Sicherheitsempfehlungen
Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Höhepunkte der Sicherheitsempfehlungen für NetScaler Console:
-
Erkennung und Behebung von Common Vulnerabilities and Exposures (CVEs) — Ermöglicht es Ihnen, die CVEs zu identifizieren, die Ihre NetScaler-Instanzen gefährden, und empfiehlt Abhilfemaßnahmen.
-
Dateiintegritätsüberwachung — Ermöglicht es Ihnen, festzustellen, ob Änderungen oder Ergänzungen an Ihren NetScaler-Builddateien vorgenommen wurden.
Als Administrator müssen Sie Folgendes sicherstellen:
-
Verfolgen Sie alle neuen Common Vulnerabilities and Exposures (CVEs), bewerten Sie die Auswirkungen von CVEs, verstehen Sie die Behebung und beheben Sie die Sicherheitslücken.
-
Untersuchen Sie die Integrität Ihrer NetScaler-Build-Dateien.
Funktionen zur Sicherheitsberatung
Die folgenden Sicherheitsfunktionen helfen Ihnen beim Schutz Ihrer Infrastruktur.
CVEs:
Features | Beschreibung |
---|---|
Systemscan | Scannt standardmäßig alle verwalteten Instanzen einmal pro Woche. NetScaler Console entscheidet über Datum und Uhrzeit von Systemscans, und Sie können sie nicht ändern. |
Scannen auf Anforderung | Sie können die Instanzen bei Bedarf manuell scannen. Wenn die nach dem letzten Systemscan verstrichene Zeit erheblich ist, können Sie einen Anforderungsscan ausführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie, nachdem eine Korrektur vorgenommen wurde, um den geänderten Status zu beurteilen. |
CVE-Auswirkungsanalyse | Zeigt die Ergebnisse aller CVEs, die sich auf Ihre Infrastruktur auswirken, und aller NetScaler-Instanzen, die betroffen sind, und schlägt Gegenmaßnahmen vor. Verwenden Sie diese Informationen, um Abhilfemaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden. |
CVE-Berichte | Speichert Kopien der letzten fünf Scans. Sie können diese Berichte im CSV-Format herunterladen und analysieren. |
CVE-Repositorium | Bietet einen detaillierten Überblick über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Bereich der Sicherheitsberatung zu verstehen und mehr über den CVE zu erfahren. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory. |
Überwachung der Dateiintegrität:
Features | Beschreibung |
---|---|
Scannen auf Anforderung | Sie müssen einen Scan auf Anforderung ausführen, um Ergebnisse für alle Dateiänderungen zu erhalten, die in NetScaler-Builddateien erkannt wurden. |
Scan zur Überwachung der Dateiintegrität | Vergleicht den binären Hashwert Ihrer aktuellen NetScaler-Build-Dateien mit dem ursprünglichen binären Hash und hebt hervor, ob Dateiänderungen oder Dateiergänzungen vorgenommen wurden. Sie können die Scanergebnisse auf der Registerkarte Dateiintegritätsüberwachung einsehen. |
Wichtige Hinweise
-
Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das Ende des Lebenszyklus (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.
-
Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.
-
Für die Dateiintegritätsüberwachung unterstützte Instanzen: MPX-, VPX-Instanzen und Gateway.
-
Unterstützte CVEs: Alle CVEs nach Dezember 2019.
Hinweis:
Die Erkennung und Behebung von Sicherheitslücken, die das NetScaler Gateway-Plug-in für Windows betreffen, wird von der NetScaler Console Security Advisory nicht unterstützt. Informationen zu CVEs, die nicht unterstützt werden, finden Sie unter Nicht unterstützte CVEs in Security Advisory.
-
Die Sicherheitsempfehlung von NetScaler Console berücksichtigt bei der Identifizierung der Sicherheitsanfälligkeit keinerlei Fehlkonfigurationen von Funktionen.
-
Die Sicherheitsempfehlung von NetScaler Console unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der im Sicherheitsartikel hervorgehobenen Sicherheitsbedenken.
-
Umfang der NetScaler-, Gateway-Versionen: Die Funktion ist auf Haupt-Builds beschränkt. Die Sicherheitsempfehlung umfasst keine speziellen Builds in ihrem Geltungsbereich.
- Die Sicherheitsempfehlung wird in der Admin-Partition nicht unterstützt.
-
Die folgenden Scanarten sind für CVEs verfügbar:
-
Versionsscan : Für diesen Scan ist NetScaler Console erforderlich, um die Version einerNetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft der Sicherheitsempfehlung von NetScaler Console dabei, festzustellen, ob der NetScaler für das CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Version und Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds unter xx.yy als anfällig. Versionsscans werden heute in der Sicherheitsempfehlung unterstützt.
-
Konfigurationsscan: Für diesen Scan muss NetScaler Console ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz als anfällig für diese CVE angesehen. Dieser Scan wird normalerweise beim Versions-Scan verwendet. Config Scan wird heute in der Sicherheitsempfehlung unterstützt.
-
Benutzerdefinierter Scan: Für diesen Scan benötigt NetScaler Console, um eine Verbindung mit der verwalteten NetScaler-Instanz herzustellen, ein Skript darauf zu übertragen und das Skript auszuführen. Anhand der Skriptausgabe kann NetScaler Console ermitteln, ob der NetScaler für das CVE anfällig ist. Beispiele hierfür sind eine spezifische Shell-Befehlsausgabe, eine spezifische CLI-Befehlsausgabe, bestimmte Protokolle und das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn die Konfigurationssuche dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter Scan oder ein Anforderungsscan Weitere Informationen zu den gesammelten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitsempfehlung für dieses CVE.
-
-
Der folgende Scan ist für die Dateiintegritätsüberwachung verfügbar:
-
** Scan zur Überwachung der Dateiintegrität : Für diesen Scan ist die NetScaler Console erforderlich, um eine Verbindung mit der verwalteten NetScaler-Instanz herzustellen. NetScaler Console führt einen Vergleich der Hashwerte durch, indem sie ein Skript in NetScaler ausführt und die aktuellen binären Hashwerte für die NetScaler-Build-Dateien sammelt. Nach dem Vergleich liefert NetScaler Console das Ergebnis mit der Gesamtzahl der vorhandenen, geänderten Dateien und der Gesamtzahl der neu hinzugefügten Dateien. Als Administrator können Sie sich an die digitale Forensik Ihres Unternehmens wenden, um weitere Untersuchungen zu den Scanergebnissen zu erhalten.
Die folgenden Dateien werden gescannt:
-
/netscaler
-
/bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin
-
/lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat
-
/etc
-
Der Rest von
/usr
-
/root, /home, /mnt
-
-
-
Scans wirken sich nicht auf den Produktionsdatenverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.
-
Die NetScaler Console Security Advisory unterstützt keine CVE-Abwehr. Wenn Sie auf die NetScaler-Instanz eine Risikominderung (temporäre Problemumgehung) angewendet haben, identifiziert die NetScaler Console den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Standardisierung abgeschlossen haben.
-
Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt, aber der File Integrity Monitoring-Scan wird unterstützt.
-
Einige Dateiänderungen können im Rahmen des normalen Betriebs des Geräts vorgenommen werden, während andere möglicherweise weitere Untersuchungen erfordern. Bei der Überprüfung von Dateiänderungen kann Folgendes hilfreich sein:
-
Änderungen im
/netscaler
Verzeichnis (in HTML - und JS-Dateien) können durch die Verwendung von Skripten oder Plug-ins auftreten. -
Das
/etc
Verzeichnis enthält Konfigurationsdateien, die durch unerwartete Eingriffe nach dem Booten des Systems geändert werden können. -
Es wäre ungewöhnlich, wenn es:
-
Berichte in den Verzeichnissen
/bin
,/sbin
oder/lib
-
Neue .php-Dateien im Verzeichnis
/netscaler
-
-
So verwenden Sie das Sicherheits-Advisory-Dashboard
Um auf das Security Advisory Dashboard zuzugreifen, navigieren Sie von der NetScaler Console aus zu Infrastructure > Instance Advisory > Security Advisory .
Das Dashboard umfasst vier Registerkarten:
- Aktuelle CVEs
- Überwachung der Dateiintegrität
- Protokoll scannen
-
CVE-Repository
Wichtig:
In der Sicherheits-Advisory-GUI oder im Bericht werden möglicherweise nicht alle CVEs angezeigt, und Sie sehen möglicherweise nur eine CVE. Um dieses Problem zu umgehen, klicken Sie auf Jetzt scannen > CVEs scannen, um einen Scan auf Anforderung auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Bereich (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.
In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie:
-
Benachrichtigungen aktivieren und deaktivieren (gilt nur für die CVE-Erkennung).
Sie können die folgenden Benachrichtigungen über die Auswirkungen von CVE erhalten.
-
E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen für Änderungen der CVE-Scanergebnisse und neue CVEs, die dem CVE-Repository hinzugefügt wurden.
-
Cloud-Benachrichtigung für Änderungen der CVE-Impact-Scanergebnisse.
-
-
Benutzerdefinierte Scaneinstellungen konfigurieren (gilt nur für CVEs)
Sie können auf die Liste Benutzerdefinierte Scaneinstellungen klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und sich von diesen benutzerdefinierten CVE-Scans abzumelden. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan benötigen, werden in der Sicherheitsempfehlung für Ihre NetScaler-Instanzen nicht bewertet.
Aktuelle CVEs
Diese Registerkarte zeigt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell, und als Administrator können Sie je nach Anwendungsfall zwischen diesen Registerkarten wechseln.
Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.
CVE-ID: Die ID des CVE, der sich auf die Instanzen auswirkt.
Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für dieses CVE veröffentlicht wurde.
Schweregrad: Art des Schweregrads (hoch/mittel/kritisch) und Score. Um die Punktzahl zu sehen, bewegen Sie den Mauszeiger über den Schweregradtyp.
Schwachstellentyp: Die Art der Sicherheitsanfälligkeit für dieses CVE.
Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, auf die sich die CVE-ID auswirkt. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.
Standardisierung: Die verfügbaren Standardisierungen, bei denen die Instanz (normalerweise) aktualisiert oder Konfigurationspakete angewendet werden.
Die gleiche Instanz kann von mehreren CVEs betroffen sein. In dieser Tabelle können Sie sehen, wie viele Instanzen eine bestimmte CVE oder mehrere ausgewählte CVEs Auswirkungen haben. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.
In diesem Bildschirm beträgt die Anzahl der CVEs, die sich auf Ihre Instanzen auswirken, 3 CVEs und die Anzahl der Instanzen, die von diesen CVEs betroffen sind, ist zwei.
Auf der Registerkarte <number of>
NetScaler-Instanzen sind von CVEs betroffen werden alle betroffenen NetScaler Console NetScaler-Instanzen angezeigt. Die Tabelle zeigt die folgenden Details:
- NetScaler IP-Adresse
- Hostname
- NetScaler Modellnummer
- Status des NetScaler
- Softwareversion und Build
- Liste der CVEs, die sich auf den NetScaler auswirken.
Sie können jede dieser Spalten je nach Bedarf hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.
Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Behebung an. Die meisten CVEs benötigen ein Upgrade als Standardisierung, während andere ein Upgrade und einen zusätzlichen Schritt als Standardisierung benötigen.
-
Informationen zur Behebung von CVE-2020-8300 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2020-8300.
-
Informationen zu CVE-2021-22927 und CVE-2021-22920 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2021-22927 und CVE-2021-22920.
-
Informationen zu CVE-2021-22956 finden Sie unter Identifizieren und Beheben von Sicherheitslücken für CVE-2021-22956
-
Informationen zu CVE-2022-27509 finden Sie unter Korrigieren von Sicherheitslücken für CVE-2022-27509
Hinweis
Wenn Ihre NetScaler-Instanzen über Anpassungen verfügen, finden Sie weitere Informationen unter Überlegungen zum Upgrade für benutzerdefinierte NetScaler-Konfigurationen, bevor Sie ein NetScaler-Upgrade planen.
Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die das Update enthalten. Dieses Detail ist in der Behebungsspalte zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf Weiter zum Upgrade-Workflow. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler aufgefüllt.
Hinweis
Die Releases 12.0, 11.0, 10.5 und niedriger sind bereits Ende des Lebenszyklus (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.
Der Upgrade-Workflow beginnt. Weitere Informationen zur Verwendung von NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Verwenden von Jobs zum Upgrade von NetScaler-Instanzen.
Hinweis
Die Version und der Build, auf die Sie upgraden möchten, liegt in Ihrem Ermessen. Lesen Sie die Hinweise in der Spalte “Behebung”, um zu erfahren, welche Version und welche Builds den Sicherheitsupdate enthalten. Wählen Sie dementsprechend ein unterstütztes Release und Build aus, das noch nicht das Ende der Lebensdauer erreicht hat.
Überwachung der Dateiintegrität
Auf dieser Registerkarte wird das Ergebnis des File Integrity Monitoring-Scans mit NetScaler-Instanzen angezeigt, die Änderungen oder Ergänzungen zu den ursprünglichen NetScaler-Build-Dateien aufweisen.
Das folgende Beispiel zeigt das Scanergebnis für zwei betroffene NetScaler-Instanzen, bei denen vorhandene Dateien geändert und den ursprünglichen Build-Dateien neue Dateien hinzugefügt wurden.
Klicken Sie auf die Zahlen unter Bestehende Dateien geändert und Neue Dateien hinzugefügt, um Details anzuzeigen.
Scanprotokoll (gilt nur für CVEs)
Auf der Registerkarte werden Berichte der letzten fünf CVE-Scans angezeigt, die sowohl Standardsystemscans als auch benutzerinitiierte On-Demand-Scans enthalten. Sie können den Bericht jedes Scans im CSV-Format herunterladen. Wenn ein Anforderungsscan läuft, können Sie den Abschlussstatus hier einsehen. Wenn ein Scan fehlgeschlagen ist, zeigt der Status dies an.
CVE-Repository
Diese Registerkarte enthält die neuesten Informationen aller CVEs ab Dezember 2019 sowie die folgenden Details:
- CVE-IDs
- Art der Sicherheitslücke
- Datum der Veröffentlichung
- Schweregrad
- Sanierung
-
Links zu Sicherheitsbulletins
Jetzt durchsuchen
Sie können die Instanzen jederzeit nach Ihren Bedürfnissen scannen.
Klicken Sie auf Jetzt scannenund wählen Sie CVEs scannen, Dateien scannen oder Beide scannen aus, um den neuesten Sicherheitsbericht Ihrer Instanzen zu erhalten.
-
CVEs scannen — Scannt nur nach CVEs, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der Benutzeroberfläche für Sicherheitsempfehlungen angezeigt. Sie finden den Bericht auch unter Scan-Protokoll, das Sie auch herunterladen können.
-
Dateien scannen — Scannt nur nach der Dateiintegritätsüberwachung und zeigt das Ergebnis auf der Registerkarte Dateiintegritätsüberwachung an.
-
Beide scannen — Scannt sowohl auf die CVE-Erkennung als auch auf die Überwachung der Dateiintegrität
Die NetScaler Console benötigt einige Minuten, um den Scan abzuschließen.
Hinweis
Das Scanprotokoll zeigt nur die Protokolle der letzten fünf CVE-Scans an, die sowohl geplant als auch auf Anfrage durchgeführt werden können.
Benachrichtigung (gilt nur für CVEs)
Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, aus denen hervorgeht, wie viele NetScaler-Instanzen durch CVEs gefährdet sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler Console-GUI.
Haftungsausschluss:
Bitte beachten Sie, dass NetScaler File Integrity Monitoring (“das Feature”) nicht in der Lage ist, alle Techniken, Taktiken oder Verfahren (TTPs) zu erkennen, die Bedrohungsakteure möglicherweise verwenden, um relevante Umgebungen ins Visier zu nehmen. Bedrohungsakteure ändern häufig TTPs und Infrastruktur, weshalb die Funktion in Bezug auf bestimmte Bedrohungen möglicherweise von begrenztem bis gar keinem forensischen Wert ist. Es wird dringend empfohlen, die Dienste erfahrener forensischer Ermittler in Anspruch zu nehmen, um Ihre Umgebung im Zusammenhang mit möglichen Bedrohungen zu bewerten.
Dieses Dokument und die darin enthaltenen Informationen werden unverändert zur Verfügung gestellt. Cloud Software Group, Inc. gibt keine ausdrücklichen oder stillschweigenden Garantien oder Zusicherungen in Bezug auf das Dokument oder seinen Inhalt ab, einschließlich, aber nicht beschränkt auf die Tatsache, dass dieses Dokument oder die darin enthaltenen Informationen fehlerfrei sind oder irgendwelche Bedingungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck erfüllen.