Citrix Application Delivery Management-Service

Sicherheitshinweise

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Sie Einblick in die Art und das Ausmaß vergangener, gegenwärtiger und drohender Bedrohungen, Echtzeitdaten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Lösung aus einem Bereich, mit der Sie Ihren Anwendungssicherheitsstatus beurteilen und Korrekturmaßnahmen ergreifen können, um Ihre Anwendungen zu schützen.

Hinweis

Security Insight wird von Citrix Application Delivery Management (ADM) unterstützt, wobei alle ADC-Appliances unter Version 11.0 Build 65.31 und höher ausgeführt werden.

So funktioniert Security Insight

Security Insight ist eine intuitive Dashboard-basierte Sicherheitsanalyselösung, die Ihnen umfassenden Einblick in die Bedrohungsumgebung bietet, die mit Ihren Anwendungen verbunden ist. Sicherheitsinformationen sind in Citrix ADM enthalten und werden regelmäßig Berichte basierend auf den Sicherheitskonfigurationen der Application Firewall und des ADC-Systems erstellt. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

  • Bedrohungsindex Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung anzeigt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

    Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen, wie Verletzungstyp, Angriffskategorie, Standort und Client-Details, geben Ihnen Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

  • Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Sie die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Schwachstellen zu schützen. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

    Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des ADC-Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen des ADC-Systems, z. B. ein sicheres Kennwort für den nsroot Benutzer, nicht übernommen wurden, wird den Anwendungen ein niedriger Sicherheitsindexwert zugewiesen.

  • Umsetzbare Informationen. Die Informationen, die Sie benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Sie können beispielsweise Informationen über Verstöße, vorhandene und fehlende Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen überprüfen, mit der die Anwendungen angegriffen werden.

Konfigurieren von Sicherheitseinblicken

Hinweis

Security Insight wird nur auf ADC-Instanzen mit Premium-Lizenz oder ADC Advanced mit AppFirewall -Lizenz unterstützt.

Um Sicherheitseinblicke für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Anwendungsfirewallprofil und eine Anwendungsfirewall-Richtlinie und binden Sie dann die Richtlinie für die Anwendungsfirewall global.

Aktivieren Sie dann die AppFlow Funktion, konfigurieren Sie einen AppFlow-Kollektor, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Sie den Collector konfigurieren, müssen Sie die IP-Adresse des Citrix ADM Dienstagenten angeben, auf dem die Berichte überwacht werden sollen.

Konfigurieren von Sicherheitsinformationen für eine ADC-Instanz

  1. Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

     **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]
    
     **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]
    
     **add appfw policy** \<name\> \<rule\> \<profileName\>
    
     **bind appfw global** \<policyName\> \<priority\>
    
     oder,
    
     **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Muster:

    ```
    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    oder,
    bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
    <!--NeedCopy--> ```
    
  2. Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

     **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>
    
    **set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\]
    
     **add appflow action** \<name\> **-collectors** \<string\>
    
     **add appflow policy** \<name\> \<rule\> \<action\>
    
    **bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]
    
     oder,
    
     **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>
    

    Muster:

    ```
    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    oder,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
    <!--NeedCopy--> ```
    

Aktivieren von Sicherheitseinblicken von Citrix ADM

  1. Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus, und wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Im Fenster Analytics auf virtuellem Server konfigurieren:

    1. Wählen Sie die virtuellen Server aus, für die Sie Sicherheitsinformationen aktivieren möchten, und klicken Sie auf Analytics aktivieren.

      Das Fenster Analytics aktivieren wird angezeigt.

    2. Sicherheitsinformationenauswählen

    3. Wählen Sie unter Erweiterte Optionen die Option Logstream oder IPFIX als Transportmodus aus.

      Hinweis

      Für Citrix ADC 12.0 oder früher ist IPFIX die Standardoption für den Transportmodus. Für Citrix ADC 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen.

      Weitere Informationen zu IPFIX und Logstream finden Sie unter Übersicht über den Logstream.

    4. Der Ausdruck ist standardmäßig true

    5. Klicken Sie auf OK

      Smartcard

      Hinweis

          -  Wenn Sie virtuelle Server auswählen, die nicht lizenziert sind, lizenziert Citrix ADM zuerst diese virtuellen Server und aktiviert dann die Analyse
      
          -  Für Administratorpartitionen wird nur **Web Insight** unterstützt
      

Nachdem Sie auf OK geklickt haben, verarbeitet Citrix ADM Analysen auf den ausgewählten virtuellen Servern zu aktivieren.

Analytics aktivieren

Hinweis

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressen basierte Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und dem Zuweisen von Benutzern zur Gruppe finden Sie unterKonfigurieren von Gruppen auf Citrix ADM.

Konfigurieren von Geo-Standorten für Security Insight-Berichte

Wenn Sie Geo-Standorte in Citrix ADM konfigurieren, enthalten Security Insight-Berichte die genauen geografischen Standorte, von denen Clientanforderungen stammen. Um Geo-Standorte zu aktivieren, geben Sie für jeden geografischen Standort in Ihrer Organisation einen privaten IP-Block oder einen IP-Adressbereich an. Fügen Sie diese Informationen in der Geo-Datenbankdatei hinzu, zusammen mit dem Stadt/Bundesland/Ländernamen und den Breiten- und Längengradkoordinaten der einzelnen Standorte. Wenden Sie sich an Ihren Citrix Vertreter, um die Geo-Datenbankdatei zu erhalten, und laden Sie die Datei dann in die ADC-Instanz hoch.

So konfigurieren Sie Geo-Standorte:

  1. Kopieren Sie die Geo-Datenbankdatei Citrix_NetScaler_Inbuilt_GeoIP_DB.csv an einen beliebigen Speicherort auf der ADC-Appliance.

  2. Öffnen Sie die Geo-Datenbankdatei mit einem Texteditor, z. B. vi-Editor, und fügen Sie für jeden Speicherort in Ihrer Organisation einen Eintrag hinzu.

    Der Eintrag muss das folgende Format haben:

    <start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

    Zum Beispiel:

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. Führen Sie die folgenden Befehle aus, um die Geo-Location-Protokollierung und -Protokollierung im CEF-Format zu aktivieren:

    • add locationFile <Complete path with DB file>
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

IP-Reputation

Sie können NetScaler Insight Center verwenden, um die IP-Reputation Ihres eingehenden Datenverkehrs zu überwachen und zu verwalten. Sie können Richtlinien so konfigurieren, dass weitere IPs bösartig hinzugefügt werden, und eine benutzerdefinierte Blockliste erstellen.

Informationen zur Konfiguration und Verwendung von IP Reputation finden Sie unter IP-Reputation.

Überwachen der IP-Reputation

Die IP-Reputation-Funktion bietet angriffsbezogene Informationen über bösartige IP-Adressen. Beispielsweise werden IP-Reputationsbewertung, IP-Reputationskategorie, IP-Reputation-Angriffszeit, Geräte-IP und Details zur Client-IP-Adresse gemeldet.

Der IP-Reputations-Score gibt das mit einer IP-Adresse verbundene Risiko an. Die Partitur hat die folgenden Bereiche:

Bewertung der IP-Reputation Risikograd
1–20 Hohes Risiko
21–40 Verdächtig
41–60 Moderates Risiko
61–80 Geringes Risiko
81–100 Vertrauenswürdig

So überwachen Sie die IP-Reputation:

  1. Navigieren Sie zu Analytics > Sicherheit > Sicherheitsverstößeund wählen Sie unter WAFdie Anwendung aus, die Sie überwachen möchten.

  2. Die Bewertungen des Bedrohungsindexund des Sicherheitsindexwerden angezeigt. Klicken Sieauf Details anzeigen.

  3. Unter Application Firewall Configuration können Sie den Wert des IP-Reputations-Sicherheitsindexes anzeigen.

Schwellenwerte

Sie können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So legen Sie einen Schwellenwert fest:

  1. Navigieren Sie zu System > Analytics-Einstellungen > Schwellenwerte, und wählen Sie Hinzufügen.

  2. Wählen Sie im Feld “Verkehrstyp” den Typ “ Sicherheit “ aus, und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder ein, z. B. Name, Dauer und Entität.

  3. Verwenden Sie im Abschnitt Regel die Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen.

    Zum Beispiel: “Threat Index” “>” “5”

  4. Klicken Sie auf Erstellen.

So zeigen Sie die Schwellenwertverletzungen an:

  1. Navigieren Sie zu Analytics > Security Insight > Devices, und wählen Sie die ADC-Instanz aus.

  2. Im Abschnitt Anwendung können Sie die Anzahl der Schwellenwertverletzungen für jeden virtuellen Server in der Spalte “Schwellenverletzung” anzeigen.

Anwendungsfälle für Security Insights

In den folgenden Anwendungsfällen wird beschrieben, wie Sie Sicherheitsinformationen verwenden können, um die Bedrohungsgefahr von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Verschaffen Sie sich einen Überblick über die Bedrohungsumgebung

In diesem Anwendungsfall verfügen Sie über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und Sie haben Citrix ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Sie müssen den Bedrohungsindex, den Sicherheitsindex sowie die Art und den Schweregrad aller Angriffe überprüfen, die die Anwendungen möglicherweise erlebt haben, um sich zuerst auf die kritischen Anwendungen zu konzentrieren. Das Security Insight Dashboard bietet eine Zusammenfassung der Bedrohungen, die Ihre Anwendungen während eines bestimmten Zeitraums Ihrer Wahl und für ein ausgewähltes ADC-Gerät ausgesetzt haben. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zu Analytics > Sicherheit > Sicherheitsverletzung, und unter WAFwerden die fünf wichtigsten Anwendungen basierend auf den gesamten betroffenen Verstößen angezeigt. Um alle Anwendungen anzuzeigen, klicken Sie auf Alle anzeigen.

WAF-Anwendungen

Bestimmen der vorhandenen und fehlenden Sicherheitskonfiguration für eine Anwendung

Nachdem Sie die Bedrohungsgefahr einer Anwendung überprüft haben, möchten Sie ermitteln, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Sie können diese Informationen abrufen, indem Sie in die Anwendungsübersicht eindringen.

Die Zusammenfassung gibt Ihnen Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

  • Konfiguration der Anwendungs-Firewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.
  • Citrix ADM -Systemsicherheit: Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

    Sicherheitskonfiguration

Überprüfen Sie auf dem Knoten Application Firewall Configuration die Informationen zur Sicherheitsüberprüfung und Sicherheitsverletzung.

Konfiguration der Anwendungsfirewall

Klicken Sie auf den Knoten Citrix ADM System Security, und überprüfen Sie die Systemsicherheitseinstellungen und Citrix Empfehlungen, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit benötigen, sind die Anwendungen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

Bestimmen Sie die Anzahl der Angriffe in einer bestimmten Zeit

Sie können bestimmen, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt aufgetreten sind, oder Sie möchten die Angriffsquote für einen bestimmten Zeitraum untersuchen.

Klicken Sie unter WAFauf eine beliebige Anwendung, um die gesamten WAF-Verstöße anzuzeigen, die für die ausgewählte Dauer erkannt wurden.

Wählen Sie Dauer

Klicken Sie auf Protokolle, um Details für Angriffe basierend auf Schweregrad und durchgeführten Maßnahmen anzuzeigen. Die Logs-Seite enthält die folgenden Details:

  • Angriffszeit

  • IP-Adresse des Clients, von dem der Angriff stattgefunden hat

  • Schweregrad

  • Kategorie des Verstoßes

  • URL, von der der Angriff stammt, und weitere Details.

Sicherheitshinweise