Citrix NetScaler: Securing SSL

Die standardmäßige SSL-Konfiguration des Citrix NetScalers hat zwei Tücken, die bei diversen „SSL Test-Tools“ zur englischen Schulnote „F“ führt. Diese zwei Punkte können wie folgt angepasst werden.

Standard Cipher-Gruppe anpassen
Standardmäßig ist die DEFAULT Ciphergroup für jeden SSL Service aktiviert. Einige Ciphers innerhalb dieser Gruppe gelten mittlerweile als nicht mehr sicher. Daher sollte für produktive Services die Ciphergroup DEFAULT durch HIGH ersetzt werden. Diese bietet deutlich sicherere Verschlüsselungsmechanismen.

Netscaler-Ciphers

Alternativ kann auch die Ciphergroup DEFAULT komplett angepasst werden, womit nicht jedes mal die Ciphergroup bei einem neuen Service angefasst werden muss.

Standard SSL Renegotiation Verhalten anpassen

set ssl parameter -denySSLReneg NONSECURE

Siehe CTX-Artikel hierzu http://support.citrix.com/article/CTX123680

Prüfung von einem SSL Test-Tool durchführen
z.B. Qualys SSL Labs (https://www.ssllabs.com/ssltest/)

Einen Kommentar hinterlassen

Dein Kommentar