Citrix Application Delivery Management 13.0

Sicherheitshinweise

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Sie Einblick in die Art und das Ausmaß vergangener, gegenwärtiger und drohender Bedrohungen, Echtzeitdaten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Lösung aus einem Bereich, mit der Sie Ihren Anwendungssicherheitsstatus beurteilen und Korrekturmaßnahmen ergreifen können, um Ihre Anwendungen zu schützen.

Hinweis:

Security Insight wird von Citrix Application Delivery Management (ADM) mit Citrix ADC Appliances unterstützt, die auf Version 11.0 Build 65.31 und höher ausgeführt werden.

Funktionsweise von Security Insight

Security Insight ist eine intuitive Dashboard-basierte Sicherheitsanalyselösung, die Ihnen umfassenden Einblick in die Bedrohungsumgebung bietet, die mit Ihren Anwendungen verbunden ist. Sicherheitsinformationen sind in Citrix ADM enthalten und werden regelmäßig Berichte basierend auf den Sicherheitskonfigurationen der Application Firewall und des Citrix ADC -Systems generiert. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

  • Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Wichtigkeit von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine Citrix ADC Appliance geschützt ist oder nicht. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

    Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen, wie Verletzungstyp, Angriffskategorie, Standort und Client-Details, geben Ihnen Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Eine große Anzahl von Verstößen und Schwachstellen führt zu einem hohen Bedrohungsindex.

  • Sicherheitsindex Ein einstelliges Bewertungssystem, das angibt, wie sicher Sie die Citrix ADC Instanzen zum Schutz von Anwendungen vor externen Bedrohungen und Sicherheitslücken konfiguriert haben. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

    Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des Citrix ADC -Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Überprüfungen der Anwendungsfirewall durchgeführt wurden, aber die Sicherheitsmaßnahmen des Citrix ADC -Systems, z. B. ein sicheres Kennwort für den nsroot-Benutzer, nicht übernommen wurden, wird den Anwendungen ein niedriger Sicherheitsindex zugewiesen.

  • Umsetzbare Informationen. Informationen, die Sie benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, wodurch die Anwendungssicherheit erheblich verbessert wird. Beispielsweise können Sie Informationen zu Verstößen, vorhandenen und fehlenden Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen, die Rate, mit der die Anwendungen angegriffen werden, usw. überprüfen.

Konfigurieren von Security Insight

Citrix ADM unterstützt Security Insight von allen Citrix ADC Instanzen, auf denen eine Anwendungsfirewall konfiguriert ist.

Um Sicherheitsinformationen für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zunächst ein Anwendungs-Firewall-Profil und eine Anwendungs-Firewall-Richtlinie. Obwohl Sie die Firewall-Richtlinie für die Anwendung global binden können, empfiehlt Citrix, dass die Richtlinie an den virtuellen Server gebunden ist.

Um die Analysen in Citrix ADM anzuzeigen, aktivieren Sie das AppFlow Feature in der Instanz, konfigurieren Sie einen AppFlow-Collector, eine Aktion und eine Richtlinie und binden die Richtlinie global. Auch wenn Sie die Firewall-Richtlinie der Anwendung global binden können, empfiehlt Citrix, dass die Richtlinie an den virtuellen Server gebunden ist. Citrix empfiehlt außerdem, dass Sie AppFlow Konfigurationen auf den ADC-Instanzen mit Citrix ADM bereitstellen. Wenn Sie den Collector konfigurieren, müssen Sie die IP-Adresse des Citrix ADM -Servers angeben, auf dem die Berichte überwacht werden sollen.

So konfigurieren Sie Sicherheitsinformationen für eine Citrix ADC Instanz:

  1. Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

    add appfw profile <name> [-defaults ( basic | advanced )]

    set appfw profile <name> [-startURLAction <startURLAction> …]

    add appfw policy <name> <rule> <profileName>

    bind appfw global <policyName> <priority>

    Oder

    bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

    add appflow collector <name> -IPAddress <ipaddress>

    set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

    add appflow action <name> -collectors <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    oder,

    bind lb vserver <vserver> -policyName <policy> -priority <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

So aktivieren Sie Security Insight von Citrix ADM:

Wenn Sie Citrix ADM 13.0 Build 41.x verwenden:

  1. Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus, und klicken Sie in der Liste Aktion auswählen auf Analytics konfigurieren.

  3. Wählen Sie auf der Seite Analytics auf virtuellen Servern konfigurieren den virtuellen Server aus, und klicken Sie auf Analytics aktivieren.

  4. Im Fenster Analytics aktivieren:

    1. Sicherheitsinformationenauswählen

    2. Logstream als Transportmodus auswählen

      Hinweis:

      Für Citrix ADC 12.0 oder früher ist IPFIX die Standardoption für den Transaport-Modus. Für Citrix ADC 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen.

      Weitere Hinweise zu IPFIX und Logstream finden Sie unter Übersicht über den Logstream.

    3. Der Ausdruck ist standardmäßig true

    4. Klicken Sie auf OK.

      Aktivieren von Analysen

      Hinweis:

      • Wenn Sie virtuelle Server auswählen, die nicht lizenziert sind, lizenziert Citrix ADM zuerst diese virtuellen Server und aktiviert dann die Analyse

      • Für Administratorpartitionen wird nur Web Insight unterstützt

      • Für virtuelle Server wie Cache-Umleitung, Authentifizierungund GSLB können Sie Analysen nicht aktivieren. Es wird eine Fehlermeldung angezeigt.

Nachdem Sie auf OK geklickt haben, verarbeitet Citrix ADM Analysen auf den ausgewählten virtuellen Servern zu aktivieren.

Verarbeitung von Analysen

Wenn Sie Citrix ADM 13.0 Build 36.27 verwenden:

  1. Navigieren Sie zu Netzwerke > Instanzen, und wählen Sie die Citrix ADC Instanz aus, die AppFlow aktiviert werden soll.

  2. Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Wählen Sie die virtuellen Server aus, und klicken Sie auf AppFlow aktivieren.

  4. Geben Sie im Feld AppFlow aktivieren den Wert trueein, und wählen Sie Security Insightaus.

  5. Klicken Sie auf OK.

    lokalisiertes Bild

    Hinweis

    Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressen basierte Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und dem Zuweisen von Benutzern zur Gruppe finden Sie unterGruppen konfigurieren.

Geo-Standorte für Security Insight-Berichte anzeigen

Security Insight-Berichte enthalten die genauen geografischen Standorte, von denen Clientanforderungen stammen. Sie können die geografischen Standorte in Citrix ADM anzeigen. Die Geodatenbankdatei, die in Citrix ADC integriert ist, enthält die meisten öffentlichen IP-Adressen. Die Datei ist unter /var/netscaler/inbuilt_db in Citrix ADC verfügbar.

So aktivieren Sie Geostandorte:

Führen Sie die folgenden Befehle aus, um die Geo-Location-Protokollierung und -Protokollierung im CEF-Format zu aktivieren:

  • add locationFile <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

Wenn keine IP-Adresse in der Geodatenbankdatei verfügbar ist, können Sie die IP-Adresse für den geografischen Standort hinzufügen. Zusammen mit der IP-Adresse können Sie auch Stadt/Bundesland/Land Namen und die Breiten- und Längengradkoordinaten jedes Standorts hinzufügen.

Öffnen Sie die Geodatenbankdatei mit einem Texteditor, z. B. vi-Editor, und fügen Sie für jeden Speicherort einen Eintrag hinzu.

Der Eintrag muss das folgende Format haben:

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

Beispiel:

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

IP-Reputation

Sie können NetScaler Insight Center verwenden, um die IP-Reputation Ihres eingehenden Datenverkehrs zu überwachen und zu verwalten. Sie können Richtlinien so konfigurieren, dass weitere IPs bösartig hinzugefügt werden, und eine benutzerdefinierte Blockliste erstellen.

Informationen zum Konfigurieren und Verwenden von IP-Reputation finden Sie unter IP-Reputation.

Überwachen der IP-Reputation

Die IP-Reputation-Funktion bietet angriffsbezogene Informationen über bösartige IP-Adressen. Beispielsweise werden IP-Reputationsbewertung, IP-Reputationskategorie, IP-Reputation-Angriffszeit, Geräte-IP und Details zur Client-IP-Adresse gemeldet.

IP-Reputationsbewertung gibt das Risiko an, das mit einer IP-Adresse verbunden ist. Die Punktzahl hat die folgenden sind die Bereiche:

Bewertung der IP-Reputation Risikograd
1–20 Hohes Risiko
21–40 Verdächtig
41–60 Moderates Risiko
61–80 Geringes Risiko
81–100 Vertrauenswürdig

So überwachen Sie die IP-Reputation:

  1. Navigieren Sie zu Analytics> Security Insight, und wählen Sie die Anwendung aus, die Sie überwachen möchten.

  2. Wählen Sie auf der Registerkarte Bedrohungsindex die Option IP-Reputation aus.

    lokalisiertes Bild

  3. Wählen Sie einen Schweregrad aus, um weitere Details zu den Angriffen anzuzeigen, die sich auf dieser Ebene befanden. Sie können auf das Balkendiagramm oder in der Tabelle unter dem Diagramm klicken.

  4. Wählen Sie den Zeitraum aus, für den Sie die Details anzeigen möchten. Mit dem Zeitschieberegler können Sie den ausgewählten Zeitraum weiter anpassen. Klicken Sie dann auf Los.

    lokalisiertes Bild

  5. Um die Anzeige anzupassen, klicken Sie auf die Schaltfläche Einstellungen.

    lokalisiertes Bild

Schwellenwerte

Sie können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So legen Sie einen Schwellenwert fest:

  1. Navigieren Sie zu Analytics > Einstellungen > Schwellenwerte, und wählen Sie Hinzufügenaus.

  2. Wählen Sie im Feld “Verkehrstyp” den TypSicherheit “ aus, und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder ein, z. B. Name, Dauer und Entität.

  3. Verwenden Sie im Abschnitt Regel konfigurieren die Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen.

    Zum Beispiel: “Threat Index” “>” “5”

  4. Wählen Sie in den Benachrichtigungseinstellungenden Benachrichtigungstyp aus.

  5. Klicken Sie auf Erstellen.

So zeigen Sie die Schwellenwertverletzungen an:

  1. Navigieren Sie zu Analytics > Security Insight > Devices, und wählen Sie die Citrix ADC Instanz aus.

  2. Im Abschnitt Anwendung können Sie die Anzahl der Schwellenwertverletzungen für jeden virtuellen Server in der Spalte Schwellenverletzung anzeigen.

Anwendungsfälle für Security Insight

In den folgenden Anwendungsfällen wird beschrieben, wie Sie Sicherheitsinformationen verwenden können, um die Bedrohungsgefahr von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Verschaffen Sie sich einen Überblick über die Bedrohungsumgebung

In diesem Anwendungsfall verfügen Sie über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und Sie haben Citrix ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Sie müssen häufig den Bedrohungsindex, den Sicherheitsindex sowie die Art und den Schweregrad aller Angriffe, die in den Anwendungen aufgetreten sind, überprüfen, damit Sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit benötigen. Das Security Insight-Dashboard bietet eine Zusammenfassung der Bedrohungen, die Ihre Anwendungen über einen bestimmten Zeitraum Ihrer Wahl und für ein ausgewähltes Citrix ADC Gerät ausgesetzt haben. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Beispielsweise können Sie Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung überwachen und eine Zusammenfassung der Bedrohungsumgebung für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADMan, und navigieren Sie dann zu Analytics > Security Insight.

Für jede Anwendung werden Schlüsselinformationen angezeigt. Der Standardzeitraum ist 1 Stunde.

lokalisiertes Bild

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie in der Liste oben links einen Zeitraum aus.

lokalisiertes Bild

Um eine Zusammenfassung für eine andere Citrix ADC Instanz anzuzeigen, klicken Sie unter Geräteauf die IP-Adresse der Citrix ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Bestimmen der Gefährdung einer Anwendung

Um die Anwendungen zu identifizieren, die über einen hohen Bedrohungsindex und einen niedrigen Sicherheitsindex im Security Insight-Dashboard verfügen, sollten Sie die Bedrohung ermitteln, bevor Sie sich entscheiden, sie zu schützen. Das heißt, Sie möchten den Typ und den Schweregrad der Angriffe bestimmen, die ihre Indexwerte verschlechtern. Sie können die Bedrohungsgefahr einer Anwendung ermitteln, indem Sie die Anwendungsübersicht überprüfen.

In diesem Beispiel hat Microsoft Outlook den Bedrohungsindexwert 6, und Sie möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Klicken Sie im Security Insight-Dashboard auf Outlook, um die Bedrohungsgefahr von Microsoft Outlook zu ermitteln. Die Anwendungsübersicht enthält eine Karte, die den geografischen Standort des Servers identifiziert.

lokalisiertes Bild

Klicken Sie auf Bedrohungsindex > Sicherheitsüberprüfungsverstöße, und überprüfen Sie die angezeigten Informationen zur Verletzung.

lokalisiertes Bild

Klicken Sie auf Signaturverletzungen, und überprüfen Sie die angezeigten Verstoßinformationen.

lokalisiertes Bild

Bestimmen der vorhandenen und fehlenden Sicherheitskonfiguration für eine Anwendung

Nachdem Sie die Bedrohungsgefahr einer Anwendung überprüft haben, möchten Sie ermitteln, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Sie können diese Informationen erhalten, indem Sie in die Zusammenfassung des Sicherheitsindex der Anwendung eingehen.

Die Zusammenfassung des Sicherheitsindex enthält Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

  • Konfiguration der Anwendungs-Firewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.
  • NetScaler Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

lokalisiertes Bild

Im vorherigen Anwendungsfall haben Sie das Bedrohungsrisiko von Microsoft Outlook überprüft, das den Bedrohungsindexwert 6 aufweist. Jetzt möchten Sie wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie im Security Insight-Dashboard auf Outlook, und klicken Sie dann auf die Registerkarte Sicherheitsindex. Überprüfen Sie die Informationen im Bereich Safety Index Summary.

lokalisiertes Bild

Klicken Sie auf dem Knoten Application Firewall-Konfiguration auf Outlook_Profile, und überprüfen Sie die Informationen zur Sicherheitsprüfung und zur Signaturverletzung in den Kreisdiagrammen.

lokalisiertes Bild

lokalisiertes Bild

Überprüfen Sie den Konfigurationsstatus der einzelnen Schutztypen in der Übersichtstabelle der Anwendungsfirewall. Um die Tabelle in einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

lokalisiertes Bild

Klicken Sie auf den Knoten NetScaler System Security, und überprüfen Sie die Systemsicherheitseinstellungen und Empfehlungen von Citrix, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit erfordern, sind diejenigen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel weisen sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6 auf, Lync weist jedoch den unteren der beiden Sicherheitsindizes auf. Daher müssen Sie möglicherweise Ihre Aufmerksamkeit auf Lync konzentrieren, bevor Sie die Bedrohungsumgebung für Outlook verbessern.

lokalisiertes Bild

Bestimmen Sie die Anzahl der Angriffe in einer bestimmten Zeit

Sie können bestimmen, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt aufgetreten sind, oder Sie möchten die Angriffsquote für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite Security Insight auf eine beliebige Anwendung, und klicken Sie in der Anwendungsübersichtauf die Anzahl der Verstöße. Auf der Seite Total Violations werden die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat angezeigt.

lokalisiertes Bild

Die Tabelle Anwendungsübersicht enthält die Details zu den Angriffen. Einige von ihnen sind wie folgt:

  • Angriffszeit

  • IP-Adresse des Clients, von dem der Angriff stattgefunden hat

  • Schweregrad

  • Kategorie des Verstoßes

  • URL, von der der Angriff stammt, und weitere Details.

lokalisiertes Bild

Während Sie die Angriffszeit immer in einem stündlichen Bericht anzeigen können, wie im Bild zu sehen ist, können Sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für tägliche oder wöchentliche Berichte anzeigen. Wenn Sie in der Zeitperiodenliste 1 Tag auswählen, zeigt der Security Insight-Bericht alle aggregierten Angriffe an und die Angriffszeit wird in einer Stunde angezeigt. Wenn Sie 1 Woche oder 1 Monat wählen, werden alle Angriffe aggregiert und die Angriffszeit wird in einem Tagesbereich angezeigt.

lokalisiertes Bild

Detaillierte Informationen zu Sicherheitsverletzungen erhalten

Möglicherweise möchten Sie eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in die Art und den Schweregrad der Angriffe, die von der Citrix ADC Instanz durchgeführten Aktionen, die angeforderten Ressourcen und die Quelle der Angriffe erhalten.

Sie können beispielsweise bestimmen, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen der Quellen.

Klicken Sie im Security Insight-Dashboardauf Lync > Total Verletzungen. Klicken Sie in der Tabelle in der Spaltenüberschrift Aktion auf das Filtersymbol, und wählen Sie dann Blockiert aus.

lokalisiertes Bild

Informationen zu den angeforderten Ressourcen finden Sie in der URL-Spalte. Informationen zu den Quellen der Angriffe finden Sie in der Spalte Client-IP.

Details zum Protokollausdruck anzeigen

Citrix ADC Instanzen verwenden Protokollausdrücke, die mit dem Application Firewall-Profil konfiguriert sind, um Maßnahmen für Angriffe auf eine Anwendung in Ihrem Unternehmen zu ergreifen. In Security Insight können Sie die Werte anzeigen, die für die Protokollausdrücke zurückgegeben werden, die von der Citrix ADC Instanz verwendet werden. Diese Werte umfassen den Anforderungsheader, den Anforderungstext usw. Neben den Protokollausdruckswerten können Sie auch den Namen des Protokollausdrucks und den Kommentar für den Protokollausdruck anzeigen, der im Application Firewall-Profil definiert ist, mit dem die Citrix ADC Instanz Maßnahmen für den Angriff ergriffen hat.

Voraussetzungen

Stellen Sie sicher, dass Sie:

  • Konfigurieren Sie Protokollausdrücke im Profil der Anwendungsfirewall. Weitere Informationen finden Sie unter Anwendungs-Firewall.

  • Aktivieren Sie die Einstellung Security Insights auf Protokollausdruck in Citrix ADM. Gehen Sie wie folgt vor:

    1. Navigieren Sie zu Analytics > Einstellungen, und klicken Sie auf Features für Analytics aktivieren.

    2. Wählen Sie auf der Seite Feature für Analytics aktivieren die Option Security Insight aktivieren im Abschnitt Log Expression Based Security Insight Einstellung, und klicken Sie auf OK.

    lokalisiertes Bild

Sie können beispielsweise die Werte des Protokollausdrucks anzeigen, der von der Citrix ADC Instanz für die Aktion zurückgegeben wird, die sie für einen Angriff auf Microsoft Lync in Ihrem Unternehmen ergriffen hat.

Navigieren Sie im Security Insight-Dashboard zu Lync > Total Verletzungen. Klicken Sie in der Tabelle Anwendungszusammenfassungauf die URL, um die vollständigen Details der Verletzung auf der Seite Verstößungsinformationen anzuzeigen, einschließlich des Protokollausdrucks, des Kommentars und der Werte, die von der Citrix ADC Instanz für die Aktion zurückgegeben werden.

lokalisiertes Bild

Verstöße für Web Application Firewall (WAF) hervorheben

Sie können nun Details zu Angriffen wie HTTP-Header und HTTP-Nutzlast abrufen, um die Angriffe zu beheben oder zu analysieren. Um Details zu Angriffen zu erhalten, müssen Sie die “VerboseLogLevel” im Application Firewall-Profil mit dem folgenden Befehl aktualisieren:

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern - Es wird nur Verstöße protokolliert

  • patternPayload - Verletzungsmuster + 150 Bytes Feldelementwert vor dem Angriffsmuster werden protokolliert

  • patternPayloadHdr - Verletzungsmuster + 150 Bytes Feldelementwert vor dem Angriffsmuster + HTTP-Request-Header werden protokolliert

Basierend auf der Konfiguration “VerboseLogLevel” zeigt Citrix ADM die detaillierten Protokollausdrucksdatensätze an.

Die folgende Abbildung ist ein Beispiel, das das Angriffsmuster für die GET-Anforderung hervorhebt:

Detaillierter Log-Ausdruck

Die folgende Abbildung ist ein Beispiel, das das Angriffsmuster für die POST-Anforderung hervorhebt:

Detailed-log-expression-post

In diesen beiden Beispielen:

  • FIELDNAME bezieht sich auf den entsprechenden Feldnamen für das Angriffsmuster.

  • PAYLOAD_OFFSET bezieht sich auf den Angriff Offset in der tatsächlichen Nutzlast.

  • ATTACK_PATTERN hebt das Angriffsmuster hervor und enthält 150 Bytes Präfix-Nutzlast im Wert.

Weitere Informationen zum Konfigurieren der ausführlichen Protokollebene in Citrix ADC finden Sie unter Einfache Fehlerbehebung mit Web Application Firewall-Protokollen.

Bestimmen Sie den Sicherheitsindex, bevor Sie die Konfiguration bereitstellen

Sicherheitsverletzungen treten auf, nachdem Sie die Sicherheitskonfiguration auf einer Citrix ADC Instanz bereitgestellt haben. Sie sollten jedoch vor der Bereitstellung die Effektivität der Sicherheitskonfiguration beurteilen.

Sie können beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der Citrix ADC Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie im Security Insight-Dashboard unter Geräteauf die IP-Adresse der Citrix ADC Instanz, die Sie konfiguriert haben. Sie können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Bedrohungsindex ist eine direkte Reflexion der Anzahl und Art der Angriffe auf die Anwendung. Null-Angriffe weisen darauf hin, dass die Anwendung nicht bedroht ist.

lokalisiertes Bild

Klicken Sie auf SAP > Sicherheitsindex > SAP_profile und bewerten Sie die angezeigten Sicherheitsindexinformationen.

lokalisiertes Bild

In der Zusammenfassung der Anwendungsfirewall können Sie den Konfigurationsstatus der verschiedenen Schutzeinstellungen anzeigen. Wenn eine Einstellung auf log eingestellt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

lokalisiertes Bild