Sicherheit
In diesem Artikel werden bewährte Sicherheitsmethoden für die Citrix SD-WAN-Lösung beschrieben. Es bietet allgemeine Sicherheitsrichtlinien für Citrix SD-WAN-Bereitstellungen.
Citrix SD-WAN Bereitstellungsrichtlinien
Um die Sicherheit während des Bereitstellungslebenszyklus aufrechtzuerhalten, empfiehlt Citrix die folgenden Sicherheitsüberlegungen:
- Physische Sicherheit
- Gerätesicherheit
- Netzwerksicherheit
- Verwaltung und Verwaltung
Physische Sicherheit
Bereitstellen von Citrix SD-WAN Appliances in einem sicheren Serverraum - Die Appliance oder der Server, auf dem Citrix SD-WAN installiert ist, sollte in einem sicheren Serverraum oder einer eingeschränkten Rechenzentrumseinrichtung aufgestellt werden, die die Appliance vor unbefugtem Zugriff schützt. Der Zugang sollte mindestens über einen elektronischen Kartenleser gesteuert werden. Der Zugriff auf die Appliance wird von CCTV überwacht, die kontinuierlich alle Aktivitäten zu Prüfungszwecken aufzeichnet. Im Falle eines Einbruchs sollte das elektronische Überwachungssystem einen Alarm an das Sicherheitspersonal senden, um sofort reagieren zu können.
Schützen Sie die Frontplatte und die Konsolenanschlüsse vor unbefugtem Zugriff - Sichern Sie das Gerät in einem großen Käfig oder Rack mit einer Zugangskontrolle mit physischem Schlüssel.
Schützen der Stromversorgung - Stellen Sie sicher, dass das Gerät mit einer unterbrechungsfreien Stromversorgung geschützt ist.
Gerätesicherheit
Um die Appliance-Sicherheit zu gewährleisten, sichern Sie das Betriebssystem eines beliebigen Servers, der eine virtuelle Citrix SD-WAN-Appliance (VPX) hostet, führen Sie Remote-Softwareupdates und die folgenden sicheren Lebenszyklusverwaltungsmethoden durch:
- Sichern Sie das Betriebssystem des Servers, der eine Citrix SD-WAN VPX-Appliance hostet - Eine Citrix SD-WAN VPX-Appliance wird als virtuelles Gerät auf einem Standardserver ausgeführt. Der Zugriff auf den Standardserver sollte durch eine rollenbasierte Zugriffskontrolle und eine starke Kennwortverwaltung geschützt werden. Außerdem empfiehlt Citrix regelmäßige Updates des Servers mit den neuesten Sicherheitspatches für das Betriebssystem und aktueller Antivirensoftware auf dem Server.
- Durchführen von Remote-Softwareupdates - Installieren Sie alle Sicherheitsupdates, um bekannte Probleme zu beheben Auf der Webseite der Security Bulletins können Sie sich registrieren und aktuelle Sicherheitswarnungen erhalten.
- Befolgen Sie die Secure Lifecycle Management Practices - Um eine Appliance bei der erneuten Bereitstellung oder Initiierung von RMA und der Stilllegung sensibler Daten zu verwalten, schließen Sie die Gegenmaßnahmen zur Datenerinnerung ab, indem Sie die persistenten Daten von der Appliance entfernen.
- Stellen Sie die Verwaltungsschnittstelle der Appliance hinter der DMZ bereit, um sicherzustellen, dass kein direkter Internetzugang auf die Verwaltungsschnittstelle besteht. Stellen Sie für zusätzlichen Schutz sicher, dass das Verwaltungsnetzwerk vom Internet isoliert ist und nur autorisierte Benutzer mit zugelassenen Verwaltungsanwendungen im Netzwerk ausgeführt werden.
Netzwerksicherheit
Verwenden Sie für die Netzwerksicherheit nicht das Standard-SSL-Zertifikat. Verwenden Sie Transport Layer Security (TLS), wenn Sie auf die Administratorschnittstelle zugreifen, schützen Sie die nicht routbare Verwaltungs-IP-Adresse der Appliance, konfigurieren Sie ein Hochverfügbarkeits-Setup und implementieren Sie die für die Bereitstellung geeigneten Verwaltungs- und Verwaltungsschutzmaßnahmen.
- Verwenden Sie nicht das Standard-SSL-Zertifikat - Ein SSL-Zertifikat einer seriösen Zertifizierungsstelle vereinfacht die Benutzererfahrung für Internet-Webanwendungen. Im Gegensatz zu einem selbstsignierten Zertifikat oder einem Zertifikat der seriösen Zertifizierungsstelle müssen Benutzer in Webbrowsern das Zertifikat der seriösen Zertifizierungsstelle nicht installieren, um eine sichere Kommunikation mit dem Webserver zu initiieren.
- Verwenden Sie Transport Layer Security beim Zugriff auf die Administratorschnittstelle - Stellen Sie sicher, dass die Management-IP-Adresse nicht über das Internet zugänglich ist oder zumindest durch eine gesicherte Firewall geschützt ist. Stellen Sie sicher, dass die LOM-IP-Adresse nicht über das Internet zugänglich ist oder zumindest durch eine gesicherte Firewall geschützt ist.
- Sichere Verwaltungs- und Verwaltungskonten — Erstellen Sie ein alternatives Administratorkonto, legen Sie sichere Kennwörter für Admin- und Anzeigekonten fest. Wenn Sie den Remote-Kontozugriff konfigurieren, sollten Sie die Konfiguration der extern authentifizierten administrativen Verwaltung von Konten mithilfe von RADIUS und TACAS in Betracht ziehen. Ändern Sie das Standardkennwort für die Admin-Benutzerkonten, konfigurieren Sie NTP, verwenden Sie den Standard-Sitzungstimeout-Wert, verwenden Sie SNMPv3 mit SHA-Authentifizierung und AES-Verschlüsselung.
Das Citrix SD-WAN-Overlay-Netzwerk schützt Daten, die das SD-WAN-Overlay-Netzwerk durchlaufen.
Sichere Administratoroberfläche
Ersetzen Sie für einen sicheren Zugriff auf die Webverwaltung Standardsystemzertifikate, indem Sie Zertifikate von einer seriösen Zertifizierungsstelle hochladen und installieren. Gehen Sie in der SD-WAN-Appliance-GUI zu Konfiguration> Appliance-Einstellungen> Administratorschnittstelle.
Benutzerkonten:
- Ändern Sie das lokale Benutzerkennwort
- Nutzer verwalten
HTTPS Certs:
- Zertifikat
- Schlüssel
Sonstiges:
- Timeout der Webkonsole
Erwägen Sie die Verwendung der Citrix Web App Firewall
Citrix ADC lizenzierte Appliance bietet eine integrierte Citrix Web App Firewall, die ein positives Sicherheitsmodell verwendet und automatisch das richtige Anwendungsverhalten zum Schutz vor Bedrohungen wie Befehlseinschleusung, SQL-Einschleusung und Cross Site Scripting lernt.
Wenn Sie die Citrix Web App Firewall verwenden, können Benutzer der Webanwendung zusätzliche Sicherheit hinzufügen, ohne Codeänderungen und mit geringen Konfigurationsänderungen. Weitere Informationen finden Sie unter Einführung in die Citrix Web Application Firewall.
Globale Verschlüsselungseinstellungen für virtuelle Pfade
- Die AES-128-Datenverschlüsselung ist standardmäßig aktiviert. Es wird empfohlen, AES-128 oder mehr Schutz der AES-256-Verschlüsselungsstufe für die Pfadverschlüsselung zu verwenden. Stellen Sie sicher, dass “Encryption Key Rotation aktivieren” so eingestellt ist, dass die Schlüsselregeneration für jeden virtuellen Pfad mit aktivierter Verschlüsselung mithilfe eines Elliptic Curve Diffie-Hellman-Schlüsselaustauschs in Intervallen von 10-15 Minuten sichergestellt wird.
Wenn das Netzwerk zusätzlich zur Vertraulichkeit (d. h. Manipulationsschutz) eine Nachrichtenauthentifizierung erfordert, empfiehlt Citrix die Verwendung der IPsec-Datenverschlüsselung. Wenn nur Vertraulichkeit erforderlich ist, empfiehlt Citrix die Verwendung der erweiterten Header.
- Extended Packet Encryption Header ermöglicht es, einen zufällig gesetzten Zähler dem Anfang jeder verschlüsselten Nachricht voranzustellen. Bei Verschlüsselung dient dieser Zähler als zufälliger Initialisierungsvektor, der nur mit dem Verschlüsselungsschlüssel deterministisch ist. Dadurch wird die Ausgabe der Verschlüsselung randomisiert und eine starke Botschaft geliefert, die nicht zu unterscheiden ist. Beachten Sie, dass diese Option bei Aktivierung den Paketaufwand um 16 Byte erhöht
- Extended Packet Authentication Trailer hängt einen Authentifizierungscode an das Ende jeder verschlüsselten Nachricht an. Dieser Trailer ermöglicht die Überprüfung, dass Pakete während des Transports nicht modifiziert werden. Denken Sie daran, dass diese Option den Paketaufwand erhöht.
Firewall-Sicherheit
Die empfohlene Firewall-Konfiguration ist mit einer Standard-Firewall-Aktion, die zuerst alle verweigert und dann Ausnahmen hinzufügt. Dokumentieren und überprüfen Sie vor dem Hinzufügen von Regeln den Zweck der Firewall-Regel. Verwenden Sie nach Möglichkeit eine stateful Inspektion und Inspektion auf Anwendungsebene. Vereinfachen Sie die Regeln und eliminieren Sie redundante Regeln. Definieren und halten Sie einen Änderungsverwaltungsprozess ein, der Änderungen an den Firewall-Einstellungen verfolgt und überprüft. Richten Sie die Firewall für alle Appliances ein, um Verbindungen über die Appliance mithilfe der globalen Einstellungen zu verfolgen. Durch die Verfolgung von Verbindungen wird sichergestellt, dass Pakete ordnungsgemäß gebildet wurden und für den Verbindungsstatus geeignet sind. Erstellen Sie Zonen, die der logischen Hierarchie des Netzwerks oder der Funktionsbereiche der Organisation entsprechen. Denken Sie daran, dass Zonen global bedeutsam sind und es ermöglichen können, geografisch unterschiedliche Netzwerke als dieselbe Sicherheitszone zu behandeln. Erstellen Sie die spezifischsten Richtlinien, um das Risiko von Sicherheitslücken zu verringern, und vermeiden Sie die Verwendung von Any in Allow Regeln. Konfigurieren und pflegen Sie eine Vorlage für globale Richtlinien, um ein Basissicherheitsniveau für alle Appliances im Netzwerk zu schaffen. Definieren Sie Richtlinienvorlagen basierend auf den funktionalen Rollen von Appliances im Netzwerk und wenden Sie sie gegebenenfalls an. Definieren Sie Richtlinien an einzelnen Standorten nur bei Bedarf.
Globale Firewall-Vorlagen - Firewall-Vorlagen ermöglichen die Konfiguration globaler Parameter, die sich auf den Betrieb der Firewall auf einzelnen Appliances auswirken, die in der SD-WAN-Overlay-Umgebung arbeiten.
Standard-Firewall-Aktionen — Zulassen aktiviert Pakete, die keiner Filterrichtlinie entsprechen, sind zulässig. Deny ermöglicht, dass Pakete, die keiner Filterrichtlinie entsprechen, verworfen werden.
Standard-Verbindungsstatus-Tracking — Ermöglicht die bidirektionale Verfolgung des Verbindungsstatus für TCP-, UDP- und ICMP-Flows, die nicht mit einer Filterrichtlinie oder NAT-Regel übereinstimmen. Asymmetrische Flows werden blockiert, wenn dies aktiviert ist, auch wenn keine Firewall-Richtlinien definiert sind. Die Einstellungen können auf Siteebene definiert werden, wodurch die globale Einstellung außer Kraft gesetzt wird. Wenn die Möglichkeit von asymmetrischen Flüssen an einem Standort besteht, wird empfohlen, dies auf Standort- oder Richtlinienebene und nicht global zu ermöglichen.
Zonen — Firewall-Zonen definieren die logische Sicherheitsgruppierung von Netzwerken, die mit dem Citrix SD-WAN verbunden sind. Zonen können auf virtuelle Schnittstellen, Intranetdienste, GRE Tunnel und LAN IPsec-Tunnel angewendet werden.
Sicherheitszone für WAN-Verbindungen
Nicht vertrauenswürdige Sicherheitszone sollte auf WAN-Verbindungen konfiguriert werden, die direkt mit einem öffentlichen (unsicheren) Netzwerk verbunden sind. Nicht vertrauenswürdig setzt die WAN-Verbindung auf den sichersten Zustand, sodass nur verschlüsselter, authentifizierter und autorisierter Datenverkehr in der Schnittstellengruppe akzeptiert werden kann. ARP und ICMP an die virtuelle IP-Adresse sind der einzige andere zulässige Traffic-Typ. Diese Einstellung stellt auch sicher, dass nur verschlüsselter Datenverkehr von den Schnittstellen gesendet wird, die der Interfacegruppe zugeordnet sind.
Routing-Domänen
Routingdomänen sind Netzwerksysteme, die eine Reihe von Routern enthalten, die zur Segmentierung des Netzwerkverkehrs verwendet werden. Neu erstellte Vererben werden automatisch mit der standardmäßigen Routingdomäne verknüpft.
IPsec-Tunnel
IPsec-Tunnel sichern sowohl Benutzerdaten als auch Header-Informationen. Citrix SD-WAN Appliances können feste IPsec-Tunnel auf der LAN- oder WAN-Seite mit Nicht-SD-WAN-Peers aushandeln. Für IPsec-Tunnel über LAN muss eine Routingdomäne ausgewählt werden. Wenn der IPsec-Tunnel einen Intranetdienst verwendet, wird die Routingdomäne vom gewählten Intranetdienst vorab festgelegt.
Der IPsec-Tunnel wird über den virtuellen Pfad eingerichtet, bevor Daten über das SD-WAN-Overlay-Netzwerk fließen können.
- Zu den Optionen für den Kapselungstyp gehören ESP - Daten werden gekapselt und verschlüsselt, ESP+Auth - Daten werden gekapselt, verschlüsselt und mit einem HMAC validiert, AH - Daten werden mit einem HMAC validiert.
- Der Verschlüsselungsmodus ist der Verschlüsselungsalgorithmus, der verwendet wird, wenn ESP aktiviert ist.
- Hash-Algorithmus wird verwendet, um einen HMAC zu generieren.
- Die Lebensdauer ist eine bevorzugte Dauer in Sekunden für eine IPsec-Sicherheitszuordnung. 0 kann unbegrenzt verwendet werden.
IKE-Einstellungen
Internet Key Exchange (IKE) ist ein IPsec-Protokoll, das zum Erstellen einer Sicherheitszuordnung (SA) verwendet wird. Citrix SD-WAN-Appliances unterstützen sowohl IKEv1- als auch IKEv2-Protokolle.
- Der Modus kann entweder Hauptmodus oder Aggressiv-Modus sein.
- Die Identität kann automatisch zur Identifizierung des Peers erfolgen, oder eine IP-Adresse kann verwendet werden, um die IP-Adresse des Peers manuell anzugeben.
- Die Authentifizierung ermöglicht die Pre-Shared Key-Authentifizierung oder das Zertifikat als Authentifizierungsmethode.
- Die Überprüfung der Peer-Identität ermöglicht die Validierung der Peer-Identität des IKE, wenn der ID-Typ des Peers unterstützt wird. Andernfalls aktivieren Sie diese Funktion nicht.
- Diffie-Hellman-Gruppen sind für die IKE-Schlüsselgenerierung mit Gruppe 1 bei 768 Bit, Gruppe 2 bei 1024-Bit und Gruppe 5 bei 1536-Bit-Gruppe verfügbar.
- Der Hash-Algorithmus umfasst MD5, SHA1 und SHA-256. Für IKE-Nachrichten stehen Algorithmen zur Verfügung.
- Zu den Verschlüsselungsmodi gehören AES-128, AES-192 und AES-256-Verschlüsselungsmodi, die für IKE-Nachrichten verfügbar sind.
- Zu den IKEv2-Einstellungen gehören Peer-Authentifizierung und Integritätsalgorithmus.
Konfigurieren der Firewall
Die folgenden häufigen Probleme können identifiziert werden, indem Sie die Upstream-Router- und Firewall-Konfiguration überprüfen:
- MPLS-Warteschlangen/QoS-Einstellungen: Stellen Sie sicher, dass der in UDP eingekapselte Datenverkehr zwischen virtuellen SD-WAN IP-Adressen aufgrund von QoS-Einstellungen auf den Zwischengeräten im Netzwerk nicht leidet.
- Der gesamte Datenverkehr auf den WAN-Verbindungen, die im SD-WAN-Netzwerk konfiguriert sind, sollte von der Citrix SD-WAN-Appliance mit dem richtigen Diensttyp (virtueller Pfad, Internet, Intranet und lokal) verarbeitet werden.
- Wenn der Datenverkehr die Citrix SD-WAN-Appliance Bypass und dieselbe zugrunde liegende Verbindung verwenden muss, sollten ordnungsgemäße Bandbreitenreservierungen für SD-WAN-Verkehr auf dem Router vorgenommen werden. Außerdem sollte die Verbindungskapazität in der SD-WAN-Konfiguration entsprechend konfiguriert werden.
- Stellen Sie sicher, dass für den dazwischengeschalteten Router/die Firewall keine UDP-Flood- und/oder PPS-Grenzwerte durchgesetzt sind. Dadurch wird der Datenverkehr gedrosselt, wenn er über den virtuellen Pfad gesendet wird (UDP-gekapselt).