NetScaler ADC

Citrix NetScaler, лучший контроллер доставки приложения (ADC) для построения корпоративных облачных сетей, представляет собой именно такое решение. Уже являясь стратегическим компонентом в тысячах корпоративных центров обработки данных, NetScaler предлагает набор всех необходимых функций для обеспечения безопасности. Более того, он сводит к минимуму для предприятий необходимость вложений в большое число дорогих автономных решений по обеспечению безопасности. NetScaler не только обеспечивает критически важную безопасность приложений, сети или инфраструктуры и управление идентификационной информацией пользователей и доступом, но также обеспечивает поддержку богатой экосистемы партнерских продуктов, предназначенных для смежных доменов безопасности.Самый современный контроллер доставки приложений в мире для мобильной работы.
NetScaler также включает несколько функций по обеспечению безопасности сети и инфраструктуры. Наиболее значительные из этих функций — полная поддержка SSL-шифрования, защита DNS и защита от атак на 4 уровне сетевой модели.
Дополнительная защита от атак на 7 уровне сетевой модели
NetScaler имеет несколько дополнительных механизмов защиты от атак на уровне приложений.
Проверка протокола НТТР. NetScaler крайне эффективно защищает от целого спектра атак на основе неверно сформированных запросов и запрещенного поведения по протоколу НТТР, что гарантирует соответствие стандарту RFC, и обеспечивает максимальную эффективность работы при использовании НТТР. Можно также включить в политику безопасности дополнительные пользовательские проверки, воспользовавшись интегрированным фильтром содержимого, пользовательской настройкой мер реагирования и функцией двусторонней перезаписи по протоколу НТТР. Возможные сферы применения: блокирование доступа пользователей к определенным разделам веб-сайта, если они подключаются не из разрешенных мест; защита от угроз на основе НТТР (например, Nimda, Code Red) и удаление из ответов сервера информации, которая может быть использована для совершения атаки.
Защита от DoS-атак по протоколу НТТР. Применяется инновационный метод для предотвращения множественных запросов HTTP GET. При обнаружении атаки (на основании настраиваемого порога по количеству запросов в очереди) заданному проценту клиентов посылается несложная задача для расчета. Эта задача построена таким образом, что настоящие клиенты могут легко выполнить ее, а «глупые» DoS-боты не могут. Это позволяет NetScaler отличить ложные запросы от запросов настоящих пользователей приложения. Можно применить адаптивные лимиты времени и другие механизмы для защиты от других видов DoS-атак, например SlowRead и SlowPost.
Ограничение квоты (и не только). Одним из способов защиты от DoS-атак является предотвращение перегрузки сети и серверов путем дросселирования или перенаправления трафика, превышающего указанный лимит. Для этого с помощью средства управления квотами AppExpert запускаются политики NetScaler на основе подключения, запроса или скоростей передачи данных на/с определенного ресурса (например, виртуального сервера, домена или URL-адреса). К родственным функциям относятся:
- защита от скачков нагрузки для уменьшения воздействия скачков уровня трафика на серверы;
- формирование очередей в порядке приоритета, гарантирующее, что критически важные ресурсы получат преимущество перед менее важными ресурсами в периоды высокой нагрузки.
Бескомпромиссное SSL-шифрование
Контроллеры доставки приложений должны иметь возможность обработки трафика с SSL-шифрованием для того, чтобы гарантировать, что действие политик доставки приложений распространяется на зашифрованный трафик, а также для разгрузки инфраструктуры серверов прикладного ПО. Однако наличие лишь базовой функциональности в этой области уже недостаточно, поскольку два фактора повышают требования к обработке SSL-трафика настолько, что ресурсы инфраструктуры не могут с ними справиться. Во-первых, все больше предприятий следуют принципу SSL Везде. Обычно это связано со стремлением успокоить потребителей и защититься от таких средств взлома, как Firesheep. В таком случае шифрование используется не только в уязвимых частях приложения – таких, как страница входа в систему, – но и во всем поверхностном слое приложения. В результате сфера влияния SSL резко возрастает. Вторая проблема связана с заменой 1024-битных ключей шифрования на 2048-битные ключи (большего размера). В соответствии с рекомендациями Национального института стандартов и технологий США (U.S. National Institute of Standards and Technology, NIST) основные поставщики браузеров планируют прекратить поддержку веб-сайтов, использующих ключи с длиной менее 2048 бит, после 31 декабря 2013 г. Это приведет к радикальному повышению надежности шифрования, но также увеличит нагрузку при обработке как минимум в 5 раз.
Устройства NetScaler позволяют решить обе эти проблемы. Благодаря отдельному оборудованию для ускорения SSL-шифрования с поддержкой ключей с длиной 2048 и 4096 бит, NetScaler отвечает основным требованиям к шифрованию, избавляя от необходимости искать компромисс между безопасностью и комфортностью работы пользователя.
Еще одна родственная функция — шифрование на основе политик. Эта функция позволяет администраторам настроить NetScaler на автоматическое частичное шифрование старых версий веб-приложений, которые ранее не поддерживали шифрование, а теперь поддерживают его.
Также доступны модели соответствующие стандарту FIPS 140-2, Уровень 2. Они предназначены для организаций, которые нуждаются в максимально надежном шифровании.
Защита DNS-сервера
Служба DNS — неотъемлемая часть инфраструктуры современного центра обработки данных. Отсутствие надежной защиты DNS-сервера ставит под угрозу готовность к работе и доступность ключевых служб и приложений. Кроме полномасштабной балансировки нагрузки на внутренние DNS-серверы организации при работе в режиме прокси, NetScaler также может выполнять роль полномочного DNS-сервера (ADNS), напрямую обрабатывающего запросы имени и IP-адреса. NetScaler обеспечивает безопасность при любом сценарии развертывания благодаря следующим функциям. Высокая надежность. Реализация сервера DNS с помощью NetScaler изначально рассчитана на высокую надежность и основана не на ПО с открытым исходным кодом BIND, а следовательно, не подвержена уязвимостям, которые постоянно находят в BIND.
Соответствие требованиям RFC. NetScaler осуществляет полную проверку DNS-протокола и автоматически блокирует атаки на основе неверно сформированных DNS-запросов или других видов ненадлежащего использования DNS.
Ограничение квоты DNS по умолчанию. Для предотвращения атак на основе множественных DNS-запросов можно ограничить квоту или настроить блокировку запросов с заданными параметрами. Можно блокировать запросы на основе их вида и/или доменного имени. Эта функция позволяет предприятиям и поставщикам услуг, обслуживающим несколько доменов, создавать отдельные политики для каждого из них.
Защита от отравления кэша с помощью DNSSEC. Кража ответов — это серьезный класс угроз, связанный с внедрением хакерами поддельных записей на DNS-сервер, что приводит к отравлению его кэша. Эти записи направляют пользователя на контролируемый хакерами сайт, который распространяет вредоносное содержимое или иным образом пытается получить ценную информацию об учетных записях и паролях. NetScaler защищает от угроз данного вида двумя мощными средствами защиты.
- Встроенная поддержка DNSSEC может быть реализована для конфигураций ADNS и DNS-прокси. NetScaler позволяет подписывать ответы, чтобы впоследствии при разрешении имен клиентов можно было проверить достоверность и целостность ответа. Этот подход на основе стандартов предотвращает внедрение поддельных записей в уязвимый DNS-кэш.
- Рандомизация данных о транзакции DNS и информации об исходном порте усложняет внедрение необходимой хакеру информации в запрос и порчу DNS-записей.
Защита от атак на 4 уровне сетевой модели
NetScaler обеспечивает защиту от DoS-атак на сетевом уровне, предотвращая выделение серверных ресурсов до установки подключения к настоящему клиенту и получения действительного запроса. Например, защита от синхронных атак на основе TCP обеспечивается, во-первых, благодаря выделению ресурсов только после завершения трехстороннего подтверждения связи между клиентом и устройством NetScaler по протоколу ТСР, а во-вторых, благодаря производительной и надежной реализации файлов SYN cookies. Кроме того, аппаратная платформа и архитектура операционной системы позволяет обрабатывать миллионы пакетов SYN в секунду, что гарантирует защиту самого устройства NetScaler от подобных атак.
Другие средства защиты на сетевом уровне включают: (а) списки контроля доступа к 3 и 4 уровню, которые позволяют разрешить трафик для необходимых приложений и блокировать весь остальной трафик; (b) функции ограничения квот, защиты от скачков нагрузки и формирование очереди в порядке приоритета, описанные выше; и (с) высокопроизводительный и соответствующий стандартам стек TCP/IP, который позволяет:
- автоматически блокировать неверно сформированный трафик, который может поставить под угрозу серверные ресурсы;
- предотвращать разглашение информации о подключении и хосте (например, адреса и порты серверов), которая может помочь хакерам осуществить атаку;
- автоматически блокировать множество видов DoS-атак, включая ICMP flood, pipeline, teardrop, land, fraggle, small/zero window и zombie connection.
Спецификация
-
Назначение:
Малый и средний бизнес Корпоративное -
Производитель:
Citrix -
Веб-сайт производителя:
https://www.citrix.ru/products/netscaler-application-delivery-controller/overview.html