IP-Reputation

IP-Reputation ist ein Tool, das IP-Adressen identifiziert, die unerwünschte Anfragen senden. Verwenden Sie die IP-Reputationsliste, können Sie Anfragen ablehnen, die von einer IP-Adresse mit einer schlechten Reputation stammen. Sie können auch die Leistung der Web Application Firewall optimieren, indem Sie Anforderungen filtern, die Sie nicht verarbeiten möchten. Sie können eine Anforderung zurücksetzen, löschen oder sogar eine Responder-Richtlinie konfigurieren, um eine bestimmte Responder-Aktion durchzuführen.

Im Folgenden finden Sie einige Angriffe, die Sie mit IP-Reputation verhindern können:

  • Vireninfizierte PCs. (Heim-PCs) sind die größte Quelle von Spam im Internet. IP Reputation kann die IP-Adresse identifizieren, die unerwünschte Anfragen sendet. IP-Reputation kann besonders nützlich sein, um große DDoS-, DoS- oder anomale SYN-Flutangriffe aus bekannten infizierten Quellen zu blockieren.
  • Zentral verwaltetes und automatisiertes Botnet. Angreifer haben Popularität beim Diebstahl von Kennwörtern gewonnen, weil es nicht lange dauert, wenn Hunderte von Computern zusammenarbeiten, um Ihr Kennwort zu knacken. Es ist einfach, Botnet-Angriffe zu starten, um Kennwörter herauszufinden, die häufig verwendete Wörterbuchwörter verwenden.
  • Kompromittierter Web-Server. Angriffe sind nicht so häufig, weil Bewusstsein und Serversicherheit zugenommen haben, sodass Hacker und Spammer nach einfacheren Zielen suchen. Es gibt immer noch Webserver und Online-Formulare, die Hacker gefährden und verwenden können, um Spam zu senden (wie Viren und Pornos), aber in der Regel sind solche Aktivitäten leichter zu erkennen und schnell herunterzufahren oder mit einer Reputationsliste wie SpamRats blockieren.
  • Windows-Exploits. (z. B. Active IPs, die Malware, Shell-Code, Rootkits, Würmer oder Viren anbieten oder verteilen).
  • Bekannte Spammer und Hacker.
  • Massen-E-Mail-Marketing-Kampagnen.
  • Phishing-Proxies (IP-Adressen, die Phishing-Sites hosten, und andere Betrugsfälle wie Anzeigenklickbetrug oder Spielbetrug).
  • Anonyme Proxies (IPs, die Proxy- und Anonymisierungsdienste anbieten, einschließlich The Onion Router aka TOR).

Eine Citrix ADC Appliance verwendet Webroot als Dienstanbieter für dynamisch generierte bösartige IP-Datenbank und die Metadaten für diese IP-Adressen. Metadaten können Geolocation-Details, Bedrohungskategorie, Bedrohungsanzahl usw. umfassen. Die Webroot Threat Intelligence Engine empfängt Echtzeitdaten von Millionen von Sensoren. Es erfasst, scannt, analysiert und bewertet die Daten automatisch und kontinuierlich mit Hilfe von fortgeschrittenem maschinellem Lernen und Verhaltensanalysen. Die Informationen über eine Bedrohung werden laufend aktualisiert.

Wenn eine Bedrohung irgendwo im Netzwerk erkannt wird, wird die IP-Adresse als bösartig gekennzeichnet, und alle mit dem Netzwerk verbundenen Appliances sind sofort geschützt. Die dynamischen Änderungen der IP-Adressen werden mit hoher Geschwindigkeit und Genauigkeit unter Verwendung von fortgeschrittenem maschinellem Lernen verarbeitet.

Wie im Datenblatt von Webroot angegeben, identifiziert das Sensornetzwerk des Webroot viele wichtige IP-Bedrohungsarten, einschließlich Spam-Quellen, Windows-Exploits, Botnets, Scanner und andere. (Siehe Flussdiagramm auf dem Datenblatt)

Die Citrix ADC Appliance verwendet einen iprep Clientprozess, um die Datenbank von Webroot abrufen zu können. Der iprep Client verwendet die HTTP GET-Methode, um die absolute IP-Liste von Webroot zum ersten Mal zu erhalten. Später überprüft es Delta-Änderungen einmal alle 5 Minuten.

Wichtig:

  • Stellen Sie sicher, dass die Citrix ADC Appliance über Internetzugang verfügt und DNS konfiguriert ist, bevor Sie die IP-Reputation-Funktion verwenden.

  • Um auf die Webroot-Datenbank zuzugreifen, sollte die Citrix ADC Appliance in der Lage sein, eine Verbindung zu api.bcti.brightcloud.com auf Port 443 herzustellen. Jeder Knoten in der Hochverfügbarkeits- oder Clusterbereitstellung ruft die Datenbank direkt vom Webroot ab und sollte auf diesen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zugreifen können.

  • Webroot hostet derzeit seine Reputationsdatenbank in AWS. Daher sollte Citrix ADC in der Lage sein, AWS-Domänen zum Herunterladen der Reputation-Datenbank aufzulösen. Außerdem sollte die Firewall für AWS-Domänen geöffnet sein.

  • Die Citrix ADC Appliance kann eine Verbindung mit wiprep-daily.*.amazonaws.com über Port 443 herstellen, um IP-Daten von AWS abzurufen.

  • iPrep sammelt Nutzungsanalysen von der Citrix ADC Appliance und sendet die Daten an den Citrix ADM Dienst. Die IP-Adresse des ADM-Dienstes ist 54.173.79.18

Hinweis:

Jede Paket-Engine benötigt mindestens 4 GB, um ordnungsgemäß zu funktionieren, wenn die IP-Reputation-Funktion aktiviert ist.

Erweiterte Richtlinienausdrücke. Die IP-Reputation-Funktion kann mithilfe erweiterter Richtlinienausdrücke (Citrix ADC Standard-Syntaxausdrücke) in den Richtlinien konfiguriert werden, die an unterstützte Module wie Web Application Firewall und Responder gebunden sind. Im Folgenden sind zwei Beispiele, die Ausdrücke zeigen, die verwendet werden können, um zu erkennen, ob die Client-IP-Adresse bösartig ist.

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS: Dieser Ausdruck wird TRUE ausgewertet, wenn der Client in der Liste bösartiger IP-Adressen enthalten ist.
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): Dieser Ausdruck wird auf TRUE ausgewertet, wenn die Client-IP eine bösartige IP ist und sich in der angegebenen Bedrohungskategorie befindet.

Im Folgenden sind die möglichen Werte für die Bedrohungskategorie:

SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANNERS, DOS, REPUTATION, PHISHING, PROXY, NETWORK, CLOUD_PROVIDERS, MOBILE_THREATS.

Hinweis:

Die IP-Reputationsfunktion kann sowohl Quell- als auch Ziel-IP-Adressen überprüfen. Es kann auch bösartige IPs im Header erkennen. Wenn der PI-Ausdruck in einer Richtlinie die IP-Adresse identifizieren kann, kann die IP-Reputationsprüfung feststellen, ob sie bösartig ist.

IPRep-Protokollmeldung. Die/var/log/iprep.log Datei enthält nützliche Meldungen, die Informationen über die Kommunikation mit der Webroot Datenbank erfassen. Die Informationen können über die Anmeldeinformationen sein, die während der Webroot-Kommunikation verwendet werden, fehlende Verbindung mit Webroot, was in einem Update enthalten ist (z. B. die Anzahl der IP-Adressen in der Datenbank) usw.

Erstellen einer schwarzen oder weißen Liste von IPs mit Richtliniendatensatz. Sie können eine Whitelist pflegen, um den Zugriff auf bestimmte IP-Adressen zu ermöglichen, die in der Webroot-Datenbank auf die schwarze Liste gesetzt sind. Sie können auch eine benutzerdefinierte schwarze Liste von IP-Adressen erstellen, um die Webroot Reputation Check zu ergänzen. Diese Listen können mit dem Richtliniendatensatz erstellt werden. Ein Datensatz ist eine spezielle Form von Mustersatz, die ideal für IPv4-Adressenabgleich geeignet ist. Um Datensätze zu verwenden, erstellen Sie zuerst den Datensatz und binden IPv4-Adressen an ihn. Wenn Sie dann eine Richtlinie zum Vergleichen einer Zeichenfolge in einem Paket konfigurieren, verwenden Sie einen geeigneten Operator und übergeben Sie den Namen des Mustersatzes oder Datensatzes als Argument.

Um die Datenmenge zum Erstellen einer benutzerdefinierten Positivliste von Adressen zu verwenden, die während der IP-Reputationsbewertung als Ausnahmen behandelt werden sollen, konfigurieren Sie die Richtlinie so, dass der PI-Ausdruck auf False ausgewertet wird, selbst wenn eine Adresse in der Whitelist von Webroot (oder einem Dienstanbieter) als bösartig aufgeführt wird.

Aktivieren oder Deaktivieren der IP-Reputation. IP-Reputation ist Teil der allgemeinen Reputationsfunktion, die lizenzbasiert ist. Wenn Sie die Reputationsfunktion aktivieren oder deaktivieren, wird die IP-Reputation aktiviert oder deaktiviert.

Allgemeines Verfahren. Die Bereitstellung von IP-Reputation umfasst die folgenden Aufgaben

  • Stellen Sie sicher, dass die auf der Citrix ADC Appliance installierte Lizenz IP-Reputationsunterstützung besitzt. Firewall-Lizenzen für Premium- und eigenständige Anwendungen unterstützen die IP-Reputationsfunktion.
  • Aktivieren Sie die IP-Reputations- und Anwendungs-Firewall-Funktionen.
  • Fügen Sie ein Anwendungs-Firewall-Profil hinzu.
  • Fügen Sie mithilfe der PI-Ausdrücke eine Anwendungsfirewall hinzu, um die schädlichen IP-Adressen in der IP-Reputation-Datenbank zu identifizieren.
  • Binden Sie die Firewall-Richtlinie der Anwendung an einen entsprechenden Bindungspunkt.
  • Stellen Sie sicher, dass alle Anfragen, die von einer bösartigen Adresse empfangen werden, in der Datei ns.log protokolliert werden, um anzuzeigen, dass die Anforderung gemäß dem Profil verarbeitet wurde.

Verwenden der Befehlszeile zum Konfigurieren der IP-Reputation-Funktion

Um die IP-Reputation mit CLI zu aktivieren oder zu deaktivieren, können Sie die folgenden Befehle verwenden:

  • enable feature reputation
  • disable feature reputation

In den folgenden Beispielen wird gezeigt, wie Sie mithilfe des PI-Ausdrucks eine Anwendungsfirewall Richtlinie hinzufügen können, um bösartige Adressen zu identifizieren. Sie können die integrierten Profile verwenden oder ein Profil hinzufügen oder ein vorhandenes Profil konfigurieren, um die gewünschte Aktion aufzurufen, wenn eine Anforderung mit einer Richtlinienübereinstimmung übereinstimmt.

Beispiele 3 und 4 zeigen, wie ein Richtlinien-Dataset erstellt wird, um eine schwarze (zu blockierende) oder weiße (zulässige) Liste von IP-Adressen zu generieren.

Beispiel 1:

Mit dem folgenden Befehl wird eine Richtlinie erstellt, die bösartige IP-Adressen identifiziert und die Anforderung blockiert, wenn eine Übereinstimmung ausgelöst wird:

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

Beispiel 2:

Mit dem folgenden Befehl wird eine Richtlinie erstellt, die den Reputationsdienst verwendet, um die Client-IP-Adresse in einem bestimmten Header (X-Forwarded-For) zu überprüfen und die Verbindung zurückzusetzen, wenn eine Übereinstimmung ausgelöst wird:

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

Beispiel 3:

Das folgende Beispiel zeigt, wie Sie eine Liste hinzufügen, um Ausnahmen hinzuzufügen, die bestimmte IP-Adressen zulassen:

> add policy dataset Allow_list ipv4

> bind policy dataset Allow_list 10.217.25.17 -index 1

> bind policy dataset Allow_list 10.217.25.18 -index 2

Beispiel 4:

Das folgende Beispiel zeigt, wie die benutzerdefinierte Liste hinzugefügt wird, um bestimmte IP-Adressen als bösartig zu kennzeichnen:

> add policy dataset Block_List ipv4

> bind policy dataset Block_List 10.217.31.48 -index 1

> bind policy dataset Block_List 10.217.25.19 -index 2

Beispiel 5:

Das folgende Beispiel zeigt einen Richtlinienausdruck zum Blockieren der Client-IP, wenn sie mit einer IP-Adresse übereinstimmt, die in der benutzerdefinierten Block_List konfiguriert ist (Beispiel 4) oder wenn sie mit einer in der Webroot-Datenbank aufgelisteten IP-Adresse übereinstimmt, es sei denn, durch die Aufnahme in die Allow_List gelockert (Beispiel 3).

> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_List")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_List")))" APPFW_BLOCK

Verwenden des Proxy-Servers:

Wenn die Citrix ADC Appliance keinen direkten Zugriff auf das Internet hat und mit dem Proxy verbunden ist, konfigurieren Sie den IP-Reputation-Client so, dass Anforderungen an den Proxy gesendet werden.

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

Beispiel:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

Hinweis:

Die Proxy-Server-IP kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein.

Konfigurieren der IP-Reputation mithilfe der Citrix ADC GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie im Abschnitt Modi und Features auf den Link, um den Bereich Erweiterte Funktionen konfigurieren aufzurufen und das Kontrollkästchen Reputation zu aktivieren.
  2. Klicken Sie auf OK.

IP-Reputation aktivieren

So konfigurieren Sie einen Proxyserver mithilfe der Citrix ADC GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Reputation. Klicken Sie unter Einstellungenauf Reputationseinstellungen ändern, um einen Proxyserver zu konfigurieren. Sie können die Reputationsfunktion auch aktivieren oder deaktivieren. Proxyserver kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein. Proxy-Port akzeptiert Werte zwischen[1–65535] .

Reputationseinstellungen

So erstellen Sie eine Whitelist und eine Blacklist von Client-IP-Adressen

Gehen Sie folgendermaßen vor, um eine Whitelist und eine Blacklist von Client-IP-Adressen zu konfigurieren.

  1. Navigieren Sie auf der Registerkarte Konfiguration zu AppExpert > Datensätze .
  2. Klicken Sie auf Hinzufügen.

Dataset konfigurieren

  • Geben Sie im Bereich Datensatz erstellen (oder Datensatz konfigurieren ) einen aussagekräftigen Namen für die Liste der IP-Adressen ein. Der Name sollte den Zweck der Liste widerspiegeln. Beispielsweise können Sie einen Namen wie Whitelist oder Allow_list verwenden, wenn Sie eine Liste von IP-Adressen erstellen, die Sie von der Aktion ausnehmen möchten, wenn die IP-Reputationsprüfung feststellt, dass die Quell-IP mit einer IP-Adresse übereinstimmt, die im Webroot als bösartige IP bezeichnet wurde. -Datenbank. Ebenso verwenden Sie Namen wie Block_list oder Malicious_IP_list, wenn Sie eine Liste von IP-Adressen hinzufügen, die als bösartig gekennzeichnet werden sollen, um die Webroot-Datenbank zu ergänzen.
  • Wählen Sie Typ als IPv4 aus.
  • Klicken Sie auf Einfügen, um einen Eintrag hinzuzufügen.

Dataset einfügen

  • Fügen Sie im Bereich Richtliniendatenmengenbindung konfigurieren eine IP-Adresse im IPv4-Format im Eingabefeld Wert hinzu.
  • Geben Sie einen Index an.
  • Fügen Sie einen Kommentar hinzu, der den Zweck der Liste erklärt. Dieser Schritt ist optional, wird jedoch empfohlen, da ein beschreibender Kommentar bei der Verwaltung der Liste hilfreich ist.

Ebenso können Sie eine block_list erstellen und die IP-Adressen hinzufügen, die als bösartig angesehen werden sollen.

Weitere InformationenMustersätze und Datensätzezur Verwendung von Datensätzen und zum Konfigurieren von Standardsyntax Richtlinienausdrücken finden Sie unter.

Konfigurieren einer Anwendungs-Firewall-Richtlinie mithilfe der Citrix ADC GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Anwendungsfirewall > Richtlinien > Firewall . Klicken Sie auf Hinzufügen, um eine Richtlinie mit den PI-Ausdrücken zur Verwendung der IP-Reputation hinzuzufügen.

Sie können auch den Ausdruckseditor verwenden, um einen eigenen Richtlinienausdruck zu erstellen. Die Liste enthält vorkonfigurierte Optionen, die nützlich sind, um einen Ausdruck mithilfe der Bedrohungskategorien zu konfigurieren.

Highlights

  • Stoppen Sie schnell und präzise schlechten Datenverkehr am Rande des Netzwerks von bekannten bösartigen IP-Adressen, die verschiedene Arten von Bedrohungen darstellen. Sie können die Anforderung blockieren, ohne den Körper zu analysieren.
  • Konfigurieren Sie die IP-Reputationsfunktionalität dynamisch für mehrere Anwendungen.
  • Schützen Sie Ihr Netzwerk vor Datenverletzungen ohne Leistungseinbußen, und konsolidieren Sie mit schnellen und einfachen Bereitstellungen den Schutz auf einer einzigen Services Fabric.
  • Sie können IP-Reputationsprüfungen für Quell- und Ziel-IPs durchführen.
  • Sie können die Header auch untersuchen, um bösartige IPs zu erkennen.
  • Die IP-Reputationsprüfung wird sowohl in Forward-Proxy- als auch in Reverse-Proxy-Bereitstellungen unterstützt.
  • Der IP-Reputation-Prozess stellt eine Verbindung mit Webroot her und aktualisiert die Datenbank alle 5 Minuten.
  • Jeder Knoten in der Hochverfügbarkeits- oder Clusterbereitstellung erhält die Datenbank von Webroot.
  • Die IP-Reputationsdaten werden für alle Partitionen in Bereitstellungen mit Administratorpartitionen freigegeben.
  • Sie können einen AppExpert Datensatz verwenden, um Listen mit IP-Adressen zu erstellen, um Ausnahmen für IP-Adressen in der Webroot-Datenbank hinzuzufügen. Sie können auch eine eigene benutzerdefinierte Blackliste erstellen, um bestimmte IPs als bösartig zu bezeichnen.
  • Die Datei iprep.db wird im Ordner /var/nslog/iprep erstellt. Nach der Erstellung wird es nicht gelöscht, auch wenn das Feature deaktiviert ist.
  • Wenn die Reputationsfunktion aktiviert ist, wird die Citrix ADC Webroot-Datenbank heruntergeladen. Danach wird es alle 5 Minuten aktualisiert.
  • Die Hauptversion der Webroot Datenbank ist Version: 1.
  • Die Nebenversion wird täglich aktualisiert. Die Update-Version wird alle 5 Minuten erhöht und auf 1 zurückgesetzt, wenn die Nebenversion erhöht wird.
  • Mit PI-Ausdrücken können Sie die IP-Reputation mit anderen Funktionen wie Responder und Rewrite verwenden.
  • Die IP-Adressen in der Datenbank befinden sich in Dezimalschreibweise.

Debugging-Tipps

  • Wenn Sie die Reputation-Funktion in der GUI nicht sehen können, stellen Sie sicher, dass Sie über die richtige Lizenz verfügen
  • Überwachen Sie die Meldungen invar/log/iprep.log zum Debuggen.
  • Webroot-Konnektivität: Wenn diens iprep: Not able to connect/resolve WebRootMeldung angezeigt wird, stellen Sie sicher, dass die Appliance über Internetzugang verfügt und DNS konfiguriert ist.
  • Proxyserver: Wenn diens iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy nameMeldung angezeigt wird, stellen Sie sicher, dass die Proxy-Server-Konfiguration korrekt ist.
  • IP-Reputation-Funktion funktioniert nicht: Der IP-Reputation-Prozess dauert etwa fünf Minuten, bis er gestartet wird, nachdem Sie die Reputation-Funktion aktiviert haben. Die IP-Reputationsfunktion funktioniert möglicherweise für diese Dauer nicht.
  • Datenbank-Download: Wenn der IP-DB-Datendownload nach Aktivierung der IP-Reputation-Funktion fehlschlägt, wird der folgende Fehler in Protokollen angezeigt.

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

Lösung: Zulassen Sie den ausgehenden Datenverkehr zu den folgenden URLs, oder konfigurieren Sie einen Proxy, um das Problem zu beheben.

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443