Einführung in Best Practices für Citrix ADC MPX-, VPX- und SDX-Sicherheit

Eine Citrix ADC MPX-Appliance ist ein Anwendungsbereitstellungscontroller, der Websites beschleunigt, L4-L7-Datenverkehrsverwaltung bietet, eine integrierte Citrix Web App Firewall bietet und Server ausgelagert. Eine Citrix ADC VPX Instanz ist eine virtuelle Appliance, die über alle Funktionen einer Citrix ADC MPX-Appliance verfügt, auf Standardservern ausgeführt wird und eine höhere Verfügbarkeit für Webanwendungen, einschließlich Citrix XenDesktop und XenApp, bietet. Eine Citrix ADC SDX-Appliance bietet erweiterte Virtualisierung für die gesamte Flexibilität von VPX mit der Leistung von MPX. Mit MPX, VPX und SDX kann ein Unternehmen die Flex- oder True-Multitenancy-Lösung bereitstellen, die Ihre Webanwendungsbereitstellungsinfrastruktur optimiert, indem gemeinsame Netzwerkdienste mit hohem Volumen von prozessorintensiven, anwendungsspezifischen Diensten getrennt werden. Eine Citrix ADC Appliance bietet auch die nahtlose Integration mit Citrix OpenCloud Access, die das Rechenzentrum mit der Leistungsfähigkeit der Cloud erweitern kann.

Um die Sicherheit während des Bereitstellungslebenszyklus aufrechtzuerhalten, empfiehlt Citrix, die folgenden Überlegungen zu überprüfen:

  • Physische Sicherheit
  • Appliance-Sicherheit
  • Netzwerksicherheit
  • Verwaltung und Verwaltung

Verschiedene Bereitstellungen erfordern möglicherweise unterschiedliche Sicherheitsüberlegungen. Dieses Dokument enthält allgemeine Sicherheitshinweise, die Ihnen bei der Entscheidung für eine geeignete sichere Bereitstellung basierend auf Ihren spezifischen Sicherheitsanforderungen helfen.

Wichtig:

Ab Version 12.1 wird NetScaler in Citrix ADC umbenannt. Weitere Informationen finden Sie unter https://www.citrix.com/about/citrix-product-guide/.

Bereitstellungsrichtlinien

Berücksichtigen Sie bei der Bereitstellung eines Citrix ADC die folgenden Best Practices für physische und Appliance-Sicherheit:

Best Practices für physische Sicherheit

Bereitstellen der Citrix ADC Appliance an einem sicheren Ort

Die Citrix ADC Appliances müssen an einem sicheren Ort mit ausreichenden physischen Zugriffskontrollen bereitgestellt werden, um die Appliances vor unbefugtem Zugriff zu schützen. Der Zugang zum Serverraum muss mindestens mit einer Sperre, einem elektronischen Kartenleser oder anderen ähnlichen physikalischen Methoden gesteuert werden.

Andere Maßnahmen können die Verwendung eines elektronischen Überwachungssystems, zum Beispiel CCTV, umfassen, um die Aktivität des Raumes kontinuierlich zu überwachen. Im Falle eines unbefugten Einbruches muss die Ausgabe aus diesem System Sicherheitspersonal benachrichtigen. Bei CCTV steht das aufgezeichnete Material für Auditzwecke zur Verfügung.

Sicherer Zugriff auf die Gerätefront und den Konsolenanschluss

Die Citrix ADC Appliance oder der VPX-Hostingserver muss in einem Rack oder Käfig bereitgestellt werden, der mit einem geeigneten Schlüssel oder anderen physischen Methoden gesperrt werden kann. Die Sperre verhindert den Zugriff auf die physischen Ports der Citrix ADC Appliance oder, im Falle einer VPX-Bereitstellung, auf die Virtualisierungshostkonsole.

Netzteilschutz

Die Citrix ADC Appliance (oder Hosting-Server) muss mit einer geeigneten unterbrechungsfreien Stromversorgung (USV) geschützt sein. Im Falle eines Stromausfalls gewährleistet USV den fortgesetzten Betrieb der Appliance oder ermöglicht ein kontrolliertes Herunterfahren physischer oder virtueller Citrix ADCs. Der Einsatz einer USV hilft auch beim Schutz vor Stromspitzen.

Schutz von kryptografischen Schlüsseln

Wenn zusätzlicher Schutz für die kryptografischen Schlüssel in Ihrer Bereitstellung erforderlich ist, sollten Sie eine FIPS 140-2 Level 2-kompatible Appliance verwenden. Die FIPS-Plattform verwendet ein Hardwaresicherheitsmodul, um kritische kryptografische Schlüssel in der Appliance vor unbefugtem Zugriff zu schützen.

Best Practices für die Sicherheit der Citrix ADC Appliance

Ausführen von Softwareupdates für Appliance

Citrix empfiehlt dringend, dass Kunden vor der Bereitstellung sicherstellen, dass ihre Appliances mit den neuesten Firmware-Versionen aktualisiert wurden. Bei Remote-Ausführung empfiehlt Citrix, dass Kunden ein sicheres Protokoll wie SFTP oder HTTPS verwenden, um die Appliance zu aktualisieren.

Den Kunden wird außerdem empfohlen, die Sicherheitsbulletins zu ihren Citrix Produkten zu lesen. Informationen zu neuen und aktualisierten Security Bulletins finden Sie auf der Citrix Security Bulletins-Webseite (https://support.citrix.com/securitybulletins) und erwägen, sich für Warnungen zu neuen und aktualisierten Bulletins anzumelden.

Sichern des Betriebssystems von Servern, die eine Citrix ADC VPX Appliance hosten

Eine Citrix ADC VPX Appliance kann entweder eine virtuelle Appliance auf einem Standardvirtualisierungsserver oder als virtuelle Appliance auf einem Citrix ADC SDX ausführen.

Zusätzlich zur Anwendung normaler physischer Sicherheitsverfahren müssen Sie den Zugriff auf den Virtualisierungshost mit rollenbasierter Zugriffskontrolle und starker Kennwortverwaltung schützen. Außerdem muss der Server mit den neuesten Sicherheitspatches für das Betriebssystem aktualisiert werden, sobald diese verfügbar sind, und die aktuelle Antivirensoftware auf dem Server bereitstellen, falls zutreffend für den Virtualisierungstyp. Kunden, die die Citrix ADC SDX-Plattform zum Hosten von Citrix ADC VPX verwenden, müssen sicherstellen, dass sie die neueste Firmware-Version für ihr Citrix ADC SDX verwenden.

Zurücksetzen von Citrix ADC Lights Out Management (LOM)

Citrix empfiehlt, dass Sie vor der Konfiguration von LOM für die Verwendung in einer Produktionsbereitstellung ein Zurücksetzen von LOM auf Werkseinstellungen durchführen, um die Standardeinstellungen wiederherzustellen.

  1. Führen Sie an der Citrix ADC-Shell den folgenden Befehl aus:

    >ipmitool raw 0x30 0x41 0x1
    

    Hinweis: Wenn Sie den vorherigen Befehl ausführen, wird LOM auf die Werkseinstellungen zurückgesetzt und alle SSL-Zertifikate gelöscht. Anweisungen zur Neukonfiguration des LOM-Ports finden Sie unter[Lights Out Management (LOM)-Port der Citrix ADC MPX-Appliance](/en-us/netscaler-hardware-platforms/mpx/netscaler-mpx-lights-out-management-port-lom.html

  2. Navigieren Sie in der LOM-Benutzeroberfläche zu Konfiguration > SSL-Zertifizierung und fügen Sie ein Zertifikat und einen privaten Schlüssel hinzu.

    Außerdem empfiehlt Citrix dringend, die folgende Benutzerkonfiguration durchzuführen. Verwenden der LOM-GUI:

    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern und ändern Sie das Kennwort des nsrootSuperuser-Kontos.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern und erstellen Sie Richtlinien für die Benutzer oder binden Sie vorhandene Richtlinien an diese.
    • Navigieren Sie zu Konfiguration > IP-Zugriffssteuerung > Hinzufügen und konfigurieren Sie die IP-Zugriffssteuerung, um den Zugriff auf den bekannten IP-Adressbereich zu ermöglichen.
    • Navigieren Sie zu Konfiguration > Benutzer > Benutzer ändern, erstellen Sie ein alternatives Superuser-Konto und binden Sie Richtlinien an dieses Konto.

    Weitere Informationen zur LOM-Konfiguration finden Sie unter LOM-Konfiguration.

Pflege und Entfernung von persistenten Daten

Wenn ein Citrix ADC in einer anderen Umgebung erneut bereitgestellt, außer Betrieb gesetzt oder unter RMA an Citrix zurückgegeben wird, stellen Sie sicher, dass persistente Daten korrekt aus der Appliance entfernt werden.

Weitere Informationen zu diesem Prozess finden Sie in den folgenden häufig gestellten Fragen:https://www.citrix.com/support/programs/faqs.html.

Konfigurationsrichtlinien

Netzwerksicherheit

Bei der Bereitstellung einer Citrix ADC Appliance in einer Produktionsumgebung empfiehlt Citrix dringend die folgenden wichtigen Konfigurationsänderungen:

  • Die Citrix ADC Administratorschnittstelle (NSIP) darf nicht für das Internet verfügbar gemacht werden.
  • Das Citrix ADC Standard-SSL-Zertifikat muss ersetzt werden.
  • HTTPS (HTTP over TLS) muss beim Zugriff auf die GUI verwendet und die Standard-HTTP-Schnittstelle deaktiviert werden.

Im folgenden Abschnitt finden Sie weitere Informationen zu diesen wichtigsten Überlegungen, zusätzlich zu den weiteren empfohlenen Änderungen.

Wichtige Überlegungen zur Netzwerksicherheit

Setzen Sie das NSIP nicht dem Internet aus:

Citrix empfiehlt dringend, dass die Citrix ADC Management IP (NSIP) nicht dem öffentlichen Internet zugänglich ist und hinter einer entsprechenden Stateful-Packet-Inspection (SPI) Firewall bereitgestellt wird.

Ersetzen Sie das Citrix ADC Standard-TLS-Zertifikat:

Bei der Erstkonfiguration einer Citrix ADC Appliance werden Standard-TLS-Zertifikate erstellt. Diese Zertifikate sind nicht für die Verwendung in Produktionsbereitstellungen vorgesehen und müssen ersetzt werden.

Citrix empfiehlt, dass Kunden die Citrix ADC Appliance so konfigurieren, dass sie Zertifikate entweder von einer seriösen Zertifizierungsstelle (CA) oder von entsprechenden Zertifikaten Ihrer Unternehmenszertifizierungsstelle verwendet.

Wenn an einen öffentlich zugänglichen virtuellen Server gebunden ist, vereinfacht ein gültiges TLS-Zertifikat von einer seriösen Zertifizierungsstelle die Benutzererfahrung für Webanwendungen mit Internetzugriff. Benutzerwebbrowser erfordern keine Benutzerinteraktion, wenn eine sichere Kommunikation mit dem Webserver initiiert wird. Informationen zum Ersetzen des standardmäßigen Citrix ADC Zertifikats durch ein vertrauenswürdiges Zertifizierungsstellenzertifikat finden Sie im Knowledge Center-Artikel CTX122521: Ersetzen des Standardzertifikats einer Citrix ADC Appliance durch ein vertrauenswürdiges Zertifizierungsstellenzertifikat, das mit dem Hostnamen der Appliance übereinstimmt.

Alternativ können benutzerdefinierte TLS-Zertifikate und private Schlüssel erstellt und verwendet werden. Dies kann zwar ein gleichwertiges Maß an Transportschichtsicherheit bieten, erfordert jedoch, dass die TLS-Zertifikate an Benutzer verteilt werden und Benutzerinteraktionen beim Initiieren von Verbindungen mit dem Webserver erforderlich sind. Weitere Informationen zum Erstellen benutzerdefinierter Zertifikate finden Sie im Knowledge Center-Artikel CTX121617:Erstellen und Installieren von selbstsignierten Zertifikaten auf der Citrix ADC Appliance.

Weitere Informationen zur Verwaltung und Konfiguration von TLS-Zertifikaten finden Sie im Abschnitt Citrix ADC TLS-Empfehlungen dieses Handbuchs.

Deaktivieren Sie den HTTP-Zugriff auf die Administratorschnittstelle:

Zum Schutz des Datenverkehrs zur Citrix ADC Verwaltungsschnittstelle und zur Benutzeroberfläche muss die Citrix ADC-Appliance für die Verwendung von HTTPS konfiguriert sein. Gehen Sie wie folgt vor:

  • Erstellen Sie ein privates und öffentliches RSA-Schlüsselpaar mit 2048-Bit oder höher, und verwenden Sie die Schlüssel für HTTPS und SSH, um auf die Citrix ADC IP-Adresse zuzugreifen, wobei das werkseitig bereitgestellte 512-Bit-RSA-Schlüsselpaar für private und öffentliche Schlüssel ersetzt wird.

  • Konfigurieren Sie die Appliance so, dass sie nur starke Verschlüsselungssammlungen verwendet, und ändern Sie den Satz “DEFAULT” von Verschlüsselungssammlungen in starke Verschlüsselungssammlungen auf der Appliance. Es wird empfohlen, die Liste der zulässigen TLS-Verschlüsselungssammlungen in Abschnitt 3.3 der NIST Special Publication 800-52 (Revision 1) zu verwenden. Dieses Dokument ist auf der NIST Website unter folgender Adresse zu finden: https://www.nist.gov/publications/guidelines-selection-configuration-and-use-transport-layer-security-tls-implementations?pub_id=915295

  • Konfigurieren Sie die Appliance für die Verwendung der öffentlichen SSH-Authentifizierung für den Zugriff auf die Administratorschnittstelle. Verwenden Sie keine Citrix ADC Standardschlüssel. Erstellen und verwenden Sie Ihr eigenes 2048-Bit-RSA-Paar für private und öffentliche Schlüssel. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX109011: Sichern des SSH-Zugriffs auf die Citrix ADC Appliance mit Public Key-Authentifizierung.

  • Nachdem der Citrix ADC für die Verwendung dieser neuen Zertifikate konfiguriert wurde, kann der HTTP-Zugriff auf die GUI-Verwaltungsschnittstelle mit dem folgenden Befehl deaktiviert werden:

set ns ip <NSIP> -gui SECUREONLY

Weitere Informationen zum Konfigurieren des sicheren Zugriffs auf die Administration GUI finden Sie im Knowledge Center-Artikel CTX111531: Aktivieren des sicheren Zugriffs auf die Citrix ADC GUI mithilfe der SNIP/MIP-Adresse der Appliance.

Weitere Überlegungen zur Netzwerksicherheit

Die folgenden netzwerkbezogenen Sicherheitsüberlegungen müssen auch bei der Bereitstellung der Citrix ADC Appliances berücksichtigt werden:

SSH-Port Weiterleitung deaktivieren:

Die SSH-Port Forwarding ist für die Citrix ADC Appliance nicht erforderlich. Wenn Sie diese Funktionalität nicht verwenden möchten, empfiehlt Citrix, sie mithilfe der folgenden Schritte zu deaktivieren:

  1. Bearbeiten Sie die Datei /etc/sshd_config, indem Sie die folgende Zeile hinzufügen.

    AllowTcpForwarding no

  2. Speichern Sie die Datei und kopieren Sie sie nach /nsconfig, damit die Änderungen dauerhaft sind, falls Sie während der Tests neu starten.

Beenden Sie den Prozess mithilfe deskill -SIGHUP <sshdpid> Befehls, oder starten Sie das System neu.

Konfigurieren Sie die Citrix ADC Appliance mit hoher Verfügbarkeit:

In Bereitstellungen, in denen ein kontinuierlicher Betrieb erforderlich ist, können die Citrix ADC Appliances in einem Hochverfügbarkeitssetup bereitgestellt werden. Ein solches Setup ermöglicht den fortgesetzten Betrieb, wenn eine der Appliances nicht mehr funktioniert oder ein Offline-Upgrade erfordert.

Informationen zum Konfigurieren der Hochverfügbarkeitssetup finden Sie unter Hochverfügbarkeit > Konfigurieren von Hochverfügbarkeit auf der Citrix Dokumente und Einrichten eines Hochverfügbarkeitspaars auf Citrix ADC.

In Bereitstellungen, in denen keine hohe Verfügbarkeit erforderlich ist, muss diese Funktion deaktiviert werden.

Sichere Kommunikation zwischen Peer-Appliances einrichten:

Wenn Sie Ihre Citrix ADC Appliances in einem Hochverfügbarkeits-, Cluster- oder GSLB-Setup konfiguriert haben, sichern Sie die Kommunikation zwischen den Appliances.

Um die Kommunikation zwischen den Appliances zu sichern, empfiehlt Citrix, das Kennwort für das interne Benutzerkonto oder den RPC-Knoten zu ändern und die Option Sicher zu aktivieren. RPC-Knoten sind interne Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden.

Die Citrix ADC Appliance-Funktionen können auch die schlüsselbasierte SSH-Authentifizierung für die interne Kommunikation verwenden, wenn das interne Benutzerkonto deaktiviert ist. In solchen Fällen muss der Schlüsselname als ns_comm_key gesetzt werden. Weitere Informationen finden Sie unter Zugriff auf eine Citrix ADC Appliance mit SSH-Schlüsseln und ohne Kennwort.

Ändern Sie die Standardkennwörter:

Um die Sicherheit zu erhöhen, empfiehlt Citrix, dass Sie die Kennwörter für den Administrator und das interne Benutzerkonto oder den RPC-Knoten ändern. Häufiges Ändern der Passwörter ist ratsam.

Konfigurieren von Netzwerksicherheitsdomänen und VLANs:

Citrix empfiehlt dringend, dass der Netzwerkverkehr zur Verwaltungsschnittstelle der Citrix ADC Appliance physisch oder logisch vom normalen Netzwerkverkehr getrennt wird. Die empfohlene Best Practice besteht darin, drei VLANs zu verwenden:

  • Externe Internet-VLAN
  • Verwaltung VLAN
  • Insider-Server-VLAN

Citrix empfiehlt, das Netzwerk so zu konfigurieren, dass der LOM-Port Teil des Verwaltungs-VLAN ist.

Wenn Sie eine Citrix ADC Appliance im Zweiarmmodus bereitstellen, müssen Sie einem bestimmten Netzwerk einen bestimmten Port zuweisen. Wenn VLAN-Tagging und Bindung von zwei Netzwerken an einen Port erforderlich ist, müssen Sie sicherstellen, dass die beiden Netzwerke dieselben oder ähnliche Sicherheitsstufen aufweisen.

Wenn die beiden Netzwerke unterschiedliche Sicherheitsstufen aufweisen, darf die VLAN-Tagging nicht verwendet werden. Stattdessen sollten Sie einen Port für jedes spezifische Netzwerk reservieren und unabhängige VLANs verwenden, die über die Ports der Appliance verteilt sind.

Erwägen Sie die Verwendung der Citrix Web App Firewall: Eine lizenzierte Citrix ADC Platinum Edition App-App-Firewall bietet eine integrierte Citrix Web App Firewall, die ein positives Sicherheitsmodell verwendet und automatisch das richtige Anwendungsverhalten für den Schutz vor Bedrohungen wie z. B. Injection, SQL-Injection und Cross-Site Scripting.

Wenn Sie die Citrix Web App Firewall verwenden, können Benutzer der Webanwendung zusätzliche Sicherheit hinzufügen, ohne Codeänderungen und mit geringen Konfigurationsänderungen. Weitere Informationen finden Sie auf der Website der Citrix ADC Citrix Web App Firewall.

Zugriff auf Nicht-Verwaltungsanwendungen einschränken: Führen Sie den folgenden Befehl aus, um den Zugriff von Nicht-Verwaltungsanwendungen auf eine Citrix ADC Appliance zu beschränken.

set ns ip <NSIP> -restrictAccess enabled

Sichere Clusterbereitstellung: Wenn Citrix ADC Clusterknoten außerhalb des Rechenzentrums verteilt werden, empfiehlt Citrix dringend die Verwendung von sicherem RPC für Node to Node Messaging (NNM), AppNNM und die Einrichtung von Hochverfügbarkeit.

Führen Sie den folgenden Befehl aus, um die Secure RPC-Funktion für alle Citrix ADC IP-Adresse in einem Citrix ADC-Cluster und ein Hochverfügbarkeitssetup zu aktivieren:

set rpcnode <ip> -secure on

Hinweis: Möglicherweise ist eine andere Konfiguration erforderlich. Weitere Informationen finden Sie in den Themen Clustering auf der Citrix Docs-Website.

Bei der Bereitstellung in einer L3-Clusterbereitstellung werden Pakete zwischen Citrix ADC Knoten über einen unverschlüsselten GRE-Tunnel ausgetauscht, der die NSIP-Adressen der Quell- und Zielknoten für das Routing verwendet. Wenn der Austausch über das Internet erfolgt, werden die NSIPs in Abwesenheit eines IPsec-Tunnels im Internet freigelegt. Dies wird nicht empfohlen, da es nicht den bewährten Sicherheitspraktiken für Citrix ADC entspricht.

Citrix empfiehlt dringend, dass Kunden eine eigene IPsec-Lösung für die Verwendung des Cluster-over-L3-Features einrichten.

Wenn die IP-Weiterleitungsfunktion nicht verwendet wird, verwenden Sie den folgenden Befehl, um den L3-Modus zu deaktivieren:

disable ns mode L3

Sichere MEP für den globalen Server Load Balancing (GSLB) verwenden: Um den MEP zwischen Citrix ADC Appliances für GSLB zu verschlüsseln, führen Sie den folgenden Befehl von der NSCLI-Benutzeroberfläche aus:

set rpcNode <GSLB Site IP> -secure yes

Sichern Sie das Load Balancing Persistence Cookie:

Citrix empfiehlt, das Load Balancing Persistence Cookie zusätzlich zum SSL/TLS-Kanal zu verschlüsseln. Einzelheiten dazu, wie Sie dies tun, finden Sie unterHTTP-Cookie-Persistenz.

Sichern von Pass-Through-Datenverkehr auf der Citrix ADC Appliance mithilfe der Einstellungen für den Infrastrukturmodus

Die Einstellungen für den Citrix Web App Firewall -Infrastrukturmodus können zum Sichern des Pass-Through-Datenverkehrs auf der Citrix ADC Appliance verwendet werden. Diese Einstellungen für den Infrastrukturmodus bieten ein grundlegendes Sicherheitsniveau, ohne Anwendungen zu unterbrechen. In der folgenden Liste werden die verfügbaren Einstellungen für den Infrastrukturmodus zusammengefasst.

  • Sitzungsstatusschutz
  • Sitzungsfixierungsschutz (nur HTTP aktivieren)
  • HSTS (HTTP Strict Transport Security (HSTS) aktivieren)
  • Starke Authentifizierung
  • End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1)
  • Proxy-HTTPS/Alle anderen Datenverkehr verweigern

Sitzungsstatusschutz:

Empfehlung: Aktiviert Citrix ADC: Standardmäßig für die meisten Entitäten aktiviert

Die Einstellung Sitzungsstatusschutz ist standardmäßig aktiviert und erfordert keine spezifische Konfiguration. Wenn die Citrix ADC Appliance für eine Verbindung konfiguriert ist. Wenn Flow beispielsweise einen konfigurierten virtuellen Server oder Dienst vom Typ TCP oder höher auswählt, erstellt die Citrix ADC Appliance eine statusbehaftete Sitzung. Die Citrix ADC Appliance behält weiterhin den Status dieser Verbindungen bei, und nur Pakete, die in diesen Statuscomputer fallen, werden verarbeitet. Andere Pakete werden entweder gelöscht oder zurückgesetzt.

Die folgenden Diensttyp-Entitäten erreichen dieses statusbehaftete Verhalten auf einer Citrix ADC Appliance.

  • ADNS_TCP
  • DIAMETER, DNS_TCP
  • FTP-c
  • GRE-c
  • HTTP
  • MYSQL, MSSQL
  • NNTP
  • ORACLE
  • PUSH, PPTP
  • RTSP, RDP
  • SIP_SSL, SIP_TCP
  • SMPP
  • SSL, SSL_BRIDGE, SSL_DIAMETER, SSL_PUSH
  • SSL_TCP, SYSLOG_TCP
  • TCP
  • ADNS_TCP
  • RNAT (rnat_tcpproxy is ENABLED)

Sitzungsfixierungsschutz (durch Aktivieren des HttpOnly-Fags oder durch Hinzufügen einer Umschreibungsrichtlinie):

Empfehlung: So aktivieren Sie HttpOnly für Cookies, die von der Citrix ADC Appliance oder dem Back-End-Server festgelegt wurden
Citrix ADC: Standardmäßig aktiviert für die eingefügten Cookies von Citrix ADC, möglich über Rewrite für Cookies, die vom Back-End-Server festgelegt werden.

HttpOnly: Wenn Sie ein Cookie mit dem HttpOnly Flag markieren, zeigt es dem Browser an, dass dieses Cookie nur vom Server zugegriffen werden darf. Jeder Versuch, vom Client-Skript aus auf das Cookie zuzugreifen, ist strengstens verboten. HttpOnly Cookies, wenn sie richtig implementiert sind, machen riesige Klassen gängiger Cross-Site-Scripting-Angriffe viel schwieriger zu entfernen.

Der folgende Code ist ein Beispiel für ein Cookie mit dem HttpOnly-Flag gesetzt:

Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly

Die Cookies, die von Citrix ADC für Cookie Insert Persistenz eingefügt werden, setzen standardmäßig das HttpOnly-Flag, um anzuzeigen, dass das Cookie nicht skriptfähig ist und der Clientanwendung nicht offenbart werden darf. Daher kann ein clientseitiges Skript nicht auf das Cookie zugreifen, und der Client ist nicht anfällig für siteübergreifende Skripterstellung.

So aktivieren Sie die Einstellung HttpOnly über die Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lb parameter -HttpOnlyCookieFlag (ENABLED)  

Verwenden der Rewrite-Richtlinie zum Einfügen von Secure und HttpOnly für Cookies:

Die Rewrite-Richtlinie fügt Secure und HTTP nur für Cookies ein, die vom Back-End-Server gesendet werden.

Hinweis: Sichere und HTTPOnly Cookies können zusammen für SSL-VIPs durchgeführt werden. Bei Nicht-SSL-VIPs kann man das HttpOnly-Flag einfügen.

Mit Citrix ADC können nur HTTP und Secure Flags für vom Server festgelegte Cookies enthalten.

  • HttpOnly - Diese Option für ein Cookie bewirkt, dass die Webbrowser das Cookie nur mit dem HTTP (oder HTTPS) -Protokoll zurückgeben; die Nicht-HTTP-Methoden wie JavaScript-Dokument.cookie-Verweise können nicht auf das Cookie zugreifen. Diese Option hilft dabei, Cookie-Diebstahl aufgrund von websiteübergreifenden Skripten zu verhindern.
  • Sicher - Diese Option auf einem Cookie bewirkt, dass die Webbrowser nur den Cookie-Wert zurückgeben, wenn die Übertragung durch SSL verschlüsselt wird. Diese Option kann verwendet werden, um Cookie-Diebstahl durch Verbindungsabhörung zu verhindern.

So erstellen Sie mithilfe der Befehlszeilenschnittstelle eine Richtlinie zum Umschreiben:

  1. Aktivieren Sie die Funktion Umschreiben, wenn sie noch nicht aktiviert ist.

    enable feature REWRITE
    
  2. Erstellen Sie eine Rewrite-Aktion (in diesem Beispiel wird so konfiguriert, dass sowohl Secure als auch HttpOnly Flags gesetzt werden. Wenn eine der beiden fehlt, ändern Sie sie bei Bedarf für andere Kombinationen).

    add rewrite action <action name> replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    

    Beispiel:

    add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES
    
  3. Erstellen Sie eine Richtlinie zum Umschreiben, um die Aktion auszulösen.

    add rewrite policy <policy name> "http.RES.HEADER("Set-Cookie").EXISTS" <action name>
    

    Beispiel:

    add rewrite policy rw_force_secure_cookie "http.RES.HEADER("Set-Cookie").EXISTS" act_cookie_Secure
    
  4. Binden Sie die Umschreibrichtlinie an den virtuellen Server, der gesichert werden soll (wenn die Option Secure verwendet wird, muss ein virtueller SSL-Server verwendet werden).

    bind lb vserver <vserver name> - <policy name> -priority <priority number> -gotoPriorityExpression NEXT -type RESPONSE
    

    Beispiel:

    bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE
    

    Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX138055.

HSTS (HTTP Strict Transport Security (HSTS) aktivieren):

Empfehlung: Aktivierter Citrix ADC: In der Citrix ADC C-Softwareversion 12.0 kann diese Einstellung mithilfe der CLI aktiviert werden. In Citrix ADC-Softwareversionen 11.1 und früher kann diese Einstellung mithilfe der Richtlinie zum Umschreiben aktiviert werden.

  • In der Citrix ADC C-Software Version 12.0 unterstützen Citrix ADC Appliances HTTP Strict Transport Security (HSTS) als integrierte Option in SSL-Profilen und virtuellen SSL-Servern.

So aktivieren Sie HSTS mithilfe der Citrix ADC Befehlszeile:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl vserver <vServerName> -HSTS ( ENABLED ) maxage <positive_integer> -IncludeSubdomains ( YES | NO)

ODER

add ssl profile <name> -HSTS ( ENABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )

Weitere Informationen finden Sie unter Konfigurieren der Unterstützung für HTTP-strikte Transportsicherheit (HSTS).

  • In Citrix ADC-Softwareversionen 11.1 und früher kann HTTP Strict Transport Security (HSTS) aktiviert werden, indem eine Umschreibrichtlinie erstellt und diese global oder an den betreffenden virtuellen Server gebunden wird.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add rewrite action <action name> insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy <policy name> “true” <action name>

bind lb vserver <vserver name> - <policy name> -priority <priority number> END -type RESPONSE

Beispiel:

add rewrite action insert_STS_header insert_http_header Strict-Transport-Security ""max-age=157680000\”"

add rewrite policy enforce_STS "true” insert_STS_header

bind lb vserver vs1 -policyName enforce_STS -priority 100 -gotoPriorityExpression END -type RESPONSE

Weitere Informationen finden Sie in den folgenden Themen:

https://support.citrix.com/article/CTX205221

https://www.citrix.com/blogs/2010/09/10/strict-transport-security-sts-or-hsts-with-citrix-netscaler-and-access-gateway-enterprise/

Starke Authentifizierung:

Starke Authentifizierung (oder Multifaktor-Authentifizierung — MFA) muss für den gesamten Zugriff auf vertrauliche Daten, Apps und Administration aktiviert sein.

Weitere Informationen dazu, wie vertrauliche Apps für die Multifaktor-Authentifizierung eingerichtet werden können, finden Sie unterMehrstufige Authentifizierung (nFactor).

End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1):

Es wird empfohlen, SSL sowohl im Front-End als auch im Back-End zu haben. SSLv3 und TLS v1.0 können auf SSL-Entitäten deaktiviert werden, da Sicherheitslücken gemeldet wurden. Sie können nur TLS 1.1 und TLS 1.2 aktiviert haben. Wenn möglich, haben Sie nur TLS 1.2-Version auf dem Client, der VIPs gegenübersteht. Dies kann entweder auf SSL-Entitätsebene oder auf Profilebene erfolgen und alle SSL-Entitäten erben die SSL-Einstellungen aus dem Profil.

So deaktivieren Sie SSL-Entitäten mithilfe der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServerName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED

set ssl service <vServiceName> -ssl2 DISABLED   -ssl3  DISABLED   -tls1   DISABLED

Citrix ADC empfohlene Verschlüsselungssammlungen:

Die folgenden Verschlüsselungen, die von Citrix ADC unterstützt werden, enthalten keine Komponenten in der Liste “obligatorisches Verwerfen”. Diese Chiffre werden durch Schlüsselaustausch (RSA, DHE und ECDHE) organisiert, indem die leistungsfähigeren Chiffre an der Spitze mit den höheren Sicherheitseinstellungen unten platziert werden:

Empfehlen Sie RSA Key Exchange Cipher Suites:

  • TLS1-AES-128-CBC-SHA
  • TLS1-AES-256-CBC-SHA
  • TLS1.2-AES-128-SHA256
  • TLS1.2-AES-256-SHA256
  • TLS1.2-AES128-GCM-SHA256
  • TLS1.2-AES256-GCM-SHA384

DHE Key Exchange Cipher Suites empfehlen:

  • TLS1-DHE-RSA-AES-128-CBC-SHA
  • TLS1-DHE-RSA-AES-256-CBC-SHA
  • TLS1.2-DHE-RSA-AES-128-SHA256
  • TLS1.2-DHE-RSA-AES-256-SHA256
  • TLS1.2-DHE-RSA-AES128-GCM-SHA256
  • TLS1.2-DHE-RSA-AES256-GCM-SHA384

Empfehlen Sie ECDHE-Schlüsselaustausch-Verschlüsselungssammlungen:

  • TLS1-ECDHE-RSA-AES128-SHA
  • TLS1-ECDHE-RSA-AES256-SHA
  • TLS1.2-ECDHE-RSA-AES-128-SHA256
  • TLS1.2-ECDHE-RSA-AES-256-SHA384
  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

Empfehlen Sie Cipher Suites in der Reihenfolge der Präferenz:

Die folgende Liste von Chiffren enthält RSA-, DHE- und ECDHE-Schlüsselbörsen. Es bietet den besten Kompromiss zwischen Sicherheit, Leistung und Kompatibilität.

  1. TLS1.2-AES128-GCM-SHA256
  2. TLS1.2-AES-128-SHA256
  3. TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
  4. TLS1.2-ECDHE-RSA-AES-128-SHA256
  5. TLS1-ECDHE-RSA-AES128-SHA
  6. TLS1.2-DHE-RSA-AES128-GCM-SHA256
  7. TLS1.2-DHE-RSA-AES-128-SHA256
  8. TLS1-DHE-RSA-AES-128-CBC-SHA
  9. TLS1-AES-128-CBC-SHA

Proxy-HTTPS/verweigert allen anderen Datenverkehr:

Wo immer möglich, haben SSL-VIPs für eine bessere Verschlüsselung von Daten, indem sichere SSL-Versionen (TLSv1.1 und TLSv1.2) und sichere Verschlüsselungen verwendet werden. Der SSL-TPS- und SSL-Durchsatz muss berücksichtigt werden, während SSL für die VIPs und Back-End-SSL-Dienste aktiviert wird.

Verwaltung und Verwaltung

Dieser Abschnitt enthält Beispiele für spezifische Konfigurationsänderungen, die angewendet werden können, um die Sicherheit der Citrix ADC- und Citrix ADC SDX-Appliances zu erhöhen. Weitere Anleitungen zu bewährten Methoden für die Citrix ADC Konfiguration finden Sie im ArtikelEmpfohlene Einstellungen und Best Practices für eine generische Implementierung einer Citrix ADC Appliance.

System- und Benutzerkonten

Kennwort für das Superbenutzerkonto ändern: Sie können den integrierten Administrator-Superuser (nsroot) nicht löschen. Ändern Sie daher das Standardkennwort für dieses Konto in ein sicheres Kennwort. Gehen Sie folgendermaßen vor, um das Standardkennwort für den Admin-Benutzer zu ändern:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer dennsroot Benutzer aus.
  5. Wählen Sie Kennwort ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Erstellen eines alternativen Superuser-Kontos:Führen Sie die folgenden Befehle aus, um ein Superuser-Konto zu erstellen:

add system user <newuser> <password>

bind system user <newuser> superuser 0

Verwenden Sie dieses Superuser-Konto anstelle desnsroot Standard-Superuser-Kontos.

Bei Citrix ADC SDX-Bereitstellungen muss ein Administrator die Standardanmeldeinformationen für die Citrix ADC SDX-Appliance und ihre GUI-Verwaltungskonsole nach der Erstinstallation ändern. So ändern Sie das Kennwort für den Standardbenutzer:

  1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsdienstprogramm.
  2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
  3. Wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie auf der Seite Systembenutzer den Standardbenutzer aus.
  5. Wählen Sie Ändern aus.
  6. Geben Sie das erforderliche Kennwort in die Felder Kennwort und Kennwort bestätigen ein.
  7. Klicken Sie auf OK.

Hinweis: Ab Citrix ADC 11.0 und höher müssen lokale Benutzer und Administratoren starke Kennwörter auswählen. Beispiele für Anforderungen an die Komplexität von Kennwörtern sind wie folgt:

  • Das Kennwort muss mindestens acht Zeichen lang sein.
  • Das Kennwort darf keine Wörterbuchwörter oder eine Kombination von Wörterbuchwörtern enthalten.
  • Das Kennwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Starke Kennwörter können durch Festlegen von zwei Parametern erzwungen werden, einer für die Mindestlänge von Kennwörtern und der andere, um die Kennwortkomplexität zu erzwingen:

set system parameter -localAuth ( ENABLED | DISABLED ) -minpasswordlen <positive_integer> -natPcbForceFlushLimit <positive_integer> -natPcbRstOnTimeout ( ENABLED | DISABLED )
-strongpassword ( ENABLED | DISABLED ) -promptString <string> -rbaOnResponse ( ENABLED | DISABLED ) -timeout <secs>

In Bereitstellungen, in denen mehrere Administratoren erforderlich sind, sollten Sie eine externe Authentifizierungsmethode verwenden, um Benutzer zu authentifizieren, z. B. RADIUS, TACACS+ oder LDAP (S).

Systembenutzerkonto für Verwaltungszugriff sperren: Mit der Citrix ADC Appliance können Sie einen Systembenutzer 24 Stunden lang sperren und dem Benutzer den Zugriff verweigern. Die Citrix ADC Appliance unterstützt die Konfiguration für Systembenutzer und externe Benutzer. Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter –persistentLoginAttempts DISABLED

Um ein Benutzerkonto zu sperren, geben Sie an der Eingabeaufforderung Folgendes ein:

lock aaa user test

Informationen zur Konfiguration dieser Funktion über die GUI finden Sie unter Benutzerkonto und Kennwortverwaltung.

Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff: Systembenutzer und externe Benutzer können mit dem Befehl sperren Authentifizierung, Autorisierung und Überwachung des Benutzers für 24 Stunden gesperrt werden. Mit der Citrix ADC Appliance können Sie den Benutzer des gesperrten Systems entsperren. Geben Sie an der Eingabeaufforderung Folgendes ein:

unlock aaa user test Informationen zur Konfiguration dieser Funktion über die GUI finden Sie unter Benutzerkonto und Kennwortverwaltung.

Deaktivieren des Verwaltungszugriffs für Systembenutzerkonto: Wenn externe Authentifizierung auf der Appliance konfiguriert ist und Sie als Administrator es vorziehen, Systembenutzern den Zugriff zu verweigern, um sich beim Verwaltungszugriff anzumelden, müssen Sie die LocalAuth Option im Systemparameter deaktivieren.

Hinweis: Externer Server muss konfiguriert sein.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter localAuth <ENABLED|DISABLED>

Beispiel:

set system parameter localAuth DISABLED Informationen zur Konfiguration dieser Funktion über die GUI finden Sie unter Benutzerkonto und Kennwortverwaltung.

Kennwortänderung für Administratorbenutzer erzwingen: Für eine nsroot gesicherte Authentifizierung fordert die Citrix ADC Appliance den Benutzer auf, das Standardkennwort in ein neues zu ändern, wenn die forcePasswordChange Option im Systemparameter aktiviert ist. Sie können Ihr nsroot Kennwort entweder über CLI oder GUI ändern, bei Ihrer ersten Anmeldung mit den Standardanmeldeinformationen. Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Informationen zum Beispiel zur Konfiguration dieser Funktion finden Sie unter Benutzerkonto und Kennwortverwaltung.

Greifen Sie auf den Citrix ADC mit SSH-Schlüsseln und ohne Kennwort zu: In Bereitstellungen, in denen viele Citrix ADC Appliances verwaltet werden müssen, sollten Sie SSH-Keys und Kein Kennwort verwenden. Informationen zum Konfigurieren dieses Features finden Sie unterZugriff auf eine Citrix ADC Appliance mit SSH-Schlüsseln und ohne Kennwort.

Erstellen des System-Hauptschlüssels für den Datenschutz: Ab Citrix ADC 11.0 muss ein System-Masterschlüssel erstellt werden, um bestimmte Sicherheitsparameter zu schützen, z. B. Kennwörter für Dienstkonten, die für die LDAP-Authentifizierung erforderlich sind, und lokal gespeicherte Authentifizierung, Autorisierung, und Überwachung von Benutzerkonten. So erstellen Sie den Systemmasterschlüssel:

  1. Melden Sie sich über die Befehlszeilenschnittstelle als Systemadministrator an.
  2. Geben Sie den folgenden Befehl ein:
create kek <file name>

Hinweis:

  • Nachdem der Befehl create system kek ausgeführt wurde, wird KEK für die meisten Kennwortverschlüsselungen verwendet (lokale Benutzerkennwörter werden nicht mit KEK verschlüsselt).
  • Sie dürfen die KEK-Datei nicht löschen. Wenn Sie über Shell-Zugriff verfügen und die Schlüsselfragmentdateien versehentlich löschen, kann dies zu Konfigurationsverlust, Synchronisationsfehler und Anmeldefehlern führen. Im Folgenden sind einige der Punkte zu beachten:

    • Verwenden Sie beim Herabstufen immer eine ältere Konfigurationsdatei, die mit dem zu installierenden Build übereinstimmt. Andernfalls schlägt die Anmeldung, die Quellkonfiguration, die Synchronisierung und das Failover möglicherweise fehl.
    • Wenn eine der Schlüsselfragmentdateien verloren geht oder beschädigt wird, führt die Verschlüsselung/Entschlüsselung sensibler Daten zu einem Fehler, der wiederum zu Konfigurationsverlust, Synchronisierungsfehlern und Anmeldefehlern führen kann.
  • Der Pass Phrase muss mindestens 8 Zeichen lang sein.

Verwenden Sie Zugriffssteuerungslisten:

Standardmäßig sind alle Protokolle und Ports, einschließlich GUI und SSH, auf einer Citrix ADC Appliance zugegriffen werden. Zugriffssteuerungslisten (Access Control Lists, ACLs) können Sie die Appliance sicher verwalten, indem nur explizit angegebene Benutzer auf Ports und Protokolle zugreifen können.

Empfehlungen zur Steuerung des Zugriffs auf die Appliance:

  • Erwägen Sie, Citrix Gateway zu verwenden, um den Zugriff auf die Appliance nur auf die GUI zu beschränken. Für Administratoren, die zusätzlich zur GUI Zugriffsmethoden benötigen, muss das Citrix Gateway mit einer standardmäßigen “DENY” -ACL für die Ports 80, 443 und 3010 konfiguriert werden, jedoch mit einer expliziten “ALLOW” für vertrauenswürdige IP-Adressen für den Zugriff auf diese Ports.

Diese Richtlinie kann für die Verwendung mit einem Bereich vertrauenswürdiger IP-Adressen mit dem folgenden NSCLI-Befehl erweitert werden:

add acl local_access allow -srcip 192.168.0.1-192.168.0.3 -destip 192.168.0.1-192.168.0.3

apply acls
  • Wenn Sie SNMP verwenden, erlauben Sie explizit SNMP-Datenverkehr mit ACL. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
add acl snmp1-ssh ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 161 -protocol udp

add acl snmp2-ssh ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 –destport 161 -protocol udp

apply acls

Im vorangegangenen Beispiel bietet der Befehl Zugriff für alle SNMP-Abfragen auf die beiden definierten Subnetze, auch wenn die Abfragen an die entsprechend definierte Community erfolgen.

Sie können Verwaltungsfunktionen für NSIP-, SNIP- und MIP-Adressen aktivieren. Wenn aktiviert, Zugriff auf die NSIP-, SNIP- und Adressen mit ACLs zum Schutz des Zugriffs auf die Verwaltungsfunktionen. Der Administrator kann die Appliance auch so konfigurieren, dass sie mit dem Befehl ping nicht zugänglich ist.

  • Open Shortest Path First (OSPF) und IPSEC sind kein TCP oder UDP basiertes Protokoll. Wenn die Appliance diese Protokolle unterstützen muss, erlauben Sie daher explizit den Datenverkehr mit diesen Protokollen mithilfe einer ACL. Führen Sie den folgenden Befehl aus, um eine ACL zu definieren, um OSPF und IPSEC nach Protokollnummern anzugeben:
add acl allow_ospf allow -protocolnumber 89

add acl allow_ipsec allow –protocolnumber 50
  • Wenn der XML-API-Webdienst verwendet wird, führen Sie die folgenden Aufgaben aus, um die API-Schnittstelle zu sichern:
  • Geben Sie dem Host die Berechtigung für den Zugriff auf die Schnittstelle mithilfe einer ACL an. Führen Sie beispielsweise die folgenden Befehle aus, um die Hosts im IP-Adressbereich 10.0.0.1-20 und 172.16.0.1-20 für den Zugriff auf die XML-API-Schnittstelle zu aktivieren:
add acl xml-api1 ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

add acl xml-api2 ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp

apply acls
  • Verwenden Sie den folgenden Befehl, um ACLs für die internen Ports anzuwenden:
set l3param -implicitACLAllow DISABLED

Hinweis: Der Standardwert für den implicitACLAllow Befehl ist ENABLED.

  • Verwenden Sie den folgenden Befehl, um ACLs von den internen Ports zu entfernen:
set l3param -implicitACLAllow ENABLED
  • Geben Sie den sicheren Transport für den XML-API-Webdienst an, indem Sie einen HTTPS-Front-End-Server auf der Appliance mit einer entsprechenden Responderrichtlinie konfigurieren. Dies gilt für die Appliance, auf der Citrix ADC-Softwareversion 8.0 oder höher ausgeführt wird. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:
enable ns feature responder

add responder policy allow_soap 'HTTP.REQ.URL.STARTSWITH("/soap").NOT' RESET

add lb vserver xml-https ssl 192.168.0.4 443

add server localhost 127.0.0.1

add service xml-service localhost HTTP 80

bind lb vserver xml-https xml-service

bind lb vserver xml-https -policyName allow_soap -type REQUEST -priority 1

add ssl certkey xml-certificate -cert testcert.cert -key testcert.key

bind ssl certkey xml-https xml-certificate

Verwenden Sie rollenbasierte Zugriffssteuerung für Administratorbenutzer:

Die Citrix ADC Appliance umfasst vier Befehlsrichtlinien oder Rollen, z. B. Operator, schreibgeschützt, Netzwerk und Superuser. Sie können auch Befehlsrichtlinien definieren, verschiedene Verwaltungskonten für verschiedene Rollen erstellen und den Konten die Befehlsrichtlinien zuweisen, die für die Rolle erforderlich sind. Im Folgenden finden Sie eine Reihe von Beispielbefehlen, um den schreibgeschützten Zugriff auf den schreibgeschützten Benutzer zu beschränken:

add system user readonlyuser

bind system user readonlyuser read-only 0

Weitere Informationen zum Konfigurieren von Benutzern, Benutzergruppen oder Befehlsrichtlinien finden Sie in den Citrix Docs:

Systemsitzungstimeout konfigurieren:

Ein Sitzungszeitüberschreitungsintervall wird bereitgestellt, um die Zeitdauer zu beschränken, für die eine Sitzung (GUI, CLI oder API) aktiv bleibt, wenn sie nicht verwendet wird. Für die Citrix ADC Appliance kann das Systemsitzungszeitlimit auf den folgenden Ebenen konfiguriert werden:

  • Zeitüberschreitung auf Benutzerebene. Anwendbar für den spezifischen Benutzer.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Benutzer , wählen Sie einen Benutzer aus und bearbeiten Sie die Zeitüberschreitungseinstellung des Benutzers. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system user <name> -timeout <secs>
  • Zeitüberschreitung auf Benutzergruppenebene. Gilt für alle Benutzer in der Gruppe.

GUI: Navigieren Sie zu System > Benutzerverwaltung > Gruppen , wählen Sie eine Gruppe aus und bearbeiten Sie die Zeitüberschreitungseinstellung der Gruppe. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system group <groupName> -timeout <secs>
  • Globales Systemtimeout. Gilt für alle Benutzer und Benutzer aus Gruppen, die kein Timeout konfiguriert haben.

GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen, und legen Sie den Parameter ANY Client Idle Timeout (secs) fest. CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:

set system parameter -timeout <secs>

Der für einen Benutzer angegebene Zeitüberschreitungswert hat die höchste Priorität. Wenn das Timeout für den Benutzer nicht konfiguriert ist, wird das für eine Mitgliedsgruppe konfigurierte Timeout berücksichtigt. Wenn für eine Gruppe kein Timeout angegeben wird (oder der Benutzer nicht zu einer Gruppe gehört), wird der global konfigurierte Timeout-Wert berücksichtigt. Wenn das Timeout auf keiner Ebene konfiguriert ist, wird der Standardwert von 900 Sekunden als Systemsitzungstimeout festgelegt.

Sie können den Zeitüberschreitungswert auch einschränken, sodass der Sitzungstimeoutwert nicht über den vom Administrator konfigurierten Zeitüberschreitungswert hinaus konfiguriert werden kann. Sie können den Zeitüberschreitungswert zwischen 5 Minuten und 1 Tag einschränken. So beschränken Sie den Timeout-Wert:

  • GUI: Navigieren Sie zu System > Einstellungen , klicken Sie auf Globale Systemparameter festlegen , und wählen Sie das Feld Eingeschränkte Zeitüberschreitung aus.
  • CLI: Geben Sie in der Befehlszeile den folgenden Befehl ein:
set system parameter -restrictedtimeout <ENABLED/DISABLED>

Nachdem der Benutzer den Parameter RestrictedTimeout aktiviert hat und der Timeout-Wert bereits auf einen Wert konfiguriert ist, der größer als 1 Tag oder weniger als 5 Minuten ist, wird der Benutzer benachrichtigt, den Timeout-Wert zu ändern. Wenn der Benutzer den Timeout-Wert nicht ändert, wird der Timeout-Wert standardmäßig auf 900 Sekunden (15 Minuten) während des nächsten Neustarts neu konfiguriert.

Sie können auch Timeout-Dauer für jede der Schnittstellen angeben, auf die Sie zugreifen. Der für eine bestimmte Schnittstelle angegebene Zeitüberschreitungswert ist jedoch auf den Zeitüberschreitungswert beschränkt, der für den Benutzer konfiguriert ist, der auf die Schnittstelle zugreift. Betrachten Sie beispielsweise, dass ein Benutzer einen Zeitüberschreitungswert von 20 Minutenpublicadmin hat. Beim Zugriff auf eine Schnittstelle muss der Benutzer nun einen Timeout-Wert angeben, der innerhalb von 20 Minuten liegt.

So konfigurieren Sie die Zeitüberschreitungsdauer an jeder Schnittstelle:

  • CLI: Geben Sie den Timeout-Wert an der Eingabeaufforderung mit dem folgenden Befehl an:
set cli mode -timeout <secs>
  • API: Geben Sie den Timeout-Wert in der Login-Nutzlast an.

Protokollierung und Überwachung

Konfigurieren des Netzwerkzeitprotokolls

Citrix empfiehlt, dass NTP (Network Time Protocol) auf der Appliance aktiviert und für die Verwendung eines vertrauenswürdigen Netzwerkzeitservers konfiguriert ist. Durch Aktivieren von NTP wird sichergestellt, dass die für die Protokolleinträge und Systemereignisse aufgezeichneten Zeiten genau sind und mit anderen Netzwerkressourcen synchronisiert werden.

Bei der Konfiguration von NTP muss die Datei ntp.conf geändert werden, um zu verhindern, dass der NTP-Server die Informationen in vertraulichen Paketen offenlegt.

Sie können die folgenden Befehle ausführen, um NTP auf der Appliance zu konfigurieren:

add ntp server <IP_address> 10

enable ntp sync

Ändern Sie die Datei ntp.conf für jeden vertrauenswürdigen NTP-Server, den Sie hinzufügen. Für jeden Servereintrag muss ein entsprechender Einschränkungseintrag vorhanden sein. Sie können die Datei ntp.conf suchen, indem Sie denfind . –name ntp.conf Befehl an der Shell-Eingabeaufforderung der Appliance ausführen.

SNMP konfigurieren

Die Citrix ADC Appliance unterstützt Version 3 des SNMP-Protokolls. SNMPv3 umfasst Verwaltungs- und Sicherheitsfunktionen wie Authentifizierung, Zugriffssteuerung und Datenintegritätsprüfungen. Weitere Informationen finden Sie unter System > SNMP-Themen zu Citrix Docs.

Wenn Sie nicht mindestens einen SNMP-Manager konfigurieren, akzeptiert und beantwortet die Appliance SNMP-Abfragen von allen IP-Adressen im Netzwerk. Führen Sie den folgenden Befehl aus, um einen SNMP-Manager hinzuzufügen und dieses Verhalten zu beschränken:

add snmp manager <IP_address>

In Bereitstellungen, in denen SNMP nicht erforderlich ist, muss die Funktionalität mit dem folgenden Befehl deaktiviert werden:

set ns ip <IP_Address> -snmp disabled

Konfigurieren der Protokollierung auf externen Citrix ADC Protokollhost

Der Citrix ADC Audit Server protokolliert alle Zustände und Statusinformationen, die von verschiedenen Modulen im Kernel und in den Daemons auf Benutzerebene gesammelt werden. Der Überwachungsserver ermöglicht es einem Administrator, auf die Ereignishistorie in chronologischer Reihenfolge zu verweisen. Der Überwachungsserver ähnelt dem SYSLOG-Server, der Protokolle von der Appliance sammelt. Der Überwachungsserver verwendet die Administratoranmeldeinformationen, um Protokolle von einer oder mehreren Appliances abzurufen.

  • Konfiguration des lokalen Überwachungsservers

Führen Sie den folgenden Befehl aus, um die Protokollierung auf dem lokalen Überwachungsserver in der Citrix ADC Appliance zu konfigurieren: > set audit nslogparams –serverip <hostname> -serverport <port>

  • Konfiguration des Remote-Überwachungsservers

Um die Protokollierung beim Überwachungsserver auf einem Remotecomputer zu konfigurieren, installieren Sie den Überwachungsserver auf diesem Computer. Im Folgenden finden Sie Beispiele für Audit-Server-Optionen:

./audserver -help
usage : audserver -[cmds] [cmd arguments]
cmds cmd arguments: -f <filename> -d debug
-help - detail help
-start - cmd arguements,[starts audit server]
-stop - stop audit server
-verify - cmd arguments [verifies config file]
-addns - cmd arguments [add a netscaler to conf file]
-version - prints the version info

Dies bietet Funktionen für die Protokollierung von Überwachungsmeldungen, die nur von der Datei ns.log der Appliance generiert werden. So protokollieren Sie alle Syslog-Nachrichten:

  1. Entfernen Sie die Protokolldatei-Spezifikationen aus der Datei /nsconfig/syslog.conf für die lokalen Einrichtungen.
  2. Ersetzen Sie die Protokolldatei-Spezifikationen durch den Protokollhostnamen oder die IP-Adresse des entfernten Syslog-Hosts, ähnlich den folgenden Einträgen:

    local0.* @10.100.3.53

    local1.* @10.100.3.53

  3. Konfigurieren Sie den Syslog-Server so, dass er Protokolleinträge aus den vorherigen Protokollierungsfunktionen akzeptiert. Weitere Informationen finden Sie in der Dokumentation zum syslog server.
  4. Bei den meisten UNIX-basierten Servern, die die standardmäßige Syslog-Software verwenden, müssen Sie der Konfigurationsdatei syslog.conf einen lokalen Einrichtungseintrag für die Meldungen und nsvpn.log-Dateien hinzufügen. Die Anlagenwerte müssen den auf der Appliance konfigurierten Werten entsprechen.
  5. Der Remote-Syslog-Server in einem UNIX-basierten Computer hört standardmäßig nicht auf Remoteprotokolle ab. Führen Sie daher den folgenden Befehl aus, um den Remote-Syslog-Server zu starten:
syslogd -m 0 –r

Hinweis: BeachtenSie die entsprechenden Optionen der Syslog-Variante, die auf dem Überwachungsserver bereitgestellt wird.

LOM-Konfiguration

Citrix empfiehlt dringend, die folgenden Maßnahmen zum Sichern der LOM-Schnittstelle zu ergreifen:

  • Stellen Sie den LOM-Port nicht dem Internet zur Verfügung.
  • Stellen Sie die LOM hinter einer SPI-Firewall bereit.
  • Stellen Sie die LOM in einem Netzwerksegment bereit, das entweder logisch (separates VLAN) oder physisch (separates LAN) vom nicht vertrauenswürdigen Netzwerkverkehr getrennt ist.
  • Legen Sie verschiedene Werte für Benutzernamen, Kennwort, SSL-Zertifikat und SSL-Schlüssel für die LOM- und die Citrix ADC Verwaltungsports fest.
  • Stellen Sie sicher, dass Geräte, die für den Zugriff auf die LOM-Verwaltungsschnittstelle verwendet werden, ausschließlich einem Netzwerkverwaltungszweck gewidmet sind und sich in einem Verwaltungsnetzwerksegment befinden, das sich im selben physischen LAN oder VLAN wie andere Management-Geräteports befindet.
  • Um LOM-IP-Adressen einfach zu identifizieren und zu isolieren, reservieren Sie spezielle IP-Adressen (private Subnetze) für LOM-Verwaltungsschnittstellen und Verwaltungsserver. Verwenden Sie keine reservierten IP-Subnetze mit LAN-Schnittstellen der verwalteten Appliances. Dynamische IP-Adressen, die von DHCP zugewiesen werden, werden nicht empfohlen, da sie die Implementierung von Firewall-Zugriffssteuerungslisten auf Basis einer MAC-Adresse außerhalb des LAN-Segments erschweren.
  • Legen Sie das Kennwort für mindestens 8 Zeichen mit einer Kombination aus alphanumerischen und Sonderzeichen fest. Ändern Sie das Kennwort häufig.

Anwendungen und Dienstleistungen

Konfigurieren von Citrix ADC zum Löschen ungültiger HTTP-Anforderungen

Citrix empfiehlt dringend, dass die Citrix ADC Appliance mit strikter Prüfung und Durchsetzung von HTTP-Anforderungen konfiguriert wird, um zu verhindern, dass ungültige HTTP-Anforderungen durch virtuelle Server weitergeleitet werden. Dies kann durch Bindung eines integrierten HTTP-Profils nshttp_default_strict_validationmit dem folgenden Befehl auf der CLI an einen oder mehrere virtuelle Server erfolgen:

show ns httpProfile (Shows the available http profile (default+user configured profiles))

set lb vserver <vserver name> -httpProfileName nshttp_default_strict_validation

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Der Schutz vor den HTTP-Desync-Angriffen ist standardmäßig für das strenge HTTP-Validierungsprofil (nshttp_default_strict_validation) aktiviert. Verwenden Sie das strenge Profil für alle kundenorientierten Entitäten.

Weitere Informationen zu HTTP-Request-Schmuggelangriffen und deren Abwehr finden Sie im Supportartikel Citrix ADC - Referenzhandbuch zu HTTP Request Smuggling.

Konfigurieren des Schutzes gegen HTTP-Denial-of-Service-Angriffe

Die Citrix ADC Appliance-Firmware unterstützt begrenzte Gegenmaßnahmen gegen HTTP-Denial-of-Service-Angriffe, einschließlich Angriffe vom Typ langsam lesen. Sie können diese Funktionen mithilfe desnsapimgr Dienstprogramms an der Shell-Eingabeaufforderung der Appliance konfigurieren:

  • small_window_threshold (Standard = 1)
  • small_window_idle_timeout (Standardwert = 7 Sek.)
  • small_window_cleanthresh (Standard = 100)
  • small_window_protection (Default=aktiviert)

Die Standardeinstellungen sind ausreichend, um die HTTP-Denial-of-Service-Angriffe zu verhindern, einschließlich langsamem Lesen. Für andere Angriffe ist jedoch möglicherweise eine Anpassung der Parameter erforderlich.

Zum Schutz vor solchen Angriffen passen Sie diesmall_window_threshold Eigenschaft nach oben an, indem Sie den folgendennsapimgr Befehl an der Shell-Eingabeaufforderung der Appliance verwenden:

$ nsapimgr –ys small_window_threshold=<desired value>

Hinweis: Dersmall_window_threshold gewünschte Wert kann basierend auf dem Muster des eingehenden Datenverkehrs in der Bereitstellung festgelegt werden. Der zulässige Bereich liegt zwischen 0 und 2 ^ 32.

Sie können den Schutz vor HTTP-Denial-of-Service-Angriffen überprüfen, indem Sie die folgenden Leistungsindikatoren mit demnsconmsg –d stats Befehl an der Shell-Eingabeaufforderung der Appliance überwachen:

  • nstcp_cur_zero_win_pcbs: Dieser Zähler verfolgt die Anzahl der Leiterplatten, die derzeit einen niedrigen Fensterwert aufweisen.
  • nstcp_err_conndrop_at_pass: Dieser Leistungsindikator wird erhöht, wenn die Appliance erkennt, dass er während der Übergabe von Paketen von einer Seite zur anderen den Wert nscfg_small_window_idletimeout überschritten hat.
  • nstcp_err_conndrop_at_retx: Dieser Zähler wird erhöht, wenn die Zeit, die während der Weiterübertragung verfällt, den Wert nscfg_small_window_idletimeout überschreitet.
  • nstcp_cur_pcbs_probed_withKA: Dieser Leistungsindikator verfolgt die Anzahl der Leiterplatten in der Überspannungswarteschlange, die mit einem Knowledge-Prüfpunkt untersucht werden.

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren Sie Citrix ADC zur Verteidigung gegen TCP-Spoofing-Angriffe

Die folgenden Befehle können verwendet werden, um Back-End-Server vor TCP-Spoofing-Angriffen zu schützen:

set ns tcpProfile profile1 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED

Done

set lb vserver lbvserver1 -tcpProfileName profile1

Done

Citrix empfiehlt Kunden, die diese Option verwenden, die Änderungen in einer Stagingumgebung zu testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren von Citrix ADC für die Annahme bestimmter HTTP-Header

Es ist möglich, Citrix ADC so zu konfigurieren, dass nur bestimmte HTTP-Header akzeptiert werden. Dies kann erreicht werden, indem eine Rewrite-Aktion hinzugefügt wird, um den Netzwerkverkehr mit bestimmten definierten HTTP-Headern zu beschränken, die an den Back-End-Server übergeben werden.

Die folgende globale Umschreibaktion sendet nur Netzwerkverkehr mit Headern wie Host, Accept und Test an den Server:

add rewrite action act1 replace_all q/HTTP.REQ.FULL_HEADER.after_str("\r\n")/     q{TARGET.REGEX_SELECT(re/(iu)^(Host|Accept|test):.*\r\n/) ALT ""} -pattern q{re/(U).+:.+r\n/}

add rewrite policy pol1 HTTP.REQ.IS_VALID act1

bind rewrite global pol1 100

Hinweis: Diese Befehle werden nur in Citrix ADC Version 10.5 und höher unterstützt.

Konfigurieren von Close-Notify

Eine Close-Notify ist eine sichere Nachricht, die das Ende der SSL-Datenübertragung anzeigt. In Übereinstimmung mit RFC 5246: Der Client und der Server müssen wissen, dass die Verbindung beendet wird, um einen Abschneidungsangriff zu vermeiden. Jede Partei kann den Austausch von schließenden Nachrichten initiieren. Jede Partei kann eine Schließung durch Senden einer close_notify -Warnung initiieren. Alle Daten, die nach einer Schließwarnung empfangen werden, werden ignoriert. Wenn keine andere schwerwiegende Warnung übertragen wurde, muss jede Partei eine close_notify Warnung senden, bevor die Schreibseite der Verbindung geschlossen wird. Um sicherzustellen, dass Überwachungsereignisse für TLS-Beendigungsereignisse erfasst werden, melden Sie sich als Superuser oder Sysadmin an der CLI an und führen Sie die folgenden Befehle aus:

set ssl parameter -sendCloseNotify y

save ns config

DNSSEC Sicherheitsempfehlungen

Citrix empfiehlt, dass die folgenden Empfehlungen für Kunden angewendet werden, die DNSSEC verwenden:

Verwenden Sie RSA 1024 Bit oder höher für private KSK/ZSK-Schlüssel

NIST empfiehlt, dass DNS-Administratoren 1024-Bit RSA/SHA-1 und/oder RSA/SHA-256 ZSKs bis zum 01. Oktober 2015 verwalten.

SNMP-Alarm für DNSSEC-Schlüsselablauf aktivieren

Standardmäßig ist der SNMP-Alarm für den Ablauf des DNSSEC-Schlüssels auf einer Citrix ADC Appliance aktiviert. Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens DNSKeyExpiry gesendet. Drei MIB-Variablen,dnskeyName, und dnskeyUnitsOfExpiry, werden zusammen mit dem dnskeyExpiry SNMP-Trap gesendet. Weitere Informationen finden Sie in der Citrix ADC SNMP OID-Referenz.

Überschreiben Sie die privaten Schlüssel von KSK/ZSK, bevor die x.509-Zertifikate ablaufen

Auf einer Citrix ADC Appliance können Sie die Vorveröffentlichungs- und Doppelsignaturmethoden verwenden, um ein Rollover des Zonensignaturschlüssels und des Schlüsselsignaturschlüssels durchzuführen. Weitere Informationen finden Sie unter Domain Name System > Konfigurieren von DNSSEC in Citrix Docs.

Sicherer DNSSEC ADNS-Server

Wenn die Appliance im DNSSEC-Proxymodus konfiguriert ist, speichert sie die Antworten vom Back-End-ADNS-Server und leitet die zwischengespeicherten Antworten an die DNS-Clients weiter.

Wenn die Citrix ADC-Appliance für eine bestimmte Zone autorisierend ist, werden alle Ressourceneinträge in der Zone auf dem Citrix ADC konfiguriert. Um die autorisierende Zone zu signieren, müssen Sie die Schlüssel (Zonensignierschlüssel und Schlüsselsignierschlüssel) für die Zone erstellen, die Schlüssel zum ADC hinzufügen und dann die Zone signieren

So konfigurieren Sie Citrix ADC als autorisierenden Server:

  1. Fügen Sie einen ADNS-Dienst hinzu.

    Zum Beispiel:

    add service s1 <ip address> adns 53`
    
  2. Erstellen Sie DNS-Schlüssel.

    Um beispielsweise als autorisierender Server für die Domäne com zu fungieren:

    create dns key -zoneName com -keytype ksK -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.ksk.rsasha1.3000
    
    create dns key -zoneName com -keytype zsk -algorithm rsASHA1 -keysize 3000 -fileNamePrefix com.zsk.rsasha1.3000
    

    Hinweis: Sie müssen die DNS-Schlüssel einmal erstellen und sie werden in /nsconfig/dns gespeichert.

  3. DNS-Schlüssel hinzufügen.

    Beispiel:

    add dns key com.zsk.3000 /nsconfig/dns/com.zsk.rsasha1.3000.key /nsconfig/dns/com.zsk.rsasha1.3000.private
            add dns key com.ksk.3000 /nsconfig/dns/com.ksk.rsasha1.3000.key /nsconfig/dns/com.ksk.rsasha1.3000.private
    
  4. Fügen Sie NS- und SOA-Datensätze für die Zone com hinzu, und signieren Sie dann die Zone.

    add dns soaRec com -originServer n1.com -contact citrix
    add dns nsrec com n1.com
    add dns zone com -proxyMode no
    add dns addRec n1.com 1.1.1.1

    sign dns zone com

Hinweis: Darüber hinaus müssen Sie auch den DNSEC-Erweiterungsparameter in globalen DNS-Parametern aktivieren.

Weitere Informationen zum Konfigurieren des Citrix ADC als autorisierenden Domänennamenserver finden Sie unter Domain Name System > Konfigurieren des Citrix ADC als ADNS-Server in Citrix Docs.

Legacy-Konfiguration

Konfigurieren von Citrix ADC zum Deaktivieren der SSLv2-Umleitung

Wenn Sie die SSL v2-Umleitungsfunktion auf einer Citrix ADC Appliance aktivieren, führt die Appliance den SSL-Handshake durch und leitet den Client an die konfigurierte URL um. Wenn diese Funktion deaktiviert ist, verweigert die Appliance die Ausführung des SSL-Handshake-Prozesses mit SSL v2-Clients.

Führen Sie den folgenden Befehl aus, um die SSLv2-Umleitung zu deaktivieren:

set ssl vserver <vserver_name> -sslv2redirect DISABLED -cipherredirect DISABLED

Hinweis: Ab der Citrix ADC-Softwareversion 9.2 sind SSLv2-Umleitungs- und Verschlüsselungsumleitungsfunktionen standardmäßig deaktiviert.

Konfigurieren von Citrix ADC Version 10.0 und früher für die Verwendung sicherer SSL-Neuverhandlungen

Führen Sie den folgenden Befehl aus, um Citrix ADC so zu konfigurieren, dass nicht sichere SSL-Neuverhandlungen für Citrix ADC Softwareversion 9.3e oder 10.0 verhindert werden:

set ssl parameter -denySSLReneg NONSECURE

Führen Sie für frühere Versionen der Citrix ADC-Software den folgenden Befehl aus, um die SSL-Neuverhandlung zu deaktivieren:

set ssl parameter -denySSLReneg ALL

Der folgende Befehl erlaubt Neuverhandlungen nur für sichere Clients und Server:

set ssl parameter -denySSLReneg NONSECURE

Weitere Informationen finden Sie unter Konfigurieren und Verwenden des -denySSLReneg-Parameters.

Kryptografieempfehlungen für Citrix ADC

In diesem Abschnitt werden einige wichtige Schritte beschrieben, die befolgt werden müssen, um sicherzustellen, dass kryptografisches Material auf der Citrix ADC Appliance ordnungsgemäß gesichert ist. Sie enthält außerdem Informationen zur Konfiguration von Appliances für die Verwendung dieses Materials zum Schutz der Appliance selbst, der Back-End-Server und der Endbenutzer.

Verwalten von TLS-Zertifikaten und -Schlüsseln

Konfigurieren von TLS-Verschlüsselungssammlungen für NDPP-Bereitstellungen

Eine Liste der TLS-Verschlüsselungssammlungen, die für NDPP-Bereitstellungen unterstützt werden, finden Sie unterhttps://www.citrix.com/content/dam/citrix/en_us/documents/downloads/netscaler-adc/Common-criteria-documents-for-NetScaler-10.5.zip

Um sicherzustellen, dass nur die genehmigten Verschlüsselungssammlungen auf der Appliance konfiguriert sind, führen Sie die folgenden Konfigurationsschritte über die CLI aus:

  1. Bindung aller Chiffre vom virtuellen Server aufheben

    unbind ssl vs v1 –cipherName FIPS
    
  2. Binden Sie nur TLS1-AES-256-CBC-SHA und dann TLS1-AES-128-CBC-SHA mit dem Befehl:

    bind ssl vs v1 –cipherName <cipher>
    
    bind ssl vs v1 -cipherName TLS1-AES-256-CBC-SHA
    

Importieren eines vertrauenswürdigen Stammzertifikats:

  1. Übertragen Sie mithilfe eines Dienstprogramms für die sichere Dateiübertragungscp, z. B.WinSCPoder, das Serverausstellerzertifikat (Stammzertifikat) in das Verzeichnis /nsconfig/ssl der Citrix ADC Appliance.

    Hinweis: Sie müssen sich über SCP oder WinSCP als Superuser authentifizieren, um diesen Schritt abzuschließen.

  2. Melden Sie sich bei der Citrix ADC Appliance als Systemadministrator oder Superuser an, und geben Sie den folgenden Befehl ein:

add ssl certkey <Certificate_Name> –cert <Cert_File_Name>

Hinweis: Installieren Sie nur Stammzertifizierungsstellenzertifikate von Zertifizierungsstellen, die bekanntermaßen vertrauenswürdig sind. Entfernen Sie alle anderen Zertifikate.

Importieren eines PKCS #12 (.PFX) -Zertifikats und einer Schlüsseldatei:

Detaillierte Informationen zum Importieren von Zertifikaten und Schlüsseldateien in die Citrix ADC Appliance finden Sie unter SSL-Offload and Acceleration > Importieren vorhandener Zertifikate und Schlüssel in der Citrix Produktdokumentation.

  1. Übertragen Sie die PFX-Datei in das Verzeichnis /nsconfig/ssl, wie in Schritt 1 im vorherigen Abschnitt erwähnt.

  2. Authentifizieren Sie sich bei der Citrix ADC Appliance über die CLI als Systemadministrator oder Superuser, und führen Sie den folgenden Befehl aus:

    convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
    
  3. Fügen Sie das Zertifikat der Citrix ADC Appliance wie folgt hinzu:

    add ssl certkey Clent-Cert-1 –cert Cert-Client-1
    
  4. Speichern Sie die aktuelle Konfiguration.

    save ns config
    

Hinweis: Ab Citrix ADC 11.0 wird die PKCS #12 (.PFX) -Datei automatisch in PEM konvertiert, und alle Zertifikate werden automatisch hinzugefügt und mit der Zertifizierungsstelle verknüpft.

Installieren von Zertifikaten und Schlüsselpaaren mit einer vertrauenswürdigen Zertifizierungsstelle:

Um ein Zertifikat von einer öffentlichen oder Unternehmenszertifizierungsstelle (CA) zu erhalten, müssen Sie zunächst einen privaten Schlüssel und eine Zertifikatsignieranforderung (CSR) generieren. Gehen Sie wie folgt vor:

  1. Authentifizieren Sie sich bei der Citrix ADC CLI als Sysadmin oder Superuser.

  2. Erstellen Sie einen privaten RSA-Schlüssel.

    create fipsKey m1 -modulus 2048
    
  3. Erstellen Sie die Zertifikatsignieranforderung (CSR):

    create certreq csr_1 -fipsKeyName m1 -countryName IN -stateName BA -organizationName citrix
    
  4. Reichen Sie den CSR bei der Zertifizierungsstelle ein.

Für die meisten kommerziellen und Unternehmens-Zertifizierungsstellen wird die CSR in einer E-Mail-Anfrage gesendet. Die Methode der Übermittlung kann jedoch in Unternehmens-CA-Umgebungen variieren. Die Zertifizierungsstelle gibt ein gültiges Zertifikat per E-Mail zurück, dies kann jedoch auch zwischen den Unternehmenszertifizierungsstellen variieren. Nachdem Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, kopieren Sie es sicher in das Verzeichnis /nsconfig/ssl.

Melden Sie sich als Superuser oder Systemadministrator an und führen Sie den folgenden Befehl von der CLI aus: > add ssl certKey ck_1 -cert cert1_1 -fipsKey m1

Citrix ADC-FIPS-Empfehlungen

Konfigurieren von Citrix ADC SDX in einer FIPS-basierten Bereitstellung

Wenn Sie ein vorhandener FIPS-Kunde sind und eine Citrix ADC SDX-Appliance für echte Multimandanten verwenden, verwenden Sie die FIPS-zertifizierte Citrix ADC MPX-Appliance, um TLS zu beenden und den Datenverkehr an die Citrix ADC SDX-Appliance weiterzuleiten. Alternativ ist es möglich, ein Thales externes HSM zu verwenden. Ändern Sie FIPS-Kryptokartenkennwörter, wenn Sie eine FIPS-zertifizierte Version von Citrix ADC mit einem Hardware Security Module (HSM) verwenden, ändern Sie den Standardsicherheitsbeauftragten (SO) und legen Sie ein neues Benutzerkennwort wie folgt fest. Wenn Sie das standardmäßige SO-Kennwort einer FIPS-fähigen Citrix ADC Appliance nicht kennen, wenden Sie sich an den technischen Support von Citrix. Hinweis: Nur ein Superuser oder Sysadmin kann diese Aufgabe ausführen.

set ssl fips -initHSM Level-2 <soPassword> <oldSoPassword> <user-Password> [-hsmLabel <string>]

save configuration

initHSM

FIPS-Initialisierungsstufe. Die Appliance unterstützt derzeit Level-2 (FIPS 140-2). Dies ist ein obligatorisches Argument. Mögliche Werte: Level-2

hsmLabel

Beschriftung zur Identifizierung des Hardwaresicherheitsmoduls (HSM).

Maximale Länge: 31

Hinweis: Alle Daten auf der FIPS-Karte werden mit dem vorhergehenden Befehl gelöscht.

Speichern des HSM-Kennworts an einem sicheren Ort

Das Kennwort für HSM muss in Übereinstimmung mit den betrieblichen Abläufen Ihres Unternehmens an einem sicheren Ort gespeichert werden.

Hinweis: HSM ist nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Wenn sie gesperrt ist, wird sie nicht betriebsbereit, und Sie können ihre Konfiguration nicht ändern.

Weitere Funktionen: Citrix Web App Firewall und Citrix Gateway

Dieser Abschnitt enthält Beispiele für Konfigurationsänderungen, die sowohl auf die Citrix Web App Firewall als auch auf Citrix Gateway angewendet werden können, um die Sicherheit der bereitgestellten Appliances zu verbessern. Dieser Abschnitt enthält auch Informationen zum Erstellen mehrerer Ebenen oder Sicherheitsstufen.

Sicherheitsempfehlungen für Citrix Web App Firewall

Bereitstellen der Appliance im Zweiarm-Modus

Bei einer Installation mit zwei Armen befindet sich die Appliance physisch zwischen den Benutzern und den von der Appliance geschützten Webservern. Verbindungen müssen durch die Appliance geführt werden. Diese Anordnung minimiert die Chancen, eine Route um die Appliance herum zu finden.

Verwenden einer Richtlinie zur Standardverweigerung

Citrix empfiehlt, dass Administratoren die Citrix Web App Firewall mit einer Richtlinie “Alle verweigern” auf globaler Ebene konfigurieren, um alle Anforderungen zu blockieren, die nicht mit einer Citrix Web App Firewall-Richtlinie übereinstimmen. Im Folgenden finden Sie eine Beispielgruppe von Befehlen zum Konfigurieren einer Richtlinie Alle verweigern auf globaler Ebene:

add appfw profile default_deny_profile –defaults advanced

add appfw policy default_deny_policy NS_TRUE default_deny_profile

bind appfw global default_deny_policy <PRIORITY>

Hinweis: Die PRIORITY-Einstellung muss sicherstellen, dass die Standardrichtlinie zuletzt ausgewertet wird (nur wenn die Anforderung nicht mit anderen konfigurierten Richtlinien übereinstimmt).

Citrix ADC-Softwareversion 9.2 enthält Standardprofile, wie appfw_block, die bei konfigurierten Blockanforderungen, die nicht mit den Citrix Web App Firewall Richtlinien übereinstimmen. Führen Sie den folgenden Befehl aus, um das Standardprofil festzulegen:

set appfw settings -defaultProfile appfw_block

Citrix Web App Firewall — Erstellen mehrerer Sicherheitsstufen

Die folgenden Richtlinien helfen Ihnen, mehrere Sicherheitsstufen zu erstellen, abhängig von Ihrer Umgebung und den unterstützten Anwendungen.

Erste Sicherheitsebene

Führen Sie die folgenden Schritte aus, um die erste Sicherheitsebene zu erstellen:

  • Aktivieren Sie Pufferüberlauf, SQL-Injection und siteübergreifendes Skripting.
  • Start-URL wird benötigt, wenn die Anwendung speziell ist, auf welchen URLs zugegriffen werden muss und vor erzwungenem Browsen geschützt werden muss.
  • Feldformat aktivieren Überprüft, ob Ihre Anwendung Eingaben in einem Formularfeld erwartet.

Die standortübergreifende Skripterstellung kann zu Fehlalarmen führen, da viele Unternehmen über eine große installierte Basis von Javascript-verbesserten Webinhalten verfügen, die gegen dieselbe Ursprungsregel verstoßen. Wenn Sie die HTML Cross-Site Scripting Prüfung auf einer solchen Site aktivieren, müssen Sie die entsprechenden Ausnahmen generieren, damit die Prüfung legitime Aktivitäten nicht blockiert.

Führen Sie die erste Stufe aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und wechseln Sie dann zur nächsten Stufe. Eine stufige Implementierung hilft bei der Verwaltung der AppFW-Bereitstellung.

Zweite Sicherheitsebene

Gehen Sie folgendermaßen vor, um die zweite Sicherheitsebene zu erstellen:

Aktivieren Sie Signaturen für das Profil zusätzlich zu Pufferüberlauf, SQL-Injection und siteübergreifendes Scripting. Es gibt 1300 + Unterschriften. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung gelten, anstatt alle Signaturregeln zu aktivieren.

Führen Sie die zweite Ebene aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und wechseln Sie dann zur nächsten Stufe. Eine stufige Implementierung hilft bei der Verwaltung der Citrix Web App Firewall Bereitstellung.

Dritte Sicherheitsebene

Gehen Sie folgendermaßen vor, um die dritte Sicherheitsebene zu erstellen:

  • Aktivieren Sie basierend auf den Anwendungsanforderungen erweiterte Profilsicherheitsprüfungen wie CSRF-Tagging, Cookie-Konsistenz. Formularfeldkonsistenz für Teile von Anwendungen, die es benötigen.
  • Erweiterte Sicherheitsprüfungen erfordern mehr Verarbeitung und können sich auf die Leistung auswirken. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.

Die im Basis-Profil der Citrix Web App Firewall deaktivierten Sicherheitsprüfungen werden für Objekte in der HTTP-Antwort ausgeführt. Daher sind diese Sicherheitsprüfungen ressourcenintensiver. Wenn die Citrix Web App Firewall Response Side Protection durchführt, muss sie die an jeden einzelnen Client gesendeten Informationen speichern. Wenn beispielsweise ein Formular durch die Citrix Web App Firewall geschützt ist, bleiben die in der Antwort gesendeten Formularfeldinformationen im Arbeitsspeicher erhalten. Wenn der Client das Formular in der nächsten nachfolgenden Anforderung absendet, wird es auf Inkonsistenzen überprüft, bevor die Informationen an den Webserver gesendet werden. Dieses Konzept wird als Sessionization bezeichnet. Sicherheitsprüfungen wie URL-Enclosure innerhalb der Start-URL, Cookie-Konsistenz, Formularfeldkonsistenz und CSRF-Formular-Tagging implizieren Sessionization. Die Menge an CPU- und Speicherressourcen, die bei diesen Sicherheitsprüfungen verwendet werden, erhöht sich linear mit der Anzahl der Anforderungen, die über die Citrix Web App Firewall gesendet werden. Zum Beispiel:

  • Konsistenzprüfung für Formularfelder aktivieren: Diese Prüfung ist erforderlich, um zu überprüfen, ob die Webformulare nicht unangemessen vom Client geändert wurden. Eine Anwendung, die kritische Informationen in Formularen bereitstellt und hostet, würde die Prüfung erfordern.

  • CSRF-Formular-Tagging-Prüfung: Diese Prüfung gilt für Formulare. Die Cross-Site Request Forgery (CSRF) -Formular-Tagging markiert jedes Webformular, das von einer geschützten Website an Benutzer gesendet wird, mit einer eindeutigen und unvorhersehbaren FormID. Anschließend untersucht die von Benutzern zurückgegebenen Webformulare, um sicherzustellen, dass die bereitgestellte formID korrekt ist. Diese Überprüfung schützt vor standortübergreifenden Anforderungsfälschungen. Diese Prüfung muss aktiviert sein, wenn die Anwendung webbasierte Formulare hat. Diese Prüfung erfordert relativ geringe CPU-Verarbeitungskapazität im Vergleich zu bestimmten anderen Sicherheitsprüfungen, die Webformulare eingehend analysieren. Es ist daher in der Lage, Angriffe mit hohem Volumen zu bewältigen, ohne die Leistung der geschützten Website oder der Citrix Web App Firewall selbst ernsthaft zu beeinträchtigen.

Workflowschritte für Citrix Web App Firewall

Das folgende Diagramm veranschaulicht die Workflow-Schritte von Citrix Web App Firewall:

Workflowschritte für Citrix Web App Firewall

Im Folgenden werden die High-Level-Schritte beschrieben, die am Citrix Web App Firewall Workflow beteiligt sind:

  1. Konfigurieren Sie das Sicherheitsprofil.
  2. Wenden Sie Signaturen für alle bekannten Bedrohungen an - das negative Modell.
  3. Konfigurieren Sie Verkehrsrichtlinien, die den richtigen Verkehrsfluss erkennen können, bei dem dieses Sicherheitsprofil aktiviert werden muss.

Sie sind bereit, dass der Produktionsdatenverkehr das System durchläuft. Die erste Flussstufe ist abgeschlossen.Konfigurieren Sie außerdem die Lerninfrastruktur. Viele Male möchten Kunden im Produktionsverkehr lernen, wodurch die Signaturen angewendet werden, jedes Risiko vermeidet. Führen Sie die folgenden Schritte aus: a Konfigurieren Sie die Lerninfrastruktur. b. Stellen Sie die gelernten Regeln für den Schutz bereit. c. Validieren Sie die Lerndaten zusammen mit den angewendeten Signaturen, bevor Sie live gehen.

Citrix Gateway -Sicherheitsempfehlungen

Verwenden einer Richtlinie zur Standardverweigerung

Citrix empfiehlt Administratoren, das Citrix Gateway mit einer Richtlinie Alle verweigern auf globaler Ebene zu konfigurieren, zusätzlich zur Verwendung von Autorisierungsrichtlinien, um den Zugriff auf Ressourcen auf Gruppenbasis selektiv zu ermöglichen.

Standardmäßig ist der Parameter DefaultAuthorizationAction auf DENY festgelegt. Überprüfen Sie diese Einstellung, und gewähren Sie jedem Benutzer expliziten Zugriff. Sie können den Befehl show DefaultAuthorizationAction auf der CLI verwenden, um die Einstellung zu überprüfen. Um den Parameter so festzulegen, dass alle Ressourcen auf globaler Ebene verweigert werden, führen Sie den folgenden Befehl von der Befehlszeilenschnittstelle aus:

set vpn parameter -defaultAuthorizationAction DENY

Verwenden der TLS1.1/1.2 Kommunikation zwischen Servern

Citrix empfiehlt dringend, dass TLS1.1/1.2 für die Verbindungen zwischen Citrix Gateway Appliance und anderen Diensten wie LDAP- und Webinterface-Servern verwendet wird. Die Verwendung älterer Versionen dieses Protokolls 1.0 und SSLv3 und früher wird nicht empfohlen.

Verwenden Sie die Funktion Intranet-Anwendungen Verwenden Sie Intranet-Anwendungen, um festzulegen, für Netzwerke vom Citrix Gateway-Plug-In abgefangen und an das Gateway gesendet werden. Es folgt ein Beispielsatz von Befehlen zum Definieren von Interception:

add vpn intranetApplication intra1 ANY 10.217.0.0 -netmask 255.255.0.0 -destPort 1-65535 -interception TRANSPARENT

bind vpn vserver v1 –intranetapp intra1

Zusätzliche Informationsressourcen

Weitere Sicherheitsinformationen zu den Citrix ADC- und Citrix Gateway-Appliances finden Sie in den folgenden Ressourcen:

Weitere Unterstützung bei der Konfiguration Ihres Citrix ADC erhalten Sie unter:https://www.citrix.com/support.html

Einführung in Best Practices für Citrix ADC MPX-, VPX- und SDX-Sicherheit