testperson 1.704 Geschrieben Montag um 08:36 Melden Teilen Geschrieben Montag um 08:36 Hi, den Anstieg an Zugriffsversuchen hat evtl. der ein und andere mitbekommen. Hier ein Ansatz zur Mitigation von Citrix: Password spraying attacks on NetScaler/NetScaler Gateway – December 2024 - Citrix Blogs Was überall machbar sein sollte: # Responder Policy, um Zugriff ausschließlich über Hostname und nicht mehr per IP zuzlassen: add responder policy res_pol_IP_Block "HTTP.REQ.HOSTNAME.EQ(\"<gateway.fqdn.tldY\").NOT" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_IP_Block -priority 100 # AAA Responder, um Anfrage bereits vor dem AAA Modul zu verwerfen (benötigt min. FW 13.0 oder neuer): add policy patset patset_block_urls bind policy patset patset_block_urls "/cgi/login" bind policy patset patset_block_urls "/p/u/doAuthentication.do" bind policy patset patset_block_urls "/p/u/getAuthenticationRequirements.do" add responder policy res_pol_block_urls "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_block_urls -priority 100 -gotoPriorityExpression END -type AAA_REQUEST Wer die WAF / Reputation lizenziert hat: # Das o.g. Pattern Set muss hier auch erstellt werden bzw. da sein :) set appfw profile ns-aaa-default-appfw-profile -denylist ON bind appfw profile ns-aaa-default-appfw-profile "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" -valueType Expression -ruleAction log RESET add responder policy res_pol_block_malicious_ip "CLIENT.IP.SRC.IPREP_IS_MALICIOUS" DROP bind vpn vserver Gateway_vServer_name -policy res_pol_block_malicious_ip -priority 50 -gotoPriorityExpression END -type AAA_REQUEST (Hier möge man aber Obacht walten lassen, ob / wie die WAF bereits genutzt wird und das man nichts gewolltest abschießt.) HTH Jan 1 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben Montag um 08:57 Melden Teilen Geschrieben Montag um 08:57 ...und, natürlich, wer schon vor Jahren das Feature ausgerollt hat, dessen Name mir nicht einfällt (wenn nicht bereits im Request ein passendes Client-Zertifikat enthalten ist, gar nicht antworten), kann sich jetzt entspannt auf die Schulter klopfen Zitieren Link zu diesem Kommentar
testperson 1.704 Geschrieben Montag um 09:02 Autor Melden Teilen Geschrieben Montag um 09:02 ... oder wer, wie im Artikel verlinkt, den "zweiten" Faktor vor dem "ersten" bzw. vor LDAP nutzt. :) (Das wollte ich mir auch schon immer mal angucken. ;)) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.