Bewährte Methoden für die NetScaler MPX-, VPX- und SDX-Sicherheit

Eine NetScaler MPX-Appliance ist ein Anwendungsbereitstellungscontroller, der Websites beschleunigt, L4-L7-Datenverkehrsverwaltung bietet, eine integrierte Citrix Web App Firewall bietet und Server ausgelagert. Eine NetScaler VPX-Instanz ist eine virtuelle Appliance, die über alle Funktionen einer NetScaler MPX-Appliance verfügt, auf Standardservern ausgeführt wird und eine höhere Verfügbarkeit für Webanwendungen wie Citrix XenDesktop und XenApp bietet. Eine NetScaler SDX-Appliance bietet erweiterte Virtualisierung für die gesamte Flexibilität von VPX mit der Leistung von MPX. Mit MPX, VPX und SDX kann ein Unternehmen die Flex- oder True-Multitenancy-Lösung bereitstellen, die die Infrastruktur für die Bereitstellung von Webanwendungen optimiert, indem gemeinsam genutzte Netzwerkdienste mit hohem Volumen von prozessorintensiven, anwendungsspezifischen Diensten getrennt werden. Eine NetScaler-Appliance bietet auch die nahtlose Integration mit Citrix OpenCloud Access, die das Rechenzentrum mit der Leistung der Cloud erweitern kann.

Um die Sicherheit während des gesamten Bereitstellungslebenszyklus zu gewährleisten, empfiehlt Citrix, die folgenden Überlegungen zu beachten:

• Physische Sicherheit
• Gerätesicherheit
• Netzwerksicherheit
• Verwaltung und Verwaltung

Verschiedene Bereitstellungen können unterschiedliche Sicherheitsüberlegungen erfordern. Dieses Dokument enthält allgemeine Sicherheitsrichtlinien, die Ihnen bei der Entscheidung für eine geeignete sichere Bereitstellung auf der Grundlage Ihrer spezifischen Sicherheitsanforderungen helfen.

Wichtig:

Ab Softwareversion 12.1 wird NetScaler in NetScaler umbenannt. Weitere Informationen finden Sie unterhttps://www.citrix.com/about/citrix-product-guide/.

Richtlinien für die Bereitstellung

Beachten Sie bei der Bereitstellung eines NetScaler die folgenden Best Practices für physische Sicherheit und Appliance-Sicherheit:

Best Practices für physische Sicherheit

Stellen Sie die NetScaler-Appliance an einem sicheren Ort bereit

Die NetScaler-Appliances müssen an einem sicheren Ort mit ausreichender physischer Zugriffssteuerung bereitgestellt werden, um die Appliances vor unbefugtem Zugriff zu schützen. Der Zugang zum Serverraum muss mindestens mit einem Schloss, einem elektronischen Kartenleser oder ähnlichen physikalischen Methoden gesteuert werden.

Weitere Maßnahmen können die Verwendung eines elektronischen Überwachungssystems, beispielsweise CCTV, zur kontinuierlichen Überwachung der Aktivität des Raums umfassen. Im Falle eines unbefugten Einbruches muss die Ausgabe aus diesem System Sicherheitspersonal benachrichtigen. Wenn es CCTV gibt, steht das aufgenommene Filmmaterial zu Auditzwecken zur Verfügung.

Sicherer Zugriff auf die Gerätefront und den Konsolenanschluss

Die NetScaler-Appliance oder der VPX-Hostingserver muss in einem Rack oder Käfig bereitgestellt werden, der mit einem geeigneten Schlüssel oder anderen physischen Methoden gesperrt werden kann. Die Sperre verhindert den Zugriff auf die physischen Ports der NetScaler-Appliance oder in einer VPX-Bereitstellung auf die Virtualisierungshost-Konsole.

Netzteilschutz

Die NetScaler-Appliance (oder der Hosting-Server) muss mit einer geeigneten unterbrechungsfreien Stromversorgung geschützt werden. Im Falle eines Stromausfalls gewährleistet die unterbrechungsfreie Stromversorgung den fortgesetzten Betrieb der Appliance oder ermöglicht ein kontrolliertes Herunterfahren physischer oder virtueller NetScalers. Die Verwendung einer unterbrechungsfreien Stromversorgung unterstützt auch den Schutz vor Stromspitzen.

Schutz von kryptografischen Schlüsseln

Wenn zusätzlicher Schutz für die kryptografischen Schlüssel in Ihrer Bereitstellung erforderlich ist, sollten Sie die Verwendung einer FIPS 140-2 Level 2-konformen Appliance in Betracht ziehen. Die FIPS-Plattform verwendet ein Hardwaresicherheitsmodul, um kritische kryptografische Schlüssel in der Appliance vor unbefugtem Zugriff zu schützen.

Best Practices für die Sicherheit der NetScaler-Appliance

Ausführen von Softwareupdates für Appliance

Citrix empfiehlt dringend, vor der Bereitstellung sicherzustellen, dass ihre Appliances mit den neuesten Firmware-Versionen aktualisiert wurden. Bei Remote-Ausführung empfiehlt Citrix, dass Kunden ein sicheres Protokoll wie SFTP oder HTTPS verwenden, um die Appliance zu aktualisieren.

Den Kunden wird außerdem empfohlen, die Sicherheitsbulletins zu ihren Citrix Produkten zu lesen. Informationen zu neuen und aktualisierten Sicherheitsbulletins finden Sie auf der Citrix Security Bulletins-Webseite:https://support.citrix.com/securitybulletins. Erwägen Sie, sich für Warnungen für neue und aktualisierte Bulletins anzumelden:https://support.citrix.com/user/alerts.

Sichern des Betriebssystems von Servern, die eine NetScaler VPX Appliance hosten

Eine NetScaler VPX Appliance kann entweder eine virtuelle Appliance auf einem Standardvirtualisierungsserver oder als virtuelle Appliance auf einem NetScaler SDX ausführen.

Neben der Anwendung正常physischer Sicherheitsverfahren müssen Sie den Zugriff auf den Virtualisierungshost mit einer rollenbasierten Zugriffskontrolle und einer starken Kennwortverwaltung schützen. Außerdem muss der Server mit den neuesten Sicherheitspatches für das Betriebssystem aktualisiert werden, sobald er verfügbar ist, und gegebenenfalls eine aktuelle Antivirensoftware auf dem Server bereitstellen, falls zutreffend für die Art der Virtualisierung. Kunden, die die NetScaler SDX-Plattform zum Hosten von NetScaler VPX verwenden, müssen sicherstellen, dass sie die neueste Firmware-Version für ihr NetScaler SDX verwenden.

Zurücksetzen der NetScaler Lights Out Management (LOM)

Citrix empfiehlt, dass Sie vor der Konfiguration des LOM für die Verwendung in einer Produktionsbereitstellung ein Zurücksetzen des LOM auf Werkseinstellungen durchführen, um die Standardeinstellungen wiederherzustellen.

1. Führen Sie an der NetScaler Shell-Eingabeaufforderung den folgenden Befehl aus:

   >ipmitool raw 0x30 0x41 0x1 

   Hinweis:Durch Ausführen des vorherigen Befehls wird LOM auf die Werkseinstellungen zurückgesetzt und alle SSL-Zertifikate gelöscht. Anweisungen zum Neukonfigurieren des LOM-Ports finden Sie unterlights Out Management-Port der NetScaler MPX-Appliance.

2. Navigieren Sie in der LOM-Benutzeroberfläche zuKonfiguration > SSL-Zertifizierungund fügen Sie ein Zertifikat und einen privaten Schlüssel hinzu.

   Citrix empfiehlt außerdem dringend, dass die folgende Benutzerkonfiguration durchgeführt wird. Verwenden der LOM-GUI:

   • Navigieren Sie zuKonfiguration>Benutzer>Benutzer ändernund ändern Sie das Kennwort desnsroot-Superuserkontos.
   • Navigieren Sie zuKonfiguration>Benutzer > Benutzerändernund erstellen Sie Richtlinien für die Benutzer oder binden Sie vorhandene Richtlinien an die Benutzer.
   • Navigieren Sie zuKonfiguration>IP-Zugriffssteuerung>Hinzufügenund konfigurieren Sie die IP-Zugriffssteuerung, um den Zugriff auf den bekannten IP-Adressbereich zu ermöglichen.
   • Navigieren Sie zuKonfiguration>Benutzer>Benutzer ändern, erstellen Sie ein alternatives Superuser-Konto und binden Sie Richtlinien an dieses Konto.

   Weitere Informationen zur LOM-Konfiguration finden Sie unterlOM-Konfiguration.

Pflege und Entfernung von persistenten Daten

Wenn ein NetScaler in eine andere Umgebung verschoben, außer Betrieb genommen oder im Rahmen von RMA an NetScaler zurückgegeben wird, stellen Sie sicher, dass persistente Daten korrekt von der Appliance entfernt werden.

Weitere Informationen zu diesem Vorgang finden Sie unterlöschen Ihrer Daten vor dem Senden der ADC-Appliance an Citrix.

Richtlinien für die Konfiguration

Netzwerksicherheit

Bei der Bereitstellung einer NetScaler-Appliance in einer Produktionsumgebung empfiehlt Citrix dringend die folgenden wichtigen Konfigurationsänderungen:

• Stellen Sie die NetScaler-Administratorschnittstelle (NSIP) nicht dem Internet zur Verfügung.
• Das NetScaler Standard-SSL-Zertifikat muss ersetzt werden.
• Beim Zugriff auf die GUI muss HTTPS (HTTP über TLS) verwendet werden, und die standardmäßige HTTP-Schnittstelle ist deaktiviert.

Der folgende Abschnitt enthält weitere Informationen zu diesen wichtigen Überlegungen sowie zu den weiteren empfohlenen Änderungen.

Wichtige Überlegungen zur Netzwerksicherheit

Setzen Sie das NSIP nicht dem Internet aus:

Citrix empfiehlt dringend dass死NetScaler法力gement IP (NSIP) nicht dem öffentlichen Internet zugänglich ist und hinter einer entsprechenden Stateful Packet Inspection (SPI) -Firewall bereitgestellt wird.

Ersetzen Sie das NetScaler Standard-TLS-Zertifikat:

Während der Erstkonfiguration einer NetScaler-Appliance werden die Standard-TLS-Zertifikate erstellt. Diese Zertifikate sind nicht für die Verwendung in Produktionsbereitstellungen vorgesehen und müssen ersetzt werden.

Citrix empfiehlt Kunden, die NetScaler-Appliance für die Verwendung von Zertifikaten entweder von einer seriösen Zertifizierungsstelle (CA) oder entsprechenden Zertifikaten Ihrer Unternehmenszertifizierungsstelle zu konfigurieren.

Wenn an einen öffentlich zugänglichen virtuellen Server gebunden ist, vereinfacht ein gültiges TLS-Zertifikat von einer seriösen Zertifizierungsstelle die Benutzererfahrung für Webanwendungen mit Internetzugriff. Benutzerwebbrowser erfordern keine Benutzerinteraktion, wenn eine sichere Kommunikation mit dem Webserver initiiert wird. Informationen zum Ersetzen des NetScaler-Standardzertifikats durch ein vertrauenswürdiges CA-Zertifikat finden Sie im Knowledge Center-Artikel CTX122521:How to replace the default certificate of a NetScaler-Appliance with a trusted CA certificate that matches the host name of the appliance.

Alternativ können benutzerdefinierte TLS-Zertifikate und private Schlüssel erstellt und verwendet werden. Dies kann zwar ein gleichwertiges Maß an Transportschichtsicherheit bieten, erfordert jedoch die Verteilung der TLS-Zertifikate an die Benutzer und erfordert eine Benutzerinteraktion, wenn Verbindungen zum Webserver initiiert werden. Weitere Informationen zum Erstellen benutzerdefinierter Zertifikate finden Sie im Knowledge Center-Artikel CTX121617:How to Create and Install Self-Signed Certificates on NetScaler-Appliance.

Weitere Informationen zur Verwaltung und Konfiguration von TLS-Zertifikaten finden Sie im Abschnitt “NetScaler TLS-Empfehlungen” dieses Handbuchs.

Deaktivieren Sie den HTTP-Zugriff auf die Administratorschnittstelle:

Um den Datenverkehr zur NetScaler-Verwaltungsschnittstelle und der GUI zu schützen, muss die NetScaler-Appliance für die Verwendung von HTTPS konfiguriert sein. Gehen Sie wie folgt vor:

• Erstellen Sie ein privates und öffentliches RSA-Schlüsselpaar mit 2048-Bit oder höher, und verwenden Sie die Schlüssel für HTTPS und SSH, um auf die NetScaler IP-Adresse zuzugreifen, wobei das werkseitig bereitgestellte 512-Bit-RSA-Schlüsselpaar für private und öffentliche Schlüssel ersetzt wird.

• Konfigurieren Sie die Appliance so, dass sie nur starke Chiffrier-Suiten verwendet, und ändern Sie den Satz “DEFAULT” in starke Chiffrier-Suiten auf der Appliance. Es wird empfohlen, die Liste der zulässigen TLS-Verschlüsselungssammlungen in Abschnitt 3.3 der NIST Special Publication 800-52 (Revision 1) zu verwenden. Dieses Dokument befindet sich auf der NIST-Website unter folgender Adresse:https://www.nist.gov/publications/guidelines-selection-configuration-and-use-transport-layer-security-tls-implementations?pub_id=915295

• Konfigurieren Sie die Appliance für die Verwendung der SSH-Authentifizierung mit öffentlichem Schlüssel für den Zugriff auf die Administratoroberfläche Verwenden Sie nicht die NetScaler-Standardschlüssel. Erstellen und verwenden Sie Ihr eigenes 2048-Bit-RSA-Paar für private und öffentliche Schlüssel. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX109011:How to Secure SSH Access to the NetScaler-Appliance with Public Key Authenticationund in der Citrix-Produktdokumentation:SSH-schlüsselbasierte Authentifizierung für lokale Systembenutzer

• Nachdem der NetScaler für die Verwendung dieser neuen Zertifikate konfiguriert wurde, kann der HTTP-Zugriff auf die GUI-Verwaltungsschnittstelle mit dem folgenden Befehl deaktiviert werden:

set ns ip  -gui SECUREONLY 

Weitere Informationen zum Konfigurieren des sicheren Zugriffs auf die Benutzeroberfläche der Administration finden Sie im Knowledge Center-Artikel CTX111531:Aktivieren des sicheren Zugriffs auf NetScaler GUI Verwenden der SNIP/MIP-Adresse der Appliance.

Weitere Überlegungen zur Netzwerksicherheit

Beschränken Sie den VPX-Shellzugriff von VPX-Administratoren, denen die Verwaltung des SDX nicht vertraut wird:

In Situationen, in denen es wünschenswert ist, dass eine andere Person ein VPX als die der SVM verwaltet, muss der SVM-Administrator einen VPX-Admin-Benutzer erstellen, der eingeschränkten Shell-Zugriff auf das VPX hat und dem VPX-Administrator nur das eingeschränkte Administratorbenutzerkonto zur Verfügung stellen.

毛皮einige Vorgange是moglicherweise Shell-Zugriff erforderlich (z. B. die Verwaltung von SSL-Zertifikaten). Nur Personen, denen die Verwaltung der SVM als vertrauenswürdig eingestuft wird, muss jedoch Zugriff auf die VPX-Instanzshell gewährt werden. Befehle auf RBAC-Ebene, die später in diesem Abschnitt aufgeführt sind, können diesen Konten zugewiesen werden. Diese Empfehlungen gelten für alle Management-Workflows von SVM-IP/VPX-NSIP (L2/L3) und müssen zu Zwecken der sicheren Zugriffsprüfung befolgt werden.

Die folgenden Schritte können verwendet werden, um den Shell-Zugriff von einem VPX-Administrator zu entfernen.

Sichern bestehender VPX-Instanzen:

1. Melden Sie sich alsnsrootoder Superuser bei der VPX CLI an.

   Citrix empfiehlt, dasnsroot-Konto nicht zu verwenden und stattdessen ein Superuserkonto zu erstellen. Achten Sie bei demnsroot-Konto darauf, starke Kennwörter mit Sonderzeichen zu verwenden. Weitere Informationen zu starken Kennwörtern finden Sie unterVerwaltung und Verwaltung.

   • Erstellen Sie einen Benutzer und eine RBAC-Richtlinie in einer VPX-Instanz auf dem SDX-System.
   • Binden Sie diesen Benutzer an die Richtlinie.

   > add system user userabc Enter password: Confirm password: Done > bind system user userabc superuser 2 Done > add system cmdpolicy shell deny (shell) Done > bind system user userabc shell 1 Done 

   Hinweis:In diesem Beispiel wird die System-cmdpolicy(z. B.cmdpolicyName: Shell) erstellt, um den Shellzugriff zu verweigern. Diese Richtlinie ist an den erstellten Benutzer gebundenuserabc) mit hoher Priorität. Die Standardsuperuser-cmdpolicyist auch als niedrigere Priorität an den Systembenutzer gebunden. Bei dieser Konfiguration verfügt der erstellte Systembenutzer über RBAC-Richtlinien für Superuser, der Shell-Zugriff wird jedoch verweigert.

2. Melden Sie sich als erstellter Benutzer an und führen Sie Folgendes aus.
   • Stellen Sie sicher, dass der aktuelle Benutzer die RBAC-Richtlinien angewendet hat.
   • Führen Sie alle Befehle aus, für die der Benutzer berechtigt ist. (zum Beispielshow system cmdpolicy)
   • Führen Sie die Shell-Cmd aus, um zu überprüfen, ob der Shell-Zugriff eingeschränkt ist.

   einloggen als:userabc

   Banner-Nachricht vor der Authentifizierung vom Server:

   | ############################################################################# > ## | # > # | # WARNING: Access to this system is for authorized users only > # | # Disconnect IMMEDIATELY if you are not an authorized user! > # | # > # | ############################################################################# > ## | End of banner message from server Keyboard-interactive authentication prompts from server: | Password: End of keyboard-interactive prompts from server Last login: Thu May 13 04:11:15 2021 from 10.10.1.1 Done 

   > whoami UserName: userabc LoggedIn: "Thu May 13 04:18:50 2021" Done 

3. Melden Sie sich in der Konsole dieses VPX als dieser Benutzer an und stellen Sie sicher, dass der Shell-Zugriff für diesen Benutzer nicht zulässig ist:

   > shell ERROR: Not authorized to execute this command [shell] 

4. Melden Sie sich als regulärer Admin-Benutzer (nsroot) an und stellen Sie sicher, dass Shell-Zugriff erlaubt ist

   > shell Copyright (c) 1992-2013 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. root@Zela-40G-10# 

Sichern einer neuen VPX-Instanz:

1. Wenn eine neue VPX-Instanz aus der SVM-GUI erstellt wird, erstellen Sie einen INSTANCE ADMIN-Benutzer und deaktivieren Sie das KontrollkästchenShell/SFTP/SCP Access. Beim Deaktivieren des Shell-Zugriffs istsvm_access_policy(Aktion DENY) explizit an den angegebenen Instanz-Admin-Benutzer gebunden.

2. Geben Sie diese Benutzerinformationen dem VPX ADMIN zur Verfügung. SDX ADMIN muss diesesnsroot-Administratorkennwort behalten und darf es nicht mit dem VPX-Administrator teilen.

Hinweis:

• Um dasnsroot-Kennwort zu ändern, melden Sie sich bei SVM an, wählen Sie die Instanz aus und ändern Sie das Kennwort . Ändern Sie niemals dasnsroot-Kennwort über die VPX CLI.
• Weitere Informationen zu RBAC-Benutzern finden Sie unterBenutzer-, Benutzergruppen und Befehlsrichtlinien.
• Informationen zum Ändern des Kennworts der NetScaler-Appliance von SVM aus finden Sie unterÄndern einer NetScaler-Instanz.
• Informationen苏珥Bereitstellung NetScaler-Appliance mit Instanzverwaltung finden Sie unterHinzufügen einer NetScaler-Instanz.

SSH-Port Weiterleitung deaktivieren:

SSH-Portweiterleitung wird von der NetScaler-Appliance nicht benötigt. Wenn Sie diese Funktion nicht verwenden möchten, empfiehlt Citrix, sie mit den folgenden Schritten zu deaktivieren:

1. Bearbeiten Sie die Datei /etc/sshd_config, indem Sie die folgende Zeile hinzufügen.

   AllowTcpForwarding no

2. Speichern Sie die Datei und kopieren Sie sie nach /nsconfig, damit die Änderungen dauerhaft sind, falls Sie während der Tests neu starten.

3. Starten Sie den Vorgangsshdmit dem folgenden Befehl neu:

   kill -HUP `cat /var/run/sshd.pid` 

Konfigurieren Sie die NetScaler-Appliance mit hoher Verfügbarkeit:

In Bereitstellungen, in denen ein kontinuierlicher Betrieb erforderlich ist, können die NetScaler-Appliances in einem Hochverfügbarkeitssetup bereitgestellt werden. Ein solches Setup ermöglicht einen fortgesetzten Betrieb, wenn eine der Appliances nicht mehr funktioniert oder ein Offline-Upgrade erforderlich ist.

Informationen zum Konfigurieren des Hochverfügbarkeitssetups finden Sie im ThemaHigh Availability > Configuring High Availabilityin denCitrix DocsundHow to setup a High Availability Pair on NetScaler.

Richten Sie eine sichere Kommunikation zwischen Peer-Geräten ein:

Wenn Sie Ihre NetScaler-Appliances in einem Hochverfügbarkeits-, Cluster- oder GSLB-Setup konfiguriert haben, sichern Sie die Kommunikation zwischen den Appliances.

Um die Kommunikation zwischen den Appliances zu sichern, empfiehlt Citrix, das interne Benutzerkonto oder das RPC-Knotenkennwort zu ändern und die OptionSicher祖茂堂aktivieren。RPC-Knoten信德实习医师Systementitäten, die für die System-zu-System-Kommunikation von Konfigurations- und Sitzungsinformationen verwendet werden.

Die Funktionen der NetScaler-Appliance können auch eine SSH-schlüsselbasierte Authentifizierung für die interne Kommunikation verwenden, wenn das interne Benutzerkonto deaktiviert ist. In solchen Fällen muss der Schlüsselname als ns_comm_key gesetzt werden. Weitere Informationen finden Sie unterZugriff auf eine NetScaler-Appliance mit SSH-Schlüsseln und ohne Kennwort.

Ändern Sie die Standardkennwörter:

Aus Sicherheitsgründen empfiehlt Citrix, den Administrator und das interne Benutzerkonto oder die RPC-Knotenkennwörter sowohl für on-premises als auch für Cloud-Bereitstellungen zu ändern. Häufiges Ändern der Kennwörter ist ratsam.

• Administratorkennwort: SieheAdministratorkennwort ändern.
• 实习生Benutzerkonto奥得河RPC-Knotenkennwort: SieheÄndern eines RPC-Knotenkennworts.

  Hinweis

  Citrix empfiehlt außerdem, das interne Benutzerkonto zu deaktivieren und stattdessen die schlüsselbasierte Authentifizierung zu verwenden.

Konfigurieren von Netzwerksicherheitsdomänen und VLANs:

Citrix empfiehlt dringend, dass der Netzwerkverkehr zur Verwaltungsschnittstelle der NetScaler-Appliance entweder physisch oder logisch vom normalen Netzwerkverkehr getrennt wird. Die empfohlene Best Practice besteht darin, drei VLANs zu verwenden:

• VLAN außerhalb des Internets
• Verwaltung VLAN
• Innerhalb des Server-VLAN

Citrix empfiehlt, das Netzwerk so zu konfigurieren, dass der LOM-Port Teil des Verwaltungs-VLAN wird.

Wenn Sie eine NetScaler-Appliance im Zweiarm-Modus bereitstellen, weisen Sie einen bestimmten Port einem bestimmten Netzwerk zu. Wenn ein VLAN-Tagging und das Binden von zwei Netzwerken an einen Port erforderlich ist, müssen Sie sicherstellen, dass die beiden Netzwerke über dieselben oder ähnliche Sicherheitsstufen verfügen.

Wenn die beiden Netzwerke unterschiedliche Sicherheitsstufen haben, darf das VLAN-Tagging nicht verwendet werden. Stattdessen sollten Sie einen Port für jedes spezifische Netzwerk reservieren und unabhängige VLANs verwenden, die über die Ports der Appliance verteilt sind.

Erwägen Sie die Verwendung der Citrix Web App Firewall:Eine lizenzierte Appliance von NetScaler Premium Edition bietet eine integrierte Citrix Web App Firewall, die ein positives Sicherheitsmodell verwendet und automatisch das richtige Anwendungsverhalten zum Schutz vor Bedrohungen wie Befehlseinschleusung, SQL-Einschleusung und Cross-Site-Scripting lernt.

Wenn Sie die Citrix Web App Firewall verwenden, können Benutzer der Webanwendung zusätzliche Sicherheit hinzufügen, ohne Codeänderungen und mit geringen Konfigurationsänderungen. Weitere Informationen finden Sie unterEinführung in die NetScaler Web Application Firewall.

Zugriff auf Nicht-Verwaltungsanwendungen einschränken: Führen Sie den folgenden Befehl aus, um den Zugriff von Nicht-Verwaltungsanwendungen auf eine NetScaler-Appliance einzuschränken.

set ns ip  -restrictAccess enabled 

Sichere Clusterbereitstellung:Wenn NetScaler-Clusterknoten außerhalb des Rechenzentrums verteilt sind, empfiehlt Citrix dringend, sichere RPCs für Node-zu-Node-Messaging (NNM), AppNNM zu verwenden und Hochverfügbarkeit einzurichten.

Führen Sie den folgenden Befehl aus, um die Secure RPC-Funktion für alle NetScaler-IP-Adressen in einem NetScaler Cluster und einem Hochverfügbarkeitssetup zu aktivieren:

set rpcnode  -secure on 

Hinweis: Möglicherweise ist eine andere Konfiguration erforderlich. Weitere Informationen finden Sie in den Themen zumClusteringauf der Citrix Docs-Website.

Bei der Bereitstellung in einer L3-Clusterbereitstellung werden Pakete zwischen NetScaler-Knoten über einen unverschlüsselten GRE-Tunnel ausgetauscht, der die NSIP-Adressen der Quell- und Zielknoten für das Routing verwendet. Wenn der Austausch über das Internet erfolgt, sind die NSIPs in Ermangelung eines IPsec-Tunnels im Internet verfügbar. Dies wird nicht empfohlen, da es nicht den bewährten Sicherheitspraktiken für NetScaler entspricht.

Citrix empfiehlt Kunden dringend,您eigene IPsec-Lösung einzurichten, um den Cluster über die L3-Funktion zu verwenden.

Wenn die IP-Weiterleitungsfunktion nicht verwendet wird, verwenden Sie den folgenden Befehl, um den L3-Modus zu deaktivieren:

disable ns mode L3 

Verwenden Sie Secure MEP für den Global Server Load Balancing (GSLB):Führen Sie den folgenden Befehl vom NSCLI aus, um das MEP zwischen NetScaler-Appliances für GSLB zu verschlüsseln:

set rpcNode  -secure yes 

Sichern Sie das Load Balancing Persistence Cookie:

Citrix empfiehlt, das Persistenz-Cookie für den Lastenausgleich zusätzlich zum SSL/TLS-Kanal zu verschlüsseln. Weitere Informationen dazu finden Sie unterPersistenz von HTTP-Cookies.

Helloverifyrequest-Parameter zur Minderung des DTLS DDoS-Verstärkungsangriffs:

Ausgehend von NetScaler Release 12.1 Build 62.x und Release 13.0 Build 79.x ist der Parameterhelloverifyrequeststandardmäßig aktiviert. Die Aktivierung des Parametershelloverifyrequestim DTLS-Profil hilft, das Risiko zu verringern, dass ein Angreifer oder Bots den Netzwerkdurchsatz überfordert, was möglicherweise zu einer Erschöpfung der ausgehenden Bandbreite führt. Das heißt, es hilft, den DTLS DDoS-Verstärkungsangriff zu mildern.

Um den Parameterstatus fürhelloverifyrequestanzuzeigen, geben Sie an der ADC-Eingabeaufforderung Folgendes ein;

show dtlsProfile 

Passthrough-Datenverkehrs auf der NetScaler-Appliance über Einstellungen für den Infrastrukturmodus sichern

设置毛穴Citrix Web应用防火墙——死亡Infrastrukturmodus können für den sicheren Passthrough-Datenverkehr auf der NetScaler-Appliance verwendet werden. Diese Einstellungen für den Infrastrukturmodus bieten ein grundlegendes Sicherheitsniveau, ohne Anwendungen zu unterbrechen. In der folgenden Liste sind die verfügbaren Einstellungen für den Infrastrukturmodus zusammengefasst.

• Schutz des Sitzungsstatus
• Schutz vor Sitzungsfixierung (nur HTTP aktivieren)
• hst (aktivieren您strikte HTTP-Transportsicherheit (HSTS))
• Starke Authentifizierung
• End-to-End-SSL bevorzugt (TLS 1.2 und TLS 1.1)
• Proxy HTTPS//Deny allen anderen Verkehr

Schutz des Sitzungsstatus:

Empfehlung: NetScaler aktiviert: Standardmäßig für die meisten Entitäten aktiviert

Die Einstellung für denSitzungsstatusschutzist standardmäßig aktiviert und erfordert keine spezielle Konfiguration. Wenn die NetScaler-Appliance für den Proxy einer Verbindung konfiguriert ist. Wenn Flow beispielsweise einen konfigurierten virtuellen Server oder Dienst vom Typ TCP oder höher auswählt, erstellt die NetScaler-Appliance eine statusbehaftete Sitzung. Die NetScaler-Appliance behält weiterhin den Status dieser Verbindungen bei und nur Pakete, die in diesen Zustandsmaschine fallen, werden verarbeitet. Andere Pakete werden entweder verworfen oder zurückgesetzt.

Die folgenden Diensttypentitäten erreichen dieses statusbehaftete Verhalten auf einer NetScaler-Appliance.

• ADNS_TCP
• DIAMETER, DNS_TCP
• FTP-c
• GRE-c
• HTTP
• MYSQL, MSSQL
• NNTP
• ORACLE
• PUSH, PPTP
• RTSP, RDP
• SIP_SSL, SIP_TCP
• SMPP
• SSL, SSL_BRIDGE, SSL_DIAMETER, SSL_PUSH
• SSL_TCP, SYSLOG_TCP
• TCP
• ADNS_TCP
• RNAT (rnat_tcpproxy is ENABLED)

Schutz vor Sitzungsfixierung (durch Aktivieren des HttpOnly-Flags oder Hinzufügen einer Richtlinie zum Umschreiben):

Empfehlung: Um HttpOnly für Cookies zu aktivieren, die von der NetScaler-Appliance oder dem Backend-Server festgelegt wurden, ist
NetScaler: Standardmäßig aktiviert für die in NetScaler eingefügten Cookies, möglich über Rewrite für vom Back-End-Server gesetzte Cookies.

HttpOnly:Wenn Sie ein Cookie mit dem HttpOnly-Flag markieren, zeigt dies dem Browser an, dass nur vom Server auf dieses Cookie zugegriffen werden darf. Jeder Versuch, vom Client-Skript aus auf das Cookie zuzugreifen, ist strengstens verboten. HttpOnly Cookies, wenn sie richtig implementiert sind, machen riesige Klassen gängiger Cross-Site-Scripting-Angriffe viel schwieriger zu entfernen.

Im Folgenden finden Sie ein Beispiel für ein Cookie mit gesetztem HttpOnly-Flag:

Set-Cookie: ASP.NET_SessionId=ig2fac55; path=/; HttpOnly 

Die Cookies, die von NetScaler für Cookie Insert Persistenz eingefügt werden, setzen standardmäßig das HttpOnly-Flag, um anzuzeigen, dass das Cookie nicht skriptfähig ist und der Clientanwendung nicht offenbart werden darf. Daher kann das clientseitige Skript nicht auf das Cookie zugreifen, und der Client ist nicht anfällig für Cross-Site Scripting.

So aktivieren Sie die Einstellung HttpOnly über die Befehlszeilenschnittstelle:

Geben Sie in der Befehlszeile Folgendes ein:

set lb parameter -HttpOnlyCookieFlag (ENABLED) 

Verwenden der Umschreibrichtlinie zum Einfügen von Secure und HttpOnly für Cookies:

Die Richtlinie zum Umschreiben fügt Secure und HTTP nur für Cookies ein, die vom Backend-Server gesendet werden.

Hinweis: Sichere und HttpOnly-Cookies können zusammen für SSL-VIPs durchgeführt werden. Für Nicht-SSL-VIPs kann man das HttpOnly-Flag einfügen.

Mit NetScaler kann nur HTTP und Secure Flags für vom Server gesetzte Cookies enthalten sein.

• HttpOnly - Diese Option in einem Cookie bewirkt, dass der Webbrowser das Cookie nur über das HTTP- (oder HTTPS-) Protokoll zurückgibt. Nicht-HTTP-Methoden wie die JavaScript-Verweise auf document.cookie können nicht auf das Cookie zugreifen. Diese Option hilft dabei, den Diebstahl von Cookies aufgrund von Cross-Site Scripting zu verhindern.
• Sicher - Diese Option in einem Cookie bewirkt, dass die Webbrowser nur den Cookie-Wert zurückgeben, wenn die Übertragung durch SSL verschlüsselt wird. Diese Option kann verwendet werden, um Cookie-Diebstahl durch Verbindungsabhörung zu verhindern.

So erstellen Sie eine Richtlinie zum Umschreiben mit der Befehlszeilenschnittstelle:

1. Aktivieren Sie die Rewrite-Funktion, falls sie nicht bereits aktiviert ist.

   enable feature REWRITE 

2. Erstellen Sie eine Rewrite-Aktion (in diesem Beispiel werden sowohl Secure- als auch HttpOnly-Flags festgelegt. Wenn eine der beiden fehlt, ändern Sie sie wie für andere Kombinationen erforderlich).

   add rewrite action  replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES 

   Beispiel:

   add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" or add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""path=/; Secure; HttpOnly"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES 

   Hinweis:Ab NetScaler Release 13.1 ist der ParameterbypassSafetyChecknicht anwendbar. Für Versionen vor 13.1 wird dieser Parameter jedoch unterstützt.

3. Erstellen Sie eine Rewriterichtlinie, um die Aktion auszulösen.

   add rewrite policy  "http.RES.HEADER("Set-Cookie").EXISTS"  

   Beispiel:

   add rewrite policy rw_force_secure_cookie "http.RES.HEADER("Set-Cookie").EXISTS" act_cookie_Secure 

4. Binden您死Richtlinie zum Umschreiben窝zu sichernden virtuellen Server (wenn die Option Sicher verwendet wird, muss ein virtueller SSL-Server verwendet werden).

   bind lb vserver  -  -priority  -gotoPriorityExpression NEXT -type RESPONSE 

   Beispiel:

   bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE 

   Weitere Informationen finden Sie unterhttps://support.citrix.com/article/CTX138055.

hst (aktivieren您strikte HTTP-Transportsicherheit (HSTS)):

So aktivieren Sie HSTS über die NetScaler-Befehlszeile:

Geben Sie in der Befehlszeile Folgendes ein:

add ssl vserver  -HSTS ( ENABLED ) maxage  -IncludeSubdomains ( YES | NO) 

ODER

add ssl profile  -HSTS ( ENABLED ) -maxage  -IncludeSubdomains ( YES | NO ) 

Weitere Informationen finden Sie in den folgenden Artikeln.

• Unterstützung für HTTP Strict Transport Security (HSTS) konfigurieren.

• https://support.citrix.com/article/CTX205221

Starke Authentifizierung:

Starke Authentifizierung (oder Multifaktor-Authentifizierung — MFA) muss für den gesamten Zugriff auf vertrauliche Daten, Apps und Administration aktiviert sein.

Weitere Informationen darüber, wie sensible Apps für die Multifaktor-Authentifizierung eingerichtet werden können, finden Sie unterMulti-Factor (nFactor) -Authentifizierung.

End-to-End SSL bevorzugt (TLS 1.2 und TLS 1.1):

Es wird empfohlen, SSL sowohl im Frontend als auch im Backend zu haben. SSLv3 und TLS v1.0 können auf SSL-Entitäten deaktiviert werden, da Sicherheitslücken gemeldet wurden. Sie können nur TLS 1.1 und TLS 1.2 aktiviert haben. Wenn möglich, haben Sie nur die TLS 1.2-Version auf dem Client, der VIPs gegenübersteht. Dies kann entweder auf SSL-Entitätsebene oder auf Profilebene erfolgen, und alle SSL-Entitäten erben die SSL-Einstellungen vom Profil.

So deaktivieren Sie SSL-Entitäten über die Befehlszeilenschnittstelle:

Geben Sie in der Befehlszeile Folgendes ein:

set ssl vserver  -ssl2 DISABLED -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED set ssl service  -ssl2 DISABLED -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED 

Wenn das SSL-Profil aktiviert ist, verwenden Sie den folgenden Befehl:

set ssl profile  -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED set ssl profile  -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED 

NetScaler empfohlene Verschlüsselungssammlungen:

Die folgenden Verschlüsselungen, die von NetScaler unterstützt werden, enthalten keine Komponenten in der Liste “obligatorisches Verwerfen”. Diese Chiffre werden durch Schlüsselaustausch (RSA, DHE und ECDHE) organisiert, indem die leistungsfähigeren Chiffre an der Spitze mit den höheren Sicherheitseinstellungen unten platziert werden:

Empfehlen Sie RSA Key Exchange Cipher Suites:

• TLS1-AES-128-CBC-SHA
• TLS1-AES-256-CBC-SHA
• TLS1.2-AES-128-SHA256
• TLS1.2-AES-256-SHA256
• TLS1.2-AES128-GCM-SHA256
• TLS1.2-AES256-GCM-SHA384

Empfehlen Sie DHE Key Exchange Cipher Suites:

• TLS1-DHE-RSA-AES-128-CBC-SHA
• TLS1-DHE-RSA-AES-256-CBC-SHA
• TLS1.2-DHE-RSA-AES-128-SHA256
• TLS1.2-DHE-RSA-AES-256-SHA256
• TLS1.2-DHE-RSA-AES128-GCM-SHA256
• TLS1.2-DHE-RSA-AES256-GCM-SHA384

Empfehlen Sie ECDHE Key Exchange Cipher Suites:

• TLS1-ECDHE-RSA-AES128-SHA
• TLS1-ECDHE-RSA-AES256-SHA
• TLS1.2-ECDHE-RSA-AES-128-SHA256
• TLS1.2-ECDHE-RSA-AES-256-SHA384
• TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

Empfehlen Sie Verschlüsselungssammlungen in der Reihenfolge ihrer Präferenz:

Die folgende Liste von Verschlüsselungen umfasst RSA-, DHE- und ECDHE-Schlüsselbörsen. Es bietet den besten Kompromiss zwischen Sicherheit, Leistung und Kompatibilität.

1. TLS1.2-AES128-GCM-SHA256
2. TLS1.2-AES-128-SHA256
3. TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
4. TLS1.2-ECDHE-RSA-AES-128-SHA256
5. TLS1-ECDHE-RSA-AES128-SHA
6. TLS1.2-DHE-RSA-AES128-GCM-SHA256
7. TLS1.2-DHE-RSA-AES-128-SHA256
8. TLS1-DHE-RSA-AES-128-CBC-SHA
9. TLS1-AES-128-CBC-SHA

Proxy-HTTPS/ verweigert allen anderen Verkehr:

Wo immer möglich, verfügen Sie über SSL-VIPs zur besseren Verschlüsselung von Daten, indem Sie sichere SSL-Versionen (TLSv1.1 und TLSv1.2) und sichere Verschlüsselungen verwenden. Der SSL-TPS und der SSL-Durchsatz müssen bei der Aktivierung von SSL für die VIPs und Back-End-SSL-Dienste berücksichtigt werden.

Verwaltung und Verwaltung

Dieser Abschnitt enthält Beispiele für spezifische Konfigurationsänderungen, die angewendet werden können, um die Sicherheit der NetScaler- und NetScaler SDX-Appliances zu erhöhen. Weitere Anleitungen zu Best Practices für die NetScaler-Konfiguration finden Sie im ArtikelEmpfohlene Einstellungen und Best Practices für eine generische Implementierung einer NetScaler-Appliance.

System- und Benutzerkonten

Kennwort für das Superuser-Konto ändern:Sie können den integrierten Administrator-Superuser (nsroot) nicht löschen. Ändern Sie daher das Standardkennwort für dieses Konto in ein sicheres Kennwort . Um das Standardkennwort für den Admin-Benutzer zu ändern, führen Sie die folgenden Schritte aus:

1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsprogramm.
2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
3. Wählen Sie den Knoten Benutzer aus.
4. Wählen Sie auf der Seite Systembenutzer dennsroot-Benutzer aus.
5. Wählen Sie Kennwort ändern aus.
6. Geben Sie das erforderliche Kennwort in die Felder “Kennwort” und “Kennwort bestätigen” ein.
7. Klicken Sie auf OK.

Erstellen eines alternativen Superuser-Kontos:Führen Sie die folgenden Befehle aus, um ein Superuser-Konto zu erstellen:

add system user   bind system user  superuser 0 

Verwenden Sie dieses Superuser-Konto anstelle des Standard-Superuser-Kontosnsroot.

Bei NetScaler SDX-Bereitstellungen muss ein Administrator die Standardanmeldeinformationen für die NetScaler SDX-Appliance und ihre GUI-Verwaltungskonsole nach der Ersteinrichtung ändern. Gehen Sie wie folgt vor, um das Kennwort für den Standardbenutzer zu ändern:

1. Melden Sie sich als Superuser an und öffnen Sie das Konfigurationsprogramm.
2. Erweitern Sie im Navigationsbereich den Knoten Systeme.
3. Wählen Sie den Knoten Benutzer aus.
4. Wählen Sie auf der Seite Systembenutzer den Standardbenutzer aus.
5. Wählen Sie Ändern aus.
6. Geben Sie das erforderliche Kennwort in die Felder “Kennwort” und “Kennwort bestätigen” ein.
7. Klicken Sie auf OK.

Starkes Kennwort für Systembenutzer:

Citrix empfiehlt die Verwendung eines sicheren Kennworts für Systembenutzerkonten, die in NetScaler erstellt wurden. Beispiele für Anforderungen an die Kennwortkomplexität sind:

• Das Kennwort muss eine Mindestlänge von acht Zeichen haben.
• Das Kennwort darf keine Wörterbuchwörter oder eine Kombination von Wörterbuchwörtern enthalten.
• Das Kennwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Starke Kennwörter können erzwungen werden, indem zwei Parameter festgelegt werden, einen für die Mindestlänge von Kennwörtern und den anderen, um die Komplexität des Kennworts zu erzwingen:

set system parameter -minpasswordlen  - -strongpassword ( ENABLED | DISABLED ) 

In Bereitstellungen, in denen mehrere Administratoren erforderlich sind, sollten Sie eine externe Authentifizierungsmethode verwenden, um Benutzer zu authentifizieren, z. B. RADIUS, TACACS+ oder LDAP (S). Weitere Informationen finden Sie unterExterne Benutzerauthentifizierung.

Systembenutzerkonto für Verwaltungszugriff sperren:Mit der NetScaler-Appliance können Sie einen Systembenutzer 24 Stunden lang sperren und dem Benutzer den Zugriff verweigern. Die NetScaler-Appliance unterstützt die Konfiguration sowohl für Systembenutzer als auch für externe Benutzer. Geben Sie an der Eingabeaufforderung Folgendes ein:

set aaa parameter –persistentLoginAttempts DISABLED

Um ein Benutzerkonto zu sperren, geben Sie an der Eingabeaufforderung Folgendes ein:

lock aaa user test

Informationen zur Konfiguration dieser Funktion mithilfe der GUI finden Sie unterBenutzerkonto- und Kennwortverwaltung.

Entsperren Sie ein gesperrtes Systembenutzerkonto für den Verwaltungszugriff:Systembenutzer und externe Benutzer können mit dem Befehl sperren Authentifizierung, Autorisierung und Überwachung des Benutzers für 24 Stunden gesperrt werden. Mit der NetScaler-Appliance können Sie den Benutzer des gesperrten Systems entsperren. Geben Sie in der Befehlszeile Folgendes ein:

unlock aaa user testInformationen zum Konfigurieren dieses Features über die GUI finden Sie unterBenutzerkonto- und Kennwortverwaltung.

Verwaltungszugriff für Systembenutzerkonto deaktivieren:Wenn die externe Authentifizierung auf der Appliance konfiguriert ist und Sie als Administrator den Systembenutzern den Zugriff verweigern möchten, um sich am Verwaltungszugriff anzumelden, müssen Sie die Option localAuth im Systemparameter deaktivieren.

Hinweis: Externer Server muss konfiguriert sein.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter localAuth

Beispiel:

set system parameter localAuth DISABLEDInformationen zum Konfigurieren dieses Features über die GUI finden Sie unterBenutzerkonto- und Kennwortverwaltung.

Kennwortänderung für Administratorbenutzer erzwingen:Für eine gesichertensroot-Authentifizierung fordert die NetScaler-Appliance den Benutzer auf, das Standardkennwort in ein neues zu ändern, wenn die OptionforcePasswordChangeim Systemparameter aktiviert ist. Sie können Ihrnsroot-Kennwort entweder über die CLI oder die GUI ändern, wenn Sie sich zum ersten Mal mit den Standardanmeldeinformationen anmelden. Geben Sie in der Befehlszeile Folgendes ein:

set system parameter -forcePasswordChange ( ENABLED | DISABLED )

Ein Beispiel zur Konfiguration dieser Funktion finden Sie unterBenutzerkonten- und Kennwortverwaltung.

Auf NetScaler mit SSH-Schlüsseln und ohne Kennwort zugreifen:In Bereitstellungen, in denen viele NetScaler-Appliances verwaltet werden müssen, sollten Sie SSH-Keys und Kein Kennwort verwenden. Informationen zur Konfiguration dieser Funktion finden Sie unterAuf NetScaler mit SSH-Schlüsseln und ohne Kennwort zugreifen.

Systemhauptschlüssel für den Datenschutz erstellen:Von NetScaler 12.1 bis NetScaler 13.0—71.44 ist es erforderlich, einen Systemhauptschlüssel zu erstellen, um bestimmte Sicherheitsparameter zu schützen, z. B. die Kennwörter von Dienstkonten, die für die LDAP-Authentifizierung erforderlich sind, und lokal gespeicherte Benutzerkonten für Authentifizierung, Autorisierung und Audits.

Hinweis:Ab der Version Citrix 13.0—76.31 wird beim Upgrade-Vorgang standardmäßig automatisch ein zufälliger Systemhauptschlüssel erstellt.

So erstellen Sie den Hauptschlüssel des Systems:

1. Melden Sie sich über die Befehlszeilenschnittstelle als Systemadministrator an.
2. Geben Sie den folgenden Befehl ein:

create kek  

Hinweis:

• Nachdem der Befehl create system kek ausgeführt wurde, wird KEK für die meisten Kennwortverschlüsselungen verwendet (lokale Benutzerpasswörter werden nicht mit KEK verschlüsselt).

• Sie dürfen die KEK-Datei nicht löschen. Wenn Sie Shell-Zugriff haben und versehentlich die Schlüsselfragmentdateien löschen, kann dies zu Konfigurationsverlust, Synchronisierungsfehlern und Anmeldefehlern führen. Im Folgenden sind einige der zu beachtenden Punkte aufgeführt:

  • Verwenden您贝姆降级总是一张altere今敏figurationsdatei, die dem zu installierenden Build entspricht. Andernfalls können Anmeldung, Quellkonfiguration, Synchronisierung und Failover fehlschlagen.
  • Wenn eine der Schlüsselfragmentdateien verloren geht oder beschädigt wird, führt die Verschlüsselung/Entschlüsselung vertraulicher Daten zu einem Fehler, der wiederum zu Konfigurationsverlust, Synchronisationsfehler oder Anmeldefehler führen kann.
• Die Passphrase muss mindestens 8 Zeichen lang sein.

Verwenden Sie Zugriffssteuerungslisten:

Standardmäßig sind alle Protokolle und Ports, einschließlich GUI und SSH, auf einer NetScaler-Appliance zugänglich. Zugriffssteuerungslisten (ACLs) können Ihnen helfen, die Appliance sicher zu verwalten, indem nur explizit angegebene Benutzer auf Ports und Protokolle zugreifen können.

Empfehlungen zur Steuerung des Zugriffs auf das Gerät:

• Erwägen Sie, NetScaler Gateway zu verwenden, um den Zugriff auf die Appliance nur auf die GUI zu beschränken. Für Administratoren, die zusätzlich zur GUI Zugriffsmethoden benötigen, muss das NetScaler Gateway mit einer standardmäßigen ‘DENY’ ACL für die Ports 80, 443 und 3010 konfiguriert sein, jedoch mit einem expliziten ‘ALLOW’, damit vertrauenswürdige IP-Adressen auf diese Ports zugreifen können.

Diese Richtlinie kann für die Verwendung mit dem Bereich vertrauenswürdiger IP-Adressen mit dem folgenden NSCLI-Befehl erweitert werden:

add acl local_access allow -srcip 192.168.0.1-192.168.0.3 -destip 192.168.0.1-192.168.0.3 apply acls 

• Wenn Sie SNMP verwenden, erlauben Sie explizit SNMP-Datenverkehr mit ACL. Im Folgenden finden Sie eine Reihe von Beispielbefehlen:

add acl snmp1-ssh ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 161 -protocol udp add acl snmp2-ssh ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 –destport 161 -protocol udp apply acls 

Im vorherigen Beispiel bietet der Befehl Zugriff für alle SNMP-Abfragen auf die beiden definierten Subnetze, auch wenn die Abfragen an die entsprechend definierte Community gerichtet sind.

Sie können Verwaltungsfunktionen für NSIP- und SNIP-Adressen aktivieren. Wenn aktiviert, gewähren Sie Zugriff auf die NSIP-, SNIP-Adressen mit ACLs, um den Zugriff auf die Verwaltungsfunktionen zu schützen. Der Administrator kann die Appliance auch so konfigurieren, dass sie mit dem Ping-Befehl nicht zugänglich ist.

• Open Shortest Path First (OSPF) und IPSEC sind kein TCP- oder UDP-basiertes Protokoll. Wenn Sie die Appliance benötigen, um diese Protokolle zu unterstützen, lassen Sie den Datenverkehr mit diesen Protokollen explizit zu, indem Sie eine ACL verwenden. Führen Sie den folgenden Befehl aus, um eine ACL zu definieren, um OSPF und IPSEC nach Protokollnummern anzugeben:

add acl allow_ospf allow -protocolnumber 89 add acl allow_ipsec allow -protocolnumber 50 

• Wenn ein XML-API-Webdienst verwendet wird, führen Sie die folgenden Aufgaben aus, um die API-Schnittstelle zu sichern:
• Geben Sie dem Host die Berechtigung für den Zugriff auf die Schnittstelle mit einer ACL an. Führen Sie beispielsweise die folgenden Befehle aus, damit die Hosts im IP-Adressbereich 10.0.0.1-20 und 172.16.0.1-20 auf die XML-API-Schnittstelle zugreifen können:

add acl xml-api1 ALLOW -srcip 10.0.0.1-10.0.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp add acl xml-api2 ALLOW -srcip 172.16.0.1-172.16.0.20 -destip 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp apply acls 

• Verwenden Sie den folgenden Befehl, um ACLs für die internen Ports anzuwenden:

set l3param -implicitACLAllow DISABLED 

Hinweis:Der Standardwert für den BefehlimplicitACLAllowistENABLED.

• Verwenden Sie den folgenden Befehl, um ACLs von den internen Ports zu entfernen:

set l3param -implicitACLAllow ENABLED 

• Sie können zusätzliche Sicherheit erzielen, indem Sie ein clientseitiges Zertifikat verwenden. Weitere Informationen zu clientseitigen Zertifikaten und zur Clientauthentifizierung finden Sie unterClientauthentifizierungoder im Knowledge Center-Artikel CTX214874:Erstellen und Verwenden von Clientzertifikaten auf NetScaler-Appliance mit Firmware 10.1 und höher.

Verwenden Sie rollenbasierte Zugriffssteuerung für Administratorbenutzer:

Die NetScaler-Appliance umfasst vier Befehlsrichtlinien oder Rollen wie Operator, schreibgeschützt, Netzwerk und Superuser. Sie können auch Befehlsrichtlinien definieren, verschiedene Verwaltungskonten für verschiedene Rollen erstellen und den Konten die Befehlsrichtlinien zuweisen, die für die Rolle erforderlich sind. Im Folgenden finden Sie eine Reihe von Beispielbefehlen, um den schreibgeschützten Zugriff auf den schreibgeschützten Benutzer einzuschränken:

add system user readonlyuser bind system user readonlyuser read-only 0 

Weitere Informationen zum Konfigurieren von Benutzern, Benutzergruppen oder Befehlsrichtlinien finden Sie unterBenutzer, Benutzergruppen und Befehlsrichtlinien.

Konfigurieren des Zeitlimits für die Systemsitzung:

Ein Sitzungstimeout-Intervall wird bereitgestellt, um die Zeitdauer einzuschränken, für die eine Sitzung (GUI, CLI oder API) aktiv bleibt, wenn sie nicht verwendet wird. Für die NetScaler-Appliance kann das Zeitlimit für die Systemsitzung auf den folgenden Ebenen konfiguriert werden:

• Timeout auf Benutzerebene. Gilt für den jeweiligen Benutzer.

GUI: Navigieren Sie zuSystem>Benutzerverwaltung>Benutzer, wählen Sie einen Benutzer aus und bearbeiten Sie die Zeitüberschreitungseinstellung des Benutzers. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system user  -timeout  

• Timeout auf Benutzergruppenebene. Gilt für alle Benutzer in der Gruppe.

GUI: Navigieren Sie zuSystem>Benutzerverwaltung>Gruppen, wählen Sie eine Gruppe aus und bearbeiten Sie die Zeitüberschreitungseinstellung der Gruppe. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system group  -timeout  

• Globales System-Timeout. Gilt für alle Benutzer und Benutzer aus Gruppen, für die kein Timeout konfiguriert ist.

GUI: Navigieren Sie zuSystem>Einstellungen, klicken Sie aufGlobale Systemparameterfestlegen und legen Sie den Parameter ANY Client Idle Timeout (Sekunden) fest. CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system parameter -timeout  

Der für einen Benutzer angegebene Timeoutwert hat die höchste Priorität. Wenn für den Benutzer kein Timeout konfiguriert ist, wird das für eine Mitgliedsgruppe konfigurierte Zeitlimit berücksichtigt. Wenn für eine Gruppe kein Timeout angegeben ist (oder der Benutzer keiner Gruppe angehört), wird der global konfigurierte Timeoutwert berücksichtigt. Wenn Timeout auf keiner Ebene konfiguriert ist, wird der Standardwert von 900 Sekunden als Zeitlimit für die Systemsitzung festgelegt.

Sie können den Timeoutwert auch einschränken, sodass der Sitzungstimeoutwert nicht über den vom Administrator konfigurierten Timeoutwert hinaus konfiguriert werden kann. Sie können den Timeoutwert zwischen 5 Minuten und 1 Tag beschränken. So schränken Sie den Timeoutwert ein:

• GUI: Navigieren Sie zuSystem>Einstellungen, klicken Sie aufGlobale Systemparameter festlegenund wählen Sie das Feld Restricted Timeout aus.
• CLI: Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set system parameter -restrictedtimeout  

Nachdem der Benutzer den restrictedTimeout-Parameter aktiviert hat und der Timeoutwert bereits auf einen Wert konfiguriert ist, der größer als 1 Tag oder weniger als 5 Minuten ist, wird der Benutzer benachrichtigt, den Timeoutwert zu ändern. Wenn der Benutzer den Timeoutwert nicht ändert, wird der Timeoutwert standardmäßig beim nächsten Neustart auf 900 Sekunden (15 Minuten) umkonfiguriert.

Sie können auch Timeout-Dauer für jede der Schnittstellen angeben, auf die Sie zugreifen. Der für eine bestimmte Schnittstelle angegebene Timeoutwert ist jedoch auf den Timeoutwert beschränkt, der für den Benutzer konfiguriert ist, der auf die Schnittstelle zugreift. Betrachten Sie beispielsweise, dass Benutzerpublicadmineinen Timeoutwert von 20 Minuten hat. Wenn der Benutzer jetzt auf eine Schnittstelle zugreift, muss er den Timeoutwert angeben, der innerhalb von 20 Minuten liegt.

So konfigurieren Sie die Zeitüberschreitungsdauer an jeder Schnittstelle:

• CLI: Geben Sie den Timeoutwert an der Eingabeaufforderung mit dem folgenden Befehl an:

set cli mode -timeout  

• API: Geben Sie den Timeoutwert in der Login-Nutzlast an.

Protokollierung und Überwachung

Konfigurieren des Network Time Protocol

Citrix empfiehlt, dass Network Time Protocol (NTP) auf der Appliance aktiviert und für die Verwendung eines vertrauenswürdigen Netzwerkzeitservers konfiguriert ist. Durch die Aktivierung von NTP wird sichergestellt, dass die für die Protokolleinträge und Systemereignisse aufgezeichneten Zeiten korrekt sind und mit anderen Netzwerkressourcen synchronisiert werden.

Bei der Konfiguration von NTP muss die Datei ntp.conf geändert werden, um zu verhindern, dass der NTP-Server die Informationen in vertraulichen Paketen preisgibt.

Sie können die folgenden Befehle ausführen, um NTP auf der Appliance zu konfigurieren:

add ntp server  10 enable ntp sync 

Ändern Sie die Datei ntp.conf für jeden vertrauenswürdigen NTP-Server, den Sie hinzufügen. Für jeden Servereintrag muss ein entsprechender Einschränkungseintrag vorhanden sein. Sie können die ntp.conf-Datei suchen, indem Sie den Befehlfind . –name ntp.confüber die Shell-Eingabeaufforderung der Appliance ausführen.

SNMP konfigurieren

Die NetScaler-Appliance unterstützt Version 3 des SNMP-Protokolls. SNMPv3 umfasst Verwaltungs- und Sicherheitsfunktionen wie Authentifizierung, Zugriffssteuerung und Datenintegritätsprüfungen. Weitere Informationen finden Sie unterNetScaler für SNMPv3-Abfragen konfigurieren.

Hinweis:

Citrix empfiehlt, SNMPv3 anstelle von SNMPv1 und SNMPv2 zu verwenden.

Wenn Sie nicht mindestens einen SNMP-Manager konfigurieren, akzeptiert und beantwortet die Appliance SNMP-Abfragen von allen IP-Adressen im Netzwerk. Führen Sie den folgenden Befehl aus, um einen SNMP-Manager hinzuzufügen und dieses Verhalten einzuschränken:

add snmp manager  

In Bereitstellungen, in denen SNMP nicht erforderlich ist, muss die Funktion mit dem folgenden Befehl deaktiviert werden:

set ns ip  -snmp disabled 

Konfigurieren der Protokollierung auf einem externen NetScaler-Protokollhost

Der NetScaler Audit Server protokolliert alle Zustände und Statusinformationen, die von verschiedenen Modulen im Kernel und in den Daemons auf Benutzerebene gesammelt werden. Der Audit-Server ermöglicht es einem Administrator, den Ereignisverlauf in chronologischer Reihenfolge anzuzeigen. Der Überwachungsserver ähnelt dem SYSLOG-Server, der Protokolle von der Appliance sammelt. Der Überwachungsserver verwendet die Administratoranmeldeinformationen, um Protokolle von einer oder mehreren Appliances abzurufen.

• Konfiguration des lokalen Überwachungsservers

Führen Sie den folgenden Befehl aus, um die Protokollierung beim lokalen Überwachungsserver in der NetScaler-Appliance zu konfigurieren:> set audit nslogparams –serverip -serverport

• Konfiguration des Remoteüberwachungsservers

Installieren Sie den Überwachungsserver auf diesem Computer, um die Protokollierung beim Überwachungsserver auf einem Remotecomputer zu konfigurieren. Im Folgenden finden Sie Beispiele für Audit-Server-Optionen:

./audserver -help usage : audserver -[cmds] [cmd arguments] cmds cmd arguments: -f  -d debug -help - detail help -start - cmd arguements,[starts audit server] -stop - stop audit server -verify - cmd arguments [verifies config file] -addns - cmd arguments [add a netscaler to conf file] -version - prints the version info 

Dies bietet nur Funktionen zum Protokollieren von Überwachungsnachrichten, die von der Datei ns.log der Appliance generiert werden. So protokollieren Sie alle Syslog-Nachrichten:

1. Entfernen Sie die Protokolldateispezifikationen aus der Datei /nsconfig/syslog.conf für die lokalen Einrichtungen.

2. Ersetzen Sie die Protokolldateispezifikationen durch den Protokollhostnamen oder die IP-Adresse des Remote-Syslog-Hosts, ähnlich den folgenden Einträgen:

   local0.* @10.100.3.53

   local1.* @10.100.3.53

3. Konfigurieren Sie den Syslog-Server so, dass er Protokolleinträge aus den vorherigen Protokollierungseinrichtungen akzeptiert. Weitere Informationen finden Sie in der Syslog-Serverdokumentation.
4. Für die meisten UNIX-basierten Server, die die standardmäßige Syslog-Software verwenden, müssen Sie der syslog.conf-Konfigurationsdatei einen lokalen Einrichtungskonfigurationseintrag für die Nachrichten und die Dateien nsvpn.log hinzufügen. Die Einrichtungswerte müssen den auf der Appliance konfigurierten Werten entsprechen.
5. Der Remote-Syslog-Server auf jedem UNIX-basierten Computer wartet standardmäßig nicht auf Remote-Protokolle. Führen Sie daher den folgenden Befehl aus, um den Remote-Syslog-Server zu starten:

syslogd -m 0 –r 

Hinweis: Siehe die äquivalenten Optionen der Syslog-Variante, die auf dem Audit-Server bereitgestellt wird.

lOM-Konfiguration

Citrix empfiehlt dringend, dass die folgenden Maßnahmen ergriffen werden, um die LOM-Schnittstelle zu sichern:

• Stellen Sie den LOM-Port nicht dem Internet zur Verfügung.
• Stellen Sie die LOM hinter einer SPI-Firewall bereit.
• Stellen Sie das LOM in einem Netzwerksegment bereit, das entweder logisch (separates VLAN) oder physisch (separates LAN) von einem nicht vertrauenswürdigen Netzwerkverkehr getrennt ist.
• legen Sie verschiedene Werte für Benutzernamen, Kennwort, SSL-Zertifikat und SSL-Schlüssel für die LOM- und die NetScaler Verwaltungsports fest.
• Stellen Sie sicher, dass Geräte, die für den Zugriff auf die LOM-Verwaltungsschnittstelle verwendet werden, ausschließlich für Netzwerkverwaltungszwecke bestimmt sind und sich in einem Verwaltungsnetzwerksegment befinden, das sich im selben physischen LAN oder VLAN wie andere Verwaltungsgeräte-Ports befindet.
• Um LOM-IP-Adressen einfach zu identifizieren und zu isolieren, reservieren Sie spezielle IP-Adressen (private Subnetze) für LOM-Verwaltungsschnittstellen und Verwaltungsserver. Verwenden Sie keine reservierten IP-Subnetze mit LAN-Schnittstellen der verwalteten Appliances. Von DHCP zugewiesene dynamische IP-Adressen werden nicht empfohlen, da sie die Implementierung von Firewall-Zugriffssteuerungslisten basierend auf einer MAC-Adresse außerhalb des LAN-Segments erschweren.
• legen Sie das Kennwort auf mindestens 8 Zeichen fest, mit einer Kombination aus alphanumerischen Zeichen und Sonderzeichen. Ändern Sie das Kennwort häufig.

Anwendungen und Dienste

Konfigurieren Sie die NetScaler Appliance zum Löschen oder Übergeben des Upgrade-Headers

Ein neuer Parameter passProtocolUpgrade wurde dem HTTP-Profil hinzugefügt, um Angriffe auf die Backend-Server zu verhindern. Abhängig vom Status dieses Parameters wird der Upgrade-Header in der an das Back-End gesendeten Anforderung übergeben oder vor dem Senden der Anforderung gelöscht.

• Wenn der passProtocolUpgrade-Parameter aktiviert ist, wird der Upgrade-Header an das Backend übergeben. Der Server akzeptiert die Upgrade-Anfrage und benachrichtigt sie in seiner Antwort.
• Wenn dieser Parameter deaktiviert ist, wird der Upgrade-Header gelöscht und die verbleibende Anfrage wird an das Backend gesendet.

Der passProtocolUpgrade-Parameter wird den folgenden Profilen hinzugefügt.

• nshttp_default_profile - standardmäßig aktiviert
• nshttp_default_strict_validation - standardmäßig deaktiviert
• nshttp_default_internal_apps - standardmäßig deaktiviert
• nshttp_default_http_quic_profile — standardmäßig aktiviert

Citrix empfiehlt, den Parameter passProtocolUpgrade auf deaktiviert zu setzen.

passProtocolUpgrade-Parameter über die CLI festlegen:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ns httpProfile [-passProtocolUpgrade ( ENABLED | DISABLED )]

passProtocolUpgrade-Parameter über die GUI festlegen:

1. Navigieren Sie zuSystem -> Profile -> HTTP-Profile.
2. Erstellen oder bearbeiten Sie ein HTTP-Profil.
3. Aktivieren Sie das KontrollkästchenPass Protocol Upgrade.

Konfigurieren Sie NetScaler so, dass ungültige HTTP-Anforderungen

Citrix empfiehlt dringend, dass die NetScaler-Appliance mit einer strengen Überprüfung und Durchsetzung von HTTP-Anforderungen konfiguriert wird, um zu verhindern, dass ungültige HTTP-Anforderungen durch virtuelle Server geleitet werden. Dies kann erreicht werden, indem ein integriertes HTTP-Profil,nshttp_default_strict_validation, mit dem folgenden Befehl in der CLI an einen oder mehrere virtuelle Server gebunden wird:

show ns httpProfile (Shows the available http profile (default+user configured profiles)) set lb vserver  -httpProfileName nshttp_default_strict_validation 

Citrix empfiehlt, dass Kunden, die diese Option verwenden, die Änderungen in einer Staging-Umgebung testen, bevor sie für die Produktion freigegeben werden.

Der Schutz vor den HTTP-Desync-Angriffen ist standardmäßig für das strikte HTTP-Validierungsprofil (nshttp_default_strict_validation) aktiviert. Verwenden Sie das strenge Profil für alle kundenorientierten Entitäten.

Weitere Informationen zu Schmuggelangriffen auf HTTP-Anfragen und deren Abschwächung finden Sie im Support-ArtikelNetScaler - HTTP Request Smuggling Reference Guide.

Konfigurieren des Schutzes gegen HTTP-Denial-of-Service-Angriffe

Die Firmware der NetScaler-Appliance unterstützt begrenzte Gegenmaßnahmen gegen HTTP-Denial-of-Service-Angriffe, einschließlich “langsamem Lesen” -Angriffen. Sie können diese Funktionen mit dem Hilfsprogrammnsapimgran der Shell-Eingabeaufforderung der Appliance konfigurieren:

• small_window_threshold (Standard=1)
• small_window_idle_timeout (Standard=7 Sek.)
• small_window_cleanthresh (Standard=100)
• small_window_protection (Standard=aktiviert)

Die Standardeinstellungen sind ausreichend, um die HTTP-Denial-of-Service-Angriffe zu verhindern, einschließlich langsamem Lesen. Für andere Angriffe ist jedoch möglicherweise eine Anpassung der Parameter erforderlich.

Um sich vor solchen Angriffen zu schützen, passen Sie die Eigenschaftsmall_window_thresholdmit dem folgenden Befehlnsapimgran der Shell-Eingabeaufforderung der Appliance nach oben an:

$ nsapimgr –ys small_window_threshold=

Hinweis: Der gewünschte Wertsmall_window_thresholdkann basierend auf dem Muster des eingehenden Datenverkehrs in der Bereitstellung festgelegt werden. Der zulässige Bereich reicht von 0 bis 2^32.

您可以在窝Schutz甚高频HTTP-Denial-of-Service-Angriffen überprüfen, indem Sie die folgenden Leistungsindikatoren mit dem Befehlnsconmsg –d statsan der Shell-Eingabeaufforderung der Appliance überwachen:

• nstcp_cur_zero_win_pcbs: Dieser Zähler verfolgt die Anzahl der Leiterplatten, die derzeit einen niedrigen Fensterwert haben.
• nstcp_err_conndrop_at_pass: Dieser Zähler wird erhöht, wenn die Appliance erkennt, dass sie beim Übergeben von Paketen von einer Seite zur anderen den Wert nscfg_small_window_idletimeout überschritten hat.
• nstcp_err_conndrop_at_retx: Dieser Zähler wird erhöht, wenn die Zeit, die während der Weiterübertragung verfällt, den Wert nscfg_small_window_idletimeout überschreitet.
• nstcp_cur_pcbs_probed_withKA: Dieser Zähler verfolgt die Anzahl der Leiterplatten in der Überspannungswarteschlange, die mit einer KA-Sonde untersucht werden.

Citrix empfiehlt, dass Kunden, die diese Option verwenden, die Änderungen in einer Staging-Umgebung testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren Sie NetScaler zur Abwehr von TCP-Spoofing-Angriffen

Die folgenden Befehle können verwendet werden, um Back-End-Server vor TCP-Spoofing-Angriffen zu schützen:

set ns tcpProfile profile1 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED Done set lb vserver lbvserver1 -tcpProfileName profile1 Done 

Citrix empfiehlt, dass Kunden, die diese Option verwenden, die Änderungen in einer Staging-Umgebung testen, bevor sie für die Produktion freigegeben werden.

Konfigurieren von NetScaler für die Annahme bestimmter HTTP-Header

Es ist möglich, die NetScaler-Appliance so zu konfigurieren, dass sie nur bestimmte HTTP-Header akzeptiert. Dies kann erreicht werden, indem eine Rewrite-Aktion hinzugefügt wird, um den Netzwerkverkehr mit bestimmten definierten HTTP-Headern zu beschränken, die an den Back-End-Server übergeben werden.

Die folgende globale Umschreibaktion sendet nur Netzwerkverkehr mit Headern wie Host, Accept und Test an den Server:

add rewrite action act1 replace_all q/HTTP.REQ.FULL_HEADER.after_str("\r\n")/ q{TARGET.REGEX_SELECT(re/(iu)^(Host|Accept|test):.*\r\n/) ALT ""} -pattern q{re/(U).+:.+r\n/} add rewrite policy pol1 HTTP.REQ.IS_VALID act1 bind rewrite global pol1 100 

Close-Notify konfigurieren

Eine Close-Notify ist eine sichere Nachricht, die das Ende der SSL-Datenübertragung anzeigt. In Übereinstimmung mit RFC 5246: Der Client und der Server müssen das Wissen teilen, dass die Verbindung beendet wird, um den Truncation-Angriff zu vermeiden. Jede Partei kann den Austausch von schließenden Nachrichten initiieren. Jede Partei kann einen Abschluss einleiten, indem sie eine close_notify-Warnung sendet. Alle nach einer Schließwarnung empfangenen Daten werden ignoriert. Sofern keine andere schwerwiegende Warnung übertragen wurde, muss jede Partei eine close_notify-Warnung senden, bevor die Schreibseite der Verbindung geschlossen wird. Um sicherzustellen, dass Überwachungsereignisse für TLS-Abschlussereignisse erfasst werden, melden Sie sich als Superuser oder Sysadmin bei der CLI an und führen Sie die folgenden Befehle aus:

set ssl parameter -sendCloseNotify y save ns config 

GUI für sicheres Management, NITRO API und RPC-Kommunikation

Um die Verwaltungs-GUI, die NITRO-API und die RPC-Kommunikation auf den NetScaler- und NetScaler Gateway-Appliances zu sichern, wird die EinstellungmaxclientForHttpdInternalService在窝电器hinzugefugt。我这定势st standardmäßig aktiviert. Sie müssen den Parameter aktivieren, um die Management-GUI, die NITRO-API und die RPC-Kommunikation zu sichern.

Es wird auch empfohlen,maxclientForHttpdInternalServiceso einzustellen, dass es mit dem Wert MaxClients in /etc/httpd.conf übereinstimmt. Verwenden Sie dazu den folgenden Shell-Befehl. Der Standardwert von MaxClients ist 30.

nsapimgr_wr.sh -ys maxclientForHttpdInternalService= 

Weitere Informationen zum Festlegen des WertsmaxclientForHttpdInternalServiceund der NetScaler-Versionen, die diese Einstellung unterstützen, finden Sie unterhttps://support.citrix.com/article/CTX331588.

DNSSEC-Sicherheitsempfehlungen

Citrix empfiehlt, dass die folgenden Empfehlungen für Kunden angewendet werden, die DNSSEC verwenden:

Verwenden Sie RSA 1024 Bit oder höher für private KSK/ZSK-Schlüssel

NIST empfiehlt DNS-Administratoren, bis zum 01. Oktober 2015 1024-Bit-RSA/SHA-1 oder RSA/SHA-256 ZSKs zu pflegen.

SNMP-Alarm für DNSSEC-Schlüsselablauf aktivieren

Standardmäßig ist der SNMP-Alarm für den Ablauf des DNSSEC-Schlüssels auf einer NetScaler-Appliance aktiviert. Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens dnskeyExpiry gesendet. Drei MIB-VariablendnskeyName,dnskeyUnitsOfExpiryunddnskeyExpirywerden zusammen mit dem SNMP-Trap gesendet. Weitere Informationen finden Sie in der NetScaler SNMP OID-Referenz.

Übertragen Sie private KSK/ZSK-Schlüssel, bevor die x.509-Zertifikate ablaufen

Auf einer NetScaler-Appliance können Sie die Vorveröffentlichungs- und Doppelsignaturmethoden verwenden, um einen Rollover des Zonensignierungsschlüssels und des Schlüsselsignierungsschlüssels durchzuführen. Weitere Informationen finden Sie im ThemaDomain Name System > DNSSEC konfigurierenin den Citrix Docs.

Sicherer DNSSEC ADNS-Server

Wenn die Appliance im DNSSEC-Proxymodus konfiguriert ist, speichert sie die Antworten vom Back-End-ADNS-Server im Cache und leitet die zwischengespeicherten Antworten an die DNS-Clients weiter.

Wenn die NetScaler-Appliance für eine bestimmte Zone autorisierend ist, werden alle Ressourceneinträge in der Zone auf dem NetScaler konfiguriert. Um die autorisierende Zone zu signieren, müssen Sie die Schlüssel (den Zonensignierungsschlüssel und den Key Signing Key) für die Zone erstellen, die Schlüssel zum ADC hinzufügen und dann die Zone signieren

Führen Sie die folgenden Schritte aus, um NetScaler als autorisierenden Server zu konfigurieren:

1. Fugen您einen ADNS-Dienst hinzu.

   Beispiel:

   add service s1  adns 53` 

2. Erstellen Sie DNS-Schlüssel.

   Um beispielsweise als autorisierender Server für die Domänecomzu fungieren:

   create dns key -zoneName com -keytype ksK -algorithm rsASHA512 -keysize 3000 -fileNamePrefix com.ksk.rsasha1.3000 create dns key -zoneName com -keytype zsk -algorithm rsASHA512 -keysize 3000 -fileNamePrefix com.zsk.rsasha1.3000 

   Hinweis: Sie müssen die DNS-Schlüssel einmal erstellen und sie werden in /nsconfig/dns gespeichert.

3. DNS-Schlüssel hinzufügen.

   Zum Beispiel

   add dns key com.zsk.3000 /nsconfig/dns/com.zsk.rsasha1.3000.key /nsconfig/dns/com.zsk.rsasha1.3000.private add dns key com.ksk.3000 /nsconfig/dns/com.ksk.rsasha1.3000.key /nsconfig/dns/com.ksk.rsasha1.3000.private 

4. Fugen您NS- und SOA-Einträge für die Zonecomhinzu, und signieren Sie dann die Zone.

   add dns soaRec com -originServer n1.com -contact citrix add dns nsrec com n1.com add dns zone com -proxyMode no add dns addRec n1.com 1.1.1.1 sign dns zone com 

Hinweis: Darüber hinaus müssen Sie den Parameter DNSEC Extension auch in den globalen DNS-Parametern aktivieren.

Weitere Informationen zur Konfiguration des NetScaler als autoritativen Domänennamenserver finden Sie unterDomain Name System > Configuring the NetScaler as an ADNS Serverin der Citrix Dokumentation.

legacy-Konfiguration

Konfigurieren Sie NetScaler zum Deaktivieren der SSLv2-Umleitung

您要是死SSL v2-Umleitungsfunktion auf静脉NetScaler-Appliance aktivieren, führt die Appliance den SSL-Handshake durch und leitet den Client zur konfigurierten URL um. Wenn diese Funktion deaktiviert ist, verweigert die Appliance die Durchführung des SSL-Handshake-Prozesses mit SSL v2-Clients.

Führen Sie den folgenden Befehl aus, um die SSLv2-Umleitung zu deaktivieren:

set ssl vserver  -sslv2redirect DISABLED -cipherredirect DISABLED 

NetScaler konfigurieren, um unsichere SSL-Neuverhandlungen zu verhindern

Führen Sie den folgenden Befehl aus, um die SSL-Neuverhandlung zu deaktivieren:

set ssl parameter -denySSLReneg ALL 

Der folgende Befehl erlaubt Neuverhandlungen nur für sichere Clients und Server:

set ssl parameter -denySSLReneg NONSECURE 

Weitere Informationen finden Sie unterParameter -denySSLReneg konfigurieren und verwenden.

Prüfung des NDCPP-Konformitätszertifikats konfigurieren

Die NDCPP-Konformitätszertifikatprüfung gilt, wenn die Appliance als Client fungiert (Back-End-Verbindung). Ignorieren Sie bei der Zertifikatsüberprüfung den allgemeinen Namen, wenn SAN im SSL-Zertifikat vorhanden ist.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das Attribut “ndcppComplianceCertCheck” im SSL-Parameter zu konfigurieren:

set ssl parameter [-quantumSize ] [-crlMemorySizeMB ] [-strictCAChecks (YES | NO)] [-sslTriggerTimeout ] [-sendCloseNotify (YES | NO)] [-encryptTriggerPktCount ] [-denySSLReneg ] [-insertionEncoding (Unicode|UTF-8)] [-ocspCacheSize ][- pushFlag ] [- dropReqWithNoHostHeader (YES | NO)] [-pushEncTriggerTimeout ] [-ndcppComplianceCertCheck ( YES | NO)] [-heterogeneousSSLHW (ENABLED | DISABLED )] 

Beispiel:

set ssl parameter -quantumSize 8 -crlMemorySizeMB 256 -strictCAChecks no -ssltriggerTimeout 100 -sendClosenotify no -encryptTriggerPktCount 45 -denySSLReneg NONSECURE -insertionEncoding unicode -ocspCacheSize 10 -pushFlag 3 -dropReqWithNoHostHeader YES -pushEncTriggerTimeout 100 ms -ndcppComplianceCertCheck YES 

Kryptografieempfehlungen für NetScaler

In diesem Abschnitt werden einige wichtige Schritte beschrieben, die befolgt werden müssen, um sicherzustellen, dass kryptografisches Material korrekt auf der NetScaler-Appliance gesichert ist. Es enthält auch Informationen zur Konfiguration von Appliances, die dieses Material verwenden, um sowohl die Appliance selbst als auch Back-End-Server und Endbenutzer zu schützen.

TLS-Zertifikate和-Schlussel verwalten

TLS-Verschlüsselungssammlungen für NDcPP-Bereitstellungen konfigurieren

Die folgenden TLS-Verschlüsselungssuiten werden für die NDcPP-Bereitstellungen unterstützt.

• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  Eine Liste der Verschlüsselungen, die auf MPX-14000 FIPS unterstützt werden, finden Sie unterhttps://docs.citrix.com/en-us/citrix-adc/downloads/cipher-support-on-a-citrix-mpx-sdx-14000-fips-appliance.pdf.

Um sicherzustellen, dass nur die zugelassenen Verschlüsselungssammlungen auf der Appliance konfiguriert sind, führen Sie die folgenden Konfigurationsschritte über die CLI aus:

1. Bindung aller Verschlüsselungen vom virtuellen Server aufheben

   unbind ssl vs v1 –cipherName FIPS 

2. Binden Sie nur TLS1-AES-256-CBC-SHA und dann TLS1-AES-128-CBC-SHA mit dem Befehl:

   bind ssl vs v1 –cipherName  bind ssl vs v1 -cipherName TLS1-AES-256-CBC-SHA 

Installieren von Zertifikaten und Schlüsselpaaren mit einer vertrauenswürdigen Zertifizierungsstelle:

Um ein Zertifikat von einer öffentlichen oder Unternehmenszertifizierungsstelle (CA) zu erhalten, müssen Sie zunächst einen privaten Schlüssel und eine Certificate Signing Request (CSR) generieren. Gehen Sie wie folgt vor:

1. Authentifizieren Sie sich bei der NetScaler CLI als Sysadmin oder Superuser.

2. Erstellen Sie einen privaten RSA-Schlüssel.

   create fipsKey m1 -keytype RSA -modulus 2048 -exponent F4 

3. Erstellen Sie die Zertifikatssignierungsanforderung (CSR):

   create certreq csr_1 -fipsKeyName m1 -countryName IN -stateName BA -organizationName citrix 

4. Reichen Sie die CSR bei der Zertifizierungsstelle ein.

Für die meisten kommerziellen und Unternehmens-CAs wird die CSR in einer E-Mail-Anfrage gesendet. Die Methode der Einreichung kann jedoch in Unternehmensumgebungen der Zertifizierungsstelle variieren. Die CA gibt ein gültiges Zertifikat per E-Mail zurück, aber auch dies kann je nach Unternehmens-Zertifizierungsstellen variieren. Nachdem Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, kopieren Sie es sicher in das Verzeichnis /nsconfig/ssl.

Melden Sie sich als Superuser oder sysadmin an und führen Sie den folgenden Befehl über die CLI aus:> add ssl certKey ck_1 -cert cert1_1 -fipsKey m1

NetScaler-FIPS-Empfehlungen

Konfigurieren von NetScaler SDX in einer FIPS-basierten Bereitstellung

Wenn Sie ein bestehender FIPS-Kunde sind und eine NetScaler SDX-Appliance für echte Mehrmandantenfähigkeit verwenden, verwenden Sie die FIPS-zertifizierte NetScaler MPX-Appliance, um TLS zu beenden und Datenverkehr an die NetScaler SDX-Appliance weiterzuleiten. Alternativ ist es möglich, ein externes Thales HSM zu verwenden. Ändern Sie FIPS-Kryptokartenkennwörter, wenn Sie eine FIPS-zertifizierte Version von NetScaler mit einem Hardware Security Module (HSM) verwenden, ändern Sie den Standardsicherheitsbeauftragten (SO) und legen Sie ein neues Benutzerkennwort wie folgt fest. Wenn Sie das Standard-SO-Kennwort einer FIPS-fähigen NetScaler-Appliance nicht kennen, wenden Sie sich an den technischen Support von Citrix. Hinweis: Nur ein Superuser oder Sysadmin kann diese Aufgabe ausführen.

set ssl fips -initHSM Level-2    [-hsmLabel ] save configuration initHSM 

FIPS-Initialisierungsebene. Die Appliance unterstützt derzeit Level-2 (FIPS 140-2). Dies ist ein zwingendes Argument. Mögliche Werte: Level-2

hsmLabel

Bezeichnung zur Identifizierung des Hardwaresicherheitsmoduls (HSM).

Maximale Länge: 31

Hinweis: Alle Daten auf der FIPS-Karte werden mit dem vorherigen Befehl gelöscht.

Speichern des HSM-Kennworts an einem sicheren Ort

Das Kennwort für das HSM muss gemäß den Betriebsabläufen Ihres Unternehmens an einem sicheren Ort gespeichert werden.

Hinweis: HSM ist nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Wenn sie gesperrt ist, wird sie nicht betriebsbereit, und Sie können ihre Konfiguration nicht ändern.

Andere Funktionen

Dieser Abschnitt enthält Beispiele für Konfigurationsänderungen, die sowohl auf die Citrix Web App Firewall als auch auf NetScaler Gateway angewendet werden können, um die Sicherheit der bereitgestellten Appliances und Informationen zum Aufbau mehrerer Ebenen oder Sicherheit zu verbessern. Dieser Abschnitt enthält auch Informationen zu Konfigurationsdetails bei Verwendung von NetScaler oder NetScaler Gateway als SAML SP oder SAML IdP oder beides.

Sicherheitsempfehlungen für Citrix Web App Firewall

• Für RFC-Konformitätsprüfungen wird empfohlen, ‘APPFW_RFC_BLOCK’ als Standard-rfcprofilefür das WAF-Profil beizubehalten.

• WAF unterstützt das Einfügen von Cookie-AttributwertenSamesiteund das Cookie kann durch Auswahl von “Streng” oder “Lax” auf “same-site” oder “cross-site” beschränkt werden.

Stellen Sie das Gerät im Zweiarm-Modus bereit

Bei einer Installation im zweiarmigen Modus befindet sich die Appliance physisch zwischen den Benutzern und Webservern, die die Appliance schützt. Verbindungen müssen durch das Gerät verlaufen. Diese Anordnung minimiert die Chancen, eine Route um die Appliance herum zu finden.

Verwenden Sie eine “Standardverweigerung” -Richtlinie

Citrix empfiehlt, dass Administratoren die Citrix Web App Firewall mit einer Richtlinie “Alle verweigern” auf globaler Ebene konfigurieren, um alle Anforderungen zu blockieren, die nicht mit einer Citrix Web App Firewall-Richtlinie übereinstimmen. Im Folgenden finden Sie eine Beispielgruppe von Befehlen zum Konfigurieren einer Richtlinie “Alle verweigern” auf globaler Ebene:

add appfw profile default_deny_profile -defaults advanced add appfw policy default_deny_policy true default_deny_profile bind appfw global default_deny_policy  

Hinweis: DiePRIORITY-Einstellung muss sicherstellen, dass die Standardrichtlinie zuletzt ausgewertet wird (nur wenn die Anforderung nicht mit anderen konfigurierten Richtlinien übereinstimmt).

Die NetScaler-Software enthält Standardprofile wie appfw_block, die bei konfigurierten Blockanforderungen nicht mit den Richtlinien der Citrix Web App Firewall übereinstimmen. Führen Sie den folgenden Befehl aus, um das Standardprofil festzulegen:

set appfw settings -defaultProfile appfw_block 

Citrix Web App Firewall — Aufbau mehrerer Sicherheitsebenen

Die folgenden Richtlinien helfen Ihnen beim Aufbau mehrerer Sicherheitsebenen, abhängig von Ihrer Umgebung und den unterstützten Anwendungen.

Konfigurieren Sie in jeder Ebene einen anderen Wert für den ParametersessionCookieName.

set appfw settings -sessionCookieName "citrix_ns_id_1" 

Erste Sicherheitsstufe

Gehen Sie wie folgt vor, um die erste Sicherheitsstufe zu erstellen:

• Aktivieren Sie Pufferüberlauf, SQL-Einschleusung und Cross-Site-Scripting.
• Die Start-URL ist erforderlich, wenn die Anwendung speziell ist, auf die auf URLs zugegriffen werden muss, und die vor erzwungenem Surfen geschützt werden muss.
• Feldformat aktivieren Überprüft, ob Ihre Anwendung Eingaben in einem Formularfeld erwartet.

Die websiteübergreifende Überprüfung von Skripten kann zu Fehlalarmen führen, da viele Unternehmen über eine große Anzahl von Webinhalten mit JavaScript verfügen, die gegen dieselbe Ursprungsregel verstoßen. Wenn Sie die HTML Cross-Site Scripting-Prüfung auf einer solchen Site aktivieren, müssen Sie die entsprechenden Ausnahmen generieren, damit die Prüfung keine legitimen Aktivitäten blockiert.

Führen Sie die erste Stufe aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und fahren Sie dann mit der nächsten Stufe fort. Eine Stagingimplementierung hilft beim Verwalten der AppFw-Bereitstellung.

Zweite Sicherheitsstufe

Gehen Sie wie folgt vor, um die zweite Sicherheitsstufe zu erstellen:

Aktivieren Sie Signaturen im Profil zusätzlich zu Pufferüberlauf, SQL-Einschleusung und Cross-Site-Scripting. Es gibt mehr als 1300 Signaturen. Versuchen Sie, nur die Signaturen zu aktivieren, die für den Schutz Ihrer Anwendung geeignet sind, anstatt alle Signaturregeln zu aktivieren.

Führen Sie die zweite Stufe aus, suchen Sie nach Fehlalarmen, stellen Sie die Ausnahmen bereit und fahren Sie dann mit der nächsten Stufe fort. Eine stufenweise Implementierung hilft bei der Verwaltung der Bereitstellung der Citrix Web App Firewall.

Dritte Sicherheitsstufe

Gehen Sie wie folgt vor, um die dritte Sicherheitsstufe aufzubauen:

• Aktivieren Sie basierend auf den Anwendungsanforderungen erweiterte Profilsicherheitsprüfungen wie CSRF-Tagging und Cookie-Konsistenz. Formularfeldkonsistenz für Teile von Anwendungen, die es benötigen.
• Erweiterte Sicherheitsprüfungen erfordern mehr Verarbeitung und können sich auf die Leistung auswirken. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.

Die im Basisprofil der Citrix Web App Firewall deaktivierten Sicherheitsprüfungen werden alle auf Objekte in der HTTP-Antwort angewendet. Daher sind diese Sicherheitsüberprüfungen ressourcenintensiver. Wenn die Citrix Web App Firewall antwortseitige Schutzmaßnahmen durchführt, muss sie sich die an jeden einzelnen Client gesendeten Informationen merken. Wenn ein Formular beispielsweise durch die Citrix Web App Firewall geschützt ist, werden die in der Antwort gesendeten Formularfeldinformationen im Speicher gespeichert. Wenn der Client das Formular in der nächsten nachfolgenden Anforderung absendet, wird es auf Inkonsistenzen geprüft, bevor die Informationen an den Webserver gesendet werden. Dieses Konzept wird als Sessionization bezeichnet. Sicherheitsprüfungen wie URL-Enclosure innerhalb der Start-URL, Cookie-Konsistenz, Formularfeldkonsistenz und CSRF-Formular-Tagging implizieren Sessionization. Die Menge der CPU- und Speicherressourcen, die von diesen Sicherheitsprüfungen verwendet werden, steigt linear mit der Anzahl der Anfragen, die über die Citrix Web App Firewall gesendet werden. Beispiel:

• Konsistenzprüfung für Formularfelder aktivieren: Diese Prüfung ist erforderlich, um zu überprüfen, ob die Webformulare vom Kunden nicht unangemessen geändert wurden. Eine Anwendung, die wichtige Informationen in Formularen bereitstellt und hostet, müsste überprüft werden.

• CSRF-Formulartaggingcheck: Diese Prüfung gilt für Formulare. Der Cross Site Request Forgery (CSRF)-Formulartaggingcheck kennzeichnet jedes Webformular, das von einer geschützten Website an Benutzer gesendet wird, mit einer eindeutigen und unvorhersehbaren FormID und untersucht dann die von Benutzern zurückgegebenen Webformulare, um sicherzustellen, dass die angegebene FormID korrekt ist. Diese Prüfung schützt vor websiteübergreifenden Anforderungsfälschungen. Diese Prüfung muss aktiviert sein, wenn die Anwendung über webbasierte Formulare verfügt. Diese Prüfung erfordert im Vergleich zu bestimmten anderen Sicherheitsüberprüfungen, die Webformulare eingehend analysieren, relativ wenig CPU-Verarbeitungskapazität. Es ist daher in der Lage, Angriffe mit hohem Volumen zu bewältigen, ohne die Leistung der geschützten Website oder der Citrix Web App Firewall selbst ernsthaft zu beeinträchtigen.

Workflow-Schritte der Citrix Web App Firewall

Das folgende Diagramm veranschaulicht die Workflow-Schritte der Citrix Web App Firewall:

Im Folgenden sind die Schritte auf hoher Ebene aufgeführt, die im Workflow der Citrix Web App Firewall erforderlich sind:

1. Konfigurieren Sie das Sicherheitsprofil.
2. Wenden Sie Signaturen für alle bekannten Bedrohungen an - das negative Modell.
3. Konfigurieren Sie Verkehrsrichtlinien, die den richtigen Verkehrsfluss erkennen können, bei dem dieses Sicherheitsprofil aktiviert werden muss.

Sie sind bereit, dass der Produktionsverkehr das System durchläuft. Die erste Durchflussebene ist abgeschlossen. Konfigurieren Sie außerdem die Lerninfrastruktur. Viele Male möchten Kunden im Produktionsverkehr lernen, wodurch die Signaturen angewendet werden, jedes Risiko vermeidet. Gehen Sie wie folgt vor:

1. Konfigurieren您Lerninfrastruktur死去。
2. Stellen Sie die erlernten Regeln zum Schutz bereit.
3. Validieren Sie die Lerndaten zusammen mit den angewendeten Signaturen, bevor Sie live gehen.

NetScaler Gateway -Sicherheitsempfehlungen

Verwenden Sie eine “Standardverweigerung” -Richtlinie

Citrix empfiehlt Administratoren, das NetScaler Gateway mit einer Richtlinie “Alle verweigern” auf globaler Ebene zu konfigurieren, zusätzlich zur Verwendung von Autorisierungsrichtlinien, um den Zugriff auf Ressourcen auf Gruppenbasis selektiv zu ermöglichen.

defaultAuthorizati Standardmaß搞笑是der参数onAction auf DENY festgelegt. Überprüfen Sie diese Einstellung und gewähren Sie jedem Benutzer expliziten Zugriff. Sie können den Befehl show defaultAuthorizationAction in der CLI verwenden, um die Einstellung zu überprüfen. Um den Parameter so festzulegen, dass alle Ressourcen auf globaler Ebene verweigert werden, führen Sie den folgenden Befehl über die CLI aus:

set vpn parameter -defaultAuthorizationAction DENY 

Verwenden der TLS1.1/1.2-Kommunikation zwischen Servern

Citrix empfiehlt nachdrücklich, dass TLS1.1/1.2 für die Verbindungen zwischen der NetScaler Gateway-Appliance und anderen Diensten wie LDAP- und Webinterface-Servern verwendet wird. Das Verwenden älterer Versionen dieses Protokolls, 1.0 und SSLv3 und früher, wird nicht empfohlen.

Verwenden Sie die Funktion “Intranetanwendungen” Intranetanwendungen verwenden, um zu definieren, welche Netzwerke vom NetScaler Gateway-Plug-In abgefangen und an das Gateway gesendet werden. Es folgt ein Beispielsatz von Befehlen zum Definieren von Interception:

add vpn intranetApplication intra1 ANY 10.217.0.0 -netmask 255.255.0.0 -destPort 1-65535 -interception TRANSPARENT bind vpn vserver v1 –intranetapp intra1 

Sicherheitsempfehlungen für Authentifizierung, Autorisierung und Prüfung

Wenn ein NetScaler oder eine NetScaler Gateway-Appliance als SAML SP oder SAML IdP oder beides konfiguriert ist, finden Sie im Artikelhttps://support.citrix.com/article/CTX316577empfohlene Konfigurationsdetails.

Weitere Informationen zur SAML-Authentifizierung finden Sie unterSAML-Authentifizierung.

Verschlüsselung der NetScaler Gateway-Anmeldeinformationen für die nFactor-Authentifizierung aktivieren

Eine NetScaler Gateway-Appliance mit nFactor-Authentifizierung kann die Felder für Anmeldeanfragen verschlüsseln, die von einem Client (Browser oder SSO-Apps) während des Authentifizierungsprozesses übermittelt werden. Die Felder für verschlüsselte Anmeldeanfragen bieten eine zusätzliche Sicherheitsebene, um die sensiblen Daten des Benutzers vor der Offenlegung zu schützen.

Führen Sie den folgenden Befehl aus, um die Anmelde-Verschlüsselung mithilfe der CLI zu aktivieren.

set aaa parameter [-loginEncryption (ENABLED | DISABLED)] 

So aktivieren Sie die Anmeldungsverschlüsselung mit der GUI

1. Navigieren Sie zuSicherheit > AAA — Application Traffic.
2. Klicken Sie im Abschnitt Authentifizierungseinstellungen aufAAA-Authentifizierungseinstellungen ändern.
3. Klicken Sie auf der SeiteAAA-Parameter konfigurierenunterAnmeldenverschlüsselungaufAktiviert.

Weitere Informationen zur Anmeldungsverschlüsselung finden Sie unterVerschlüsselung der NetScaler Gateway-Anmeldeinformationen für die nFactor-Authentifizierung.

Zusätzliche Informationsressourcen

Weitere Sicherheitsinformationen zu den NetScaler- und NetScaler Gateway-Appliances finden Sie in den folgenden Ressourcen:

• Citrix Sicherheitsportal:http://www.citrix.com/security
• NetScaler-Produktdokumentation

Für weitere Unterstützung bei der Konfiguration Ihres NetScaler können Sie eine Supportanfrage einreichen unter:https://www.citrix.com/support.html