NetScaler 11.1: SSL Rating A+ bei Qualys

Standardmäßig ist die SSL Konfiguration im NetScaler für die maximale Client Kompatibilität konfiguriert (z.B. IE6), nicht jedoch für die maximale Sicherheit. Mit den folgenden Anpassungen der NetScaler Einstellungen stellen Sie sicher, dass Sie die aktuellsten Sicherheitsstandards in Sachen TLS verwenden.

Ein Indikator für die Sicherheit Ihrer Webseite ist ein schneller SSL Test über die Webseite von Qualys SSL Labs.

SSL Default Profile aktivieren

Seit NetScaler Build 11.0 64 ist es möglich, das sog. „Default SSL Profile“ zu aktivieren. Diese Option aktiviert zwei Standard SSL Profile, die die SSL Standardeinstellungen für alle Services definieren. Es empfiehlt sich, diese Option zu verwenden, da die folgenden Änderungen ansonsten für jeden einzelnen vServer und Service getroffen werden müssen. In bestehenden Setups sollte für die Implementierung aus Sicherheitsgründen eine Downtime eingeplant werden.

Die Option kann nach Ihrer Aktivierung nicht wieder rückgängig gemacht werden. Wir empfehlen, das Profil bereits vor der Konfiguration des ersten vServers durchzuführen. In bestehenden Setups kann das SSL Default Profile ebenfalls aktiviert werden. Sollten bereits vServer mit Custom SSL Parametern konfiguriert worden sein, müssen diese vor der Aktivierung entfernt werden. Hierzu gibt es ein Migrations-Script im Citrix Download Portal.

Mit der Aktivierung stehen zwei neue SSL Profile zur Verfügung (ns_default_ssl_profile_frontend, ns_default_ssl_profile_backend), auf denen wir unsere Änderungen durchführen.

SSLv3 deaktivieren

Handelt es sich um eine ältere Installation, so kann es sein, dass SSLv3 u.U. noch aktiviert ist. In neueren Builds ist SSLv3 bereits standardmäßig deaktiviert.

SSL Renegotiation

Der Standardwert für die SSL Renegotiation muss auf „NonSecure“ umgestellt werden. Dies ist ein nötiger Workaround um eine Schwachstelle im TLS Protokoll zu unterbinden (siehe diesen Citrix Security Bulletin für Details).

Diffie-Hellman Key

Damit auch Ciphers, die auf DH basieren, genutzt werden können, muss zunächst ein DH Key erstellt werden. Wir empfehlen eine Schlüsselgröße von >= 2048 Bit.

Dieser Vorgang kann einen kleinen Moment dauern. Nun kann der DH Key für unser Frontend an unser Default Profile gebunden werden.

SSL Cipher konfigurieren

Die Cipher Suite definiert, welche Algorithmen zum Aufbau der gesicherten TLS Verbindung verwendet werden sollen. Wir empfehlen folgende Cipher Groups, um den höchsten Sicherheitsstandard zu gewährleisten. Abhängig davon ob eine VPX oder MPX zum Einsatz kommt, sind jeweils andere Ciphers zu verwenden.

HTTP Strict Transport Security

Beim HSTS Header handelt es sich um einen zusätzlichen HTTP-Header. Dieser Header definiert, dass für die aktuelle Seite nur noch SSL Verbindungen aufgebaut werden sollen. Im Einzelfall ist zu beachten, ob dieser Header eingebaut werden kann. Mit den folgenden Befehlen wird der Header global (für alle vServer) aktiviert.

Test bei Qualys SSL Labs

Abschließend kann die Sicherheit Ihrer Webseite über die Webseite von Qualys überprüft werden.

Qualys SSL Labs

Sind alle Parameter gesetzt sollte Ihre Webseite das Rating „A+“ erhalten.

Haben Sie Fragen zum Thema NetScaler? Nutzen Sie noch einen alten Build der keine Default Profile oder TLS1.2 unterstützt? Benötigen Sie einen Review Ihrer Konfiguration hinsichtlich Best Practices und Security? Treten Sie mit uns in Kontakt.

Simon Lauger

Simon Lauger ist seit Juli 2014 für die Firma teamix GmbH tätig. Er betreut bei uns die Themen Citrix und OpenSource. Im Bereich Citrix ist er Ansprechpartner für alle Lösungen mit dem Produkt Citrix NetScaler. Im OpenSource Bereich kümmert er sich um die Automatisierung von Umgebungen mittels Puppet. Vor seiner Zeit bei teamix war Simon bereits für einen großen Nürnberger Hoster tätig und kennt daher die Anforderungen von kritischen und hochverfügbaren IT-Projekten.

 
Kommentare

Noch keine Kommentare vorhanden.

Hinterlassen Sie einen Kommentar

Time limit is exhausted. Please reload CAPTCHA.