WAF Insight
Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Sie Einblick in Art und Ausmaß vergangener, aktueller und drohender Bedrohungen, in Echtzeit verwertbare Daten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. WAF Insight bietet eine zentrale Lösung, mit der Sie den Sicherheitsstatus Ihrer Anwendung beurteilen und Korrekturmaßnahmen ergreifen können, um Ihre Anwendungen zu schützen.
Hinweis
WAF Insight wird auf der NetScaler Console unterstützt, wobei alle NetScaler-Appliances auf Version 11.0 Build 65.31 und höher ausgeführt werden.
So funktioniert WAF Insight
WAF Insight ist eine intuitive Dashboard-basierte Sicherheitsanalyselösung, die Ihnen einen vollständigen Überblick über die Bedrohungsumgebung Ihrer Anwendungen bietet. Sicherheitsinformationen sind in der NetScaler Console enthalten und generiert regelmäßig Berichte auf der Grundlage Ihrer Application Firewall- und NetScaler-Systemsicherheitskonfigurationen. Die Berichte enthalten für jede Anwendung die folgenden Informationen:
-
Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine NetScaler Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.
Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen wie Verstoßtyp, Angriffskategorie, Standort und Client-Details geben Ihnen Einblick in die Angriffe auf die Anwendung. Informationen zu Verstößen werden nur dann an NetScaler Console gesendet, wenn es zu einer Verletzung oder einem Angriff kommt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.
-
Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Sie die NetScaler-Instanzen zum Schutz von Anwendungen vor externen Bedrohungen und Sicherheitslücken konfiguriert haben. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.
Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des NetScaler -Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen für NetScaler-Systeme, z. B. ein sicheres Kennwort für den
nsrootBenutzer, nicht übernommen wurden, wird Anwendungen ein niedriger Sicherheitsindexwert zugewiesen. -
Umsetzbare Informationen. Die Informationen, die Sie benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Sie können beispielsweise Informationen über Verstöße, vorhandene und fehlende Sicherheitskonfigurationen für die Anwendungsfirewall und andere Sicherheitsfunktionen überprüfen, mit der die Anwendungen angegriffen werden.
WAF Insight konfigurieren
Hinweis:
Sie können mit der Konfiguration von Schutzmaßnahmen über das Unified Security Dashboard beginnen. Weitere Informationen finden Sie unter Unified Security Dashboard
-
Navigieren Sie zu Infrastruktur > Instanzen > NetScaler und wählen Sie den Instanztyp aus. Zum Beispiel VPX.
-
Wählen Sie die Instanz aus und wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurierenaus.
-
Im Fenster Analytics auf virtuellem Server konfigurieren :
-
Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie auf Enable Security & Analytics.
Das Fenster Enable Security & Analytics wird angezeigt.
-
Wählen Sie WAF-Sicherheitsverletzungen
-
Wählen Sie unter Erweiterte OptionenLogstreamoderIPFIXals Transportmodus
-
Hinweis > > Für NetScaler 12.0 oder früher ist IPFIX die Standardoption für den Transportmodus. Für NetScaler 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen. > > Weitere Informationen zu IPFIX und Logstream finden Sie unter Logstream-Übersicht.
1. Der Ausdruck ist standardmäßig wahr
1. Klicken Sie auf **OK**.
> **Hinweis**
>
> - Wenn Sie nicht über die Flexed-Lizenz verfügen und virtuelle Server auswählen, die nicht lizenziert sind, lizenziert NetScaler Console zuerst diese virtuellen Server und aktiviert dann Analysen.
Nachdem Sie auf OK geklickt haben, verarbeitet NetScaler Console, um Analysen auf den ausgewählten virtuellen Servern zu aktivieren.
Hinweis
Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Die NetScaler Console-Analytik unterstützt jetzt die auf virtuellen IP-Adressen basierende Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zu Gruppen finden Sie unter Gruppen auf der NetScaler Console konfigurieren .
Konfigurieren von Geo-Standorten für Security Insight-Berichte
Wenn Sie geografische Standorte in NetScaler Console konfigurieren, enthalten WAF Insight-Berichte die genauen geografischen Standorte, von denen die Client-Anfragen stammen. Um geografische Standorte zu aktivieren, geben Sie einen privaten IP-Block oder einen IP-Adressbereich für jeden geografischen Standort in Ihrer Organisation an. Fügen Sie diese Informationen zusammen mit dem Namen der Stadt/des Bundesland/Landes und den Breiten- und Längengradkoordinaten jedes Standorts in die Geodatenbankdatei ein. Wenden Sie sich an Ihren NetScaler-Vertreter, um die Geo Database-Datei zu erhalten, und laden Sie die Datei dann auf die NetScaler-Instanz hoch.
So konfigurieren Sie Geo-Standorte:
-
Kopieren Sie die Geo-Datenbankdatei Citrix_Netscaler_InBuilt_GeoIP_DB.csv an einen beliebigen Speicherort auf der NetScaler Appliance.
-
Öffnen Sie die Geodatenbankdatei mit einem Texteditor, z. B. vi editor, und fügen Sie für jeden Standort in Ihrer Organisation einen Eintrag hinzu.
Der Eintrag muss das folgende Format haben:
<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitudeBeispiel:
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568 -
Führen Sie die folgenden Befehle aus, um die Geo-Location-Protokollierung und -Protokollierung im CEF-Format zu aktivieren:
- add locationFile <Complete path with DB file>
- set appfw settings -geoLocationLogging ON
- set appfw settings -CEFLogging ON
IP-Reputation
Sie können NetScaler Insight Center verwenden, um die IP-Reputation Ihres eingehenden Datenverkehrs zu überwachen und zu verwalten. Sie können Richtlinien so konfigurieren, dass weitere IPs bösartig hinzugefügt werden, und eine benutzerdefinierte Blockliste erstellen.
Weitere Informationen zur Konfiguration und Verwendung von IP Reputation finden Sie unter IP-Reputation.
Überwachen der IP-Reputation
Die IP-Reputation-Funktion bietet angriffsbezogene Informationen über bösartige IP-Adressen. Beispielsweise werden IP-Reputationsbewertung, IP-Reputationskategorie, IP-Reputation-Angriffszeit, Geräte-IP und Details zur Client-IP-Adresse gemeldet.
Der IP-Reputations-Score gibt das mit einer IP-Adresse verbundene Risiko an. Die Partitur hat die folgenden Bereiche:
| Bewertung der IP-Reputation | Grad des Risikos |
|---|---|
| 1–20 | Hohes Risiko |
| 21–40 | Verdächtig |
| 41–60 | Mäßiges Risiko |
| 61–80 | Niedriges Risiko |
| 81–100 | Vertrauensvoll |
So überwachen Sie die IP-Reputation:
-
Navigieren Sie zu Sicherheit > Sicherheitsverletzungen, und wählen Sie unter WAFdie Anwendung aus, die Sie überwachen möchten.
-
Die Bewertungen des Bedrohungsindexund des Sicherheitsindexwerden angezeigt. Klicken Sieauf Details anzeigen.
-
Unter Application Firewall Configuration können Sie den Wert des IP-Reputations-Sicherheitsindexes anzeigen.
Schwellenwerte
Sie können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in WAF Insight festlegen und anzeigen.
So legen Sie einen Schwellenwert fest:
-
Navigieren Sie zu Einstellungen > Analytics-Einstellungen > Schwellenwerteund wählen Sie Hinzufügenaus.
-
Wählen Sie im Feld Verkehrstyp den Verkehrstyp als Sicherheit aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.
-
Verwenden Sie im Abschnitt Regel die Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen.
Zum Beispiel “Bedrohungsindex” “>” “5”
-
Klicken Sie auf Erstellen.
Anwendungsfälle von WAF Insight
In den folgenden Anwendungsfällen wird beschrieben, wie Sie Sicherheitsinformationen verwenden können, um die Bedrohungsgefahr von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.
Verschaffen Sie sich einen Überblick über die Bedrohungs
In diesem Anwendungsfall verfügen Sie über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und Sie haben NetScaler Console für die Überwachung der Bedrohungsumgebung konfiguriert. Sie müssen den Bedrohungsindex, den Sicherheitsindex sowie die Art und den Schweregrad aller Angriffe überprüfen, die die Anwendungen möglicherweise erlebt haben, um sich zuerst auf die kritischen Anwendungen zu konzentrieren. Das Security Insight-Dashboard bietet eine Zusammenfassung der Bedrohungen, die Ihre Anwendungen über einen bestimmten Zeitraum Ihrer Wahl und für ein ausgewähltes NetScaler Gerät ausgesetzt haben. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.
Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei NetScaler Console an und navigieren Sie dann zu Sicherheit > Sicherheitsverletzung . Unter WAF werden die fünf wichtigsten Anwendungen basierend auf der Gesamtzahl der betroffenen Verstöße angezeigt.** Um alle Anwendungen anzuzeigen, klicken Sie auf **Alle anzeigen.
Bestimmen der vorhandenen und fehlenden Sicherheitskonfiguration für eine Anwendung
Nachdem Sie die Bedrohungsgefahr einer Anwendung überprüft haben, möchten Sie ermitteln, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Sie können diese Informationen abrufen, indem Sie in die Anwendungsübersicht eindringen.
Die Zusammenfassung gibt Ihnen Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:
- Konfiguration der Anwendungsfirewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.
-
NetScaler Console Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.
Überprüfen Sie auf dem Knoten Application Firewall Configuration die Informationen zur Sicherheitsüberprüfung und Sicherheitsverletzung.
Klicken Sie auf den Knoten NetScaler Console System Security und überprüfen Sie die Systemsicherheitseinstellungen und die Empfehlungen von Citrix, um den Anwendungssicherheitsindex zu verbessern.
Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern
Die Anwendungen, die sofortige Aufmerksamkeit benötigen, sind die Anwendungen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.
Bestimmen Sie die Anzahl der Angriffe in einer bestimmten Zeit
Sie können bestimmen, wie viele Angriffe auf eine bestimmte Anwendung zu einem bestimmten Zeitpunkt aufgetreten sind, oder Sie möchten die Angriffsquote für einen bestimmten Zeitraum untersuchen.
Klicken Sie unter WAFauf eine beliebige Anwendung, um die gesamten WAF-Verstöße anzuzeigen, die für die ausgewählte Dauer erkannt wurden.
Klicken Sie auf Protokolle, um Details für Angriffe basierend auf Schweregrad und durchgeführten Maßnahmen anzuzeigen. Die Logs-Seite enthält die folgenden Details:
-
Angriffszeit
-
IP-Adresse des Clients, von dem aus der Angriff erfolgte
-
Schweregrad
-
Kategorie des Verstoßes
-
URL, von der der Angriff stammt, und weitere Details.