NetScaler Console-Dienst

Einheitliches Sicherheitsdashboard

Das Unified Security Dashboard ist ein Dashboard mit einem einzigen Bereich, in dem Sie Schutzmaßnahmen konfigurieren, Analysen aktivieren und die Schutzmaßnahmen in Ihrer Anwendung bereitstellen können. In diesem Dashboard können Sie aus verschiedenen Vorlagenoptionen wählen und den gesamten Konfigurationsprozess in einem einzigen Workflow abschließen. Navigieren Sie zunächst zu Sicherheit > Sicherheitsdashboard und klicken Sie dann auf Anwendung verwalten. Auf der Seite „Anwendung verwalten “ können Sie Details zu Ihren gesicherten und ungesicherten Anwendungen einsehen.

Hinweis:

  • Wenn Sie ein neuer Benutzer sind oder keinen Schutz über StyleBooks oder direkt auf NetScaler-Instanzen konfiguriert haben, wird die folgende Seite angezeigt, nachdem Sie auf Security > SecurityDashboard geklickt haben.

Sicherheitsdashboard

  • Sie können die Gesamtzahl der virtuellen Server anzeigen, die geschützt werden müssen. Klicken Sie auf Erste Schritte, um Details in Unsecured Applicationsanzuzeigen.

  • Die für die Konfiguration von Schutzmaßnahmen in Frage kommenden virtuellen Servertypen sind Load Balancing und Content Switching.

Gesicherte Anwendungen

Sie können Details anzeigen, nachdem Sie die Schutzmaßnahmen mit dem einheitlichen Sicherheitsdashboard konfiguriert haben. Weitere Informationen finden Sie unter Schutzmaßnahmen für ungesicherte Anwendungen konfigurieren.

Wenn Sie bereits Schutzmaßnahmen direkt auf den NetScaler-Instanzen oder über StyleBooks konfiguriert haben, können Sie die Anwendungen auf der Registerkarte Gesicherte Anwendungen anzeigen, die unter Profil als Andere markiert sind.

Gesicherte Apps

Schutzmaßnahmen für ungesicherte Anwendungen konfigurieren

Hinweis:

Die maximale Anzahl unterstützter Konfigurationsentitäten (Regeln) in der Blockliste ist 32.

Wählen Sie auf der Registerkarte Unsichere Anwendungen eine Anwendung aus und klicken Sie auf Sichere Anwendung.

Unsichere Anwendungen

Sie können eine der folgenden Optionen auswählen, um Ihre Anwendung zu schützen:

  • WAF-Empfehlungsscanner — Mit dieser Option können Sie einen Scan für Ihre Anwendung ausführen. Basierend auf bestimmten Parametern des Scans schlägt Ihnen das Ergebnis die Schutzmaßnahmen für Ihre Anwendung vor. Sie könnten erwägen, diese Empfehlungen anzuwenden.

  • Schutzmaßnahmen auswählen und anpassen — Mit dieser Option können Sie aus verschiedenen Vorlagenoptionen auswählen oder Ihre Schutzmaßnahmen anpassen und bereitstellen.

    Passen Sie Schutzmaßnahmen an

    • OWASP Top 10 — Eine vordefinierte Vorlage, die den branchenüblichen Schutz vor den Top-10-Sicherheitsrisiken von OWASP bietet. Weitere Informationen finden Sie unter https://owasp.org/www-project-top-ten/.

    • CVE-Schutz — Sie können den Signatursatz aus der Liste der vorkonfigurierten Signaturregeln erstellen, die nach bekannten Schwachstellenkategorien klassifiziert sind. Sie können Signaturen auswählen, um die Protokollierung oder Blockierung von Aktionen zu konfigurieren, wenn ein Signaturmuster dem eingehenden Datenverkehr entspricht. Die Protokollnachricht enthält die Details der Sicherheitsanfälligkeit.

    • Benutzerdefinierter Schutz — Wählen Sie die Schutzmaßnahmen aus und setzen Sie sie entsprechend Ihren Anforderungen ein.

  • Vorhandene Schutzmaßnahmen auswählen — Mit dieser Option werden die Schutzmaßnahmen geklont, die in einer vorhandenen Anwendung bereitgestellt werden. Wenn Sie dieselben Schutzmaßnahmen für eine andere Anwendung bereitstellen möchten, können Sie diese Option auswählen und sie unverändert für eine andere Anwendung bereitstellen. Sie können diese Option auch als Vorlage auswählen, die Schutzmaßnahmen ändern und dann bereitstellen.

WAF-Empfehlungsscanner

Hinweis:

  • Sie können jeweils nur einen Scan für eine Anwendung ausführen. Um einen neuen Scan für dieselbe Anwendung oder eine andere Anwendung zu starten, müssen Sie warten, bis der vorherige Scan abgeschlossen ist.

  • Sie können auf Verlauf anzeigen klicken, um den Verlauf und den Status der vergangenen Scans anzuzeigen. Sie können auch auf Bericht anzeigen klicken und dann die Empfehlungen später anwenden.

Voraussetzungen:

  • Die NetScaler-Instanz muss 13.0 41.28 oder höher (für Sicherheitsüberprüfungen) und 13.0 oder höher (für Signaturen) sein.

  • Muss die Premium-Lizenz haben.

  • Muss der virtuelle Lastausgleichsserver sein.

Um mit dem WAF-Empfehlungsscan zu beginnen, müssen Sie die folgenden Informationen angeben:

  1. Unter Scanparameter:

    • Domain name — Geben Sie eine gültige, zugängliche IP-Adresse oder den öffentlich erreichbaren Domänennamen an, der der Anwendung zugeordnet ist. Beispiel: www.example.com.

    • HTTP-/HTTPS-Protokoll — Wählen Sie das Protokoll der Anwendung aus.

    • Traffic Timeout — Die Wartezeit (in Sekunden) für eine einzelne Anfrage während des Scans. Der Wert muss größer als 0 sein.

    • URL, von der aus der Scan gestartet werden soll — Die Startseite der Anwendung, von der aus der Scan gestartet werden soll. Beispiel: https://www.example.com/home. Die URL muss eine gültige IPv4-Adresse sein. Wenn die IP-Adressen privat sind, müssen Sie sicherstellen, dass auf die private IP-Adresse von der NetScaler Console-Verwaltungs-IP aus zugegriffen werden kann.

    • Anmelde-URL — Die URL, an die die Anmeldedaten zur Authentifizierung gesendet werden. In HTML wird diese URL allgemein als Aktions-URL bezeichnet.

    • Authentifizierungsmethode — Wählen Sie die unterstützte Authentifizierungsmethode (formularbasiert oder kopfbasiert) für Ihre Anwendung aus.

      • Für die formularbasierte Authentifizierung muss ein Formular mit den Anmeldeinformationen an die Anmelde-URL gesendet werden. Diese Anmeldeinformationen müssen in Form von Formularfeldern und ihren Werten vorliegen. Die Anwendung teilt dann das Sitzungscookie, das zur Aufrechterhaltung der Sitzungen während des Scans verwendet wird.

      • Die Header-basierte Authentifizierung erfordert den Authentication-Header und seinen Wert im Header-Abschnitt. Der Authentifizierungsheader muss einen gültigen Wert haben und wird verwendet, um Sitzungen während des Scans aufrechtzuerhalten. Die Formularfelder sollten für Header-basierte Felder leer gelassen werden.

    • Anforderungsmethode — Wählen Sie die HTTP-Methode, die beim Senden von Formulardaten an die Anmelde-URL Die zulässigen Anforderungsmethoden sind POST, GETund PUT.

    • Formularfelder — Geben Sie die Formulardaten an, die an die Anmelde-URL gesendet werden sollen Formularfelder sind nur erforderlich, wenn Sie die formularbasierte Authentifizierung auswählen. Sie müssen in den Schlüssel-Wert-Paaren angeben, wobei Feldname der Schlüssel und Feldwert der Wert ist. Stellen Sie sicher, dass alle Formularfelder, die für die Anmeldung erforderlich sind, korrekt hinzugefügt wurden, einschließlich Kennwörter. Die Werte werden verschlüsselt, bevor sie in der Datenbank gespeichert werden. Sie können auf Hinzufügen klicken, um mehrere Formularfelder hinzuzufügen. Zum Beispiel Feldname — Benutzername und Feldwert — admin.

    • Abmelde-URL — Geben Sie die URL an, die die Sitzung nach dem Zugriff beendet. Beispiel: https://www.example.com/customer/logout.

  2. Unter Scankonfigurationen:

    • Zu prüfende Sicherheitslücken — Wählen Sie die Sicherheitslücken aus, die der Scanner erkennen soll. Derzeit wird dies für Verstöße gegen SQL Injection und Cross-Site-Skripting durchgeführt. Standardmäßig sind alle Verstöße ausgewählt. Nach Auswahl der Schwachstellen werden diese Angriffe auf die Anwendung simuliert, um die potenzielle Sicherheitsanfälligkeit zu melden. Es wird empfohlen, diese Erkennung zu aktivieren, die sich nicht in der Produktionsumgebung befindet. Alle anderen Sicherheitslücken werden ebenfalls gemeldet, ohne diese Angriffe auf die Anwendung zu simulieren.

    • Größenbeschränkung der Antwort — Die maximale Grenze für die Antwortgröße. Antworten, die über den genannten Wert hinausgehen, werden nicht gescannt. Das empfohlene Limit liegt bei 10 MB (1000000 Byte).

    • Parallelität von Anfragen — Die Gesamtzahl der parallel an die Webanwendung gesendeten Anforderungen.

  3. Die Konfiguration der WAF-Scaneinstellungen ist abgeschlossen. Sie können auf Scan starten klicken, um den Scanvorgang zu starten, und warten, bis der Vorgang abgeschlossen ist. Nachdem der Scan abgeschlossen ist, klicken Sie auf Bericht anzeigen.

    Bericht scannen

  4. Klicken Sie auf der Seite mit den Scanergebnissen auf Empfehlung überprüfen.

    Empfehlung überprüfen

  5. Überprüfen Sie die Schutzmaßnahmen oder bearbeiten/fügen Sie weitere Schutzmaßnahmen hinzu und klicken Sie auf Bereitstellen.

    Schutz bereitstellen

    Wenn Sie Sicherheitsüberprüfungen erfolgreich durchführen:

  • Die Konfiguration wird je nach Version über StyleBooks auf die NetScaler-Instanz angewendet.

    • Für NetScaler 13.0 wird StyleBook unified-appsec-protection-130 verwendet.

    • Für NetScaler 13.1 wird StyleBook unified-appsec-protection-131 verwendet.

    • Für NetScaler 14.1 wird StyleBook unified-appsec-protection-141 verwendet.

  • Das Profil Appfw wird auf Ihrem NetScaler erstellt und mithilfe von policylabel an die Anwendung gebunden.

  • Die Signaturen sind an das appfw-Profil gebunden, wenn die empfohlenen Signaturen bereits angewendet wurden.

Hinweis

Sicherheitsprüfungen werden in NetScaler 13.0 41.28 oder einer späteren Version unterstützt.

Sie können überprüfen, ob die WAF-Profile und -Signaturen über die Standard-StyleBooks angewendet werden, indem Sie zu Anwendungen > Konfiguration > Config Packsnavigieren.

WAF StyleBooks

Schutzmaßnahmen auswählen und anpassen

Die 10 besten OWASP

Die 10 besten OWASP

1 — Stellt Informationen zur Anwendung bereit, z. B. IP-Adresse, Typ des virtuellen Servers, Lizenztyp, von welcher Instanz aus die Anwendung konfiguriert wird usw.

2 — Zeigt die ausgewählte Vorlage an. Sie können es nach Ihrer Wahl umbenennen.

3 - Zeigt die Schutzmaßnahmen an. Für einige Schutzmaßnahmen sind zusätzliche Informationen erforderlich.

4 — Zeigt den ausführlichen Logtyp an. Sie können die folgenden Optionen wählen:

  • Muster. Protokolliert nur Verletzungsmuster.

  • Musternutzlast. Protokolliert das Verletzungsmuster und 150 Byte zusätzliche JSON-Nutzlast.

  • Muster, Nutzlast, Header. Protokolliert das Verletzungsmuster, 150 Byte an zusätzlichen JSON-Nutzdaten und HTTP-Header-Informationen.

5 - Ermöglicht es Ihnen, den Monitormodus zu aktivieren. Wenn Sie den Überwachungsmodus aktivieren, wird der Datenverkehr nur protokolliert und die Schadensbegrenzungen werden nicht aktiviert.

6 — Ermöglicht es Ihnen, weitere Schutzmaßnahmen hinzuzufügen. Klicken Sie auf Schutzmaßnahmen hinzufügen und überprüfen Sie, ob Sie welche hinzufügen möchten.

7 — Ermöglicht die Auswahl einer neuen Vorlage mithilfe der Option Vorlage ändern.

8 — Ermöglicht es Ihnen, den Schutz zu bearbeiten oder zu löschen.

9 — Aktiviert Analysen für die von Ihnen ausgewählten Schutzmaßnahmen. Diese Option ist standardmäßig ausgewählt. Sie können Analysen für die konfigurierten Schutzmaßnahmen unter Sicherheit > Sicherheitsverletzungeneinsehen.

Nachdem Sie die Schutzmaßnahmen konfiguriert haben, klicken Sie auf Bereitstellen.

CVE-Schutz

Um den CVE-Schutz bereitzustellen, klicken Sie auf CVE-Schutz erstellen. Wählen Sie auf der Seite Signatursatz erstellen die Signaturen aus der Liste aus, um die Protokoll- oder Blockaktion zu konfigurieren, und klicken Sie dann auf Speichern.

CVE-Schutz

Nachdem Sie auf Speicherngeklickt haben, können Sie die Signaturen anzeigen, die der Konfigurationsseite hinzugefügt wurden.

Seite "Konfiguration"

Sie können auch auf Schutz hinzufügen klicken, um der Anwendung weitere Schutzmaßnahmen hinzuzufügen. Nachdem Sie alle Schutzmaßnahmen konfiguriert haben, klicken Sie auf Bereitstellen.

Benutzerdefinierter Schutz

Klicken Sie auf Neuen Schutz erstellen, um die Bereitstellung mit Schutzmaßnahmendurchzuführen, die Ihren Anforderungen entsprechen. Wählen Sie auf der Seite Schutzmaßnahmen hinzufügen die Schutzmaßnahmen aus, die Sie bereitstellen möchten, und klicken Sie auf Speichern.

Benutzerdefinierter Schutz

Nachdem Sie auf Speicherngeklickt haben, überprüfen Sie die ausgewählten Schutzmaßnahmen auf der Konfigurationsseite und klicken Sie dann auf Bereitstellen.

Wählen Sie vorhandene Schutzmaßnahmen

Um vorhandene Schutzmaßnahmen von einer Anwendung auf eine andere anzuwenden, wählen Sie einen vorhandenen Schutz aus der Liste aus.

Bestehender Schutz

Nachdem Sie einen Schutz ausgewählt haben, werden die vorhandenen Schutzmaßnahmen geklont und auf der Konfigurationsseite angezeigt. Sie können je nach Anforderung Änderungen vornehmen und dann auf Bereitstellenklicken.

Einheitliches Sicherheitsdashboard