Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten „Issues“, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben

Citrix hat es endlich gewagt!

Wir haben schon lange in etlichen internen Runden darauf gedrängt, und auch die ersten positiven Signale (natürlich streng vertraulich) bereits im Sommer zurückbekommen. Und jetzt ist es endlich offiziell: Citrix lockert die SSL-VPN Lizenzierung auf. Bisher konnten wir trotz der Investition in Citrix NetScaler Standard oder Enterprise Lizenzen nur 5 Concurrent User SSL-VPN nutzen. Weitere User mussten separat per NetScaler Gateway Universal License lizenziert werden oder aus XenApp / XenDesktop Platinum übernommen werden. Einzig die NetScaler Platinum Lizenz hat 100 CCU SSL-VPN mitgebracht.

„NetScaler Gateway: SSL-VPN CCU Lizenzen: Limitierung verringert / aufgehoben“ weiterlesen

How To: decrypt SSL / HTTPS with Wireshark

Heute möchte ich kurz auf ein wichtiges Tool beim Troubleshooting für HTTPS Anwendungen eingehen. Ich habe in letzter Zeit zu oft Kunden getroffen, die nicht die gesamte Kommunikationskette verschlüsseln, um im Fehlerfall weiter per Wireshark mitlesen zu können. Mit der richtigen Anleitung ist es aber gar nicht so kompliziert auch SSL / HTTPS gesicherten Verkehr zu entschlüsseln.

„How To: decrypt SSL / HTTPS with Wireshark“ weiterlesen

Setup: NetScaler Kerberos Impersonation

Unser Einstieg in die praktische Kerberos-Umsetzung ist die Kerberos Impersonation. Wie schon in den theoretischen Grundlagen erklärt haben wir hier eine deutlich geringere Komplexität und können so deutlich schneller erste Erfolge messen. Dafür sind wir immer abhängig vom Passwort des zu authentifizierenden Benutzers. Kerberos Impersonation können wir also nur einsetzen, wenn der Anwender sich per Benutzername und Passwort anmeldet!

Die Konfiguration für Kerberos Impersonation ist denkbar einfach und basiert auf drei kleinen Schritten:

„Setup: NetScaler Kerberos Impersonation“ weiterlesen

NetScaler Gateway: New Feature: Content Switching

We all know situations where we have to save on public IPs.  During the last years I often had to discuss with customers why we require different public IPs to publish NetScaler Gateway for XenApp / XenDesktop and classic reverse proxy services like Microsoft Outlook Web Access. But since the NetScaler 10.5 51.1017.e (enhancement) release we can now configure Content Switching Policies at the NetScaler Gateway VIP.

Just use the „Content Switching Policy“ Menu in your NetScaler Gateway vServer.

 

 

 

You can use and configure the Content Switching Policys like you are used to. You just can’t use a default policy. But that shouldn’t stop you from using this feature 🙂

NetScaler AppFW – Grundkonfiguration

Während heute Morgen unser vollständig ausgebuchter TechTalk zum Thema „Hyper-V: Alternative zu VMware?“ stattfand, laufen bereits die Anmeldungen für das nächste Mal: am 12.05.2015 spreche ich über die NetScaler Web Application Firewall: „Hinstellen, anschalten, sicher sein?“

Es gibt belegte Brötchen und Getränke zum Frühstück, Talk und Demo. Die Plätze sind begrenzt, daher am besten gleich anmelden.