Skip to content
Menü schließen
Navigation Menu Blog v2
Unser IT Blog
Bleiben Sie auf dem Laufenden und erhalten Sie neue Impulse.
header-Cyber-Schwachstelle_2000-×-600-px_
05.20161 min Lesezeit

Citrix NetScaler IP Reputation

Wer seine Services auch unter Einbeziehung von BrightCloud IP Reputation schützen möchte sollte sich das neueste NetScaler Release 11.0 Build 65.31 / 65.35F vom 22.03.2016 anschauen.

(Das Feature wurde im Build 65.31 veröffentlicht. Nach einer Fehlerkorrektur wurde das 65.31 zurückgezogen und durch das 65.35F ersetzt.)

Aber wir wollen uns weniger mit dem Releasemanagement beschäftigen, sondern lieber die IP Reputation nutzen, daher starten wir einmal mit den Voraussetzungen.

 

Voraussetzungen für IP Reputation

  • Die IP Reputation ist ein Feature für die NetScaler Application Firewall. Darum brauchen wir entweder die Platinum Lizenz, oder aber die NetScaler Application Firewall Lizenz (wir erinnern uns, die Application Firewall könnten wir auch einzeln lizensieren)
  • DNS Auflösung der BrightCloud URLs
  • Citrix NetScaler lädt die Daten regelmäßig aus der BrightCloud. Eine offline Funktion ist bisher nicht enthalten.

 

Setup für die IP Reputation

  • Zuerst muss das Feature „Reputation“ aktiviert werden. Wie gewohnt entweder per Rechtsklick auf das Feature (Security –> Reputation, oder unter System Settings in den Advanced Features).
  • Das Setup des Features ist wirklich sehr überschaubar. Neben der Aktivierung kann nur noch der eventuell benötigte Proxy konfiguriert werden.

 

Troubleshooting bei der IP Reputation

  • Ein detailliertes Log (/var/log/iprep.log) läuft immer mit.
  • Wer besonders neugierig ist, kann den Verlauf auch per Trace im Wireshark verfolgen
    • Zuerst suchen wir uns den entsprechenden DNS Request raus:
    • Bei der folgenden Filterung auf die IP der Amazon Cloud fiel mir direkt die Nutzung meiner NetScaler NSIP statt SNIP auf.

 

Einsatzszenarien der IP Reputation

Ich habe die IP Reputation zuletzt in einem Application Firewall Projekt genutzt. Der Kunde wollte anhand der IP Reputation unterschiedliche Schutzstufen der Application Firewall nutzen. Dafür habe ich mit dieser Policy Expression das verschärfte Firewall Profile aufgerufen:
  • CLIENT.IP.SRC.IPREP_IS_MALICIOUS

Alternativ kann die IP Reputation aber auch granularer genutzt werden. Durch die Policy CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY) können die folgenden Values ausgewertet werden:
  • SPAM_SOURCES
  • WINDOWS_EXPLOITS
  • WEB_ATTACKS
  • BOTNETS
  • WINDOWS_EXPLOITS
  • WEB_ATTACKS
  • SCANNERS
  • DOS
  • REPUTATION
  • PHISHING
  • PROXY
  • NETWORK
  • CLOUD_PROVIDERS
  • MOBILE_THREATS

KOMMENTARE

VERWANDTE ARTIKEL