Netscaler : Améliorer la sécurité

Bonjour,

Après quelques mois , je reprends le clavier afin de vous parler d’une demande récurrente :

Améliorer la sécurité des Netscaler.

Pour ce faire, j’utilise le site SSL Labs WebSite afin de noter mon site et de vérifier un certain nombre de paramètres liés au SSL.

Avant de lire cet article, testez votre site et regardez la note et les remarques.

Maintenant je vais vous donner quelques points pour obtenir un A voir un A+.

 

SSL Certificat

La première chose, c’est votre certificat SSL.

Générez un certificat avec une clés de 2048 et surtout en SHA 256 minimum et de préférence trusté :-).

SSLV3

SSLv3 est désormais considéré comme non sécurisé, il faut donc le désactiver et privilégier TLS 1.1 et TLS 1.2.

Pour désactiver le SSLv3, sélectionnez votre Virtual Server dans la section Netscaler Gateway, edit, puis dans les paramètres SSL, décochez SSLv3.

SSLv3

Maintenant il faut activer TLSv11 et TLSv12. Si vous utilisez des appliances MPX (physiques), cochez les cases TLSv11 et TLSv12. En revanche pour les VPX, vous pouvez être confronté au même problème que moi, les cases sont grisées.

Citrix a autorisé l’activation uniquement à partir du firmware 10.5.57 pour les appliances virtuelles.

Après upgrade version 11

tlsv11
 

 

 

Ciphers

En bref, les ciphers sont des algorithmes qui permettent l’encryption et la décryption.

Certains (RC4) ne sont plus supportés et représentent un risque, il faut donc les désactiver.

Pour se faire dans le menu Traffic Management, SSL, Cipher Group, créez un nouveau Cipher Group.

Cipher pour VPX

TLS1.2-ECDHE-RSA-AES-128-SHA256
TLS1-ECDHE-RSA-AES256-SHA
TLS1-ECDHE-RSA-AES128-SHA
TLS1-DHE-RSA-AES-256-CBC-SHA
TLS1-DHE-RSA-AES-128-CBC-SHA
TLS1-AES-256-CBC-SHA
TLS1-AES-128-CBC-SHA
SSL3-DES-CBC3-SHA

Cipher pour MPX

TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
TLS1.2-ECDHE-RSA-AES-256-SHA384
TLS1.2-ECDHE-RSA-AES-128-SHA256
TLS1-ECDHE-RSA-AES256-SHA
TLS1-ECDHE-RSA-AES128-SHA
TLS1.2-DHE-RSA-AES256-GCM-SHA384
TLS1.2-DHE-RSA-AES128-GCM-SHA256
TLS1-DHE-RSA-AES-256-CBC-SHA
TLS1-DHE-RSA-AES-128-CBC-SHA
TLS1-AES-256-CBC-SHA
TLS1-AES-128-CBC-SHA
SSL3-DES-CBC3-SHA

Ensuite il faut lier ce Cipher Group sur votre serveur virtuel.

Sur votre virtual Server dans la section SSL Ciphers, sélectionnez le radio bouton Cipher Groups, puis le Cipher Group que vous venez de créer.

CipherRC4

Et une dernière ligne de commande à passer pour assurer le support ECDH

  • bind ssl vs [vserver_name] -eccCurveName ALL

PFS (Perfect Forwarded Secrecy)

Pour activer cette fonctionnalité, il faut créer une clé Deffie-Hellman (DH).

Dans le menu Traffic Management\SSL, sélectionnez Create Deffie Hellman (DH) key.

Deffie-hellman

ssl-dh-param

 

 

 

 

 

Une fois la clé créée, la lier sur le virtual server dans la section SSL parameter.

PFS

 

 

 

 

 

 

 

Strict Transport Security (STS)

Pour se faire il faut créer une Rewrite Action

max-age=157680000

StrictTransportSecurity

Puis une Rewrite Policy

rewritepolicy

Enfin on lie cette policy avec notre Virtual server.

 

Rewrite Policy

Maintenant re-tester votre site.

Vous pouvez poster vos résultat avant/après dans les commentaires.

A propos de 

Solution Architect Chez Bechtle

MCSA Windows 2003, CCAA, CCEE, CCSP 2011, CCA Xendesktop 5 , CCI 2013, Citrix Partner Solution Advisor, CCIA

 
Christophe.beaugrand@bechtle.ch
T : +41(0) 76 373 13 05
 
  1. Hello Christophe,

    Je viens de tester tes instructions pour améliorer la sécurité de mes Netscalers.
    La version installée est une Netscaler VPX(10) en HA NS11.0 63.16nc
    Grâce à toi, je suis passé de C en A.

    Cherchant à comprendre comment passer de A en A+, j’ai fouillé dans plusieurs forums et j’ai trouvé.
    Dans “Rewrite Action”, il faut remplacer ton expression par celle-ci “max-age=157680000” (ne pas faire de copier-coller mais l’écrire).

    Maintenant, je suis passé en A+ sur mes 2 virtual server.
    A+ et joyeux noël
    David 😛

Laisser un commentaire


NOTE - Vous pouvez utiliser les éléments et attributs HTML tags and attributes:
<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>