Produktdokumentation
NetScaler Application Delivery Management Service
PDF anzeigen

Sicherheitsempfehlungen

September 4, 2023
Beitrag von:
C

Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Höhepunkte der NetScaler ADM-Sicherheitsempfehlungen:

  • Erkennung und Behebung von Common Vulnerabilities and Exposures (CVEs)— Ermöglicht es Ihnen, die CVEs zu identifizieren, die Ihre NetScaler-Instanzen gefährden, und empfiehlt Abhilfemaßnahmen.

  • Dateiintegritätsüberwachung— Ermöglicht es Ihnen, festzustellen, ob Änderungen oder Ergänzungen an Ihren NetScaler-Builddateien vorgenommen wurden.

Als Administrator müssen Sie Folgendes sicherstellen:

  • Verfolgen Sie alle neuen Common Vulnerabilities and Exposures (CVEs), bewerten Sie die Auswirkungen von CVEs, verstehen Sie die Behebung und beheben Sie die Sicherheitslücken.

  • Untersuchen Sie die Integrität Ihrer NetScaler-Build-Dateien.

Funktionen zur Sicherheitsberatung

Die folgenden Sicherheitsfunktionen helfen Ihnen beim Schutz Ihrer Infrastruktur.

cf:

Features Beschreibung
Systemscan Scannt standardmäßig alle verwalteten Instanzen einmal pro Woche. NetScaler ADM entscheidet über Datum und Uhrzeit der Systemscans, und Sie können sie nicht ändern.
Scannen auf Anforderung Sie können die Instanzen bei Bedarf manuell scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Korrektur vorgenommen wurde, um den geänderten Status zu beurteilen.
CVE-Auswirkungsanalyse Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und aller NetScaler-Instanzen, die betroffen sind, und schlägt Gegenmaßnahmen vor. Verwenden Sie diese Informationen, um Abhilfemaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden.
CVE-Berichte Speichert Kopien der letzten fünf Scans. Sie können diese Berichte im CSV-Format herunterladen und analysieren.
CVE-Repositorium Bietet einen detaillierten Überblick über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unterNicht unterstützte CVEs in Security Advisory.

Überwachung der Dateiintegrität:

Features Beschreibung
Scannen auf Anforderung Sie müssen einen Scan auf Anforderung ausführen, um Ergebnisse für alle Dateiänderungen zu erhalten, die in NetScaler-Builddateien erkannt wurden.
Scan zur Überwachung der Dateiintegrität Vergleicht den binären Hashwert Ihrer aktuellen NetScaler-Build-Dateien mit dem ursprünglichen binären Hash und hebt hervor, ob Dateiänderungen oder Dateiergänzungen vorgenommen wurden. Sie können die Scanergebnisse auf der RegisterkarteDateiintegritätsüberwachungeinsehen.

Wichtige Hinweise

  • Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das Ende des Lebenszyklus (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.

  • Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.

  • Für die Dateiintegritätsüberwachung unterstützte Instanzen: MPX-, VPX-Instanzen und Gateway.

  • Unterstützte CVEs: Alle CVEs nach Dezember 2019.

    Hinweis:

    Die Erkennung und Behebung von Sicherheitslücken, die sich auf das NetScaler Gateway-Plug-In für Windows auswirken, wird von der NetScaler ADM Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unterNicht unterstützte CVEs in Security Advisory.

  • Die NetScaler ADM-Sicherheitsempfehlung berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keine Fehlkonfiguration von Funktionen.

  • Die NetScaler ADM-Sicherheitsempfehlung unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.

  • Umfang der NetScaler——Gateway-Versionen:恐惧死亡tion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.

    • Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.

  • Die folgenden Scanarten sind für CVEs verfügbar:

    • Versionsscan: Für diesen Scan wird NetScaler ADM benötigt, um die Version einer NetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft NetScaler ADM Security Advisory dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Version und Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds unter xx.yy als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.

    • Konfigurationsscan: Für diesen Scan muss NetScaler ADM ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.

    • Benutzerdefinierter Scan:毛皮的估计值扫描吵架NetScaler ADM Verbindung mit der verwalteten NetScaler-Instanz herstellen, ein Skript an diese senden und das Skript ausführen. Anhand der Skriptausgabe kann NetScaler ADM ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.

  • Der folgende Scan ist für die Dateiintegritätsüberwachung verfügbar:

    • Scan zur Überwachung der Dateiintegrität:毛皮的估计值扫描吵架NetScaler ADM Verbindung mit der verwalteten NetScaler-Instanz herstellen. NetScaler ADM führt einen Vergleich der Hashwerte durch, indem es ein Skript in NetScaler ausführt und die aktuellen binären Hashwerte für die NetScaler-Builddateien sammelt. Nach dem Vergleich liefert NetScaler ADM das Ergebnis mit der Gesamtzahl der geänderten vorhandenen Dateien und der Gesamtzahl der neu hinzugefügten Dateien. Als Administrator können Sie sich an die digitale Forensik Ihres Unternehmens wenden, um weitere Untersuchungen zu den Scanergebnissen zu erhalten.

      Die folgenden Dateien werden gescannt:

      • /netscaler

      • /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin

      • /lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat

      • /etc

      • Der Rest von/usr

      • /root, /home, /mnt

  • Scans wirken sich nicht auf den Produktionsdatenverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.

  • NetScaler ADM Security Advisory unterstützt keine CVE-Risikominderung. Wenn Sie eine Risikominderung (temporäre Problemumgehung) auf die NetScaler-Instanz angewendet haben, identifiziert ADM den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Behebung abgeschlossen haben.

  • Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt, aber der File Integrity Monitoring-Scan wird unterstützt.

  • Einige Dateiänderungen können im Rahmen des normalen Betriebs des Geräts vorgenommen werden, während andere möglicherweise weitere Untersuchungen erfordern. Bei der Überprüfung von Dateiänderungen kann Folgendes hilfreich sein:

    • Änderungen im/netscalerVerzeichnis (inHTML- undJS-Dateien) können durch die Verwendung von Skripten oder Plug-ins auftreten.

    • Das/etcVerzeichnis enthält Konfigurationsdateien, die durch unerwartete Eingriffe nach dem Booten des Systems geändert werden können.

    • Es wäre ungewöhnlich, wenn es:

      • Berichte in den Verzeichnissen/bin,/sbinoder/lib

      • Neue .php-Dateien im Verzeichnis/netscaler

So verwenden Sie das Sicherheits-Advisory-Dashboard

Um auf dasSecurity Advisory-Dashboardzuzugreifen, navigieren Sie über die NetScaler ADM-GUI zuInfrastruktur > Instanzberatung > Security Advisory.

Das Dashboard umfasst vier Registerkarten:

  • Aktuelle CVEs
  • Überwachung der Dateiintegrität
  • Protokoll scannen

  • CVE-Repository

    Sicherheitsempfehlungsdashboard

Wichtig:

In derSicherheits-Advisory-GUIoder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Um dieses Problem zu umgehen, klicken Sie aufJetzt scannen > CVEs scannen, um einen Scan auf Anforderung auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.

In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:

  • Benachrichtigungen aktivieren und deaktivieren (gilt nur für die CVE-Erkennung).

    Sie können die folgenden Benachrichtigungen über die Auswirkungen von CVE erhalten.

    • E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der CVE-Scanergebnisse und neue CVEs, die dem CVE-Repository hinzugefügt wurden.

    • Cloud-Benachrichtigung für Änderungen der CVE-Impact-Scanergebnisse.

    Einstellungen für Sicherheitshinweise

  • Benutzerdefinierte Scaneinstellungen konfigurieren (gilt nur für CVEs)

    Sie können auf die ListeBenutzerdefinierte Scaneinstellungenklicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und sich von diesen benutzerdefinierten CVE-Scans abzumelden. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden in der Sicherheitsempfehlung für Ihre NetScaler-Instanzen nicht bewertet.

    Benutzerdefinierte Sucheinstellungen

Aktuelle CVEs

Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.

Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.

CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.

Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.

Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.

Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.

Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.

Standardisierung: Die verfügbaren Standardisierungen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.

Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unterBetroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle aufBetroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 3 CVEs und die Anzahl der Instanzen, die von diesen CVEs betroffen sind, ist zwei.

Aktuelle CVEs

Auf der RegisterkarteNetScaler-Instanzen sind von CVEs betroffenwerden alle betroffenen NetScaler ADM-Instanzen angezeigt. Die Tabelle zeigt die folgenden Details:

  • NetScaler IP-Adresse
  • Hostname
  • NetScaler Modellnummer
  • Status des NetScaler
  • Softwareversion und Build
  • Liste der CVEs, die sich auf den NetScaler auswirken.

Sie können jede dieser Spalten je nach Bedarf hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

Instanzen, die von CVE betroffen sind

Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.

Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die das Update enthalten. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann aufWeiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler aufgefüllt.

Hinweis

Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.

Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von NetScaler ADM zum Upgrade von NetScaler-Instanzen finden Sie unterVerwenden von Jobszum Upgrade von NetScaler-Instanzen.

Hinweis

Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.

Upgrade des Beratungs-Workflows

Überwachung der Dateiintegrität

Auf dieser Registerkarte wird das Ergebnis des File Integrity Monitoring-Scans mit NetScaler-Instanzen angezeigt, die Änderungen oder Ergänzungen zu den ursprünglichen NetScaler-Build-Dateien aufweisen.

Das folgende Beispiel zeigt das Scanergebnis für zwei betroffene NetScaler-Instanzen, bei denen vorhandene Dateien geändert und den ursprünglichen Build-Dateien neue Dateien hinzugefügt wurden.

Scan-Ergebnis

Klicken Sie auf die Zahlen unterBestehende Dateien geändertundNeue Dateien hinzugefügt, um Details anzuzeigen.

Angaben zur Datei

Scanprotokoll (gilt nur für CVEs)

Auf der Registerkarte werden Berichte der letzten fünf CVE-Scans angezeigt, die sowohl Standardsystemscans als auch benutzerinitiierte On-Demand-Scans enthalten. Sie können den Bericht jedes Scans im CSV-Format herunterladen. Wenn ein Anforderungsscan läuft, können Sie den Abschlussstatus hier einsehen. Wenn ein Scan fehlgeschlagen ist, zeigt der Status dies an.

Protokoll scannen

CVE-Repository

Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:

  • CVE-IDs
  • Art der Sicherheitslücke
  • Datum der Veröffentlichung
  • Schweregrad
  • Sanierung
  • Links zu Sicherheitsbulletins

CVE-Repositorium

Jetzt durchsuchen

Sie können die Instanzen jederzeit nach Ihren Bedürfnissen scannen.

Klicken Sie aufJetzt scannenund wählen SieCVEs scannen,Dateien scannenoderBeide scannenaus, um den neuesten Sicherheitsbericht Ihrer Instanzen zu erhalten.

Jetzt scannen

  • CVEs scannen— Scannt nur nach CVEs, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Benutzeroberfläche für Sicherheitsempfehlungen angezeigt. Sie finden den Bericht auch unterScan-Protokoll, das Sie auch herunterladen können.

    Nach dem Scannen anmelden

  • Dateien scannen— Scannt nur nach der Dateiintegritätsüberwachung und zeigt das Ergebnis auf der RegisterkarteDateiintegritätsüberwachungan.

  • Beide scannen— Scannt sowohl auf die CVE-Erkennung als auch auf die Überwachung der Dateiintegrität

NetScaler ADM benötigt einige Minuten, um den Scan abzuschließen.

Hinweis

Das Scanprotokoll zeigt nur die Protokolle der letzten fünf CVE-Scans an, die sowohl geplant als auch auf Anfrage durchgeführt werden können.

Benachrichtigung (gilt nur für CVEs)

Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, aus denen hervorgeht, wie viele NetScaler-Instanzen durch CVEs gefährdet sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler ADM GUI.

Citrix Cloud-Benachrichtigung

Haftungsausschluss:

Bitte beachten Sie, dass NetScaler File Integrity Monitoring (“das Feature”) nicht in der Lage ist, alle Techniken, Taktiken oder Verfahren (TTPs) zu erkennen, die Bedrohungsakteure möglicherweise verwenden, um relevante Umgebungen ins Visier zu nehmen. Bedrohungsakteure ändern häufig TTPs und Infrastruktur, weshalb die Funktion in Bezug auf bestimmte Bedrohungen möglicherweise von begrenztem bis gar keinem forensischen Wert ist. Es wird dringend empfohlen, die Dienste erfahrener forensischer Ermittler in Anspruch zu nehmen, um Ihre Umgebung im Zusammenhang mit möglichen Bedrohungen zu bewerten.

这本Dokument和死亡达林enthaltenen备用ionen werden unverändert zur Verfügung gestellt. Cloud Software Group, Inc. gibt keine ausdrücklichen oder stillschweigenden Garantien oder Zusicherungen in Bezug auf das Dokument oder seinen Inhalt ab, einschließlich, aber nicht beschränkt auf die Tatsache, dass dieses Dokument oder die darin enthaltenen Informationen fehlerfrei sind oder irgendwelche Bedingungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck erfüllen.

Sicherheitsempfehlungen
September 4, 2023
Beitrag von:
C
September 4, 2023
Beitrag von:
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.