Citrix ADC

IP-Reputation

IP-Reputation ist ein Tool, das IP-Adressen identifiziert, die unerwünschte Anfragen senden. Mit der IP-Reputationsliste können Sie Anfragen ablehnen, die von einer IP-Adresse mit einer schlechten Reputation stammen. Optimieren Sie die Leistung der Webanwendungsfirewall, indem Sie Anforderungen filtern, die Sie nicht verarbeiten möchten. Zurücksetzen, Löschen einer Anforderung oder sogar Konfigurieren einer Responderrichtlinie, um eine bestimmte Responderaktion auszuführen.

Im Folgenden finden Sie einige Angriffe, die Sie mit IP-Reputation verhindern können:

  • Vireninfizierte PCs. (Heim-PCs) sind die größte Quelle von Spam im Internet. IP Reputation kann die IP-Adresse identifizieren, die unerwünschte Anfragen sendet. IP-Reputation kann besonders nützlich sein, um große DDoS-, DoS- oder anomale SYN-Flutangriffe aus bekannten infizierten Quellen zu blockieren.
  • Zentral verwaltetes und automatisiertes Botnet. Angreifer haben Popularität beim Diebstahl von Kennwörtern gewonnen, weil es nicht lange dauert, wenn Hunderte von Computern zusammenarbeiten, um Ihr Kennwort zu knacken. Es ist einfach, Botnet-Angriffe zu starten, um Kennwörter herauszufinden, die häufig verwendete Wörterbuchwörter verwenden.
  • Kompromittierter Web-Server. Angriffe sind nicht so häufig, weil Bewusstsein und Serversicherheit zugenommen haben, sodass Hacker und Spammer nach einfacheren Zielen suchen. Es gibt immer noch Webserver und Online-Formulare, die Hacker kompromittieren und zum Senden von Spam (wie Viren und Pornos) verwenden können. Solche Aktivitäten lassen sich leichter erkennen und schnell herunterfahren oder mit einer Reputationsliste wie SpamRats blockieren.
  • Windows-Exploits. (z. B. Active IPs, die Malware, Shell-Code, Rootkits, Würmer oder Viren anbieten oder verteilen).
  • Bekannte Spammer und Hacker.
  • Massen-E-Mail-Marketing-Kampagnen.
  • Phishing-Proxies (IP-Adressen, die Phishing-Sites hosten, und andere Betrugsfälle wie Anzeigenklickbetrug oder Spielbetrug).
  • Anonyme Proxies (IPs, die Proxy- und Anonymisierungsdienste anbieten, einschließlich The Onion Router aka TOR).

Eine Citrix ADC Appliance verwendet Webroot als Dienstanbieter für eine dynamisch generierte bösartige IP-Datenbank und die Metadaten für diese IP-Adressen. Metadaten können Geolocation-Details, Bedrohungskategorie, Bedrohungsanzahl usw. umfassen. Die Webroot Threat Intelligence Engine empfängt Echtzeitdaten von Millionen von Sensoren. Es erfasst, scannt, analysiert und bewertet die Daten automatisch und kontinuierlich mit Hilfe von fortgeschrittenem maschinellem Lernen und Verhaltensanalysen. Die Informationen über eine Bedrohung werden laufend aktualisiert.

Wenn eine Bedrohung irgendwo im Netzwerk erkannt wird, wird die IP-Adresse als bösartig gekennzeichnet, und alle mit dem Netzwerk verbundenen Appliances sind sofort geschützt. Die dynamischen Änderungen der IP-Adressen werden mit hoher Geschwindigkeit und Genauigkeit unter Verwendung von fortgeschrittenem maschinellem Lernen verarbeitet.

Wie im Datenblatt von Webroot angegeben, identifiziert das Sensornetzwerk des Webroot viele wichtige IP-Bedrohungstypen, einschließlich Spam-Quellen, Windows-Exploits, Bot-Netze, Scanner und andere. (Siehe Flussdiagramm auf dem Datenblatt.)

Die Citrix ADC Appliance verwendet einen iprep Clientprozess, um die Datenbank von Webroot abrufen zu können. Der iprep Client verwendet die HTTP GET-Methode, um die absolute IP-Liste von Webroot zum ersten Mal zu erhalten. Später überprüft es Delta-Änderungen einmal alle 5 Minuten.

Wichtig:

  • Stellen Sie sicher, dass die Citrix ADC Appliance über Internetzugang verfügt und DNS konfiguriert ist, bevor Sie die IP-Reputation-Funktion verwenden.

  • Um auf die Webroot-Datenbank zuzugreifen, muss die Citrix ADC Appliance eine Verbindung zu api.bcti.brightcloud.com auf Port 443herstellen können. Jeder Knoten in der HA- oder Clusterbereitstellung ruft die Datenbank von Webroot ab und muss auf diesen vollqualifizierten Domänennamen (FQDN) zugreifen können.

  • Webroot hostet derzeit seine Reputationsdatenbank in AWS. Daher muss Citrix ADC AWS-Domänen auflösen können, um die Reputation-Datenbank herunterzuladen. Außerdem muss die Firewall für AWS-Domänen geöffnet sein.

  • Die Citrix ADC Appliance kann eine Verbindung mit wiprep-daily.*.amazonaws.com über Port 443 herstellen, um IP-Daten von AWS abzurufen.

  • iPrep erfasst Nutzungsanalysen von der Citrix ADC Appliance und sendet die Daten an den Citrix ADM Dienst.

Hinweis:

Jede Paket-Engine benötigt mindestens 4 GB, um ordnungsgemäß zu funktionieren, wenn die IP-Reputation-Funktion aktiviert ist.

Erweiterte Richtlinienausdrücke. Konfigurieren Sie die IP-Reputation-Funktion mithilfe erweiterter Richtlinienausdrücke (Standard-Syntaxausdrücke) in den Richtlinien, die an unterstützte Module gebunden sind, wie z. B. Webanwendungsfirewall und Responder. Im Folgenden sind zwei Beispiele, die Ausdrücke zeigen, die verwendet werden können, um zu erkennen, ob die Client-IP-Adresse bösartig ist.

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: Dieser Ausdruck wird TRUE ausgewertet, wenn der Client in der Liste bösartiger IP-Adressen enthalten ist.
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): Dieser Ausdruck wird auf TRUE ausgewertet, wenn die Client-IP eine bösartige IP ist und sich in der angegebenen Bedrohungskategorie befindet.

Im Folgenden sind die möglichen Werte für die Bedrohungskategorie:

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, CLOUD_PROVIDERS, MOBILE_THREATS.

Hinweis:

Die IP-Reputation-Funktion prüft sowohl Quell- als auch Ziel-IP-Adressen. Es erkennt bösartige IPs in der Kopfzeile. Wenn der PI-Ausdruck in einer Richtlinie die IP-Adresse identifizieren kann, wird bei der IP-Reputationsprüfung festgestellt, ob er bösartig ist.

IPRep-Protokollmeldung. Die/var/log/iprep.log Datei enthält nützliche Meldungen, die Informationen über die Kommunikation mit der Webroot Datenbank erfassen. Die Informationen können über die Anmeldeinformationen, die während der Webroot Kommunikation verwendet werden, Fehler bei der Verbindung mit Webroot, Informationen, die in einem Update enthalten sind (z. B. die Anzahl der IP-Adressen in der Datenbank).

Erstellen einer Blockliste oder zulässigen Liste von IPs mithilfe eines Richtliniendatensatzes. Sie können eine Zulassungsliste verwalten, um den Zugriff auf bestimmte IP-Adressen zu ermöglichen, die in der Webroot Datenbank blockiert sind. Sie können auch eine benutzerdefinierte Sperrliste von IP-Adressen erstellen, um die Webroot Reputation Check zu ergänzen. Diese Listen können mithilfe eines Richtliniendatensatzeserstellt werden. Ein Datensatz ist eine spezielle Form von Mustersatz, die ideal für IPv4-Adressenabgleich geeignet ist. Um Datensätze zu verwenden, erstellen Sie zuerst den Datensatz und binden IPv4-Adressen an ihn. Wenn Sie eine Richtlinie zum Vergleichen einer Zeichenfolge in einem Paket konfigurieren, verwenden Sie einen entsprechenden Operator und übergeben Sie den Namen des Mustersatzes oder Datensatzes als Argument.

So erstellen Sie eine Zulassungsliste von Adressen, die während der IP-Reputationsbewertung als Ausnahmen behandelt werden sollen:

  • Konfigurieren Sie die Richtlinie so, dass der PI-Ausdruck auf False ausgewertet wird, selbst wenn eine Adresse in der Zulassungsliste von Webroot (oder einem Dienstanbieter) als bösartig aufgeführt wird.

Aktivieren oder Deaktivieren der IP-Reputation. IP-Reputation ist Teil der allgemeinen Reputationsfunktion, die lizenzbasiert ist. Wenn Sie die Reputationsfunktion aktivieren oder deaktivieren, wird die IP-Reputation aktiviert oder deaktiviert.

Allgemeines Verfahren. Die Bereitstellung von IP-Reputation umfasst die folgenden Aufgaben

  • Stellen Sie sicher, dass die auf der Citrix ADC Appliance installierte Lizenz IP-Reputationsunterstützung besitzt. Firewall-Lizenzen für Premium- und eigenständige Anwendungen unterstützen die IP-Reputationsfunktion.
  • Aktivieren Sie die IP-Reputations- und Anwendungs-Firewall-Funktionen.
  • Fügen Sie ein Anwendungs-Firewall-Profil hinzu.
  • Fügen Sie mithilfe der PI-Ausdrücke eine Anwendungsfirewall hinzu, um die schädlichen IP-Adressen in der IP-Reputation-Datenbank zu identifizieren.
  • Binden Sie die Firewall-Richtlinie der Anwendung an einen entsprechenden Bindungspunkt.
  • Stellen Sie sicher, dass jede Anforderung, die von einer bösartigen Adresse empfangen wird, in derns.log Datei protokolliert wird, um anzuzeigen, dass die Anforderung wie im Profil angegeben verarbeitet wurde.

Konfigurieren der IP-Reputation-Funktion über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • enable feature reputation
  • disable feature reputation

In den folgenden Beispielen wird gezeigt, wie Sie mithilfe des PI-Ausdrucks eine Anwendungsfirewall Richtlinie hinzufügen können, um bösartige Adressen zu identifizieren. Sie können die integrierten Profile verwenden oder ein Profil hinzufügen oder ein vorhandenes Profil konfigurieren, um die gewünschte Aktion aufzurufen, wenn eine Anforderung mit einer Richtlinienübereinstimmung übereinstimmt.

Beispiele 3 und 4 zeigen, wie ein Richtliniendataset erstellt wird, um eine Sperrliste oder eine Zulassungsliste von IP-Adressen zu generieren.

Beispiel 1:

Mit dem folgenden Befehl wird eine Richtlinie erstellt, die bösartige IP-Adressen identifiziert und die Anforderung blockiert, wenn eine Übereinstimmung ausgelöst wird:

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

Beispiel 2:

Mit dem folgenden Befehl wird eine Richtlinie erstellt, die den Reputation-Dienst verwendet, um die Client-IP-Adresse imX-Forwarded-For Header zu überprüfen und die Verbindung zurückzusetzen, wenn eine Übereinstimmung ausgelöst wird.

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

Beispiel 3:

Das folgende Beispiel zeigt, wie Sie eine Liste hinzufügen, um Ausnahmen hinzuzufügen, die bestimmte IP-Adressen zulassen:

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

Beispiel 4:

Das folgende Beispiel zeigt, wie die benutzerdefinierte Liste hinzugefügt wird, um bestimmte IP-Adressen als bösartig zu kennzeichnen:

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

Beispiel 5:

Das folgende Beispiel zeigt einen Richtlinienausdruck, um die Client-IP unter den folgenden Bedingungen zu blockieren:

  • Es entspricht einer IP-Adresse, die in der benutzerdefinierten Block_list1 konfiguriert ist (Beispiel 4)
  • Sie entspricht einer IP-Adresse, die in der Webroot Datenbank aufgeführt ist, sofern sie nicht durch die Aufnahme in die Allow_List1 (Beispiel 3) entspannt wird.
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK

Verwenden des Proxy-Servers:

Wenn die Citrix ADC Appliance keinen direkten Zugriff auf das Internet hat und mit einem Proxy verbunden ist, konfigurieren Sie den IP-Reputation-Client so, dass Anforderungen an den Proxy gesendet werden.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

Beispiel:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

Hinweis:

Die Proxy-Server-IP kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein.

Konfigurieren der IP-Reputation über die Citrix ADC GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie im Abschnitt Modi und Features auf den Link, um den Bereich Erweiterte Funktionen konfigurieren aufzurufen und das Kontrollkästchen Reputation zu aktivieren.
  2. Klicken Sie auf OK.

IP-Reputation aktivieren

So konfigurieren Sie einen Proxyserver über die Citrix ADC GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Reputation. Klicken Sie unter Einstellungenauf Reputationseinstellungen ändern, um einen Proxyserver zu konfigurieren. Sie können die Reputationsfunktion auch aktivieren oder deaktivieren. Proxyserver kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein. Proxy-Port akzeptiert Werte zwischen[1–65535] .

Reputation-Einstellungen

Erstellen einer Zulassungsliste und einer Sperrliste von Client-IP-Adressen über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu AppExpert > Datensätze .
  2. Klicken Sie auf Hinzufügen.

Dataset konfigurieren

  • Geben Sie im Bereich Datensatz erstellen (oder Datensatz konfigurieren) einen aussagekräftigen Namen für die Liste der IP-Adressen an. Der Name muss den Zweck der Liste widerspiegeln.
  • Wählen Sie Typ als IPv4 aus.
  • Klicken Sie auf Einfügen, um einen Eintrag hinzuzufügen.

Dataset einfügen

  • Fügen Sie im Bereich Richtliniendatenmengenbindung konfigurieren eine IP-Adresse im IPv4-Format im Eingabefeld Wert hinzu.
  • Geben Sie einen Index an.
  • Fügen Sie einen Kommentar hinzu, der den Zweck der Liste erklärt. Dieser Schritt ist optional, wird jedoch empfohlen, da ein beschreibender Kommentar bei der Verwaltung der Liste hilfreich ist.

Ebenso können Sie eine Sperrliste erstellen und IP-Adressen hinzufügen, die als bösartig angesehen werden sollen.

Weitere InformationenMustersätze und Datensätzezur Verwendung von Datensätzen und zum Konfigurieren von Standardsyntax Richtlinienausdrücken finden Sie unter.

Konfigurieren einer Anwendungs-Firewall-Richtlinie über die Citrix ADC GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Anwendungsfirewall > Richtlinien > Firewall . Klicken Sie auf Hinzufügen, um eine Richtlinie mit den PI-Ausdrücken zur Verwendung der IP-Reputation hinzuzufügen.

Sie können auch den Ausdruckseditor verwenden, um einen eigenen Richtlinienausdruck zu erstellen. Die Liste enthält vorkonfigurierte Optionen, die nützlich sind, um einen Ausdruck mithilfe der Bedrohungskategorien zu konfigurieren.

Highlights

  • Stoppen Sie schnell und präzise schlechten Datenverkehr am Rande des Netzwerks von bekannten bösartigen IP-Adressen, die verschiedene Arten von Bedrohungen darstellen. Sie können die Anforderung blockieren, ohne den Körper zu analysieren.
  • Konfigurieren Sie die IP-Reputationsfunktionalität dynamisch für mehrere Anwendungen.
  • Schützen Sie Ihr Netzwerk vor Datenverletzungen ohne Leistungseinbußen, und konsolidieren Sie mit schnellen und einfachen Bereitstellungen den Schutz auf einer einzigen Services Fabric.
  • Sie können IP-Reputationsprüfungen für Quell- und Ziel-IPs durchführen.
  • Sie können die Header auch untersuchen, um bösartige IPs zu erkennen.
  • Die IP-Reputationsprüfung wird sowohl in Forward-Proxy- als auch in Reverse-Proxy-Bereitstellungen unterstützt.
  • Der IP-Reputation-Prozess stellt eine Verbindung mit Webroot her und aktualisiert die Datenbank alle 5 Minuten.
  • Jeder Knoten in der Hochverfügbarkeits- oder Clusterbereitstellung erhält die Datenbank von Webroot.
  • Die IP-Reputationsdaten werden für alle Partitionen in Bereitstellungen mit Administratorpartitionen freigegeben.
  • Sie können einen AppExpert Datensatz verwenden, um Listen mit IP-Adressen zu erstellen, um Ausnahmen für IPs hinzuzufügen, die in der Webroot Datenbank blockiert sind. Sie können auch eine eigene angepasste Blockliste erstellen, um bestimmte IPs als bösartig zu kennzeichnen.
  • Die Datei iprep.db wird im Ordner /var/nslog/iprep erstellt. Nach der Erstellung wird es nicht gelöscht, auch wenn das Feature deaktiviert ist.
  • Wenn die Reputationsfunktion aktiviert ist, wird die Citrix ADC Webroot-Datenbank heruntergeladen. Danach wird es alle 5 Minuten aktualisiert.
  • Die Hauptversion der Webroot Datenbank ist Version: 1.
  • Die Nebenversion wird täglich aktualisiert. Die Update-Version wird alle 5 Minuten erhöht und auf 1 zurückgesetzt, wenn die Nebenversion erhöht wird.
  • Mit PI-Ausdrücken können Sie die IP-Reputation mit anderen Funktionen wie Responder und Rewrite verwenden.
  • Die IP-Adressen in der Datenbank befinden sich in Dezimalschreibweise.

Tipps zum Debuggen

  • Wenn Sie die Reputationsfunktion in der GUI nicht sehen können, stellen Sie sicher, dass Sie über die richtige Lizenz verfügen.
  • Überwachen Sie die Meldungen invar/log/iprep.log zum Debuggen.
  • Webroot-Konnektivität: Wenn diens iprep: Not able to connect/resolve WebRootMeldung angezeigt wird, stellen Sie sicher, dass die Appliance über Internetzugang verfügt und DNS konfiguriert ist.
  • Proxyserver: Wenn diens iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameMeldung angezeigt wird, stellen Sie sicher, dass die Proxy-Server-Konfiguration korrekt ist.
  • IP-Reputation-Funktion funktioniert nicht: Der IP-Reputation-Prozess dauert etwa fünf Minuten, bis er gestartet wird, nachdem Sie die Reputation-Funktion aktiviert haben. Die IP-Reputationsfunktion funktioniert möglicherweise für diese Dauer nicht.
  • Datenbankdownload: Wenn der Download von IP-DB-Daten nach dem Aktivieren der IP-Reputation-Funktion fehlschlägt, wird der folgende Fehler in den Protokollen angezeigt.

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

Lösung: Zulassen Sie den ausgehenden Datenverkehr zu den folgenden URLs, oder konfigurieren Sie einen Proxy, um das Problem zu beheben.

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443

IP-Reputation