Skip to content

Citrix NetScaler IP Reputation

by Sascha Frantzke on Mai 3rd, 2016

Wer seine Services auch unter Einbeziehung von BrightCloud IP Reputation schützen möchte sollte sich das neueste NetScaler Release 11.0 Build 65.31 / 65.35F vom 22.03.2016 anschauen.

(Um das Chaos mal wieder zu pflegen wurde das Feature im Build 65.31 veröffentlicht. Nach einer Fehlerkorrektur wurde das 65.31 zurückgezogen und durch das 65.35F ersetzt.)

Aber wir wollen uns weniger mit dem Releasemanagement beschäftigen, sondern lieber die IP Reputation nutzen, daher starten wir einmal mit den Voraussetzungen.

Voraussetzungen

  • Die IP Reputation ist ein Feature für die NetScaler Application Firewall. Darum brauchen wir entweder die Platinum Lizenz, oder aber die NetScaler Application Firewall Lizenz (wir erinnern uns, die Application Firewall könnten wir auch einzeln lizensieren)
  • DNS Auflösung der BrightCloud URLs
  • Citrix NetScaler lädt die Daten regelmäßig aus der BrightCloud. Eine offline Funktion ist bisher nicht enthalten.

Setup

  • Zuerst muss das Feature „Reputation“ aktiviert werden. Wie gewohnt entweder per Rechtsklick auf das Feature (Security –> Reputation, oder unter System Settings in den Advanced Features).
  • Das Setup des Features ist wirklich sehr überschaubar. Neben der Aktivierung kann nur noch der eventuell benötigte Proxy konfiguriert werden.

 

Troubleshooting

  • Ein detailliertes Log (/var/log/iprep.log) läuft immer mit.
    DNS_Error_IP-Reputation
  • Wer besonders neugierig ist, kann den Verlauf auch per Trace im Wireshark verfolgen
    • Zuerst suchen wir uns den entsprechenden DNS Request raus:
      ConsultingLounge_Reputation160503152313
    • Bei der folgenden Filterung auf die IP der Amazon Cloud fiel mir direkt die Nutzung meiner NetScaler NSIP statt SNIP auf.

 

Einsatzszenario

  • Ich habe die IP Reputation zuletzt in einem Application Firewall Projekt genutzt. Der Kunde wollte anhand der IP Reputation unterschiedliche Schutzstufen der Application Firewall nutzen. Dafür habe ich mit dieser Policy Expression das verschärfte Firewall Profile aufgerufen:
    • CLIENT.IP.SRC.IPREP_IS_MALICIOUS
  • Alternativ kann die IP Reputation aber auch granularer genutzt werden. Durch die Policy CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY) können die folgenden Values ausgewertet werden:
    • SPAM_SOURCES
    • WINDOWS_EXPLOITS
    • WEB_ATTACKS
    • BOTNETS
    • WINDOWS_EXPLOITS
    • WEB_ATTACKS
    • SCANNERS
    • DOS
    • REPUTATION
    • PHISHING
    • PROXY
    • NETWORK
    • CLOUD_PROVIDERS
    • MOBILE_THREATS

Comments are closed.