch den Protokollhostnamen oder die IP-Adresse des entfernten Syslog-Hosts, ähnlich den folgenden Einträgen:

    local0.* @10.100.3.53

    local1.* @10.100.3.53

  3. Konfigurieren Sie den Syslog-Server so, dass er Protokolleinträge aus den vorherigen Protokollierungsfunktionen akzeptiert. Weitere Informationen finden Sie in der Dokumentation zum syslog server.
  4. Bei den meisten UNIX-basierten Servern, die die standardmäßige Syslog-Software verwenden, müssen Sie der Konfigurationsdatei syslog.conf einen lokalen Einrichtungseintrag für die Meldungen und nsvpn.log-Dateien hinzufügen. Die Anlagenwerte müssen den auf der Appliance konfigurierten Werten entsprechen.
  5. Der Remote-Syslog-Server in einem UNIX-basierten Computer hört standardmäßig nicht auf Remoteprotokolle ab. Führen Sie daher den folgenden Befehl aus, um den Remote-Syslog-Server zu starten:
syslogd -m 0 –r
<!--NeedCopy-->

Hinweis: Siehe die äquivalenten Optionen der Syslog-Variante, die auf dem Audit-Server bereitgestellt wird.

LOM-Konfiguration

Citrix empfiehlt dringend, die folgenden Maßnahmen zum Sichern der LOM-Schnittstelle zu ergreifen:

  • Stellen Sie den LOM-Port nicht dem Internet zur Verfügung.
  • Stellen Sie die LOM hinter einer SPI-Firewall bereit.
  • Stellen Sie das LOM in einem Netzwerksegment bereit, das entweder logisch (separates VLAN) oder physisch (separates LAN) von einem nicht vertrauenswürdigen Netzwerkverkehr getrennt ist.
  • Legen Sie verschiedene Werte für Benutzernamen, Kennwort, SSL-Zertifikat und SSL-Schlüssel für die LOM- und die Citrix ADC Verwaltungsports fest.
  • Stellen Sie sicher, dass Geräte, die für den Zugriff auf die LOM-Verwaltungsschnittstelle verwendet werden, ausschließlich einem Netzwerkverwaltungszweck gewidmet sind und sich in einem Verwaltungsnetzwerksegment befinden, das sich im selben physischen LAN oder VLAN wie andere Management-Geräteports befindet.
  • Um LOM-IP-Adressen einfach zu identifizieren und zu isolieren, reservieren Sie spezielle IP-Adressen (private Subnetze) für LOM-Verwaltungsschnittstellen und Verwaltungsserver. Verwenden Sie keine reservierten IP-Subnetze mit LAN-Schnittstellen der verwalteten Appliances. Dynamische IP-Adressen, die von DHCP zugewiesen werden, werden nicht empfohlen, da sie die Implementierung von Firewall-Zugriffssteuerungslisten auf Basis einer MAC-Adresse außerhalb des LAN-Segments erschweren.
  • Legen Sie das Kennwort für mindestens 8 Zeichen mit einer Kombination aus alphanumerischen und Sonderzeichen fest. Ändern Sie das Kennwort häufig.

Anwendungen und Dienstleistungen

Konfigurieren von Citrix ADC zum Löschen ungültiger HTTP-Anforderungen

Citrix empfiehlt dringend, dass die Citrix ADC Appliance mit strikter Prüfung und Durchsetzung von HTTP-Anforderungen konfiguriert wird, um zu verhindern, dass ungültige HTTP-Anforderungen durch virtuelle Server weitergeleitet werden. Dies kann durch Bindung eines integrierten HTTP-Profils nshttp_default_strict_validationmit dem folgenden Befehl auf der CLI an einen oder mehrere virtuelle Server erfolgen:

show ns httpProfile (Shows the available http profile (default+user configured profiles))

set lb vserver <vserver name> -httpProfileName nshttp_default_strict_validation
<!--NeedCopy-->

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Der Schutz vor den HTTP-Desync-Angriffen ist standardmäßig für das strenge HTTP-Validierungsprofil (nshttp_default_strict_validation) aktiviert. Verwenden Sie das strenge Profil für alle kundenorientierten Entitäten.

Weitere Informationen zu Schmuggelangriffen auf HTTP-Anfragen und deren Abschwächung finden Sie im Support-Artikel Citrix ADC - HTTP Request Smuggling Reference Guide.

Konfigurieren des Schutzes gegen HTTP-Denial-of-Service-Angriffe

Die Firmware der Citrix ADC Appliance unterstützt begrenzte Gegenmaßnahmen gegen HTTP-Denial-of-Service-Angriffe, einschließlich “langsamem Lesen” -Angriffen. Sie können diese Funktionen mithilfe desnsapimgr Dienstprogramms an der Shell-Eingabeaufforderung der Appliance konfigurieren:

  • small_window_threshold (Standard = 1)
  • small_window_idle_timeout (Standardwert = 7 Sek.)
  • small_window_cleanthresh (Standard = 100)
  • small_window_protection (Default=aktiviert)

Die Standardeinstellungen sind ausreichend, um die HTTP-Denial-of-Service-Angriffe zu verhindern, einschließlich langsamem Lesen. Für andere Angriffe ist jedoch möglicherweise eine Anpassung der Parameter erforderlich.

Um sich vor solchen Angriffen zu schützen, passen Sie die small_window_threshold Eigenschaft mit dem folgenden nsapimgr Befehl an der Shell-Eingabeaufforderung der Appliance nach oben an:

$ nsapimgr –ys small_window_threshold=<desired value>

Hinweis: Dersmall_window_threshold gewünschte Wert kann basierend auf dem Muster des eingehenden Datenverkehrs in der Bereitstellung festgelegt werden. Der zulässige Bereich liegt zwischen 0 und 2 ^ 32.

Sie können den Schutz vor HTTP-Denial-of-Service-Angriffen überprüfen, indem Sie die folgenden Leistungsindikatoren mit demnsconmsg –d stats Befehl an der Shell-Eingabeaufforderung der Appliance überwachen:

  • nstcp_cur_zero_win_pcbs: Dieser Zähler verfolgt die Anzahl der Leiterplatten, die derzeit einen niedrigen Fensterwert haben.
  • nstcp_err_conndrop_at_pass: Dieser Zähler wird erhöht, wenn die Appliance erkennt, dass sie beim Übergeben von Paketen von einer Seite zur anderen den Wert nscfg_small_window_idletimeout überschritten hat.
  • nstcp_err_conndrop_at_retx: Dieser Zähler wird erhöht, wenn die Zeit, die während der Weiterübertragung verfällt, den Wert nscfg_small_window_idletimeout überschreitet.
  • nstcp_cur_pcbs_probed_withKA: Dieser Leistungsindikator verfolgt die Anzahl der Leiterplatten in der Überspannungswarteschlange, die mit einem Knowledge-Prüfpunkt untersucht werden.

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren Sie Citrix ADC zur Verteidigung gegen TCP-Spoofing-Angriffe

Die folgenden Befehle können verwendet werden, um Back-End-Server vor TCP-Spoofing-Angriffen zu schützen:

set ns tcpProfile profile1 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED

Done

set lb vserver lbvserver1 -tcpProfileName profile1

Done
<!--NeedCopy-->

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren von Citrix ADC für die Annahme bestimmter HTTP-Header

Es ist möglich, die Citrix ADC Appliance so zu konfigurieren, dass sie nur bestimmte HTTP-Header akzeptiert. Dies kann erreicht werden, indem eine Rewrite-Aktion hinzugefügt wird, um den Netzwerkverkehr mit bestimmten definierten HTTP-Headern zu beschränken, die an den Back-End-Server übergeben werden.

Die folgende globale Umschreibaktion sendet nur Netzwerkverkehr mit Headern wie Host, Accept und Test an den Server:

add rewrite action act1 replace_all q/HTTP.REQ.FULL_HEADER.after_str("\r\n")/     q{TARGET.REGEX_SELECT(re/(iu)^(Host|Accept|test):.*\r\n/) ALT ""} -pattern q{re/(U).+:.+r\n/}

add rewrite policy pol1 HTTP.REQ.IS_VALID act1

bind rewrite global pol1 100
<!--NeedCopy-->

Hinweis: Diese Befehle werden nur in Citrix ADC Version 10.5 und höher unterstützt.

Konfigurieren von Close-Notify

Eine Close-Notify ist eine sichere Nachricht, die das Ende der SSL-Datenübertragung anzeigt. In Übereinstimmung mit RFC 5246: Der Client und der Server müssen das Wissen teilen, dass die Verbindung endet, um einen Abschneidungsangriff zu vermeiden. Jede Partei kann den Austausch von schließenden Nachrichten initiieren. Jede Partei kann eine Schließung durch Senden einer close_notify -Warnung initiieren. Alle Daten, die nach einer Schließwarnung empfangen werden, werden ignoriert. Wenn keine andere schwerwiegende Warnung übertragen wurde, muss jede Partei eine close_notify Warnung senden, bevor die Schreibseite der Verbindung geschlossen wird. Um sicherzustellen, dass Überwachungsereignisse für TLS-Beendigungsereignisse erfasst werden, melden Sie sich als Superuser oder Sysadmin an der CLI an und führen Sie die folgenden Befehle aus:

set ssl parameter -sendCloseNotify y

save ns config
<!--NeedCopy-->

DNSSEC Sicherheitsempfehlungen

Citrix empfiehlt, dass die folgenden Empfehlungen für Kunden angewendet werden, die DNSSEC verwenden:

Verwenden Sie RSA 1024 Bit oder höher für private KSK/ZSK-Schlüssel

NIST empfiehlt DNS-Administratoren, bis zum 01. Oktober 2015 1024-Bit-RSA/SHA-1 oder RSA/SHA-256 ZSKs zu pflegen.

SNMP-Alarm für DNSSEC-Schlüsselablauf aktivieren

Standardmäßig ist der SNMP-Alarm für den Ablauf des DNSSEC-Schlüssels auf einer Citrix ADC Appliance aktiviert. Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens DNSKeyExpiry gesendet. Drei MIB-Variablen und dnskeyUnitsOfExpirywerden zusammen mit der dnskeyExpiry SNMP-Trap gesendet. dnskeyName Weitere Informationen finden Sie in der Citrix ADC SNMP OID-Referenz.

Überschreiben Sie die privaten Schlüssel von KSK/ZSK, bevor die x.509-Zertifikate ablaufen

Auf einer Citrix ADC Appliance können Sie die Vorveröffentlichungs- und Doppelsignaturmethoden verwenden, um ein Rollover des Zonensignaturschlüssels und des Schlüsselsignaturschlüssels durchzuführen. Weitere Informationen finden Sie unter Domänennamensystem > Konfigurieren von DNSSEC in den Citrix Docs.

Sicherer DNSSEC ADNS-Server

Wenn die Appliance im DNSSEC-Proxymodus konfiguriert ist, speichert sie die Antworten vom Back-End-ADNS-Server und leitet die zwischengespeicherten Antworten an die DNS-Clients weiter.

Wenn die Citrix ADC-Appliance für eine bestimmte Zone autorisierend ist, werden alle Ressourceneinträge in der Zone auf dem Citrix ADC konfiguriert. Um die autorisierende Zone zu signieren, müssen Sie die Schlüssel (Zonensignierschlüssel und Schlüsselsignierschlüssel) für die Zone erstellen, die Schlüssel zum ADC hinzufügen und dann die Zone signieren

So konfigurieren Sie Citrix ADC als autorisierenden Server:

  1. Fügen Sie einen ADNS-Dienst hinzu.

    Beispiel:

    add service s1 <ip address> adns 53`
    <!--NeedCopy-->
    
  2. Erstellen Sie DNS-Schlüssel.

    Um beispielsweise als autorisierender Server für die Domäne com zu fungieren:

    create dns key -zoneName com -keytype ksK -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.ksk.rsasha1.3000
    
    create dns key -zoneName com -keytype zsk -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.zsk.rsasha1.3000
    <!--NeedCopy-->
    

    Hinweis: Sie müssen die DNS-Schlüssel einmal erstellen und sie werden in /nsconfig/dns gespeichert.

  3. DNS-Schlüssel hinzufügen.

    Zum Beispiel:

    add dns key com.zsk.3000 /nsconfig/dns/com.zsk.rsasha1.3000.key /nsconfig/dns/com.zsk.rsasha1.3000.private
            add dns key com.ksk.3000 /nsconfig/dns/com.ksk.rsasha1.3000.key /nsconfig/dns/com.ksk.rsasha1.3000.private
    <!--NeedCopy-->
    
  4. Fügen Sie NS- und SOA-Datensätze für die Zone com hinzu, und signieren Sie dann die Zone.

    add dns soaRec com -originServer n1.com -contact citrix
    add dns nsrec com n1.com
    add dns zone com -proxyMode no
    add dns addRec n1.com 1.1.1.1

    sign dns zone com
<!--NeedCopy-->

Hinweis: Darüber hinaus müssen Sie den Parameter DNSEC Extension auch in den globalen DNS-Parametern aktivieren.

Weitere Informationen zum Konfigurieren des Citrix ADC als autoritativen Domänennamenserver finden Sie unter Domänennamensystem > Konfigurieren des Citrix ADC als ADNS-Server-Thema in den Citrix Docs.

Legacy-Konfiguration

Konfigurieren von Citrix ADC zum Deaktivieren der SSLv2-Umleitung

Wenn Sie die SSL v2-Umleitungsfunktion auf einer Citrix ADC Appliance aktivieren, führt die Appliance den SSL-Handshake durch und leitet den Client an die konfigurierte URL um. Wenn diese Funktion deaktiviert ist, verweigert die Appliance die Ausführung des SSL-Handshake-Prozesses mit SSL v2-Clients.

Führen Sie den folgenden Befehl aus, um die SSLv2-Umleitung zu deaktivieren:

set ssl vserver <vserver_name> -sslv2redirect DISABLED -cipherredirect DISABLED
<!--NeedCopy-->

Hinweis: Ab der Citrix ADC-Softwareversion 9.2 sind SSLv2-Umleitungs- und Verschlüsselungsumleitungsfunktionen standardmäßig deaktiviert.

Konfigurieren von Citrix ADC Version 10.0 und früher für die Verwendung sicherer SSL-Neuverhandlungen

Führen Sie den folgenden Befehl aus, um Citrix ADC so zu konfigurieren, dass nicht sichere SSL-Neuverhandlungen für Citrix ADC Softwareversion 9.3e oder 10.0 verhindert werden:

set ssl parameter -denySSLReneg NONSECURE
<!--NeedCopy-->

Führen Sie für frühere Versionen der Citrix ADC-Software den folgenden Befehl aus, um die SSL-Neuverhandlung zu deaktivieren:

set ssl parameter -denySSLReneg ALL
<!--NeedCopy-->

Der folgende Befehl erlaubt Neuverhandlungen nur für sichere Clients und Server:

set ssl parameter -denySSLReneg NONSECURE
<!--NeedCopy-->

Weitere Informationen finden Sie unter Konfigurieren und Verwenden des Parameters -denySSLReneg.

Kryptografieempfehlungen für Citrix ADC

In diesem Abschnitt werden einige wichtige Schritte beschrieben, die befolgt werden müssen, um sicherzustellen, dass kryptografisches Material auf der Citrix ADC Appliance ordnungsgemäß gesichert ist. Sie enthält außerdem Informationen zur Konfiguration von Appliances für die Verwendung dieses Materials zum Schutz der Appliance selbst, der Back-End-Server und der Endbenutzer.

Verwalten von TLS-Zertifikaten und -Schlüsseln

Konfigurieren von TLS-Verschlüsselungssammlungen für NDPP-Bereitstellungen

Eine Liste der TLS-Verschlüsselungssammlungen, die für NDPP-Bereitstellungen unterstützt werden, finden Sie unterhttps://www.citrix.com/content/dam/citrix/en_us/documents/downloads/netscaler-adc/Common-criteria-documents-for-NetScaler-10.5.zip

Um sicherzustellen, dass nur die genehmigten Verschlüsselungssammlungen auf der Appliance konfiguriert sind, führen Sie die folgenden Konfigurationsschritte über die CLI aus:

  1. Bindung aller Chiffre vom virtuellen Server aufheben

    unbind ssl vs v1 –cipherName FIPS
    <!--NeedCopy-->
    
  2. Binden Sie nur TLS1-AES-256-CBC-SHA und dann TLS1-AES-128-CBC-SHA mit dem Befehl:

    bind ssl vs v1 –cipherName <cipher>
    
    bind ssl vs v1 -cipherName TLS1-AES-256-CBC-SHA
    <!--NeedCopy-->
    

Importieren eines vertrauenswürdigen Stammzertifikats:

  1. Übertragen Sie mithilfe eines Dienstprogramms für die sichere Dateiübertragungscp, z. B.WinSCPoder, das Serverausstellerzertifikat (Stammzertifikat) in das Verzeichnis /nsconfig/ssl der Citrix ADC Appliance.

    Hinweis: Sie müssen sich über SCP oder WinSCP als Superuser authentifizieren, um diesen Schritt abzuschließen.

  2. Melden Sie sich bei der Citrix ADC Appliance als Systemadministrator oder Superuser an, und geben Sie den folgenden Befehl ein:

add ssl certkey <Certificate_Name> –cert <Cert_File_Name>
<!--NeedCopy-->

Hinweis: Installieren Sie nur Stammzertifizierungsstellenzertifikate von Zertifizierungsstellen, die bekanntermaßen vertrauenswürdig sind. Entfernen Sie alle anderen Zertifikate.

Importieren eines PKCS #12 (.PFX) -Zertifikats und einer Schlüsseldatei:

Detaillierte Informationen darüber, wie Zertifikate und Schlüsseldateien in die Citrix ADC Appliance importiert werden können, finden Sie in den Themen SSL-Offload und Beschleunigung > Vorhandene Zertifikate und Schlüssel importieren in der Citrix Produktdokumentation.

  1. Übertragen Sie die PFX-Datei in das Verzeichnis /nsconfig/ssl, wie in Schritt 1 im vorherigen Abschnitt erwähnt.

  2. Authentifizieren Sie sich bei der Citrix ADC Appliance über die CLI als Systemadministrator oder Superuser, und führen Sie den folgenden Befehl aus:

    convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
    <!--NeedCopy-->
    
  3. Fügen Sie das Zertifikat der Citrix ADC Appliance wie folgt hinzu:

    add ssl certkey Clent-Cert-1 –cert Cert-Client-1
    <!--NeedCopy-->
    
  4. Speichern Sie die aktuelle Konfiguration.

    save ns config
    <!--NeedCopy-->
    

Hinweis: Ab Citrix ADC 11.0 wird die PKCS #12 (.PFX) -Datei automatisch in PEM konvertiert, und alle Zertifikate werden automatisch hinzugefügt und mit der Zertifizierungsstelle verknüpft.

Installieren von Zertifikaten und Schlüsselpaaren mit einer vertrauenswürdigen Zertifizierungsstelle:

Um ein Zertifikat von einer öffentlichen oder Unternehmenszertifizierungsstelle (CA) zu erhalten, müssen Sie zunächst einen privaten Schlüssel und eine Zertifikatsignieranforderung (CSR) generieren. Gehen Sie wie folgt vor:

  1. Authentifizieren Sie sich bei der Citrix ADC CLI als Sysadmin oder Superuser.

  2. Erstellen Sie einen privaten RSA-Schlüssel.

    create fipsKey m1 -modulus 2048
    <!--NeedCopy-->
    
  3. Erstellen Sie die Zertifikatsignieranforderung (CSR):

    create certreq csr_1 -fipsKeyName m1 -countryName IN -stateName BA -organizationName citrix
    <!--NeedCopy-->
    
  4. Reichen Sie den CSR bei der Zertifizierungsstelle ein.

Für die meisten kommerziellen und Unternehmens-Zertifizierungsstellen wird die CSR in einer E-Mail-Anfrage gesendet. Die Methode der Übermittlung kann jedoch in Unternehmens-CA-Umgebungen variieren. Die Zertifizierungsstelle gibt ein gültiges Zertifikat per E-Mail zurück, dies kann jedoch auch zwischen den Unternehmenszertifizierungsstellen variieren. Nachdem Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, kopieren Sie es sicher in das Verzeichnis /nsconfig/ssl.

Melden Sie sich als Superuser oder Systemadministrator an und führen Sie den folgenden Befehl von der CLI aus: > add ssl certKey ck_1 -cert cert1_1 -fipsKey m1

Citrix ADC-FIPS-Empfehlungen

Konfigurieren von Citrix ADC SDX in einer FIPS-basierten Bereitstellung

Wenn Sie ein vorhandener FIPS-Kunde sind und eine Citrix ADC SDX-Appliance für echte Multimandanten verwenden, verwenden Sie die FIPS-zertifizierte Citrix ADC MPX-Appliance, um TLS zu beenden und den Datenverkehr an die Citrix ADC SDX-Appliance weiterzuleiten. Alternativ ist es möglich, ein Thales externes HSM zu verwenden. Ändern Sie FIPS-Kryptokartenkennwörter, wenn Sie eine FIPS-zertifizierte Version von Citrix ADC mit einem Hardware Security Module (HSM) verwenden, ändern Sie den Standardsicherheitsbeauftragten (SO) und legen Sie ein neues Benutzerkennwort wie folgt fest. Wenn Sie das Standard-SO-Kennwort einer FIPS-fähigen Citrix ADC Appliance nicht kennen, wenden Sie sich an den technischen Support von Citrix. Hinweis: Nur ein Superuser oder Sysadmin kann diese Aufgabe ausführen.

set ssl fips -initHSM Level-2 <soPassword> <oldSoPassword> <user-Password> [-hsmLabel <string>]

save configuration

initHSM
<!--NeedCopy-->

FIPS-Initialisierungsstufe. Die Appliance unterstützt derzeit Level-2 (FIPS 140-2). Dies ist ein obligatorisches Argument. Mögliche Werte: Level-2

hsmLabel

Beschriftung zur Identifizierung des Hardwaresicherheitsmoduls (HSM).

Maximale Länge: 31

Hinweis: Alle Daten auf der FIPS-Karte werden mit dem vorhergehenden Befehl gelöscht.

Speichern des HSM-Kennworts an einem sicheren Ort

Das Kennwort für das HSM muss gemäß den Betriebsabläufen Ihres Unternehmens an einem sicheren Ort gespeichert werden.

Hinweis: HSM ist nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Wenn sie gesperrt ist, wird sie nicht betriebsbereit, und Sie können ihre Konfiguration nicht ändern.

Andere Funktionen

Dieser Abschnitt enthält Beispiele für Konfigurationsänderungen, die sowohl auf die Citrix Web App Firewall als auch auf Citrix Gateway angewendet werden können, um die Sicherheit der bereitgestellten Appliances und Informationen zum Aufbau mehrerer Ebenen oder Sicherheit zu verbessern. Dieser Abschnitt enthält auch Informationen zu Konfigurationsdetails bei Verwendung von Citrix ADC oder Citrix Gateway als SAML SP oder SAML IdP oder beides.

Sicherheitsempfehlungen für Citrix Web App Firewall

Bereitstellen der Appliance im Zweiarm-Modus

Bei einer Installation mit zwei Armen befindet sich die Appliance physisch zwischen den Benutzern und den von der Appliance geschützten Webservern. Verbindungen müssen durch die Appliance geführt werden. Diese Anordnung minimiert die Chancen, eine Route um die Appliance herum zu finden.

Verwenden Sie eine “Standardverweigerung” -Richtlinie

Citrix empfiehlt, dass Administratoren die Citrix Web App Firewall mit einer Richtlinie “Alle verweigern” auf globaler Ebene konfigurieren, um alle Anforderungen zu blockieren, die nicht mit einer Citrix Web App Firewall-Richtlinie übereinstimmen. Im Folgenden finden Sie eine Beispielgruppe von Befehlen zum Konfigurieren einer Richtlinie “Alle verweigern” auf globaler Ebene:

add appfw profile default_deny_profile –defaults advanced

add appfw policy default_deny_policy NS_TRUE default_deny_profile

bind appfw global default_deny_policy <PRIORITY>
<!--NeedCopy-->

Hinweis: Die PRIORITY-Einstellung muss sicherstellen, dass die Standardrichtlinie zuletzt ausgewertet wird (nur wenn die Anforderung nicht mit anderen konfigurierten Richtlinien übereinstimmt).

Citrix ADC-Softwareversion 9.2 enthält Standardprofile, wie appfw_block, die bei konfigurierten Blockanforderungen, die nicht mit den Citrix Web App Firewall Richtlinien übereinstimmen. Führen Sie den folgenden Befehl aus, um das Standardprofil festzulegen:

set appfw settings -defaultProfile appfw_block
<!--NeedCopy-->

Citrix Web App Firewall — Erstellen mehrerer Sicherheitsstufen

Die folgenden Richtlinien helfen Ihnen, mehrere Sicherheitsstufen zu erstellen, abhängig von Ihrer Umgebung und den unterstützten Anwendungen.

Erste Sicherheitsebene

Führen Sie die folgenden Schritte aus, um die erste Sicherheitsebene zu erstellen:

  • Aktivieren Sie Pufferüberlauf, SQL-Injection und siteübergreifendes Skripting.
  • Start-URL wird benötigt, wenn die Anwendung speziell ist, auf welchen URLs zugegriffen werden muss und vor erzwungenem Browsen geschützt werden muss.
  • Feldformat aktivieren Überprüft, ob Ihre Anwendung Eingaben in einem Formularfeld erwartet.

Die standortübergreifende Skripterstellung kann zu Fehlalarmen führen, da viele Unternehmen über eine große installierte Basis von Javascript-verbesserten Webinhalten verfügen, die gegen dieselbe Ursprungsregel verstoßen. Wenn Sie die HTML Cross-Site Scripting Prüfung auf einer solchen Site aktivieren, müssen Sie die entsprechenden Ausnahmen generieren, damit die Prüfung legitime Aktivitäten nicht blockiert.

Führen Sie die erste Stufe aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und wechseln Sie dann zur nächsten Stufe. Eine stufige Implementierung hilft bei der Verwaltung der AppFW-Bereitstellung.

Zweite Sicherheitsebene

Gehen Sie folgendermaßen vor, um die zweite Sicherheitsebene zu erstellen:

Aktivieren Sie Signaturen für das Profil zusätzlich zu Pufferüberlauf, SQL-Injection und siteübergreifendes Scripting. Es gibt 1300 + Unterschriften. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung gelten, anstatt alle Signaturregeln zu aktivieren.

Führen Sie die zweite Ebene aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und wechseln Sie dann zur nächsten Stufe. Eine stufige Implementierung hilft bei der Verwaltung der Citrix Web App Firewall Bereitstellung.

Dritte Sicherheitsebene

Gehen Sie folgendermaßen vor, um die dritte Sicherheitsebene zu erstellen:

  • Aktivieren Sie basierend auf den Anwendungsanforderungen erweiterte Profilsicherheitsprüfungen wie CSRF-Tagging, Cookie-Konsistenz. Formularfeldkonsistenz für Teile von Anwendungen, die es benötigen.
  • Erweiterte Sicherheitsprüfungen erfordern mehr Verarbeitung und können sich auf die Leistung auswirken. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.

Die im Basis-Profil der Citrix Web App Firewall deaktivierten Sicherheitsprüfungen werden für Objekte in der HTTP-Antwort ausgeführt. Daher sind diese Sicherheitsprüfungen ressourcenintensiver. Wenn die Citrix Web App Firewall Response Side Protection durchführt, muss sie die an jeden einzelnen Client gesendeten Informationen speichern. Wenn beispielsweise ein Formular durch die Citrix Web App Firewall geschützt ist, bleiben die in der Antwort gesendeten Formularfeldinformationen im Arbeitsspeicher erhalten. Wenn der Client das Formular in der nächsten nachfolgenden Anforderung absendet, wird es auf Inkonsistenzen überprüft, bevor die Informationen an den Webserver gesendet werden. Dieses Konzept wird als Sessionization bezeichnet. Sicherheitsprüfungen wie URL-Enclosure innerhalb der Start-URL, Cookie-Konsistenz, Formularfeldkonsistenz und CSRF-Formular-Tagging implizieren Sessionization. Die Menge der CPU- und Speicherressourcen, die von diesen Sicherheitsprüfungen verwendet werden, steigt linear mit der Anzahl der Anfragen, die über die Citrix Web App Firewall gesendet werden. Beispiel:

  • Konsistenzprüfung für Formularfelder aktivieren: Diese Prüfung ist erforderlich, um zu überprüfen, ob die Webformulare nicht unangemessen vom Client geändert wurden. Eine Anwendung, die kritische Informationen in Formularen bereitstellt und hostet, würde die Prüfung erfordern.

  • CSRF-Formular-Tagging-Prüfung: Diese Prüfung gilt für Formulare. Die Cross-Site Request Forgery (CSRF) -Formular-Tagging markiert jedes Webformular, das von einer geschützten Website an Benutzer gesendet wird, mit einer eindeutigen und unvorhersehbaren FormID. Anschließend untersucht die von Benutzern zurückgegebenen Webformulare, um sicherzustellen, dass die bereitgestellte formID korrekt ist. Diese Überprüfung schützt vor standortübergreifenden Anforderungsfälschungen. Diese Prüfung muss aktiviert sein, wenn die Anwendung webbasierte Formulare hat. Diese Prüfung erfordert relativ geringe CPU-Verarbeitungskapazität im Vergleich zu bestimmten anderen Sicherheitsprüfungen, die Webformulare eingehend analysieren. Es ist daher in der Lage, Angriffe mit hohem Volumen zu bewältigen, ohne die Leistung der geschützten Website oder der Citrix Web App Firewall selbst ernsthaft zu beeinträchtigen.

Workflowschritte für Citrix Web App Firewall

Das folgende Diagramm veranschaulicht die Workflow-Schritte von Citrix Web App Firewall:

Workflowschritte für Citrix Web App Firewall

Im Folgenden werden die High-Level-Schritte beschrieben, die am Citrix Web App Firewall Workflow beteiligt sind:

  1. Konfigurieren Sie das Sicherheitsprofil.
  2. Wenden Sie Signaturen für alle bekannten Bedrohungen an - das negative Modell.
  3. Konfigurieren Sie Verkehrsrichtlinien, die den richtigen Verkehrsfluss erkennen können, bei dem dieses Sicherheitsprofil aktiviert werden muss.

Sie sind bereit, dass der Produktionsdatenverkehr das System durchläuft. Die erste Flussstufe ist abgeschlossen.Konfigurieren Sie außerdem die Lerninfrastruktur. Viele Male möchten Kunden im Produktionsverkehr lernen, wodurch die Signaturen angewendet werden, jedes Risiko vermeidet. Gehen Sie wie folgt vor:

  1. Konfigurieren Sie die Lerninfrastruktur.
  2. Stellen Sie die erlernten Regeln zum Schutz bereit.
  3. Validieren Sie die Lerndaten zusammen mit den angewendeten Signaturen, bevor Sie live gehen.

Citrix Gateway -Sicherheitsempfehlungen

Verwenden Sie eine “Standardverweigerung” -Richtlinie

Citrix empfiehlt Administratoren, das Citrix Gateway mit einer Richtlinie “Alle verweigern” auf globaler Ebene zu konfigurieren, zusätzlich zur Verwendung von Autorisierungsrichtlinien, um den Zugriff auf Ressourcen auf Gruppenbasis selektiv zu ermöglichen.

Standardmäßig ist der Parameter DefaultAuthorizationAction auf DENY festgelegt. Überprüfen Sie diese Einstellung, und gewähren Sie jedem Benutzer expliziten Zugriff. Sie können den Befehl show DefaultAuthorizationAction auf der CLI verwenden, um die Einstellung zu überprüfen. Um den Parameter so festzulegen, dass alle Ressourcen auf globaler Ebene verweigert werden, führen Sie den folgenden Befehl von der Befehlszeilenschnittstelle aus:

set vpn parameter -defaultAuthorizationAction DENY
<!--NeedCopy-->

Verwenden der TLS1.1/1.2 Kommunikation zwischen Servern

Citrix empfiehlt dringend, dass TLS1.1/1.2 für die Verbindungen zwischen Citrix Gateway Appliance und anderen Diensten wie LDAP- und Webinterface-Servern verwendet wird. Die Verwendung älterer Versionen dieses Protokolls 1.0 und SSLv3 und früher wird nicht empfohlen.

Verwenden Sie die Funktion Intranet-Anwendungen Verwenden Sie Intranet-Anwendungen, um festzulegen, für Netzwerke vom Citrix Gateway-Plug-In abgefangen und an das Gateway gesendet werden. Es folgt ein Beispielsatz von Befehlen zum Definieren von Interception:

add vpn intranetApplication intra1 ANY 10.217.0.0 -netmask 255.255.0.0 -destPort 1-65535 -interception TRANSPARENT

bind vpn vserver v1 –intranetapp intra1
<!--NeedCopy-->

Citrix ADC AAA-Sicherheitsempfehlungen

Wenn ein Citrix ADC oder eine Citrix Gateway-Appliance als SAML SP oder SAML IdP oder beides konfiguriert ist, finden Sie im Artikel https://support.citrix.com/article/CTX316577 empfohlene Konfigurationsdetails.

Weitere Informationen zur SAML-Authentifizierung finden Sie unter SAML-Authentifizierung.

Zusätzliche Informationsressourcen

Weitere Sicherheitsinformationen zu den Citrix ADC- und Citrix Gateway-Appliances finden Sie in den folgenden Ressourcen:

Weitere Unterstützung bei der Konfiguration Ihres Citrix ADC erhalten Sie unter:https://www.citrix.com/support.html

Einführung in Best Practices für Citrix ADC MPX-, VPX- und SDX-Sicherheit