In den letzten Monaten habe ich viele Kundenkonfigurationen mit NetScaler AAA für viele verschiedene Anwendungen gesehen.
Aber nicht alle haben ein Sicherheitsrisiko in Betracht gezogen:
In den NetScaler-Versionen 9.x und 10.0 gab es spezielle Tricks, um das LDAP-Verzeichnis vor Account-Lockout-Angriffen zu schützen. In diesen NetScaler-Versionen mussten wir viel Zeit investieren, um die richtigen Einstellungen für das Rate Limiting festzulegen, damit zu viele Anmeldeversuche, die ins Verzeichnis gehen, verhindert werden.
Andersherum geht es auch mit einer Multi-Faktor-Authentifizierung. Hierbei ändern wir das erste und das zweite Authentifizierungsfaktoreingabefeld, damit der OTP / Radius die richtigen Anfragen von den Ungültigen trennt, bevor die Verzeichnisdienste erreicht werden. Aber das ist nicht für alle Situationen möglich.
Beides ist eher Raketenwissenschaft als benutzerfreundlich oder einfach zu aktualisieren.
Administratoren sollten zwei neuen Felder im NetScaler Gateway oder eher im AAA vServer-GUI bemerkt haben, um die „Max Login Attempts“ und die „Failed Login Timeout“ einzustellen.
Von hier aus sollte es nur ein Kinderspiel sein, die Einstellungen mit aaad.debug zu verifizieren.