Password spraying attacks on NetScaler/NetScaler Gateway – December 2024

[testperson 1.859]

Hi,

 

den Anstieg an Zugriffsversuchen hat evtl. der ein und andere mitbekommen. Hier ein Ansatz zur Mitigation von Citrix: Password spraying attacks on NetScaler/NetScaler Gateway – December 2024 - Citrix Blogs

 

Was überall machbar sein sollte:

# Responder Policy, um Zugriff ausschließlich über Hostname und nicht mehr per IP zuzlassen:
add responder policy res_pol_IP_Block "HTTP.REQ.HOSTNAME.EQ(\"<gateway.fqdn.tldY\").NOT" DROP
bind vpn vserver <Gateway_vServer_name> -policy res_pol_IP_Block -priority 100

# AAA Responder, um Anfrage bereits vor dem AAA Modul zu verwerfen (benötigt min. FW 13.0 oder neuer):
add policy patset patset_block_urls
bind policy patset patset_block_urls "/cgi/login"
bind policy patset patset_block_urls "/p/u/doAuthentication.do"
bind policy patset patset_block_urls "/p/u/getAuthenticationRequirements.do"

add responder policy res_pol_block_urls "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" DROP
bind vpn vserver <Gateway_vServer_name> -policy res_pol_block_urls -priority 100 -gotoPriorityExpression END -type AAA_REQUEST

 

Wer die WAF / Reputation lizenziert hat:

# Das o.g. Pattern Set muss hier auch erstellt werden bzw. da sein :)
set appfw profile ns-aaa-default-appfw-profile -denylist ON

bind appfw profile ns-aaa-default-appfw-profile  "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" -valueType Expression
-ruleAction log RESET

add responder policy res_pol_block_malicious_ip "CLIENT.IP.SRC.IPREP_IS_MALICIOUS" DROP
bind vpn vserver Gateway_vServer_name -policy res_pol_block_malicious_ip -priority 50 -gotoPriorityExpression END -type AAA_REQUEST

(Hier möge man aber Obacht walten lassen, ob / wie die WAF bereits genutzt wird und das man nichts gewolltest abschießt.)

 

HTH

Jan

[cj_berlin 1.508]

...und, natürlich, wer schon vor Jahren das Feature ausgerollt hat, dessen Name mir nicht einfällt (wenn nicht bereits im Request ein passendes Client-Zertifikat enthalten ist, gar nicht antworten), kann sich jetzt entspannt auf die Schulter klopfen  

[testperson 1.859]

... oder wer, wie im Artikel verlinkt, den "zweiten" Faktor vor dem "ersten" bzw. vor LDAP nutzt. :)

(Das wollte ich mir auch schon immer mal angucken. ;))