Tech Paper: Best Practices für Citrix ADC-Bereitstellungen

Übersicht

Dieses Tech Paper soll vermitteln, was jemand, der mit ADC vertraut ist, als generische Implementierung konfigurieren würde.

Hinweis: Es ist unwahrscheinlich, dass es eine einzige Konfiguration gibt, die für jeden geeignet ist. Ein Berater oder Administrator mit einem besseren Verständnis Ihrer Bedürfnisse kann von diesen Standardeinstellungen abweichen und die Gründe für solche Änderungen dokumentieren.

Einstellungen für Lights-Out Management

Wenn Sie eine Citrix ADC Appliance gekauft haben, sollten Sie Folgendes sicherstellen:

  1. Die Citrix ADCs werden an Orten bereitgestellt, die getrennt genug sind, um Ihre Hochverfügbarkeitsanforderungen zu erfüllen.

  2. Die redundanten Netzteile an jedem ADC (falls Sie solche gekauft haben) werden an separate Stromversorgungen angeschlossen.

  3. Die Lights Out-Management-Karte (wenn Sie Geräte mit einer solchen Karte gekauft haben) ist konfiguriert.

Weitere Informationen zur Konfiguration von Lights-Out-Managementkarten finden Sie hier.

Physische Netzwerkverkabelung, VLANs und Konnektivität

1. Alle physischen Schnittstellen, die den Citrix ADC mit Ihren Netzwerken verbinden, sind redundant

Um den Datenfluss während eines Kabel-, Switch- oder Schnittstellenausfalls sicherzustellen, verbinden Sie Ihren ADC mit redundanten Kabeln mit jedem Netzwerk.

Um die Schnittstellen, die jedes Netzwerk verbinden, zu einem einzigen Link (bekannt als Kanal) zu kombinieren, müssen Sie die Linkaggregation auf Ihrem ADC konfigurieren. Wenn möglich, ist es vorzuziehen, das Link Aggregation Control Protocol (LACP) zu verwenden. Manuell aggregierte Links sind jedoch auch möglich, wenn Ihre Netzwerk-Switches LACP nicht unterstützen.

Anweisungen zum Konfigurieren von Link Aggregation auf Ihrem Citrix ADC finden Sie hier

In einer virtualisierten oder Cloud-Umgebung kümmert sich Ihr Anbieter um die Schnittstellenredundanz, und dieser Schritt ist nicht erforderlich.

2. Nicht verwendete physische Schnittstellen sind deaktiviert

Deaktivieren Sie alle physischen Schnittstellen, die Sie nicht verwenden. Das Deaktivieren nicht verwendeter Schnittstellen verhindert, dass sie versehentlich oder böswillig mit anderen Netzwerken oder Geräten verbunden werden.

Sie können eine physische Schnittstelle deaktivieren, indem Sie System, Netzwerk, Schnittstellenauswählen. Klicken Sie dann das Kästchen neben der Benutzeroberfläche an und klicken Sie auf “Aktion auswählen”, gefolgt von”Deaktivieren”.

3. Stellen Sie alle redundanten physischen Schnittstellen so ein, dass sie für HA innerhalb von System, Netzwerk, Schnittstellen nicht überwacht werden

Da jedes Netzwerk über redundante Verbindungen verfügt, ist es nicht wünschenswert, dass der ADC ein HA-Failover initiiert, wenn eine einzelne Verbindung ausfällt. Stattdessen sollte sich der ADC auf die verbleibende Verbindung verlassen und nur dann ein Failover auslösen, wenn alle Verbindungen ausfallen.

Um ein HA-Failover zu verhindern, wenn eine einzelne Schnittstelle in einem redundanten Kanal ausfällt, markieren Sie die Komponentenschnittstellen als nicht überwacht.

Um eine Schnittstelle als nicht überwacht zu markieren, wählen Sie System, Netzwerk, Schnittstellenaus. Wählen Sie dann jede Schnittstelle aus, die Teil jedes redundanten Kanals ist, und stellen Sie das Optionsfeld “HA-Überwachung” auf “AUS”.

In einer virtualisierten oder Cloud-Umgebung verfügen Sie über virtuelle Schnittstellen und müssen diesen Schritt nicht ausführen, da Ihr Anbieter die Schnittstellenredundanz handhabt.

4. Alle Kanäle mit redundanten physikalischen Schnittstellen sollten innerhalb von System, Netzwerk und Kanälen auf HA überwacht werden

Der Ausfall aller aggregierten Links, die den ADC mit einem bestimmten Netzwerk verbinden, führt dazu, dass der Kanal, der diese Verbindungen darstellt, in den Status “Failed/Down” wechselt.

Vergewissern Sie sich, dass die Überwachung für den Kanal aktiviert wurde und dass der ADC ein Failover durchführt, wenn alle redundanten Verbindungen ausfallen.

Um einen Kanal als überwacht zu markieren, wählen Sie System, Netzwerk, Kanäle. Wählen Sie dann jeden Kanal aus und stellen Sie das Optionsfeld “HA Monitoring” auf “ON”.

5. Alle Kanäle sind an ein separates VLAN gebunden und Sie haben darauf geachtet, dass sich keine Kanäle ohne Tags versehentlich noch in VLAN 1 befinden

Jeder redundante Kanal stellt normalerweise die aggregierten physikalischen Verbindungen dar, die den ADC mit einem bestimmten logischen Netzwerk verbinden.

In einer virtualisierten oder Cloud-Umgebung stellt jede Schnittstelle wahrscheinlich aggregierte physische Links dar, zu denen Ihr Anbieter die Aggregationsarbeit für Sie abgeschlossen hat.

Standardmäßig betrachtet der ADC alle Schnittstellen, Kanäle und IP-Adressen als VLAN 1 und dasselbe logische Netzwerk. Ein Übersehen der VLAN-Konfiguration würde daher dazu führen, dass alle dem ADC zugewiesenen IP-Adressen in jedem direkt verbundenen Netzwerk verfügbar sind.

Um dieses Verhalten zu verhindern, konfigurieren Sie VLANs auf dem ADC, um Ihre Logiknetzwerke darzustellen und den Datenverkehr angemessen zu isolieren.

Anweisungen zum Erstellen von VLANs finden Sie hier.

6. Erstellen Sie ein HA-Paar zwischen Ihren ADCs innerhalb System, High Availability

Citrix betrachtet es als Best Practice, ADCs redundant bereitzustellen. Sie können Redundanz erreichen, indem Sie ein HA-Paar implementieren, einen Cluster erstellen oder eine Technologie wie GSLB verwenden, um Anforderungen zwischen Instanzen aufzuteilen. HA-Paare bestehen aus zwei ADC-Knoten, und Cluster können bis zu 32 Knoten haben. Für eine generische Implementierung empfiehlt Citrix die Erstellung eines HA-Paars mit zwei Knoten.

Anweisungen zur Konfiguration eines HA-Paars finden Sie hier

7. Erstellen und binden Sie ein SNIP an jedes VLAN, um sicherzustellen, dass sich jedes SNIP im Subnetz des verbundenen Netzwerks befindet

Citrix ADC initiiert die Kommunikation von einer Subnetz-IP (SNIP genannt) mit begrenzten Ausnahmen.

Erstellen Sie eine Subnetz-IP/SNIP für jedes direkt verbundene logische Netzwerk. Da Sie bereits jedes Netzwerk mithilfe von VLANs isoliert haben, müssen Sie jedes SNIP an sein jeweiliges VLAN binden. Stellen Sie sicher, dass in keinem VLANs ein SNIP fehlt.

Der ADC identifiziert basierend auf den Subnetzen des SNIP, in welchem VLAN jede virtuelle IP (VIP) platziert werden muss. Die VLAN-Konfiguration isoliert dann virtuelle Server innerhalb ihres vorgesehenen Netzwerks.

Anweisungen zur Konfiguration von SNiPs finden Sie hier.

Hinweis: SNiPs hosten standardmäßig Verwaltungsdienste. Um SNIPs zu erstellen, ohne dass der Verwaltungsdienst aktiviert ist, hängen Sie den Parameter “-MGMTAccess DISABLED” an den Befehl “add ns IP” an.

8. Konfigurieren Sie die Routen, die der ADC innerhalb von System, Netzwerk, Routen benötigt

Wenn Sie mehrere logische Netzwerke verbunden haben, haben Sie wahrscheinlich jeweils Router. Daher müssen Sie jetzt alle Routen konfigurieren, die der ADC benötigt, um seine Clients und Backend-Server zu erreichen.

Anweisungen zur Konfiguration von Routen finden Sie hier.

Hinweis: Der ADC hat eine einzige Routingtabelle, die für alle Schnittstellen gilt.

9. Erstellen Sie alle erforderlichen richtlinienbasierten Routen

Gelegentlich ist es unmöglich, eine statische Route für das von Ihnen gewünschte Verhalten zu konfigurieren.

Ein ADC mit unterschiedlichen Ein-, Ausgangs- und dedizierten Managementnetzwerken sowie Management-Clients im Ausgangsnetzwerk ist das häufigste Beispiel.

Statische Regeln würden in diesem Fall nicht ausreichen. Stattdessen wäre eine richtlinienbasierte Route erforderlich (PBR). Durch die Verwendung eines PBR können Sie erzwingen, dass der Datenverkehr von der Verwaltungs-IP des ADC über den Management-Router übertragen wird. Durch die Verwendung eines PBR wird die statische Routingtabelle Bypass, die andernfalls Daten an das Ausgangsnetzwerk senden würde.

Anweisungen zur Konfiguration richtlinienbasierter Routen finden Sie hier.

Wenn Sie jedoch das in unserem Beispiel beschriebene Szenario haben, benötigen Sie den folgenden PBR:

add ns pbr Management ALLOW -srcIP = <NSIP_of_first_HA_node>-<NSIP_of_second_HA_node> -destIP "!=" <first_IP_management_subnet>–<last_IP_management_subnet> -nextHop <management_subnet_router> - priority 1
apply pbrs
<!--NeedCopy-->

10. Stellen Sie sicher, dass Sie jedes SNIP mit deaktivierter Mac-Based Forwarding (MBF) pingen können oder dass Sie verstehen, warum Sie nicht können

Citrix ADC hat einen Modus namens Mac Based Forwarding (MBF). MBF veranlasst den ADC, die Routingtabelle zu ignorieren und Antworten an die MAC-Adresse zu senden, von der er Datenverkehr empfangen hat.

MBF ist sehr nützlich, wenn Sie Ihre Routen nicht definieren können. Nehmen wir an, der ADC hat mehrere Internetverbindungen und muss mit dem Internet-Router antworten, über den der Datenverkehr angekommen ist. Hier würde MBF den ADC veranlassen, die Quell-MAC-Adresse jeder Verbindung aufzuzeichnen und diese als Ziel-MAC in seiner Antwort zu verwenden.

Das Überschreiben der Routingtabelle durch MBF kann die Fehlerbehebung jedoch komplexer machen. Mit MBF können Sie die Verkehrsflüsse aus der Konfigurationsdatei des ADC nicht allein verstehen, da MBF die Routingtabelle überschreibt und der Datenverkehr möglicherweise nicht wie beabsichtigt fließt. Das Ergebnis ist, dass MBF zwar für einige Implementierungen von entscheidender Bedeutung ist, aber auch dazu führen kann, dass Fehlkonfigurationen im unterstützenden Netzwerk unentdeckt bleiben.

Deaktivieren Sie MBF, um sicherzustellen, dass Ihre Routingtabelle und PBRs korrekt sind. Stellen Sie nach dem Deaktivieren von MBF sicher, dass jedes SNIP erreichbar bleibt oder dass Sie verstehen, warum dies nicht der Fall ist.

Der Befehl zum Deaktivieren von MBF lautet

disable ns mode mbf
<!--NeedCopy-->

Der Befehl zum Aktivieren von MBF lautet

enable ns mode mbf
<!--NeedCopy-->

Wenn Sie MBF nicht benötigen, lassen Sie es deaktiviert.

Weitere Informationen zur Mac Based Forwarding finden Sie hier.

11. Sie haben ein neues SSL-Zertifikat und einen neuen Schlüssel für die Management-GUI in Traffic Management, SSL, Certificates installiert


Webbrowser vertrauen dem Standard-SSL-Zertifikat des Citrix ADC nicht. Das mangelnde Vertrauen führt dazu, dass Browser beim Zugriff auf die Verwaltungsdienste des ADC eine Warnmeldung anzeigen.

Browserwarnungen für Zertifikate sollen Benutzer warnen, wenn die Verbindung nicht sicher ist. Citrix empfiehlt, dass Sie das Standard-SSL-Zertifikat ersetzen, damit sich Verwaltungsbenutzer nicht daran gewöhnen, Warnmeldungen zu akzeptieren.

Einzelheiten zum Ersetzen des Management-SSL-Zertifikats finden Sie hier.

Hinweis: Da Citrix ADC das Management-SSL-Zertifikat zwischen HA-Knoten teilt, muss Ihrem Ersatzzertifikat für alle FQDNs, die für Verwaltungszwecke verwendet werden, vertraut werden. Citrix empfiehlt die Verwendung eines SAN-Zertifikats, um den FQDN beider HA-Knoten einzubeziehen.

Einstellungen für die Basiskonfiguration

1. Stellen Sie die Zeitzone ein und aktivieren Sie NTP

Genaue und leicht verständliche Zeitstempel in Ihren Protokolldateien sind für die Fehlerbehebung oder Behandlung eines Sicherheitsproblems von entscheidender Bedeutung.

Stellen Sie zunächst die Zeitzone auf etwas ein, das für Sie Sinn macht. Wenn Sie beispielsweise Geräte haben, die sich bei einem zentralen Syslog-Server anmelden und Daten von jedem auf Querverweise verweisen müssen, verwenden Sie dieselbe Zeitzone wie Ihre vorhandenen Server.

Der Befehl zum Setzen der Zeitzone lautet:

set ns param -timezone CoordinatedUniversalTime
<!--NeedCopy-->

Fügen Sie zweitens NTP-Server hinzu und aktivieren Sie die Zeitsynchronisierung mithilfe der folgenden Befehle:

add ntp server pool.ntp.org
enable ntp sync
<!--NeedCopy-->

Zeigen Sie nach dem Aktivieren der Zeitsynchronisierung den NTP-Status an, um das korrekte Verhalten zu überprüfen, indem Sie den folgenden Befehl verwenden:

nsroot@StevensADC-Primary> show ntp status

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*any.time.nl     85.199.214.99    2 u  113 1024  377   21.138   +0.762   0.654
 Done
 nsroot@StevensADC-Primary>
<!--NeedCopy-->

Einzelheiten zur Zeitzone mithilfe der ADC-GUI finden Sie hier.

Einzelheiten zum Hinzufügen von NTP-Servern finden Sie hier.

2. Erstellen Sie einen Key Encryption Key

Ein Key Encryption Key (allgemein bekannt als KEK) wird zum Verschlüsseln und Entschlüsseln von Anmeldeinformationen verwendet, die der ADC in reversibler Form speichern muss. Beispielsweise muss der ADC sein LDAP-Bindungskennwort reversibel halten, um es bei der Authentifizierung abzurufen.

Von der Citrix ADC Firmware 13.0—76.31 erstellt der ADC automatisch einen KEK. Bei einer späteren Firmware gibt der Befehl eine Fehlermeldung zurück, die Sie bedenkenlos ignorieren können.

In älteren Versionen können Sie einen KEK mit dem Befehl erstellen:

create kek <RANDOMSTRING>
<!--NeedCopy-->

3. Setzt ein nicht standardmäßiges nsroot-Kennwort

Aktuelle Versionen der Citrix ADC Firmware fordern Sie auf, das Standardkennwort für das “nsroot” -Konto zu ändern, wenn Sie sich zum ersten Mal anmelden. Aktuelle Firmware-Builds fordern zur Kennwortänderung auf, da der Systemparameter “-ForcePasswordChange” aktiviert ist.

Für ältere Versionen müssen Sie das “nsroot” -Kennwort mit dem folgenden Befehl ändern:

set system user nsroot -password <NSROOTPASSWORD>
<!--NeedCopy-->

4. Fügen Sie ein Konto für ADM mit deaktivierter externer Authentifizierung hinzu


Im Idealfall verbinden Sie alle Ihre Citrix ADCs mit ADM, um die Lizenzierung und Verwaltung zu zentralisieren. Die Verbindung zu ADM erfordert einen Benutzernamen und ein Kennwort, die mit den folgenden Befehlen erstellt werden können:

add system user admuser <ADMPASSWORD> -externalAuth DISABLED -timeout 900
bind system user admuser superuser 100
set system user admuser -externalAuth DISABLED
<!--NeedCopy-->

Weitere Details zu ADM finden Sie hier.

5. Beschränken Sie den Zugriff von Nicht-Verwaltungsanwendungen auf NSIP und nur auf HTTPS-

Verhindern Sie, dass Nicht-Verwaltungsdienste auf die Management-IP zugreifen, und legen Sie die Management-IP so fest, dass sie sicheren Kommunikationszugriff erfordert (HTTPS statt HTTP).

set ns ip NSIP -restrictAccess enabled -gui SECUREONLY
<!--NeedCopy-->

Weitere Informationen zur Beschränkung des Zugriffs auf das NSIP finden Sie hier.

6. Ein nicht standardmäßiges RPC-Knotenkennwort festlegen

Stellen Sie die RPC-Kommunikation (für HA und GSLB verwendet) so ein, dass ein nicht standardmäßiges Kennwort verwendet wird.

set rpcNode <NSIP_OF_SECONDARY_NODE> -password <RPC_SECONDARY_PASSWORD> -secure YES

set rpcNode <NSIP_OF_PRIMARY_NODE> -password <RPC_PRIMARY_PASSWORD> -secure YES
<!--NeedCopy-->

7. Der HA-Failsafe-Modus ist aktiviert, um sicherzustellen, dass der letzte fehlerfreie Knoten weiterhin Dienste leistet

Wenn die überwachten HA-Schnittstellen oder Routen eines ADC auf einen Fehler hinweisen, geht der ADC in einen fehlerhaften Zustand über und löst ein HA-Failover aus. Wenn der zweite HA-Knoten in einen ungesunden Zustand übergeht, stellen beide die Bereitstellung von Diensten ein.

Der HA-Fail-Safe-Modus stellt sicher, dass der letzte überlebende Knoten eines Paares weiterhin versucht, Unternehmensdienste bereitzustellen.

set HA node -failSafe ON
<!--NeedCopy-->

Weitere Informationen zum HA-Fail-Safe-Modus finden Sie hier.

8. Beschränken Sie HA-Failover auf 3 in 1200 Sekunden

In dem unwahrscheinlichen Fall, dass HA-Failover wiederholt auftreten, ist es der Punkt, an dem Sie möchten, dass sie gestoppt werden und versuchen, einen Service bereitzustellen.

Hier definieren wir ein Limit von drei HA-Failovers innerhalb eines Zeitraums von 1200 Sekunden (20 Minuten).

set ha node -maxFlips 3
set ha node -maxFlipTime 1200
<!--NeedCopy-->

9. Deaktivieren Sie SSLv3 für Verwaltungsdienste

In der Citrix ADC-Management-GUI sind SSLv3 und TLS1.0 standardmäßig aktiviert. Um eine sichere Kommunikation zu gewährleisten, werden wir SSLv3 deaktivieren.

set ssl service nshttps-::1l-443 -ssl3 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled
<!--NeedCopy-->

Abhängig von den internen Sicherheitsrichtlinien Ihres Unternehmens können Sie TLS1.0 optional deaktivieren.

set ssl service nshttps-::1l-443 -ssl3 disabled -tls1 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled -tls1 disabled
<!--NeedCopy-->

10. Legen Sie generische Modi und Funktionen fest

Bei Citrix ADC ist der Layer-3-Modus standardmäßig aktiviert. Der Layer-3-Modus bewirkt, dass der ADC als Router fungiert und normalerweise sicher deaktiviert werden kann. Der Edge-Modus bewirkt, dass der ADC dynamisch Details über Backend-Server lernt, wenn er in einer Konfiguration wie dem Link-Load-Balancing verwendet wird.

disable ns mode l3 edge
<!--NeedCopy-->

Weitere Details zum Layer 3-Modus finden Sie hier.

Die spezifischen Modi und Funktionen, die Sie benötigen, hängen von Ihrem Anwendungsfall ab. Wir können jedoch eine Liste von Optionen auswählen, die für die meisten Installationen gelten würden.

enable ns feature lb ssl rewrite responder cmp
<!--NeedCopy-->

Weitere Details zu Modi und Funktionen findest du hier.

11. Einen oder mehrere DNS-Nameserver konfigurieren

Der Citrix ADC muss Zugriff auf einen oder mehrere Nameserver für die DNS-Auflösung haben. Citrix ADC überprüft mithilfe eines ICMP-Monitors, ob die DNS-Server online sind. Um die DNS-basierte Überwachung zu verwenden und die Last zu verteilen, ist es üblich, einen lokalen virtuellen DNS-Lastausgleichsserver zu implementieren.

Da DNS UDP oder TCP verwenden kann, erstellen wir für jedes Protokoll einen virtuellen Lastausgleichsserver.

Konfigurieren Sie Nameserver mit den folgenden Befehlen:

add lb virtual server DNS_UDP DNS 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_UDP_SVG DNS -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_UDP DNS_UDP_SVG

add lb monitor DNS_UDP_monitor DNS -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_UDP_SVG -monitorName DNS_UDP_monitor

bind serviceGroup DNS_UDP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_UDP_SVG <DNSSERVERIP2> 53


add lb virtual server DNS_TCP DNS_TCP 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_TCP_SVG DNS_TCP -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_TCP DNS_TCP_SVG

add lb monitor DNS_TCP_monitor DNS-TCP -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_TCP_SVG -monitorName DNS_TCP_monitor

bind serviceGroup DNS_TCP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_TCP_SVG <DNSSERVERIP2> 53

add dns nameServer DNS_UDP -type UDP
add dns nameServer DNS_TCP -type TCP
<!--NeedCopy-->

12. TCP- und HTTP-Parameter festlegen

Während die Fensterskalierung (WS) und die selektive Bestätigung (SACK) in der ADC 13.0-Firmware jetzt standardmäßig aktiviert sind, müssen Sie diese TCP-Einstellungen in früheren Firmware-Versionen aktivieren.

set ns tcpparam -WS ENABLED
set ns tcpparam -SACK ENABLED
<!--NeedCopy-->

Nagle bewirkt, dass der Citrix ADC Daten kombiniert, um eine kleinere Anzahl größerer Pakete zu senden, und kann mit dem folgenden Befehl aktiviert werden.

set ns tcpparam -nagle ENABLED
<!--NeedCopy-->

Standardmäßig leitet Citrix ADC HTTP-Anfragen weiter, die bei einem Load Balancer ankommen, aber nicht dem RFC-Standard entsprechen. Konfigurieren Sie den ADC so, dass standardmäßig ungültige Anforderungen verworfen werden.

Um Ausnahmen vom Standard zuzulassen, können Sie die HTTP-Optionen auf einem einzelnen virtuellen Server nach Gesprächen mit Ihrem Sicherheitsteam ändern.

Deaktivieren Sie die Unterstützung für das HTTP/0.9-Protokoll, das seit über 20 Jahren veraltet ist. Als Referenz enthält Mosaic 2.0 unter Windows 3.1 Unterstützung für HTTP/1.0.

set ns httpparam -dropInvalReqs ENABLED -markHttp09Inval ON
<!--NeedCopy-->

Die Cookie-Version 0 enthält absolute Zeitstempel, wohingegen Cookies der Version 1 eine relative Zeit haben. Cookies mit einem absoluten Zeitstempel verfallen nicht zum erwarteten Zeitpunkt, wenn sich Client und ADC-Uhr unterscheiden. Cookies mit einer relativen Zeit von +X Minuten bis zum Ablauf werden dies jedoch tun.

Internet Explorer 2 beinhaltete 1995 Unterstützung für Cookies der Version 1, und es ist unwahrscheinlich, dass Sie Probleme haben, wenn Sie diese Option aktivieren.

set ns param -cookieversion 1
<!--NeedCopy-->

13. Beschränken Sie SNMP-Abfragen auf ausgewählte Server

Es hat sich bewährt, dass der ADC nur SNMP-Anfragen von Hosts beantwortet, die solche Abfragen stellen sollen. Beschränken Sie die Hosts, die der ADC SNMP-Abfragen zulässt, mit dem Befehl:

set snmp manager SNMPMANAGERIP
<!--NeedCopy-->

Weitere Informationen zur Konfiguration von SNMP finden Sie hier.

14. Stellen Sie SNMP-Alarme und -Traps

Es ist hilfreich, dass der ADC Warnmeldungen auslöst, wenn eine hohe CPU- oder Speicherauslastung auftritt. Sie können Alarme über die Trap-Konfiguration an Ihren SNMP-Server senden. Möglicherweise möchten Sie auch Warnmeldungen auslösen, wenn HA-Failover auftreten. Sie können eine solche Konfiguration mit den folgenden Befehlen implementieren:

set snmp alarm CPU-USAGE -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Informational
set snmp alarm MEMORY -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Critical
set snmp alarm HA-STATE-CHANGE -severity Critical

add snmp trap generic SNMPTRAPDSTIP -communityName public
<!--NeedCopy-->

Hinweis: Citrix empfiehlt, dass Sie die Schwellenwerte regelmäßig überprüfen, um sicherzustellen, dass der ADC bei abnormalem Verhalten, das Sie untersuchen möchten, warnt.

15. Richten Sie einen Remote-Syslog-Server ein

Die Überwachungsprotokollierung sollte auf einem ADC konfiguriert werden, und Überwachungsprotokolle sollten auf einem Remoteserver gespeichert und analysiert werden.

Sie können den Citrix ADC so konfigurieren, dass Überwachungsprotokolle mit den folgenden Befehlen an einen Remote-Syslog-Server gesendet werden:

add audit syslogAction RemoteSyslogServerAction SYSLOGSERVERIP -loglevel ALL
add audit syslogpolicy RemoteSyslogServerPolicy true RemoteSyslogServerAction
bind audit syslogGlobal -policyName RemoteSyslogServerPolicy -priority 100
<!--NeedCopy-->

[Weitere Details zur Auditprotokollierung finden Sie hier] (/de-de/citrix-adc/current-release/system/audit-logging.html)

16. Festlegen eines Timeouts und einer Aufforderung für Verwaltungssitzungen

Citrix ADC 13.0 lässt standardmäßig 900 Sekunden (15 Minuten) zu, bevor die Verbindung von Verwaltungssitzungen im Leerlauf getrennt wird. Bei älteren Firmware-Versionen müssen Sie sicherstellen, dass Sie ein angemessenes Timeout konfiguriert haben.

set system parameter -timeout 900
<!--NeedCopy-->

Ein Administrator kann SSH-Sitzungen für mehrere ADCs gleichzeitig öffnen. Das Ändern der CLI-Eingabeaufforderung des ADC hilft, den Knoten zu klären, mit dem eine Sitzung verbunden ist.

Die folgenden Befehle veranlassen die CLI-Eingabeaufforderung, ihren Benutzernamen, den Hostnamen des ADC und den HA-Status der Instanz anzuzeigen.

set system parameter -promptString %u@%h-%s
<!--NeedCopy-->

Nachdem Sie den Befehl ausgeführt haben, wird die Eingabeaufforderung wie folgt wiedergegeben:

nsroot@hostname-Primary>
<!--NeedCopy-->

17. Zentralisierte Authentifizierung für Verwaltungskonten

Sicherheitsteams halten es im Allgemeinen für besser, Verwaltungskonten von einer zentralen Plattform wie Active Directory aus zu steuern, als auf jedem Gerät Konten zu erstellen. Normalerweise erhalten diese zentralisierten Konten dann Berechtigungen basierend auf Gruppenmitgliedschaften.

Der Grund für eine zentrale Authentifizierung und Autorisierung ist in der Regel, dass die Verwaltung von Konten auf jedem Gerät zeitaufwändig und fehleranfällig ist. Außerdem besteht das Risiko, dass Management-Benutzer ihre Passwörter nicht häufig ändern und dass die IT vergessen kann, die Konten ehemaliger Mitarbeiter zu entfernen.

Verwenden Sie die folgenden Befehle, um die zentrale Authentifizierung zu konfigurieren. Beachten Sie dabei, dass der LDAP-Filter steuert, wer sich anmelden darf.

add authentication ldapAction LDAP_mgmt_auth -serverIP <LDAPMANAGEMENTSERVERIP> -serverPort 636 -ldapBase "<dc=mycoolcompany,dc=local>" -ldapBindDn "<serviceaccount@mycoolcompany.local>" -ldapBindDnPassword <LDAPPASSWORD> -ldapLoginName <sAMAccountName> -searchFilter "&(|(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-FullAccess,ou=groups,dn=mycoolcompany,dc=local>)(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-ReadOnly,ou=groups,dn=mycoolcompany,dc=local>))" -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED -nestedGroupExtraction ON -maxNestingLevel 5 -groupNameIdentifier samAccountName -groupSearchAttribute memberOf -groupSearchSubAttribute CN

add authentication Policy LDAP_mgmt_pol -rule true -action LDAP_mgmt_auth
bind system global LDAP_mgmt_pol -priority 100
<!--NeedCopy-->

Diese Befehle implementieren zwar die Authentifizierung, steuern jedoch keine Autorisierung, und die authentifizierten Benutzer können standardmäßig keine Aktionen ausführen.

Um dem Benutzer (oder genauer gesagt der Gruppe, der der Benutzer angehört) das Recht zu gewähren, Aktionen auf dem ADC auszuführen, sollten Sie die folgenden Befehle verwenden:

add system group Citrix-ADC-FullAccess -timeout 900
add system group Citrix-ADC-ReadOnly -timeout 900
bind system group Citrix-ADC-FullAccess -policyName superuser 100
bind system group Citrix-ADC-ReadOnly -policyName read-only 110
<!--NeedCopy-->

Weitere Informationen zur zentralen Authentifizierung und Autorisierung finden Sie hier.

Informationen zur oben verwendeten LDAP-Filterzeichenfolge finden Sie auch hier.

Darüber hinaus können Sie ab der ADC-Firmware-Version 12.1.51.16 die Multifaktor-Authentifizierung für Verwaltungsbenutzer konfigurieren, indem Sie die folgenden Schritte ausführen.

18. LDAP-Authentifizierung für den nsroot-Benutzer deaktivieren

Da der Citrix ADC Authentifizierung und Autorisierung getrennt verarbeitet, können sich Benutzer mithilfe von LDAP authentifizieren, und der ADC gewährt Berechtigungen basierend auf ihrer Gruppenmitgliedschaft.

Es ist zwar keine gute Idee, aber Sie könnten auch Benutzerkonten mit Autorisierungsberechtigungen für den ADC erstellen. Ein Kennwort, das einem Active Directory-Benutzer mit demselben Namen zugeordnet ist, könnte dann zur Authentifizierung dieser Konten verwendet werden.

Um zu verhindern, dass ein Active Directory-Administrator einen “nsroot” -Benutzer erstellt und sich authentifizieren kann, müssen Sie die externe Authentifizierung für das “nsroot” -Benutzerkonto deaktivieren.

set system user nsroot -externalAuth DISABLED
<!--NeedCopy-->

19. TLS/SSL Best Practices

Sie können jetzt dem TLS/SSL-Best Practice-Dokument folgen, um eine sichere Verschlüsselungssammlung zu definieren, die zum Schutz Ihrer virtuellen Server verwendet werden kann.

Das TLS/SSL-Best-Practice-Dokument finden Sie hier.

Tech Paper: Best Practices für Citrix ADC-Bereitstellungen

In diesem Artikel