Einführung in Best Practices für Citrix ADC MPX-, VPX- und SDX-Sicherheit

Eine Citrix ADC MPX-Appliance ist ein AnwendungsbereitstellungsController, der Websites beschleunigt, L4-L7-Datenverkehrsverwaltung bietet, eine integrierte Citrix Web App Firewall bietet und Server ausgelagert. Eine Citrix ADC VPX Instanz ist eine virtuelle Appliance, die über alle Funktionen einer Citrix ADC MPX-Appliance verfügt, auf Standardservern ausgeführt wird und eine höhere Verfügbarkeit für Webanwendungen, einschließlich Citrix XenDesktop und XenApp, bietet. Eine Citrix ADC SDX-Appliance bietet erweiterte Virtualisierung für die gesamte Flexibilität von VPX mit der Leistung von MPX. Mit MPX, VPX und SDX kann ein Unternehmen die Flex- oder True-Multitenance-Lösung bereitstellen, die Ihre Webanwendungsbereitstellungsinfrastruktur optimiert, indem gemeinsame Netzwerkdienste mit hohem Volumen von prozessorintensiven, anwendungsspezifischen Diensten getrennt werden. Eine Citrix ADC Appliance bietet auch die nahtlose Integration mit Citrix OpenCloud Access, die das Rechenzentrum mit der Leistungsfähigkeit der Cloud erweitern kann.

Um die Sicherheit während des Bereitstellungslebenszyklus aufrechtzuerhalten, empfiehlt Citrix, die folgenden Überlegungen zu überprüfen:

  • Physische Sicherheit
  • Appliance-Sicherheit
  • Netzwerksicherheit
  • Verwaltung und Verwaltung

Verschiedene Bereitstellungen erfordern möglicherweise unterschiedliche Sicherheitsüberlegungen. Dieses Dokument enthält allgemeine Sicherheitshinweise, die Ihnen bei der Entscheidung für eine geeignete sichere Bereitstellung basierend auf Ihren spezifischen Sicherheitsanforderungen helfen.

Wichtig:

Ab Version 12.1 wird NetScaler in Citrix ADC umbenannt. Weitere Informationen finden Sie unter https://www.citrix.com/about/citrix-product-guide/.

Bereitstellungsrichtlinien

Berücksichtigen Sie bei der Bereitstellung eines Citrix ADC die folgenden Best Practices für physische und Appliance-Sicherheit:

Best Practices für physische Sicherheit

Bereitstellen der Citrix ADC Appliance an einem sicheren Ort

Die Citrix ADC Appliances müssen an einem sicheren Ort mit ausreichenden physischen Zugriffskontrollen bereitgestellt werden, um die Appliances vor unbefugtem Zugriff zu schützen. Der Zugang zum Serverraum sollte mindestens mit einem Schloss, einem elektronischen Kartenleser oder anderen ähnlichen physikalischen Methoden gesteuert werden.

Zusätzliche Maßnahmen können die Verwendung eines elektronischen Überwachungssystems, zum Beispiel CCTV, umfassen, um die Aktivität des Raumes kontinuierlich zu überwachen. Im Falle eines unbefugten Eindringens sollte die Ausgabe von diesem System Sicherheitspersonal benachrichtigt werden. Bei CCTV steht das aufgezeichnete Material für Auditzwecke zur Verfügung.

Sicherer Zugriff auf die Gerätefront und den Konsolenanschluss

Die Citrix ADC Appliance oder VPX-Hosting-Server sollten in einem Rack oder einem Käfig bereitgestellt werden, der mit einem geeigneten Schlüssel oder anderen physikalischen Methoden gesperrt werden kann. Dadurch wird der Zugriff auf die physischen Ports der Citrix ADC Appliance oder im Falle einer VPX-Bereitstellung auf die Virtualisierungshostkonsole verhindert.

Netzteilschutz

Die Citrix ADC Appliance (oder Hosting-Server) sollte mit einer geeigneten unterbrechungsfreien Stromversorgung (USV) geschützt werden. Im Falle eines Stromausfalls stellt dies den kontinuierlichen Betrieb der Appliance sicher oder ermöglicht das kontrollierte Herunterfahren physischer oder virtueller Citrix ADCs. Der Einsatz einer USV hilft auch beim Schutz vor Stromspitzen.

Schutz von kryptografischen Schlüsseln

Wenn zusätzlicher Schutz für die kryptografischen Schlüssel in Ihrer Bereitstellung erforderlich ist, sollten Sie eine FIPS 140-2 Level 2-kompatible Appliance verwenden. Die FIPS-Plattform verwendet ein Hardwaresicherheitsmodul, um kritische kryptografische Schlüssel in der Appliance vor unbefugtem Zugriff zu schützen.

Best Practices für die Sicherheit der Citrix ADC Appliance

Ausführen von Softwareupdates für Appliance

Citrix empfiehlt dringend, dass Kunden vor der Bereitstellung sicherstellen, dass ihre Appliances mit den neuesten Firmware-Versionen aktualisiert wurden. Bei Remote-Ausführung empfiehlt Citrix, dass Kunden ein sicheres Protokoll wie SFTP oder HTTPS verwenden, um die Appliance zu aktualisieren.

Den Kunden wird außerdem empfohlen, die Sicherheitsbulletins zu ihren Citrix Produkten zu lesen. Informationen zu neuen und aktualisierten Sicherheitsbulletins finden Sie auf der Citrix Security Bulletins-Webseite (https://support.citrix.com/securitybulletins) und erwägen Sie, sich für Warnmeldungen zu neuen und aktualisierten Bulletins anzumelden.

Sichern des Betriebssystems von Servern, die eine Citrix ADC VPX Appliance hosten

Eine Citrix ADC VPX Appliance kann entweder eine virtuelle Appliance auf einem Standardvirtualisierungsserver oder als virtuelle Appliance auf einem Citrix ADC SDX ausführen.

Zusätzlich zur Anwendung normaler physischer Sicherheitsverfahren sollten Sie den Zugriff auf den Virtualisierungshost mit rollenbasierter Zugriffssteuerung und starker Kennwortverwaltung schützen. Außerdem sollte der Server mit den neuesten Sicherheitspatches für das Betriebssystem aktualisiert werden, sobald diese verfügbar sind, und gegebenenfalls auf den Virtualisierungstyp aktuelle Antivirensoftware auf dem Server bereitstellen. Kunden, die die Citrix ADC SDX-Plattform zum Hosten von Citrix ADC VPX verwenden, sollten sicherstellen, dass sie die neueste Firmware-Version für ihr Citrix ADC SDX verwenden.

Zurücksetzen der Citrix ADC Lights Out Management (LOM)

Citrix empfiehlt, dass Sie vor der Konfiguration der LOM für die Verwendung in einer Produktionsbereitstellung ein Zurücksetzen der LOM auf Werkseinstellungen durchführen, um die Standardeinstellungen wiederherzustellen.

  1. Führen Sie an der Citrix ADC -Shell den folgenden Befehl aus:

    >ipmitool raw 0x30 0x41 0x1
    

    Hinweis: Wenn Sie den obigen Befehl ausführen, wird das LOM auf die Werkseinstellungen zurückgesetzt und alle SSL-Zertifikate gelöscht. Anweisungen zur Neukonfiguration des LOM-Ports finden Sie unter[Leuchtet den Management-Port der Citrix ADC MPX-Appliance aus](/en-us/netscaler-hardware-platforms/mpx/netscaler-mpx-lights-out-management-port-lom.html

  2. Navigieren Sie in der LOM-GUI zu Konfiguration > SSL-Zertifizierung, und fügen Sie ein neues Zertifikat und einen privaten Schlüssel hinzu.

    Außerdem empfiehlt Citrix dringend, die folgende Benutzerkonfiguration durchzuführen. Verwenden der LOM-GUI:

    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern , und ändern Sie das Kennwort des nsroot superuser-Kontos.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern , und erstellen Sie Richtlinien für die Benutzer oder binden Sie vorhandene Richtlinien an diese.
    • Navigieren Sie zu Konfiguration > IP-Zugriffssteuerung > Hinzufügen und konfigurieren Sie die IP-Zugriffssteuerung, um den Zugriff auf den bekannten IP-Adressbereich zu ermöglichen.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern , erstellen Sie ein alternatives Superuser-Konto und binden Sie Richtlinien an dieses Konto.

    Weitere Informationen zur LOM-Konfiguration finden Sie unterLOM-Konfiguration.

Pflege und Entfernung von persistenten Daten

Wenn ein Citrix ADC in einer anderen Umgebung erneut bereitgestellt, außer Betrieb genommen oder unter RMA an Citrix zurückgegeben wird, sollten Sie sicherstellen, dass persistente Daten korrekt von der Appliance entfernt werden.

Weitere Informationen zu diesem Prozess finden Sie in den folgenden häufig gestellten Fragen:https://www.citrix.com/support/programs/faqs.html.

Konfigurationsrichtlinien

Netzwerksicherheit

Bei der Bereitstellung einer Citrix ADC Appliance in einer Produktionsumgebung empfiehlt Citrix dringend die folgenden wichtigen Konfigurationsänderungen:

  • Die Citrix ADC Administratorschnittstelle (NSIP) sollte nicht für das Internet verfügbar sein.
  • Das Citrix ADC Standard-SSL-Zertifikat sollte ersetzt werden.
  • HTTPS (HTTP over TLS) sollte beim Zugriff auf die GUI verwendet werden und die Standard-HTTP-Schnittstelle deaktiviert werden.

Der folgende Abschnitt enthält weitere Informationen zu diesen wichtigsten Überlegungen, zusätzlich zu weiteren empfohlenen Änderungen.

Wichtige Überlegungen zur Netzwerksicherheit

Setzen Sie das NSIP nicht dem Internet aus:

Citrix empfiehlt dringend, dass die Citrix ADC Management IP (NSIP) nicht dem öffentlichen Internet zugänglich ist und hinter einer entsprechenden Stateful-Packet-Inspection (SPI) Firewall bereitgestellt wird.

Ersetzen Sie das Citrix ADC Standard-TLS-Zertifikat:

Bei der Erstkonfiguration einer Citrix ADC Appliance werden Standard-TLS-Zertifikate erstellt. Diese sind nicht für die Verwendung in Produktionsbereitstellungen vorgesehen und sollten ersetzt werden.

Citrix empfiehlt Kunden, die Citrix ADC Appliance so zu konfigurieren, dass Zertifikate von einer seriösen Zertifizierungsstelle (Certificate Authority, CA) oder entsprechende Zertifikate von Ihrer Unternehmenszertifizierungsstelle verwendet werden.

Wenn Sie an einen öffentlichen virtuellen Server gebunden sind, vereinfacht ein gültiges TLS-Zertifikat von einer seriösen Zertifizierungsstelle die Benutzererfahrung für mit dem Internet verbundene Webanwendungen. Benutzerwebbrowser erfordern keine Benutzerinteraktion, wenn eine sichere Kommunikation mit dem Webserver initiiert wird. Informationen zum Ersetzen des standardmäßigen Citrix ADC Zertifikats durch ein vertrauenswürdiges Zertifizierungsstellenzertifikat finden Sie im Knowledge Center-Artikel CTX122521: Ersetzen des Standardzertifikats einer Citrix ADC Appliance durch ein vertrauenswürdiges Zertifizierungsstellenzertifikat, das dem Hostnamen der Appliance entspricht.

Alternativ können benutzerdefinierte TLS-Zertifikate und private Schlüssel erstellt und verwendet werden. Dies kann zwar eine gleichwertige Transportschichtsicherheit bieten, erfordert jedoch die Verteilung der TLS-Zertifikate an Benutzer und erfordert Benutzerinteraktionen, wenn Verbindungen mit dem Webserver initiiert werden. Weitere Informationen zum Erstellen benutzerdefinierter Zertifikate finden Sie im Knowledge Center-Artikel CTX121617:Erstellen und Installieren von selbstsignierten Zertifikaten auf der Citrix ADC Appliance.

Weitere Informationen zur Verwaltung und Konfiguration von TLS-Zertifikaten finden Sie im Abschnitt Citrix ADC TLS-Empfehlungen dieses Handbuchs.

Deaktivieren Sie den HTTP-Zugriff auf die Administratorschnittstelle:

Zum Schutz des Datenverkehrs zur Citrix ADC Verwaltungsschnittstelle und GUI sollte die Citrix ADC-Appliance für die Verwendung von HTTPS konfiguriert sein. Dies kann mit den folgenden Schritten erreicht werden:

  • Erstellen Sie ein privates und öffentliches RSA-Schlüsselpaar mit 2048-Bit oder höher, und verwenden Sie die Schlüssel für HTTPS und SSH, um auf die Citrix ADC IP-Adresse zuzugreifen, wobei das werkseitig bereitgestellte 512-Bit-RSA-Paar für private und öffentliche Schlüssel ersetzt wird.

  • Konfigurieren Sie die Appliance so, dass sie nur starke Verschlüsselungssammlungen verwendet, und ändern Sie die DEFAULT -Reihe von Verschlüsselungssammlungen, um dies auf der Appliance wiederzugeben. Es wird empfohlen, die Liste der genehmigten TLS-Verschlüsselungssammlungen in Abschnitt 3.3 der NIST Special Publication 800-52 (Revision 1) als Leitfaden zu verwenden. Dieses Dokument ist auf der NIST Website unter folgender Adresse zu finden:https://www.nist.gov/publications/guidelines-selection-configuration-and-use-transport-layer-security-tls-implementations?pub_id=915295

  • Konfigurieren Sie die Appliance für die Verwendung der öffentlichen SSH-Authentifizierung für den Zugriff auf die Administratorschnittstelle. Verwenden Sie keine Citrix ADC Standardschlüssel. Erstellen und verwenden Sie Ihr eigenes 2048-Bit-RSA-Paar für private und öffentliche Schlüssel. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX109011:Sichern des SSH-Zugriffs auf die Citrix ADC Appliance mit Public Key-Authentifizierung.

  • Nachdem der Citrix ADC für die Verwendung dieser neuen Zertifikate konfiguriert wurde, kann der HTTP-Zugriff auf die GUI-Verwaltungsschnittstelle mit dem folgenden Befehl deaktiviert werden:

set ns ip <NSIP> -gui SECUREONLY

Weitere Informationen zum Konfigurieren des sicheren Zugriffs auf die Administration GUI finden Sie im Knowledge Center-Artikel CTX111531:Aktivieren des sicheren Zugriffs auf die Citrix ADC GUI mithilfe der SNIP/MIP-Adresse der Appliance.

Zusätzliche Überlegungen zur Netzwerksicherheit

Bei der Bereitstellung Ihrer Citrix ADC Appliances sollten auch die folgenden zusätzlichen Netzwerksicherheitsaspekte berücksichtigt werden:

SSH-Port Weiterleitung deaktivieren:

Die SSH-Port Forwarding ist für die Citrix ADC Appliance nicht erforderlich. Wenn Sie diese Funktionalität nicht verwenden möchten, empfiehlt Citrix, sie mithilfe der folgenden Schritte zu deaktivieren:

  1. Bearbeiten Sie die Datei /etc/sshd_config, indem Sie die folgende Zeile hinzufügen.

    AllowTcpWeiterleitung nein

  2. Speichern Sie die Datei und kopieren Sie sie nach /nsconfig, damit die Änderungen dauerhaft sind, falls Sie während der Tests neu starten.

Beenden Sie den Prozess mithilfe deskill -SIGHUP <sshdpid> Befehls, oder starten Sie das System neu.

Konfigurieren Sie die Citrix ADC Appliance mit hoher Verfügbarkeit:

In Bereitstellungen, in denen ein kontinuierlicher Betrieb erforderlich ist, können die Citrix ADC Appliances in einem Hochverfügbarkeits-Setup bereitgestellt werden. Ein solches Setup ermöglicht den fortgesetzten Betrieb, wenn eine der Appliances nicht mehr funktioniert oder ein Offline-Upgrade erfordert.

Informationen zum Konfigurieren der Hochverfügbarkeits-Setup finden Sie unter Hochverfügbarkeit > Konfigurieren von Hochverfügbarkeit auf der Citrix Dokumente und Einrichten eines Hochverfügbarkeitspaars auf Citrix ADC.

In Bereitstellungen, in denen keine hohe Verfügbarkeit erforderlich ist, sollte diese Funktion deaktiviert werden.

Sichere Kommunikation zwischen Peer-Appliances einrichten:

Wenn Sie Ihre Citrix ADC Appliances in einem Hochverfügbarkeits-, Cluster- oder GSLB-Setup konfiguriert haben, sichern Sie die Kommunikation zwischen den Appliances.

Um die Kommunikation zwischen den Appliances zu sichern, empfiehlt Citrix, das interne Benutzerkonto oder das Kennwort des RPC-Knotens zu ändern. RPC-Knoten sind interne Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden.

Die Citrix ADC Appliance-Funktionen können auch die schlüsselbasierte SSH-Authentifizierung für die interne Kommunikation verwenden, wenn das interne Benutzerkonto deaktiviert ist. In solchen Fällen muss der Schlüsselname als ns_comm_key gesetzt werden. Weitere Informationen finden Sie unter Zugriff auf eine Citrix ADC Appliance mit SSH-Schlüsseln und ohne Kennwort.

Ändern Sie die Standardkennwörter:

Zur Verbesserung der Sicherheit empfiehlt Citrix, die Kennwörter nsroot und das interne Benutzerkonto oder RPC-Knoten zu ändern. Häufiges Ändern der Passwörter ist ratsam.

  • nsroot-Kennwort: Siehensroot-Kennwort ändern.
  • Internes Benutzerkonto oder RPC-Knotenkennwort: SieheÄndern eines RPC-Knotenkennworts.

    Hinweis

    Citrix empfiehlt außerdem, das interne Benutzerkonto zu deaktivieren und stattdessen die schlüsselbasierte Authentifizierung zu verwenden.

Konfigurieren von Netzwerksicherheitsdomänen und VLANs:

Citrix empfiehlt dringend, dass der Netzwerkverkehr zur Verwaltungsschnittstelle der Citrix ADC Appliance physisch oder logisch vom normalen Netzwerkverkehr getrennt wird. Die empfohlene Best Practice besteht darin, drei VLANs zu verwenden:

  • Externe Internet-VLAN
  • Management VLAN
  • Insider-Server-VLAN

Citrix empfiehlt, das Netzwerk so zu konfigurieren, dass der LOM-Port Teil des Verwaltungs-VLAN ist.

Wenn Sie eine Citrix ADC Appliance im Zweiarmmodus bereitstellen, müssen Sie einem bestimmten Netzwerk einen bestimmten Port zuweisen. Wenn VLAN-Tagging und Bindung von zwei Netzwerken an einen Port erforderlich ist, müssen Sie sicherstellen, dass die beiden Netzwerke dieselben oder ähnliche Sicherheitsstufen aufweisen.

Wenn die beiden Netzwerke unterschiedliche Sicherheitsstufen aufweisen, darf die VLAN-Tagging nicht verwendet werden. Stattdessen sollten Sie einen Port für jedes spezifische Netzwerk reservieren und unabhängige VLANs verwenden, die über die Ports der Appliance verteilt sind.

Hinweis: Die Citrix ADC VPX Appliances unterstützen keine markierten VLANs.

Erwägen Sie die Verwendung der Citrix Web App Firewall: Eine lizenzierte Citrix ADC Platinum Edition App-App-Firewall bietet eine integrierte Citrix Web App Firewall, die ein positives Sicherheitsmodell verwendet und automatisch das richtige Anwendungsverhalten für den Schutz vor Bedrohungen wie z. B. Injection, SQL-Injection und Cross-Site Scripting.

Wenn Sie die Citrix Web App Firewall verwenden, können Benutzer der Webanwendung zusätzliche Sicherheit hinzufügen, ohne Codeänderungen und ohne Änderungen in der Konfiguration. Weitere Informationen finden Sie auf der Website der Citrix ADC Citrix Web App Firewall.

Zugriff auf Nicht-Verwaltungsanwendungen einschränken: Führen Sie den folgenden Befehl aus, um den Zugriff von Nicht-Verwaltungsanwendungen auf eine Citrix ADC Appliance zu beschränken.

set ns ip <NSIP> -restrictAccess enabled

Sichere Clusterbereitstellung: Wenn Citrix ADC Clusterknoten außerhalb des Rechenzentrums verteilt werden, empfiehlt Citrix dringend die Verwendung von sicherem RPC für Node to Node Messaging (NNM), AppNnm und die Einrichtung von Hochverfügbarkeit.

Führen Sie den folgenden Befehl aus, um die Secure RPC-Funktion für alle Citrix ADC IP-Adresse in einem Citrix ADC-Cluster und ein Hochverfügbarkeits-Setup zu aktivieren:

set rpcnode <ip> -secure on

Hinweis: Möglicherweise ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie in den Themen Clustering auf der Citrix Docs-Website.

Bei der Bereitstellung in einer L3-Clusterbereitstellung werden Pakete zwischen Citrix ADC Knoten über einen unverschlüsselten GRE-Tunnel ausgetauscht, der die NSIP-Adressen der Quell- und Zielknoten für das Routing verwendet. Wenn dieser Austausch über das Internet erfolgt, werden die NSIPs in Ermangelung eines IPSec-Tunnels im Internet verfügbar gemacht. Dies wird nicht empfohlen, da es nicht den bewährten Sicherheitspraktiken für Citrix ADC entspricht.

Citrix empfiehlt dringend, dass Kunden eine eigene IPSec-Lösung für die Verwendung der Cluster-over-L3-Funktion einrichten.

Wenn die IP-Weiterleitungsfunktion nicht verwendet wird, verwenden Sie den folgenden Befehl, um den L3-Modus zu deaktivieren:

disable ns mode L3

Sichere MEP für den globalen Server Load Balancing (GSLB) verwenden: Um den MEP zwischen Citrix ADC Appliances für GSLB zu verschlüsseln, führen Sie den folgenden Befehl von der NSCLI-Benutzeroberfläche aus:

set rpcNode <GSLB Site IP> -secure yes

Sichern von Pass-Through-Datenverkehr auf der Citrix ADC Appliance mithilfe der Einstellungen für den Infrastrukturmodus

Die Einstellungen für den Citrix Web App Firewall -Infrastrukturmodus können zum Sichern des Pass-Through-Datenverkehrs auf der Citrix ADC Appliance verwendet werden. Diese Einstellungen für den Infrastrukturmodus bieten ein grundlegendes Sicherheitsniveau, ohne Anwendungen zu unterbrechen. In der folgenden Liste werden die verfügbaren Einstellungen für den Infrastrukturmodus zusammengefasst.

  • Sitzungsstatusschutz
  • Sitzungsfixierungsschutz (nur HTTP aktivieren)
  • HSTS (HTTP Strict Transport Security (HSTS) aktivieren)
  • Starke Authentifizierung
  • End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1)
  • Proxy-HTTPS/Alle anderen Datenverkehr verweigern

Sitzungsstatusschutz:

Empfehlung: Aktiviert Citrix ADC: Standardmäßig für die meisten Entitäten aktiviert

Die Sitzungsstatusschutzeinstellung ist standardmäßig aktiviert und erfordert keine spezifische Konfiguration. Wenn die Citrix ADC Appliance so konfiguriert ist, dass eine Verbindung proxyiert wird. Wenn beispielsweise Flow auf einen konfigurierten virtuellen Server oder Dienst vom Typ TCP oder höher trifft, erstellt die Citrix ADC Appliance eine statusbehaftete Sitzung. Die Citrix ADC Appliance behält weiterhin den Status dieser Verbindungen bei, und nur Pakete, die in diesen Statuscomputer fallen, werden verarbeitet. Andere Pakete werden entweder gelöscht oder zurückgesetzt.

Die folgenden Diensttyp-Entitäten erreichen dieses statusbehaftete Verhalten auf einer Citrix ADC Appliance.

  • ADNS_TCP
  • DURCHMESSER, DNS_TCP
  • FTP-C
  • GRE-C
  • HTTP
  • MYSQL, MSSQL
  • NNTP
  • ORAKEL
  • PUSH, PPTP
  • RTSP, RDP
  • SIP_SSL, SIP_TCP
  • SMPP
  • SSL, SSL_BRIDGE, SSL_DIAMETER, SSL_PUSH
  • SSL_TCP, SYSLOG_TCP
  • TCP
  • ADNS_TCP
  • RNAT (rnat_tcpproxy ist AKTIVIERT)

Sitzungsfixierungsschutz (durch Aktivieren des HttpOnly-Fags oder durch Hinzufügen einer Umschreibungsrichtlinie):

Empfehlung: So aktivieren Sie HttpOnly für Cookies, die von der Citrix ADC Appliance oder dem Backend-Server gesetzt werden,
Citrix ADC: Standardmäßig aktiviert für die eingefügten Citrix ADC-Cookies, möglich über Rewrite für Cookies, die vom Backend-Server gesetzt werden.

HttpOnly: Wenn Sie ein Cookie mit dem HttpOnly-Flag markieren, zeigt es dem Browser an, dass auf dieses Cookie nur vom Server zugegriffen werden soll. Jeder Versuch, vom Client-Skript aus auf das Cookie zuzugreifen, ist strengstens verboten. HttpOnly Cookies, wenn sie richtig implementiert sind, machen riesige Klassen von gängigen XSS-Angriffen viel schwieriger abzuziehen.

Der folgende Code ist ein Beispiel für ein Cookie mit dem HttpOnly-Flag gesetzt:

Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly

Die Cookies, die von Citrix ADC für die Cookie-Insert-Persistenz eingefügt werden, setzen standardmäßig das HttpOnly-Flag, um anzuzeigen, dass das Cookie nicht skriptfähig ist und der Clientanwendung nicht offenbart werden sollte. Daher kann ein clientseitiges Skript nicht auf das Cookie zugreifen, und der Client ist nicht anfällig für siteübergreifende Skripterstellung.

So aktivieren Sie die Einstellung HttpOnly über die Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb parameter -HttpOnlyCookieFlag (ENABLED)  

Verwenden der Rewrite-Richtlinie zum Einfügen von Secure und HttpOnly für Cookies:

Die Richtlinie zum Umschreiben fügt Secure und HTTP nur für Cookies ein, die vom Backend-Server gesendet werden.

Hinweis: Sichere und HTTPOnly Cookies können zusammen für SSL-VIPs durchgeführt werden. Für Nicht-SSL-VIPs könnte man einfach das HttpOnly Flag einfügen.

Mit Citrix ADC können nur HTTP und Secure Flags für vom Server festgelegte Cookies enthalten.

  • HttpOnly - Diese Option für ein Cookie bewirkt, dass die Webbrowser das Cookie nur mit dem http (oder https) -Protokoll zurückgeben; die nicht-HTTP-Methoden wie JavaScript-document.cookie Referenzen können nicht auf das Cookie zugreifen. Diese Option hilft dabei, Cookie-Diebstahl aufgrund von websiteübergreifenden Skripten zu verhindern.
  • Sicher - Diese Option auf einem Cookie bewirkt, dass die Webbrowser nur den Cookie-Wert zurückgeben, wenn die Übertragung durch SSL verschlüsselt wird. Diese Option kann verwendet werden, um Cookie-Diebstahl durch Verbindungsabhörung zu verhindern.

So erstellen Sie mithilfe der Befehlszeilenschnittstelle eine Richtlinie zum Umschreiben:

  1. Aktivieren Sie die Funktion Umschreiben, wenn sie noch nicht aktiviert ist.

    enable feature REWRITE
    
  2. Erstellen Sie eine Rewrite-Aktion (in diesem Beispiel wird so konfiguriert, dass sowohl Secure als auch HttpOnly Flags gesetzt werden. Wenn eine der beiden fehlt, ändern Sie sie bei Bedarf für andere Kombinationen).

    add rewrite action <action name> replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    

    Beispiel:

    add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    
  3. Erstellen Sie eine Richtlinie zum Umschreiben, um die Aktion auszulösen.

    add rewrite policy <policy name> "http.RES.HEADER("Set-Cookie").EXISTS" <action name>
    

    Beispiel:

    add rewrite policy rw_force_secure_cookie "http.RES.HEADER("Set-Cookie").EXISTS" act_cookie_Secure
    
  4. Binden Sie die Rewrite-Richtlinie an den zu sichernden vServer (wenn Secure Option verwendet wird, sollte ein SSL-vServer verwendet werden).

    bind lb vserver <vserver name> - <policy name> -priority <priority number> -gotoPriorityExpression NEXT -type RESPONSE
    

    Beispiel:

    bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE
    

    Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX138055.

HSTS (HTTP Strict Transport Security (HSTS) aktivieren):

Empfehlung: Aktivierter Citrix ADC: In der Citrix ADC C-Softwareversion 12.0 kann diese Einstellung mithilfe der CLI aktiviert werden. In Citrix ADC -Softwareversionen 11.1 und früher kann diese Einstellung mithilfe der Richtlinie zum Umschreiben aktiviert werden.

  • In der Citrix ADC C-Software Version 12.0 unterstützen Citrix ADC Appliances HTTP Strict Transport Security (HSTS) als integrierte Option in SSL-Profilen und virtuellen SSL-Servern.

So aktivieren Sie HSTS mithilfe der Citrix ADC Befehlszeile:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl vserver <vServerName> -HSTS ( ENABLED ) maxage <positive_integer> -IncludeSubdomains ( YES | NO)

ODER

add ssl profile <name> -HSTS ( ENABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )

Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für HTTP-strikte Transportsicherheit (HSTS).

  • In Citrix ADC -Softwareversionen 11.1 und früher kann HTTP Strict Transport Security (HSTS) aktiviert werden, indem eine Rewrite-Richtlinie erstellt und sie global oder an den betreffenden vserver gebunden wird.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add rewrite action <action name> insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy <policy name> “true” <action name>

bind lb vserver <vserver name> - <policy name> -priority <priority number> END -type RESPONSE

Beispiel:

add rewrite action insert_STS_header insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy enforce_STS "true” insert_STS_header

bind lb vserver vs1 -policyName enforce_STS -priority 100 -gotoPriorityExpression END -type RESPONSE

Weitere Informationen finden Sie in den folgenden Themen:

https://support.citrix.com/article/CTX205221

https://www.citrix.com/blogs/2010/09/10/strict-transport-security-sts-or-hsts-with-citrix-netscaler-and-access-gateway-enterprise/

Starke Authentifizierung:

Starke Authentifizierung (oder Multifaktor-Authentifizierung — MFA) sollte für den gesamten Zugriff auf vertrauliche Daten, Apps und Administration aktiviert sein.

Weitere Informationen dazu, wie sensible Apps für die Multi-Faktor-Authentifizierung eingerichtet werden können, finden Sie unterMulti-Faktor-Authentifizierung (nFactor).

End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1):

Es wird empfohlen, SSL sowohl im Frontend als auch im Backend zu haben. SSLv3 und TLS v1.0 können auf SSL-Entitäten deaktiviert werden, da Sicherheitslücken gegen diese gemeldet wurden. Sie können nur TLS 1.1 und TLS 1.2 aktiviert haben. Wenn möglich, haben Sie nur TLS 1.2-Version auf dem Client, der VIPs gegenübersteht. Es kann entweder auf der SSL-Entitätenebene oder auf der Profilebene erfolgen und alle SSL-Entitäten erben die SSL-Einstellungen vom Profil.

So deaktivieren Sie SSL-Entitäten mithilfe der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServerName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED

set ssl service <vServiceName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED

Citrix ADC empfohlene Ciphersuites:

Die folgenden Verschlüsselungen werden von Citrix ADC unterstützt, die keine Komponenten in der Liste Pflichtverwerfen enthalten. Diese werden nach Schlüsselaustausch (RSA, DHE und ECDHE) organisiert und dann durch Platzieren der leistungsstärkeren am oberen Rand mit den höheren Sicherheitsfunktionen unten:

Empfehlen Sie RSA Key Exchange Ciphersuites:

  • TLS1-AES-128-CBC-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES-256-SHA256
  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES256-GCM-SHA384

Empfehlen Sie die DHE-Schlüsselaustausch-Verschlüsselungssuiten:

  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384

Empfehlen Sie ECDHE Key Exchange Ciphersuites:

  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

Empfehlen Sie Ciphersuites in der Reihenfolge der Präferenzen:

Die folgende Liste der Chiffre umfasst RSA, DHE und ECDHE Schlüsselaustausch. Es bietet den besten Kompromiss zwischen Sicherheit, Leistung und Kompatibilität.

  1. TLS1.2-AES128-GCM-SHA256
  2. TLS1.2-AES-128-SHA256
  3. TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  4. TLS1.2-ECDHE-RSA-AES-128-SHA256
  5. TLS1-ECDHE-RSA-AES128-SHA
  6. TLS1.2-DHE-RSA-AES128-GCM-SHA256
  7. TLS1.2-DHE-RSA-AES-128-SHA256
  8. TLS1-DHE-RSA-AES-128-CBC-SHA
  9. TLS1-AES-128-CBC-SHA

Proxy-HTTPS/verweigert allen anderen Datenverkehr:

Wo immer möglich, haben SSL-VIPs für eine bessere Verschlüsselung von Daten, indem sichere SSL-Versionen (TLSv1.1 und TLSv1.2) und sichere Verschlüsselungen verwendet werden. Der SSL-TPS- und SSL-Durchsatz sollte berücksichtigt werden, während SSL für die VIPs und Backend-SSL-Dienste aktiviert wird.

Verwaltung und Verwaltung

Dieser Abschnitt enthält Beispiele für spezifische Konfigurationsänderungen, die angewendet werden können, um die Sicherheit der Citrix ADC- und Citrix ADC SDX-Appliances zu erhöhen. Weitere Anleitungen zu Best Practices für die Citrix ADC Konfiguration finden Sie im ArtikelEmpfohlene Einstellungen und Best Practices für eine generische Implementierung einer Citrix ADC Appliance.

System- und Benutzerkonten

Kennwort für das nsroot super Benutzerkonto ändern: Sie können den integrierten nsroot-Superuser nicht löschen. Ändern Sie daher das Standardkennwort für das Konto nsroot in ein sicheres Kennwort. So ändern Sie das Standardkennwort für den Benutzer nsroot:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer den Benutzer nsroot aus.
  5. Wählen Sie Kennwort ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Erstellen eines alternativen Superuser-Kontos:Führen Sie die folgenden Befehle aus, um ein Superuser-Konto zu erstellen:

add system user <newuser> <password>

bind system user <newuser> superuser 0

Verwenden Sie dieses Superuser-Konto anstelle des standardmäßigen nsroot-Superuser-Kontos.

Bei Citrix ADC SDX-Bereitstellungen muss ein Administrator die Standardanmeldeinformationen für die Citrix ADC SDX-Appliance und ihre GUI-Verwaltungskonsole nach der Erstinstallation ändern. So ändern Sie das Kennwort für den Standardbenutzer:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer den Standardbenutzer aus.
  5. Wählen Sie Ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Hinweis: Ab Citrix ADC 11.0 und höher müssen lokale Benutzer und Administratoren starke Kennwörter auswählen. Beispiele für Anforderungen an die Komplexität von Kennwörtern sind wie folgt:

  • Das Kennwort muss mindestens acht Zeichen lang sein.
  • Das Kennwort darf keine Wörterbuchwörter oder eine Kombination von Wörterbuchwörtern enthalten.
  • Das Kennwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Starke Kennwörter können durch Festlegen von zwei Parametern erzwungen werden, einer für die Mindestlänge von Kennwörtern und der andere, um die Kennwortkomplexität zu erzwingen:

set system parameter -localAuth ( ENABLED | DISABLED ) -minpasswordlen <positive_integer> -natPcbForceFlushLimit <positive_integer> -natPcbRstOnTimeout ( ENABLED | DISABLED )
-strongpassword ( ENABLED | DISABLED ) -promptString <string> -rbaOnResponse ( ENABLED | DISABLED ) -timeout <secs>

In Bereitstellungen, in denen mehrere Administratoren erforderlich sind, sollten Sie eine externe Authentifizierungsmethode verwenden, um Benutzer zu authentifizieren, z. B. RADIUS, TACACS+ oder LDAP (S).

Zugriff auf Citrix ADC Using SSH-Keys and No Password: Bei Bereitstellungen, bei denen eine große Anzahl von Citrix ADC Appliances verwaltet werden muss, sollten Sie SSH-Keys und No Password verwenden. Informationen zum Konfigurieren dieses Features finden Sie unterZugriff auf eine Citrix ADC Appliance mit SSH-Schlüsseln und ohne Kennwort.

Erstellen des Systemmasterschlüssels für den Datenschutz: Ab Citrix ADC 11.0 ist es erforderlich, einen Systemmasterschlüssel zu erstellen, um bestimmte Sicherheitsparameter zu schützen, z. B. für die LDAP-Authentifizierung erforderliche Dienstkontenkennwörter und lokal gespeicherte AAA-Benutzerkonten. So erstellen Sie den Systemmasterschlüssel:

  1. Melden Sie sich über die Befehlszeilenschnittstelle als Systemadministrator an.
  2. Geben Sie den folgenden Befehl ein:
create kek <file name>

Hinweis:

  • Nachdem der Befehl create system kek ausgeführt wurde, wird KEK für alle Kennwortverschlüsselungen verwendet.
  • Sie können die KEK-Datei nicht löschen. Wenn Sie Shell-Zugriff haben und die Schlüsselfragmentdateien versehentlich löschen, kann dies zu Konfigurationsverlust, Synchronisierungsfehlern und Anmeldefehlern führen. Im Folgenden sind einige der Punkte zu beachten:

    • Verwenden Sie beim Herabstufen immer eine ältere Konfigurationsdatei, die mit dem zu installierenden Build übereinstimmt. Andernfalls schlägt die Anmeldung, die Quellkonfiguration, die Synchronisierung und das Failover möglicherweise fehl.
    • Wenn eine der Schlüsselfragmentdateien verloren geht oder beschädigt wird, führt die Verschlüsselung/Entschlüsselung sensibler Daten zu einem Fehler, der wiederum zu Konfigurationsverlust, Synchronisierungsfehlern und Anmeldefehlern führen kann.
  • Der Pass Phrase muss mindestens 8 Zeichen lang sein.

Verwenden Sie Zugriffssteuerungslisten:

Standardmäßig sind alle Protokolle und Ports, einschließlich GUI und SSH, auf einer Citrix ADC Appliance zugegriffen werden. Zugriffssteuerungslisten (Access Control Lists, ACLs) können Sie die Appliance sicher verwalten, indem nur explizit angegebene Benutzer auf Ports und Protokolle zugreifen können.

Empfehlungen zur Steuerung des Zugriffs auf die Appliance:

  • Erwägen Sie, Citrix Gateway zu verwenden, um den Zugriff auf die Appliance nur auf die GUI zu beschränken. Für Administratoren, die zusätzlich zur GUI Zugriffsmethoden benötigen, sollte das Citrix Gateway mit einer standardmäßigen DENY -ACL für die Ports 80, 443 und 3010 konfiguriert werden, jedoch mit einem expliziten Allow für vertrauenswürdige IP-Adressen, um auf diese Ports zuzugreifen.

Diese Richtlinie kann für die Verwendung mit einem Bereich vertrauenswürdiger IP-Adressen mit dem folgenden NSCLI-Befehl erweitert werden:

add acl local_access allow -srcip 192.168.0.1-192.168.0.3 -destip 192.168.0.1-192.168.0.3

apply acls
  • Wenn Sie SNMP verwenden, erlauben Sie explizit SNMP-Datenverkehr mit ACL. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
add acl snmp1-ssh ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 161 -protocol udp

add acl snmp2-ssh ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 –destport 161 -protocol udp

apply acls

Im vorangegangenen Beispiel bietet der Befehl Zugriff für alle SNMP-Abfragen auf die beiden definierten Subnetze, auch wenn die Abfragen an die entsprechend definierte Community erfolgen.

Sie können Verwaltungsfunktionen für NSIP-, SNIP- und MIP-Adressen aktivieren. Wenn eine dieser Funktionen aktiviert ist, gewähren Sie Zugriff auf die NSIP-, SNIP- oder MIP-Adressen mit ACLs zum Schutz des Zugriffs auf die Verwaltungsfunktionen. Der Administrator kann die Appliance auch so konfigurieren, dass sie mit dem Befehl ping nicht zugänglich ist.

  • Open Shortest Path First (OSPF) und IPSEC sind kein TCP oder UDP basiertes Protokoll. Wenn die Appliance diese Protokolle unterstützen muss, erlauben Sie daher explizit den Datenverkehr mit diesen Protokollen mithilfe einer ACL. Führen Sie den folgenden Befehl aus, um eine ACL zu definieren, um OSPF und IPSEC nach Protokollnummern anzugeben:
add acl allow_ospf allow -protocolnumber 89

add acl allow_ipsec allow –protocolnumber 50
  • Wenn der XML-API-Webdienst verwendet wird, führen Sie die folgenden Aufgaben aus, um die API-Schnittstelle zu sichern:
  • Geben Sie dem Host die Berechtigung für den Zugriff auf die Schnittstelle mithilfe einer ACL an. Führen Sie beispielsweise die folgenden Befehle aus, um die Hosts im IP-Adressbereich 10.0.0.1-20 und 172.16.0.1-20 für den Zugriff auf die XML-API-Schnittstelle zu aktivieren:
add acl xml-api1 ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

add acl xml-api2 ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

apply acls
  • Geben Sie den sicheren Transport für den XML-API-Webdienst an, indem Sie einen HTTPS-Front-End-Server auf der Appliance mit einer entsprechenden Responder-Richtlinie konfigurieren. Dies gilt für die Appliance, auf der Citrix ADC -Softwareversion 8.0 oder höher ausgeführt wird. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
enable ns feature responder

add responder policy allow_soap 'HTTP.REQ.URL.STARTSWITH("/soap").NOT' RESET

add lb vserver xml-https ssl 192.168.0.4 443

add server localhost 127.0.0.1

add service xml-service localhost HTTP 80

bind lb vserver xml-https xml-service

bind lb vserver xml-https -policyName allow_soap -type REQUEST -priority 1

add ssl certkey xml-certificate -cert testcert.cert -key testcert.key

bind ssl certkey xml-https xml-certificate

Verwenden Sie rollenbasierte Zugriffssteuerung für Administratorbenutzer:

Die Citrix ADC Appliance umfasst vier Befehlsrichtlinien oder Rollen, z. B. Operator, schreibgeschützt, Netzwerk und Superuser. Darüber hinaus können Sie Befehlsrichtlinien definieren, unterschiedliche Verwaltungskonten für verschiedene Rollen erstellen und den Konten die für die Rolle erforderlichen Befehlsrichtlinien zuweisen. Im Folgenden finden Sie eine Reihe von Beispielbefehlen, um den schreibgeschützten Zugriff auf den schreibgeschützten Benutzer zu beschränken:

add system user readonlyuser

bind system user readonlyuser read-only 0

Weitere Informationen zum Konfigurieren von Benutzern, Benutzergruppen oder Befehlsrichtlinien finden Sie in den Citrix Docs:

Systemsitzungstimeout konfigurieren:

Ein Sitzungszeitüberschreitungsintervall wird bereitgestellt, um die Zeitdauer zu beschränken, für die eine Sitzung (GUI, CLI oder API) aktiv bleibt, wenn sie nicht verwendet wird. Für die Citrix ADC Appliance kann das Systemsitzungszeitlimit auf den folgenden Ebenen konfiguriert werden:

  • Zeitüberschreitung auf Benutzerebene. Anwendbar für den spezifischen Benutzer.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Benutzer , wählen Sie einen Benutzer aus und bearbeiten Sie die Zeitüberschreitungseinstellung des Benutzers. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system user <name> -timeout <secs>
  • Zeitüberschreitung auf Benutzergruppenebene. Gilt für alle Benutzer in der Gruppe.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Gruppen , wählen Sie eine Gruppe aus und bearbeiten Sie die Zeitüberschreitungseinstellung der Gruppe. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system group <groupName> -timeout <secs>
  • Globales System-Timeout. Gilt für alle Benutzer und Benutzer aus Gruppen, die kein Timeout konfiguriert haben.

GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen, und legen Sie den Parameter ANYE Client Idle Timeout (secs) fest. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system parameter -timeout <secs>

Der für einen Benutzer angegebene Zeitüberschreitungswert hat die höchste Priorität. Wenn das Timeout für den Benutzer nicht konfiguriert ist, wird das für eine Mitgliedsgruppe konfigurierte Timeout berücksichtigt. Wenn für eine Gruppe kein Timeout angegeben wird (oder der Benutzer nicht zu einer Gruppe gehört), wird der global konfigurierte Timeout-Wert berücksichtigt. Wenn das Timeout auf keiner Ebene konfiguriert ist, wird der Standardwert von 900 Sekunden als Systemsitzungstimeout festgelegt.

Sie können den Zeitüberschreitungswert auch einschränken, sodass der Sitzungstimeoutwert nicht über den vom Administrator konfigurierten Zeitüberschreitungswert hinaus konfiguriert werden kann. Sie können den Zeitüberschreitungswert zwischen 5 Minuten und 1 Tag einschränken. So beschränken Sie den Timeout-Wert:

  • GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen , und wählen Sie das Feld Eingeschränkte Zeitüberschreitung aus.
  • CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
set system parameter -restrictedtimeout <ENABLED/DISABLED>

Wenn der Benutzer den Parameter RestrictedTimeout aktiviert hat, wird der Benutzer benachrichtigt, den Timeout-Wert bereits auf einen Wert größer als 1 Tag oder weniger als 5 Minuten konfiguriert. Wenn der Benutzer den Timeout-Wert nicht ändert, wird der Timeout-Wert standardmäßig auf 900 Sekunden (15 Minuten) während des nächsten Neustarts neu konfiguriert.

Darüber hinaus können Sie Zeitüberschreitungsdauer für jede der Schnittstellen angeben, auf die Sie zugreifen. Der für eine bestimmte Schnittstelle angegebene Zeitüberschreitungswert ist jedoch auf den Zeitüberschreitungswert beschränkt, der für den Benutzer konfiguriert ist, der auf die Schnittstelle zugreift. Angenommen, ein Benutzer publicadmin hat einen Timeout-Wert von 20 Minuten. Beim Zugriff auf eine Schnittstelle muss der Benutzer nun einen Timeout-Wert angeben, der innerhalb von 20 Minuten liegt.

So konfigurieren Sie die Zeitüberschreitungsdauer an jeder Schnittstelle:

  • CLI: Geben Sie den Timeout-Wert an der Eingabeaufforderung mit dem folgenden Befehl an:
set cli mode -timeout <secs>
  • API: Geben Sie den Timeout-Wert in der Login-Nutzlast an.

Protokollierung und Überwachung

NTP konfigurieren

Citrix empfiehlt, dass NTP (Network Time Protocol) auf der Appliance aktiviert und für die Verwendung eines vertrauenswürdigen Netzwerkzeitservers konfiguriert ist. Dadurch wird sichergestellt, dass die für die Protokolleinträge und Systemereignisse aufgezeichneten Zeiten genau und mit anderen Netzwerkressourcen synchronisiert sind.

Bei der Konfiguration von NTP muss die Datei ntp.conf geändert werden, um zu verhindern, dass der NTP-Server die Informationen in vertraulichen Paketen offenlegt.

Sie können die folgenden Befehle ausführen, um NTP auf der Appliance zu konfigurieren:

add ntp server <IP_address> 10

enable ntp sync

Ändern Sie die Datei ntp.conf für jeden vertrauenswürdigen NTP-Server, den Sie hinzufügen. Für jeden Servereintrag sollte ein entsprechender Einschränkungseintrag vorhanden sein. Sie können die Datei ntp.conf finden, indem Sie die Datei find. —name ntp.conf von der Shell-Eingabeaufforderung der Appliance aus.

SNMP konfigurieren

Die Citrix ADC Appliance unterstützt Version 3 des SNMP-Protokolls. SNMPv3 umfasst Verwaltungs- und Sicherheitsfunktionen wie Authentifizierung, Zugriffssteuerung und Datenintegritätsprüfungen. Weitere Informationen finden Sie unter System > SNMP-Themen zu Citrix Docs.

Beachten Sie, dass die Appliance SNMP-Abfragen von allen IP-Adressen im Netzwerk akzeptiert und darauf reagiert, wenn Sie nicht mindestens einen SNMP-Manager konfigurieren. Führen Sie den folgenden Befehl aus, um einen SNMP-Manager hinzuzufügen und dieses Verhalten zu beschränken:

add snmp manager <IP_address>

In Bereitstellungen, bei denen SNMP nicht erforderlich ist, sollte die Funktionalität mit dem folgenden Befehl deaktiviert werden:

set ns ip <IP_Address> -snmp disabled

Konfigurieren der Protokollierung auf externen Citrix ADC Protokollhost

Der Citrix ADC Audit Server protokolliert alle Status- und Statusinformationen, die von verschiedenen Modulen gesammelt werden, sowohl im Kernel als auch in den Daemons auf Benutzerebene. Der Überwachungsserver ermöglicht es einem Administrator, auf die Ereignishistorie in chronologischer Reihenfolge zu verweisen. Der Überwachungsserver ähnelt dem SYSLOG-Server, der Protokolle von der Appliance sammelt. Der Überwachungsserver verwendet die nsroot-Anmeldeinformationen, um Protokolle von den Appliances abzurufen.

  • Konfiguration des lokalen Überwachungsservers

Führen Sie den folgenden Befehl aus, um die Protokollierung beim lokalen Überwachungsserver in der Citrix ADC Appliance zu konfigurieren:

set audit nslogparams –serverip <hostname> -serverport <port>

  • Konfiguration des Remote-Überwachungsservers

Um die Protokollierung beim Überwachungsserver auf einem Remotecomputer zu konfigurieren, installieren Sie den Überwachungsserver auf diesem Computer. Im Folgenden finden Sie Beispiele für Audit-Server-Optionen:

./audserver -help
usage : audserver -[cmds] [cmd arguments]
cmds cmd arguments: -f <filename> -d debug
-help - detail help
-start - cmd arguements,[starts audit server]
-stop - stop audit server
-verify - cmd arguments [verifies config file]
-addns - cmd arguments [add a netscaler to conf file]
-version - prints the version info

Beachten Sie, dass dies nur Funktionen zur Protokollierung von Überwachungsnachrichten bietet, die von der ns.log-Datei der Appliance generiert werden. So protokollieren Sie alle Syslog-Nachrichten:

  1. Entfernen Sie die Protokolldatei-Spezifikationen aus der Datei /nsconfig/syslog.conf für die lokalen Einrichtungen.
  2. Ersetzen Sie die Protokolldatei-Spezifikationen durch den Protokollhostnamen oder die IP-Adresse des entfernten Syslog-Hosts, ähnlich den folgenden Einträgen:

    local0.* @10.100.3.53

    local1.* @10.100.3.53

  3. Konfigurieren Sie den Syslog-Server so, dass er Protokolleinträge aus den obigen Protokollierungseinrichtungen akzeptiert. Informationen zur Vorgehensweise finden Sie in der Dokumentation zu syslog-Servern.
  4. Bei den meisten UNIX-basierten Servern, die die standardmäßige Syslog-Software verwenden, müssen Sie der Konfigurationsdatei syslog.conf einen lokalen Einrichtungseintrag für die Meldungen und nsvpn.log-Dateien hinzufügen. Die Anlagenwerte müssen denjenigen entsprechen, die auf der Appliance konfiguriert sind.
  5. Der Remote-Syslog-Server in einem UNIX-basierten Computer hört standardmäßig nicht auf Remoteprotokolle ab. Führen Sie daher den folgenden Befehl aus, um den Remote-Syslog-Server zu starten:
syslogd -m 0 –r

Hinweis: BeachtenSie die entsprechenden Optionen der Syslog-Variante, die auf dem Überwachungsserver bereitgestellt wird.

LOM-Konfiguration

Citrix empfiehlt dringend, die folgenden Maßnahmen zum Sichern der LOM-Schnittstelle zu ergreifen:

  • Stellen Sie den LOM-Port nicht dem Internet zur Verfügung.
  • Stellen Sie die LOM hinter einer SPI-Firewall bereit.
  • Stellen Sie die LOM in einem Netzwerksegment bereit, das entweder logisch (separates VLAN) oder physisch (separates LAN) vom nicht vertrauenswürdigen Netzwerkverkehr getrennt ist.
  • Legen Sie unterschiedliche Werte für Benutzername, Kennwort, SSL-Zertifikat und SSL-Schlüssel für das LOM und die Citrix ADC Verwaltungsports fest.
  • Stellen Sie sicher, dass Geräte, die für den Zugriff auf die LOM-Verwaltungsschnittstelle verwendet werden, ausschließlich einem Netzwerkverwaltungszweck gewidmet sind und sich in einem Verwaltungsnetzwerksegment befinden, das sich im selben physischen LAN oder VLAN wie andere Management-Geräteports befindet.
  • Um LOM-IP-Adressen einfach zu identifizieren und zu isolieren, reservieren Sie spezielle IP-Adressen (private Subnetze) für LOM-Verwaltungsschnittstellen und Verwaltungsserver. Verwenden Sie keine reservierten IP-Subnetze mit LAN-Schnittstellen der verwalteten Appliances. Dynamische IP-Adressen, die von DHCP zugewiesen werden, werden nicht empfohlen, da sie die Implementierung von Firewall-Zugriffssteuerungslisten auf Basis einer MAC-Adresse außerhalb des LAN-Segments erschweren.
  • Legen Sie das Kennwort für mindestens 8 Zeichen mit einer Kombination aus alphanumerischen und Sonderzeichen fest. Ändern Sie das Kennwort häufig.

Anwendungen und Dienstleistungen

Konfigurieren von Citrix ADC zum Löschen ungültiger HTTP-Anforderungen

Citrix empfiehlt dringend, dass die Citrix ADC Appliance mit strikter Prüfung und Durchsetzung von HTTP-Anforderungen konfiguriert wird, um zu verhindern, dass ungültige HTTP-Anforderungen durch virtuelle Server weitergeleitet werden. Dies kann getan werden, indem ein eingebautes HTTP-Profil nshttp_default_strict_validationmit dem folgenden Befehl auf der NSCLI an die virtuellen Server gebunden wird:

show ns httpProfile (Shows the available http profile (default+user configured profiles))

set lb vserver <vserver name> -httpProfileName nshttp_default_strict_validation

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren des Schutzes gegen HTTP-Denial-of-Service-Angriffe

Die Citrix ADC Appliance-Firmware unterstützt begrenzte Gegenmaßnahmen gegen HTTP-Denial-of-Service-Angriffe, einschließlich Angriffe vom Typ langsam lesen. Sie können diese Funktionen konfigurieren, indem Sie das Dienstprogramm nsapimgr von der Shell-Eingabeaufforderung der Appliance aus verwenden:

  • small_window_threshold (default=1)
  • small_window_idle_timeout (Standardwert = 7 Sek.)
  • small_window_cleanthresh (default=100)
  • small_window_protection (Default=aktiviert)

Die Standardeinstellungen sind ausreichend, um HTTP-Denial-of-Service-Angriffe zu verhindern, einschließlich langsamem Lesevorgang. Für andere Angriffe kann jedoch eine gewisse Optimierung der Parameter erforderlich sein.

Zum Schutz vor solchen Angriffen passen Sie die Eigenschaft small_window_threshold nach oben an, indem Sie den folgenden Befehl nsapimgr von der Shell-Eingabeaufforderung der Appliance verwenden:

$ nsapimgr –ys small_window_threshold=<desired value>

Sie können den Schutz gegen HTTP-Denial-of-Service-Angriffe überprüfen, indem Sie die folgenden Leistungsindikatoren mit dem Befehl nsconmsg —d stats von der Shell-Eingabeaufforderung der Appliance überwachen:

  • nstcp_cur_zero_win_pcbs: Dieser Zähler verfolgt die Anzahl der Leiterplatten, die derzeit einen niedrigen Fensterwert aufweisen.
  • nstcp_err_conndrop_at_pass: Dieser Leistungsindikator wird erhöht, wenn die Appliance erkennt, dass er während der Übergabe von Paketen von einer Seite zur anderen den Wert nscfg_small_window_idletimeout überschritten hat.
  • nstcp_err_conndrop_at_retx: Dieser Zähler wird erhöht, wenn die Zeit, die während der Weiterübertragung verfällt, den Wert nscfg_small_window_idletimeout überschreitet.
  • NSTCP_Cur_PCBS_Probed_WithKA: Dieser Leistungsindikator verfolgt die Anzahl der Leiterplatten in der Überspannungswarteschlange, die mit einem Knowledge-Prüfpunkt untersucht werden.

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren Sie Citrix ADC zur Verteidigung gegen TCP-Spoofing-Angriffe

Die folgenden Befehle können verwendet werden, um Back-End-Server vor TCP-Spoofing-Angriffen zu schützen:

set ns tcpProfile profile1 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED

Done

set lb vserver lbvserver1 -tcpProfileName profile1

Done

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren von Citrix ADC für die Annahme bestimmter HTTP-Header

Es ist möglich, Citrix ADC so zu konfigurieren, dass nur bestimmte HTTP-Header akzeptiert werden. Dies kann erreicht werden, indem eine Rewrite-Aktion hinzugefügt wird, um den Netzwerkverkehr mit bestimmten definierten HTTP-Headern zu beschränken, die an den Back-End-Server übergeben werden.

Die folgende globale Umschreibaktion sendet nur Netzwerkverkehr mit Headern wie Host, Accept und Test an den Server:

add rewrite action act1 replace_all q/HTTP.REQ.FULL_HEADER.after_str("\r\n")/     q{TARGET.REGEX_SELECT(re/(iu)^(Host|Accept|test):.*\r\n/) ALT ""} -pattern q{re/(U).+:.+r\n/}

add rewrite policy pol1 HTTP.REQ.IS_VALID act1

bind rewrite global pol1 100

Hinweis: Diese Befehle werden nur in Citrix ADC Version 10.5 und höher unterstützt.

Konfigurieren von Close-Notify

Eine Close-Notify ist eine sichere Nachricht, die das Ende der SSL-Datenübertragung anzeigt. In Übereinstimmung mit RFC 5246: Der Client und der Server müssen das Wissen teilen, dass die Verbindung beendet wird, um einen Abkürzungsangriff zu vermeiden. Jede Partei kann den Austausch von Abschlussnachrichten einleiten. Jede Partei kann eine Schließung initiieren, indem sie eine close_notify Alert sendet. Alle Daten, die nach einer Schließwarnung empfangen werden, werden ignoriert. Wenn keine andere schwerwiegende Warnung übertragen wurde, muss jede Partei eine close_notify Warnung senden, bevor die Schreibseite der Verbindung geschlossen wird. Um sicherzustellen, dass Überwachungsereignisse für TLS-Beendigungsereignisse erfasst werden, melden Sie sich an der CLI als Superuser oder sysadmin an und führen Sie die folgenden Befehle aus:

set ssl parameter -sendCloseNotify y

save ns config

DNSSec-Sicherheitsempfehlungen

Citrix empfiehlt, dass die folgenden Empfehlungen für Kunden angewendet werden, die DNSSec verwenden:

Verwenden Sie RSA 1024 Bit oder höher für private KSK/ZSK-Schlüssel

NIST empfiehlt, dass DNS-Administratoren 1024-Bit-RSA/SHA-1 und/oder RSA/SHA-256 ZSKs bis zum 01. Oktober 2015 pflegen.

SNMP-Alarm für DNSSEC-Schlüsselablauf aktivieren

Standardmäßig ist der SNMP-Alarm für den Ablauf des DNSSEC-Schlüssels auf einer Citrix ADC Appliance aktiviert. Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens DNSKeyExpiry gesendet. Die drei MIB-Variablen DNSKeyName, DNSKeyTimeToExpire und DNSKeyUnitsOfExpiry werden zusammen mit dem SNMP-Trap DNSKeyExpiry gesendet. Weitere Informationen finden Sie in der Citrix ADC SNMP OID-Referenz.

Übersetzen von privaten KSK/ZSK-Schlüsseln vor Ablauf der x.509-Zertifikate

Auf einer Citrix ADC Appliance können Sie die Vorveröffentlichungs- und Doppelsignaturmethoden verwenden, um ein Rollover des Zonensignaturschlüssels und des Schlüsselsignaturschlüssels durchzuführen. Weitere Informationen finden Sie unter Domain Name System > Konfigurieren von DNSSEC in Citrix Docs.

Sicherer DNSsec-ADNS-Server

Wenn die Appliance im DNSSEC-Proxymodus konfiguriert ist, speichert sie die Antworten vom Back-End-ADNS-Server und leitet die zwischengespeicherten Antworten an die DNS-Clients weiter.

Wenn Citrix ADC für eine bestimmte Zone autorisierend ist, werden alle Ressourceneinträge in der Zone auf dem Citrix ADC konfiguriert. Um die autorisierende Zone zu signieren, müssen Sie Schlüssel (den Zonensignaturschlüssel und den Schlüsselsignaturschlüssel) für die Zone erstellen, die Schlüssel zum ADC hinzufügen und dann die Zone signieren.

So konfigurieren Sie Citrix ADC als autorisierenden Server:

  1. Fügen Sie einen ADNS-Dienst hinzu.

    Zum Beispiel:

    add service s1 <ip address> adns 53`
    
  2. Erstellen Sie DNS-Schlüssel.

    Um beispielsweise als autorisierender Server für die Domäne com zu fungieren:

    create dns key -zoneName com -keytype ksK -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.ksk.rsasha1.3000
    
    create dns key -zoneName com -keytype zsk -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.zsk.rsasha1.3000
    

    Hinweis: Sie müssen die DNS-Schlüssel einmal erstellen und sie werden in /nsconfig/dns. gespeichert.

  3. DNS-Schlüssel hinzufügen.

    Beispiel:

    add dns key com.zsk.3000 /nsconfig/dns/com.zsk.rsasha1.3000.key /nsconfig/dns/com.zsk.rsasha1.3000.private
            add dns key com.ksk.3000 /nsconfig/dns/com.ksk.rsasha1.3000.key /nsconfig/dns/com.ksk.rsasha1.3000.private
    
  4. Fügen Sie NS- und SOA-Einträge für die com -Zone hinzu und signieren Sie dann die Zone.

    add dns soaRec com -originServer n1.com -contact citrix
    add dns nsrec com n1.com
    add dns zone com -proxyMode no
    add dns addRec n1.com 1.1.1.1

    sign dns zone com

Hinweis: Darüber hinaus müssen Sie auch den DNSEC-Erweiterungsparameter in globalen DNS-Parametern aktivieren.

Weitere Informationen zum Konfigurieren des Citrix ADC als autorisierenden Domänennamenserver finden Sie unter Domain Name System > Konfigurieren des Citrix ADC als ADNS-Server in Citrix Docs.

Legacy-Konfiguration

Konfigurieren von Citrix ADC zum Deaktivieren der SSLv2-Umleitung

Wenn Sie die SSL v2-Umleitungsfunktion auf einer Citrix ADC Appliance aktivieren, führt die Appliance den SSL-Handshake durch und leitet den Client an die konfigurierte URL um. Wenn diese Funktion deaktiviert ist, verweigert die Appliance die Ausführung des SSL-Handshake-Prozesses mit SSL v2-Clients.

Führen Sie den folgenden Befehl aus, um die SSLv2-Umleitung zu deaktivieren:

set ssl vserver <vserver_name> -sslv2redirect DISABLED -cipherredirect DISABLED

Hinweis: Ab der Citrix ADC -Softwareversion 9.2 sind SSLv2-Umleitungs- und Verschlüsselungsumleitungsfunktionen standardmäßig deaktiviert.

Konfigurieren von Citrix ADC Version 10.0 und früher für die Verwendung sicherer SSL-Neuverhandlungen

Führen Sie den folgenden Befehl aus, um Citrix ADC so zu konfigurieren, dass nicht sichere SSL-Neuverhandlungen für Citrix ADC Softwareversion 9.3e oder 10.0 verhindert werden:

set ssl parameter -denySSLReneg NONSECURE

Führen Sie für frühere Versionen der Citrix ADC -Software den folgenden Befehl aus, um die SSL-Neuverhandlung zu deaktivieren:

set ssl parameter -denySSLReneg ALL

Der folgende Befehl erlaubt Neuverhandlungen nur für sichere Clients und Server:

set ssl parameter -denySSLReneg NONSECURE

Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123680,Konfigurieren und Verwenden des -DenysSLReneg-Parameters.

Kryptografieempfehlungen für Citrix ADC

In diesem Abschnitt werden einige wichtige Schritte beschrieben, die befolgt werden sollten, um sicherzustellen, dass kryptografisches Material ordnungsgemäß auf der Citrix ADC Appliance gesichert ist. Außerdem erhalten Sie Informationen darüber, wie Sie Appliances so konfigurieren, dass dieses Material verwendet wird, um sowohl die Appliance selbst als auch die Backend-Server und Endbenutzer zu schützen.

Verwalten von TLS-Zertifikaten und -Schlüsseln

Konfigurieren von TLS-Verschlüsselungssammlungen für NDPP-Bereitstellungen

Eine Liste der TLS-Verschlüsselungssammlungen, die für NDPP-Bereitstellungen unterstützt werden, finden Sie unterhttps://www.citrix.com/content/dam/citrix/en_us/documents/downloads/netscaler-adc/Common-criteria-documents-for-NetScaler-10.5.zip

Um sicherzustellen, dass nur die genehmigten Verschlüsselungssammlungen auf der Appliance konfiguriert sind, führen Sie die folgenden Konfigurationsschritte über die CLI aus:

  1. Bindung aller Chiffre vom virtuellen Server aufheben

    unbind ssl vs v1 –cipherName FIPS
    
  2. Binden Sie nur TLS1-AES-256-CBC-SHA und dann TLS1-AES-128-CBC-SHA mit dem Befehl:

    bind ssl vs v1 –cipherName <cipher>
    
    bind ssl vs v1 -cipherName TLS1-AES-256-CBC-SHA
    

Importieren eines vertrauenswürdigen Stammzertifikats:

  1. Übertragen Sie mithilfe eines Dienstprogramms für die sichere Dateiübertragung, wie scp oder WinSCP, das Zertifikat des Serverausstellers (root) in das Verzeichnis /nsconfig/ssl der Citrix ADC Appliance.

Hinweis: Sie müssen sich über SCP oder WinSCP als Superuser authentifizieren, um diesen Schritt abzuschließen.

  1. Melden Sie sich bei der Citrix ADC Appliance als Systemadministrator oder Superuser an, und geben Sie den folgenden Befehl ein:
add ssl certkey <Certificate_Name> –cert <Cert_File_Name>

Hinweis: Installieren Sie nur Stammzertifizierungsstellenzertifikate von Zertifizierungsstellen, die bekanntermaßen vertrauenswürdig sind. Sie müssen alle anderen Zertifikate entfernen.

Importieren eines PKCS #12 (.PFX) -Zertifikats und einer Schlüsseldatei:

Ausführliche Informationen zum Importieren von Zertifikaten und Schlüsseldateien in die Citrix ADC Appliance finden Sie unter SSL-Offload and Acceleration > Importieren vorhandener Zertifikate und Schlüssel in Citrix Docs.

  1. Übertragen Sie die PFX-Datei in das Verzeichnis /nsconfig/ssl, wie in Schritt 1 im vorherigen Abschnitt erwähnt.

  2. Authentifizieren Sie sich bei der Citrix ADC Appliance über die CLI als Sysadmin oder Superuser und führen Sie den folgenden Befehl aus:

    convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
    
  3. Fügen Sie das Zertifikat der Citrix ADC Appliance wie folgt hinzu:

    add ssl certkey Clent-Cert-1 –cert Cert-Client-1
    
  4. Speichern Sie die aktuelle Konfiguration.

    save ns config
    

Hinweis: Ab Citrix ADC 11.0 wird die PKCS #12 (.PFX) -Datei automatisch in PEM konvertiert und alle Zertifikate werden automatisch hinzugefügt und mit der Zertifizierungsstelle verknüpft.

Installieren von Zertifikaten und Schlüsselpaaren mit einer vertrauenswürdigen Zertifizierungsstelle:

Um ein Zertifikat von einer öffentlichen oder Unternehmenszertifizierungsstelle (CA) zu erhalten, müssen Sie zunächst einen privaten Schlüssel und eine Zertifikatsignieranforderung (CSR) generieren. Dies geschieht wie folgt:

  1. Authentifizieren Sie sich bei der Citrix ADC CLI als Sysadmin oder Superuser.

  2. Erstellen Sie einen privaten RSA-Schlüssel.

    create fipsKey m1 -modulus 2048
    
  3. Erstellen Sie die Zertifikatsignieranforderung (CSR):

    create certreq csr_1 -fipsKeyName m1 -countryName IN -stateName BA -organizationName citrix
    
  4. Senden Sie die CSR an die Zertifizierungsstelle.

Für die meisten kommerziellen und Unternehmens-Zertifizierungsstellen erfolgt dies in der Regel in einer E-Mail-Anfrage. Die Methode der Übermittlung kann jedoch in Unternehmens-Zertifizierungsstellenumgebungen unterschiedlich sein. Die Zertifizierungsstelle gibt ein gültiges Zertifikat per E-Mail zurück, aber auch dies kann je nach Unternehmenszertifizierungsstellen variieren. Nachdem Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, kopieren Sie es sicher in das Verzeichnis /nsconfig/ssl.

Melden Sie sich als Superuser oder sysadmin an und führen Sie den folgenden Befehl von der CLI aus:

add ssl certKey ck_1 -cert cert1_1 -fipsKey m1

Citrix ADC-FIPS-Empfehlungen

Konfigurieren von Citrix ADC SDX in einer FIPS-basierten Bereitstellung

Wenn Sie ein vorhandener FIPS-Kunde sind und eine Citrix ADC SDX-Appliance für echte Multimandanten verwenden, verwenden Sie die FIPS-zertifizierte Citrix ADC MPX-Appliance, um TLS zu beenden und den Datenverkehr an die Citrix ADC SDX-Appliance weiterzuleiten. Alternativ ist es möglich, ein Thales externes HSM zu verwenden. Ändern Sie die Kennwörter der FIPS-Kryptokarte Wenn Sie eine FIPS-zertifizierte Version von Citrix ADC mit einem Hardwaresicherheitsmodul (HSM) verwenden, ändern Sie den Standard-Sicherheitsbeauftragten (SO) und legen Sie ein neues Benutzerkennwort fest, wie unten dargestellt. Wenn Sie das standardmäßige SO-Kennwort einer FIPS-fähigen Citrix ADC Appliance nicht kennen, wenden Sie sich an den technischen Support von Citrix. Hinweis: Nur ein Superuser oder Sysadmin kann diese Aufgabe ausführen.

set ssl fips -initHSM Level-2 <soPassword> <oldSoPassword> <user-Password> [-hsmLabel <string>]

save configuration

initHSM

FIPS-Initialisierungsstufe. Die Appliance unterstützt derzeit Level-2 (FIPS 140-2). Dies ist ein obligatorisches Argument. Mögliche Werte: Level-2

HSMLabel

Beschriftung zur Identifizierung des Hardwaresicherheitsmoduls (HSM).

Maximale Länge: 31

Hinweis: Alle Daten auf der FIPS-Karte werden mit dem obigen Befehl gelöscht.

Speichern des HSM-Kennworts an einem sicheren Ort

Das Kennwort zum HSM sollte gemäß den Betriebsverfahren Ihres Unternehmens an einem sicheren Ort gespeichert werden.

Hinweis: Der HSM ist nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Wenn sie gesperrt ist, wird sie nicht betriebsbereit, und Sie können ihre Konfiguration nicht ändern.

Zusätzliche Funktionen: Citrix Web App Firewall und Citrix Gateway

Dieser Abschnitt enthält Beispiele für Konfigurationsänderungen, die sowohl auf die Citrix Web App Firewall als auch auf Citrix Gateway angewendet werden können, um die Sicherheit der bereitgestellten Appliances zu verbessern. Dieser Abschnitt enthält auch Informationen zum Erstellen mehrerer Ebenen oder Sicherheitsstufen.

Sicherheitsempfehlungen für Citrix Web App Firewall

Bereitstellen der Appliance im Zweiarm-Modus

Bei einer Installation mit zwei Armen befindet sich die Appliance physisch zwischen den Benutzern und den von der Appliance geschützten Webservern. Verbindungen müssen durch die Appliance geführt werden. Diese Anordnung minimiert die Chancen, eine Route um die Appliance herum zu finden.

Verwenden einer Richtlinie zur Standardverweigerung

Citrix empfiehlt Administratoren, die Citrix Web App Firewall mit einer Richtlinie Alle verweigern auf globaler Ebene zu konfigurieren, um alle Anforderungen zu blockieren, die nicht mit einer Citrix Web App Firewall-Richtlinie übereinstimmen. Im Folgenden finden Sie eine Beispielgruppe von Befehlen zum Konfigurieren einer Richtlinie Alle verweigern auf globaler Ebene:

add appfw profile default_deny_profile –defaults advanced

add appfw policy default_deny_policy NS_TRUE default_deny_profile

bind appfw global default_deny_policy <PRIORITY>

Hinweis: Die Einstellung PRIORITÄT sollte sicherstellen, dass die Standardrichtlinie zuletzt ausgewertet wird (nur wenn die Anforderung nicht mit anderen konfigurierten Richtlinien übereinstimmt).

Citrix ADC -Softwareversion 9.2 enthält Standardprofile, wie appfw_block, die bei konfigurierten Blockanforderungen, die nicht mit den Citrix Web App Firewall Richtlinien übereinstimmen. Führen Sie den folgenden Befehl aus, um das Standardprofil festzulegen:

set appfw settings -defaultProfile appfw_block

Citrix Web App Firewall — Erstellen mehrerer Sicherheitsstufen

Die folgenden Richtlinien helfen Ihnen, mehrere Sicherheitsstufen zu erstellen, abhängig von Ihrer Umgebung und den unterstützten Anwendungen.

Erste Sicherheitsebene

Führen Sie die folgenden Schritte aus, um die erste Sicherheitsebene zu erstellen:

  • Aktivieren Sie Pufferüberlauf, SQL-Injection und siteübergreifendes Skripting.
  • Start-URL wird benötigt, wenn die Anwendung sehr spezifisch ist, auf welche URLs zugegriffen werden müssen und vor erzwungendem Surfen geschützt werden müssen.
  • Feldformat aktivieren Überprüft, ob Ihre Anwendung Eingaben in einem Formularfeld erwartet.

Die XSS-Prüfung kann falsche Positive generieren, da viele Unternehmen eine große installierte Basis von JavaScript-verbesserten Webinhalten haben, die gegen dieselbe Ursprungsregel verstößt. Wenn Sie die HTML Cross-Site Scripting Prüfung auf einer solchen Website aktivieren, müssen Sie die entsprechenden Ausnahmen generieren, damit die Prüfung legitime Aktivitäten nicht blockiert.

Es wird empfohlen, die erste Stufe auszurollen, nach Fehlalarme zu suchen, die Ausnahmen bereitzustellen und dann zur nächsten Ebene zu wechseln. Eine stufige Implementierung hilft bei der Verwaltung der AppFW-Bereitstellung.

Zweite Sicherheitsebene

Gehen Sie folgendermaßen vor, um die zweite Sicherheitsebene zu erstellen:

Aktivieren Sie Signaturen für das Profil zusätzlich zu Pufferüberlauf, SQL-Injection und siteübergreifendes Scripting. Es gibt 1300 + Unterschriften. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung gelten, anstatt alle Signaturregeln zu aktivieren.

Es wird empfohlen, die zweite Ebene einzusetzen, nach Fehlalarme zu suchen, die Ausnahmen bereitzustellen und dann zur nächsten Ebene zu wechseln. Eine stufige Implementierung hilft bei der Verwaltung der Citrix Web App Firewall Bereitstellung.

Dritte Sicherheitsebene

Gehen Sie folgendermaßen vor, um die dritte Sicherheitsebene zu erstellen:

  • Aktivieren Sie basierend auf den Anwendungsanforderungen erweiterte Profilsicherheitsprüfungen wie CSRF-Tagging, Cookie-Konsistenz. Formularfeldkonsistenz für Teile von Anwendungen, die es benötigen.
  • Erweiterte Sicherheitsprüfungen erfordern mehr Verarbeitung und können sich auf die Leistung auswirken. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.

Die im Basis-Profil der Citrix Web App Firewall deaktivierten Sicherheitsprüfungen werden für Objekte in der HTTP-Antwort ausgeführt. Daher sind diese Sicherheitsprüfungen ressourcenintensiver. Wenn die Citrix Web App Firewall Response Side Protection durchführt, muss sie die an jeden einzelnen Client gesendeten Informationen speichern. Wenn beispielsweise ein Formular durch die Citrix Web App Firewall geschützt ist, bleiben die in der Antwort gesendeten Formularfeldinformationen im Arbeitsspeicher erhalten. Wenn der Client das Formular in der nächsten nachfolgenden Anforderung absendet, wird es auf Inkonsistenzen überprüft, bevor die Informationen an den Webserver gesendet werden. Dieses Konzept wird als Sessionization bezeichnet. Sicherheitsprüfungen wie URL-Enclosure innerhalb der Start-URL, Cookie-Konsistenz, Formularfeldkonsistenz und CSRF-Formular-Tagging implizieren eine Sitzungsisierung. Die Menge an CPU- und Speicherressourcen, die bei diesen Sicherheitsprüfungen verwendet werden, erhöht sich linear mit der Anzahl der Anforderungen, die über die Citrix Web App Firewall gesendet werden. Zum Beispiel:

  • Konsistenzprüfung für Formularfelder aktivieren: Diese Prüfung ist erforderlich, um zu überprüfen, ob die Webformulare nicht unangemessen vom Client geändert wurden. Eine Anwendung, die kritische Informationen in Formularen bereitstellt und hostet, würde die Prüfung erfordern.

  • CSRF-Formular-Tagging-Prüfung: Dies ist eine weitere Prüfung für Formulare. Die Cross-Site Request Forgery (CSRF) -Formular-Tagging prüft jedes Webformular, das von einer geschützten Website an Benutzer mit einer eindeutigen und unvorhersehbaren FormID gesendet wird, und überprüft dann die von Benutzern zurückgegebenen Webformulare, um sicherzustellen, dass die angegebene FormID korrekt ist. Diese Überprüfung schützt vor standortübergreifenden Anforderungsfälschungen. Diese Prüfung muss aktiviert werden, wenn die Anwendung webbasierte Formulare enthält. Diese Prüfung erfordert relativ geringe CPU-Verarbeitungskapazität im Vergleich zu bestimmten anderen Sicherheitsprüfungen, die Webformulare eingehend analysieren. Es ist daher in der Lage, Angriffe mit hohem Volumen zu bewältigen, ohne die Leistung der geschützten Website oder der Citrix Web App Firewall selbst ernsthaft zu beeinträchtigen.

Workflowschritte für Citrix Web App Firewall

Das folgende Diagramm veranschaulicht die Workflow-Schritte von Citrix Web App Firewall:

Workflowschritte für Citrix Web App Firewall

Im Folgenden werden die High-Level-Schritte beschrieben, die am Citrix Web App Firewall Workflow beteiligt sind:

  1. Konfigurieren Sie das Sicherheitsprofil.
  2. Wenden Sie Signaturen für alle bekannten Bedrohungen an - das negative Modell.
  3. Konfigurieren Sie Datenverkehrsrichtlinien, die den korrekten Datenverkehr erkennen können, in dem dieses Sicherheitsprofil aktiviert werden muss.

Sie sind bereit, dass der Produktionsdatenverkehr das System durchläuft. Die erste Flussstufe ist abgeschlossen.Konfigurieren Sie außerdem die Lerninfrastruktur. Viele Male möchten Kunden im Produktionsverkehr lernen, damit die Signaturen angewendet werden, jedes Risiko vermieden wird. Führen Sie die folgenden Schritte aus: a Konfigurieren Sie die Lerninfrastruktur. b. Setzen Sie die gelernten Regeln für den Schutz ein. c. Validieren Sie die Lerndaten zusammen mit den angewendeten Signaturen, bevor Sie live gehen.

Citrix Gateway -Sicherheitsempfehlungen

Verwenden einer Richtlinie zur Standardverweigerung

Citrix empfiehlt Administratoren, das Citrix Gateway mit einer Richtlinie Alle verweigern auf globaler Ebene zu konfigurieren, zusätzlich zur Verwendung von Autorisierungsrichtlinien, um den Zugriff auf Ressourcen auf Gruppenbasis selektiv zu ermöglichen.

Standardmäßig ist der Parameter DefaultAuthorizationAction auf DENY festgelegt. Überprüfen Sie diese Einstellung, und gewähren Sie jedem Benutzer expliziten Zugriff. Sie können den Befehl show DefaultAuthorizationAction auf der CLI verwenden, um die Einstellung zu überprüfen. Um den Parameter so festzulegen, dass alle Ressourcen auf globaler Ebene verweigert werden, führen Sie den folgenden Befehl von der Befehlszeilenschnittstelle aus:

set vpn parameter -defaultAuthorizationAction DENY

Verwenden der TLS1.1/1.2 Kommunikation zwischen Servern

Citrix empfiehlt dringend, dass TLS1.1/1.2 für die Verbindungen zwischen Citrix Gateway Appliance und anderen Diensten wie LDAP- und Webinterface-Servern verwendet wird. Die Verwendung älterer Versionen dieses Protokolls 1.0 und SSLv3 und früher wird nicht empfohlen.

Verwenden Sie die Funktion Intranet-Anwendungen Verwenden Sie Intranet-Anwendungen, um festzulegen, welche Netzwerke vom Citrix Gateway -Plug-In abgefangen und an das Gateway gesendet werden. Es folgt ein Beispiel Satz Befehle Abfangen zu definieren:

add vpn intranetApplication intra1 ANY 10.217.0.0 -netmask 255.255.0.0 -destPort 1-65535 -interception TRANSPARENT

bind vpn vserver v1 –intranetapp intra1

Zusätzliche Informationsressourcen

Weitere Sicherheitsinformationen zu den Citrix ADC- und Citrix Gateway -Appliances finden Sie in den folgenden Ressourcen:

Weitere Unterstützung bei der Konfiguration Ihres Citrix ADC erhalten Sie unter:https://www.citrix.com/support.html