NetScaler ADC

Citrix NetScaler, лучший контроллер доставки приложения (ADC) для построения корпоративных облачных сетей, представляет собой именно такое решение. Уже являясь стратегическим компонентом в тысячах корпоративных центров обработки данных, NetScaler предлагает набор всех необходимых функций для обеспечения безопасности. Более того, он сводит к минимуму для предприятий необходимость вложений в большое число дорогих автономных решений по обеспечению безопасности. NetScaler не только обеспечивает критически важную безопасность приложений, сети или инфраструктуры и управление идентификационной информацией пользователей и доступом, но также обеспечивает поддержку богатой экосистемы партнерских продуктов, предназначенных для смежных доменов безопасности.Самый современный контроллер доставки приложений в мире для мобильной работы.

NetScaler также включает несколько функций по обеспечению безопасности сети и инфраструктуры. Наиболее значительные из этих функций — полная поддержка SSL-шифрования, защита DNS и защита от атак на 4 уровне сетевой модели.

Дополнительная защита от атак на 7 уровне сетевой модели

NetScaler имеет несколько дополнительных механизмов защиты от атак на уровне приложений.

Проверка протокола НТТР. NetScaler крайне эффективно защищает от целого спектра атак на основе неверно сформированных запросов и запрещенного поведения по протоколу НТТР, что гарантирует соответствие стандарту RFC, и обеспечивает максимальную эффективность работы при использовании НТТР. Можно также включить в политику безопасности дополнительные пользовательские проверки, воспользовавшись интегрированным фильтром содержимого, пользовательской настройкой мер реагирования и функцией двусторонней перезаписи по протоколу НТТР. Возможные сферы применения: блокирование доступа пользователей к определенным разделам веб-сайта, если они подключаются не из разрешенных мест; защита от угроз на основе НТТР (например, Nimda, Code Red) и удаление из ответов сервера информации, которая может быть использована для совершения атаки.

Защита от DoS-атак по протоколу НТТР. Применяется инновационный метод для предотвращения множественных запросов HTTP GET. При обнаружении атаки (на основании настраиваемого порога по количеству запросов в очереди) заданному проценту клиентов посылается несложная задача для расчета. Эта задача построена таким образом, что настоящие клиенты могут легко выполнить ее, а «глупые» DoS-боты не могут. Это позволяет NetScaler отличить ложные запросы от запросов настоящих пользователей приложения. Можно применить адаптивные лимиты времени и другие механизмы для защиты от других видов DoS-атак, например SlowRead и SlowPost.

Ограничение квоты (и не только). Одним из способов защиты от DoS-атак является предотвращение перегрузки сети и серверов путем дросселирования или перенаправления трафика, превышающего указанный лимит. Для этого с помощью средства управления квотами AppExpert запускаются политики NetScaler на основе подключения, запроса или скоростей передачи данных на/с определенного ресурса (например, виртуального сервера, домена или URL-адреса). К родственным функциям относятся:

• защита от скачков нагрузки для уменьшения воздействия скачков уровня трафика на серверы;
• формирование очередей в порядке приоритета, гарантирующее, что критически важные ресурсы получат преимущество перед менее важными ресурсами в периоды высокой нагрузки.

Бескомпромиссное SSL-шифрование 

Контроллеры доставки приложений должны иметь возможность обработки трафика с SSL-шифрованием для того, чтобы гарантировать, что действие политик доставки приложений распространяется на зашифрованный трафик, а также для разгрузки инфраструктуры серверов прикладного ПО. Однако наличие лишь базовой функциональности в этой области уже недостаточно, поскольку два фактора повышают требования к обработке SSL-трафика настолько, что ресурсы инфраструктуры не могут с ними справиться. Во-первых, все больше предприятий следуют принципу SSL Везде. Обычно это связано со стремлением успокоить потребителей и защититься от таких средств взлома, как Firesheep. В таком случае шифрование используется не только в уязвимых частях приложения – таких, как страница входа в систему, – но и во всем поверхностном слое приложения. В результате сфера влияния SSL резко возрастает. Вторая проблема связана с заменой 1024-битных ключей шифрования на 2048-битные ключи (большего размера). В соответствии с рекомендациями Национального института стандартов и технологий США (U.S. National Institute of Standards and Technology, NIST) основные поставщики браузеров планируют прекратить поддержку веб-сайтов, использующих ключи с длиной менее 2048 бит, после 31 декабря 2013 г. Это приведет к радикальному повышению надежности шифрования, но также увеличит нагрузку при обработке как минимум в 5 раз.

Устройства NetScaler позволяют решить обе эти проблемы. Благодаря отдельному оборудованию для ускорения SSL-шифрования с поддержкой ключей с длиной 2048 и 4096 бит, NetScaler отвечает основным требованиям к шифрованию, избавляя от необходимости искать компромисс между безопасностью и комфортностью работы пользователя.

Еще одна родственная функция — шифрование на основе политик. Эта функция позволяет администраторам настроить NetScaler на автоматическое частичное шифрование старых версий веб-приложений, которые ранее не поддерживали шифрование, а теперь поддерживают его.

Также доступны модели соответствующие стандарту FIPS 140-2, Уровень 2. Они предназначены для организаций, которые нуждаются в максимально надежном шифровании.

Защита DNS-сервера

Служба DNS — неотъемлемая часть инфраструктуры современного центра обработки данных. Отсутствие надежной защиты DNS-сервера ставит под угрозу готовность к работе и доступность ключевых служб и приложений. Кроме полномасштабной балансировки нагрузки на внутренние DNS-серверы организации при работе в режиме прокси, NetScaler также может выполнять роль полномочного DNS-сервера (ADNS), напрямую обрабатывающего запросы имени и IP-адреса. NetScaler обеспечивает безопасность при любом сценарии развертывания благодаря следующим функциям. Высокая надежность. Реализация сервера DNS с помощью NetScaler изначально рассчитана на высокую надежность и основана не на ПО с открытым исходным кодом BIND, а следовательно, не подвержена уязвимостям, которые постоянно находят в BIND.

Соответствие требованиям RFC. NetScaler осуществляет полную проверку DNS-протокола и автоматически блокирует атаки на основе неверно сформированных DNS-запросов или других видов ненадлежащего использования DNS.

Ограничение квоты DNS по умолчанию. Для предотвращения атак на основе множественных DNS-запросов можно ограничить квоту или настроить блокировку запросов с заданными параметрами. Можно блокировать запросы на основе их вида и/или доменного имени. Эта функция позволяет предприятиям и поставщикам услуг, обслуживающим несколько доменов, создавать отдельные политики для каждого из них.

Защита от отравления кэша с помощью DNSSEC. Кража ответов — это серьезный класс угроз, связанный с внедрением хакерами поддельных записей на DNS-сервер, что приводит к отравлению его кэша. Эти записи направляют пользователя на контролируемый хакерами сайт, который распространяет вредоносное содержимое или иным образом пытается получить ценную информацию об учетных записях и паролях. NetScaler защищает от угроз данного вида двумя мощными средствами защиты.

• Встроенная поддержка DNSSEC может быть реализована для конфигураций ADNS и DNS-прокси. NetScaler позволяет подписывать ответы, чтобы впоследствии при разрешении имен клиентов можно было проверить достоверность и целостность ответа. Этот подход на основе стандартов предотвращает внедрение поддельных записей в уязвимый DNS-кэш.
• Рандомизация данных о транзакции DNS и информации об исходном порте усложняет внедрение необходимой хакеру информации в запрос и порчу DNS-записей.

Защита от атак на 4 уровне сетевой модели

NetScaler обеспечивает защиту от DoS-атак на сетевом уровне, предотвращая выделение серверных ресурсов до установки подключения к настоящему клиенту и получения действительного запроса. Например, защита от синхронных атак на основе TCP обеспечивается, во-первых, благодаря выделению ресурсов только после завершения трехстороннего подтверждения связи между клиентом и устройством NetScaler по протоколу ТСР, а во-вторых, благодаря производительной и надежной реализации файлов SYN cookies. Кроме того, аппаратная платформа и архитектура операционной системы позволяет обрабатывать миллионы пакетов SYN в секунду, что гарантирует защиту самого устройства NetScaler от подобных атак.

Другие средства защиты на сетевом уровне включают: (а) списки контроля доступа к 3 и 4 уровню, которые позволяют разрешить трафик для необходимых приложений и блокировать весь остальной трафик; (b) функции ограничения квот, защиты от скачков нагрузки и формирование очереди в порядке приоритета, описанные выше; и (с) высокопроизводительный и соответствующий стандартам стек TCP/IP, который позволяет:

 

• автоматически блокировать неверно сформированный трафик, который может поставить под угрозу серверные ресурсы;
• предотвращать разглашение информации о подключении и хосте (например, адреса и порты серверов), которая может помочь хакерам осуществить атаку;
• автоматически блокировать множество видов DoS-атак, включая ICMP flood, pipeline, teardrop, land, fraggle, small/zero window и zombie connection.