testperson 1.729 Geschrieben 16. Dezember 2024 Melden Teilen Geschrieben 16. Dezember 2024 Hi, den Anstieg an Zugriffsversuchen hat evtl. der ein und andere mitbekommen. Hier ein Ansatz zur Mitigation von Citrix: Password spraying attacks on NetScaler/NetScaler Gateway – December 2024 - Citrix Blogs Was überall machbar sein sollte: # Responder Policy, um Zugriff ausschließlich über Hostname und nicht mehr per IP zuzlassen: add responder policy res_pol_IP_Block "HTTP.REQ.HOSTNAME.EQ(\"<gateway.fqdn.tldY\").NOT" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_IP_Block -priority 100 # AAA Responder, um Anfrage bereits vor dem AAA Modul zu verwerfen (benötigt min. FW 13.0 oder neuer): add policy patset patset_block_urls bind policy patset patset_block_urls "/cgi/login" bind policy patset patset_block_urls "/p/u/doAuthentication.do" bind policy patset patset_block_urls "/p/u/getAuthenticationRequirements.do" add responder policy res_pol_block_urls "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_block_urls -priority 100 -gotoPriorityExpression END -type AAA_REQUEST Wer die WAF / Reputation lizenziert hat: # Das o.g. Pattern Set muss hier auch erstellt werden bzw. da sein :) set appfw profile ns-aaa-default-appfw-profile -denylist ON bind appfw profile ns-aaa-default-appfw-profile "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" -valueType Expression -ruleAction log RESET add responder policy res_pol_block_malicious_ip "CLIENT.IP.SRC.IPREP_IS_MALICIOUS" DROP bind vpn vserver Gateway_vServer_name -policy res_pol_block_malicious_ip -priority 50 -gotoPriorityExpression END -type AAA_REQUEST (Hier möge man aber Obacht walten lassen, ob / wie die WAF bereits genutzt wird und das man nichts gewolltest abschießt.) HTH Jan 1 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.355 Geschrieben 16. Dezember 2024 Melden Teilen Geschrieben 16. Dezember 2024 ...und, natürlich, wer schon vor Jahren das Feature ausgerollt hat, dessen Name mir nicht einfällt (wenn nicht bereits im Request ein passendes Client-Zertifikat enthalten ist, gar nicht antworten), kann sich jetzt entspannt auf die Schulter klopfen Zitieren Link zu diesem Kommentar
testperson 1.729 Geschrieben 16. Dezember 2024 Autor Melden Teilen Geschrieben 16. Dezember 2024 ... oder wer, wie im Artikel verlinkt, den "zweiten" Faktor vor dem "ersten" bzw. vor LDAP nutzt. :) (Das wollte ich mir auch schon immer mal angucken. ;)) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.