Produktdokumentation
Citrix Application Delivery Management-Service
PDF anzeigen

Sicherheitshinweise

November 15, 2022
Beitrag von: 
C

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Sie Einblick in Art und Ausmaß vergangener, aktueller und drohender Bedrohungen, in Echtzeit verwertbare Daten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Lösung aus einem Bereich, mit der Sie Ihren Anwendungssicherheitsstatus beurteilen und Korrekturmaßnahmen ergreifen können, um Ihre Anwendungen zu schützen.

Hinweis

Security Insight wird auf Citrix ADM unterstützt, wobei alle ADC-Appliances auf Version 11.0 Build 65.31 und höher ausgeführt werden.

So funktioniert Security Insight

Security Insight ist eine intuitive Dashboard-basierte Sicherheitsanalyselösung, die Ihnen umfassenden Einblick in die Bedrohungsumgebung bietet, die mit Ihren Anwendungen verbunden ist. Sicherheitsinformationen sind in Citrix ADM enthalten und generiert regelmäßig Berichte basierend auf Ihrer Anwendungs-Firewall- und ADC-Systemsicherheitskonfigurationen. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

  • Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung anzeigt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

    Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen wie Verstoßtyp, Angriffskategorie, Standort und Client-Details geben Ihnen Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

  • Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Sie die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Schwachstellen zu schützen. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

    Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des ADC-Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen des ADC-Systems, z. B. ein sicheres Kennwort für den nsroot-Benutzer, nicht übernommen wurden, wird den Anwendungen ein niedriger Sicherheitsindexwert zugewiesen.

  • Umsetzbare Informationen. Die Informationen, die Sie benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Sie können beispielsweise Informationen über Verstöße, vorhandene und fehlende Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen überprüfen, mit der die Anwendungen angegriffen werden.

Konfigurieren von Sicherheitseinblicken

Hinweis

Security Insight wird nur auf ADC-Instanzen mit Premium-Lizenz oder ADC Advanced mit AppFirewall -Lizenz unterstützt.

Um Sicherheitseinblicke für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Anwendungsfirewallprofil und eine Anwendungsfirewall-Richtlinie und binden Sie dann die Richtlinie für die Anwendungsfirewall global.

Aktivieren Sie dann die AppFlow Funktion, konfigurieren Sie einen AppFlow-Kollektor, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Sie den Collector konfigurieren, müssen Sie die IP-Adresse des Citrix ADM Agent angeben, auf dem Sie die Berichte überwachen möchten.

Konfigurieren von Security Insight auf einer ADC-Instanz

  1. Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

     **add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\]

 **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\]

 **add appfw policy** \<name\> \<rule\> \<profileName\>

 **bind appfw global** \<policyName\> \<priority\>

 or,

 **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>

    Musterbeispiel:

    ```
add appfw profile pr_appfw -defaults advanced
set  appfw profile pr_appfw -startURLaction log stats learn
add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw
bind appfw global pr_appfw_pol 1
or,
bind lb vserver outlook –policyName pr_appfw_pol –priority "20"
<!--NeedCopy--> ```

  2. Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

     **add appflow collector** \<name\> **-IPAddress** \<ipaddress\>

**set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\]

 **add appflow action** \<name\> **-collectors** \<string\>

 **add appflow policy** \<name\> \<rule\> \<action\>

**bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\]

 or,

 **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>

    Musterbeispiel:

    ```
add appflow collector col -IPAddress 10.102.63.85
set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
add appflow action act1 -collectors col
add appflow action af_action_Sap_10.102.63.85 -collectors col
add appflow policy pol1 true act1
add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
bind appflow global pol1 1 END -type REQ_DEFAULT
or,
bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"
<!--NeedCopy--> ```

Aktivieren von Sicherheitseinblicken von Citrix ADM

  1. Navigieren Sie zu Infrastruktur > Instanzen > Citrix ADC und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus und wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurierenaus.

  3. Im Fenster Analytics auf virtuellem Server konfigurieren :

    1. Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie auf Analytics aktivieren.

      Das Fenster Analytics aktivieren wird angezeigt.

    2. Wählen Sie WAF-Sicherheitsverletzungen

    3. Wählen Sie unter Erweiterte OptionenLogstreamoderIPFIXals Transportmodus

Hinweis > > Für Citrix ADC 12.0 oder früher ist IPFIX die Standardoption für den Transportmodus. Für Citrix ADC 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen. > > Weitere Informationen zu IPFIX und Logstreamfinden Sie unter Logstream-Übersicht.

1.  Der Ausdruck ist standardmäßig true

1.  Klicken Sie auf **OK**

    ![Smartcard](/en-us/citrix-application-delivery-management-service/media/security-insight-enable.png)

    > **Hinweis**
    >
    > -  Wenn Sie virtuelle Server auswählen, die nicht lizenziert sind, lizenziert Citrix ADM zuerst diese virtuellen Server und aktiviert dann Analysen.
    >
    > -  Für Admin-Partitionen wird nur **Web Insight** unterstützt

Nachdem Sie auf OK geklickt haben, verarbeitet Citrix ADM Analysen auf den ausgewählten virtuellen Servern zu aktivieren.

Analytics aktivieren

Hinweis

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt die auf virtuellen IP-Adressen basierende Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und dem Zuweisen von Benutzern zur Gruppe finden Sie unter Konfigurieren von Gruppen in Citrix ADM.

Konfigurieren von Geo-Standorten für Security Insight-Berichte

Wenn Sie Geo-Standorte in Citrix ADM konfigurieren, enthalten Security Insight-Berichte die genauen geografischen Standorte, von denen Clientanforderungen stammen. Um geografische Standorte zu aktivieren, geben Sie einen privaten IP-Block oder einen IP-Adressbereich für jeden geografischen Standort in Ihrer Organisation an. Fügen Sie diese Informationen zusammen mit dem Namen der Stadt/des Bundesland/Landes und den Breiten- und Längengradkoordinaten jedes Standorts in die Geodatenbankdatei ein. Wenden Sie sich an Ihren Citrix-Vertreter, um die Geodatenbankdatei zu erhalten, und laden Sie die Datei dann auf die ADC-Instanz hoch.

So konfigurieren Sie Geo-Standorte:

  1. Kopieren Sie die Geodatenbankdatei Citrix_Netscaler_InBuilt_GeoIP_DB.csv an einen beliebigen Speicherort auf der ADC-Appliance.

  2. Öffnen Sie die Geodatenbankdatei mit einem Texteditor, z. B. vi editor, und fügen Sie für jeden Standort in Ihrer Organisation einen Eintrag hinzu.

    Der Eintrag muss das folgende Format haben:

    <start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude

    Beispiel:

    4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

  3. Führen Sie die folgenden Befehle aus, um die Geo-Location-Protokollierung und -Protokollierung im CEF-Format zu aktivieren:

    • add locationFile <Complete path with DB file>
    • set appfw settings -geoLocationLogging ON
    • set appfw settings -CEFLogging ON

IP-Reputation

Sie können NetScaler Insight Center verwenden, um die IP-Reputation Ihres eingehenden Datenverkehrs zu überwachen und zu verwalten. Sie können Richtlinien so konfigurieren, dass weitere IPs bösartig hinzugefügt werden, und eine benutzerdefinierte Blockliste erstellen.

Weitere Informationen zur Konfiguration und Verwendung von IP Reputation finden Sie unter IP-Reputation.

Überwachen der IP-Reputation

Die IP-Reputation-Funktion bietet angriffsbezogene Informationen über bösartige IP-Adressen. Beispielsweise werden IP-Reputationsbewertung, IP-Reputationskategorie, IP-Reputation-Angriffszeit, Geräte-IP und Details zur Client-IP-Adresse gemeldet.

Der IP-Reputations-Score gibt das mit einer IP-Adresse verbundene Risiko an. Die Partitur hat die folgenden Bereiche:

Bewertung der IP-Reputation Grad des Risikos
1–20 Hohes Risiko
21–40 Verdächtig
41–60 Mäßiges Risiko
61–80 Niedriges Risiko
81–100 Vertrauensvoll

So überwachen Sie die IP-Reputation:

  1. Navigieren Sie zu Sicherheit > Sicherheitsverletzungen, und wählen Sie unter WAFdie Anwendung aus, die Sie überwachen möchten.

  2. Die Bewertungen des Bedrohungsindexund des Sicherheitsindexwerden angezeigt. Klicken Sieauf Details anzeigen.

  3. Unter Application Firewall Configuration können Sie den Wert des IP-Reputations-Sicherheitsindexes anzeigen.

Schwellenwerte

In Security Insight können Sie Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen festlegen und anzeigen.

So legen Sie einen Schwellenwert fest:

  1. Navigieren Sie zu Einstellungen > Analytics-Einstellungen > Schwellenwerteund wählen Sie Hinzufügenaus.

  2. Wählen Sie im Feld Datenverkehrstyp den Datenverkehrstyp als Sicherheit aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

  3. Verwenden Sie im Abschnitt Regel die Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen.

    Zum Beispiel “Bedrohungsindex” “>” “5”

  4. Klicken Sie auf Erstellen.

Anwendungsfälle für Security Insights

In den folgenden Anwendungsfällen wird beschrieben, wie Sie Sicherheitsinformationen verwenden können, um die Bedrohungsgefahr von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Verschaffen Sie sich einen Überblick über die Bedrohungs

In diesem Anwendungsfall verfügen Sie über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und Sie haben Citrix ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Sie müssen den Bedrohungsindex, den Sicherheitsindex sowie die Art und den Schweregrad aller Angriffe überprüfen, die die Anwendungen möglicherweise erlebt haben, um sich zuerst auf die kritischen Anwendungen zu konzentrieren. Das Security Insight Dashboard bietet eine Zusammenfassung der Bedrohungen, die Ihre Anwendungen während eines bestimmten Zeitraums Ihrer Wahl und für ein ausgewähltes ADC-Gerät ausgesetzt haben. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zu Sicherheit > Sicherheitsverletzung. Unter WAFwerden die fünf wichtigsten Anwendungen basierend auf den insgesamt betroffenen Verletzungen angezeigt. Um alle Anwendungen anzuzeigen, klicken Sie auf Alle anzeigen.

WAF-Anwendungen

Bestimmen der vorhandenen und fehlenden Sicherheitskonfiguration für eine Anwendung

Nachdem Sie die Bedrohungsgefahr einer Anwendung überprüft haben, möchten Sie ermitteln, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Sie können diese Informationen abrufen, indem Sie in die Anwendungsübersicht eindringen.

Die Zusammenfassung gibt Ihnen Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

  • Konfiguration der Anwendungs-Firewall Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.

  • Citrix ADM Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

    Sicherheitskonfiguration

Überprüfen Sie auf dem Knoten Application Firewall Configuration die Informationen zur Sicherheitsüberprüfung und Sicherheitsverletzung.

Konfiguration der Anwendungsfirewall

Klicken Sie auf den Knoten Citrix ADM System Security, und überprüfen Sie die Systemsicherheitseinstellungen und Citrix Empfehlungen, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit benötigen, sind die Anwendungen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

Bestimmen Sie die Anzahl der Angriffe in einer bestimmten Zeit

Sie können bestimmen, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt aufgetreten sind, oder Sie möchten die Angriffsquote für einen bestimmten Zeitraum untersuchen.

Klicken Sie unter WAFauf eine beliebige Anwendung, um die gesamten WAF-Verstöße anzuzeigen, die für die ausgewählte Dauer erkannt wurden.

Wählen Sie Dauer

Klicken Sie auf Protokolle, um Details für Angriffe basierend auf Schweregrad und durchgeführten Maßnahmen anzuzeigen. Die Logs-Seite enthält die folgenden Details:

  • Angriffszeit

  • IP-Adresse des Clients, von dem aus der Angriff erfolgte

  • Schweregrad

  • Kategorie des Verstoßes

  • URL, von der der Angriff stammt, und weitere Details.

Sicherheitshinweise
November 15, 2022
Beitrag von: 
C
November 15, 2022
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.