Bereitstellen von NetScaler® Web App Firewall in Azure

Die NetScaler Web App Firewall ist eine Unternehmenslösung, die modernste Schutzfunktionen für moderne Anwendungen bietet. Sie mindert Bedrohungen für öffentlich zugängliche Assets, einschließlich Websites, Webanwendungen und APIs. Sie umfasst IP-Reputations-basiertes Filtern, Bot-Minderung, Schutz vor OWASP Top 10 Anwendungsbedrohungen, Layer-7-DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Erzwingung von Authentifizierung, starken SSL/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Rewrite-Richtlinien. Durch die Verwendung sowohl grundlegender als auch erweiterter WAF-Schutzfunktionen bietet die NetScaler Web App Firewall umfassenden Schutz für Ihre Anwendungen mit unübertroffener Benutzerfreundlichkeit. Die Inbetriebnahme ist eine Sache von Minuten. Darüber hinaus spart sie den Benutzern durch die Verwendung eines automatisierten Lernmodells, genannt dynamisches Profiling, wertvolle Zeit. Indem sie automatisch lernt, wie eine geschützte Anwendung funktioniert, passt sie sich der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Die NetScaler Web App Firewall hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Gremien, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit der automatischen Skalierung können Benutzer sicher sein, dass ihre Anwendungen geschützt bleiben, selbst wenn ihr Datenverkehr zunimmt.

NetScaler Web App Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, normalerweise hinter dem Router oder der Firewall des Kundenunternehmens. Weitere Informationen finden Sie unter Einführung in NetScaler Web App Firewall.

Bereitstellungsstrategie für NetScaler Web App Firewall

1. Bei der Bereitstellung der Web Application Firewall geht es darum zu bewerten, welche Anwendungen oder spezifischen Daten den maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und welche Sicherheitsprüfung sicher umgangen werden kann. Dies hilft Benutzern, eine optimale Konfiguration zu finden und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Benutzer könnten beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu umgehen, und eine andere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um verschiedene Inhalte derselben Anwendung zu schützen.

2. Um die Bereitstellung zu baselinen, erstellen Sie einen virtuellen Server und leiten Sie Testdatenverkehr darüber, um eine Vorstellung von der Rate und Menge des Datenverkehrs zu erhalten, der durch das Benutzersystem fließt.

3. Stellen Sie die Web Application Firewall bereit. Verwenden Sie NetScaler ADM und das Web Application Firewall StyleBook, um die Web Application Firewall zu konfigurieren. Details finden Sie im Abschnitt StyleBook weiter unten in diesem Handbuch.

4. Implementieren Sie die NetScaler Web App Firewall und OWASP Top Ten.

Drei der Schutzfunktionen der Web Application Firewall sind besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger eingesetzt als alle anderen. Daher sollten sie bei der Erstbereitstellung implementiert werden. Dies sind:

• HTML-Cross-Site-Scripting: Untersucht Anfragen und Antworten auf Skripte, die versuchen, Inhalte auf einer anderen Website als der, auf der sich das Skript befindet, zuzugreifen oder zu ändern. Wenn diese Prüfung ein solches Skript findet, macht sie das Skript entweder harmlos, bevor die Anfrage oder Antwort an ihr Ziel weitergeleitet wird, oder sie blockiert die Verbindung.

• HTML-SQL-Injection: Untersucht Anfragen, die Formularfelddaten enthalten, auf Versuche, SQL-Befehle in eine SQL-Datenbank einzuschleusen. Wenn diese Prüfung eingeschleusten SQL-Code erkennt, blockiert sie entweder die Anfrage oder macht den eingeschleusten SQL-Code harmlos, bevor die Anfrage an den Webserver weitergeleitet wird.

  Hinweis:

  Stellen Sie sicher, dass Ihre Web App Firewall für die folgenden Bedingungen in Ihrer Konfiguration korrekt konfiguriert ist:

   >-  If users enable the HTML Cross-Site Scripting check or the HTML SQL Injection check (or both).
   >
   >-  User protected websites accept file uploads or contain Web forms that can contain large POST body data.
  

Weitere Informationen zum Konfigurieren der Web Application Firewall zur Behandlung dieses Falls finden Sie unter Konfigurieren der Application Firewall: Konfigurieren der Web App Firewall.

• Pufferüberlauf: Untersucht Anfragen, um Versuche zu erkennen, einen Pufferüberlauf auf dem Webserver zu verursachen.

Konfigurieren der Web Application Firewall

Stellen Sie sicher, dass die NetScaler Web App Firewall bereits aktiviert ist und ordnungsgemäß funktioniert. Wir empfehlen Ihnen, die NetScaler Web App Firewall mithilfe des Web Application Firewall StyleBook zu konfigurieren. Die meisten Benutzer empfinden dies als die einfachste Methode zur Konfiguration der Web Application Firewall, und sie wurde entwickelt, um Fehler zu vermeiden. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, hauptsächlich um eine bestehende Konfiguration zu ändern oder erweiterte Optionen zu nutzen.

SQL-Injection

Die NetScaler Web App Firewall HTML SQL Injection-Prüfung bietet spezielle Schutzmaßnahmen gegen die Einschleusung von nicht autorisiertem SQL-Code, der die Sicherheit der Benutzeranwendung beeinträchtigen könnte. Die NetScaler Web App Firewall untersucht die Anforderungsnutzlast auf eingeschleusten SQL-Code an drei Stellen: 1) POST-Body, 2) Header und 3) Cookies. Weitere Informationen finden Sie unter HTML SQL-Injection-Prüfung.

Cross-Site-Scripting

Die HTML Cross-Site Scripting (Cross-Site-Scripting)-Prüfung untersucht sowohl die Header als auch die POST-Bodies von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe. Wenn ein Cross-Site-Skript gefunden wird, ändert (transformiert) sie entweder die Anfrage, um den Angriff harmlos zu machen, oder blockiert die Anfrage. Weitere Informationen finden Sie unter HTML Cross-Site-Scripting-Prüfung.

Pufferüberlaufprüfung

Die Pufferüberlaufprüfung erkennt Versuche, einen Pufferüberlauf auf dem Webserver zu verursachen. Wenn die Web Application Firewall feststellt, dass die URL, Cookies oder der Header länger als die konfigurierte Länge sind, blockiert sie die Anfrage, da dies einen Pufferüberlauf verursachen kann. Weitere Informationen finden Sie unter Pufferüberlaufprüfung.

Virtuelles Patching/Signaturen

Die Signaturen bieten spezifische, konfigurierbare Regeln, um die Aufgabe des Schutzes von Benutzer-Websites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Eine umfangreiche Sammlung vorkonfigurierter integrierter oder nativer Regeln bietet eine benutzerfreundliche Sicherheitslösung, die die Leistungsfähigkeit des Musterabgleichs nutzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen. Weitere Informationen finden Sie unter Signaturen.

NetScaler Web App Firewall unterstützt sowohl die automatische als auch die manuelle Aktualisierung von Signaturen. Wir empfehlen außerdem, die automatische Aktualisierung für Signaturen zu aktivieren, um auf dem neuesten Stand zu bleiben.

Diese Signaturdateien werden in der AWS-Umgebung gehostet, und es ist wichtig, den ausgehenden Zugriff auf die IP-Adressen von NetScaler von Netzwerk-Firewalls aus zu ermöglichen, um die neuesten Signaturdateien abzurufen. Die Aktualisierung von Signaturen auf dem NetScaler hat keine Auswirkungen auf die Verarbeitung des Echtzeit-Datenverkehrs.

Anwendungssicherheitsanalyse

Das Application Security Dashboard bietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Es zeigt beispielsweise wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes an. Das Anwendungssicherheits-Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Angriffe, Small-Window-Angriffe und DNS-Flood-Angriffe für den erkannten NetScaler an.

Hinweis:

Um die Metriken des Anwendungssicherheits-Dashboards anzuzeigen, muss AppFlow für Security Insight auf den NetScaler-Instanzen aktiviert sein, die Benutzer überwachen möchten.

So zeigen Sie die Sicherheitsmetriken einer NetScaler-Instanz im Anwendungssicherheits-Dashboard an:

1. Melden Sie sich mit den Administratoranmeldeinformationen bei NetScaler ADM an.

2. Navigieren Sie zu Applications > App Security Dashboard und wählen Sie die IP-Adresse der Instanz aus der Liste Devices aus.

Benutzer können die im Application Security Investigator gemeldeten Diskrepanzen weiter untersuchen, indem sie auf die im Diagramm dargestellten Blasen klicken.

Zentralisiertes Lernen auf ADM

NetScaler Web App Firewall schützt Webanwendungen von Benutzern vor böswilligen Angriffen wie SQL-Injection und Cross-Site-Scripting (XSS). Um Datenlecks zu verhindern und den richtigen Sicherheitsschutz zu bieten, müssen Benutzer ihren Datenverkehr auf Bedrohungen und Echtzeit-Aktionsdaten zu Angriffen überwachen. Manchmal können die gemeldeten Angriffe Fehlalarme sein, die als Ausnahme behandelt werden müssen.

Das zentralisierte Lernen auf NetScaler ADM ist ein sich wiederholender Musterfilter, der es WAF ermöglicht, das Verhalten (die normalen Aktivitäten) der Webanwendungen von Benutzern zu lernen. Basierend auf der Überwachung generiert die Engine eine Liste vorgeschlagener Regeln oder Ausnahmen für jede Sicherheitsprüfung, die auf den HTTP-Verkehr angewendet wird.

Es ist viel einfacher, Lockerungsregeln mit der Lern-Engine bereitzustellen, als sie manuell als notwendige Lockerungen bereitzustellen.

Um die Lernfunktion bereitzustellen, müssen Benutzer zunächst ein Web Application Firewall-Profil (eine Reihe von Sicherheitseinstellungen) auf dem NetScaler des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erstellen von Web App Firewall-Profilen.

NetScaler ADM generiert eine Liste von Ausnahmen (Lockerungen) für jede Sicherheitsprüfung. Als Administrator können Sie die Liste der Ausnahmen in NetScaler ADM überprüfen und entscheiden, ob Sie sie bereitstellen oder überspringen möchten.

Mit der WAF-Lernfunktion in NetScaler ADM können Sie:

• Ein Lernprofil mit den folgenden Sicherheitsprüfungen konfigurieren.

  • Pufferüberlauf

  • HTML-Cross-Site-Scripting

    Hinweis:

    Die Cross-Site-Script-Einschränkung des Speicherorts ist nur FormField.

  • HTML-SQL-Injection

    Hinweis:

    Für die HTML-SQL-Injection-Prüfung müssen Benutzer set -sqlinjectionTransformSpecialChars ON und set -sqlinjectiontype sqlspclcharorkeywords im NetScaler konfigurieren.

• Überprüfen Sie die Entspannungsregeln in NetScaler ADM und entscheiden Sie, die notwendigen Maßnahmen zu ergreifen (Bereitstellen oder Überspringen).

• Erhalten Sie Benachrichtigungen per E-Mail, Slack und ServiceNow.

• Verwenden Sie das Dashboard, um Details zur Entspannung anzuzeigen.

So verwenden Sie das WAF-Lernen in NetScaler ADM:

1. Lernprofil konfigurieren: Lernprofil konfigurieren

2. Entspannungsregeln anzeigen: Entspannungsregeln und Leerlaufregeln anzeigen

3. WAF-Lern-Dashboard verwenden: WAF-Lern-Dashboard anzeigen

StyleBooks

StyleBooks vereinfachen die Verwaltung komplexer NetScaler-Konfigurationen für Benutzeranwendungen. Ein StyleBook ist eine Vorlage, die Benutzer verwenden können, um NetScaler-Konfigurationen zu erstellen und zu verwalten. Hier geht es den Benutzern hauptsächlich um das StyleBook, das zur Bereitstellung der Web Application Firewall verwendet wird. Weitere Informationen zu StyleBooks finden Sie unter StyleBooks.

Security Insight-Analysen

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Benutzer Einblick in die Art und das Ausmaß vergangener, gegenwärtiger und bevorstehender Bedrohungen, umsetzbare Echtzeitdaten zu Angriffen und Empfehlungen für Gegenmaßnahmen. Security Insight bietet eine Single-Pane-Lösung, die Benutzern hilft, den Sicherheitsstatus von Benutzeranwendungen zu bewerten und Korrekturmaßnahmen zur Sicherung von Benutzeranwendungen zu ergreifen. Weitere Informationen finden Sie unter Security Insight.

Detaillierte Informationen zu Sicherheitsverletzungen abrufen

Benutzer möchten möglicherweise eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in Art und Schwere der Angriffe, von der ADC-Instanz ergriffene Maßnahmen, angeforderte Ressourcen und die Quelle der Angriffe erhalten.

Benutzer möchten beispielsweise ermitteln, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen die Quellen hatten.

Klicken Sie im Security Insight-Dashboard auf Lync > Total Violations. Klicken Sie in der Tabelle auf das Filtersymbol in der Spaltenüberschrift Action Taken, und wählen Sie dann Blocked aus.

Informationen zu den angeforderten Ressourcen finden Sie in der Spalte URL. Informationen zu den Quellen der Angriffe finden Sie in der Spalte Client IP.

Details der Protokollausdrücke anzeigen

NetScaler verwendet Protokollausdrücke, die mit dem Application Firewall-Profil konfiguriert sind, um Maßnahmen gegen Angriffe auf eine Anwendung im Benutzerunternehmen zu ergreifen. In Security Insight können Benutzer die für die von der ADC-Instanz verwendeten Protokollausdrücke zurückgegebenen Werte anzeigen. Diese Werte umfassen Anforderungsheader, Anforderungstext und so weiter. Zusätzlich zu den Werten der Protokollausdrücke können Benutzer auch den Namen des Protokollausdrucks und den Kommentar für den im Application Firewall-Profil definierten Protokollausdruck anzeigen, den die ADC-Instanz zur Durchführung von Maßnahmen gegen den Angriff verwendet hat.

Voraussetzungen:

Stellen Sie sicher, dass Benutzer:

• Konfigurieren Sie Protokollausdrücke im Application Firewall-Profil. Weitere Informationen finden Sie unter Application Firewall.

• Aktivieren Sie die auf Protokollausdrücken basierenden Security Insights-Einstellungen in NetScaler ADM. Gehen Sie wie folgt vor:

  • Navigieren Sie zu Analytics > Settings, und klicken Sie auf Enable Features for Analytics.

  • Wählen Sie auf der Seite „Features für Analytics aktivieren“ unter dem Abschnitt Log Expression Based Security Insight Setting die Option Security Insight aktivieren aus und klicken Sie auf OK.

Sie möchten beispielsweise die Werte des Protokollausdrucks anzeigen, die von der ADC-Instanz für die Aktion zurückgegeben werden, die sie bei einem Angriff auf Microsoft Lync im Benutzerunternehmen ausgeführt hat.

Navigieren Sie auf dem Security Insight-Dashboard zu Lync > Total Violations. Klicken Sie in der Tabelle „Anwendungszusammenfassung“ auf die URL, um die vollständigen Details der Verletzung auf der Seite Violation Information anzuzeigen, einschließlich des Namens des Protokollausdrucks, des Kommentars und der von der ADC-Instanz für die Aktion zurückgegebenen Werte.

Bestimmen Sie den Sicherheitsindex, bevor Sie die Konfiguration bereitstellen. Sicherheitsverletzungen treten auf, nachdem Benutzer die Sicherheitskonfiguration auf einer ADC-Instanz bereitgestellt haben, aber Benutzer möchten möglicherweise die Wirksamkeit der Sicherheitskonfiguration bewerten, bevor sie diese bereitstellen.

Benutzer möchten beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der ADC-Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie auf dem Security Insight-Dashboard unter Devices auf die IP-Adresse der ADC-Instanz, die Benutzer konfiguriert haben. Benutzer können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Der Bedrohungsindex ist ein direktes Abbild der Anzahl und Art der Angriffe auf die Anwendung. Null Angriffe bedeuten, dass die Anwendung keiner Bedrohung ausgesetzt ist.

Klicken Sie auf Sap > Safety Index > SAP_Profile und bewerten Sie die angezeigten Sicherheitsindexinformationen.

In der Zusammenfassung der Anwendungs-Firewall können Benutzer den Konfigurationsstatus verschiedener Schutzeinstellungen anzeigen. Wenn eine Einstellung auf Protokollierung gesetzt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

Sicherheitsverletzungen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. NetScaler ADM ermöglicht es Ihnen, umsetzbare Verletzungsdetails zu visualisieren, um Anwendungen vor Angriffen zu schützen.

Details zu Anwendungs-Sicherheitsverletzungen anzeigen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. NetScaler ADM ermöglicht Benutzern, umsetzbare Verletzungsdetails zu visualisieren, um Anwendungen vor Angriffen zu schützen. Navigieren Sie zu Security > Security Violations für eine Single-Pane-Lösung, um:

• Auf die Anwendungs-Sicherheitsverletzungen basierend auf ihren Kategorien zuzugreifen, wie z. B. Network, Bot und WAF

• Korrekturmaßnahmen zu ergreifen, um die Anwendungen zu sichern

Um die Sicherheitsverletzungen in NetScaler ADM anzuzeigen, stellen Sie sicher:

• Benutzer haben eine Premium-Lizenz für den NetScaler (für WAF- und BOT-Verletzungen).

• Benutzer haben eine Lizenz auf den virtuellen Servern für Lastenausgleich oder Inhaltsumschaltung angewendet (für WAF und BOT). Weitere Informationen finden Sie unter Lizenzierung auf virtuellen Servern verwalten.

• Benutzer können weitere Einstellungen aktivieren. Weitere Informationen finden Sie in der Prozedur im Abschnitt „Einrichtung“ in der NetScaler-Produktdokumentation: Einrichtung.

Verletzungskategorien

NetScaler ADM ermöglicht Benutzern, die in Alle Verletzungen verfügbaren Verletzungen anzuzeigen:

Einrichtung

Stellen Sie bei Verletzungen sicher, dass Metrics Collector aktiviert ist. Standardmäßig ist Metrics Collector auf dem NetScaler aktiviert. Weitere Informationen finden Sie unter Intelligente App-Analysen konfigurieren.

Erweiterte Sicherheitsanalysen aktivieren

• Navigieren Sie zu Networks > Instances > NetScaler, und wählen Sie den Instanztyp aus. Zum Beispiel MPX.

• Wählen Sie die NetScaler-Instanz aus und wählen Sie aus der Liste Select Action die Option Configure Analytics.

• Wählen Sie den virtuellen Server aus und klicken Sie auf Analytics aktivieren.

• Im Fenster Analytics aktivieren:

  • Wählen Sie Web Insight aus. Nachdem Benutzer Web Insight ausgewählt haben, wird die schreibgeschützte Option Advanced Security Analytics automatisch aktiviert.

  Hinweis:

  Die Option Advanced Security Analytics wird nur für ADC-Instanzen mit Premium-Lizenz angezeigt.

  • Wählen Sie Logstream als Transportmodus

  • Der Ausdruck ist standardmäßig wahr

  • Klicken Sie auf OK

Webtransaktionseinstellungen aktivieren

• Navigieren Sie zu Analytics > Einstellungen.

Die Seite Einstellungen wird angezeigt.

• Klicken Sie auf Funktionen für Analytics aktivieren.

• Wählen Sie unter Webtransaktionseinstellungen die Option Alle aus.

• Klicken Sie auf Ok.

Dashboard für Sicherheitsverletzungen

Im Dashboard für Sicherheitsverletzungen können Benutzer Folgendes anzeigen:

• Gesamtzahl der auf allen NetScaler und Anwendungen aufgetretenen Verletzungen. Die Gesamtzahl der Verletzungen wird basierend auf der ausgewählten Zeitdauer angezeigt.

• Gesamtzahl der Verletzungen unter jeder Kategorie.

• Gesamtzahl der betroffenen ADCs, Gesamtzahl der betroffenen Anwendungen und die häufigsten Verletzungen basierend auf der Gesamtzahl der Vorkommen und den betroffenen Anwendungen.

Weitere Informationen zu den Verletzungsdetails finden Sie unter Alle Verletzungen.

Bot-Einblicke

Konfigurieren Sie BOT-Einblicke in NetScaler. Weitere Informationen finden Sie unter Bot.

Bots anzeigen

Klicken Sie auf den virtuellen Server, um die Anwendungsübersicht anzuzeigen

1. Bietet die Details der Anwendungszusammenfassung, wie zum Beispiel:

   • Durchschnittliche RPS – Zeigt die durchschnittlichen Bot-Transaktionsanfragen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

   • Bots nach Schweregrad – Zeigt an, dass die höchsten Bot-Transaktionen basierend auf dem Schweregrad aufgetreten sind. Der Schweregrad wird nach Kritisch, Hoch, Mittel und Niedrig kategorisiert.

   Wenn die virtuellen Server beispielsweise 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad aufweisen, zeigt NetScaler ADM unter Bots nach Schweregrad den Wert Kritisch 1,55 K an.

   • Größte Bot-Kategorie – Zeigt an, dass die höchsten Bot-Angriffe basierend auf der Bot-Kategorie aufgetreten sind.

   Wenn die virtuellen Server beispielsweise 8000 blockierte Bots, 5000 zugelassene Bots und 10000 Bots mit überschrittener Ratenbegrenzung aufweisen, zeigt NetScaler ADM unter Größte Bot-Kategorie den Wert Ratenbegrenzung überschritten 10 K an.

   • Größte Geo-Quelle – Zeigt an, dass die höchsten Bot-Angriffe basierend auf einer Region aufgetreten sind.

   Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore aufweisen, zeigt NetScaler ADM unter Größte Geo-Quelle den Wert Bangalore 9 K an.

   • Durchschnittlicher % Bot-Traffic – Zeigt das Verhältnis von menschlichem zu Bot-Traffic an.

2. Zeigt den Schweregrad der Bot-Angriffe basierend auf Standorten in der Kartenansicht an

3. Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und alle)

4. Zeigt die gesamten Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

   • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als blockierte Bots und „Verwerfen“ als Aktion für diese IP-Adressbereiche ausgewählt

   • IP-Bereich (192.140.15.4 bis 192.140.15.254) als blockierte Bots und die Erstellung einer Protokollnachricht als Aktion für diese IP-Bereiche ausgewählt

     In diesem Szenario zeigt NetScaler ADM Folgendes an:

     • Gesamtanzahl der blockierten Bots

     • Gesamtanzahl der Bots unter Verworfen

     • Gesamtanzahl der Bots unter Protokoll

CAPTCHA-Bots anzeigen

Auf Webseiten sind CAPTCHAs dazu konzipiert, zu identifizieren, ob der eingehende Traffic von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in NetScaler ADM anzuzeigen, müssen Benutzer CAPTCHA als Bot-Aktion für IP-Reputation und Geräte-Fingerprinting-Erkennungstechniken in einer NetScaler ADM-Instanz konfigurieren. Weitere Informationen finden Sie unter: Bot-Management konfigurieren.

Im Folgenden sind die CAPTCHA-Aktivitäten aufgeführt, die NetScaler ADM in Bot Insight anzeigt:

• CAPTCHA-Versuche überschritten – Bezeichnet die maximale Anzahl von CAPTCHA-Versuchen, die nach Anmeldefehlern unternommen wurden

• CAPTCHA-Client stummgeschaltet – Bezeichnet die Anzahl der Client-Anfragen, die verworfen oder umgeleitet werden, weil diese Anfragen zuvor mit der CAPTCHA-Herausforderung als schlechte Bots erkannt wurden

• Mensch – Bezeichnet die CAPTCHA-Eingaben, die von menschlichen Benutzern vorgenommen wurden

• Ungültige CAPTCHA-Antwort – Bezeichnet die Anzahl der falschen CAPTCHA-Antworten, die vom Bot oder Menschen empfangen wurden, wenn NetScaler eine CAPTCHA-Herausforderung sendet

Bot-Fallen anzeigen

Um Bot-Fallen in NetScaler ADM anzuzeigen, müssen Sie die Bot-Falle in NetScaler konfigurieren. Weitere Informationen finden Sie unter: Bot-Management konfigurieren.

Um die Bot-Falle zu identifizieren, wird ein Skript auf der Webseite aktiviert, das vor Menschen verborgen ist, aber nicht vor Bots. NetScaler ADM identifiziert und meldet die Bot-Fallen, wenn dieses Skript von den Bots aufgerufen wird.

Klicken Sie auf den virtuellen Server und wählen Sie Zero Pixel Request

Bot-Details anzeigen

Für weitere Details klicken Sie auf den Bot-Angriffstyp unter Bot Category.

Die Details wie Angriffszeit und Gesamtzahl der Bot-Angriffe für die ausgewählte Captcha-Kategorie werden angezeigt.

Benutzer können auch das Balkendiagramm ziehen, um den spezifischen Zeitraum auszuwählen, der mit Bot-Angriffen angezeigt werden soll.

Um zusätzliche Informationen zum Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

• Instance IP – Gibt die IP-Adresse der NetScaler-Instanz an.

• Total Bots – Gibt an, dass die gesamten Bot-Angriffe zu diesem bestimmten Zeitpunkt aufgetreten sind.

• HTTP Request URL – Gibt die URL an, die für die Captcha-Berichterstattung konfiguriert ist.

• Country Code – Gibt das Land an, in dem der Bot-Angriff stattgefunden hat.

• Region – Gibt die Region an, in der der Bot-Angriff stattgefunden hat.

• Profilname – Gibt den Profilnamen an, den Benutzer während der Konfiguration eingegeben haben.

Erweiterte Suche

Benutzer können auch das Suchtextfeld und die Liste der Zeitdauern verwenden, um Bot-Details gemäß ihren Anforderungen anzuzeigen. Wenn Benutzer auf das Suchfeld klicken, bietet das Suchfeld die folgende Liste von Suchvorschlägen.

• Instanz-IP – IP-Adresse der NetScaler-Instanz.

• Client-IP – Client-IP-Adresse.

• Bot-Typ – Bot-Typ, z. B. Gut oder Schlecht.

• Schweregrad – Schweregrad des Bot-Angriffs.

• Durchgeführte Aktion – Nach dem Bot-Angriff durchgeführte Aktion, z. B. Verwerfen, Keine Aktion, Umleiten.

• Bot-Kategorie – Kategorie des Bot-Angriffs, z. B. Blockierliste, Zulassungsliste, Fingerabdruck. Basierend auf einer Kategorie können Benutzer eine Bot-Aktion damit verknüpfen.

• Bot-Erkennung – Bot-Erkennungstypen (Blockierliste, Zulassungsliste usw.), die Benutzer auf NetScaler konfiguriert haben.

• Standort – Region/Land, in dem der Bot-Angriff stattgefunden hat

• Anforderungs-URL – URL, die mögliche Bot-Angriffe aufweist

Benutzer können auch Operatoren in den Suchanfragen verwenden, um den Fokus der Benutzersuche einzugrenzen. Wenn Benutzer beispielsweise alle schlechten Bots anzeigen möchten:

• Klicken Sie auf das Suchfeld und wählen Sie Bot-Typ aus.

• Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator = aus.

• Klicken Sie erneut auf das Suchfeld und wählen Sie Bad

• Klicken Sie auf Search, um die Ergebnisse anzuzeigen

Ungewöhnlich hohe Anfragerate

Benutzer können den eingehenden und ausgehenden Datenverkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anfragerate verursachen. Wenn Benutzer beispielsweise eine Anwendung so konfigurieren, dass sie 100 Anfragen/Minute zulässt, und sie 350 Anfragen beobachten, könnte dies ein Bot-Angriff sein.

Mithilfe des Indikators Ungewöhnlich hohe Anfragerate können Benutzer die ungewöhnliche Anfragerate analysieren, die bei der Anwendung eingeht.

Unter Ereignisdetails können Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Die Uhrzeit des Verstoßes

• Die Erkennungsmeldung für den Verstoß, die die insgesamt empfangenen Anfragen und den Prozentsatz der übermäßigen Anfragen im Vergleich zu den erwarteten Anfragen angibt

• Der akzeptierte Bereich der erwarteten Anfrageraten der Anwendung

Bot-Erkennung

Das NetScaler Bot-Managementsystem verwendet verschiedene Techniken, um den eingehenden Bot-Verkehr zu erkennen. Die Techniken werden als Erkennungsregeln verwendet, um den Bot-Typ zu erkennen.

Konfigurieren der Bot-Verwaltung mithilfe der -GUI

Benutzer können die NetScaler Bot-Verwaltung konfigurieren, indem sie die Funktion zuerst auf dem Gerät aktivieren. Weitere Informationen finden Sie unter Bot-Erkennung.

IP-Reputation

Die IP-Reputation ist ein Tool, das IP-Adressen identifiziert, die unerwünschte Anfragen senden. Mithilfe der IP-Reputationsliste können Sie Anfragen ablehnen, die von einer IP-Adresse mit schlechter Reputation stammen.

Konfigurieren der IP-Reputation mithilfe der -GUI

Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Weitere Informationen finden Sie unter IP-Reputation.

Automatische Aktualisierung für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Nachschlagetabelle mit einer Liste guter und schlechter Bots. Weitere Informationen finden Sie unter Automatische Signaturaktualisierung.

NetScaler Web App Firewall und OWASP Top Ten – 2021

Das Open Web Application Security Project (OWASP) veröffentlichte die OWASP Top 10 für 2021 für die Sicherheit von Webanwendungen. Diese Liste dokumentiert die häufigsten Schwachstellen von Webanwendungen und ist ein hervorragender Ausgangspunkt zur Bewertung der Websicherheit. Dieser Abschnitt erläutert, wie die NetScaler Web App Firewall konfiguriert wird, um diese Schwachstellen zu mindern. WAF ist als integriertes Modul im NetScaler (Premium Edition) und in einer vollständigen Palette von Appliances verfügbar.

Das vollständige OWASP Top 10 Dokument ist unter OWASP Top Ten verfügbar.

A1:2021 Fehlerhafte Zugriffskontrolle

Einschränkungen dessen, was authentifizierte Benutzer tun dürfen, werden oft nicht richtig durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um auf unbefugte Funktionen und Daten zuzugreifen, z. B. auf Konten anderer Benutzer zuzugreifen, vertrauliche Dateien anzuzeigen, Daten anderer Benutzer zu ändern oder Zugriffsrechte zu ändern.

NetScaler Web App Firewall-Schutzfunktionen

• Die AAA-Funktion, die Authentifizierung, Autorisierung und Auditierung für den gesamten Anwendungsdatenverkehr unterstützt, ermöglicht es einem Site-Administrator, die Zugriffskontrollen mit der ADC-Appliance zu verwalten.

• Die Sicherheitsfunktion „Autorisierung“ innerhalb des AAA-Moduls der ADC-Appliance ermöglicht es der Appliance zu überprüfen, auf welche Inhalte eines geschützten Servers jeder Benutzer zugreifen darf.

• Formularfeldkonsistenz: Wenn Objektreferenzen als ausgeblendete Felder in Formularen gespeichert werden, können Sie mithilfe der Formularfeldkonsistenz überprüfen, ob diese Felder bei nachfolgenden Anfragen nicht manipuliert wurden.

• Cookie-Proxying und Cookie-Konsistenz: Objektreferenzen, die in Cookie-Werten gespeichert sind, können mit diesen Schutzmaßnahmen validiert werden.

• Start-URL-Prüfung mit URL-Abschluss: Ermöglicht Benutzern den Zugriff auf eine vordefinierte Positivliste von URLs. Der URL-Abschluss erstellt eine Liste aller URLs, die während der Benutzersitzung in gültigen Antworten gesehen wurden, und erlaubt automatisch den Zugriff darauf während dieser Sitzung.

A2:2021 – Kryptografische Fehler

Viele Webanwendungen und APIs schützen sensible Daten wie Finanz-, Gesundheits- und PII-Daten nicht ordnungsgemäß. Angreifer können solche schlecht geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen zu begehen. Sensible Daten können ohne zusätzlichen Schutz, wie Verschlüsselung im Ruhezustand oder während der Übertragung, kompromittiert werden und erfordern besondere Vorsichtsmaßnahmen beim Austausch mit dem Browser.

NetScaler Web App Firewall-Schutzfunktionen

• Die Web Application Firewall schützt Anwendungen vor dem Verlust sensibler Daten wie Kreditkartendaten.

• Sensible Daten können als sichere Objekte im Safe Commerce-Schutz konfiguriert werden, um eine Offenlegung zu vermeiden.

• Alle sensiblen Daten in Cookies können durch Cookie-Proxying und Cookie-Verschlüsselung geschützt werden.

A3:2021 – Injection

Injection-Schwachstellen, wie SQL-, NoSQL-, OS- und LDAP-Injection, treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die feindseligen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder ohne entsprechende Autorisierung auf Daten zuzugreifen.

XSS-Schwachstellen treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Maskierung in eine neue Webseite einfügt oder eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über eine Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten können.

NetScaler Web App Firewall-Schutzfunktionen

• Die Funktion zur Verhinderung von SQL-Injection schützt vor gängigen Injection-Angriffen. Benutzerdefinierte Injection-Muster können hochgeladen werden, um vor jeder Art von Injection-Angriff zu schützen, einschließlich XPath und LDAP. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• Die Funktion zur automatischen Signaturaktualisierung hält die Injection-Signaturen auf dem neuesten Stand.

• Die Funktion zum Schutz des Feldformats ermöglicht es dem Administrator, jeden Benutzerparameter auf einen regulären Ausdruck zu beschränken. Sie können beispielsweise erzwingen, dass ein Postleitzahlenfeld nur ganze Zahlen oder sogar 5-stellige ganze Zahlen enthält.

• Die Formularfeldkonsistenz validiert jedes übermittelte Benutzerformular anhand der Formularsignatur der Benutzersitzung, um die Gültigkeit aller Formularelemente sicherzustellen.

• Pufferüberlaufprüfungen stellen sicher, dass URL, Header und Cookies innerhalb der richtigen Grenzen liegen, und blockieren alle Versuche, große Skripte oder Code einzuschleusen.

• Der XSS-Schutz schützt vor gängigen XSS-Angriffen. Benutzerdefinierte XSS-Muster können hochgeladen werden, um die Standardliste der erlaubten Tags und Attribute zu ändern. Die ADC WAF verwendet eine Whitelist von erlaubten HTML-Attributen und -Tags, um XSS-Angriffe zu erkennen. Dies gilt sowohl für HTML- als auch für XML-Payloads.

• Die ADC WAF blockiert alle Angriffe, die im OWASP XSS Filter Evaluation Cheat Sheet aufgeführt sind.

• Die Feldformatprüfung verhindert, dass ein Angreifer unangemessene Webformulardaten sendet, was ein potenzieller XSS-Angriff sein kann.

• Formularfeldkonsistenz.

A5:2021 – Sicherheitsfehlkonfiguration

Sicherheitsfehlkonfiguration ist das am häufigsten auftretende Problem. Dies ist häufig das Ergebnis unsicherer Standardkonfigurationen, unvollständiger oder improvisierter Konfigurationen, offener Cloud-Speicher, falsch konfigurierter HTTP-Header und ausführlicher Fehlermeldungen, die sensible Informationen enthalten. Nicht nur alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen müssen sicher konfiguriert sein, sondern sie müssen auch zeitnah gepatcht und aktualisiert werden.

Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsreferenzen innerhalb von XML-Dokumenten aus. Externe Entitäten können verwendet werden, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, internes Port-Scanning, Remote-Code-Ausführung und Denial-of-Service-Angriffe offenzulegen.

NetScaler Web App Firewall-Schutzfunktionen

• Der vom Application Firewall generierte PCI-DSS-Bericht dokumentiert die Sicherheitseinstellungen auf dem Firewall-Gerät.

• Berichte von den Scan-Tools werden in ADC WAF-Signaturen umgewandelt, um Sicherheitsfehlkonfigurationen zu beheben.

• NetScaler Web App Firewall Web Application Firewall unterstützt Cenzic, IBM AppScan (Enterprise und Standard), Qualys, TrendMicro, WhiteHat und benutzerdefinierte Schwachstellenscan-Berichte.

• Zusätzlich zur Erkennung und Blockierung gängiger Anwendungsbedrohungen, die für Angriffe auf XML-basierte Anwendungen angepasst werden können (d. h. Cross-Site-Scripting, Befehlsinjektion usw.).

• NetScaler Web App Firewall Web Application Firewall umfasst eine Vielzahl von XML-spezifischen Sicherheitsschutzmaßnahmen. Dazu gehören die Schema-Validierung zur gründlichen Überprüfung von SOAP-Nachrichten und XML-Nutzdaten sowie eine leistungsstarke XML-Anhangsprüfung, um Anhänge mit bösartigen ausführbaren Dateien oder Viren zu blockieren.

• Automatische Verkehrsinspektionsmethoden blockieren XPath-Injektionsangriffe auf URLs und Formulare, die darauf abzielen, Zugriff zu erlangen.

• NetScaler Web App Firewall Web Application Firewall vereitelt auch verschiedene DoS-Angriffe, einschließlich externer Entitätsreferenzen, rekursiver Erweiterung, übermäßiger Verschachtelung und bösartiger Nachrichten, die entweder lange oder viele Attribute und Elemente enthalten.

A6:2021 – Anfällige und veraltete Komponenten

Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule laufen mit denselben Berechtigungen wie die Anwendung. Wird eine anfällige Komponente ausgenutzt, kann ein solcher Angriff zu schwerwiegendem Datenverlust oder zur Übernahme des Servers führen. Anwendungen und APIs, die Komponenten mit bekannten Schwachstellen verwenden, können die Anwendungsverteidigung untergraben und verschiedene Angriffe und Auswirkungen ermöglichen.

NetScaler Web App Firewall Schutzmaßnahmen

• Wir empfehlen, die Komponenten von Drittanbietern auf dem neuesten Stand zu halten.

• Schwachstellenscan-Berichte, die in ADC-Signaturen umgewandelt werden, können verwendet werden, um diese Komponenten virtuell zu patchen.

• Anwendungs-Firewall-Vorlagen, die für diese anfälligen Komponenten verfügbar sind, können verwendet werden.

• Benutzerdefinierte Signaturen können an die Firewall gebunden werden, um diese Komponenten zu schützen.

A7:2021 – Fehlerhafte Authentifizierung

Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsverwaltung werden oft falsch implementiert, wodurch Angreifer Passwörter, Schlüssel oder Sitzungstoken kompromittieren oder andere Implementierungsfehler ausnutzen können, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen.

NetScaler Web App Firewall-Schutzfunktionen

• Das NetScaler AAA-Modul führt die Benutzerauthentifizierung durch und bietet Single Sign-On-Funktionalität für Back-End-Anwendungen. Dies ist in die NetScaler AppExpert-Richtlinien-Engine integriert, um benutzerdefinierte Richtlinien basierend auf Benutzer- und Gruppeninformationen zu ermöglichen.

• Mithilfe von SSL-Offloading und URL-Transformationsfunktionen kann die Firewall Websites auch dabei unterstützen, sichere Transportprotokolle zu verwenden, um das Stehlen von Sitzungstoken durch Netzwerk-Sniffing zu verhindern.

• Cookie-Proxying und Cookie-Verschlüsselung können eingesetzt werden, um Cookie-Diebstahl vollständig zu verhindern.

A8:2021 – Fehler bei der Software- und Datenintegrität

Unsichere Deserialisierung führt oft zur Remote-Code-Ausführung. Auch wenn Deserialisierungsfehler nicht zur Remote-Code-Ausführung führen, können sie für Angriffe wie Replay-Angriffe, Injektionsangriffe und Privilege-Escalation-Angriffe verwendet werden.

NetScaler Web App Firewall-Schutzfunktionen

• JSON-Payload-Inspektion mit benutzerdefinierten Signaturen.

• XML-Sicherheit: schützt vor XML-Denial-of-Service (xDoS), XML-SQL- und Xpath-Injektion und Cross-Site-Scripting, Formatprüfungen, WS-I Basic Profile-Konformität, XML-Anhangsprüfung.

• Feldformatprüfungen sowie Cookie-Konsistenz und Feldkonsistenz können verwendet werden.

A9:2021 – Fehler bei der Sicherheits-Protokollierung und -Überwachung

Unzureichende Protokollierung und Überwachung, verbunden mit fehlender oder ineffektiver Integration in die Reaktion auf Vorfälle, ermöglicht es Angreifern, Systeme weiter anzugreifen, Persistenz aufrechtzuerhalten, auf weitere Systeme überzugreifen und Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Sicherheitsverletzungen zeigen, dass die Zeit bis zur Erkennung einer Sicherheitsverletzung über 200 Tage beträgt, wobei diese typischerweise von externen Parteien und nicht durch interne Prozesse oder Überwachung entdeckt wird.

NetScaler Web App Firewall-Schutzfunktionen

• Wenn die Protokollierungsaktion für Sicherheitsprüfungen oder Signaturen aktiviert ist, liefern die resultierenden Protokollmeldungen Informationen über die Anfragen und Antworten, die die Anwendungs-Firewall beim Schutz Ihrer Websites und Anwendungen beobachtet hat.

• Die Anwendungs-Firewall bietet den Komfort, die integrierte ADC-Datenbank zur Identifizierung der Standorte zu verwenden, die den IP-Adressen entsprechen, von denen bösartige Anfragen stammen.

• Standardformat-(PI)-Ausdrücke bieten die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen, mit der Option, die spezifischen Daten hinzuzufügen, die in den von der Anwendungs-Firewall generierten Protokollmeldungen erfasst werden sollen.

• Die Anwendungs-Firewall unterstützt CEF-Protokolle.

Referenzen

• HTML SQL-Injection-Prüfung

• XML SQL-Injection-Prüfung

• Verwenden der Befehlszeile zum Konfigurieren der HTML-Cross-Site-Scripting-Prüfung

• XML Cross-Site-Scripting-Prüfung

• Verwenden der Befehlszeile zum Konfigurieren der Pufferüberlauf-Sicherheitsprüfung

• Hinzufügen oder Entfernen eines Signaturobjekts

• Konfigurieren oder Ändern eines Signaturobjekts

• Aktualisieren eines Signaturobjekts

• Snort-Regelintegration

• Bot-Erkennung

• Bereitstellen einer NetScaler VPX-Instanz auf Microsoft Azure