TrendMicro InterScan Web Security via NetScaler LB / CS

Auf der Suche nach einer skalierbaren Viruswall für eingehenden Webtraffic haben wir eine spannende Kombination aus NetScaler Content Switching, Loadbalancing und der Trendmicro InterScan Web Security Appliance (IWSVA) zusammengestellt und damit gute Erfahrungen gesammelt.

In unserem konkreten Beispiel benötigte der Kunde eine Lösung um File Uploads in eine geschützte Umgebung zu realisieren und abzusichern. Für diese Anforderung kam die IWSVA gerade richtig, virtuell supported für vSphere und HyperV ist man schnell in der Lage mit einem PoC alle Anforderungen abzuklopfen und kann im Anschluss schnell horizontal erweitern und in Betrieb gehen. Darüber hinaus ist man virtuell einfach besser aufgestellt wenn der Kunde Systeme für verschiedene Staging Umgebungen benötigt.

Im aktuellen Beispiel lassen wir der Einfachkeit halber den gesamten eingehenden Traffic über die IWSVA laufen. In einer späteren Ausbaustufe sollte man sich aber Gedanken machen über die Trennung von GET und POST Requests, um die IWSVA nicht unnötig zu belasten.

Die User Sessions terminieren auf dem Content Switch der bestehenden NetScaler VPX. Hier können wir Policy-gesteuert den Ursprung der Session analysieren (http Header, Source IP) und die Session bei Bedarf an die Loadbalancing vServer für die IWSVA Anbindung leiten. Die IWSVA läuft als Reverse Proxy und scannt die Session auf die verschiedenen Sicherheitsbedrohungen. Im Anschluss werden die Sessions wieder an den Content Switch geleitet um hier weitere Prüfungen vornehmen zu können. In dieser vereinfachten Darstellung werden die Sessions an die Loadbalancing Prozesse für den Webservice geleitet.

Anhand der folgenden Grafik lässt sich die Architektur für diese Lösung gut erkennen.

Auf den ersten Blick schnell implementiert, dennoch sollte man sich die Zeit nehmen beim Design der Content Switching Policies und der Loadbalancing Details.

Automatisches Initial Update der URL Database eines Clearswift Secure Web Gateways schlägt fehl

Wenn ein automatisches oder manuelles Initial Update der URL Database (Web Categorization Database) fehlschlägt, lohnt sich ein Blick in das entsprechende Log unter “System – Logs & Alarms – System Logs –  URL Category Database Update Log”.

Hier können meistens relativ schnell die Gründe für das Scheitern ermittelt werden. In unserem Beispiel-Log schlägt z.B. die Validierung des Downloads fehl. Dies erkennt man zum einen an den unterschiedlichen md5-Hashes (Remote md5 <-> Local md5) und zum anderen an der anschließenden Fehlermeldung.

URL Category Database Update Log:

[Timestamp] Validating /var/msw/data/websettings/webcat/db/wcd-r1/v023-1093.rd

[Timestamp] Remote md5: 94646d4d917ecf43098736e267b3eb89

[Timestamp] Local md5:  50188b9b34fc73ec152569e874462a17

[Timestamp] warning: Validation of /var/msw/data/websettings/webcat/db/wcd-r1/v023-1093.rd failed. retrying.

Ein Grund für die Bildung von unterschiedlichen md5-Hashes kann z.B. ein nicht vollständig heruntergeladenes Update sein. Um dieses überprüfen zu können, aktiviert man den ssh-Zugriff auf die Appliance und meldet sich dort via PuTTY an. Dann wechselt man in das Verzeichnis /var/msw/data/websettings/webcat/db/wcd-r1/ und lässt sich die Dateigröße der Datei v023-xxxx.rd anzeigen. Diese Größe vergleicht man mit der Größe der gleichnamigen Datei unter folgender URL http://url3.clearswift.net:80/ufs/./feeds/wcd-r1/combined. Um auf die URL zugreifen zu können, wird ein Benutzername und ein Passwort benötigt. Diese Informationen können vom Clearswift Support erfragt werden. Stellt man nun eine Differenz fest, empfiehlt es sich, die Datei manuell herunterzuladen und das System händisch auf einen aktuellen Stand zu bringen. Hierzu geht man wie folgt vor:

1. Aufbau einer ssh-Session zur Appliance (wenn nicht bereits erfolgt)

2. sudo – su

3. mkdir /tmp/downloads

4. wget –http-user USERNAME –http-passwd PASSWORT http://url3.clearswift.net/ufs/feeds/wcd-r1/combined/v023-xxxx.rd

5. cd /var/msw/data/websettings/webcat/db

6. mv wcd-r1.rd to wcd-r1.rd_backup

7. cp /tmp/downloads/v023-xxxx.rd /var/msw/data/websettings/webcat/db

8. mv v023-xxxx.rd wcd-r1.rd

9. cd /var/msw/data/websettings/webcat/db/wcd-r1/

10. mv download.history download.history_backup

11. Anfordern einer aktuellen download.history über den Clearswift Support

12. Die erhaltene Datei unter /var/msw/data/websettings/webcat/db/wcd-r1/ ablegen

13. cd /var/msw/data/websettings/webcat

14. cp WebCatVersion WebCatVersion_backup

15. vi WebcatVersion

16. Der “wcd:”-Eintrag muss auf den entsprechenden Unix-Timestamp und die Versionsnummer geändert werden (z.B. 1326182405,1111). Diesen erfährt man ebenfalls vom Clearswift Support.

17. :wq

Nun sollte die Appliance die aktuelle Web Categorization Database verwenden. Das Ergebnis kann über die WebGUI unter dem Menüpunkt “Health” überprüft werden. Von diesem Zeitpunkt an kann die Appliance dann auch die automatischen Updates ohne Probleme durchführen.

How to configure Kerberos Authentication on a Clearswift Secure Web Gateway for different Windows environments

To enable kerberos user authentication on a Clearswift Secure Web Gateway for different Windows environments, you have to complete the following steps:

1. Create a service-user account in Active Directory

User logon name: HTTP/FQDN_OF_APPLIANCE

User logon name (pre-Windows 2000): for example svc_123

Check “User cannot change password

– Check “Password never expires

Only for Windows Server 2008 / Windows 7 environments:

– Check “This account supports Kerberos AES 256 bit encryption

– CheckAccount expires never

2. Create a Keytab-File

– Open a DOS command prompt on Windows domaincontroller and enter the following command for a Windows Server 2008 / Windows 7 environment:

“ktpass –princ HTTP/HOSTNAME_OF_APPLIANCE@DOMAIN –mapuser svc_123@DOMAIN –crypto AES256-SHA1 –ptype KRB5_NT_Principal –pass COMPLEX_PASSWORD –out C:/keytabfile.key”

Use this command for a Windows Server 2008 / 2003 – Windows 7 / Windows XP mixed environment:

“ktpass –princ HTTP/HOSTNAME_OF_APPLIANCE@DOMAIN –mapuser svc_123@DOMAIN –crypto RC4-HMAC-NT –ptype KRB5_NT_Principal –pass COMPLEX_PASSWORD –out C:/keytabfile.key”

Make sure that the DOMAIN is written in capital letters!

3. Upload Keytab-File and configure CSWG

           CSWG: System – Proxy Settings – Authentication Settings

– User Authentication is Enabled

– Your users will be asked for authentication details.

– The Web Proxy will respond to Kerberos protocol only.

– The Web Proxy will reject responses made using other protocols.

– Kerberos Distribution Center

– The Kerberos Distribution Center is located at “FQDN_OF_DOMAINCONTROLLER”

– Kerberos Key Tab File

– Upload the Keytab-File

– Apache Access Log is Enabled

– Apache access logs are being generated by the Web Gateway.

4. Test authentication

– Enter “Domain User Name

– Enter “User Password

Run Test

You should get now a “successfully authenticated” message.

Citrix Receiver für das BlackBerry Playbook

Mit Spannung wurde das erste Enterprise-Tablet von Research in Motion erwartet.

Doch damit ein Enterprise-Tablet seinem Ruf gerecht werden kann, bedarf es natürlich auch Anwendungen, die die tägliche Arbeit unterstützen bzw. überhaupt erst ermöglichen. Man könnte fast behaupten, dass der Erfolg eines Device davon abhängt, wie gut oder schlecht das Angebot an Apps ist, welche für das entsprechende Endgerät zur Verfügung stehen.

Ist nicht der unglaubliche Erfolg von iPad, iPhone und Co. auch in hohem Maß der Vielzahl an fantastischen Anwendungen zu verdanken? Gerade hier steckt RIM mit der AppWorld noch in den Kinderschuhen und hinkt deutlich hinter Android und Apple hinterher. Fast vier Monate nach dem Erscheinen des Tablets auf dem deutschen Markt, gehen nun endlich auch die ersten namhaften Hersteller von Enterprise Anwendungen ins Rennen.

Der Arbeitsbereich des Citrix Receiver für das BlackBerry Playbook

Ein erster Schritt zu einem erwachsenen Enterprisegerät wird mit der Verfügbarkeit des Citrix Receivers für das Playbook über die BlackBerry AppWorld gemacht. Zur Zeit steht der Receiver in einer Pre-Release-Version zur Verfügung, die auf den ersten Blick einen recht soliden und aufgeräumten Eindruck macht. Nach Eingabe der Verbindungsdaten wird der Anwender mit einer Lister der für ihn publizierten Anwendungen belohnt. Diese können dann nach Belieben auf den Arbeitsbereich gezogen und von dort aus gestartet werden.

Nach dem ersten Start einer Anwendung erhielten wir allerdings eine “Application Launch Failed”-Meldung. Diese ließ sich mit einer Anpassung der “webinterface.conf” im Verzeichnis “inetpub”\wwwroot\Citrix\PNAgent\conf auf dem XenApp-Server beheben. Hierbei muss folgender Bereich der Konfigurationsdatei erweitert definiert werden:

ClientAddressMap=*,SG,192.168.30.0/255.255.255.0,Normal

Wobei natürlich die Netzadresse und die Netzmaske des eignen internen Netzes verwendet werden sollte. Von dieser Erweiterung sollten nur Verbindungen betroffen sein, die über den PNAgent erfolgen (Service Site). Das Webinterface sollte davon unberührt bleiben.

Wechsel zwischen einzelnen Anwendungen

Arbeitet man nun mit mehreren Applikationen gleichzeitig und möchte zwischen diesen hin und her schalten, so kann man dieses z.B. durch eine Fingerbewegung vom oberen Rand des Playbooks in die Bildschirmmitte erreichen. In diesem Fall erhält man eine Übersicht, in der dann zwischen den gestarteten Anwendungen gewechselt werden kann.

In dieser ersten freigegebenen Version werden Verbindungen über ein Citrix Access Gateway noch nicht unterstützt, so dass damit auch Sicherheitsfeatures wie z.B. eine zwei-Faktoren Authentifizierung erst einmal wegfallen. Dieses Manko wird laut Citrix aber in der endgültigen ersten Version beseitigt sein. Man darf also gespannt hoffen.

 

XenServer: Hängende VM zurücksetzen

Wenn auf einem XenServer mal eine VM total hängt und ein Shutdown über das XenCenter auch nicht hilft, geht es so weiter:

Auflisten der noch laufenden Tasks:

xe task-list

Den entsprechenden Tast abbrechen:

xe task-cancel force=true uuid=UUID

Häufig reicht dies bereits aus und die VM beendet sich entsprechend.

Ist dies nicht der Fall geht es wie folgt weiter:

Herausfinden der UUID der entsprechenden VM:

xe vm-list

Herausfinden der DomainID anhand der UUID:

list_domains | grep UUID

Zerstören der Entsprechenden DomainID:

/opt/xensource/debug/destroy_domain -domid DOMAINID

Daraufhin muss die VM noch neu gestartet werden:

xe vm-reboot name-label='VMNAME' --force

Daraufhin sollte die VM nach ein paar Minuten Startzeit wieder erreichbar sein.

SP1 für Server 2008 R2 und Windows 7 ist RTM

Das Servicepack 1 für Server 2008 R2 und Windows 7 ist seit dem 09.02.2011 RTM (Release to Manufacture).

Für TechNet-Abonnenten und Volume Licensing-Kunden wird es ab dem 16.02. verfügbar sein, am 22.02. findet es sich dann auch in Windows Update und dem Microsoft Download Center.

Das Service Pack bringt eine Zusammenfassung der Updates seit dem Release der Betriebssysteme, neue Features bekommt nur der Server spendiert: RemoteFX und DynamicMemory.

DynamicMemory für Hyper-V ist Microsofts Antwort auf die VMware ESX und Citrix XenServer Lösungen einen Memory Overcommit zu ermöglichen, also den VMs insgesamt mehr virtuellen RAM zur Verfügung zu stellen als physikalisch vorhanden ist.

Dabei wird der Arbeitsspeicher dynamisch verteilt statt in Pagefiles zu schreiben. Die VM teilt dem Hypervisor mit, wie viel RAM sie effektiv belegt und bekommt diesen zugeteilt. Dadurch stehen Speicherbereiche, die sonst reserviert wären, zur Verfügung und können von weiteren VMs genutzt werden. Wird mehr RAM benötigt als physisch vorhanden ist, nutzt der Hypervisor wie zuvor Pagefiles.

Dank dieser Technik lässt sich die Auslastung des physischen Speichers verbessern und es können mehr Systeme bereitgestellt werden, so lange die Auslastung innerhalb der virtuellen Maschinen sich unterhalb des maximal zugeteilten Wertes bewegt.

RemoteFX ist eine Erweiterung des RDP-Protokolls von Microsoft. Diese ermöglicht es, anspruchsvolle grafische Inhalte wie Flash, Silverlight oder 3D-Anwendungen von der GPU beschleunigen zu lassen.

Ist im Client eine entsprechende Grafikkarte verbaut, werden die Inhalte auf dem Clientsystem berechnet. Werden hingegen ThinClients oder ähnliche Systeme ohne entsprechende Hardware genutzt, kann der Server diese Aufgabe übernehmen. Voraussetzung ist natürlich, dass er eine entsprechend leistungsfähige Grafikkarte verbaut hat.

Die Serverhersteller arbeiten bereits an entsprechenden Systemen mit der nötigen Hardwarebasis, da die aktuell verwendeten Grafikkarten selten zu den leistungsfähigen am Markt zählen. Die Nutzbarkeit beschränkt sich aufgrund gestiegener Bandbreitenanforderungen hingegen auf das lokale Netzwerk (LAN). Für Verbindungen über das WAN empfehlen sich wie bisher die Mehrwertlösungen von Citrix (XenApp, XenDesktop), die das hochoptimierte HDX-Protokoll verwenden.

Durch diese beiden Features werden alleine mit Windows Bordmitteln aber neue Möglichkeiten der Bereitstellung von VDI Umgebungen gegeben. So lassen sich mehr Clientsysteme auf weniger physischen Hosts bereitstellen und nutzen als dies bisher möglich war.