Gateway

EPA-Scan für MAC-Adressen

Ab Citrix ADC Version 13.0-88.x können Sie EPA-Scankonfigurationen für die zulässigen oder spezifischen MAC-Adressen konfigurieren. Citrix ADC verwendet Richtlinienausdrücke und Mustersätze, um die Liste der MAC-Adressen zu spezifizieren.

Vor der Citrix ADC-Version 13.0-88.x musste die Liste aller zulässigen MAC-Adressen als Teil eines EPA-Ausdrucks angegeben werden. Wenn die Kunden eine riesige Liste erlaubter MAC-Adressen hatten, war es umständlich, alle MAC-Adressen in einem Ausdruck hinzuzufügen. Außerdem gab es eine Beschränkung für die Anzahl der MAC-Adressen, die in einem einzigen Ausdruck hinzugefügt werden sollten.

Beispiel:

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

EPA-Scan für MAC-Adressen über die GUI konfigurieren

Die Option MAC-Adressen (Ausdruck), die zuvor in der Windows-Scankategorie verfügbar war, ist jetzt in der Kategorie Common Scan der Citrix ADC GUI verfügbar. Mit dieser Option können Benutzer einen EPA-Scan für eine Liste zulässiger oder spezifischer MAC-Adressen konfigurieren.

Hinweis:

Der Citrix Secure Access-Client 22.10.1 und spätere Versionen unterstützen diese Methode, mit der Citrix ADC die EPA-Scankonfigurationen auf der GUI verarbeitet.

EPA scannt gängige Scans

  1. Mustersatz konfigurieren. Einzelheiten finden Sie unter Konfigurieren eines Mustersatzes.

  2. Erstellen Sie für jeden Mustersatz einen entsprechenden Richtlinienausdruck.

    Wählen Sie beim Konfigurieren des Ausdrucks im Ausdruckseditor AAA > LOGIN > CLIENT_MAC_ADDR > EQUAL_ANY (Zeichenfolge) > Mustersatzaus.

    Einzelheiten zum Konfigurieren eines erweiterten Ausdrucks finden Sie unter Konfigurieren erweiterter Richtlinienausdrücke in einer Richtlinie.

  3. Erstellen Sie einen EPA-Scan für den Ausdruck, der in den vorherigen Schritten konfiguriert wurde. Einzelheiten finden Sie unter Erweiterte Endpoint Analysis-Scans.

Konfigurieren Sie den EPA-Scan für MAC-Adressen über die CLI

  1. Speichern Sie die MAC-Adressen innerhalb von Mustersätzen.

    Geben Sie an der Eingabeaufforderung;

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … and so on up to 3K entries. add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … and so on up to 3K entries. ```

  2. Erstellen Sie mit AAA.LOGIN.CLIENT_MAC_ADDR.equals_any() einen entsprechenden Richtlinienausdruck für jeden Mustersatz

    Geben Sie an der Eingabeaufforderung;

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    Beispiel:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. Erstellen von EPA-Scans über konfigurierten Richtlinienausdrücke

    Geben Sie an der Eingabeaufforderung;

    add authentication epaAction <name>  -csecexpr <expression>
    

    Beispiel:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    

    Konfigurieren Sie eine Vorauthentifizierungsrichtlinie,

    add authentication Policy epapol -rule true -action epa
    

    Binden Sie die Vorauthentifizierungsrichtlinie,

    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

Wichtige Hinweise

  • Das Konfigurieren eines EPA-Scans für eine zulässige Liste von MAC-Adressen gilt nur für die nFactor-Authentifizierungsabläufe.
  • Es wird empfohlen, nicht mehr als 3000 Einträge in einem Mustersatz zu speichern.
  • Die MAC-Adressen müssen im Format 1A-2B-3C-4D-5E-6F konfiguriert sein.
  • Das Format für den EPA-Scan ist mac-addr_0_<policy-expression-name>. In diesem Format ist mac-addr_0_ ein statischer Wert und Sie müssen den Richtlinienausdrucksnamen nach mac-addr_0_ eingeben.
  • Die EPA-Scans können mithilfe der Symbole entsprechend getrennt werden ( ||, &&).
  • Um viele MAC-Adressen zu einem Mustersatz hinzuzufügen, können Sie den dateibasierten Mustersatzimport verwenden. Es wird empfohlen, für eine optimale Leistung maximal 3000 Einträge/Mustersatz zu speichern.
  • Wenn MAC-Adressen in einer Datei vorhanden sind, können Sie einen Mustersatz erstellen, indem Sie dateibasierte Mustersätze importieren und während des Imports das entsprechende Trennzeichen angeben.

Referenzen

EPA-Scan für MAC-Adressen