Citrix SD-WAN

Sicherheit

Dieser Artikel beschreibt bewährte Sicherheitsmethoden für die Citrix SD-WAN Lösung. Es enthält allgemeine Sicherheitshinweise für Citrix SD-WAN Bereitstellungen.

Citrix SD-WAN Bereitstellungsrichtlinien

Um die Sicherheit während des Bereitstellungslebenszyklus aufrechtzuerhalten, empfiehlt Citrix folgende Sicherheitsüberlegungen:

  • Physische Sicherheit
  • Appliance-Sicherheit
  • Netzwerksicherheit
  • Verwaltung und Verwaltung

Physische Sicherheit

Bereitstellen von Citrix SD-WAN-Appliances in einem sicheren Serverraum — Die Appliance oder Server, auf der Citrix SD-WAN installiert ist, sollte in einem sicheren Serverraum oder einer eingeschränkten Rechenzentrumseinrichtung untergebracht werden, wodurch die Appliance vor unbefugtem Zugriff geschützt wird. Der Zugang sollte mindestens durch einen elektronischen Kartenleser gesteuert werden. Der Zugriff auf die Appliance wird von CCTV überwacht, das kontinuierlich alle Aktivitäten zu Überwachungszwecken aufzeichnet. Wenn ein Einbruch, elektronische Überwachungssystem sollte eine Warnung an das Sicherheitspersonal für sofortige Reaktion senden.

Schützen Sie Front-Panel- und Konsolenanschlüsse vor unbefugtem Zugriff — Sichern Sie die Appliance in einem großen Käfig oder Rack mit physischer Schlüsselzugriffskontrolle.

Stromversorgung schützen - Stellen Sie sicher, dass das Gerät mit einer unterbrechungsfreien Stromversorgung (USV) geschützt ist.

Appliance-Sicherheit

Sichern Sie zum Schutz der Appliance das Betriebssystem eines Servers, der eine virtuelle Citrix SD-WAN Appliance (VPX) hostet, führen Sie Remote-Softwareupdates durch und folgen Sie den Methoden der sicheren Lebenszyklusverwaltung:

  • Sichern Sie das Betriebssystem des Servers Hosting einer Citrix SD-WAN VPX-Appliance - Eine Citrix SD-WAN VPX-Appliance wird als virtuelle Appliance auf einem Standardserver ausgeführt. Der Zugriff auf den Standardserver sollte durch rollenbasierte Zugriffskontrolle und starke Kennwortverwaltung geschützt werden. Außerdem empfiehlt Citrix regelmäßige Updates für den Server mit den neuesten Sicherheitspatches für das Betriebssystem und aktuellste Antivirensoftware auf dem Server.
  • Remote-Softwareupdates ausführen - Installieren Sie alle Sicherheitsupdates, um bekannte Probleme zu beheben. Auf der Webseite Security Bulletins können Sie sich anmelden und aktuelle Sicherheitswarnungen erhalten.
  • Befolgen Sie Secure Lifecycle Management Practices - Um eine Appliance bei der Neubereitstellung oder Initiierung von RMA und der Stilllegung sensibler Daten zu verwalten, führen Sie die Gegenmaßnahmen zur Datenerinnerung durch, indem Sie die persistenten Daten von der Appliance entfernen.

Netzwerksicherheit

Verwenden Sie für die Netzwerksicherheit nicht das Standard-SSL-Zertifikat. Verwenden Sie Transport Layer Security (TLS), wenn Sie auf die Administratorschnittstelle zugreifen, schützen Sie die nicht routingfähige Verwaltungs-IP-Adresse der Appliance, konfigurieren Sie eine Hochverfügbarkeits-Einrichtung und implementieren Sie die Sicherheitsvorkehrungen für Administration und Management entsprechend der Bereitstellung.

  • Verwenden Sie nicht das Standard-SSL-Zertifikat - Ein SSL-Zertifikat von einer seriösen Zertifizierungsstelle vereinfacht die Benutzererfahrung für Internetanwendungen. Im Gegensatz zu der Situation mit einem selbstsignierten Zertifikat oder einem Zertifikat von der seriösen Zertifizierungsstelle erfordern Webbrowser keine Benutzer, das Zertifikat von der seriösen Zertifizierungsstelle zu installieren, um eine sichere Kommunikation mit dem Webserver zu initiieren.
  • Transport Layer Security beim Zugriff auf Administratorschnittstelle verwenden - Stellen Sie sicher, dass die Verwaltungs-IP-Adresse nicht über das Internet zugänglich ist oder zumindest durch eine gesicherte Firewall geschützt ist. Stellen Sie sicher, dass die LOM-IP-Adresse nicht über das Internet zugänglich ist oder zumindest durch eine gesicherte Firewall geschützt ist.
  • Sichere Verwaltungs- und Verwaltungskonten — Erstellen Sie ein alternatives Administratorkonto, legen Sie starke Kennwörter für Administrator- und Viewerkonten fest. Wenn Sie den Remote-Kontozugriff konfigurieren, sollten Sie die extern authentifizierte administrative Verwaltung von Konten mithilfe von RADIUS und TACAS konfigurieren. Ändern Sie das Standardkennwort für die Administratorbenutzerkonten, konfigurieren Sie NTP, verwenden Sie den Standardwert für die Sitzungszeitüberschreitung, verwenden Sie SNMPv3 mit SHA-Authentifizierung und AES-Verschlüsselung.

Citrix SD-WAN Overlay-Netzwerk schützt Daten, die das SD-WAN-Overlay-Netzwerk durchlaufen.

Sichere Administratorschnittstelle

Ersetzen Sie für einen sicheren Zugriff auf die Webverwaltung Standardsystemzertifikate, indem Sie Zertifikate von einer seriösen Zertifizierungsstelle hochladen und installieren. Wechseln Sie zu Konfiguration> Einheiteneinstellungen> Administratorschnittstelle in der Benutzeroberfläche der SD-WAN-Appliance.

Benutzerkonten:

  • Kennwort des lokalen Benutzers ändern
  • Benutzer verwalten

HTTPS-Zertifikate:

  • Zertifikat
  • Schlüssel

Sonstiges:

  • Timeout der Webkonsole

lokalisierte Grafik

Konfigurations-Editor > Global > Netzwerkeinstellungen

Globale Firewalleinstellungen:

  • Globale Richtlinienvorlage
  • Standard-Firewall-Aktionen
  • Standardverfolgung des Verbindungszustands

Globale Verschlüsselungseinstellungen für virtuelle Pfade:

  • AES 128-Bit (Standard)
  • Drehung des Verschlüsselungsschlüssels (Standard)
  • Extended Packet Encryption Header
  • Erweiterter Paketauthentifizierungstrailer

lokalisierte Grafik

Globale Verschlüsselungseinstellungen für virtuelle Pfade

  • Die AES-128-Datenverschlüsselung ist standardmäßig aktiviert. Es wird empfohlen, AES-128 oder mehr Schutz der AES-256-Verschlüsselungsstufe für die Pfadverschlüsselung zu verwenden. Stellen Sie sicher, dass “Encryption Key Rotation aktivieren” so eingestellt ist, dass die Schlüsselregenerierung für jeden virtuellen Pfad mit aktivierter Verschlüsselung durch einen Elliptic Curve Diffie-Hellman-Schlüsselaustausch in Intervallen von 10-15 Minuten gewährleistet ist.

Wenn das Netzwerk zusätzlich zur Vertraulichkeit (d. h. Manipulationsschutz) eine Nachrichtenauthentifizierung erfordert, empfiehlt Citrix die Verwendung der IPsec-Datenverschlüsselung. Wenn nur Vertraulichkeit erforderlich ist, empfiehlt Citrix die Verwendung der erweiterten Header.

  • Extended Packet Encryption Header ermöglicht es, dass ein zufällig vorangestellter Zähler am Anfang jeder verschlüsselten Nachricht vorangestellt wird. Bei Verschlüsselung dient dieser Zähler als zufälliger Initialisierungsvektor, deterministisch nur mit dem Verschlüsselungsschlüssel. Dies randomisiert die Ausgabe der Verschlüsselung und liefert eine starke Nachricht, die nicht zu unterscheiden ist. Beachten Sie, dass diese Option, wenn sie aktiviert ist, den Paket-Overhead um 16 Byte erhöht
  • Extended Packet Authentication Trailer fügt einen Authentifizierungscode an das Ende jeder verschlüsselten Nachricht an. Dieser Trailer ermöglicht die Überprüfung, dass Pakete während des Transports nicht geändert werden. Beachten Sie, dass diese Option den Paketaufwand erhöht.

Firewall-Sicherheit

Die empfohlene Firewall-Konfiguration ist mit einer standardmäßigen Firewall-Aktion, die zuerst alle verweigert, und dann Ausnahmen hinzufügen. Bevor Sie Regeln hinzufügen, dokumentieren und überprüfen Sie den Zweck der Firewall-Regel. Verwenden Sie nach Möglichkeit Stateful Inspection und Application Level Inspection. Vereinfachen Sie Regeln und eliminieren Sie redundante Regeln. Definieren und befolgen Sie einen Änderungsverwaltungsprozess, der Änderungen an Firewalleinstellungen verfolgt und überprüft. Legen Sie die Firewall für alle Appliances fest, um Verbindungen über die Appliance mithilfe der globalen Einstellungen zu verfolgen. Die Verfolgung von Verbindungen überprüft, ob Pakete ordnungsgemäß gebildet sind und für den Verbindungsstatus geeignet sind. Erstellen Sie Zonen, die der logischen Hierarchie des Netzwerks oder der Funktionsbereiche der Organisation entsprechen. Beachten Sie, dass Zonen global signifikant sind und geografisch unterschiedliche Netzwerke als dieselbe Sicherheitszone behandelt werden können. Erstellen Sie möglichst spezifische Richtlinien, um das Risiko von Sicherheitslücken zu reduzieren und die Verwendung von Alle in Zulassen -Regeln zu vermeiden. Konfigurieren und Verwalten einer globalen Richtlinienvorlage, um eine grundlegende Sicherheitsstufe für alle Appliances im Netzwerk zu erstellen. Definieren Sie Richtlinienvorlagen basierend auf funktionalen Rollen von Appliances im Netzwerk und wenden Sie sie gegebenenfalls an. Definieren Sie Richtlinien nur bei Bedarf an einzelnen Standorten.

Globale Firewall-Vorlagen - Firewall-Vorlagen ermöglichen die Konfiguration globaler Parameter, die sich auf den Betrieb der Firewall auf einzelnen Appliances auswirken, die in der SD-WAN-Overlay-Umgebung arbeiten.

Standard-Firewall-Aktionen — Zulassen aktiviert Pakete, die keiner Filterrichtlinie entsprechen, sind zulässig. Verweigern aktiviert Pakete, die keiner Filterrichtlinie entsprechen, werden gelöscht.

Standardverbindungsstatusverfolgung — Aktiviert die bidirektionale Verbindungsstatusverfolgung für TCP-, UDP- und ICMP-Flows, die nicht mit einer Filterrichtlinie oder NAT-Regel übereinstimmen. Asymmetrische Flows werden blockiert, wenn diese aktiviert ist, auch wenn keine Firewall-Richtlinien definiert sind. Die Einstellungen können auf Siteebene definiert werden, wodurch die globale Einstellung außer Kraft gesetzt wird. Wenn asymmetrische Flüsse an einem Standort möglich sind, empfiehlt es sich, dies auf Standort- oder Richtlinienebene und nicht global zu aktivieren.

Zonen - Firewallzonen definieren logische Sicherheitsgruppen von Netzwerken, die mit dem Citrix SD-WAN verbunden sind. Zonen können auf virtuelle Schnittstellen, Intranetdienste, GRE Tunnel und LAN IPsec-Tunnel angewendet werden.

lokalisierte Grafik

Nicht vertrauenswürdige Sicherheitszone sollte für WAN-Verbindungen konfiguriert werden, die direkt mit einem öffentlichen (unsicheren) Netzwerk verbunden sind. Untrusted setzt die WAN-Verbindung auf den sichersten Zustand, sodass nur verschlüsselter, authentifizierter und autorisierter Datenverkehr in der Schnittstellengruppe akzeptiert werden kann. ARP und ICMP an die virtuelle IP-Adresse sind die einzigen anderen Datenverkehrstypen zulässig. Diese Einstellung stellt außerdem sicher, dass nur verschlüsselter Datenverkehr von den Schnittstellen gesendet wird, die der Interface-Gruppe zugeordnet sind.

Routing-Domänen

Routingdomänen sind Netzwerksysteme, die eine Reihe von Routern enthalten, die zum Segmentieren des Netzwerkverkehrs verwendet werden. Neu erstellte Kerne werden automatisch der Standard-Routingdomäne zugeordnet.

Konfigurations-Editor > Global

Routing-Domänen

  • Default_RoutingDomain

IPsec-Tunnel

  • Standardsätze
  • Sichern Sie Benutzerdaten virtueller Pfade mit IPsec

lokalisierte Grafik

lokalisierte Grafik

IPsec-Tunnel

IPsec-Tunnel sichern sowohl Benutzerdaten als auch Header-Informationen. Citrix SD-WAN Appliances können feste IPsec-Tunnel auf der LAN- oder WAN-Seite mit Nicht-SD-WAN-Peers aushandeln. Für IPsec-Tunnel über LAN muss eine Routingdomäne ausgewählt werden. Wenn der IPsec-Tunnel einen Intranetdienst verwendet, wird die Routingdomäne vom gewählten Intranetdienst vorab festgelegt.

Der IPsec-Tunnel wird über den virtuellen Pfad eingerichtet, bevor Daten über das SD-WAN-Overlay-Netzwerk fließen können.

  • Encapsulation Type Optionen umfassen ESP - Daten sind gekapselt und verschlüsselt, ESP+Auth — Daten werden mit einem HMAC gekapselt, verschlüsselt und validiert, AH — Daten werden mit einem HMAC validiert.
  • Der Verschlüsselungsmodus ist der Verschlüsselungsalgorithmus, der verwendet wird, wenn ESP aktiviert ist.
  • Hash-Algorithmus wird verwendet, um einen HMAC zu generieren.
  • Die Lebensdauer ist eine bevorzugte Dauer in Sekunden für eine IPsec-Sicherheitszuordnung. 0 kann unbegrenzt verwendet werden.

IKE-Einstellungen

Internet Key Exchange (IKE) ist ein IPsec-Protokoll, das zum Erstellen einer Sicherheitszuordnung (SA) verwendet wird. Citrix SD-WAN Appliances unterstützen sowohl IKEv1- als auch IKEv2-Protokolle.

  • Der Modus kann entweder Hauptmodus oder Aggressiver Modus sein.
  • Identität kann automatisch sein, um Peer zu identifizieren, oder eine IP-Adresse kann verwendet werden, um die IP-Adresse des Peers manuell anzugeben.
  • Die Authentifizierung ermöglicht die Authentifizierung mit vordefinierten Schlüsseln oder das Zertifikat als Authentifizierungsmethode.
  • Validate Peer Identity aktiviert die Validierung der Peer-Identität des IKE, wenn der ID-Typ des Peers unterstützt wird, andernfalls aktivieren Sie diese Funktion nicht.
  • Diffie-Hellman-Gruppen sind für die IKE-Schlüsselgenerierung mit Gruppe 1 bei 768-Bit, Gruppe 2 bei 1024-Bit und Gruppe 5 bei 1536-Bit-Gruppe verfügbar.
  • Hash-Algorithmus umfasst MD5, SHA1 und SHA-256 hat Algorithmen sind für IKE-Nachrichten verfügbar.
  • Verschlüsselungsmodi umfassen AES-128, AES-192 und AES-256 Verschlüsselungsmodi sind für IKE-Nachrichten verfügbar.
  • Zu den IKEv2-Einstellungen gehören Peer-Authentifizierung und Integritätsalgorithmus.

lokalisierte Grafik

Konfigurieren der Firewall

Folgende häufig auftretende Probleme können durch Überprüfung der Konfiguration des Upstream-Routers und der Firewall identifiziert werden:

  • MPLS-Warteschlangen/QoS-Einstellungen: Stellen Sie sicher, dass der UDP-gekapselte Datenverkehr zwischen virtuellen SD-WAN-IP-Adressen aufgrund von QoS-Einstellungen auf den Zwischengeräten im Netzwerk nicht beeinträchtigt wird.
  • Der gesamte Datenverkehr auf den im SD-WAN-Netzwerk konfigurierten WAN-Verbindungen sollte von der Citrix SD-WAN Appliance mit dem richtigen Diensttyp (virtueller Pfad, Internet, Intranet und Lokal) verarbeitet werden.
  • Wenn der Datenverkehr die Citrix SD-WAN Appliance umgehen und denselben zugrunde liegenden Link verwenden muss, sollten angemessene Bandbreitenreservierungen für den SD-WAN-Datenverkehr auf dem Router vorgenommen werden. Außerdem sollte die Verbindungskapazität in der SD-WAN-Konfiguration entsprechend konfiguriert werden.
  • Stellen Sie sicher, dass der Zwischenrouter bzw. Firewall keine UDP-Flut- und/oder PPS-Grenzwerte erzwungen hat. Dadurch wird der Datenverkehr gedrosselt, wenn er über den virtuellen Pfad gesendet wird (UDP-gekapselt).