Bei einer kürzlich stattgefundenen Webinar aus der Technical Kemping Reihe behandelte Renard Schöpfel (LinkedIn-Profil), Principal Pre-Sales Engineer für LoadMaster, zwei praktische und wichtige Themen:
Während des Webinars behandelte Renard fünf Zugangskontrollmechanismen und führte Live-Demos jeder einzelnen durch. Er behandelte außerdem die Bedeutung der Kombination von LoadMaster-Konfigurations-Backups mit separaten Zertifikats-Backups.
Sehen Sie sich die untenstehende Webinar-Aufzeichnung an und lesen Sie weiter für eine schriftliche Zusammenfassung.
Wenn du die Informationen direkt aus der Ereignisaufnahme erhalten möchtest, kannst du sie dir jetzt ansehen.
Sehen Sie sich die vollständige Webinar-Aufzeichnung an
Für eine Zusammenfassung der besprochenen Themen lesen Sie weiter.
Die LoadMaster-Lösung gibt Ihnen fünf Möglichkeiten, zu steuern, wer auf Ihre Anwendungen zugreifen kann, und Renards zentraler Punkt während der Sitzung war, dass Sie diese Tools schichten können, anstatt nur eines auszuwählen. Jeder tut etwas, das die anderen nicht können, und das Verständnis der Kompromisse ist wichtiger als das Auswendiglernen der Funktionsliste.
Die fünf Werkzeuge sind: der Paket-Routing-Filter, Zugriffskontrolllisten, Inhaltsregeln, Edge Security Pack und die Web Application Firewall (WAF).
Der Paket-Routing-Filter arbeitet global. Wenn aktiviert, hört die LoadMaster-Lösung auf, als einfacher IP-Weiterleitungsvermittler zu fungieren, und beginnt, Regeln basierend auf Quell-IP durchzusetzen. Du kannst Erlaubnis- und Blocklisten erstellen, und hier gilt ein Block für jeden virtuellen Service, der auf der LoadMaster-Plattform gehostet wird.
Renard demonstrierte dies live, indem er seine eigene Client-IP blockierte. Jeder virtuelle Dienst auf der LoadMaster-Lösung reagierte sofort nicht mehr auf ihn. Das Aufheben der Regel stellte sofort den Zugriff wieder her. Wenn Sie jemanden schnell über einen gesamten Einsatz ausschließen müssen, ist dies das Werkzeug, zu dem Sie greifen sollten.
Access Control Lists (ACLs) gelten für jeden virtuellen Dienst und nicht für die gesamte Maschine. Du bekommst unbegrenzte Einträge und ein Kommentarfeld, was hilft, wenn du eine lange Liste führst. Die Kompromisse: ACLs gelten nur für den Haupt-virtuellen Dienst, nicht für sub-virtuelle Dienste, und blockierte Zugriffsversuche erscheinen nicht in den Standardprotokollen. Die Zugriffskontrolle erfolgt vor dem TLS/SSL-Handshake, weshalb subvirtuelle Dienste sie nicht nutzen können. Der Handschlag endet am Haupt-Virtual-Service.
Inhaltsregeln bieten Ihnen die größte Flexibilität aller Zugriffskontrollwerkzeuge in der LoadMaster-Lösung. Du kannst die Quell-IP, den Host-Header, den URL-Pfad, die HTTP-Methode, den User Agent, Cookies oder jeden anderen Header abgleichen, der dir wichtig ist. Sie funktionieren sowohl auf dem Haupt-Virtual-Service als auch auf dem Sub-Virtual-Service, und man kann sie auf verschiedene Arten kombinieren. Renard demonstrierte zwei Ansätze:
Der "weiche" Ansatz verwendet Match-Regeln ohne "Fail on Match" aktiviert. Verkehr besteht nur, wenn er mindestens einer deiner Regeln entspricht. Alles andere wird standardmäßig blockiert.
Der "schwere" Ansatz verwendet Match-Regeln mit aktiviertem "Fail on Match". Abgestimmter Verkehr wird blockiert, und alles andere passiert.
Die meisten realen Einsätze erfordern eine Kombination. Die Inhaltsregeln sind im gesamten System auf insgesamt 1.024 begrenzt und ausgelöste Regeln erscheinen nur in Debug-Logs, nicht in deinen Hauptprotokollen.
Frage: Regeln mit Flaggen kombinieren
Ein Webinar-Teilnehmer fragte, ob man eine AND-Bedingung erstellen könnte (mit einem bestimmten Host-Namen UND einem bestimmten Ordner). Renard demonstrierte zwei Ansätze.
Die erste verwendet Flaggen. Erstelle eine Auswahlregel, die dem Hostnamen entspricht und eine Flagge auf 1 setzt. Dann erstelle eine Inhaltsregel, die zum Ordner passt, aber nur ausgelöst wird, wenn die Flagge 1 ist. Auswahlregeln laufen immer zuerst, sodass die Flaggen gesetzt werden, bevor die zweite Regel bewertet wird.
Der zweite Anflug überspringt die Flagge komplett. Erstelle eine Single-Match-URL-Regel, lasse das Header-Feld leer und hake die Option an, den Hostnamen im Match aufzunehmen. Eine Regel mit einer Übereinstimmung des Hostnamens und des Verzeichnisses zusammen.
Verwende Flags, wenn mehrere Regeln von derselben Bedingung abhängen. Benutze die kombinierte Match-Regel, wenn du die UND-Bedingung nur einmal brauchst.
Edge Security Pack (ESP) erfordert eine Enterprise-Lizenz. Es steuert, welche Hostnamen und Verzeichnisse Ihre Anwendung akzeptiert. Alles außerhalb deiner Erlaubnisliste wird gesperrt, bevor es die Backend-Server erreicht, und diese Sperren werden direkt in deinen Sicherheitsprotokollen festgehalten.
ESP übernimmt auch die Vorauthentifizierung. Der Client authentifiziert sich bei Ihrem Identitätsanbieter (LDAP, RADIUS, OIDC, SAML oder andere), bevor die LoadMaster-Lösung eine Verbindung zu Backend-Servern öffnet. Wenn die Authentifizierung fehlschlägt, erhält das Backend die Anfrage nie. Nach erfolgreicher Authentifizierung erhält der Client ein LoadMaster-Datencookie, das seine Identität für den Rest der Sitzung beweist.
Du kannst den Zugriff nach Nutzergruppe oder nach Lenkungsgruppe einschränken. Lenkungsgruppen setzen ein zusätzliches Cookie, das die Gruppe des Nutzers identifiziert, und Inhaltsregeln können dann verschiedene Gruppen zu unterschiedlichen subvirtuellen Diensten weiterleiten. Diese Kombination aus ESP- und Inhaltsregeln ermöglicht rollenbasiertes Routing ohne separate Dienste für jede Rolle.
Ein Hinweis zu mehreren Cloud-Identitätsanbietern: LoadMaster unterstützt pro Dienst nur einen OIDC- oder SAML-Anbieter. Wenn Sie Nutzer basierend auf ihrer Domain an verschiedene Identitätsanbieter weiterleiten müssen, empfahl Renard, RADIUS als Vermittler zu verwenden. RADIUS kann die Routing-Logik übernehmen und an den entsprechenden Anbieter weiterleiten.
Der LoadMaster WAF arbeitet pro Anfrage, nicht pro Sitzung oder pro Zeitfenster. Jede eingehende Anfrage wird mit jeder aktiven Regel bewertet. Jede ausgelöste Regel bringt Punkte, und sobald die kumulative Punktzahl deinen Schwellenwert überschreitet, wird die Anfrage blockiert. Eine einzelne Anfrage kann mehrere Regeln auslösen und all diese Punkte addieren sich dazu.
Das ist wichtig, weil viele Administratoren annehmen, dass WAFs ratebasiertes Blocking verwenden ("X Verstöße in Y Minuten"). Die LoadMaster-Lösung tut das nicht. Jede Anfrage bewertet sie nach ihren eigenen Vorzügen.
Die WAF wird mit dem OWASP Top 10 Kernregelwerk ausgeliefert, dazu eine häufig (oft täglich) aktualisierte IP-Blockliste bekannter Böswichte und einen Bereich für falsch-positive Bewertungen, die zeigt, welche Regeln auf jeder Blockierungsstufe ausgelöst werden. Du brauchst ein Support-Abo, um die Regel-Updates zu erhalten. Sie können benutzerdefinierte Regeln hinzufügen, externe Datendateien für dynamische Abfragen referenzieren und Regeln sowohl auf den Haupt-virtuellen Dienst als auch auf sub-virtuelle Dienste anwenden. Es gibt keine Obergrenze für die Anzahl der WAF-Regeln.
Unser nächstes Technical Kemping-Webinar wird sich auf die WAF und Sicherheit konzentrieren.
Renard behandelte außerdem die Sicherung von LoadMaster-Zertifikaten und -Konfigurationen während des Webinars.
Zertifikatssicherung deckt TLS/SSL- und Zwischenzertifikate ab und erfordert immer eine Passphrase. Das Konfigurations-Backup deckt alles andere ab: virtuelle Dienste, Geo-Einstellungen, TLS/SSL-Einstellungen (die Konfiguration, nicht die Zertifikate selbst), ESP-Einstellungen, Inhaltsregeln und die Kernkonfiguration.
Wenn Sie ein Konfigurations-Backup wiederherstellen, haben Sie operativ fokussierte Optionen. Virtuelle Dienste, Geo-Einstellungen und TLS/SSL-Einstellungen stellen alle ohne Neustart wieder her. Sie überschreiben die bestehende Konfiguration, anstatt sie zu verschmelzen.
Eine Wiederherstellung der Kernkonfiguration löst jedoch einen Neustart aus und unterliegt strengeren Regeln: Standalone-Backups werden nur auf eigenständige Rechner und HA-Backups nur auf HA-Paare wiederhergestellt. Du kannst andere Items (virtuelle Dienste, GEO, TLS/SSL) frei zwischen eigenständigen und HA-Setup-Backups verschieben.
Ein nützlicher Trick aus der Live-Session: Du kannst ein Backup-Archiv öffnen, das XML bearbeiten, um alle virtuellen Dienste auszuschalten, und dann dieses modifizierte Backup auf eine neue Maschine zurücksetzen. Deine Konfiguration wird übertragen, aber nichts wird aktiviert, bis du sie manuell aktivierst.
Für Automatisierung gibt es mehrere Möglichkeiten. Die API unterstützt sowohl Konfigurations- als auch Zertifikats-Backups, wobei entweder Benutzername/Passwort oder API-Schlüssel-Authentifizierung verwendet werden. FTP-Auto-Backups funktionieren, erfassen aber nur teilweise Konfigurationsdaten. LoadMaster 360, unsere SaaS-Management-Lösung, speichert Backups jetzt automatisch in der Cloud.
In vielen Fällen ist die richtige Antwort auf ein IT-Konfigurationsproblem selten ein einzelnes Merkmal. Im Zugangskontrollszenario stimmt das. Der Paket-Routing-Filter übernimmt Notfallsperrungen. ACLs decken einfache Regeln pro Dienst ab. Inhaltsregeln ermöglichen eine feine Traffic-Formung. ESP übernimmt die Authentifizierung und Autorisierung. Der WAF schützt vor Bedrohungen auf Anwendungsebene. Nutze sie zusammen, je nachdem, was jeder am besten kann.
Rochelle Wheeler ist Global Demand Generation Marketing Lead im Infrastrukturteam von Progress und konzentriert sich auf die LoadMaster-Load-Balancing-Lösung von Kemp. Mit über zwei Jahrzehnten erfolgreicher Marketing- und Projektmanagementerfahrung hat sie Kampagnen für Unternehmen gestartet, die von Boutique-Agenturen bis hin zu Fortune-500-Unternehmen reichen. Sie können ihr auf LinkedIn folgen.
Mehr vom Autor