Door Anoniem: Die Netscalers zijn een beetje een complex beest. Vaak worden ze voor SSL-offloading gebruikt, zodat de virtuele servers erachter niet de hele dag alleen maar aan het SSL-berekenen zijn. Daarvoor moet je de private key van je achterliggende servers hebben, zodat je aan de voorkant kunt doen alsof je de server bent.
Nee, dit is niet correct. De Netscaler kan gewoon met een compleet ander certificaat werken, en hoeft de privacy key van achterliggende systemen ook niet te weten.
Meestal wordt het verkeer daarna ook weer gewoon versleuteld naar de achterliggende servers. De Netscaler doet dus SSL decryptie en uiteindelijk ook weer encryptie.
Als die keys gestolen worden (zoals eerder in een Netscaler exploit het geval was) dan moet je die https certificaten revoken, en opnieuw aanvragen, en dan overal installeren. Niet fijn als dat een wildcard certificaat is dat overal en nog ergens is toegepast, waarmee ik meteen reclame maak voor sobdomein-certificaten, iets duurder, maar scheelt een hoop werk, en je weet dan ook beter wie je certificaat heeft gelekt als die op straat ligt.
Daarom gebruik je ook nooit wildcard certificaten en voor je achterliggende servers het liefst certificaten uit je eigen interne PKI. met een korte levensduur.
de Netscaler verzorgt vaak ook routeringen, en VPN's, en god weet wat nog meer, zodat dat ding effe patchen best lastig is in een productieomgeving.
Hij kan dit inderdaad. Maar meestal gebruiken ze deze alleen als loadbalancer en ICA proxy. Dus dedicated rollen. Eventueel een SDX met daarop meerdere VPX's zodat je VPN scheid van de LB/ICA Proxy. VPNs van Citrix zie je eigenlijk nooit voorbij komen. Daar gebruiken ze VPN appliances voor.
Een goede setup is een dubbele set, waarbij je de config regelmatig backupped, zodat je na een hack gewoon een setje Netscalers installeert from scratch (eventueel tijdelijk virtueel) en daar de uncompromised config op terugzet.
Af en toe live failovers doen waarin je de boel patched.
Helaas durft bijna niemand zo'n set even te failoveren, omdat dat niet altijd goed gaat en de gevolgen een dooie setup kunnen zijn, en je hebt geen handleiding en de beheerder is op vakantie en dat is de enige die het snapt.
en daarna sta je op security.nl.
Wat heb je dan aan een dubbele setup? staat mooi in je visio-tekening. ;-)
VPN is juist vrij gemakkelijke te failoveren. Je doet dit eigenlijk al met iedere patch ronde.
Dit argument slaat nergens op.